Dziękujemy za opinię.
Wymagania sieciowe dla Webex for Government (FedRAMP)
Opinia?
Krótki przewodnik po portach i zakresach IP spotkań
Poniższe zakresy adresów IP są wykorzystywane przez witryny wdrożone w klastrze spotkań FedRAMP. W niniejszym dokumencie zakresy te określane są mianem „zakresów adresów IP Webex”:
- 150.253.150.0/23 (150.253.150.0 do 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 do 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 do 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 do 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 do 170.72.254.255)
- 170.133.156.0/22 (od 170.133.156.0 do 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 do 207.182.167.255)
- 207.182.168.0/23 (207.182.168,0 do 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 do 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 do 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0 do 216.151.130.255)
- 216.151.134.0/24 (216.151.134.0 do 216.151.134.255)
- 216.151.135.0/25 (216.151.135.0 do 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 do 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 do 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 do 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 do 216.151.139.254)
Wdrożone usługi
Usługi wdrożone w tym zakresie adresów IP obejmują między innymi:
- Witryna internetowa spotkania (np. customersite.webex.com)
- Spotkanie z serwerami danych
- Serwery multimedialne do komputerowego audio (VoIP) i wideo z kamery internetowej
- XML/API usługi, w tym planowanie narzędzi zwiększających produktywność
- Serwery sieciowe do nagrywania (NBR)
- Usługi drugorzędne, gdy usługi podstawowe są w trakcie konserwacji lub mają problemy techniczne
Poniższe identyfikatory URI służą do sprawdzania „Listy unieważnionych certyfikatów” pod kątem naszych certyfikatów bezpieczeństwa. Listy odwołań certyfikatów, aby zapewnić, że żadne złamane certyfikaty nie mogą być używane do przechwytywania bezpiecznego ruchu Webex. Ten ruch występuje na porcie TCP 80:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (certyfikaty IdenTrust)
Następujące UserAgenty zostaną przesłane do Webex za pośrednictwem procesu utiltp w Webex i powinny zostać przepuszczone przez zaporę agencji:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping jako część dozwolonych adresów URL. Jest on używany w ramach procesu aktywacji urządzenia i „urządzenie używa go zanim jeszcze zda sobie sprawę, że jest urządzeniem FedRAMP. Urządzenie wysyła kod aktywacyjny bez informacji FedRAMP, usługa rozpoznaje, że jest to kod aktywacyjny FedRAMP i przekierowuje urządzenie.
Cały ruch FedRAMP wymaga szyfrowania TLS1.2 lub TLS 1.3 oraz szyfrowania mTLS w przypadku lokalnych urządzeń zarejestrowanych w protokole SIP.
Porty używane przez klientów Webex Meetings (w tym urządzenia zarejestrowane w chmurze)
| Protokół | Numer(y) portu | Kierunek | Typ ruchu | Zakres IP | Komentarze |
|---|---|---|---|---|---|
| TCP | 80/443 | Wychodzące do Webex | HTTP, HTTPS | Webex i AWS (nie zaleca się filtrowania według adresu IP) |
Webex zaleca filtrowanie według adresu URL. W przypadku filtrowania według adresu IP należy zezwolić na zakresy adresów IP AWS GovCloud, Cloudfront i Webex. |
| TCP/UDP | 53 | Wychodzące do lokalnego DNS | Usługi nazw domen (DNS) | Tylko serwer DNS | Służy do wyszukiwania DNS w celu wykrywania adresów IP serwerów Webex w chmurze. Mimo że typowe wyszukiwania DNS są wykonywane za pośrednictwem protokołu UDP, niektóre z nich mogą wymagać protokołu TCP, jeśli odpowiedzi na zapytanie nie mieszczą go w pakietach UDP. |
| UDP | 9000, 5004 | Wychodzące do usługi Webex | Podstawowe multimedia klienta Webex (VoIP i Video RTP) | Webex | Port mediów klienta Webex służy do wymiany dźwięku z komputera, wideo z kamery internetowej i strumieni udostępniania treści. Otwarcie tego portu jest konieczne w celu zapewnienia jak najlepszych wrażeń podczas korzystania z multimediów. |
| TCP | 5004, 443, 80 | Wychodzące do usługi Webex | Alternatywne multimedia klienta Webex (VoIP i Video RTP) | Webex | Porty rezerwowe do łączności z mediami, gdy port UDP 9000 nie jest otwarty w zaporze |
| UDP/TCP |
Audio: 52000 do 52049 Wideo: 52100 do 52199 | Przychodzące do Twojej sieci | Webex Client Media (VoIP i wideo) | Powrót z AWS i Webex |
Webex skomunikuje się z odebranym portem docelowym podczas nawiązywania połączenia przez klienta. Zapora powinna być skonfigurowana tak, aby zezwalała na te połączenia zwrotne. Jest to domyślnie włączone. |
| TCP/UDP | Efemeryczne porty specyficzne dla systemu operacyjnego | Przychodzące do Twojej sieci | Ruch powrotny z Webex | Powrót z AWS i Webex |
Webex skomunikuje się z odebranym portem docelowym podczas nawiązywania połączenia przez klienta. Zapora powinna być skonfigurowana tak, aby zezwalała na te połączenia zwrotne. Opcja ta jest zazwyczaj otwierana automatycznie w zaporze stanowej, jednak została tutaj wymieniona ze względów kompletności. |
Klienci, którzy włączają usługę Webex dla instytucji rządowych i nie mogą zezwolić na filtrowanie oparte na adresach URL dla protokołu HTTPS, muszą zezwolić na łączność z usługą AWS Gov Cloud West (region: us-gov-west-1 i Cloud Front (usługa: Z CHMURY). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy adresów IP dla regionu AWS Gov Cloud West i AWS Cloud Front. Dokumentację AWS można znaleźć pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex zdecydowanie zaleca filtrowanie według adresu URL, o ile jest to możliwe.
