Riferimento rapido delle porte e degli intervalli IP delle riunioni

I seguenti intervalli IP vengono utilizzati dai siti distribuiti sul cluster riunioni FedRAMP. Per questo documento, questi intervalli sono denominati "intervalli IP Webex":

  • 150.253.150.0/23 (da 150.253.150.0 a 150.253.151.255)
  • 144.196.224.0/21 (da 144.196.224.0 a 144.196.231.255)
  • 23.89.18.0/23 (da 23.89.18.0 a 23.89.19.255)
  • 163.129.16.0/21 (da 163.129.16.0 a 163.129.23.255)
  • 170.72.254.0/24 (da 170.72.254.0 a 170.72.254.255)
  • Da 170.133.156.0/22 (da 170.133.156.0 a 170.133.159.255)
  • Da 207.182.160.0/21 (da 207.182.160.0 a 207.182.167.255)
  • 207.182.168.0/23 (da 207.182.168.0 a 207.182.169.255)
  • Da 207.182.176.0/22 (da 207.182.176.0 a 207.182.179.255)
  • 207.182.190.0/23 (da 207.182.190.0 a 207.182.191.255)
  • Da 216.151.130.0/24 (da 216.151.130.0 a 216.151.130.255)
  • Da 216.151.134.0/24 (da 216.151.134.0 a 216.151.134.255)
  • Da 216.151.135.0/25 (da 216.151.135.0 a 216.151.135.127)
  • 216.151.135.240/28 (da 216.151.135.240 a 216.151.135.255)
  • Da 216.151.138.0/24 (da 216.151.138.0 a 216.151.138.255)
  • Da 216.151.139.0/25 (da 216.151.139.0 a 216.151.139.127)
  • 216.151.139.240/28 (da 216.151.139.241 a 216.151.139.254)

Servizi distribuiti

I servizi distribuiti su questo intervallo IP includono, ma non sono limitati a, quanto segue:

  • Sito Web della riunione (ad esempio, customersite.webex.com)
  • Server dati riunione
  • Server multimediali per video audio (VoIP) e webcam del computer
  • Servizi XML/API, inclusa la pianificazione degli Strumenti di produttività
  • Server di registrazione basata su rete (NBR)
  • Servizi secondari durante la manutenzione dei servizi primari o quando riscontrano difficoltà tecniche

I seguenti URI vengono utilizzati per controllare l'elenco di revoca dei certificati per i certificati di sicurezza. Gli elenchi di revoca dei certificati per garantire che nessun certificato compromesso possa essere utilizzato per intercettare il traffico Webex sicuro. Questo traffico si verifica sulla porta TCP 80:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (certificati IdenTrust)

I seguenti UserAgent verranno trasmessi da Webex tramite il processo utiltp in Webex e devono essere consentiti attraverso il firewall di un'agenzia:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping come parte degli URL consentiti. Viene utilizzato come parte del processo di attivazione del dispositivo, e "il dispositivo lo utilizza prima di sapere che è un dispositivo FedRAMP. Il dispositivo invia un codice di attivazione senza informazioni FedRAMP, il servizio vede che si tratta di un codice di attivazione FedRAMP, quindi li reindirizza."

Tutto il traffico FedRAMP richiede la crittografia TLS 1.2 e la crittografia mTLS 1.2 per i dispositivi registrati SIP locali.

Porte utilizzate dai client Webex Meetings (inclusi i dispositivi registrati sul cloud)

ProtocolloNumeri porteDirezioneTipo di trafficoIntervallo IPCommenti
TCP80/443In uscita verso WebexHTTP, HTTPSWebex e RESOD (non consigliato per filtrare per IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (viene utilizzato per servire contenuti statici e file)
  • *.wbx2.com

Webex consiglia il filtraggio tramite URL. SE si Filtra per indirizzo IP, è necessario consentire intervalli IP AWS GovCloud, Cloudfront e Webex.

TCP/UDP53In uscita verso DNS localeDNS (Domain Name Services)Solo server DNSUtilizzato per le ricerche DNS per individuare gli indirizzi IP dei server Webex nel cloud. Sebbene le tipiche ricerche DNS vengano effettuate su UDP, alcune possono richiedere il protocollo TCP, se le risposte alla query non riescono a rientrare nei pacchetti UDP.
UDP9000, 5004In uscita verso WebexContenuto multimediale client Webex principale (RTP VoIP e video)WebexLa porta multimediale del client Webex viene utilizzata per scambiare audio del computer, video della webcam condivisione contenuto streaming. L'apertura di questa porta è necessaria per garantire la migliore esperienza multimediale possibile.
TCP5004, 443, 80In uscita verso WebexContenuto multimediale client Webex alternativo (RTP VoIP e video)WebexPorte di fall-back per la connettività multimediale quando la porta UDP 9000 non è aperta nel firewall
UDP/TCP

Audio: Da 52000 a 52049

Video: Da 52100 a 52199

In ingresso alla reteContenuto multimediale client Webex (Voip e video)Torna daRE E Webex

Webex comunica con la porta di destinazione ricevuta quando il client esegue la connessione. È necessario configurare un firewall attraverso il quale devono passare queste connessioni di ritorno.

