Dziękujemy za opinię.
Wymagania sieciowe aplikacji Webex for Government (FedRAMP)
Opinia?
Skrócona instrukcja obsługi portów spotkań i zakresów IP
Następujące zakresy IP są używane przez witryny wdrożone w klastrze spotkań FedRAMP. W przypadku tego dokumentu zakresy te są nazywane „zakresami IP Webex”:
- 150.253.150.0/23 (od 150.253.150.0 do 150.253.151.255)
- 144.196.224.0/21 (od 144.196.224.0 do 144.196.231.255)
- 23.89.18.0/23 (od 23.89.18.0 do 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 do 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 do 170.72.254.255)
- 170.133.156.0/22 (od 170.133.156.0 do 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 do 207.182.167.255)
- 207.182.168.0/23 (207.182.168,0 do 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 do 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 do 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0 do 216.151.130.255)
- 216.151.134.0/24 (216.151.134.0 do 216.151.134.255)
- 216.151.135.0/25 (216.151.135.0 do 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 do 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 do 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 do 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 do 216.151.139.254)
Wdrożone usługi
Usługi wdrożone w tym zakresie adresów IP obejmują między innymi:
- Witryna internetowa spotkania (np. customersite.webex.com)
- Spotkanie z serwerami danych
- Serwery multimedialne do komputerowego audio (VoIP) i wideo z kamery internetowej
- Usługi XML/API, w tym narzędzia zwiększające wydajność
- Serwery sieciowe do nagrywania (NBR)
- Usługi drugorzędne, gdy usługi podstawowe są w trakcie konserwacji lub mają problemy techniczne
Poniższe identyfikatory URI służą do sprawdzania „Listy unieważnionych certyfikatów” pod kątem naszych certyfikatów bezpieczeństwa. Listy odwołań certyfikatów, aby zapewnić, że żadne złamane certyfikaty nie mogą być używane do przechwytywania bezpiecznego ruchu Webex. Ten ruch występuje na porcie TCP 80:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (certyfikaty IdenTrust)
Następujący użytkownicyAgent zostaną przekierowani przez Webex w ramach procesu utiltp w Webex i powinni być dozwoleni przez zaporę agencji:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping jako część dozwolonych adresów URL. Jest on wykorzystywany jako część procesu aktywacji urządzenia i „urządzenie używa go, zanim zorientuje się, że jest urządzeniem FedRAMP. Urządzenie wysyła do niego kod aktywacyjny bez informacji FedRAMP, usługa widzi, że jest to kod aktywacyjny FedRAMP, a następnie przekierowuje go”.
Cały ruch FedRAMP wymaga szyfrowania TLS 1.2 i szyfrowania mTLS 1.2 dla urządzeń zarejestrowanych w siedzibie SIP.
Porty używane przez klientów Webex Meetings (w tym urządzenia zarejestrowane w chmurze)
| Protokół | Numer(y) portu | Kierunek | Typ ruchu | Zakres IP | Komentarze |
|---|---|---|---|---|---|
| TCP | 80/443 | Wychodzące do Webex | HTTP, HTTPS | Webex i AWS (nie zaleca się filtrowania według adresu IP) |
Webex zaleca filtrowanie według adresu URL. W PRZYPADKU FILTROWANIA według adresu IP należy zezwolić na zakresy IP AWS GovCloud, Cloudfront i Webex. |
| TCP/UDP | 53 | Wychodzące do lokalnego DNS | Usługi nazw domen (DNS) | Tylko serwer DNS | Służy do wyszukiwania DNS w celu wykrywania adresów IP serwerów Webex w chmurze. Mimo że typowe wyszukiwania DNS są wykonywane za pośrednictwem protokołu UDP, niektóre z nich mogą wymagać protokołu TCP, jeśli odpowiedzi na zapytanie nie mieszczą go w pakietach UDP. |
| UDP | 9000, 5004 | Wychodzące do usługi Webex | Podstawowe multimedia klienta Webex (VoIP i Video RTP) | Webex | Port mediów klienta Webex służy do wymiany dźwięku z komputera, wideo z kamery internetowej i strumieni udostępniania treści. Otwarcie tego portu jest wymagane, aby zapewnić możliwe jak najlepsze wrażenia multimedialne. |
| TCP | 5004, 443, 80 | Wychodzące do usługi Webex | Alternatywne multimedia klienta Webex (VoIP i Video RTP) | Webex | Porty rezerwowe do łączności z mediami, gdy port UDP 9000 nie jest otwarty w zaporze |
| UDP/TCP |
Audio: 52000 do 52049 Wideo: 52100 do 52199 | Przychodzące do Twojej sieci | Multimedia klienta Webex (Voip i Video) | Powrót z AWS i Webex |
Webex skomunikuje się z odebranym portem docelowym podczas nawiązywania połączenia przez klienta. Zapora powinna być skonfigurowana tak, aby zezwalała na te połączenia zwrotne. Jest to domyślnie włączone. |
| TCP/UDP | Efemeryczne porty specyficzne dla systemu operacyjnego | Przychodzące do Twojej sieci | Ruch powrotny z Webex | Powrót z AWS i Webex |
Webex skomunikuje się z odebranym portem docelowym podczas nawiązywania połączenia przez klienta. Zapora powinna być skonfigurowana tak, aby zezwalała na te połączenia zwrotne. Zazwyczaj jest to otwierane automatycznie w stanowej zaporze, jednak jest to widoczne tutaj dla kompletności. |
W przypadku klientów włączających usługę Webex for Government, którzy nie mogą zezwolić na filtrowanie oparte na adresach URL dla protokołu HTTPS, muszą zezwolić na połączenie z usługą AWS Gov Cloud West (region: us-gov-west-1 i Cloud Front (usługa: Z CHMURY). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy adresów IP dla regionu AWS Gov Cloud West i AWS Cloud Front. Dokumentacja AWS jest dostępna pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex zdecydowanie zaleca, jeśli to możliwe, filtrowanie według adresu URL.
