Szybkie odniesienie do portów spotkań i zakresów adresów IP

Następujące zakresy adresów IP są wykorzystywane przez witryny wdrożone w klastrze spotkań FedRAMP. W przypadku tego dokumentu zakresy te są określane jako „Zakresy IP Webex”:

  • 150.253.150.0/23 (150.253.150.0 do 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 do 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0–23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 do 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 do 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 do 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 do 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 do 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0–207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0–207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0–216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0–216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0–216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240–216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0–216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 do 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 do 216.151.139.254)

Wdrożone usługi

Usługi wdrożone w tym zakresie IP obejmują między innymi:

  • Strona internetowa spotkania (np. customersite.webex.com)
  • Serwery danych spotkań
  • Serwery multimedialne dla audio komputera (VoIP) i wideo z kamery internetowej
  • Usługi XML/API, w tym planowanie narzędzi zwiększających wydajność
  • Serwery nagrań sieciowych (NBR)
  • Usługi pomocnicze, gdy usługi podstawowe są utrzymywane lub gdy występują trudności techniczne

Następujące identyfikatory URI są używane do sprawdzania listy cofania certyfikatów pod kątem naszych certyfikatów zabezpieczeń. Listy cofania certyfikatów w celu zapewnienia, że do przechwytywania bezpiecznego ruchu Webex nie można używać żadnych naruszonych certyfikatów. Ten ruch odbywa się na porcie TCP 80:

  • *.quovadisglobal.com.
  • *.digicert.com
  • *.identrust.com (certyfikaty IdenTrust)

 

Następujący Użytkownicy będą przekazywani przez Webex w procesie utiltp w Webex i powinni być dopuszczeni przez zaporę agencji:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping jako część dozwolonych adresów URL. Jest on używany jako część procesu aktywacji urządzenia i „urządzenie korzysta z niego, zanim wie, że jest to urządzenie FedRAMP. Urządzenie wysyła mu kod aktywacyjny bez informacji FedRAMP, usługa widzi, że jest to kod aktywacyjny FedRAMP, a następnie przekierowuje je."

Cały ruch FedRAMP wymaga szyfrowania TLS 1.2 i mTLS 1.2 dla urządzeń zarejestrowanych w protokole SIP.

Porty używane przez klientów Webex Meetings (w tym urządzenia zarejestrowane w chmurze)

ProtokółNumery portówKierunekTyp ruchuZakres IPKomentarze
TCP80/443Wychodzące do usługi WebexHTTP, HTTPSWebex i AWS (Nie zaleca się filtrowania według adresu IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Służy do obsługi statycznych treści i plików)
  • *.wbx2.com

Webex zaleca filtrowanie według adresu URL. JEŚLI Filtrowanie według adresu IP, należy zezwolić na zakresy adresów IP AWS GovCloud, Cloudfront i Webex.

TCP/UDP53Wychodzące do lokalnego systemu DNSUsługi nazw domen (DNS)Tylko serwer DNSSłuży do wyszukiwania DNS w celu wykrywania adresów IP serwerów Webex w chmurze. Mimo że typowe wyszukiwania DNS są wykonywane za pośrednictwem protokołu UDP, niektóre z nich mogą wymagać protokołu TCP, jeśli odpowiedzi na zapytanie nie mieszczą go w pakietach UDP.
UCP9000, 5004Wychodzące do usługi WebexPodstawowe multimedia klienta Webex (VoIP i Video RTP)WebexPort multimedialny klienta Webex służy do wymiany dźwięku z komputera, obrazy z kamery internetowej i strumieni udostępniania zawartości. Otwarcie tego portu jest wymagane, aby zapewnić jak najlepsze doświadczenie medialne.
TCP5004, 443, 80Wychodzące do usługi WebexAlternatywne multimedia klienta Webex (VoIP i Video RTP)WebexPort rezerwowy do obsługi łączności w zakresie multimediów, gdy port UDP 9000 nie jest otwarty w zaporze
UDP/TCP

Audio: Od 52000 do 52049

Wideo: 52100 do 52199

Przychodzące do sieciWebex Client Media (Voip i wideo)Powrót z AWS i Webex

Webex skomunikuje się z odebranym portem docelowym podczas nawiązywania połączenia przez klienta. Zapora powinna być skonfigurowana tak, aby zezwalała na te połączenia zwrotne.