Questa opzione è abilitata per impostazione predefinita.
TCP/UDPPorte ephemerali specifiche del sistema operativoIn ingresso alla reteTraffico di ritorno da WebexTorna daRE E Webex

Webex comunica con la porta di destinazione ricevuta quando il client esegue la connessione. È necessario configurare un firewall attraverso il quale devono passare queste connessioni di ritorno.

Questo viene solitamente aperto automaticamente in un firewall stateful, comunque è elencato qui per completezza.

Per i clienti che abilitano Webex per il Settore pubblico che non possono consentire il filtraggio basato su URL per HTTPS, sarà necessario consentire la connettività con AWS Gov Cloud West (regione: us‐gov‐west‐1) e Cloud Front (servizio: CLOUDFRONT). Esaminare la documentazione MSDN per identificare gli intervalli di indirizzi IP per la regione WEST CLOUD GOV e IL FRONT CLOUD DISPONIBILI. La documentazione AWS è disponibile su https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex consiglia vivamente di filtrare tramite URL quando possibile.

Cloudfront viene utilizzato per contenuto statico fornito tramite la rete di distribuzione di contenuti per fornire ai clienti le ma migliori prestazioni in tutto il paese.

Porte utilizzate da dispositivi di collaborazione video Cisco registrati in locale

Vedere anche la Guida alla distribuzione Enterprise di Cisco Webex Meetings per le riunioni abilitate per dispositivi video

ProtocolloNumeri di portaDirezioneTipo di accessoIntervallo IPCommenti
TCP5061—5070In uscita verso WebexSegnale SIPWebexIl edge multimediale Webex è in ascolto su queste porte
TCP5061, 5065In ingresso alla reteSegnale SIPWebexTraffico dei segnali SIP in entrata dal cloud Webex
TCP5061In uscita verso WebexSegnale SIP dai dispositivi registrati su cloudAwsChiamate in entrata da Webex App 1:1 Calling e dispositivi registrati su cloud al tuo URI SIP registrato in locale. *5061 è la porta predefinita. Webex supporta porte 5061—5070 che devono essere utilizzate dai clienti come definito nel record SIP SRV
TCP/UDP1719, 1720, 15000—19999In uscita verso WebexH.323 LSWebexSe l'endpoint richiede la comunicazione gatekeeper, aprire anche la porta 1719, che include Lifesize
TCP/UDPPorte effimere, 36000—59999In entrataPorte multimedialiWebexSe si sta utilizzando una Cisco Expressway, è necessario impostare l'intervallo di porte multimediali su 36000-59999. Se si utilizza un endpoint o un controllo delle chiamate di terze parti, è necessario configurarli per utilizzare questo intervallo.
TCP443In entrataProssimità dispositivo localeRete localeL'app Webex o l'app desktop Webex devono disporre di un percorso di indirizzamento IPv4 tra se stessa e il dispositivo video utilizzando HTTPS

Per i clienti che abilitano Webex per le chiamate in entrata dalle app Webex Calling 1:1 e dai dispositivi registrati su cloud nell'URI SIP registrato in locale. È necessario anche consentire la connettività con RES GOV Cloud West (regione: us=gov=west=1). Esaminare la documentazione AWS per identificare gli intervalli IP per la regione West di AWS Gov Cloud. La documentazione MSDN è disponibile all'indirizzo https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Porte utilizzate da Edge Audio

Questa operazione è necessaria solo se si utilizza Edge Audio.

ProtocolloNumeri di portaDirezioneTipo di accessoIntervallo IPCommenti
TCP5061—5062In ingresso alla reteSegnale SIPWebexSegnalazione SIP in entrata per Edge Audio
TCP5061—5065In uscita verso WebexSegnale SIPWebexSegnalazione SIP in uscita per Edge Audio
TCP/UDPPorte effimere, 8000—59999In ingresso alla retePorte multimedialiWebexSu un firewall aziendale, è necessario aprire le porte per il traffico in ingresso a Expressway con un intervallo di porte da 8000 a 59999

Configurare mTLS utilizzando le seguenti opzioni:

Domini e URL per i servizi Webex Calling

Un * visualizzato all'inizio di un URL (ad esempio, *.webex.com) indica che i servizi nel dominio di livello superiore e tutti i sottodomini sono accessibili.

