Snelle referentie voor vergaderpoorten en IP-bereiken

De volgende IP-bereiken worden gebruikt door sites die zijn geïmplementeerd op het FedRAMP-vergaderingscluster. In dit document worden deze bereiken 'Webex IP-bereiken' genoemd:

  • 150.253.150.0/23 (150.253.150.0 tot 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 tot 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 tot 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 tot 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 tot 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 tot 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 tot 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 tot 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 tot 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 tot 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 tot 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 tot 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 tot 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 tot 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 tot 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 tot 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 tot 216.151.139.254)

Uitgerolde diensten

De volgende services worden op dit IP-bereik geïmplementeerd, maar zijn niet beperkt tot:

  • De website van de vergadering (bijv. customersite.webex.com)
  • Servers voor vergaderingsgegevens
  • Multimediaservers voor computeraudio (VoIP) en webcamvideo
  • XML/API diensten, waaronder planning van productiviteitstools
  • Netwerkopnameservers (NBR)
  • Secundaire services wanneer primaire services in onderhoud zijn of technische problemen ondervinden

De volgende URI's worden gebruikt om de 'Certificaat intrekken'-lijst voor onze beveiligingscertificaten te controleren. De lijsten voor certificaat intrekken om ervoor te zorgen dat er geen gecompromitteerde certificaten kunnen worden gebruikt om beveiligd Webex-verkeer te onderscheppen. Dit verkeer treedt op via TCP-poort 80:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (IdenTrust-certificaten)

De volgende UserAgents worden door Webex doorgegeven via het utiltp-proces in Webex en moeten door de firewall van een agentschap worden toegestaan:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=preagentDocShow
  • UserAgent=stand-by

https://activation.webex.com/api/v1/ping als onderdeel van de toegestane URL's. Het wordt gebruikt als onderdeel van het activeringsproces van het apparaat en 'het apparaat gebruikt het voordat het weet dat het een FedRAMP-apparaat is.' Het apparaat stuurt een activeringscode zonder FedRAMP-gegevens. De service ziet dat het een FedRAMP-activeringscode is en stuurt de gebruikers vervolgens door.

Voor al het FedRAMP-verkeer is TLS 1.2-encryptie vereist en mTLS 1.2-encryptie voor on-prem SIP-geregistreerde apparaten.

Poorten die worden gebruikt door Webex Meetings-clients (inclusief in de cloud geregistreerde apparaten)

ProtocolPoortnummer(s)RichtingVerkeerstypeIP-bereikOpmerkingen
TCP80/443Uitgaand naar WebexHTTP, HTTPSWebex en AWS (niet aanbevolen om te filteren via IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Dit wordt gebruikt om statische inhoud en bestanden te serveren)
  • *.wbx2.com

Webex adviseert te filteren op URL. Als u op IP-adres filtert, moet u IP-bereiken van AWS GovCloud, Cloudfront en Webex toestaan.

TCP/UDP53Uitgaand naar lokale DNSDomain Name Services (DNS)Alleen DNS-serverWordt gebruikt voor DNS-zoekopdrachten om de IP-adressen van Webex-servers in de cloud te vinden. Hoewel DNS-zoekopdrachten normaal gesproken worden uitgevoerd via UDP, is het mogelijk dat sommige zoekopdrachten TCP vereisen als de antwoorden op de query niet in de UDP-pakketten passen.
UDP9000, 5004Uitgaand naar WebexPrimaire Webex-clientmedia (VoIP en video-RTP)WebexWebex-clientmediapoort wordt gebruikt om computeraudio, webcamvideo en andere streams inhoud delen wisselen. Het openen van deze poort is vereist om de best mogelijke media-ervaring te garanderen.
TCP5004, 443, 80Uitgaand naar WebexAlternatieve Webex-clientmedia (VoIP en video-RTP)WebexFall-backpoorten voor mediaverbinding als UDP-poort 9000 niet is geopend in de firewall
UDP/TCP

Audio: 52000 tot 52049

Video: 52100 tot 52199

Inkomend naar uw netwerkWebex Client Media (Voip en Video)Terugkeren vanuit AWS en Webex

Webex communiceert met de ontvangen bestemmingspoort wanneer de client de verbinding maakt. Er moet een firewall zijn geconfigureerd om deze retourverbindingen toe te staan.

Deze functie is standaard ingeschakeld.
TCP/UDPOS-specifieke, kortere poortenInkomend naar uw netwerkVerkeer van Webex retournerenTerugkeren vanuit AWS en Webex

Webex communiceert met de ontvangen bestemmingspoort wanneer de client de verbinding maakt. Er moet een firewall zijn geconfigureerd om deze retourverbindingen toe te staan.