Cloudfront służy do statycznej zawartości dostarczanej za pośrednictwem sieci dostarczania treści, aby zapewnić klientom najlepszą wydajność w całym kraju.
Porty używane przez zarejestrowane lokalnie urządzenia do współpracy wideo Cisco
Zobacz także Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings
| Protokół | Numery portów | Kierunek | Typ dostępu | Zakres IP | Komentarze |
|---|---|---|---|---|---|
| TCP | 5061—5070 | Wychodzące do Webex | Sygnalizacja SIP | Webex | Krawędź mediów Webex nasłuchuje na tych portach |
| TCP | 5061, 5065 | Przychodzące do Twojej sieci | Sygnalizacja SIP | Webex | Przychodzący ruch sygnalizacyjny SIP z chmury Webex |
| TCP | 5061 | Wychodzące do usługi Webex | Sygnalizacja SIP z urządzeń zarejestrowanych w chmurze | AWS | Połączenia przychodzące z aplikacji Webex 1:1 Nawiązywanie połączeń z urządzeniami zarejestrowanymi w chmurze za pomocą lokalnego adresu SIP URI. *5061 jest portem domyślnym. Webex obsługuje porty 5061—5070, których mogą używać klienci zgodnie z definicją w ich rekordzie SIP SRV |
| TCP/UDP | 1719, 1720, 15000—19999 | Wychodzące do usługi Webex | H.323 LS | Webex | Jeśli Twój punkt końcowy wymaga komunikacji z gatekeeperem, otwórz także port 1719, który obejmuje Lifesize |
| TCP/UDP | Porty efemeryczne, 36000—59999 | Przychodzące | Porty multimedialne | Webex | Jeśli korzystasz z Cisco Expressway, zakresy multimediów muszą być ustawione na 36000-59999. Jeśli używasz zewnętrznego punktu końcowego lub kontroli połączeń, należy je skonfigurować tak, aby korzystały z tego zakresu. |
| TCP | 443 | Przychodzące | Lokalna bliskość urządzenia | Sieć lokalna | Aplikacja Webex lub aplikacja Webex Desktop musi mieć ścieżkę zgodną z protokołem IPv4 między sobą a urządzeniem wideo za pomocą protokołu HTTPS |
Dla klientów umożliwiających Webex for Government odbieranie połączeń przychodzących z urządzeń zarejestrowanych w aplikacji Webex App 1:1 i Cloud do zarejestrowanego lokalnie identyfikatora SIP URI. Musisz także zezwolić na łączność z AWS Gov Cloud West (region: us-gov-west-1). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy adresów IP dla regionu AWS Gov Cloud West. Dokumentacja AWS dostępna jest pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Porty używane przez Edge Audio
Jest to wymagane tylko w przypadku korzystania z Edge Audio.
| Protokół | Numery portów | Kierunek | Typ dostępu | Zakres IP | Komentarze |
|---|---|---|---|---|---|
| TCP | 5061—5062 | Przychodzące do Twojej sieci | Sygnalizacja SIP | Webex | Sygnalizacja SIP przychodząca dla Edge Audio |
| TCP | 5061—5065 | Wychodzące do Webex | Sygnalizacja SIP | Webex | Sygnalizacja SIP wychodząca dla Edge Audio |
| TCP/UDP | Porty tymczasowe, 8000—59999 | Przychodzące do Twojej sieci | Porty multimedialne | Webex | W przypadku zapory sieciowej przedsiębiorstwa należy otworzyć porty dla ruchu przychodzącego do Expressway, przy czym zakres portów powinien wynosić od 8000 do 59999 |
Skonfiguruj mTLS, korzystając z następujących opcji:
- Skonfiguruj Expressway | Wzajemne uwierzytelnianie TLS.