Tabella 3. Servizi Webex
Dominio/URLDescrizioneApp e dispositivi Webex che utilizzano questi domini/URL

*.webex.com

*.cisco.com

*.webexgov.us

Servizi Webex Calling principali e Webex Aware

Provisioning identità

Memorizzazione identità

Autenticazione

Servizi OAuth

Onboarding dispositivo

Quando un telefono si connette a una rete per la prima volta o dopo un ripristino delle impostazioni di fabbrica senza opzioni DHCP impostate, contatta un server di attivazione del dispositivo per il provisioning zero touch. I nuovi telefoni utilizzano activate.cisco.com e i telefoni con la versione del firmware precedente alla 11.2(1); continuare a utilizzare webapps.cisco.com per il provisioning.

Scarica il firmware del dispositivo e gli aggiornamenti delle impostazioni internazionali da binaries.webex.com.

Tutti
*.wbx2.com e *.ciscospark.comUtilizzato per la consapevolezza del cloud, CSDM, WDM, mercurio e così via. Questi servizi sono necessari per consentire ad App e dispositivi di contattare i servizi Webex Calling e Webex Aware durante e dopo l'onboarding.Tutti
*.webexapis.com

Microservizi Webex che gestiscono applicazioni e dispositivi.

Servizio immagine profilo

Servizio di lavagna

Servizio di prossimità

Servizio presenza

Servizio di registrazione

Servizio di calendario

Servizio di ricerca

Tutti
*.webexcontent.com

Servizio di messaggistica Webex relativo allo storage di file generale, inclusi:

File utente

File transcodificati

Immagini

Schermate

Contenuto lavagna

Registri client e dispositivi

Immagini di profilo

Loghi di branding

File di registro

File di esportazione e importazione CSV in massa (Control Hub)

Servizi di messaggistica dell'app Webex.
File storage utilizzando webexcontent.com sostituito da clouddrive.com a ottobre 2019
Tabella 4. Servizi aggiuntivi correlati a Webex (domini di terze parti)
Dominio/URLDescrizioneApp e dispositivi Webex che utilizzano questi domini/URL

*.appdynamics.com

*.eum-appdynamics.com

Monitoraggio delle prestazioni, acquisizione di errori e arresto anomalo, metriche di sessione.Control Hub
*.huron-dev.comMicro servizi Webex Calling come servizi di attivazione/disattivazione, ordinazione di numeri di telefono e servizi di assegnazione.Control Hub
*.sipflash.comServizi di gestione dei dispositivi. Aggiornamenti del firmware e fini di onboarding sicuri.App Webex

*.google.com

*.googleapis.com

Notifiche ad app Webex su dispositivi mobili (esempio: nuovo messaggio, quando si risponde alla chiamata)

Per le subnet IP, fare riferimento a questi collegamenti

Servizio di messaggistica cloud (FCM) Google Firebase

Servizio di notifica push Apple (APNS)

App Webex

Subnet IP per i servizi Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Porte utilizzate da Webex Calling

Tabella 5. Servizi Webex Calling e Webex Aware
Scopo connessione:Indirizzi di originePorte di origineProtocolloIndirizzi di destinazionePorte di destinazioneNote
Segnalazione chiamata a Webex Calling (TLS SIP)Gateway locale esterno (NIC)8000—65535TCPFai riferimento a Subnet IP per i servizi Webex Calling.5062, 8934

Questi IP/porte sono necessari per i segnali di chiamata SIP-TLS in uscita da gateway locali, dispositivi e applicazioni (origine) Webex Calling cloud (destinazione).

Porta 5062 (richiesta per trunk basato su certificato). E porta 8934 (richiesta per trunk basato su registrazione)

Dispositivi5060—50808934
ApplicazioniTemporaneo (dipendente dal sistema operativo)
Chiama il supporto per Webex Calling (SRTP)NIC esterna gateway locale8000—48198*UDPFai riferimento a Subnet IP per i servizi Webex Calling.

8500—8700,19560—65535 (SRTP su UDP)

L'ottimizzazione multimediale basata su STUN, ICE-Lite non è supportata per Webex for Government.

Questi IP/porte vengono utilizzati per il contenuto multimediale delle chiamate SRTP in uscita da gateway locali, dispositivi e applicazioni (origine) al cloud Webex Calling (destinazione).

Per alcune topologie di rete in cui vengono utilizzati firewall all'interno di una sede del cliente, consentire l'accesso per gli intervalli di porte di origine e di destinazione menzionati all'interno della rete affinché il contenuto multimediale possa passare.

