Wytyczne wymagań sieci rządowej, w tym zakresy IP i konfiguracja portu dla Webex Meetings i Webex Calling.
Szybkie odniesienie do portów spotkań i zakresów adresów IP
Następujące zakresy adresów IP są wykorzystywane przez witryny wdrożone w klastrze spotkań FedRAMP. W przypadku tego dokumentu zakresy te są określane jako „Zakresy IP Webex”:
- 150.253.150.0/23 (150.253.150.0 do 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 do 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0–23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 do 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 do 170.72.254.255)
- 170.133.156.0/22 (170.133.156.0 do 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 do 207.182.167.255)
- 207.182.168.0/23 (207.182.168.0 do 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0–207.182.179.255)
- 207.182.190.0/23 (207.182.190.0–207.182.191.255)
- 216.151.130.0/24 (216.151.130.0–216.151.130.255)
- 216.151.134.0/24 (216.151.134.0–216.151.134.255)
- 216.151.135.0/25 (216.151.135.0–216.151.135.127)
- 216.151.135.240/28 (216.151.135.240–216.151.135.255)
- 216.151.138.0/24 (216.151.138.0–216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 do 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 do 216.151.139.254)
Wdrożone usługi
Usługi wdrożone w tym zakresie IP obejmują między innymi:
- Strona internetowa spotkania (np. customersite.webex.com)
- Serwery danych spotkań
- Serwery multimedialne dla audio komputera (VoIP) i wideo z kamery internetowej
- Usługi XML/API, w tym planowanie narzędzi zwiększających wydajność
- Serwery nagrań sieciowych (NBR)
- Usługi pomocnicze, gdy usługi podstawowe są utrzymywane lub gdy występują trudności techniczne
Następujące identyfikatory URI są używane do sprawdzania listy cofania certyfikatów pod kątem naszych certyfikatów zabezpieczeń. Listy cofania certyfikatów w celu zapewnienia, że do przechwytywania bezpiecznego ruchu Webex nie można używać żadnych naruszonych certyfikatów. Ten ruch odbywa się na porcie TCP 80:
- *.quovadisglobal.com.
- *.digicert.com
- *.identrust.com (certyfikaty IdenTrust)
 | Następujący Użytkownicy będą przekazywani przez Webex w procesie utiltp w Webex i powinni być dopuszczeni przez zaporę agencji:
|
https://activation.webex.com/api/v1/ping jako część dozwolonych adresów URL. Jest on używany jako część procesu aktywacji urządzenia i „urządzenie korzysta z niego, zanim wie, że jest to urządzenie FedRAMP. Urządzenie wysyła mu kod aktywacyjny bez informacji FedRAMP, usługa widzi, że jest to kod aktywacyjny FedRAMP, a następnie przekierowuje je."
Cały ruch FedRAMP wymaga szyfrowania TLS 1.2 i mTLS 1.2 dla urządzeń zarejestrowanych w protokole SIP.
Porty używane przez klientów Webex Meetings (w tym urządzenia zarejestrowane w chmurze)
| Protokół | Numery portów | Kierunek | Typ ruchu | Zakres IP | Komentarze | ||
|---|---|---|---|---|---|---|---|
| TCP | 80/443 | Wychodzące do usługi Webex | HTTP, HTTPS | Webex i AWS (Nie zaleca się filtrowania według adresu IP) |
Webex zaleca filtrowanie według adresu URL. JEŚLI Filtrowanie według adresu IP, należy zezwolić na zakresy adresów IP AWS GovCloud, Cloudfront i Webex. | ||
| TCP/UDP | 53 | Wychodzące do lokalnego systemu DNS | Usługi nazw domen (DNS) | Tylko serwer DNS | Służy do wyszukiwania DNS w celu wykrywania adresów IP serwerów Webex w chmurze. Mimo że typowe wyszukiwania DNS są wykonywane za pośrednictwem protokołu UDP, niektóre z nich mogą wymagać protokołu TCP, jeśli odpowiedzi na zapytanie nie mieszczą go w pakietach UDP. | ||
| UCP | 9000, 5004 | Wychodzące do usługi Webex | Podstawowe multimedia klienta Webex (VoIP i Video RTP) | Webex | Port multimedialny klienta Webex służy do wymiany dźwięku z komputera, obrazy z kamery internetowej i strumieni udostępniania zawartości. Otwarcie tego portu jest wymagane, aby zapewnić jak najlepsze doświadczenie medialne. | ||
| TCP | 5004, 443, 80 | Wychodzące do usługi Webex | Alternatywne multimedia klienta Webex (VoIP i Video RTP) | Webex | Port rezerwowy do obsługi łączności w zakresie multimediów, gdy port UDP 9000 nie jest otwarty w zaporze | ||
| UDP/TCP | Audio: Od 52000 do 52049 Wideo: 52100 do 52199 | Przychodzące do sieci | Webex Client Media (Voip i wideo) | Powrót z AWS i Webex | Webex skomunikuje się z odebranym portem docelowym podczas nawiązywania połączenia przez klienta. Zapora powinna być skonfigurowana tak, aby zezwalała na te połączenia zwrotne.
