Riferimento rapido delle porte e degli intervalli IP delle riunioni

I seguenti intervalli IP vengono utilizzati dai siti distribuiti sul cluster riunioni FedRAMP. Per questo documento, questi intervalli sono denominati "intervalli IP Webex":

  • 150.253.150.0/23 (da 150.253.150.0 a 150.253.151.255)
  • 144.196.224.0/21 (da 144.196.224.0 a 144.196.231.255)
  • 23.89.18.0/23 (da 23.89.18.0 a 23.89.19.255)
  • 163.129.16.0/21 (da 163.129.16.0 a 163.129.23.255)
  • 170.72.254.0/24 (da 170.72.254.0 a 170.72.254.255)
  • 170.133.156.0/22 (da 170.133.156.0 a 170.133.159.255)
  • 207.182.160.0/21 (da 207.182.160.0 a 207.182.167.255)
  • 207.182.168.0/23 (da 207.182.168.0 a 207.182.169.255)
  • 207.182.176.0/22 (da 207.182.176.0 a 207.182.179.255)
  • 207.182.190.0/23 (da 207.182.190.0 a 207.182.191.255)
  • 216.151.130.0/24 (da 216.151.130.0 a 216.151.130.255)
  • 216.151.134.0/24 (da 216.151.134.0 a 216.151.134.255)
  • 216.151.135.0/25 (da 216.151.135.0 a 216.151.135.127)
  • 216.151.135.240/28 (da 216.151.135.240 a 216.151.135.255)
  • 216.151.138.0/24 (da 216.151.138.0 a 216.151.138.255)
  • 216.151.139.0/25 (da 216.151.139.0 a 216.151.139.127)
  • 216.151.139.240/28 (da 216.151.139.241 a 216.151.139.254)

Servizi distribuiti

I servizi distribuiti su questo intervallo IP includono, ma non sono limitati a, quanto segue:

  • Sito Web della riunione (ad esempio, customersite.webex.com)
  • Server dati riunione
  • Server multimediali per audio computer (VoIP) e video webcam
  • Servizi XML/API, inclusa la pianificazione degli Strumenti di produttività
  • Server di registrazione basata su rete (NBR)
  • Servizi secondari quando i servizi primari sono in manutenzione o stanno riscontrando difficoltà tecniche

I seguenti URI vengono utilizzati per controllare l'elenco di revoca dei certificati per i nostri certificati di sicurezza. Gli elenchi di revoca dei certificati per garantire che nessun certificato compromesso possa essere utilizzato per intercettare il traffico Webex sicuro. Questo traffico si verifica sulla porta TCP 80:

  • *.quovadisglobal.com.
  • *.digicert.com
  • *.identrust.com (certificati IdenTrust)

 

I seguenti UserAgent verranno trasmessi da Webex tramite il processo utiltp in Webex e devono essere consentiti attraverso il firewall di un'agenzia:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping come parte degli URL consentiti. Viene utilizzato come parte del processo di attivazione del dispositivo, e "il dispositivo lo utilizza prima di sapere che è un dispositivo FedRAMP. Il dispositivo invia un codice di attivazione senza informazioni FedRAMP, il servizio vede che si tratta di un codice di attivazione FedRAMP, quindi li reindirizza."

Tutto il traffico FedRAMP richiede la crittografia TLS 1.2 e la crittografia mTLS 1.2 per i dispositivi registrati SIP locali.

Porte utilizzate dai client Webex Meetings (inclusi i dispositivi registrati sul cloud)

ProtocolNumeri porta/eDirezioneTipo di trafficoIntervallo IPCommenti
TCP80/443In uscita verso WebexHTTP, HTTPSWebex e AWS (non consigliato per filtrare in base all'IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (viene utilizzato per servire contenuti statici e file)
  • *.wbx2.com

Webex consiglia il filtraggio tramite URL. SE si Filtra per indirizzo IP, è necessario consentire intervalli IP AWS GovCloud, Cloudfront e Webex.

TCP/UDP53In uscita al DNS localeDNS (Domain Name Services)Solo server DNSUtilizzato per le ricerche DNS per individuare gli indirizzi IP dei server Webex nel cloud. Sebbene le tipiche ricerche DNS vengano effettuate su UDP, alcune possono richiedere il protocollo TCP, se le risposte alla query non riescono a rientrare nei pacchetti UDP.
UCCHIARE9000, 5004In uscita verso WebexContenuto multimediale client Webex principale (RTP VoIP e video)WebexLa porta multimediale del client Webex viene utilizzata per audio del computer, video della webcam e streaming di condivisione del contenuto. L'apertura di questa porta è necessaria per garantire la migliore esperienza multimediale possibile.
TCP5004, 443, 80In uscita verso WebexContenuto multimediale client Webex alternativo (RTP VoIP e video)WebexPorte di fall-back per la connettività multimediale quando la porta UDP 9000 non è aperta nel firewall
UDP/TCP

Audio: da 52000 a 52049

Video: da 52100 a 52199

In ingresso alla reteContenuto multimediale client Webex (Voip e video)Ritorno da AWS e Webex

Webex comunica con la porta di destinazione ricevuta quando il client esegue la connessione. È necessario configurare un firewall attraverso il quale devono passare queste connessioni di ritorno.