Esempio: Per le applicazioni, consentire l'intervallo di porte di origine e di destinazione da 8500 a 8700.

Dispositivi19560—19660
Applicazioni8500—8700
Segnali di chiamata al gateway PSTN (SIP TLS)NIC interna al gateway locale8000—65535TCPLa tua PSTN ITSP GW o Unified CMDipende dall'opzione PSTN (ad esempio, solitamente 5060 o 5061 per Unified CM)
Contenuto multimediale di chiamata al gateway PSTN (SRTP)NIC interna al gateway locale8000—48198*UDPLa tua PSTN ITSP GW o Unified CMDipende dall'opzione PSTN (ad esempio, in genere 5060 o 5061 per Unified CM)
Configurazione del dispositivo e gestione del firmware (dispositivi Cisco)Webex Calling dispositiviTemporaneoTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Richiesto per i seguenti motivi:

  1. Migrazione dai telefoni Enterprise (Cisco Unified CM) a Webex Calling. Vedi upgrade.cisco.com per ulteriori informazioni. Cloudupgrader.webex.com utilizza le porte: 6970.443 per il processo di migrazione del firmware.

  2. Aggiornamenti del firmware e onboarding sicuro dei dispositivi (MPP e telefoni di sala o da scrivania) utilizzando il codice di attivazione a 16 cifre (GDS).

  3. Per CDA / EDOS - provisioning basato sull'indirizzo MAC. Utilizzato dai dispositivi (telefoni MPP, ATA e ATA SPA) con firmware più recente.

  4. Quando un telefono si connette a una rete per la prima volta o dopo un ripristino delle impostazioni di fabbrica, senza le opzioni DHCP impostate, contatta un server di attivazione del dispositivo per il provisioning zero touch. I nuovi telefoni utilizzano "activate.cisco.com" anziché "webapps.cisco.com" per il provisioning. I telefoni con firmware rilasciato prima della 11.2(1) continuano a utilizzare "webapps.cisco.com". Si consiglia di consentire tutte queste subnet IP.

Configurazione applicazioneApplicazioni Webex CallingTemporaneoTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Utilizzato per l'autenticazione Idbroker, i servizi di configurazione dell'applicazione per i client, l'accesso Web basato su browser per l'accesso alle interfacce Amministrative E di self-care.
Sincronizzazione orario dispositivo (NTP)Webex Calling dispositivi51494UDPFai riferimento a Subnet IP per i servizi Webex Calling.123Questi indirizzi IP sono necessari per la sincronizzazione dell'orario per i dispositivi (telefoni MPP, ATA e ATA SPA)
Risoluzione nome dispositivo e risoluzione nome applicazioneWebex Calling dispositiviTemporaneoUDP e TCPDefinito dall'host53

Utilizzato per le ricerche DNS per rilevare gli indirizzi IP dei servizi Webex Calling nel cloud.

Anche se le tipiche ricerche DNS vengono effettuate su UDP, alcune potrebbero richiedere il protocollo TCP, se le risposte alla query non riescono a inserirle nei pacchetti UDP.
Sincronizzazione orario applicazioneApplicazioni Webex Calling123UpdDefinito dall'host123
CScanStrumento di pre-qualifica della preparazione della rete basato su Web per Webex CallingTemporaneoUpdFai riferimento a Subnet IP per i servizi Webex Calling.19569—19760Strumento di prequalifica della preparazione della rete basato su Web per Webex Calling. Vai a cscan.webex.com per ulteriori informazioni.
Tabella 6. Servizi aggiuntivi Webex Calling e Webex Aware (di terze parti)
Scopo connessione:Indirizzi di originePorte di origineProtocolloIndirizzi di destinazionePorte di destinazioneNote
Notifiche push servizi APNS e FCMApplicazioni Webex CallingTemporaneoTCP

Fare riferimento alle subnet IP menzionate nei collegamenti

Servizio di notifica push Apple (APNS)

Messaggistica cloud Google-Firebase (FCM)

443, 2197, 5228, 5229, 5230, 5223Notifiche ad app Webex su dispositivi mobili (esempio: Quando si riceve un nuovo messaggio o si risponde a una chiamata)
  • *L’intervallo di porte multimediali CUBE è configurabile con l’intervallo di porte rtp.
  • Se è configurato un indirizzo del server proxy per le app e i dispositivi, il traffico di segnalazione viene inviato al proxy. Il flusso multimediale SRTP trasportato su UDP non viene inviato al server proxy. Deve invece fluire direttamente sul firewall.
  • Se si utilizzano i servizi NTP e DNS all'interno della rete aziendale, aprire le porte 53 e 123 attraverso il firewall.