Nettverkskrav for Webex for Government (FedRAMP)

Webex Meetings
Webex Calling

Hurtigreferanse for møteporter og IP-områder

Følgende IP-områder brukes av områder som er distribuert på FedRAMP-møteklyngen. For dette dokumentet blir disse områdene referert til som «Webex IP-områder»:

150.253.150.0/23 (150.253.150.0 til 150.253.151.255)
144.196.224.0/21 (144.196.224.0 til 144.196.231.255)
23.89.18.0/23 (23.89.18.0 til 23.89.19.255)
163.129.16.0/21 (163.129.16.0 til 163.129.23.255)
170.72.254.0/24 (170.72.254.0 til 170.72.254.255)
170.133.156.0/22 (170.133.156.0 til 170.133.159.255)
207.182.160.0/21 (207.182.160.0 til 207.182.167.255)
207.182.168.0/23 (207.182.168.0 til 207.182.169.255)
207.182.176.0/22 (207.182.176.0 til 207.182.179.255)
207.182.190.0/23 (207.182.190.0 til 207.182.191.255)
216.151.130.0/24 (216.151.130.0 til 216.151.130.255)
216.151.134.0/24 (216.151.134.0 til 216.151.134.255)
216.151.135.0/25 (216.151.135.0 til 216.151.135.127)
216.151.135.240/28 (216.151.135.240 til 216.151.135.255)
216.151.138.0/24 (216.151.138.0 til 216.151.138.255)
216.151.139.0/25 (216.151.139.0 til 216.151.139.127)
216.151.139.240/28 (216.151.139.241 til 216.151.139.254)

Distribuerte tjenester

Tjenester distribuert på dette IP-området inkluderer, men er ikke begrenset til, følgende:

Møtenettstedet (f.eks. customersite.webex.com)
Møtedataservere
Multimedieservere for datalyd (VoIP) og webkameravideo
XML/API-tjenester, inkludert planlegging av Produktivitetsverktøy
Nettverksbaserte opptaksservere (NBR).
Sekundærtjenester når primærtjenester er under vedlikehold eller har tekniske problemer

Følgende URI-er brukes til å sjekke listen over opphevede sertifikater for sikkerhetssertifikatene våre. Sertifikatopphevelsen vises for å sikre at ingen kompromitterte sertifikater kan brukes til å fange opp sikker Webex-trafikk. Denne trafikken skjer på TCP-port 80:

*.quovadisglobal.com
*.digicert.com
*.identrust.com (IdenTrust-sertifikater)

Følgende UserAgenter sendes av Webex av utiltp-prosessen i Webex og bør tillates gjennom brannmuren til et byrå:

UserAgent=WebexInMeetingWin
UserAgent=WebexInMeetingMac
UserAgent=prefetchDocShow
UserAgent=standby

https://activation.webex.com/api/v1/ping som en del av de tillatte nettadressene. Den brukes som en del av aktiveringsprosessen for enheten, og «enheten bruker den før den vet at det er en FedRAMP-enhet. Enheten sender den en aktiveringskode uten FedRAMP-informasjon, tjenesten ser at det er en FedRAMP-aktiveringskode, og deretter omdirigerer den dem."

All FedRAMP-trafikk krever TLS 1.2-kryptering og mTLS 1.2-kryptering for lokale SIP-registrerte enheter.

Porter som brukes av Webex Meetings -klienter (inkludert skyregistrerte enheter)

Protokoll

Portnummer

Retning

Trafikktype

IP-område

Kommentarer

TCP

80/443

Utgående til Webex

HTTP, HTTPS

Webex og AWS (anbefales ikke å filtrere etter IP)

*.webex.com
*.gov.ciscospark.com
*.s3.us-gov-west-1.amazonaws.com (dette brukes til å vise statisk innhold og filer)
*.wbx2.com

Webex anbefaler filtrering etter URL. HVIS Filtrering etter IP-adresse, må du tillate IP-områder for AWS GovCloud, Cloudfront og Webex.

