Wymagania sieciowe dla Webex for Government (FedRAMP)
Szybki przegląd portów i zakresów IP spotkań
Poniższe zakresy adresów IP są wykorzystywane przez witryny wdrożone w klastrze spotkań FedRAMP. W niniejszym dokumencie zakresy te określane są mianem „zakresów adresów IP Webex”:
- 150.253.150.0/23 (150.253.150.0 do 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 do 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 do 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 do 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 do 170.72.254.255)
- 170.133.156.0/22 (od 170.133.156.0 do 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 do 207.182.167.255)
- 207.182.168.0/23 (207.182.168,0 do 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 do 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 do 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0 do 216.151.130.255)
- 216.151.134.0/24 (216.151.134.0 do 216.151.134.255)
- 216.151.135.0/25 (216.151.135.0 do 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 do 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 do 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 do 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 do 216.151.139.254)
Wdrożone usługi
Usługi wdrożone w tym zakresie adresów IP obejmują między innymi:
- Strona internetowa spotkania (np. customersite.webex.com lub customersite.webexgov.us)
Więcej informacji można znaleźć w sekcji Najczęściej zadawane pytania dotyczące nowej przestrzeni domenowej dla Webex for Government (FedRAMP).
- Spotkanie z serwerami danych
- Serwery multimedialne do komputerowego audio (VoIP) i wideo z kamery internetowej
- XML/API usługi, w tym planowanie narzędzi zwiększających produktywność
- Serwery sieciowe do nagrywania (NBR)
- Usługi drugorzędne, gdy usługi podstawowe są w trakcie konserwacji lub mają problemy techniczne
Poniższe identyfikatory URI służą do sprawdzania „Listy unieważnionych certyfikatów” pod kątem naszych certyfikatów bezpieczeństwa. Listy odwołań certyfikatów, aby zapewnić, że żadne złamane certyfikaty nie mogą być używane do przechwytywania bezpiecznego ruchu Webex. Ten ruch występuje na porcie TCP 80:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (certyfikaty IdenTrust)
Następujące agenty użytkownika zostaną przekazane przez Webex za pośrednictwem procesu utiltp w Webex i powinny zostać przepuszczone przez zaporę agencji:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping jako część dozwolonych adresów URL. Jest on używany w ramach procesu aktywacji urządzenia i „urządzenie korzysta z niego zanim zorientuje się, że jest urządzeniem FedRAMP. Urządzenie wysyła kod aktywacyjny bez informacji FedRAMP, usługa rozpoznaje, że jest to kod aktywacyjny FedRAMP i przekierowuje urządzenie.
Cały ruch FedRAMP wymaga szyfrowania TLS1.2 lub TLS 1.3 oraz szyfrowania mTLS w przypadku lokalnych urządzeń zarejestrowanych w protokole SIP.
Porty używane przez klientów Webex Meetings (w tym urządzenia zarejestrowane w chmurze)
Protokół | Numer(y) portu | Kierunek | Rodzaj ruchu | Zakres IP | Komentarze |
---|---|---|---|---|---|
TCP | 80/443 | Wychodzące do Webex | HTTP, HTTPS | Webex i AWS (nie zaleca się filtrowania według adresu IP) |
Webex zaleca filtrowanie według adresu URL. W przypadku filtrowania według adresu IP należy zezwolić na zakresy adresów IP AWS GovCloud, Cloudfront i Webex. |
TCP/UDP | 53 | Wychodzące do lokalnego DNS | Usługi nazw domen (DNS) | Tylko serwer DNS | Służy do wyszukiwania DNS w celu wykrywania adresów IP serwerów Webex w chmurze. Mimo że typowe wyszukiwania DNS są wykonywane za pośrednictwem protokołu UDP, niektóre z nich mogą wymagać protokołu TCP, jeśli odpowiedzi na zapytanie nie mieszczą go w pakietach UDP. |
UDP | 9000, 5004 | Wychodzące do usługi Webex | Podstawowe multimedia klienta Webex (VoIP i Video RTP) | Webex | Port mediów klienta Webex służy do wymiany dźwięku z komputera, wideo z kamery internetowej i strumieni udostępniania treści. Otwarcie tego portu jest wymagane w celu zapewnienia najlepszego możliwego odbioru multimediów. |