Cloudfront służy do statycznej zawartości dostarczanej za pośrednictwem sieci dostarczania treści, aby zapewnić klientom najlepszą wydajność w całym kraju.
Porty używane przez zarejestrowane w siedzibie urządzenia do współpracy wideo Cisco
Zobacz również Przewodnik Cisco Webex Meetings Enterprise Deployment Guide dla spotkań z obsługą urządzeń wideo
| Protokół | Numery portów | Kierunek | Typ dostępu | Zakres IP | Komentarze |
|---|---|---|---|---|---|
| TCP | 5061—5070 | Wychodzące do Webex | Sygnalizacja SIP | Webex | Krawędź mediów Webex nasłuchuje na tych portach |
| TCP | 5061, 5065 | Przychodzące do Twojej sieci | Sygnalizacja SIP | Webex | Przychodzący ruch sygnalizacyjny SIP z chmury Webex |
| TCP | 5061 | Wychodzące do usługi Webex | Sygnalizacja SIP z urządzeń zarejestrowanych w chmurze | AWS | Połączenia przychodzące z aplikacji Webex Calling 1:1 i urządzeń zarejestrowanych w chmurze do Twojego zarejestrowanego w siedzibie SIP URI. *5061 to port domyślny. Usługa Webex obsługuje porty 5061–5070, które mają być używane przez klientów zgodnie z definicją w rekordzie SIP SRV |
| TCP/UDP | 1719, 1720, 15000—19999 | Wychodzące do usługi Webex | H.323 LS | Webex | Jeśli punkt końcowy wymaga komunikacji ze strażnikiem, otwórz również port 1719, który obejmuje rozwiązanie Lifesize |
| TCP/UDP | Porty efemeryczne, 36000–59999 | Przychodzące | Porty multimedialne | Webex | Jeśli korzystasz z Cisco Expressway, zakresy multimediów muszą być ustawione na 36000-59999. Jeśli używasz punktu końcowego lub sterowania połączeniami innej firmy, należy je skonfigurować do korzystania z tego zakresu. |
| TCP | 443 | Przychodzące | Lokalna bliskość urządzenia | Sieć lokalna | Aplikacja Webex lub aplikacja klasyczna Webex musi mieć ścieżkę z możliwością routingu IPv4 między nią a urządzeniem wideo przy użyciu protokołu HTTPS |
Dla klientów umożliwiających Webex for Government odbieranie połączeń przychodzących z urządzeń zarejestrowanych w aplikacji Webex App 1:1 i Cloud do zarejestrowanego lokalnie identyfikatora SIP URI. Musisz także zezwolić na łączność z AWS Gov Cloud West (region: us-gov-west-1). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy IP dla regionu AWS Gov Cloud West. Dokumentacja AWS dostępna jest pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Porty używane przez Edge Audio
Jest to wymagane tylko w przypadku wykorzystania usługi Edge Audio.
| Protokół | Numery portów | Kierunek | Typ dostępu | Zakres IP | Komentarze |
|---|---|---|---|---|---|
| TCP | 5061—5062 | Przychodzące do Twojej sieci | Sygnalizacja SIP | Webex | Przychodząca sygnalizacja SIP dla Edge Audio |
| TCP | 5061—5065 | Wychodzące do Webex | Sygnalizacja SIP | Webex | Wychodząca sygnalizacja SIP dla Edge Audio |
| TCP/UDP | Porty efemeryczne, 8000–59999 | Przychodzące do Twojej sieci | Porty multimedialne | Webex | W zaporze przedsiębiorstwa należy otworzyć porty dla ruchu przychodzącego do węzła Expressway o zakresie portów od 8000 do 59999 |
Skonfiguruj protokół mTLS przy użyciu następujących opcji:
- Skonfiguruj Expressway | Wzajemne uwierzytelnianie TLS.