 
Questa opzione è abilitata per impostazione predefinita.
TCP/UDPPorte temporanee specifiche per OSIn ingresso alla reteTraffico di ritorno da WebexRitorno da AWS e Webex

Webex comunica con la porta di destinazione ricevuta quando il client esegue la connessione. È necessario configurare un firewall attraverso il quale devono passare queste connessioni di ritorno.


 
Questo viene solitamente aperto automaticamente in un firewall stateful, comunque è elencato qui per completezza.

Per i clienti che abilitano Webex per il Settore pubblico e che non possono consentire il filtraggio basato su URL per HTTPS, sarà necessario consentire la connettività con AWS Gov Cloud West (regione: us‐gov‐west‐1) e sul fronte cloud (assistenza: FRONTE MANTELLO). Esaminare la documentazione AWS per identificare gli intervalli IP per la regione AWS Gov Cloud West e AWS Cloud Front. La documentazione AWS è disponibile su https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex consiglia vivamente di filtrare tramite URL quando possibile.

Cloudfront è utilizzato per contenuti statici forniti tramite la rete di consegna dei contenuti per offrire ai clienti le migliori prestazioni in tutto il paese.

Porte utilizzate da dispositivi di collaborazione video Cisco registrati in locale

Vedere anche la Guida alla distribuzione Enterprise di Cisco Webex Meetings per le riunioni abilitate per dispositivi video

ProtocolNumeri di portaDirezioneTipo di accessoIntervallo IPCommenti
TCP5061—5070In uscita verso WebexSegnale SIPWebexIl dispositivo periferico multimediale Webex è in ascolto su queste porte
TCP5061, 5065In ingresso alla reteSegnale SIPWebexTraffico segnali SIP in entrata dal cloud Webex
TCP5061In uscita verso WebexSegnalazione SIP dai dispositivi registrati su cloudAWSChiamate in entrata da Webex App 1:1 Calling e dispositivi registrati su cloud al tuo URI SIP registrato in locale. *5061 è la porta predefinita. Webex supporta porte 5061—5070 che devono essere utilizzate dai clienti come definito nel record SIP SRV
TCP/UDP1719, 1720, 15000—19999In uscita verso WebexH.323 LSWebexSe l'endpoint richiede la comunicazione gatekeeper, aprire anche la porta 1719, che include Lifesize
TCP/UDPPorte effimere, 36000—59999In entrataPorte multimedialiWebexSe stai utilizzando Cisco Expressway, devi impostare l'intervallo di porte multimediali su 36000-59999. Se si utilizza un endpoint o un controllo chiamate di terze parti, è necessario configurarli per l'uso di questo intervallo.
TCP443In entrataProssimità dispositivo localeRete localeL'app Webex o l'app desktop Webex devono disporre di un percorso di indirizzamento IPv4 tra se stessa e il dispositivo video utilizzando HTTPS

Per i clienti che abilitano Webex per il Settore pubblico e che ricevono chiamate in entrata da dispositivi registrati su Webex App 1:1 Calling e Cloud sul tuo URI SIP registrato locale. È inoltre necessario consentire la connettività con AWS Gov Cloud West (regione: us‐gov‐west‐1). Esaminare la documentazione AWS per identificare gli intervalli IP per la regione West di AWS Gov Cloud. La documentazione AWS è disponibile su https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Porte utilizzate da Edge Audio

Questa operazione è necessaria solo se si utilizza Edge Audio.

ProtocolNumeri di portaDirezioneTipo di accessoIntervallo IPCommenti
TCP5061—5062In ingresso alla reteSegnale SIPWebexSegnalazione SIP in entrata per Edge Audio
TCP5061—5065In uscita verso WebexSegnale SIPWebexSegnalazione SIP in uscita per Edge Audio
TCP/UDPPorte effimere, 8000—59999In ingresso alla retePorte multimedialiWebexSu un firewall aziendale, è necessario aprire le porte per il traffico in ingresso a Expressway con un intervallo di porte da 8000 a 59999

Configurare mTLS utilizzando le seguenti opzioni:

Domini e URL per i servizi Webex Calling

Un * mostrato all'inizio di un URL (ad esempio, *.webex.com) indica che i servizi nel dominio di livello superiore e tutti i sottodomini devono essere accessibili.

