Krótki przewodnik po portach i zakresach IP spotkań

Poniższe zakresy adresów IP są wykorzystywane przez witryny wdrożone w klastrze spotkań FedRAMP. W niniejszym dokumencie zakresy te określane są mianem „zakresów adresów IP Webex”:

  • 150.253.150.0/23 (150.253.150.0 do 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 do 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 do 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 do 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 do 170.72.254.255)
  • 170.133.156.0/22 (od 170.133.156.0 do 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 do 207.182.167.255)
  • 207.182.168.0/23 (207.182.168,0 do 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 do 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 do 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 do 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 do 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 do 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 do 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 do 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 do 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 do 216.151.139.254)

Wdrożone usługi

Usługi wdrożone w tym zakresie adresów IP obejmują między innymi:

  • Witryna internetowa spotkania (np. customersite.webex.com)
  • Spotkanie z serwerami danych
  • Serwery multimedialne do komputerowego audio (VoIP) i wideo z kamery internetowej
  • XML/API usługi, w tym planowanie narzędzi zwiększających produktywność
  • Serwery sieciowe do nagrywania (NBR)
  • Usługi drugorzędne, gdy usługi podstawowe są w trakcie konserwacji lub mają problemy techniczne

Poniższe identyfikatory URI służą do sprawdzania „Listy unieważnionych certyfikatów” pod kątem naszych certyfikatów bezpieczeństwa. Listy odwołań certyfikatów, aby zapewnić, że żadne złamane certyfikaty nie mogą być używane do przechwytywania bezpiecznego ruchu Webex. Ten ruch występuje na porcie TCP 80:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (certyfikaty IdenTrust)

Następujące UserAgenty zostaną przesłane do Webex za pośrednictwem procesu utiltp w Webex i powinny zostać przepuszczone przez zaporę agencji:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping jako część dozwolonych adresów URL. Jest on używany w ramach procesu aktywacji urządzenia i „urządzenie używa go zanim jeszcze zda sobie sprawę, że jest urządzeniem FedRAMP. Urządzenie wysyła kod aktywacyjny bez informacji FedRAMP, usługa rozpoznaje, że jest to kod aktywacyjny FedRAMP i przekierowuje urządzenie.

Cały ruch FedRAMP wymaga szyfrowania TLS 1.2 i mTLS 1.2 w przypadku lokalnych urządzeń zarejestrowanych w protokole SIP.

Porty używane przez klientów Webex Meetings (w tym urządzenia zarejestrowane w chmurze)

ProtokółNumer(y) portuKierunekTyp ruchuZakres IPKomentarze
TCP80/443Wychodzące do WebexHTTP, HTTPSWebex i AWS (nie zaleca się filtrowania według adresu IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Służy do obsługi statycznej zawartości i plików)
  • *.wbx2.com

Webex zaleca filtrowanie według adresu URL. W przypadku filtrowania według adresu IP należy zezwolić na zakresy adresów IP AWS GovCloud, Cloudfront i Webex.

TCP/UDP53Wychodzące do lokalnego DNSUsługi nazw domen (DNS)Tylko serwer DNSSłuży do wyszukiwania DNS w celu wykrywania adresów IP serwerów Webex w chmurze. Mimo że typowe wyszukiwania DNS są wykonywane za pośrednictwem protokołu UDP, niektóre z nich mogą wymagać protokołu TCP, jeśli odpowiedzi na zapytanie nie mieszczą go w pakietach UDP.
UDP9000, 5004Wychodzące do usługi WebexPodstawowe multimedia klienta Webex (VoIP i Video RTP)WebexPort mediów klienta Webex służy do wymiany dźwięku z komputera, wideo z kamery internetowej i strumieni udostępniania treści. Otwarcie tego portu jest konieczne w celu zapewnienia jak najlepszych wrażeń podczas korzystania z multimediów.
TCP5004, 443, 80Wychodzące do usługi WebexAlternatywne multimedia klienta Webex (VoIP i Video RTP)WebexPorty rezerwowe do łączności z mediami, gdy port UDP 9000 nie jest otwarty w zaporze
UDP/TCP

Audio: 52000 do 52049

Wideo: 52100 do 52199

Przychodzące do Twojej sieciWebex Client Media (VoIP i wideo)Powrót z AWS i Webex

Webex skomunikuje się z odebranym portem docelowym podczas nawiązywania połączenia przez klienta. Zapora powinna być skonfigurowana tak, aby zezwalała na te połączenia zwrotne.