 
Ta opcja jest domyślnie włączona.
TCP/UDPPorty Ephemeral specyficzne dla systemu operacyjnegoPrzychodzące do sieciRuch powrotny z usługi WebexPowrót z AWS i Webex

Webex skomunikuje się z odebranym portem docelowym podczas nawiązywania połączenia przez klienta. Zapora powinna być skonfigurowana tak, aby zezwalała na te połączenia zwrotne.


 
Zazwyczaj jest to automatycznie otwierane w zaporze stateful, jednak wymienione tutaj dla kompletności.

Dla klientów obsługujących Webex for Government, którzy nie mogą zezwolić na filtrowanie oparte na adresie URL dla HTTPS, należy zezwolić na połączenie z AWS Gov Cloud West (region: us-gov-west-1) i Cloud Front (usługa: POCHMURNO). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy IP dla regionu AWS Gov Cloud West i frontu AWS Cloud. Dokumentacja AWS jest dostępna pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. W miarę możliwości Webex zdecydowanie zaleca filtrowanie według adresu URL.

Cloudfront jest używany do statycznych treści dostarczanych za pośrednictwem Content Delivery Network, aby zapewnić klientom najlepszą wydajność w całym kraju.

Porty używane przez zarejestrowane lokalnie urządzenia do współpracy wideo Cisco

Zobacz również Przewodnik wdrażania Cisco Webex Meetings Enterprise dla spotkań z obsługą urządzeń wideo

ProtokółNumery portówKierunekRodzaj dostępuZakres IPKomentarze
TCP5061–5070Wychodzące do usługi WebexSygnalizacja SIPWebexKrawędź multimediów Webex nasłuchuje tych portów
TCP5061, 5065Przychodzące do sieciSygnalizacja SIPWebexPrzychodzący ruch sygnalizacyjny SIP z chmury Webex
TCP5061Wychodzące do usługi WebexSygnalizacja SIP z urządzeń zarejestrowanych w chmurzeAWSPołączenia przychodzące z urządzeń zarejestrowanych w aplikacji Webex 1:1 Calling i Cloud do lokalnego zarejestrowanego identyfikatora URI SIP. *5061 to port domyślny. Webex obsługuje porty 5061–5070 używane przez klientów zgodnie z definicją w ich rekordzie SIP SRV
TCP/UDP1719, 1720, 15000—19999Wychodzące do usługi WebexH.323 LSWebexJeśli punkt końcowy wymaga komunikacji z bramkarzem, otwórz również port 1719, który zawiera rozmiar Lifesize
TCP/UDPPorty Ephemeral, 36000—59999PrzychodzącePorty sesji multimedialnejWebexJeśli używasz węzła Cisco Expressway, zakresy multimediów muszą być ustawione na 36000–59999. Jeśli używasz punktu końcowego lub funkcji kontroli połączeń podmiotu zewnętrznego, muszą one być skonfigurowane pod kątem korzystania z tego zakresu.
TCP443PrzychodząceBliskość urządzenia premisyjnegoLokalna siećAplikacja Webex lub aplikacja komputerowa Webex muszą mieć ścieżkę umożliwiającą przejście IPv4 między sobą a urządzeniem wideo przy użyciu protokołu HTTPS

Dla klientów umożliwiających Webex for Government odbieranie połączeń przychodzących z urządzeń zarejestrowanych w aplikacji Webex 1:1 Calling i Cloud do lokalnego zarejestrowanego identyfikatora URI SIP. Należy również zezwolić na połączenie z AWS Gov Cloud West (region: nas-gov-west-1). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy IP dla regionu AWS Gov Cloud West. Dokumentacja AWS jest dostępna pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Porty używane przez Edge Audio

Jest to wymagane tylko wtedy, gdy korzystasz z Edge Audio.