Normaal gesproken wordt dit automatisch geopend in een stateful firewall, maar voor de volledigheid wordt het hier vermeld.

Voor klanten die Webex voor Overheid inschakelen en geen URL-gebaseerde filtering voor HTTPS kunnen toestaan, moet u connectiviteit met AWS Gov Cloud West (regio: us‐gov‐west‐1) en Cloud Front (service: CLOUDFRONT). Bekijk AWS-documentatie om de IP-reeksen voor AWS Gov Cloud West-regio en AWS Cloud Front te identificeren. AWS-documentatie is beschikbaar op https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex raadt u ten zeerste aan om, indien mogelijk, te filteren op URL.

Cloudfront wordt gebruikt voor statische inhoud die via het Content Delivery Network wordt geleverd om klanten de beste prestaties in het hele land te geven.

Poorten die worden gebruikt door lokaal geregistreerde Cisco-apparaten voor videosamenwerking

Zie ook de Cisco Webex Meetings Enterprise-implementatiehandleiding voor vergaderingen met video-apparaten

ProtocolPoortnummersRichtingToegangstypeIP-bereikOpmerkingen
TCP5061—5070Uitgaand naar WebexSIP-signaleringWebexDe Webex-media edge luistert op deze poorten
TCP5061, 5065Inbound naar uw netwerkSIP-signaleringWebexBinnenkomende SIP-signaleringsverkeer vanuit de Webex-cloud
TCP5061Uitgaand naar WebexSIP-signalering van cloud geregistreerde apparatenAwsInkomende oproepen vanuit de Webex-app 1:1 Bellen en in de cloud geregistreerde apparaten naar uw on-premises geregistreerde SIP URI. *5061 is de standaardpoort. Webex ondersteunt 5061-5070-poorten die door klanten kunnen worden gebruikt zoals gedefinieerd in hun SIP SRV-record
TCP/UDP1719, 1720, 15000—19999Uitgaand naar WebexH.323 LSWebexAls uw eindpunt gatekeeper-communicatie vereist, open dan ook poort 1719, die Lifesize omvat
TCP/UDPVluchtige poorten, 36000—59999InkomendMediapoortenWebexAls u een Cisco Expressway gebruikt, moeten de mediabereiken worden ingesteld op 36000-59999. Als u een eindpunt of oproepbesturingselement van derden gebruikt, moeten deze worden geconfigureerd om dit bereik te gebruiken.
TCP443InkomendApparaat proximity op locatieLokaal netwerkDe Webex-app of Webex-desktop-app moet een IPv4-routeerbaar pad hebben tussen zichzelf en het videoapparaat met behulp van HTTPS

Voor klanten die Webex inschakelen voor binnenkomende gesprekken van de Webex-app 1:1-bellen en geregistreerde apparaten van de cloud naar uw geregistreerde SIP URI op locatie. U moet ook verbinding toestaan met AWS Gov Cloud West (regio: us‐gov‐west‐1). Raadpleeg de AWS-documentatie voor de IP-bereiken voor de regio AWS Gov Cloud West. De AWS-documentatie is beschikbaar op https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Poorten gebruikt door Edge Audio

Dit is alleen nodig als u Edge Audio gebruikt.

ProtocolPoortnummersRichtingToegangstypeIP-bereikOpmerkingen
TCP5061—5062Inbound naar uw netwerkSIP-signaleringWebexInkomende SIP-signalering voor Edge Audio
TCP5061—5065Uitgaand naar WebexSIP-signaleringWebexUitgaande SIP-signalering voor Edge Audio
TCP/UDPVluchtige poorten, 8000-59999Inbound naar uw netwerkMediapoortenWebexOp een bedrijfsfirewall moeten poorten worden geopend voor binnenkomend verkeer naar de snelweg met een poortbereik van 8000 tot 59999

Configureer mTLS met de volgende opties:

Domeinen en URL's voor Webex Calling-services

A * weergegeven aan het begin van een URL (bijvoorbeeld *.webex.com) geeft aan dat services in het hoofddomein en alle subdomeinen toegankelijk zijn.