Jest to domyślnie włączone.
TCP/UDPEfemeryczne porty specyficzne dla systemu operacyjnegoPrzychodzące do Twojej sieciRuch powrotny z WebexPowrót z AWS i Webex

Webex skomunikuje się z odebranym portem docelowym podczas nawiązywania połączenia przez klienta. Zapora powinna być skonfigurowana tak, aby zezwalała na te połączenia zwrotne.

Opcja ta jest zazwyczaj otwierana automatycznie w zaporze stanowej, jednak została tutaj wymieniona ze względów kompletności.

Klienci, którzy włączają usługę Webex dla instytucji rządowych i nie mogą zezwolić na filtrowanie oparte na adresach URL dla protokołu HTTPS, muszą zezwolić na łączność z usługą AWS Gov Cloud West (region: us-gov-west-1 i Cloud Front (usługa: Z CHMURY). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy adresów IP dla regionu AWS Gov Cloud West i AWS Cloud Front. Dokumentację AWS można znaleźć pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex zdecydowanie zaleca filtrowanie według adresu URL, o ile jest to możliwe.

Cloudfront służy do statycznej zawartości dostarczanej za pośrednictwem sieci dostarczania treści, aby zapewnić klientom najlepszą wydajność w całym kraju.

Porty używane przez zarejestrowane lokalnie urządzenia do współpracy wideo Cisco

Zobacz także Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings

ProtokółNumery portówKierunekTyp dostępuZakres IPKomentarze
TCP5061—5070Wychodzące do WebexSygnalizacja SIPWebexKrawędź mediów Webex nasłuchuje na tych portach
TCP5061, 5065Przychodzące do Twojej sieciSygnalizacja SIPWebexPrzychodzący ruch sygnalizacyjny SIP z chmury Webex
TCP5061Wychodzące do usługi WebexSygnalizacja SIP z urządzeń zarejestrowanych w chmurzeAWSPołączenia przychodzące z aplikacji Webex 1:1 Nawiązywanie połączeń z urządzeniami zarejestrowanymi w chmurze za pomocą lokalnego adresu SIP URI. *5061 jest portem domyślnym. Webex obsługuje porty 5061—5070, których mogą używać klienci zgodnie z definicją w ich rekordzie SIP SRV
TCP/UDP1719, 1720, 15000—19999Wychodzące do usługi WebexH.323 LSWebexJeśli Twój punkt końcowy wymaga komunikacji z gatekeeperem, otwórz także port 1719, który obejmuje Lifesize
TCP/UDPPorty efemeryczne, 36000—59999PrzychodzącePorty multimedialneWebexJeśli korzystasz z Cisco Expressway, zakresy multimediów muszą być ustawione na 36000-59999. Jeśli używasz zewnętrznego punktu końcowego lub kontroli połączeń, należy je skonfigurować tak, aby korzystały z tego zakresu.
TCP443PrzychodząceLokalna bliskość urządzeniaSieć lokalnaAplikacja Webex lub aplikacja Webex Desktop musi mieć ścieżkę zgodną z protokołem IPv4 między sobą a urządzeniem wideo za pomocą protokołu HTTPS

Dla klientów umożliwiających Webex for Government odbieranie połączeń przychodzących z urządzeń zarejestrowanych w aplikacji Webex App 1:1 i Cloud do zarejestrowanego lokalnie identyfikatora SIP URI. Musisz także zezwolić na łączność z AWS Gov Cloud West (region: us-gov-west-1). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy adresów IP dla regionu AWS Gov Cloud West. Dokumentacja AWS dostępna jest pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Porty używane przez Edge Audio

Jest to wymagane tylko w przypadku korzystania z Edge Audio.