TCP/UDP

Utgående til lokal DNS

Domenenavntjenester (DNS)

Kun DNS-server

Brukes til DNS-oppslag for å finne IP-adressene til Webex-servere i skyen. Selv om vanlige DNS-oppslag gjøres over UDP, kan noen kreve TCP, hvis spørringssvarene ikke får plass til det i UDP-pakker.

UCP

9000, 5004

Utgående til Webex

Primært klientmedie for Webex (VOIP og video-RTP)

Webex

Port for Webex-klientmedie brukes til å utveksle strømmer med datalyd, webkameravideo og innholdsdeling. Det er nødvendig å åpne denne porten for å sikre en best mulig medieopplevelse.

TCP

5004, 443, 80

Utgående til Webex

Alternativt klientmedie for Webex (VOIP og video-RTP)

Webex

Reserveporter for medietilkobling når UDP-port 9000 ikke er åpen i brannmuren

UDP/TCP

Lyd: 52000 til 52049

Video: 52100 til 52199

Innkommende til nettverket ditt

Webex-klientmedier (Voip og video)

Retur fra AWS og Webex

Webex vil kommunisere til målporten som mottas når klienten oppretter tilkoblingen. En brannmur bør konfigureres til å tillate at disse returtilkoblingene kommer seg gjennom.

Dette er aktivert som standard.

TCP/UDP

OS-spesifikke kortvarige porter

Innkommende til nettverket ditt

Returtrafikk fra Webex

Retur fra AWS og Webex

Webex vil kommunisere til målporten som mottas når klienten oppretter tilkoblingen. En brannmur bør konfigureres til å tillate at disse returtilkoblingene kommer seg gjennom.

Denne åpnes vanligvis automatisk i en tilstandsfull brannmur, men den er oppført her for fullstendighets skyld.

For kunder som aktiverer Webex for Government og ikke kan tillate URL-basert filtrering for HTTPS, må du tillate tilkobling med AWS Gov Cloud West (region: us‐gov‐west‐1) og Cloud Front (tjeneste: SKYFRONT). Se gjennom AWS-dokumentasjonen for å identifisere IP-områdene for AWS Gov Cloud West-regionen og AWS Cloud Front. AWS-dokumentasjon er tilgjengelig påhttps://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html . Webex anbefaler på det sterkeste å filtrere etter URL når det er mulig.

Cloudfront brukes for statisk innhold som leveres via Content Delivery Network for å gi kundene best mulig ytelse rundt om i landet.

Porter som brukes av premissregistrerte Cisco-videosamarbeidsenheter

Se også Distribusjonsveiledning for Cisco Webex Meetings Enterprise for videoenhetsaktiverte møter

Protokoll	Portnumre	Retning	Tilgangstype	IP-område	Kommentarer
TCP	5061–5070	Utgående til Webex	SIP-signalisering	Webex	Webex media edge lytter på disse portene
TCP	5061, 5065	Innkommende til nettverket ditt	SIP-signalisering	Webex	Innkommende SIP-signaleringstrafikk fra Webex Cloud
TCP	5061	Utgående til Webex	SIP-signalisering fra skyregistrerte enheter	AWS	Innkommende anrop fra Webex App 1:1 Calling og skyregistrerte enheter til din lokale registrerte SIP-URI. *5061 er standardport. Webex støtter 5061–5070-porter som kan brukes av kunder som definert i SIP SRV-oppføringen
TCP/UDP	1719, 1720, 15000–19999	Utgående til Webex	H.323 LS	Webex	Hvis endepunktet krever gatekeeper-kommunikasjon, åpner du også port 1719, som inkluderer Lifesize
TCP/UDP	Kortvarige porter, 36000–59999	Innkommende	Medieporter	Webex	Hvis du bruker en Cisco Expressway, må medieområdene angis til 36000–59999. Hvis du bruker et endepunkt eller en anropskontroll fra en tredjepart, må de konfigureres til å bruke dette området.
TCP	443	Innkommende	Lokal enhetsnærhet	Lokalt nettverk	Webex-app eller Webex-skrivebordsappen må ha en IPv4-rutingsbane mellom seg selv og videoenhet ved hjelp av HTTPS