- Obsługiwane główne urzędy certyfikacji |Platformy audio i wideo Cisco Webex.
- | Przewodnik konfiguracji Edge Audio.
Domeny i adresy URL usług Webex Calling
A * pokazany na początku adresu URL (na przykład *.webex.com) wskazuje, że usługi w domenie najwyższego poziomu i wszystkich poddomenach są dostępne.
| Domena/adres URL | Opis | Aplikacje i urządzenia Webex korzystające z tych domen/adresów URL |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
Podstawowe usługi Webex Calling i Webex Aware Konfiguracja tożsamości Miejsce do przechowywania tożsamości Uwierzytelnianie Usługi OAuth Wprowadzanie urządzenia Gdy telefon łączy się z siecią po raz pierwszy lub po zresetowaniu fabrycznym bez ustawionych opcji DHCP, kontaktuje się z serwerem aktywacyjnym urządzenia w celu zapewnienia zerowej obsługi dotykowej. Nowe telefony używają activate.cisco.com i telefonów z oprogramowaniem sprzętowym wydanym wcześniej niż 11.2(1), nadal używają webapps.cisco.com do obsługi administracyjnej. Pobierz oprogramowanie sprzętowe urządzenia i aktualizacje ustawień regionalnych z witryny binaries.webex.com. | Wszystko |
| *.wbx2.com i *.ciscospark.com | Używany do świadomości chmury, CSDM, WDM, rtęci i tak dalej. Usługi te są niezbędne, aby aplikacje i urządzenia mogły docierać do usług Webex Calling i Webex Aware podczas i po wdrożeniu. | Wszystkie |
| *.webexapis.com |
Mikrousługi Webex zarządzające aplikacjami i urządzeniami. Usługa zdjęć profilowych Usługa Whiteboarding Usługa bliskości Usługa obecności Usługa rejestracji Usługa kalendarza Wyszukaj usługę | Wszystkie |
| *.webexcontent.com |
Usługa wiadomości Webex związana z ogólnym przechowywaniem plików, w tym: Pliki użytkownika Transkodowane pliki Obrazy Zrzuty ekranu Zawartość tablicy Dzienniki klientów i urządzeń Zdjęcia profilowe Logo elementów graficznych Pliki dziennika Zbiorcze pliki eksportu CSV i pliki importu (Control Hub) | Usługi wiadomości w aplikacji Webex. Przechowywanie plików za pomocą webexcontent.com zastąpione clouddrive.com w październiku 2019 |
| Domena/adres URL | Opis | Aplikacje i urządzenia Webex korzystające z tych domen/adresów URL |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | Śledzenie wydajności, przechwytywanie błędów i awarii, metryki sesji. | Control Hub |
| *.huron-dev.com | Mikrousługi Webex Calling, takie jak usługi przełączania, zamawianie numerów telefonów i usługi przypisywania. | Control Hub |
| *.sipflash.com | Usługi zarządzania urządzeniami. Uaktualnienia oprogramowania sprzętowego i bezpieczne cele wdrażania. | Aplikacje Webex |
|
*.google.com *.googleapis.com |
Powiadomienia do aplikacji Webex na urządzeniach mobilnych (Przykład: nowej wiadomości, gdy połączenie zostanie odebrane) W przypadku podsieci IP należy zapoznać się z tymi łączami | Aplikacja Webex |
Podsieci IP dla usług Webex Calling
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
Porty używane przez Webex Calling
| Cel połączenia | Adresy źródłowe | Porty źródłowe | Protokół | Adresy docelowe | Porty docelowe | Uwagi |
|---|---|---|---|---|---|---|
| Sygnalizacja połączeń do Webex Calling (SIP TLS) | Brama lokalna zewnętrzna (NIC) | 8000—65535 | TCP | Patrz Podsieci IP dla usługwywołań Webex. | 5062, 8934 |
Te adresy IP/porty są potrzebne do sygnalizacji wychodzących połączeń SIP-TLS z lokalnych bram, urządzeń i aplikacji (źródło) do Webex Calling Cloud (miejsce docelowe). Port 5062 (wymagany dla łącza magistralowego opartego na certyfikacie). I port 8934 (wymagane dla bagażnika opartego na rejestracji) |
| Urządzenia | 5060—5080 | 8934 | ||||
| Aplikacje | Efemeryczny (zależny od systemu operacyjnego) | |||||
| Wywołaj multimedia do usługi Webex Calling (SRTP) | Zewnętrzna karta sieciowa bramy lokalnej | 8000—48198†* | UDP | Patrz Podsieci IP dla usługwywołań Webex. |
