Snelle referentie voor vergaderpoorten en IP-bereiken

De volgende IP-bereiken worden gebruikt door sites die zijn geïmplementeerd op de FedRAMP-vergaderingscluster. Voor dit document worden deze bereiken de 'Webex IP-bereiken' genoemd:

  • 150.253.150.0/23 (150.253.150.0 tot 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 tot 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 tot 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 tot 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 tot 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 tot 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 tot 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 tot 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 tot 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 tot 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 tot 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 tot 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 tot 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 tot 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 tot 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 tot 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 tot 216.151.139.254)

Geïmplementeerde services

Services die in dit IP-bereik zijn geïmplementeerd, omvatten, maar zijn niet beperkt tot, het volgende:

  • De vergaderingswebsite (bijv. customersite.webex.com)
  • Vergaderingsgegevensservers
  • Multimediaservers voor computeraudio (VoIP) en webcamvideo
  • XML/API-services, inclusief planning van Productiviteitstools
  • Netwerkopnameservers (NBR)
  • Secundaire diensten wanneer primaire diensten in onderhoud zijn of technische problemen ondervinden

De volgende URI's worden gebruikt om de 'Certificaatintrekkingslijst' voor onze beveiligingscertificaten te controleren. De certificaatintrekkingslijsten om ervoor te zorgen dat er geen gecompromitteerde certificaten kunnen worden gebruikt om beveiligd Webex-verkeer te onderscheppen. Dit verkeer vindt plaats op TCP-poort 80:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (IdenTrust-certificaten)

 

De volgende UserAgents worden door Webex doorgegeven via het utiltp-proces in Webex en moeten worden toegestaan via de firewall van een instantie:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=preagentDocShow
  • UserAgent=stand-by

https://activation.webex.com/api/v1/ping als onderdeel van de toegestane URL's. Het wordt gebruikt als onderdeel van het activeringsproces van het apparaat en "het apparaat gebruikt het voordat het weet dat het een FedRAMP-apparaat is. Het apparaat verzendt een activeringscode zonder FedRAMP-informatie. De service ziet dat het een FedRAMP-activeringscode is en stuurt deze vervolgens om."

Voor al het FedRAMP-verkeer is TLS 1.2-codering en mTLS 1.2-codering vereist voor op locatie geregistreerde SIP-apparaten.

Poorten die worden gebruikt door Webex Meetings-clients (inclusief in de cloud geregistreerde apparaten)

ProtocolPoortnummer(s)RichtingVerkeerstypeIP-bereikOpmerkingen
TCP80/443Uitgaand naar WebexHTTP, HTTPSWebex en AWS (niet aanbevolen om te filteren op IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Dit wordt gebruikt voor statische inhoud en bestanden)
  • *.wbx2.com

Webex raadt aan te filteren op URL. ALS u Filtert op IP-adres, moet u AWS GovCloud-, Cloudfront- en Webex-IP-bereiken toestaan.

TCP/UDP53Uitgaand naar lokale DNSDomeinnaamservices (DNS)Alleen DNS-serverWordt gebruikt voor DNS-zoekopdrachten om de IP-adressen van Webex-servers in de cloud te vinden. Hoewel DNS-zoekopdrachten normaal gesproken worden uitgevoerd via UDP, is het mogelijk dat sommige zoekopdrachten TCP vereisen als de antwoorden op de query niet in de UDP-pakketten passen.
UCP (AMERIKAANSE ONDERGRENS)9000, 5004Uitgaand naar WebexPrimaire Webex-clientmedia (VoIP en video-RTP)WebexDe mediapoort van de Webex-client wordt gebruikt voor het uitwisselen van streams waarbij computeraudio, webcamvideo en inhoud worden gedeeld. Het openen van deze poort is vereist om de best mogelijke media-ervaring te garanderen.
TCP5004, 443, 80Uitgaand naar WebexAlternatieve Webex-clientmedia (VoIP en video-RTP)WebexTerugvalpoorten voor mediaconnectiviteit wanneer de UDP-poort 9000 niet is geopend in de firewall
UDP/TCP

Audio: 52000 tot 52049

Video: 52100 tot 52199

Inkomend naar uw netwerkWebex-clientmedia (Voip en video)Terug van AWS en Webex

Webex communiceert met de ontvangen bestemmingspoort wanneer de client de verbinding maakt. Er moet een firewall zijn geconfigureerd om deze retourverbindingen toe te staan.


 
Dit is standaard ingeschakeld.
TCP/UDPTijdelijke poorten specifiek voor besturingssystemenInkomend naar uw netwerkVerkeer van Webex retournerenTerug van AWS en Webex

Webex communiceert met de ontvangen bestemmingspoort wanneer de client de verbinding maakt. Er moet een firewall zijn geconfigureerd om deze retourverbindingen toe te staan.