- Obsługiwane główne urzędy certyfikacji |Platformy audio i wideo Cisco Webex.
- Edge Audio | Przewodnik konfiguracji.
Domeny i adresy URL dla usług Webex Calling
A * wyświetlane na początku adresu URL (na przykład, *.webex.com) oznacza, że usługi w domenie najwyższego poziomu i wszystkich subdomenach są dostępne.
| Domain/URL | Opis | Aplikacje i urządzenia Webex korzystające z tych domains/URLs |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
Podstawowe połączenia Webex & Usługi Webex Aware Dostarczanie tożsamości Przechowywanie tożsamości Uwierzytelnianie Usługi OAuth Wdrażanie urządzenia Gdy telefon łączy się z siecią po raz pierwszy lub po przywróceniu ustawień fabrycznych bez ustawionych opcji DHCP, kontaktuje się z serwerem aktywacji urządzenia w celu przeprowadzenia bezobsługowej konfiguracji. W przypadku nowych telefonów należy używać activate.cisco.com, natomiast w przypadku telefonów z wersją oprogramowania sprzętowego starszą niż 11.2(1) do provisioningu nadal należy używać webapps.cisco.com. Pobierz oprogramowanie układowe urządzenia i aktualizacje ustawień regionalnych ze strony binaries.webex.com. | Wszystko |
| *.wbx2.com i *.ciscospark.com | Używany do rozpoznawania chmury, CSDM, WDM, Mercury itd. Usługi te są niezbędne, aby aplikacje i urządzenia mogły nawiązać połączenie z usługą Webex Calling & Usługi Webex Aware w trakcie i po wdrożeniu. | Wszystko |
| *.webexapis.com |
Mikrousługi Webex zarządzające aplikacjami i urządzeniami. Usługa zdjęć profilowych Usługa tablicy suchościeralnej Usługa zbliżeniowa Usługa obecności Usługa rejestracyjna Usługa kalendarzowa Usługa wyszukiwania | Wszystko |
| *.webexcontent.com |
Usługa przesyłania wiadomości Webex związana z ogólnym przechowywaniem plików, obejmująca: Pliki użytkownika Pliki transkodowane Obrazy Zrzuty ekranu Treść tablicy Klient & dzienniki urządzeń Zdjęcia profilowe Logo marki Pliki dziennika Pliki eksportu zbiorczego CSV & importuj pliki (Control Hub) | Usługi przesyłania wiadomości za pośrednictwem aplikacji Webex. Przechowywanie plików za pomocą webexcontent.com zastąpione przez clouddrive.com w październiku 2019 r. |
| Domain/URL | Opis | Aplikacje i urządzenia Webex korzystające z tych domains/URLs |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | Śledzenie wydajności, przechwytywanie błędów i awarii, metryki sesji. | Control Hub |
| *.huron-dev.com | Mikrousługi Webex Calling, takie jak usługi przełączania, zamawianie numerów telefonów i usługi przypisywania. | Control Hub |
| *.sipflash.com | Usługi zarządzania urządzeniami. Aktualizacje oprogramowania sprzętowego i bezpieczne wdrażanie. | Aplikacje Webex |
|
*.google.com *.googleapis.com |
Powiadomienia do aplikacji Webex na urządzeniach mobilnych (przykład: nowa wiadomość, gdy połączenie zostanie odebrane) Aby uzyskać informacje o podsieciach IP, zapoznaj się z tymi linkami | Aplikacja Webex |
Podsieci IP dla usług Webex Calling
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
- 144.196.17.0/24
Porty używane przez Webex Calling
| Cel połączenia | Adresy źródłowe | Porty źródłowe | Protokół | Adresy docelowe | Porty docelowe | Uwagi |
|---|---|---|---|---|---|---|
| Sygnalizacja połączeń do Webex Calling (SIP TLS) | Brama lokalna zewnętrzna (NIC) | 8000—65535 | TCP | Patrz Podsieci IP dla usługwywołań Webex. | 5062, 8934 |
Te adresy IP/porty są potrzebne do sygnalizacji wychodzących połączeń SIP-TLS z lokalnych bram, urządzeń i aplikacji (źródło) do Webex Calling Cloud (miejsce docelowe). Port 5062 (wymagany dla łącza opartego na certyfikacie). I port 8934 (wymagany do magistrali opartej na rejestracji) |
| Urządzenia | 5060—5080 | 8934 | ||||
| Aplikacje | Efemeryczny (zależny od systemu operacyjnego) | |||||
| Zadzwoń do mediów za pomocą Webex Calling (SRTP) | Zewnętrzna karta sieciowa bramy lokalnej | 8000—48198†* | UDP | Patrz Podsieci IP dla usługwywołań Webex. |