ProtokółNumery portówKierunekRodzaj dostępuZakres IPKomentarze
TCP5061–5062Przychodzące do sieciSygnalizacja SIPWebexSygnalizacja przychodzącego SIP dla Edge Audio
TCP5061–5065Wychodzące do usługi WebexSygnalizacja SIPWebexWyjściowa sygnalizacja SIP dla Edge Audio
TCP/UDPPorty Ephemeral, 8000—59999Przychodzące do sieciPorty sesji multimedialnejWebexW zaporze przedsiębiorstwa porty muszą być otwarte dla ruchu przychodzącego do Expressway z zakresem portów od 8000—59999

Skonfiguruj mTLS, korzystając z następujących opcji:

Domeny i adresy URL usług Webex Calling

Symbol * wyświetlany na początku adresu URL (np. *.webex.com) oznacza, że usługi w domenie najwyższego poziomu i wszystkie subdomeny muszą być dostępne.

Tabela 3. Usługi Webex
Domena/adres URLOpisAplikacje i urządzenia Webex wykorzystujące te domeny/adresy URL

*.webex.com

*.cisco.com

*.webexgov.us

Podstawowe usługi Webex Calling i Webex Aware

obsługa administracyjna urządzeń

Przechowywanie tożsamości

Uwierzytelnianie

Usługi OAuth

dołączanie urządzenia

Gdy telefon łączy się z siecią po raz pierwszy lub po przywróceniu ustawień fabrycznych bez ustawionych opcji DHCP , kontaktuje się z serwerem aktywacji urządzenia w celu zapewnienia obsługi administracyjnej bezdotykowej. Nowe telefony korzystają z witrynyactivate.cisco.com, a telefonów z oprogramowaniem sprzętowym w wersji wcześniejszej niż 11.2(1). W celu obsługi administracyjnej nadal używaj witryny webapps.cisco.com.

Pobierz aktualizacje oprogramowania sprzętowego urządzenia i ustawień regionalnych z binaries.webex.com .

Wszystko
*.wbx2.com i *.ciscospark.comUżywany do rozpoznawania chmur, CSDM, WDM, rtęci i tak dalej. Te usługi są niezbędne, aby aplikacje i urządzenia mogły połączyć się z usługami Webex Calling i Webex Aware w trakcie i po wprowadzeniu.Wszystko
*.webexapis.com

Mikrousługi Webex, które zarządzają aplikacjami i urządzeniami.

Usługa zdjęcia profilowego

Usługa tablicy

Usługa zbliżeniowa

Usługa obecności

Rejestracja została odrzucona

Usługa kalendarza

Szukaj urządzenia

Wszystko
*.webexcontent.com

Usługa Webex Messaging związana z ogólnym przechowywaniem plików, w tym:

Linie użytkowników

Pliki transkodowane

Obrazy

Zrzut ekranu

Elementy sterujące tablicy

Dzienniki klienta i urządzenia

Zdjęcie profilowe

Logo marki

Pudełko pliki

Zbiorcze eksportowanie i importowanie plików CSV (Control Hub)

Usługi przesyłania wiadomości w aplikacji Webex.