TCP | 5004, 443, 80 | Wychodzące do usługi Webex | Alternatywne multimedia klienta Webex (VoIP i Video RTP) | Webex | Porty rezerwowe do łączności z mediami, gdy port UDP 9000 nie jest otwarty w zaporze |
UDP/TCP |
Audio: 52000 do 52049 Wideo: 52100 do 52199 | Przychodzące do Twojej sieci | Webex Client Media (VoIP i wideo) | Powrót z AWS i Webex |
Webex skomunikuje się z odebranym portem docelowym podczas nawiązywania połączenia przez klienta. Zapora powinna być skonfigurowana tak, aby zezwalała na te połączenia zwrotne. Jest to domyślnie włączone. |
TCP/UDP | Efemeryczne porty specyficzne dla systemu operacyjnego | Przychodzące do Twojej sieci | Ruch powrotny z Webex | Powrót z AWS i Webex |
Webex skomunikuje się z odebranym portem docelowym podczas nawiązywania połączenia przez klienta. Zapora powinna być skonfigurowana tak, aby zezwalała na te połączenia zwrotne. Opcja ta jest zwykle otwierana automatycznie w zaporze stanowej, jednak została tutaj wymieniona w celu zachowania kompletności. |
Klienci, którzy włączają usługę Webex dla administracji publicznej i nie mogą zezwolić na filtrowanie oparte na adresach URL dla protokołu HTTPS, muszą zezwolić na łączność z usługą AWS Gov Cloud West (region: us-gov-west-1 i Cloud Front (usługa: Z CHMURY). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy adresów IP dla regionu AWS Gov Cloud West i AWS Cloud Front. Dokumentację AWS można znaleźć pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex zdecydowanie zaleca filtrowanie według adresu URL, jeśli to możliwe.
Cloudfront służy do statycznej zawartości dostarczanej za pośrednictwem sieci dostarczania treści, aby zapewnić klientom najlepszą wydajność w całym kraju.
Porty używane przez zarejestrowane lokalnie urządzenia Cisco do współpracy wideo
Zobacz także Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings
Protokół | Numery portów | Kierunek | Typ dostępu | Zakres IP | Komentarze |
---|---|---|---|---|---|
TCP | 5061—5070 | Wychodzące do Webex | Sygnalizacja SIP | Webex | Krawędź mediów Webex nasłuchuje na tych portach |
TCP | 5061, 5065 | Przychodzące do Twojej sieci | Sygnalizacja SIP | Webex | Przychodzący ruch sygnalizacyjny SIP z chmury Webex |
TCP | 5061 | Wychodzące do usługi Webex | Sygnalizacja SIP z urządzeń zarejestrowanych w chmurze | AWS | Połączenia przychodzące z aplikacji Webex 1:1 Nawiązywanie połączeń z urządzeniami zarejestrowanymi w chmurze za pomocą lokalnego adresu SIP URI. *5061 jest portem domyślnym. Webex obsługuje porty 5061–5070, które mogą być używane przez klientów zgodnie z definicją w ich rekordzie SIP SRV |
TCP/UDP | 1719, 1720, 15000—19999 | Wychodzące do usługi Webex | H.323 LS | Webex | Jeśli Twój punkt końcowy wymaga komunikacji z gatekeeperem, otwórz również port 1719, który obejmuje Lifesize |
TCP/UDP | Porty efemeryczne, 36000—59999 | Przychodzące | Porty multimedialne | Webex | Jeśli korzystasz z Cisco Expressway, zakresy multimediów muszą być ustawione na 36000-59999. Jeśli używasz zewnętrznego punktu końcowego lub kontroli połączeń, musisz je skonfigurować tak, aby korzystały z tego zakresu. |
TCP | 443 | Przychodzące | Lokalna bliskość urządzenia | Sieć lokalna | Aplikacja Webex lub aplikacja Webex Desktop musi mieć ścieżkę zgodną z protokołem IPv4 między sobą a urządzeniem wideo za pomocą protokołu HTTPS |
Dla klientów umożliwiających Webex for Government odbieranie połączeń przychodzących z urządzeń zarejestrowanych w aplikacji Webex App 1:1 i Cloud do zarejestrowanego lokalnie identyfikatora SIP URI. Musisz także zezwolić na łączność z AWS Gov Cloud West (region: us-gov-west-1). Aby zidentyfikować zakresy adresów IP dla regionu AWS Gov Cloud West, zapoznaj się z dokumentacją AWS. Dokumentacja AWS dostępna jest pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Porty używane przez Edge Audio
Jest to wymagane tylko w przypadku korzystania z Edge Audio.