Tabel 3. Webex-services
Domain/URLBeschrijvingWebex-apps en -apparaten die deze gebruiken domains/URLs

*.webex.com

*.cisco.com

*.webexgov.us

Kern Webex Bellen & Webex Aware-services

Identiteitsvoorziening

Identiteitsopslag

Verificatie

OAuth-services

Apparaat integreren

Wanneer een telefoon voor het eerst verbinding maakt met een netwerk of na een fabrieksreset zonder ingestelde DHCP-opties, neemt deze contact op met een apparaatactiveringsserver voor zero touch provisioning. Nieuwe telefoons gebruiken activate.cisco.com en telefoons met een firmwareversie ouder dan 11.2(1) blijven webapps.cisco.com gebruiken voor de inrichting.

Download de firmware van het apparaat en de landinstellingenupdates van binaries.webex.com.

Alle
*.wbx2.com en *.ciscospark.comWordt gebruikt voor cloud awareness, CSDM, WDM, kwik, enzovoort. Deze services zijn nodig om ervoor te zorgen dat de apps en apparaten verbinding kunnen maken met Webex Calling & Webex Aware-services tijdens en na onboarding.Alle
*.webexapis.com

Webex-microservices die uw applicaties en apparaten beheren.

Profielfotoservice

Whiteboardservice

Nabijheidsservice

Aanwezigheidsservice

Registratiedienst

Kalenderservice

Zoekdienst

Alle
*.webexcontent.com

Webex Messaging-service met betrekking tot algemene bestandsopslag, waaronder:

Gebruikersbestanden

Transgecodeerde bestanden

Afbeeldingen

Schermafbeeldingen

Whiteboard-inhoud

Cliënt & apparaatlogboeken

Profielfoto's

Merklogo's

Logbestanden

Bulk CSV-exportbestanden & bestanden importeren (Control Hub)

Berichtendiensten van de Webex-app.
Bestandsopslag via webexcontent.com vervangen door clouddrive.com in oktober 2019
Tabel 4. Aanvullende Webex-gerelateerde services (domeinen van derden)
Domain/URLBeschrijvingWebex-apps en -apparaten die deze gebruiken domains/URLs

*.appdynamics.com

*.eum-appdynamics.com

Prestaties bijhouden, fouten en crashes vastleggen, sessiestatistieken.Control Hub
*.huron-dev.comWebex Calling-microservices zoals services in-/uitschakelen, het bestellen van telefoonnummers en toewijzingsservices.Control Hub
*.sipflash.comApparaatbeheerservices. Firmware-upgrades en veilige onboardingdoeleinden.Webex-apps

*.google.com

*.googleapis.com

Meldingen naar Webex-apps op mobiele apparaten (voorbeeld: nieuw bericht, wanneer de oproep wordt beantwoord)

Voor IP-subnetten, raadpleeg deze links

Google Firebase Cloud Messaging (FCM)-service

Apple Push Notification Service (APNS)

Webex-app

IP-subnetten voor Webex Calling-services

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24
  • 144.196.17.0/24

Poorten gebruikt door Webex Calling

Tabel 5. Webex Calling en Webex Aware-services
VerbindingsdoelBronadressenBronpoortenProtocolBestemmingsadressenBestemmingspoortenAantekeningen
Gespreks signaal naar Webex Calling (SIP TLS)Externe lokale gateway (NIC)8000—65535TCPRaadpleeg IP-subnetten voor Webex Calling-services.5062, 8934

Deze IPs/poorten zijn nodig voor uitgaande SIP-TLS-gesprekssignalering van lokale gateways, apparaten en toepassingen (bron) naar Webex Calling Cloud (bestemming).

Poort 5062 (vereist voor op certificaten gebaseerde trunk). En poort 8934 (vereist voor op registratie gebaseerde trunk

Apparaten5060—50808934
ToepassingenKortstondig (afhankelijk van besturingssysteem)
Media bellen naar Webex Calling (SRTP)Lokale gateway externe NIC8000—48198*UDPRaadpleeg IP-subnetten voor Webex Calling-services.

8500—8700,19560—65535 (SRTP over UDP)

STUN, ICE-Lite gebaseerde media-optimalisatie wordt niet ondersteund voor Webex voor Overheid.

Deze IPs/ports worden gebruikt voor uitgaande SRTP-oproepmedia van lokale gateways, apparaten en toepassingen (bron) naar Webex Calling Cloud (bestemming).

Voor bepaalde netwerktopologieën waarbij firewalls worden gebruikt op de locatie van de klant, moet u toegang toestaan voor de genoemde bron- en bestemmingspoortbereiken binnen uw netwerk, zodat de media erdoorheen kan stromen.

Voorbeeld: Voor toepassingen moet u het bron- en bestemmingspoortbereik 8500-8700 toestaan.