 
Przechowywanie plików za pomocą webexcontent.com zastąpione przez clouddrive.com w październiku 2019 r.
Tabela 4. Dodatkowe usługi związane z Webex (domeny innych firm)
Domena/adres URLOpisAplikacje i urządzenia Webex wykorzystujące te domeny/adresy URL

*.appdynamics.com

*.eum-appdynamics.com

Śledzenie wydajności, przechwytywanie błędów i awarii, metryki sesji.Control Hub
*.huron-dev.comMikrousługi Webex Calling, takie jak usługi przełączania, zamawianie numerów telefonów i usługi przypisywania.Control Hub
*.sipflash.comUsługa zarządzania urządzeniami Aktualizacje oprogramowania sprzętowego i bezpieczne wdrażanie.Aplikacje Webex

*.google.com

*.googleapis.com

Powiadomienia do aplikacji Webex na urządzeniach mobilnych (przykład: nowa wiadomość po odebraniu połączenia)

W przypadku IP należy skorzystać z tych łączy

Usługa Google Firebase Cloud Messaging (FCM)

Usługa powiadomień push Apple (APNS)

Aplikacja Webex

Podsieci IP dla usług Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Porty używane przez usługę Webex Calling

Tabela 5. Usługi Webex Calling i Webex Aware
Cel połączeniaAdresy źródłowePorty źródłoweProtokółAdresy docelowePorty doceloweUwagi
Sygnalizacja połączeń do Webex Calling (SIP TLS)Brama lokalna zewnętrzna (NIC)8000 — 65535TCPPatrz Podsieci IP dla usługtelefonicznych Webex.5062, 8934

Te adresy IP/porty są potrzebne do sygnalizacji połączeń wychodzących SIP-TLS z bram lokalnych, urządzeń i aplikacji (źródło) do chmury wywołującej Webex (miejsce docelowe).

Port 5062 (wymagany dla łącza magistralowego opartego na certyfikacie). Oraz port 8934 (wymagany dla łącza trunkingowego opartego na rejestracji

Urządzenia5060–50808934
AplikacjeEfemeryczny (zależny od systemu operacyjnego)
Połącz media z Webex Calling (SRTP)Zewnętrzna karta sieciowa bramy lokalnej8000 — 48198*UDPPatrz Podsieci IP dla usługtelefonicznych Webex.

8500 — 8700 19560 — 65535 (SRTP nad UDP)

STUN, optymalizacja multimediów oparta na ICE-Lite nie jest obsługiwana w usłudze Webex for Government.

Te adresy IP/porty są potrzebne do wychodzących nośników wywołań SRTP z bram lokalnych, urządzeń i aplikacji (źródło) do Webex Calling Cloud (miejsce docelowe).

W przypadku niektórych topologii sieci, w których zapory są używane w siedzibie klienta, zezwól na dostęp do wspomnianych zakresów portów źródłowych i docelowych wewnątrz sieci, aby przepływały media.

Przykład: W przypadku aplikacji zezwól na zasięg portu źródłowego i docelowego 8500 — 8700.

Urządzenia19560–19660
Aplikacje8500 — 8700
Sygnalizacja połączeń z bramą PSTN (SIP TLS)Wewnętrzna karta sieciowa bramy lokalnej8000 — 65535TCPTwój ITSP, PSTN, GW lub Unified CMZależy od opcji PSTN (na przykład zazwyczaj 5060 lub 5061 dla ujednoliconej łączności maszynowej)
Wywoływanie multimediów z bramą PSTN (SRTP)Wewnętrzna karta sieciowa bramy lokalnej8000 — 48198*UDPTwój ITSP, PSTN, GW lub Unified CMZależy od opcji PSTN (na przykład zwykle 5060 lub 5061 dla Unified CM)
Konfiguracja urządzeń i zarządzanie oprogramowaniem układowym (urządzenia Cisco)Urządzenia Webex CallingKrótkotrwałeTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443,6970

Wymagane z następujących powodów:

  1. Migracja z telefonów firmowych (Cisco Unified CM) do Webex Calling. Zobacz upgrade.cisco.com aby uzyskać więcej informacji. Cloudupgrader.webex.com używa portów: 6970,443 dla procesu migracji oprogramowania sprzętowego.