 
Dit wordt meestal automatisch geopend in een stateful firewall, maar het' hier vermeld voor de volledigheid.

Voor klanten die Webex for Government inschakelen en geen URL-gebaseerde filtering voor HTTPS kunnen toestaan, moet u verbinding met AWS Gov Cloud West toestaan (regio: us-gov-west-1) en Cloud Front (service: CLOUDFRONT). Raadpleeg de AWS-documentatie om de IP-bereiken voor de regio AWS Gov Cloud West en AWS Cloud Front te identificeren. AWS-documentatie is beschikbaar op https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex raadt sterk aan om indien mogelijk te filteren op URL.

Cloudfront wordt gebruikt voor statische inhoud die wordt geleverd via Content Delivery Network om klanten de beste prestaties in het hele land te bieden.

Poorten die worden gebruikt door op locatie geregistreerde Cisco-videosamenwerkingsapparaten

Zie ook de Cisco Webex Meetings Enterprise-implementatiehandleiding voor vergaderingen waarvoor videoapparaten zijn ingeschakeld

ProtocolPoortnummersRichtingToegangstypeIP-bereikOpmerkingen
TCP5061 - 5070Uitgaand naar WebexSIP-signaleringWebexDe Webex-media edge luistert naar deze poorten
TCP5061, 5065Inkomend naar uw netwerkSIP-signaleringWebexInkomend SIP-signaleringsverkeer vanuit de Webex-cloud
TCP5061Uitgaand naar WebexSIP-signalering van in de cloud geregistreerde apparatenAWSInkomende gesprekken van Webex-app 1:1 Calling en in de cloud geregistreerde apparaten naar uw op locatie geregistreerde SIP-URI. *5061 is de standaardpoort. Webex ondersteunt 5061-5070 poorten die door klanten moeten worden gebruikt zoals gedefinieerd in hun SIP SRV-record
TCP/UDP1719, 1720, 15000—19999Uitgaand naar WebexH.323 LSWebexAls uw eindpunt communicatie met de gatekeeper vereist, opent u ook poort 1719, die Lifesize bevat
TCP/UDPTijdelijke poorten, 36000—59999InkomendMediapoortenWebexAls u gebruikmaakt van een Cisco Expressway, moeten de mediabereiken worden ingesteld op 36000-59999. Als u gebruikmaakt van een extern eindpunt of gespreksbeheer, moeten deze worden geconfigureerd om dit bereik te gebruiken.
TCP443InkomendApparaatnabijheid op locatieLokaal netwerkDe Webex-app of Webex-bureaublad-app moet een IPv4-routepad hebben tussen zichzelf en het videoapparaat met HTTPS

Voor klanten die Webex for Government inschakelen en inkomende gesprekken ontvangen van Webex-app 1:1 Calling en in de cloud geregistreerde apparaten, naar uw op locatie geregistreerde SIP-URI. U moet ook verbinding met AWS Gov Cloud West toestaan (regio: us-gov-west-1). Raadpleeg de AWS-documentatie om de IP-bereiken voor de regio AWS Gov Cloud West te identificeren. De AWS-documentatie is beschikbaar op https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Poorten die worden gebruikt door Edge Audio

Dit is alleen vereist als u Edge Audio gebruikt.

ProtocolPoortnummersRichtingToegangstypeIP-bereikOpmerkingen
TCP5061 - 5062Inkomend naar uw netwerkSIP-signaleringWebexInkomende SIP-signalering voor Edge Audio
TCP5061 - 5065Uitgaand naar WebexSIP-signaleringWebexUitgaande SIP-signalering voor Edge Audio
TCP/UDPTijdelijke poorten, 8000—59999Inkomend naar uw netwerkMediapoortenWebexIn een bedrijfsfirewall moeten poorten worden geopend voor inkomend verkeer naar de Expressway met een poortbereik van 8000-59999

mTLS configureren met de volgende opties:

Domeinen en URL's voor Webex Calling-services

Een * aan het begin van een URL (bijvoorbeeld *.webex.com) geeft aan dat services in het hoofddomein en alle subdomeinen toegankelijk zijn.

Tabel 3. Webex-services
Domein/URLBeschrijvingWebex-apps en -apparaten die deze domeinen/URL's gebruiken

*.webex.com

*.cisco.com

*.webexgov.us

Kernservices voor Webex Calling en Webex Aware

Identiteitsinrichting

Identiteitsopslag

Verificatie

OAuth-services

Onboarding van apparaten

Wanneer een telefoon voor het eerst verbinding maakt met een netwerk of nadat de fabrieksinstellingen zonder dat DHCP -opties zijn ingesteld, wordt er contact opgenomen met een apparaatactiveringsserver voor zero-touch-inrichting. Nieuwe telefoons gebruiken active.cisco.com en telefoons met firmwareversie ouder dan 11.2(1), blijven webapps.cisco.com gebruiken voor inrichting.