| ||
| TCP/UDP | Porty Ephemeral specyficzne dla systemu operacyjnego | Przychodzące do sieci | Ruch powrotny z usługi Webex | Powrót z AWS i Webex | Webex skomunikuje się z odebranym portem docelowym podczas nawiązywania połączenia przez klienta. Zapora powinna być skonfigurowana tak, aby zezwalała na te połączenia zwrotne.
|
Dla klientów obsługujących Webex for Government, którzy nie mogą zezwolić na filtrowanie oparte na adresie URL dla HTTPS, należy zezwolić na połączenie z AWS Gov Cloud West (region: us-gov-west-1) i Cloud Front (usługa: POCHMURNO). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy IP dla regionu AWS Gov Cloud West i frontu AWS Cloud. Dokumentacja AWS jest dostępna pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. W miarę możliwości Webex zdecydowanie zaleca filtrowanie według adresu URL.
Cloudfront jest używany do statycznych treści dostarczanych za pośrednictwem Content Delivery Network, aby zapewnić klientom najlepszą wydajność w całym kraju.
Porty używane przez zarejestrowane lokalnie urządzenia do współpracy wideo Cisco
Zobacz również Przewodnik wdrażania Cisco Webex Meetings Enterprise dla spotkań z obsługą urządzeń wideo
| Protokół | Numery portów | Kierunek | Rodzaj dostępu | Zakres IP | Komentarze |
|---|---|---|---|---|---|
| TCP | 5061–5070 | Wychodzące do usługi Webex | Sygnalizacja SIP | Webex | Krawędź multimediów Webex nasłuchuje tych portów |
| TCP | 5061, 5065 | Przychodzące do sieci | Sygnalizacja SIP | Webex | Przychodzący ruch sygnalizacyjny SIP z chmury Webex |
| TCP | 5061 | Wychodzące do usługi Webex | Sygnalizacja SIP z urządzeń zarejestrowanych w chmurze | AWS | Połączenia przychodzące z urządzeń zarejestrowanych w aplikacji Webex 1:1 Calling i Cloud do lokalnego zarejestrowanego identyfikatora URI SIP. *5061 to port domyślny. Webex obsługuje porty 5061–5070 używane przez klientów zgodnie z definicją w ich rekordzie SIP SRV |
| TCP/UDP | 1719, 1720, 15000—19999 | Wychodzące do usługi Webex | H.323 LS | Webex | Jeśli punkt końcowy wymaga komunikacji z bramkarzem, otwórz również port 1719, który zawiera rozmiar Lifesize |
| TCP/UDP | Porty Ephemeral, 36000—59999 | Przychodzące | Porty sesji multimedialnej | Webex | Jeśli używasz węzła Cisco Expressway, zakresy multimediów muszą być ustawione na 36000–59999. Jeśli używasz punktu końcowego lub funkcji kontroli połączeń podmiotu zewnętrznego, muszą one być skonfigurowane pod kątem korzystania z tego zakresu. |
| TCP | 443 | Przychodzące | Bliskość urządzenia premisyjnego | Lokalna sieć | Aplikacja Webex lub aplikacja komputerowa Webex muszą mieć ścieżkę umożliwiającą przejście IPv4 między sobą a urządzeniem wideo przy użyciu protokołu HTTPS |
Dla klientów umożliwiających Webex for Government odbieranie połączeń przychodzących z urządzeń zarejestrowanych w aplikacji Webex 1:1 Calling i Cloud do lokalnego zarejestrowanego identyfikatora URI SIP. Należy również zezwolić na połączenie z AWS Gov Cloud West (region: nas-gov-west-1). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy IP dla regionu AWS Gov Cloud West. Dokumentacja AWS jest dostępna pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Porty używane przez Edge Audio
Jest to wymagane tylko wtedy, gdy korzystasz z Edge Audio.
| Protokół | Numery portów | Kierunek | Rodzaj dostępu | Zakres IP | Komentarze |
|---|---|---|---|---|---|
| TCP | 5061–5062 | Przychodzące do sieci | Sygnalizacja SIP | Webex | Sygnalizacja przychodzącego SIP dla Edge Audio |
| TCP | 5061–5065 | Wychodzące do usługi Webex | Sygnalizacja SIP | Webex | Wyjściowa sygnalizacja SIP dla Edge Audio |
| TCP/UDP | Porty Ephemeral, 8000—59999 | Przychodzące do sieci | Porty sesji multimedialnej | Webex | W zaporze przedsiębiorstwa porty muszą być otwarte dla ruchu przychodzącego do Expressway z zakresem portów od 8000—59999 |
Skonfiguruj mTLS, korzystając z następujących opcji:
- Skonfiguruj uwierzytelnianie |Wzajemne TLS Expressway.