For kunder som aktiverer Webex for Government som mottar innkommende anrop fra Webex App 1:1 Calling og skyregistrerte enheter til din lokale registrerte SIP-URI. Du må også tillate tilkobling med AWS Gov Cloud West (region: us‐gov‐west‐1). Se gjennom AWS-dokumentasjonen for å identifisere IP-områdene for AWS Gov Cloud West-regionen. AWS-dokumentasjonen er tilgjengelig på https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Porter som brukes av Edge Audio

Dette er bare nødvendig hvis du bruker Edge Audio.

Protokoll	Portnumre	Retning	Tilgangstype	IP-område	Kommentarer
TCP	5061–5062	Innkommende til nettverket ditt	SIP-signalisering	Webex	Innkommende SIP-signalisering for Edge Audio
TCP	5061–5065	Utgående til Webex	SIP-signalisering	Webex	Utgående SIP-signalisering for Edge Audio
TCP/UDP	Kortvarige porter, 8000–59999	Innkommende til nettverket ditt	Medieporter	Webex	I en bedriftsbrannmur må porter åpnes for innkommende trafikk til Expressway med et portområde fra 8000–59999

Konfigurer mTLS ved hjelp av følgende alternativer:

Konfigurer Expressway| Gjensidig TLS-autentisering .
Støttede rotsertifikatinstanser| Cisco Webex lyd- og videoplattformer .
Edge Audio| Konfigurasjonsveiledning .

Domener og URL-adresser for Webex Calling tjenester

En * på begynnelsen av en URL (f.eks. *.webex.com) indikerer at tjenester på toppnivådomenet og alle underdomener må være tilgjengelige.

Tabell 3. Webex-tjenester

Domene/URL

Beskrivelse

Webex-apper og -enheter som bruker disse domenene/nettadressene

*.webex.com

*.cisco.com

*.webexgov.us

Webex Calling og Webex Aware

klargjøring av enhet

Lagring av identitet

Autentisering

OAuth-tjenester

integrering av enhet

Når en telefon kobler til et nettverk for første gang eller etter en tilbakestilling til tilbakestilling til fabrikkinnstillinger uten at DHCP-alternativer er angitt, kontakter den en enhetsaktiveringsserver for null berøringsklargjøring. Nye telefoner bruker activate.cisco.com og telefoner med fastvareversjon tidligere enn 11.2(1), fortsetter å bruke webapps.cisco.com for klargjøring.

Last ned enhetens fastvare og nasjonale oppdateringer fra binaries.webex.com .

Alle

*.wbx2.com og *.ciscospark.com

Brukes til skybevissthet, CSDM, WDM, kvikksølv og så videre. Disse tjenestene er nødvendige for at appene og enhetene skal kunne nå Webex Calling og Webex Aware-tjenestene under og etter integreringen.

Alle

*.webexapis.com

Webex-mikrotjenester som administrerer programmene og enhetene dine.

Profilbildetjeneste

Tavletjeneste

Nærhetstjeneste

Tilstedeværelsestjeneste

Registrering avvist

Kalendertjeneste

Søk etter enhet

Alle

*.webexcontent.com

Webex-meldingstjeneste relatert til generell fillagring, inkludert:

Brukerlinjer

Omkodede filer

Bilder

Skjermbilder

Tavlekontroller

Klient- og enhetslogger

profilbilder

Merkevarelogoer

Eske filer

Masse-CSV-eksportfiler og importfiler (Control Hub)

Meldingstjenester i Webex-appen.