8500 — 8700, 19560 — 65535 (SRTP przez UDP) |
W przypadku usługi Webex dla instytucji rządowych optymalizacja multimediów oparta na standardach STUN i ICE-Lite nie jest obsługiwana. Te adresy IP/porty są używane dla wychodzących nośników połączeń SRTP z bram lokalnych, urządzeń i aplikacji (źródło) do chmury Webex Calling (miejsce docelowe). W przypadku niektórych topologii sieci, w których zapory są używane w siedzibie klienta, zezwól na dostęp do wspomnianych zakresów portów źródłowych i docelowych wewnątrz sieci, aby przepływały media. Przykład: W przypadku aplikacji zezwól na zakres portów źródłowych i docelowych 8500–8700. |
| Urządzenia | 19560—19660 | |||||
| Aplikacje | 8500—8700 | |||||
| Sygnalizacja połączeń z bramą PSTN (SIP TLS) | Wewnętrzna karta sieciowa bramy lokalnej | 8000—65535 | TCP | Twój ITSP PSTN GW lub Unified CM | Zależy od opcji PSTN (na przykład zazwyczaj 5060 lub 5061 dla Unified CM) | |
| Wywołanie nośnika do bramy PSTN (SRTP) | Wewnętrzna karta sieciowa bramy lokalnej | 8000—48198†* | UDP | Twój ITSP PSTN GW lub Unified CM | Zależy od opcji PSTN (na przykład zwykle 5060 lub 5061 dla Unified CM) | |
| Konfiguracja urządzeń i zarządzanie oprogramowaniem układowym (urządzenia Cisco) | Urządzenia Webex Calling | Krótkotrwałe | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
Wymagane z następujących powodów:
|
| Konfiguracja aplikacji | Aplikacje Webex Calling | Krótkotrwałe | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Służy do Uwierzytelniania Idbroker, usług konfiguracji aplikacji dla klientów, dostępu do sieci Web w przeglądarce do samoobsługi I dostępu do interfejsów Administracyjnych. |
| Synchronizacja czasu urządzenia (NTP) | Urządzenia Webex Calling | 51494 | UDP | Patrz Podsieci IP dla usługwywołań Webex. | 123 | Te adresy IP są potrzebne do synchronizacji czasu dla urządzeń (telefony MPP, ATA i SPA ATA) |
| Rozdzielczość nazwy urządzenia i rozdzielczość nazwy aplikacji | Urządzenia Webex Calling | Krótkotrwałe | UDP i TCP | Zdefiniowane przez hosta | 53 | Służy do wyszukiwania DNS w celu wykrycia adresów IP usług Webex Calling w chmurze. Nawet jeśli typowe wyszukiwanie DNS odbywa się za pośrednictwem protokołu UDP, niektóre z nich mogą wymagać protokołu TCP, jeśli odpowiedzi na zapytanie nie mogą go zmieścić w pakietach UDP. |
| Synchronizacja czasu aplikacji | Aplikacje Webex Calling | 123 | UPD | Zdefiniowane przez hosta | 123 | |
| CScan | Narzędzie do wstępnej kwalifikacji gotowości sieci WWW dla usługi Webex Calling | Krótkotrwałe | UPD | Patrz Podsieci IP dla usługwywołań Webex. | 19569—19760 | Narzędzie do wstępnej kwalifikacji gotowości sieci internetowej dla usługi Webex Calling. Przejdź do cscan.webex.com , aby uzyskać więcej informacji. |
| Cel połączenia | Adresy źródłowe | Porty źródłowe | Protokół | Adresy docelowe | Porty docelowe | Uwagi |
|---|---|---|---|---|---|---|
| Powiadomienia push — usługi APNS i FCM | Aplikacje Webex Calling | Krótkotrwałe | TCP |
Zapoznaj się z podsieciami IP wymienionymi pod łączami | 443, 2197, 5228, 5229, 5230, 5223 | Powiadomienia do aplikacji Webex na urządzeniach mobilnych (Przykład: Po otrzymaniu nowej wiadomości lub odebraniu połączenia) |
- *Zakres portów multimediów CUBE można konfigurować przy użyciu zakresu rtp-port.
- Jeśli adres serwera proxy jest skonfigurowany dla aplikacji i urządzeń, ruch sygnalizacyjny jest wysyłany do serwera proxy. Multimedia transportowane przez protokół SRTP za pośrednictwem protokołu UDP nie są wysyłane do serwera proxy. Zamiast tego musi płynąć bezpośrednio do zapory.
- Jeśli korzystasz z usług NTP i DNS w sieci firmowej, otwórz porty 53 i 123 przez zaporę.