ProtokółNumery portówKierunekTyp dostępuZakres IPKomentarze
TCP5061—5062Przychodzące do Twojej sieciSygnalizacja SIPWebexSygnalizacja SIP przychodząca dla Edge Audio
TCP5061—5065Wychodzące do WebexSygnalizacja SIPWebexSygnalizacja SIP wychodząca dla Edge Audio
TCP/UDPPorty tymczasowe, 8000—59999Przychodzące do Twojej sieciPorty multimedialneWebexW przypadku zapory sieciowej przedsiębiorstwa należy otworzyć porty dla ruchu przychodzącego do Expressway, przy czym zakres portów powinien wynosić od 8000 do 59999

Skonfiguruj mTLS, korzystając z następujących opcji:

Domeny i adresy URL dla usług Webex Calling

A * wyświetlane na początku adresu URL (na przykład, *.webex.com) oznacza, że usługi w domenie najwyższego poziomu i wszystkich subdomenach są dostępne.

Tabela 3. Usługi Webex
Domain/URLOpisAplikacje i urządzenia Webex korzystające z tych domains/URLs

*.webex.com

*.cisco.com

*.webexgov.us

Podstawowe połączenia Webex & Usługi Webex Aware

Dostarczanie tożsamości

Przechowywanie tożsamości

Uwierzytelnianie

Usługi OAuth

Wdrażanie urządzenia

Gdy telefon łączy się z siecią po raz pierwszy lub po przywróceniu ustawień fabrycznych bez ustawionych opcji DHCP, kontaktuje się z serwerem aktywacji urządzenia w celu przeprowadzenia bezobsługowej konfiguracji. W przypadku nowych telefonów należy używać activate.cisco.com, natomiast w przypadku telefonów z wersją oprogramowania sprzętowego starszą niż 11.2(1) do provisioningu nadal należy używać webapps.cisco.com.

Pobierz oprogramowanie układowe urządzenia i aktualizacje ustawień regionalnych ze strony binaries.webex.com.

Wszystko
*.wbx2.com i *.ciscospark.comUżywany do rozpoznawania chmury, CSDM, WDM, Mercury itd. Usługi te są niezbędne, aby aplikacje i urządzenia mogły nawiązać połączenie z usługą Webex Calling & Usługi Webex Aware w trakcie i po wdrożeniu.Wszystko
*.webexapis.com

Mikrousługi Webex zarządzające aplikacjami i urządzeniami.

Usługa zdjęć profilowych

Usługa tablicy suchościeralnej

Usługa zbliżeniowa

Usługa obecności

Usługa rejestracyjna

Usługa kalendarzowa

Usługa wyszukiwania

Wszystko
*.webexcontent.com

Usługa przesyłania wiadomości Webex związana z ogólnym przechowywaniem plików, obejmująca:

Pliki użytkownika

Pliki transkodowane

Obrazy

Zrzuty ekranu

Treść tablicy

Klient & dzienniki urządzeń

Zdjęcia profilowe

Logo marki

Pliki dziennika

Pliki eksportu zbiorczego CSV & importuj pliki (Control Hub)

Usługi przesyłania wiadomości za pośrednictwem aplikacji Webex.
Przechowywanie plików za pomocą webexcontent.com zastąpione przez clouddrive.com w październiku 2019 r.
Tabela 4. Dodatkowe usługi związane z Webex (domeny osób trzecich)
Domain/URLOpisAplikacje i urządzenia Webex korzystające z tych domains/URLs

