Porte e intervalli IP per le riunioni: riferimento rapido

I seguenti intervalli IP sono utilizzati dai siti distribuiti sul cluster di riunioni FedRAMP. Nel presente documento, questi intervalli vengono denominati "intervalli IP Webex":

  • 150.253.150.0/23 (da 150.253.150.0 a 150.253.151.255)
  • 144.196.224.0/21 (da 144.196.224.0 a 144.196.231.255)
  • 23.89.18.0/23 (da 23.89.18.0 a 23.89.19.255)
  • 163.129.16.0/21 (da 163.129.16.0 a 163.129.23.255)
  • 170.72.254.0/24 (da 170.72.254.0 a 170.72.254.255)
  • Da 170.133.156.0/22 (da 170.133.156.0 a 170.133.159.255)
  • Da 207.182.160.0/21 (da 207.182.160.0 a 207.182.167.255)
  • 207.182.168.0/23 (da 207.182.168.0 a 207.182.169.255)
  • Da 207.182.176.0/22 (da 207.182.176.0 a 207.182.179.255)
  • 207.182.190.0/23 (da 207.182.190.0 a 207.182.191.255)
  • Da 216.151.130.0/24 (da 216.151.130.0 a 216.151.130.255)
  • Da 216.151.134.0/24 (da 216.151.134.0 a 216.151.134.255)
  • Da 216.151.135.0/25 (da 216.151.135.0 a 216.151.135.127)
  • 216.151.135.240/28 (da 216.151.135.240 a 216.151.135.255)
  • Da 216.151.138.0/24 (da 216.151.138.0 a 216.151.138.255)
  • Da 216.151.139.0/25 (da 216.151.139.0 a 216.151.139.127)
  • 216.151.139.240/28 (da 216.151.139.241 a 216.151.139.254)

Servizi distribuiti

I servizi distribuiti su questo intervallo IP includono, ma non sono limitati a, quanto segue:

  • Il sito web della riunione (ad esempio, customersite.webex.com)
  • Server dati riunione
  • Server multimediali per video audio (VoIP) e webcam del computer
  • XML/API servizi, inclusa la pianificazione degli Strumenti di produttività
  • Server di registrazione basata su rete (NBR)
  • Servizi secondari durante la manutenzione dei servizi primari o quando riscontrano difficoltà tecniche

I seguenti URI vengono utilizzati per controllare l'elenco di revoca dei certificati per i certificati di sicurezza. Gli elenchi di revoca dei certificati per garantire che nessun certificato compromesso possa essere utilizzato per intercettare il traffico Webex sicuro. Questo traffico si verifica sulla porta TCP 80:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (certificati IdenTrust)

I seguenti UserAgent verranno trasmessi da Webex tramite il processo utiltp in Webex e dovranno essere autorizzati tramite il firewall di un'agenzia:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping come parte degli URL consentiti. Viene utilizzato come parte del processo di attivazione del dispositivo e "il dispositivo lo utilizza prima di sapere che si tratta di un dispositivo FedRAMP. Il dispositivo invia un codice di attivazione senza informazioni FedRAMP, il servizio riconosce che si tratta di un codice di attivazione FedRAMP e quindi reindirizza il dispositivo.

Tutto il traffico FedRAMP richiede la crittografia TLS 1.2 e la crittografia mTLS 1.2 per i dispositivi SIP registrati in sede.

Porte utilizzate dai client Webex Meetings (inclusi i dispositivi registrati sul cloud)

ProtocolloNumeri porteDirezioneTipo di trafficoIntervallo IPCommenti
TCP80/443In uscita verso WebexHTTP, HTTPSWebex e RESOD (non consigliato per filtrare per IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Questo viene utilizzato per servire contenuti e file statici)
  • *.wbx2.com

Webex consiglia di filtrare per URL. Se si filtra per indirizzo IP, è necessario consentire gli intervalli IP di AWS GovCloud, Cloudfront e Webex.

TCP/UDP53In uscita verso DNS localeDNS (Domain Name Services)Solo server DNSUtilizzato per le ricerche DNS per individuare gli indirizzi IP dei server Webex nel cloud. Sebbene le tipiche ricerche DNS vengano effettuate su UDP, alcune possono richiedere il protocollo TCP, se le risposte alla query non riescono a rientrare nei pacchetti UDP.
UDP9000, 5004In uscita verso WebexContenuto multimediale client Webex principale (RTP VoIP e video)WebexLa porta multimediale del client Webex viene utilizzata per scambiare audio del computer, video della webcam condivisione contenuto streaming. L'apertura di questa porta è necessaria per garantire la migliore esperienza multimediale possibile.
TCP5004, 443, 80In uscita verso WebexContenuto multimediale client Webex alternativo (RTP VoIP e video)WebexPorte di fall-back per la connettività multimediale quando la porta UDP 9000 non è aperta nel firewall
UDP/TCP

Audio: Da 52000 a 52049

Video: Da 52100 a 52199

In entrata nella tua reteWebex Client Media (VoIP e Video)Torna daRE E Webex

Webex comunica con la porta di destinazione ricevuta quando il client esegue la connessione. È necessario configurare un firewall attraverso il quale devono passare queste connessioni di ritorno.