- Obsługiwane główne urzędy certyfikacji |Cisco Webex Audio and Video Platform.
- Przewodnik konfiguracji |Edge Audio.
Domeny i adresy URL usług Webex Calling
Symbol * wyświetlany na początku adresu URL (np. *.webex.com) oznacza, że usługi w domenie najwyższego poziomu i wszystkie subdomeny muszą być dostępne.
| Domena/adres URL | Opis | Aplikacje i urządzenia Webex wykorzystujące te domeny/adresy URL | ||
|---|---|---|---|---|
*.webex.com *.cisco.com *.webexgov.us | Podstawowe usługi Webex Calling i Webex Aware obsługa administracyjna urządzeń Przechowywanie tożsamości Uwierzytelnianie Usługi OAuth dołączanie urządzenia Gdy telefon łączy się z siecią po raz pierwszy lub po przywróceniu ustawień fabrycznych bez ustawionych opcji DHCP , kontaktuje się z serwerem aktywacji urządzenia w celu zapewnienia obsługi administracyjnej bezdotykowej. Nowe telefony korzystają z witrynyactivate.cisco.com, a telefonów z oprogramowaniem sprzętowym w wersji wcześniejszej niż 11.2(1). W celu obsługi administracyjnej nadal używaj witryny webapps.cisco.com. Pobierz aktualizacje oprogramowania sprzętowego urządzenia i ustawień regionalnych z binaries.webex.com . | Wszystko | ||
| *.wbx2.com i *.ciscospark.com | Używany do rozpoznawania chmur, CSDM, WDM, rtęci i tak dalej. Te usługi są niezbędne, aby aplikacje i urządzenia mogły połączyć się z usługami Webex Calling i Webex Aware w trakcie i po wprowadzeniu. | Wszystko | ||
| *.webexapis.com | Mikrousługi Webex, które zarządzają aplikacjami i urządzeniami. Usługa zdjęcia profilowego Usługa tablicy Usługa zbliżeniowa Usługa obecności Rejestracja została odrzucona Usługa kalendarza Szukaj urządzenia | Wszystko | ||
| *.webexcontent.com | Usługa Webex Messaging związana z ogólnym przechowywaniem plików, w tym: Linie użytkowników Pliki transkodowane Obrazy Zrzut ekranu Elementy sterujące tablicy Dzienniki klienta i urządzenia Zdjęcie profilowe Logo marki Pudełko pliki Zbiorcze eksportowanie i importowanie plików CSV (Control Hub) | Usługi przesyłania wiadomości w aplikacji Webex.
|
| Domena/adres URL | Opis | Aplikacje i urządzenia Webex wykorzystujące te domeny/adresy URL |
|---|---|---|
*.appdynamics.com *.eum-appdynamics.com | Śledzenie wydajności, przechwytywanie błędów i awarii, metryki sesji. | Control Hub |
| *.huron-dev.com | Mikrousługi Webex Calling, takie jak usługi przełączania, zamawianie numerów telefonów i usługi przypisywania. | Control Hub |
| *.sipflash.com | Usługa zarządzania urządzeniami Aktualizacje oprogramowania sprzętowego i bezpieczne wdrażanie. | Aplikacje Webex |
*.google.com *.googleapis.com | Powiadomienia do aplikacji Webex na urządzeniach mobilnych (przykład: nowa wiadomość po odebraniu połączenia) W przypadku IP należy skorzystać z tych łączy | Aplikacja Webex |
Podsieci IP dla usług Webex Calling
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
Porty używane przez usługę Webex Calling
| Cel połączenia | Adresy źródłowe | Porty źródłowe | Protokół | Adresy docelowe | Porty docelowe | Uwagi |
|---|---|---|---|---|---|---|
| Sygnalizacja połączeń do Webex Calling (SIP TLS) | Brama lokalna zewnętrzna (NIC) | 8000 — 65535 | TCP | Patrz Podsieci IP dla usługtelefonicznych Webex. | 5062, 8934 | Te adresy IP/porty są potrzebne do sygnalizacji połączeń wychodzących SIP-TLS z bram lokalnych, urządzeń i aplikacji (źródło) do chmury wywołującej Webex (miejsce docelowe). Port 5062 (wymagany dla łącza magistralowego opartego na certyfikacie). Oraz port 8934 (wymagany dla łącza trunkingowego opartego na rejestracji |
| Urządzenia | 5060–5080 | 8934 | ||||
| Aplikacje | Efemeryczny (zależny od systemu operacyjnego) | |||||