  2. Te adresy IP są wymagane do bezpiecznego wdrażania urządzeń (MPP i telefonów pokojowych lub stacjonarnych) przy użyciu 16-cyfrowego kodu aktywacyjnego (GDS).

  3. W przypadku CDA/EDOS — obsługa administracyjna oparta na MAC . Używany przez urządzenia (telefony MPP, ATA i SPA ATA) z nowszym oprogramowaniem układowym.

  4. Gdy telefon łączy się z siecią po raz pierwszy lub po przywróceniu ustawień fabrycznych bez ustawionych opcji DHCP , kontaktuje się z serwerem aktywacji urządzenia w celu zapewnienia obsługi administracyjnej typu zero-touch. Nowe telefony używają "activate.cisco.com" zamiast "webapps.cisco.com" do obsługi administracyjnej. Telefony z oprogramowaniem sprzętowym w wersji wcześniejszej niż 11.2(1) nadal używają "webapps.cisco.com". Zaleca się, aby zezwolić na wszystkie te podsieci IP .

Konfiguracja aplikacjiAplikacje Webex CallingKrótkotrwałeTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Używany do uwierzytelniania Idbroker, usług konfiguracji aplikacji dla klientów, dostępu do Internetu opartego na przeglądarce do samodzielnej obsługi ORAZ dostępu do interfejsów administracyjnych.
Synchronizacja czasu urządzenia (NTP)Urządzenia Webex Calling51494UDPPatrz Podsieci IP dla usługtelefonicznych Webex.123Te adresy IP są potrzebne do synchronizacji czasu dla urządzeń (telefony MPP, ATA i usługi ATA SPA)
Rozdzielczość nazwy urządzenia i rozdzielczości nazwy aplikacjiUrządzenia Webex CallingKrótkotrwałeUDP i TCPZdefiniowane przez hosta53

Służy do wyszukiwania DNS w celu wykrywania adresów IP serwerów Webex w chmurze.

Mimo że typowe wyszukiwania DNS są wykonywane za pośrednictwem protokołu UDP, niektóre z nich mogą wymagać protokołu TCP, jeśli odpowiedzi na zapytanie nie mieszczą go w pakietach UDP.
Synchronizacja czasu aplikacjiAplikacje Webex Calling123UPDZdefiniowane przez hosta123
CScanGotowość do pracy w sieci Web Narzędzie wstępnej kwalifikacji dla Webex CallingKrótkotrwałeUPDPatrz Podsieci IP dla usługtelefonicznych Webex.19569–19760Oparte na sieci Web narzędzie do wstępnej kwalifikacji sieci Webex Calling. Przejdź do cscan.webex.com , aby uzyskać więcej informacji.
Tabela 6. Dodatkowe usługi Webex Calling i Webex Aware (strona trzecia)
Cel połączeniaAdresy źródłowePorty źródłoweProtokółAdresy docelowePorty doceloweUwagi
Powiadomienia push Usługi APNS i FCMAplikacje Webex CallingKrótkotrwałeTCP

Zapoznaj się z tematem Podsieci IP wymienione pod łączami

Usługa powiadomień push Apple (APNS)

Komunikacja w chmurze Google-Firebase (FCM)

443, 2197, 5228, 5229, 5230, 5223Powiadomienia do aplikacji Webex na urządzeniach mobilnych (przykład: Po otrzymaniu nowej wiadomości lub odebraniu połączenia)

 
  • † zakres portów nośników CUBE można konfigurować z zakresemportów rtp.
  • Jeśli adres serwera proxy jest skonfigurowany dla aplikacji i urządzeń, ruch sygnalizacyjny jest wysyłany do serwera proxy. Media transportowane SRTP przez UDP nie są wysyłane do serwera proxy. Zamiast tego musi przepływać bezpośrednio do zapory.
  • Jeśli korzystasz z usług NTP i DNS w sieci firmowej, otwórz porty 53 i 123 w zaporze.