Questa opzione è abilitata per impostazione predefinita.
TCP/UDPPorte ephemerali specifiche del sistema operativoIn entrata nella tua reteTraffico di ritorno da WebexTorna daRE E Webex

Webex comunica con la porta di destinazione ricevuta quando il client esegue la connessione. È necessario configurare un firewall attraverso il quale devono passare queste connessioni di ritorno.

Di solito questo viene aperto automaticamente in un firewall con stato, ma per completezza è elencato qui.

Per i clienti che abilitano Webex for Government e che non possono consentire il filtraggio basato su URL per HTTPS, sarà necessario consentire la connettività con AWS Gov Cloud West (regione: us‐gov‐west‐1) e Cloud Front (servizio: CLOUDFRONT). Esaminare la documentazione MSDN per identificare gli intervalli di indirizzi IP per la regione WEST CLOUD GOV e IL FRONT CLOUD DISPONIBILI. La documentazione AWS è disponibile all'indirizzo https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex consiglia vivamente di filtrare in base all'URL, quando possibile.

Cloudfront viene utilizzato per contenuto statico fornito tramite la rete di distribuzione di contenuti per fornire ai clienti le ma migliori prestazioni in tutto il paese.

Porte utilizzate dai dispositivi di collaborazione video Cisco registrati in sede

Vedere anche la Guida alla distribuzione aziendale di Cisco Webex Meetings per riunioni abilitate per dispositivi video

ProtocolloNumeri di portaDirezioneTipo di accessoIntervallo IPCommenti
TCP5061—5070In uscita verso WebexSegnale SIPWebexIl edge multimediale Webex è in ascolto su queste porte
TCP5061, 5065In ingresso alla reteSegnale SIPWebexTraffico dei segnali SIP in entrata dal cloud Webex
TCP5061In uscita verso WebexSegnale SIP dai dispositivi registrati su cloudAwsChiamate in entrata dall'app Webex 1:1 Chiamata e dispositivi registrati nel cloud al tuo URI SIP registrato in sede. *5061 è la porta predefinita. Webex supporta le porte 5061-5070 da utilizzare da parte dei clienti come definito nel loro record SIP SRV
TCP/UDP1719, 1720, 15000—19999In uscita verso WebexH.323 LSWebexSe il tuo endpoint richiede la comunicazione gatekeeper, apri anche la porta 1719, che include Lifesize
TCP/UDPPorti effimeri, 36000—59999In entrataPorte multimedialiWebexSe si sta utilizzando una Cisco Expressway, è necessario impostare l'intervallo di porte multimediali su 36000-59999. Se si utilizza un endpoint di terze parti o un controllo delle chiamate, è necessario configurarli per utilizzare questo intervallo.
TCP443In entrataProssimità dispositivo localeRete localeL'app Webex o l'app desktop Webex deve disporre di un percorso instradabile IPv4 tra sé stessa e il dispositivo video tramite HTTPS

Per i clienti che abilitano Webex per le chiamate in entrata dalle app Webex Calling 1:1 e dai dispositivi registrati su cloud nell'URI SIP registrato in locale. È necessario anche consentire la connettività con RES GOV Cloud West (regione: us=gov=west=1). Consultare la documentazione AWS per identificare gli intervalli IP per la regione AWS Gov Cloud West. La documentazione MSDN è disponibile all'indirizzo https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Porte utilizzate da Edge Audio

Questa operazione è necessaria solo se si utilizza Edge Audio.

ProtocolloNumeri di portaDirezioneTipo di accessoIntervallo IPCommenti
TCP5061—5062In ingresso alla reteSegnale SIPWebexSegnalazione SIP in ingresso per Edge Audio
TCP5061—5065In uscita verso WebexSegnale SIPWebexSegnalazione SIP in uscita per Edge Audio
TCP/UDPPorti effimeri, 8000—59999In ingresso alla retePorte multimedialiWebexSu un firewall aziendale, le porte devono essere aperte per il traffico in entrata verso Expressway con un intervallo di porte da 8000 a 59999

Configurare mTLS utilizzando le seguenti opzioni:

Domini e URL per i servizi Webex Calling

UN * mostrato all'inizio di un URL (ad esempio, *.webex.com) indica che i servizi nel dominio di primo livello e in tutti i sottodomini sono accessibili.