Protokół | Numery portów | Kierunek | Typ dostępu | Zakres IP | Komentarze |
---|---|---|---|---|---|
TCP | 5061—5062 | Przychodzące do Twojej sieci | Sygnalizacja SIP | Webex | Sygnalizacja SIP przychodząca dla Edge Audio |
TCP | 5061—5065 | Wychodzące do Webex | Sygnalizacja SIP | Webex | Sygnalizacja SIP wychodząca dla Edge Audio |
TCP/UDP | Porty efemeryczne, 8000—59999 | Przychodzące do Twojej sieci | Porty multimedialne | Webex | W przypadku zapory sieciowej przedsiębiorstwa należy otworzyć porty dla ruchu przychodzącego do Expressway, przy czym zakres portów powinien mieścić się w przedziale 8000–59999 |
Skonfiguruj mTLS, korzystając z następujących opcji:
- Skonfiguruj Expressway | Wzajemne uwierzytelnianie TLS.
- Obsługiwane główne urzędy certyfikacji |Platformy audio i wideo Cisco Webex.
- Edge Audio | Przewodnik konfiguracji.
Domeny i adresy URL dla usług Webex Calling
A * wyświetlane na początku adresu URL (na przykład, *.webex.com) oznacza, że usługi w domenie najwyższego poziomu i wszystkich subdomenach są dostępne.
Domain/URL | Opis | Aplikacje i urządzenia Webex korzystające z tych domains/URLs |
---|---|---|
*.webex.com *.cisco.com *.webexgov.us |
Podstawowe połączenia Webex & Usługi Webex Aware Dostarczanie tożsamości Przechowywanie tożsamości Uwierzytelnianie Usługi OAuth Wdrażanie urządzenia Gdy telefon łączy się z siecią po raz pierwszy lub po przywróceniu ustawień fabrycznych bez ustawionych opcji DHCP, kontaktuje się z serwerem aktywacji urządzenia w celu przeprowadzenia bezobsługowej aktywacji. W przypadku nowych telefonów należy używać activate.cisco.com, natomiast w przypadku telefonów z wersją oprogramowania sprzętowego starszą niż 11.2(1) do celów provisioningu nadal należy używać webapps.cisco.com. Pobierz oprogramowanie układowe urządzenia i aktualizacje ustawień regionalnych ze strony binaries.webex.com. | Wszystko |
*.wbx2.com i *.ciscospark.com | Używane do rozpoznawania chmury, CSDM, WDM, mercury itd. Usługi te są niezbędne, aby aplikacje i urządzenia mogły nawiązać połączenie z usługą Webex Calling & Usługi Webex Aware w trakcie i po wdrożeniu. | Wszystko |
*.webexapis.com |
Mikrousługi Webex, które zarządzają Twoimi aplikacjami i urządzeniami. Usługa zdjęć profilowych Usługa tablicy suchościeralnej Usługa zbliżeniowa Usługa obecności Usługa rejestracyjna Usługa kalendarzowa Usługa wyszukiwania | Wszystko |
*.webexcontent.com |
Usługa przesyłania wiadomości Webex Messaging związana z ogólnym przechowywaniem plików, obejmująca: Pliki użytkownika Transkodowane pliki Obrazy Zrzuty ekranu Treść tablicy Klient & dzienniki urządzeń Zdjęcia profilowe Logo marki Pliki dziennika Pliki eksportu zbiorczego CSV & importowanie plików (Control Hub) | Usługi przesyłania wiadomości za pośrednictwem aplikacji Webex. Przechowywanie plików w serwisie webexcontent.com zastąpiono w październiku 2019 r. usługą clouddrive.com |
Domain/URL | Opis | Aplikacje i urządzenia Webex korzystające z tych domains/URLs |
---|---|---|
*.appdynamics.com *.eum-appdynamics.com | Śledzenie wydajności, przechwytywanie błędów i awarii, metryki sesji. | Control Hub |
*.huron-dev.com | Mikrousługi Webex Calling, takie jak usługi przełączania, zamawianie numerów telefonów i usługi przypisywania. | Control Hub |
*.sipflash.com | Usługi zarządzania urządzeniami. Aktualizacje oprogramowania sprzętowego i bezpieczne wdrażanie. | Aplikacje Webex |
*.google.com *.googleapis.com |
Powiadomienia do aplikacji Webex na urządzeniach mobilnych (przykład: nowa wiadomość, gdy połączenie zostanie odebrane) Aby uzyskać informacje o podsieciach IP, skorzystaj z tych łączy | Aplikacja Webex |
Podsieci IP dla usług Webex Calling
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
- 144.196.17.0/24
Porty używane przez Webex Calling
Cel połączenia | Adresy źródłowe | Porty źródłowe | Protokół | Adresy docelowe | Porty docelowe | Uwagi |