| Połącz media z Webex Calling (STUN, SRTP) | Zewnętrzna karta sieciowa bramy lokalnej | 8000 — 48198†* | UDP | Patrz Podsieci IP dla usługtelefonicznych Webex. | 5004, 9000 (porty STUN) 8500 — 8700 19560 — 65535 (SRTP nad UDP) | Te adresy IP/porty są potrzebne do wychodzących nośników wywołań SRTP z bram lokalnych, urządzeń i aplikacji (źródło) do Webex Calling Cloud (miejsce docelowe). W przypadku połączeń w organizacji, w której negocjacje STUN, ICE powiodły się, przekaźnik multimedialny w chmurze zostanie usunięty jako ścieżka komunikacji. W takich przypadkach przepływ mediów odbywa się bezpośrednio między aplikacjami/urządzeniami użytkownika. Na Przykład: Jeśli optymalizacja multimediów powiodła się, aplikacje wysyłają media bezpośrednio między sobą w zakresie portów między 8500-9700 a urządzenia wysyłają media bezpośrednio do siebie w zakresie portów między 19560-19660. W przypadku niektórych topologii sieci, w których zapory są używane w siedzibie klienta, zezwól na dostęp do wspomnianych zakresów portów źródłowych i docelowych wewnątrz sieci, aby przepływały media. Przykład: W przypadku aplikacji zezwól na zasięg portu źródłowego i docelowego 8500 — 8700. |
| Urządzenia | 19560–19660 | |||||
| Aplikacje | 8500 — 8700 | |||||
| Sygnalizacja połączeń z bramą PSTN (SIP TLS) | Wewnętrzna karta sieciowa bramy lokalnej | 8000 — 65535 | TCP | Twój ITSP, PSTN, GW lub Unified CM | Zależy od opcji PSTN (na przykład zazwyczaj 5060 lub 5061 dla ujednoliconej łączności maszynowej) | |
| Wywoływanie multimediów z bramą PSTN (SRTP) | Wewnętrzna karta sieciowa bramy lokalnej | 8000 — 48198†* | UDP | Twój ITSP, PSTN, GW lub Unified CM | Zależy od opcji PSTN (na przykład zwykle 5060 lub 5061 dla Unified CM) | |
| Konfiguracja urządzeń i zarządzanie oprogramowaniem układowym (urządzenia Cisco) | Urządzenia Webex Calling | Krótkotrwałe | TCP | 3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443,6970 | Wymagane z następujących powodów:
|
| Konfiguracja aplikacji | Aplikacje Webex Calling | Krótkotrwałe | TCP | 62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Używany do uwierzytelniania Idbroker, usług konfiguracji aplikacji dla klientów, dostępu do Internetu opartego na przeglądarce do samodzielnej obsługi ORAZ dostępu do interfejsów administracyjnych. |
| Synchronizacja czasu urządzenia (NTP) | Urządzenia Webex Calling | 51494 | UDP | Patrz Podsieci IP dla usługtelefonicznych Webex. | 123 | Te adresy IP są potrzebne do synchronizacji czasu dla urządzeń (telefony MPP, ATA i usługi ATA SPA) |
| Rozdzielczość nazwy urządzenia i rozdzielczości nazwy aplikacji | Urządzenia Webex Calling | Krótkotrwałe | UDP i TCP | Zdefiniowane przez hosta | 53 | Służy do wyszukiwania DNS w celu wykrywania adresów IP serwerów Webex w chmurze. Mimo że typowe wyszukiwania DNS są wykonywane za pośrednictwem protokołu UDP, niektóre z nich mogą wymagać protokołu TCP, jeśli odpowiedzi na zapytanie nie mieszczą go w pakietach UDP. |
| Synchronizacja czasu aplikacji | Aplikacje Webex Calling | 123 | UPD | Zdefiniowane przez hosta | 123 | |
| CScan | Gotowość do pracy w sieci Web Narzędzie wstępnej kwalifikacji dla Webex Calling | Krótkotrwałe | UPD | Patrz Podsieci IP dla usługtelefonicznych Webex. | 19569–19760 | Oparte na sieci Web narzędzie do wstępnej kwalifikacji sieci Webex Calling. Przejdź do cscan.webex.com , aby uzyskać więcej informacji. |
| Cel połączenia | Adresy źródłowe | Porty źródłowe | Protokół | Adresy docelowe | Porty docelowe | Uwagi |
|---|---|---|---|---|---|---|
| Powiadomienia push Usługi APNS i FCM | Aplikacje Webex Calling | Krótkotrwałe | TCP | Zapoznaj się z tematem Podsieci IP wymienione pod łączami | 443, 2197, 5228, 5229, 5230, 5223 | Powiadomienia do aplikacji Webex na urządzeniach mobilnych (przykład: Po otrzymaniu nowej wiadomości lub odebraniu połączenia) |
|
|