Tabella 2. Servizi Webex
Domain/URLDescrizioneApp e dispositivi Webex che li utilizzano domains/URLs

*.webex.com

*.cisco.com

*.webexgov.us

Chiamate Webex di base & Servizi Webex Aware

Provisioning dell'identità

Archiviazione dell'identità

Autenticazione

Servizi OAuth

Onboarding dispositivo

Quando un telefono si connette a una rete per la prima volta o dopo un ripristino delle impostazioni di fabbrica senza impostare opzioni DHCP, contatta un server di attivazione del dispositivo per il provisioning zero touch. I nuovi telefoni utilizzano activate.cisco.com e i telefoni con versione firmware precedente alla 11.2(1) continuano a utilizzare webapps.cisco.com per il provisioning.

Scarica il firmware del dispositivo e gli aggiornamenti locali da binaries.webex.com.

Tutti
*.wbx2.com e *.ciscospark.comUtilizzato per la consapevolezza del cloud, CSDM, WDM, Mercury e così via. Questi servizi sono necessari affinché le app e i dispositivi possano raggiungere Webex Calling & Servizi Webex Aware durante e dopo l'onboarding.Tutti
*.webexapis.com

Microservizi Webex che gestiscono le tue applicazioni e i tuoi dispositivi.

Servizio di foto del profilo

Servizio di lavagna

Servizio di prossimità

Servizio di presenza

Servizio di registrazione

Servizio di calendario

Servizio di ricerca

Tutti
*.webexcontent.com

Servizio di messaggistica Webex correlato all'archiviazione generale dei file, tra cui:

File utente

File transcodificati

Immagini

Schermate

Contenuto della lavagna

Cliente & registri dei dispositivi

Immagini di profilo

Loghi di branding

File di registro

File di esportazione CSV in blocco & importare file (Control Hub)

Servizi di messaggistica dell'app Webex.
L'archiviazione dei file tramite webexcontent.com è stata sostituita da clouddrive.com nell'ottobre 2019
Tabella 4. Servizi aggiuntivi correlati a Webex (domini di terze parti)
Domain/URLDescrizioneApp e dispositivi Webex che li utilizzano domains/URLs

*.appdynamics.com

*.eum-appdynamics.com

Monitoraggio delle prestazioni, acquisizione di errori e arresto anomalo, metriche di sessione.Control Hub
*.huron-dev.comMicro servizi Webex Calling come servizi di attivazione/disattivazione, ordinazione di numeri di telefono e servizi di assegnazione.Control Hub
*.sipflash.comServizi di gestione dei dispositivi. Aggiornamenti del firmware e scopi di onboarding sicuro.App Webex

*.google.com

*.googleapis.com

Notifiche alle app Webex sui dispositivi mobili (esempio: nuovo messaggio, quando si risponde alla chiamata)

Per le subnet IP, fare riferimento a questi collegamenti

Servizio Google Firebase Cloud Messaging (FCM)

Servizio di notifica push di Apple (APNS)

App Webex

Subnet IP per i servizi Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24
  • 144.196.17.0/24

Porte utilizzate da Webex Calling

Tabella 5. Servizi Webex Calling e Webex Aware
Scopo connessione:Indirizzi di originePorte di origineProtocolloIndirizzi di destinazionePorte di destinazioneNote
Segnalazione chiamata a Webex Calling (TLS SIP)Gateway locale esterno (NIC)8000—65535TCPFai riferimento a Subnet IP per i servizi Webex Calling.5062, 8934

Questi IP/porte sono necessari per i segnali di chiamata SIP-TLS in uscita da gateway locali, dispositivi e applicazioni (origine) Webex Calling cloud (destinazione).

Porta 5062 (obbligatoria per il trunk basato su certificato). E porta 8934 (necessaria per il trunk basato sulla registrazione

Dispositivi5060—50808934
ApplicazioniTemporaneo (dipendente dal sistema operativo)
Chiama il supporto per Webex Calling (SRTP)NIC esterna gateway locale8000—48198*UDPFai riferimento a Subnet IP per i servizi Webex Calling.

8500—8700,19560—65535 (SRTP su UDP)

L'ottimizzazione multimediale basata su STUN e ICE-Lite non è supportata per Webex for Government.

Questi IPs/ports vengono utilizzati per i media delle chiamate SRTP in uscita da gateway locali, dispositivi e applicazioni (origine) a Webex Calling Cloud (destinazione).

Per alcune topologie di rete in cui vengono utilizzati firewall all'interno dei locali del cliente, consentire l'accesso agli intervalli di porte di origine e destinazione menzionati all'interno della rete per il flusso dei media.