Download de apparaatfirmware en landinstellingen van binaries.webex.com .

Alle
*.wbx2.com en *.ciscospark.comWordt gebruikt voor cloudbewustzijn, CSDM, WDM, mercury, enzovoort. Deze services zijn nodig om ervoor te zorgen dat de apps en apparaten contact kunnen opnemen met de Webex Calling Calling- en Webex Aware-services tijdens en na de onboarding.Alle
*.webexapis.com

Webex-microservices die uw toepassingen en apparaten beheren.

Service voor profielfoto

Whiteboardservice

Nabijheidsservice

Aanwezigheidsservice

Registratieservice

Agendaservice

Zoekservice

Alle
*.webexcontent.com

Webex Messaging-service met betrekking tot algemene bestandsopslag, waaronder:

Gebruikersbestanden

Getranscodeerde bestanden

Afbeeldingen

Schermafbeeldingen

Whiteboardinhoud

Client- en apparaatlogboeken

Profielfoto's

Brandinglogo's

Logbestanden

Bulk CSV -bestanden exporteren en bestanden importeren (Control Hub)

Berichtenservices voor de Webex-app.

 
Bestandsopslag met webexcontent.com vervangen door clouddrive.com in oktober 2019
Tabel 4. Aanvullende Webex-gerelateerde services (domeinen van derden)
Domein/URLBeschrijvingWebex-apps en -apparaten die deze domeinen/URL's gebruiken

*.appdynamics.com

*.eum-appdynamics.com

Prestaties bijhouden, fouten en crashes vastleggen, sessiestatistieken.Control Hub
*.huron-dev.comWebex Calling-microservices zoals services in-/uitschakelen, het bestellen van telefoonnummers en toewijzingsservices.Control Hub
*.sipflash.comApparaatbeheerservices. Firmware-upgrades en veilige onboarding-doeleinden.Webex-apps

*.google.com

*.googleapis.com

Meldingen aan Webex -apps op mobiele apparaten (voorbeeld: nieuw bericht, wanneer de oproep wordt beantwoord)

Raadpleeg deze koppelingen voor IP -subnetten:

Google Firebase Cloud Messaging-service (FCM)

Apple Pushmelding Service (APNS)

Webex-app

IP-subnetten voor Webex Calling-services

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Poorten die worden gebruikt door Webex Calling

Tabel 5. Webex Calling- en Webex Aware-services
VerbindingsdoelBronadressenBronpoortenProtocolBestemmingsadressenBestemmingspoortenNotities
Gesprekssignalering naar Webex Calling (SIP TLS)Externe lokale gateway (NIC)8000: 65535TCPRaadpleeg IP-subnetten voor Webex Calling-services.5062, 8934

Deze IPs/poorten zijn nodig voor uitgaande SIP-TLS-gesprekssignalering van lokale gateways, apparaten en toepassingen (bron) naar Webex Calling Cloud (bestemming).

Poort 5062 (vereist voor trunk op basis van certificaten). En poort 8934 (vereist voor trunk op basis van registratie

Apparaten5060 - 50808934
ToepassingenKortstondig (afhankelijk van besturingssysteem)
Gespreksmedia naar Webex Calling (STUN, SRTPExterne NIC voor lokale gateway8000—48198*UDPRaadpleeg IP-subnetten voor Webex Calling-services.

5004, 9000 (STUN-poorten)

8500—8700,19560—65535 (SRTP boven UDP)

Deze IP's/poorten worden gebruikt voor uitgaande SRTP -gespreksmedia van lokale gateways, apparaten en toepassingen (bron) naar Webex Calling Cloud (bestemming).

Voor Gesprekken binnen de organisatie waarbij STUN, ICE-onderhandeling succesvol is, wordt het mediaroute in de cloud verwijderd als communicatiepad. In dergelijke gevallen bevindt de mediaflow zich rechtstreeks tussen de Apps/apparaten van de gebruiker.

Bijvoorbeeld: Als mediaoptimalisatie succesvol is, verzenden toepassingen media rechtstreeks tussen elkaar op poortbereiken tussen 8500-9700 en verzenden apparaten media rechtstreeks naar elkaar op poortbereiken tussen 19560-19660.

Voor bepaalde netwerktopologieën waarbij firewalls worden gebruikt op locatie van een klant, moet u toegang verlenen tot de vermelde bron- en bestemmingspoortbereiken in uw netwerk zodat de media kunnen doorstromen.

Voorbeeld: Voor toepassingen kunt u het bron- en bestemmingspoortbereik 8500-8700 toestaan.