Tabella 3. Servizi Webex
Dominio/URLDescrizioneApp e dispositivi Webex che utilizzano questi domini/URL

*.webex.com

*.cisco.com

*.webexgov.us

Servizi di base Webex Calling e Webex Aware

provisioning del dispositivo

Storage identità

Autenticazione

Servizi OAuth

inserimento nuovo dispositivo

Quando un telefono si collega a una rete per la prima volta o dopo un ripristino impostazioni di fabbrica senza opzioni DHCP impostate, contatta un server di attivazione del dispositivo per il provisioning zero touch. I nuovi telefoni utilizzano active.cisco.com e i telefoni con release del firmware precedenti alla 11.2(1) continuano a utilizzare webapps.cisco.com per il provisioning.

Scaricare il firmware del dispositivo e gli aggiornamenti delle impostazioni internazionali da binari.webex.com .

Tutti
*.wbx2.com e *.ciscospark.comUtilizzata per consapevolezza cloud, CSDM, WDM, mercurio e così via. Questi servizi sono necessari affinché le app e i dispositivi possano contattare i servizi Webex Calling e Webex Aware durante e dopo l'onboarding.Tutti
*.webexapis.com

Microservizi Webex che gestiscono applicazioni e dispositivi.

Servizio di immagine del profilo

Servizio di lavagna

Servizio di prossimità

Servizio di presenza

Iscrizione richiesta

Servizio calendario

Cerca dispositivo

Tutti
*.webexconnect.com

Servizio di messaggistica Webex correlato allo storage generale di file, che include:

Linee utenti

File transcodificati

Immagini

Screenshot

Comandi per la lavagna

Registri client e dispositivi

Immagini di profilo

Loghi di branding

Casella file

File di esportazione CSV in blocco e file di importazione (Control Hub)

Servizi di messaggistica dell'app Webex.

 
Storage di file mediante webexcontent.com sostituito da clouddrive.com a ottobre 2019
Tabella 4. Servizi aggiuntivi correlati a Webex (domini di terze parti)
Dominio/URLDescrizioneApp e dispositivi Webex che utilizzano questi domini/URL

*.appdynamics.com

*.eum-appdynamics.com

Monitoraggio delle prestazioni, acquisizione di errori e arresto anomalo, metriche di sessione.Control Hub
*.huron-dev.comMicro servizi Webex Calling come servizi di attivazione/disattivazione, ordinazione di numeri di telefono e servizi di assegnazione.Control Hub
*.sipflash.comServizio gestione dispositivo Aggiornamenti del firmware e operazioni di onboarding sicure.App Webex

*.google.com

*.googleapis.com

Notifiche alle app Webex su dispositivi mobili (esempio: nuovo messaggio, quando si risponde alla chiamata)

Per le subnet IP , fare riferimento a questi collegamenti

Servizio Google Firebase Cloud messaggistica (FCM).

Servizio di notifica push Apple (APNS)

App Webex

Subnet IP per i servizi Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Porte utilizzate da Webex Calling

Tabella 5. Servizi Webex Calling e Webex Aware
Scopo connessione:Indirizzi di originePorte di origineProtocolIndirizzi di destinazionePorte di destinazioneNote
Segnali di chiamata a Webex Calling (SIP TLS)Gateway locale esterno (NIC)8000—65535TCPFai riferimento a Subnet IP per i servizi Webex Calling.5062, 8934

Questi IP/porte sono necessari per i segnali di chiamata SIP-TLS in uscita da gateway locali, dispositivi e applicazioni (origine) Webex Calling cloud (destinazione).

Porta 5062 (richiesta per trunk basato su certificato). E la porta 8934 (richiesta per il trunk basato su registrazione

Dispositivi5060—50808934
ApplicazioniTemporaneo (dipendente dal sistema operativo)
Contenuto multimediale chiamata a Webex Calling (SRTP)NIC esterna al gateway locale8000—48198*UDPFai riferimento a Subnet IP per i servizi Webex Calling.

8500—8700,19560—65535 (SRTP su UDP)

L'ottimizzazione multimediale basata su STUN, ICE-Lite non è supportata per Webex for Government.

Questi IP/porte sono necessari per il contenuto multimediale delle chiamate SRTP in uscita da gateway locali, dispositivi e applicazioni (origine) al cloud Webex Calling (destinazione).

Per alcune topologie di rete in cui vengono utilizzati firewall all'interno di una sede del cliente, consentire l'accesso per gli intervalli di porte di origine e di destinazione menzionati all'interno della rete affinché il contenuto multimediale possa passare.