Fillagring ved hjelp av webexcontent.com erstattet av clouddrive.com i oktober 2019

Tabell 4. Flere Webex-relaterte tjenester (tredjepartsdomener)
Domene/URL	Beskrivelse	Webex-apper og -enheter som bruker disse domenene/nettadressene
.appdynamics.com .eum-appdynamics.com	Ytelsessporing, feil og krasjregistrering, øktmåledata.	Control Hub
*.huron-dev.com	Webex Calling-mikrotjenester som vekslingstjenester, bestilling av telefonnummer og oppgavetjenester.	Control Hub
*.sipflash.com	Administrasjonstjeneste for enhet Fastvareoppgraderinger og sikker integreringsformål.	Webex-apper
.google.com .googleapis.com	Varsler til Webex-apper på mobile enheter (eksempel: ny melding, når anropet blir besvart) For IP-delnett, se disse koblingene Tjenesten Google Firebase Cloud Messaging (FCM). Apple pushvarsel Service (APNS)	Webex-app

IP-delnett for Webex Calling tjenester

23.89.18.0/23
163.129.16.0/21
150.253.150.0/23
144.196.224.0/21
144.196.16.0/24

Porter som brukes av Webex Calling

Tabell 5. Webex Calling og Webex Aware-tjenester
Tilkoblingsformål	Kildeadresser	Kildeporter	Protokoll	Måladresser	Målporter	Merknader
Oppringingssignalisering til Webex Calling (SIP TLS)	Lokal gateway ekstern (NIC)	8000–65535	TCP	Referer til IP-delnett for Webex Calling-tjenester.	5062, 8934	Disse IP-ene/portene er nødvendige for utgående SIP-TLS-anropssignalering fra lokale gatewayer, enheter og applikasjoner (kilde) til Webex Calling Cloud (destinasjon). Port 5062 (obligatorisk for sertifikatbasert trunk). Og port 8934 (obligatorisk for registreringsbasert trunk
	Enheter	5060–5080			8934
	Applikasjoner	Midlertidig port (OS-avhengig)			8934
Anropsmedier til Webex Calling (STUN, SRTP	Lokal gateway ekstern NIC	8000–48198^†^*	UDP	Referer til IP-delnett for Webex Calling-tjenester.	5004, 9000 (STUN-porter) 8500–8700,19560–65535 (SRTP over UDP)	Disse IP-adressene/portene er nødvendige for utgående SRTP-oppringingsmedia fra lokale gatewayer, enheter og applikasjoner (kilde) til Webex Calling-skyen (mål). For samtaler i organisasjonen der STUN, ICE-forhandling er vellykket, fjernes medieoverføringen i skyen som kommunikasjonsbane. I slike tilfeller er medieflyten direkte mellom brukerens apper/enheter. For eksempel: Hvis medieoptimaliseringen lykkes, sender programmer medier direkte mellom hverandre på portområder mellom 8500 og 9700, og enheter sender medier direkte til hverandre på portområder mellom 19560 og 19660. For visse nettverkstopologier der brannmurer brukes i et kundeområde, må du gi tilgang for de nevnte kilde- og målportområdene i nettverket slik at mediene kan flyte gjennom. Eksempel: For programmer må du tillate kilde- og målportområde 8500–8700.
	Enheter	19560–19660
	Applikasjoner	8500–8700
Oppringingssignalisering til PSTN-gateway (SIP TLS)	Lokal gateway intern NIC	8000–65535	TCP	Din ITSP PSTN GW eller Unified CM	Avhenger av PSTN-alternativet (for eksempel vanligvis 5060 eller 5061 for Unified CM)
Oppringingsmedia til PSTN-gateway (SRTP)	Lokal gateway intern NIC	8000–48198^†^*	UDP	Din ITSP PSTN GW eller Unified CM	Avhenger av PSTN-alternativet (for eksempel vanligvis 5060 eller 5061 for Unified CM)