*.appdynamics.com

*.eum-appdynamics.com

Śledzenie wydajności, przechwytywanie błędów i awarii, metryki sesji.Control Hub
*.huron-dev.comMikrousługi Webex Calling, takie jak usługi przełączania, zamawianie numerów telefonów i usługi przypisywania.Control Hub
*.sipflash.comUsługi zarządzania urządzeniami. Aktualizacje oprogramowania sprzętowego i bezpieczne wdrażanie.Aplikacje Webex

*.google.com

*.googleapis.com

Powiadomienia do aplikacji Webex na urządzeniach mobilnych (przykład: nowa wiadomość, gdy połączenie zostanie odebrane)

Aby uzyskać informacje o podsieciach IP, zapoznaj się z tymi linkami

Usługa Google Firebase Cloud Messaging (FCM)

Usługa powiadomień push firmy Apple (APNS)

Aplikacja Webex

Podsieci IP dla usług Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24
  • 144.196.17.0/24

Porty używane przez Webex Calling

Tabela 5. Usługi Webex Calling i Webex Aware
Cel połączeniaAdresy źródłowePorty źródłoweProtokółAdresy docelowePorty doceloweUwagi
Sygnalizacja połączeń do Webex Calling (SIP TLS)Brama lokalna zewnętrzna (NIC)8000—65535TCPPatrz Podsieci IP dla usługwywołań Webex.5062, 8934

Te adresy IP/porty są potrzebne do sygnalizacji wychodzących połączeń SIP-TLS z lokalnych bram, urządzeń i aplikacji (źródło) do Webex Calling Cloud (miejsce docelowe).

Port 5062 (wymagany dla łącza opartego na certyfikacie). I port 8934 (wymagany do magistrali opartej na rejestracji)

Urządzenia5060—50808934
AplikacjeEfemeryczny (zależny od systemu operacyjnego)
Zadzwoń do mediów za pomocą Webex Calling (SRTP)Zewnętrzna karta sieciowa bramy lokalnej8000—48198*UDPPatrz Podsieci IP dla usługwywołań Webex.

8500—8700,19560—65535 (SRTP przez UDP)

Optymalizacja multimediów oparta na STUN i ICE-Lite nie jest obsługiwana w przypadku Webex for Government.

Te IPs/ports służą do obsługi wychodzących połączeń SRTP z lokalnych bram, urządzeń i aplikacji (źródło) do Webex Calling Cloud (miejsce docelowe).

W przypadku niektórych topologii sieciowych, w których zapory sieciowe są używane w siedzibie klienta, należy zezwolić na dostęp do wymienionych zakresów portów źródłowych i docelowych wewnątrz sieci, aby umożliwić przepływ danych multimedialnych.

Przykład: W przypadku aplikacji należy zezwolić na zakres portów źródłowych i docelowych 8500–8700.

Urządzenia19560—19660
Aplikacje8500—8700
Sygnalizacja połączeń z bramą PSTN (SIP TLS)Wewnętrzna karta sieciowa bramy lokalnej8000—65535TCPTwój ITSP PSTN GW lub Unified CMZależy od opcji PSTN (na przykład zazwyczaj 5060 lub 5061 dla Unified CM)
Wywołanie nośnika do bramy PSTN (SRTP)Wewnętrzna karta sieciowa bramy lokalnej8000—48198*UDPTwój ITSP PSTN GW lub Unified CMZależy od opcji PSTN (na przykład zwykle 5060 lub 5061 dla Unified CM)
Konfiguracja urządzeń i zarządzanie oprogramowaniem układowym (urządzenia Cisco)Urządzenia Webex CallingKrótkotrwałeTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Wymagane z następujących powodów:

  1. Migracja z telefonów korporacyjnych (Cisco Unified CM) do Webex Calling. Więcej informacji można znaleźć na stronie upgrade.cisco.com. Cloudupgrader.webex.com używa portów: 6970,443 dla procesu migracji oprogramowania sprzętowego.