Esempio: Per le applicazioni, consentire l'intervallo di porte di origine e di destinazione da 8500 a 8700.

Dispositivi19560—19660
ApplicazioniDA 8500 A 8700
Segnali di chiamata al gateway PSTN (SIP TLS)NIC interna al gateway locale8000—65535TCPLa tua PSTN ITSP GW o Unified CMDipende dall'opzione PSTN (ad esempio, solitamente 5060 o 5061 per Unified CM)
Contenuto multimediale di chiamata al gateway PSTN (SRTP)NIC interna al gateway locale8000—48198*UDPLa tua PSTN ITSP GW o Unified CMDipende dall'opzione PSTN (ad esempio, in genere 5060 o 5061 per Unified CM)
Configurazione del dispositivo e gestione del firmware (dispositivi Cisco)Dispositivi Webex CallingTemporaneoTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443,6970

Obbligatorio per i seguenti motivi:

  1. Migrazione dai telefoni Enterprise (Cisco Unified CM) a Webex Calling. Vedere aggiornamento.cisco.com per ulteriori informazioni. cloudupgrader.webex.com utilizza le porte: 6970.443 per il processo di migrazione del firmware.

  2. Questi IP sono necessari per il onboarding sicuro di dispositivi (MPP e telefoni da sala o da scrivania) utilizzando il codice di attivazione a 16 cifre (GDS).

  3. Per CDA/EDOS - provisioning basato su indirizzo MAC. Utilizzato dai dispositivi (telefoni MPP, ATA e ATA SPA) con firmware più recente.

  4. Quando un telefono si collega a una rete per la prima volta o dopo un ripristino impostazioni di fabbrica, senza le opzioni DHCP impostate, contatta un server di attivazione del dispositivo per il provisioning zero touch. I nuovi telefoni utilizzano "activate.cisco.com" anziché "webapps.cisco.com" per il provisioning. I telefoni con release del firmware precedenti alla 11.2(1) continuano a utilizzare "webapps.cisco.com". Si consiglia di consentire tutte queste subnet IP .

Configurazione applicazioneApplicazioni Webex CallingTemporaneoTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Utilizzato per l'autenticazione Idbroker, i servizi di configurazione dell'applicazione per i client, accesso Web basato su browser per l'autoassistenza E l'accesso alle interfacce di amministrazione.
Sincronizzazione orario dispositivo (NTP)Dispositivi Webex Calling51494UDPFai riferimento a Subnet IP per i servizi Webex Calling.123Questi indirizzi IP sono necessari per la sincronizzazione dell'orario per i dispositivi (telefoni MPP, ATA e ATA SPA)
Risoluzione nome dispositivo e risoluzione nome applicazioneDispositivi Webex CallingTemporaneoUDP e TCPDefinito dall'host53

Utilizzato per le ricerche DNS per individuare gli indirizzi IP dei server Webex nel cloud.

Sebbene le tipiche ricerche DNS vengano effettuate su UDP, alcune possono richiedere il protocollo TCP, se le risposte alla query non riescono a rientrare nei pacchetti UDP.
Sincronizzazione orario applicazioneApplicazioni Webex Calling123UPDDefinito dall'host123
CScanStrumento di pre-qualificazione della preparazione della rete basato su Web per Webex CallingTemporaneoUPDFai riferimento a Subnet IP per i servizi Webex Calling.19569—19760Strumento di prequalificazione rete basato su Web per Webex Calling. Vai a cscan.webex.com per ulteriori informazioni.
Tabella 6. Servizi aggiuntivi Webex Calling e Webex Aware (di terze parti)
Scopo connessione:Indirizzi di originePorte di origineProtocolIndirizzi di destinazionePorte di destinazioneNote
Servizi APNS e FCM di notifiche pushApplicazioni Webex CallingTemporaneoTCP

Fare riferimento a Sottoreti IP menzionate sotto i collegamenti

Servizio di notifica push Apple (APNS)

Google-Firebase Cloud messaggistica (FCM)

443, 2197, 5228, 5229, 5230, 5223Notifiche alle app Webex su dispositivi mobili (esempio: quando si riceve un nuovo messaggio o quando si risponde a una chiamata)

 
  • † L'intervallo di porte multimediali CUBE è configurabile con rtp-port range.
  • Se è configurato un indirizzo del server proxy per le app e i dispositivi, il traffico di segnalazione viene inviato al proxy. Il supporto SRTP trasportato su UDP non viene inviato al server proxy. Deve invece passare direttamente al firewall.
  • Se si utilizzano servizi NTP e DNS all'interno della rete aziendale, aprire le porte 53 e 123 attraverso il firewall.