Enhetskonfigurasjon og fastvareadministrasjon (Cisco-enheter)	Webex Calling-enheter	Midlertidig port	TCP	3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26	443, 6970	Obligatorisk av følgende årsaker: Overføre fra bedriftstelefoner (Cisco Unified CM) til Webex Calling. Se upgrade.cisco.com hvis du vil ha mer informasjon. Cloudupgrader.webex.com bruker porter: 6970 443 for fastvareoverføringsprosessen. Disse IP-adressene kreves for sikker innføring av enheter (MPP og rom- eller bordtelefoner) ved hjelp av den 16-sifrede aktiveringskoden (GDS). For CDA/EDOS – MAC-adresse klargjøring. Brukes av enheter (MPP-telefoner, ATA-er og SPA ATA-er) med nyere fastvare. Når en telefon kobler til et nettverk for første gang eller etter en tilbakestilling til tilbakestilling til fabrikkinnstillinger, uten at DHCP-alternativene er angitt, kontakter den en enhetsaktiveringsserver for null berøringsklargjøring. Nye telefoner bruker «activate.cisco.com» i stedet for «webapps.cisco.com» for klargjøring. Telefoner med fastvareutgivelse tidligere enn 11.2(1) fortsetter å bruke «webapps.cisco.com». Det anbefales å tillate alle disse IP-delnettene.
Applikasjonskonfigurasjon	Webex Calling-applikasjoner	Midlertidig port	TCP	62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19	443, 8443	Brukes til Idbroker-autentisering, applikasjonskonfigurasjonstjenester for klienter, nettleserbasert webtilgang for egenomsorg OG tilgang til administrative grensesnitt.
Synkronisering av enhetstid (NTP)	Webex Calling-enheter	51494	UDP	Referer til IP-delnett for Webex Calling-tjenester.	123	Disse IP-adressene er nødvendige for tidssynkronisering for enheter (MPP-telefoner, ATA-er og SPA ATA-er)
Oppløsning av enhetsnavn og navn på program	Webex Calling-enheter	Midlertidig port	UDP og TCP	Vertsdefinert	53	Brukes til DNS-oppslag for å finne IP-adressene til Webex-servere i skyen. Selv om vanlige DNS-oppslag gjøres over UDP, kan noen kreve TCP, hvis spørringssvarene ikke får plass til det i UDP-pakker.
Synkronisering av applikasjonstid	Webex Calling-applikasjoner	123	UPD	Vertsdefinert	123
CScan	Nettbasert Nettverksberedskap Prekvalifiseringsverktøy for Webex Calling	Midlertidig port	UPD	Referer til IP-delnett for Webex Calling-tjenester.	19569–19760	Nettbasert Prekvalifiseringsverktøy for nettverksberedskap for Webex Calling. Gå til cscan.webex.com for mer informasjon.

Tabell 6. Ytterligere Webex Calling og Webex Aware-tjenester (tredjepart)
Tilkoblingsformål	Kildeadresser	Kildeporter	Protokoll	Måladresser	Målporter	Merknader
Push-varsler APNS- og FCM-tjenester	Webex Calling-applikasjoner	Midlertidig port	TCP	Se IP-undernett nevnt under koblingene Apple pushvarsel Service (APNS) Google-Firebase Cloud Messaging (FCM)	443, 2197, 5228, 5229, 5230, 5223	Varsler til Webex-apper på mobile enheter (eksempel: Når du mottar en ny melding eller når et anrop blir besvart)

^{† CUBE-medieportområdet kan konfigureres med rtp-port-intervall.}
Hvis det er konfigurert en proxy-server for appene og enhetene dine, sendes signaltrafikken til proxyen. Medier som transporteres SRTP over UDP sendes ikke til proxy-server. Den må flyte direkte til brannmuren i stedet.
Hvis du bruker NTP- og DNS-tjenester i bedriftsnettverket, åpner du portene 53 og 123 gjennom brannmuren.