Apparaten19560 - 19660
Toepassingen8500: 8700
Gesprekssignalering naar PSTN-gateway (SIP TLS)Interne NIC voor lokale gateway8000: 65535TCPUw ITSP PSTN GW of Unified CMHangt af van PSTN-optie (bijvoorbeeld meestal 5060 of 5061 voor Unified CM)
Gespreksmedia naar PSTN-gateway (SRTP)Interne NIC voor lokale gateway8000—48198*UDPUw ITSP PSTN GW of Unified CMAfhankelijk van de PSTN-optie (bijvoorbeeld doorgaans 5060 of 5061 voor Unified CM)
Apparaatconfiguratie en firmwarebeheer (Cisco-apparaten)Webex Calling-apparatenKortstondigTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Vereist om de volgende redenen:

  1. Migreren van Enterprise-telefoons (Cisco Unified CM) naar Webex Calling. Zie upgrade.cisco.com voor meer informatie. De cloudupgrader.webex.com gebruikt poorten: 6970.443 voor het firmwaremigratieproces.

  2. Firmware-upgrades en veilige onboarding van apparaten (MPP en kamer- of bureautelefoons) met behulp van de 16-cijferige activeringscode (GDS).

  3. Voor CDA / EDOS - op MAC-adres gebaseerde inrichting. Gebruikt door apparaten (MPP-telefoons, ATA's en SPA-ATA's) met nieuwere firmware.

  4. Wanneer een telefoon voor het eerst verbinding maakt met een netwerk of nadat de fabrieksinstellingen, zonder dat de DHCP -opties zijn ingesteld, wordt er contact opgenomen met een apparaatactiveringsserver voor zero-touch-inrichting. Nieuwe telefoons gebruiken 'activate.cisco.com' in plaats van 'webapps.cisco.com' voor inrichting. Telefoons met firmware die eerder is uitgebracht dan 11.2(1) blijven 'webapps.cisco.com' gebruiken. Het wordt aanbevolen om al deze IP -subnetten toe te staan.

ToepassingenconfiguratieWebex Calling-toepassingenKortstondigTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Wordt gebruikt voor Idbroker-verificatie, toepassingsconfiguratieservices voor clients, browsergebaseerde webtoegang voor zelfzorg EN toegang tot beheerdersinterfaces.
Tijdsynchronisatie voor apparaten (NTP)Webex Calling-apparaten51494UDPRaadpleeg IP-subnetten voor Webex Calling-services.123Deze IP-adressen zijn nodig voor tijdsynchronisatie voor apparaten (MPP-telefoons, ATA's en SPA-ATA's)
Resolutie apparaatnaam en resolutie toepassingsnaamWebex Calling-apparatenKortstondigUDP en TCPDoor host gedefinieerd53

Wordt gebruikt voor DNS -zoekacties om de IP -adressen van Webex Calling services in de cloud te detecteren.

Hoewel typische DNS -zoekacties via UDP worden uitgevoerd, is voor sommige mogelijk TCP vereist als de queryantwoorden niet in UDP pakketten passen.
Tijdsynchronisatie voor toepassingenWebex Calling-toepassingen123UPDDoor host gedefinieerd123
CScanWeb Pre-kwalificatietool voor netwerkgereedheid voor: Webex CallingKortstondigUPDRaadpleeg IP-subnetten voor Webex Calling-services.19569 – 19760Web Prekwalificatietool voor netwerkgereedheid voor Webex Calling. Ga naar cscan.webex.com voor meer informatie.
Tabel 6. Aanvullende Webex Calling- en Webex Aware-services (derden)
VerbindingsdoelBronadressenBronpoortenProtocolBestemmingsadressenBestemmingspoortenNotities
Pushmeldingen APNS- en FCM-servicesWebex Calling-toepassingenKortstondigTCP

Raadpleeg IP -subnetten die worden vermeld onder de koppelingen

Apple Pushmelding Service (APNS)

Google-Firebase Cloud Messaging (FCM)

443, 2197, 5228, 5229, 5230, 5223Meldingen aan Webex -apps op mobiele apparaten (voorbeeld: Wanneer u een nieuw bericht ontvangt of wanneer een gesprek wordt beantwoord)

 
  • * Het bereik van de CUBE mediapoort kan worden geconfigureerd met rtp-poortbereik .
  • Als er een proxyserver is geconfigureerd voor uw apps en apparaten, wordt het signaleringsverkeer naar de proxy verzonden. Media getransporteerd SRTP via UDP wordt niet verzonden naar de proxyserver. Het moet in plaats daarvan rechtstreeks naar uw firewall stromen.
  • Als u NTP en DNS -services gebruikt binnen uw bedrijfsnetwerk, opent u poort 53 en 123 via uw firewall.