  2. Uaktualnienia oprogramowania sprzętowego i bezpieczne wdrażanie urządzeń (telefonów MPP i Room lub Desktop) przy użyciu 16-cyfrowego kodu aktywacyjnego (GDS).

  3. Dla CDA / EDOS — provisionowanie oparte na adresach MAC. Używany przez urządzenia (telefony MPP, ATA i SPA ATA) z nowszym oprogramowaniem układowym.

  4. Gdy telefon łączy się z siecią po raz pierwszy lub po przywróceniu ustawień fabrycznych, bez ustawionych opcji DHCP, kontaktuje się z serwerem aktywacji urządzenia w celu przeprowadzenia bezobsługowej konfiguracji. Nowe telefony używają "activate.cisco.com" zamiast "webapps.cisco.com" do obsługi administracyjnej. W telefonach z oprogramowaniem układowym wydanym w wersji wcześniejszej niż 11.2(1) nadal używany jest adres „webapps.cisco.com”. Zaleca się zezwolenie na wszystkie te podsieci IP.

Konfiguracja aplikacjiAplikacje Webex CallingKrótkotrwałeTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Używane do uwierzytelniania Idbroker, usług konfiguracji aplikacji dla klientów, dostępu internetowego opartego na przeglądarce w celu samodzielnej obsługi oraz dostępu do interfejsów administracyjnych.
Synchronizacja czasu urządzenia (NTP)Urządzenia Webex Calling51494UDPPatrz Podsieci IP dla usługwywołań Webex.123Te adresy IP są potrzebne do synchronizacji czasu dla urządzeń (telefony MPP, ATA i SPA ATA)
Rozpoznawanie nazw urządzeń i rozpoznawanie nazw aplikacjiUrządzenia Webex CallingKrótkotrwałeUDP i TCPZdefiniowane przez hosta53

Służy do wyszukiwania DNS w celu odkrycia adresów IP usług Webex Calling w chmurze.

Mimo że typowe wyszukiwania DNS są wykonywane za pomocą protokołu UDP, niektóre mogą wymagać protokołu TCP, jeśli odpowiedzi na zapytania nie mieszczą się w pakietach UDP.
Synchronizacja czasu aplikacjiAplikacje Webex Calling123UPDZdefiniowane przez hosta123
CScanNarzędzie do wstępnej kwalifikacji gotowości sieciowej dla połączeń WebexKrótkotrwałeUPDPatrz Podsieci IP dla usługwywołań Webex.19569—19760Narzędzie do wstępnej kwalifikacji gotowości sieciowej dla połączeń Webex. Przejdź do cscan.webex.com , aby uzyskać więcej informacji.
Tabela 6. Dodatkowe usługi Webex Calling i Webex Aware (firmy trzecie)
Cel połączeniaAdresy źródłowePorty źródłoweProtokółAdresy docelowePorty doceloweUwagi
Powiadomienia push Usługi APNS i FCMAplikacje Webex CallingKrótkotrwałeTCP

Zapoznaj się z podsieciami IP wymienionymi pod linkami

Usługa powiadomień push firmy Apple (APNS)

Usługa przesyłania wiadomości w chmurze Google-Firebase (FCM)

443, 2197, 5228, 5229, 5230, 5223Powiadomienia do aplikacji Webex na urządzeniach mobilnych (przykład: Gdy otrzymasz nową wiadomość lub gdy ktoś odbierze połączenie)
  • * Zakres portu multimedialnego CUBE można skonfigurować za pomocązakresu portu rtp.
  • Jeśli dla Twoich aplikacji i urządzeń skonfigurowano adres serwera proxy, ruch sygnalizacyjny jest wysyłany do serwera proxy. Media przesyłane protokołem SRTP przez UDP nie są wysyłane do serwera proxy. Zamiast tego musi on trafić bezpośrednio do zapory sieciowej.
  • Jeśli w sieci swojego przedsiębiorstwa używasz usług NTP i DNS, otwórz porty 53 i 123 poprzez zaporę sieciową.