Esempio: Per le applicazioni, consentire l'intervallo di porte di origine e di destinazione compreso tra 8500 e 8700.

Dispositivi19560—19660
Applicazioni8500—8700
Segnali di chiamata al gateway PSTN (SIP TLS)NIC interna al gateway locale8000—65535TCPLa tua PSTN ITSP GW o Unified CMDipende dall'opzione PSTN (ad esempio, solitamente 5060 o 5061 per Unified CM)
Contenuto multimediale di chiamata al gateway PSTN (SRTP)NIC interna al gateway locale8000—48198*UDPLa tua PSTN ITSP GW o Unified CMDipende dall'opzione PSTN (ad esempio, in genere 5060 o 5061 per Unified CM)
Configurazione del dispositivo e gestione del firmware (dispositivi Cisco)Webex Calling dispositiviTemporaneoTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Necessario per i seguenti motivi:

  1. Migrazione dai telefoni aziendali (Cisco Unified CM) a Webex Calling. Per ulteriori informazioni, vedere upgrade.cisco.com. cloudupgrader.webex.com utilizza le porte: 6970.443 per il processo di migrazione del firmware.

  2. Aggiornamenti del firmware e onboarding sicuro dei dispositivi (MPP e telefoni da camera o da scrivania) tramite il codice di attivazione a 16 cifre (GDS).

  3. Per CDA / EDOS - Provisioning basato sull'indirizzo MAC. Utilizzato dai dispositivi (telefoni MPP, ATA e ATA SPA) con firmware più recente.

  4. Quando un telefono si connette a una rete per la prima volta o dopo un ripristino delle impostazioni di fabbrica, senza che le opzioni DHCP siano impostate, contatta un server di attivazione del dispositivo per il provisioning zero touch. I nuovi telefoni utilizzano "activate.cisco.com" anziché "webapps.cisco.com" per il provisioning. I telefoni con firmware rilasciato prima della versione 11.2(1) continuano a utilizzare "webapps.cisco.com". Si consiglia di consentire tutte queste subnet IP.

Configurazione applicazioneApplicazioni Webex CallingTemporaneoTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Utilizzato per l'autenticazione Idbroker, i servizi di configurazione delle applicazioni per i clienti, l'accesso Web basato su browser per l'autogestione e l'accesso alle interfacce amministrative.
Sincronizzazione orario dispositivo (NTP)Webex Calling dispositivi51494UDPFai riferimento a Subnet IP per i servizi Webex Calling.123Questi indirizzi IP sono necessari per la sincronizzazione dell'orario per i dispositivi (telefoni MPP, ATA e ATA SPA)
Risoluzione dei nomi dei dispositivi e risoluzione dei nomi delle applicazioniWebex Calling dispositiviTemporaneoUDP e TCPDefinito dall'host53

Utilizzato per le ricerche DNS per scoprire gli indirizzi IP dei servizi Webex Calling nel cloud.

Anche se in genere le ricerche DNS vengono eseguite tramite UDP, alcune potrebbero richiedere TCP se le risposte alle query non riescono a rientrare nei pacchetti UDP.
Sincronizzazione orario applicazioneApplicazioni Webex Calling123UpdDefinito dall'host123
CScanStrumento di prequalificazione per la prontezza della rete basato sul Web per Webex CallingTemporaneoUpdFai riferimento a Subnet IP per i servizi Webex Calling.19569—19760Strumento di prequalificazione della rete basato sul Web per Webex Calling. Vai a cscan.webex.com per ulteriori informazioni.
Tabella 6. Servizi aggiuntivi Webex Calling e Webex Aware (di terze parti)
Scopo connessione:Indirizzi di originePorte di origineProtocolloIndirizzi di destinazionePorte di destinazioneNote
Notifiche push Servizi APNS e FCMApplicazioni Webex CallingTemporaneoTCP

Fare riferimento alle subnet IP menzionate nei link

Servizio di notifica push di Apple (APNS)

Google Firebase Cloud Messaging (FCM)

443, 2197, 5228, 5229, 5230, 5223Notifiche alle app Webex sui dispositivi mobili (esempio: Quando ricevi un nuovo messaggio o quando si risponde a una chiamata)
  • *L'intervallo di porte multimediali CUBE è configurabile con rtp-port range.
  • Se per le tue app e i tuoi dispositivi è configurato un indirizzo server proxy, il traffico di segnalazione viene inviato al proxy. Il supporto trasportato SRTP su UDP non viene inviato al server proxy. Deve invece fluire direttamente verso il firewall.
  • Se si utilizzano i servizi NTP e DNS all'interno della rete aziendale, aprire le porte 53 e 123 tramite il firewall.