8500—8700,19560—65535 (SRTP przez UDP) |
Optymalizacja multimediów oparta na STUN i ICE-Lite nie jest obsługiwana w przypadku Webex for Government. Te IPs/ports służą do obsługi wychodzących połączeń SRTP z lokalnych bram, urządzeń i aplikacji (źródło) do Webex Calling Cloud (miejsce docelowe). W przypadku niektórych topologii sieciowych, w których zapory sieciowe są używane w siedzibie klienta, należy zezwolić na dostęp do wymienionych zakresów portów źródłowych i docelowych wewnątrz sieci, aby umożliwić przepływ danych multimedialnych. Przykład: W przypadku aplikacji należy zezwolić na zakres portów źródłowych i docelowych 8500–8700. |
| Urządzenia | 19560—19660 | |||||
| Aplikacje | 8500—8700 | |||||
| Sygnalizacja połączeń z bramą PSTN (SIP TLS) | Wewnętrzna karta sieciowa bramy lokalnej | 8000—65535 | TCP | Twój ITSP PSTN GW lub Unified CM | Zależy od opcji PSTN (na przykład zazwyczaj 5060 lub 5061 dla Unified CM) | |
| Wywołanie nośnika do bramy PSTN (SRTP) | Wewnętrzna karta sieciowa bramy lokalnej | 8000—48198†* | UDP | Twój ITSP PSTN GW lub Unified CM | Zależy od opcji PSTN (na przykład zwykle 5060 lub 5061 dla Unified CM) | |
| Konfiguracja urządzeń i zarządzanie oprogramowaniem układowym (urządzenia Cisco) | Urządzenia Webex Calling | Krótkotrwałe | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
Wymagane z następujących powodów:
|
| Konfiguracja aplikacji | Aplikacje Webex Calling | Krótkotrwałe | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Używane do uwierzytelniania Idbroker, usług konfiguracji aplikacji dla klientów, dostępu internetowego opartego na przeglądarce w celu samodzielnej obsługi oraz dostępu do interfejsów administracyjnych. |
| Synchronizacja czasu urządzenia (NTP) | Urządzenia Webex Calling | 51494 | UDP | Patrz Podsieci IP dla usługwywołań Webex. | 123 | Te adresy IP są potrzebne do synchronizacji czasu dla urządzeń (telefony MPP, ATA i SPA ATA) |
| Rozpoznawanie nazw urządzeń i rozpoznawanie nazw aplikacji | Urządzenia Webex Calling | Krótkotrwałe | UDP i TCP | Zdefiniowane przez hosta | 53 | Służy do wyszukiwania DNS w celu odkrycia adresów IP usług Webex Calling w chmurze. Mimo że typowe wyszukiwania DNS są wykonywane za pomocą protokołu UDP, niektóre mogą wymagać protokołu TCP, jeśli odpowiedzi na zapytania nie mieszczą się w pakietach UDP. |
| Synchronizacja czasu aplikacji | Aplikacje Webex Calling | 123 | UPD | Zdefiniowane przez hosta | 123 | |
| CScan | Narzędzie do wstępnej kwalifikacji gotowości sieciowej dla połączeń Webex | Krótkotrwałe | UPD | Patrz Podsieci IP dla usługwywołań Webex. | 19569—19760 | Narzędzie do wstępnej kwalifikacji gotowości sieciowej dla połączeń Webex. Przejdź do cscan.webex.com , aby uzyskać więcej informacji. |
| Cel połączenia | Adresy źródłowe | Porty źródłowe | Protokół | Adresy docelowe | Porty docelowe | Uwagi |
|---|---|---|---|---|---|---|
| Powiadomienia push Usługi APNS i FCM | Aplikacje Webex Calling | Krótkotrwałe | TCP |
Zapoznaj się z podsieciami IP wymienionymi pod linkami Usługa powiadomień push firmy Apple (APNS) Usługa przesyłania wiadomości w chmurze Google-Firebase (FCM) | 443, 2197, 5228, 5229, 5230, 5223 | Powiadomienia do aplikacji Webex na urządzeniach mobilnych (przykład: Gdy otrzymasz nową wiadomość lub gdy ktoś odbierze połączenie) |
- †* Zakres portu multimedialnego CUBE można skonfigurować za pomocązakresu portu rtp.
- Jeśli dla Twoich aplikacji i urządzeń skonfigurowano adres serwera proxy, ruch sygnalizacyjny jest wysyłany do serwera proxy. Media przesyłane protokołem SRTP przez UDP nie są wysyłane do serwera proxy. Zamiast tego musi on trafić bezpośrednio do zapory sieciowej.
- Jeśli w sieci swojego przedsiębiorstwa używasz usług NTP i DNS, otwórz porty 53 i 123 poprzez zaporę sieciową.