Apparaten19560—19660
Toepassingen8500—8700
Gesprekssignalering naar PSTN-gateway (SIP TLS)Interne NIC voor lokale gateway8000—65535TCPUw ITSP PSTN GW of Unified CMHangt af van PSTN-optie (bijvoorbeeld meestal 5060 of 5061 voor Unified CM)
Gespreksmedia naar PSTN-gateway (SRTP)Interne NIC voor lokale gateway8000—48198*UDPUw ITSP PSTN GW of Unified CMHangt af van de PSTN-optie (bijvoorbeeld meestal 5060 of 5061 voor Unified CM)
Apparaatconfiguratie en firmwarebeheer (Cisco-apparaten)Webex Calling apparatenKortstondigTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Vereist om de volgende redenen:

  1. Migreren van Enterprise-telefoons (Cisco Unified CM) naar Webex Calling. Zie upgrade.cisco.com voor meer informatie. cloudupgrader.webex.com gebruikt poorten: 6970.443 voor het firmware-migratieproces.

  2. Firmware-upgrades en veilige onboarding van apparaten (MPP en kamer- of bureautelefoons) met behulp van de 16-cijferige activeringscode (GDS).

  3. Voor CDA / EDOS - MAC-adres-gebaseerde provisioning. Gebruikt door apparaten (MPP-telefoons, ATA's en SPA-ATA's) met nieuwere firmware.

  4. Wanneer een telefoon voor de eerste keer of na een fabrieksreset verbinding maakt met een netwerk, zonder dat de DHCP-opties zijn ingesteld, wordt er contact gemaakt met een apparaatactiveringsserver voor zero touch provisioning. Nieuwe telefoons gebruiken 'activate.cisco.com' in plaats van 'webapps.cisco.com' voor inrichting. Telefoons met firmware die ouder is dan 11.2(1) blijven "webapps.cisco.com" gebruiken. Het wordt aanbevolen om al deze IP-subnetten toe te staan.

ToepassingenconfiguratieWebex Calling-toepassingenKortstondigTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Wordt gebruikt voor Idbroker-authenticatie, applicatieconfiguratieservices voor clients, browsergebaseerde webtoegang voor zelfzorg EN toegang tot administratieve interfaces.
Tijdsynchronisatie voor apparaten (NTP)Webex Calling apparaten51494UDPRaadpleeg IP-subnetten voor Webex Calling-services.123Deze IP-adressen zijn nodig voor tijdsynchronisatie voor apparaten (MPP-telefoons, ATA's en SPA-ATA's)
Resolutie van apparaatnamen en resolutie van toepassingsnamenWebex Calling apparatenKortstondigUDP en TCPDoor host gedefinieerd53

Wordt gebruikt voor DNS-zoekopdrachten om de IP-adressen van Webex Calling-services in de cloud te vinden.

Hoewel de meeste DNS-opzoekingen via UDP worden uitgevoerd, is voor sommige zoekopdrachten TCP vereist als de queryantwoorden niet in UDP-pakketten passen.
Tijdsynchronisatie voor toepassingenWebex Calling-toepassingen123UpdDoor host gedefinieerd123
CScanWebgebaseerde tool voor prekwalificatie van netwerkgereedheid voor Webex CallingKortstondigUpdRaadpleeg IP-subnetten voor Webex Calling-services.19569—19760Webgebaseerde tool voor prekwalificatie van netwerkgereedheid voor Webex Calling. Ga naar cscan.webex.com voor meer informatie.
Tabel 6. Aanvullende Webex Calling- en Webex Aware-services (van derden)
VerbindingsdoelBronadressenBronpoortenProtocolBestemmingsadressenBestemmingspoortenAantekeningen
Pushmeldingen APNS- en FCM-servicesWebex Calling-toepassingenKortstondigTCP

Raadpleeg de IP-subnetten die onder de links worden genoemd

Apple Push Notification Service (APNS)

Google Firebase Cloud Messaging (FCM)

443, 2197, 5228, 5229, 5230, 5223Meldingen naar Webex-apps op mobiele apparaten (voorbeeld: Wanneer u een nieuw bericht ontvangt of wanneer een oproep wordt beantwoord)
  • *Het CUBE-mediapoortbereik is configureerbaar met rtp-poortbereik.
  • Als er een proxyserveradres is geconfigureerd voor uw apps en apparaten, wordt het signaleringsverkeer naar de proxy verzonden. Media die via SRTP via UDP worden verzonden, worden niet naar de proxyserver verzonden. Het moet rechtstreeks naar uw firewall stromen.
  • Als u NTP- en DNS-services binnen uw bedrijfsnetwerk gebruikt, open dan de poorten 53 en 123 via uw firewall.