---|---|---|---|---|---|---|
Sygnalizacja połączeń do Webex Calling (SIP TLS) | Brama lokalna zewnętrzna (NIC) | 8000—65535 | TCP | Patrz Podsieci IP dla usługwywołań Webex. | 5062, 8934 |
Te adresy IP/porty są potrzebne do sygnalizacji wychodzących połączeń SIP-TLS z lokalnych bram, urządzeń i aplikacji (źródło) do Webex Calling Cloud (miejsce docelowe). Port 5062 (wymagany dla łącza opartego na certyfikacie). I port 8934 (wymagany do połączenia trunkingowego opartego na rejestracji) |
Urządzenia | 5060—5080 | 8934 | ||||
Aplikacje | Efemeryczny (zależny od systemu operacyjnego) | |||||
Zadzwoń do mediów za pomocą Webex Calling (SRTP) | Zewnętrzna karta sieciowa bramy lokalnej | 8000—48198†* | UDP | Patrz Podsieci IP dla usługwywołań Webex. |
8500—8700,19560—65535 (SRTP przez UDP) |
Optymalizacja multimediów oparta na STUN i ICE-Lite nie jest obsługiwana w przypadku usługi Webex for Government. Te IPs/ports są używane do obsługi połączeń SRTP wychodzących z lokalnych bram, urządzeń i aplikacji (źródło) do Webex Calling Cloud (miejsce docelowe). W przypadku niektórych topologii sieciowych, w których zapory sieciowe są używane w siedzibie klienta, należy zezwolić na dostęp do wymienionych zakresów portów źródłowych i docelowych wewnątrz sieci, aby umożliwić przepływ danych multimedialnych. Przykład: W przypadku aplikacji należy zezwolić na zakres portów źródłowych i docelowych 8500—8700. |
Urządzenia | 19560—19660 | |||||
Aplikacje | 8500—8700 | |||||
Sygnalizacja połączeń z bramą PSTN (SIP TLS) | Wewnętrzna karta sieciowa bramy lokalnej | 8000—65535 | TCP | Twój ITSP PSTN GW lub Unified CM | Zależy od opcji PSTN (na przykład zazwyczaj 5060 lub 5061 dla Unified CM) | |
Wywołanie nośnika do bramy PSTN (SRTP) | Wewnętrzna karta sieciowa bramy lokalnej | 8000—48198†* | UDP | Twój ITSP PSTN GW lub Unified CM | Zależy od opcji PSTN (na przykład zazwyczaj 5060 lub 5061 w przypadku Unified CM) | |
Konfiguracja urządzeń i zarządzanie oprogramowaniem układowym (urządzenia Cisco) | Urządzenia Webex Calling | Krótkotrwałe | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
Wymagane z następujących powodów:
|
Konfiguracja aplikacji | Aplikacje Webex Calling | Krótkotrwałe | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Używane do uwierzytelniania Idbroker, usług konfiguracji aplikacji dla klientów, dostępu internetowego za pomocą przeglądarki w celu samodzielnej obsługi oraz dostępu do interfejsów administracyjnych. |
Synchronizacja czasu urządzenia (NTP) | Urządzenia Webex Calling | 51494 | UDP | Patrz Podsieci IP dla usługwywołań Webex. | 123 | Te adresy IP są potrzebne do synchronizacji czasu dla urządzeń (telefony MPP, ATA i SPA ATA) |
Rozpoznawanie nazw urządzeń i rozpoznawanie nazw aplikacji | Urządzenia Webex Calling | Krótkotrwałe | UDP i TCP | Zdefiniowane przez hosta | 53 | Służy do wyszukiwania DNS w celu odkrycia adresów IP usług Webex Calling w chmurze. Mimo że typowe wyszukiwania DNS odbywają się za pomocą protokołu UDP, niektóre mogą wymagać protokołu TCP, jeśli odpowiedzi na zapytania nie mieszczą się w pakietach UDP. |
Synchronizacja czasu aplikacji | Aplikacje Webex Calling | 123 | UPD | Zdefiniowane przez hosta | 123 | |
CScan | Narzędzie do wstępnej kwalifikacji gotowości sieciowej dla połączeń Webex | Krótkotrwałe | UPD | Patrz Podsieci IP dla usługwywołań Webex. | 19569—19760 | Narzędzie do wstępnej kwalifikacji gotowości sieciowej dla połączeń Webex. Przejdź do cscan.webex.com , aby uzyskać więcej informacji. |
Cel połączenia | Adresy źródłowe | Porty źródłowe | Protokół | Adresy docelowe | Porty docelowe | Uwagi |
---|---|---|---|---|---|---|
Powiadomienia push Usługi APNS i FCM | Aplikacje Webex Calling | Krótkotrwałe | TCP |
Zapoznaj się z podsieciami IP wymienionymi pod linkami Usługa powiadomień push Apple (APNS) Usługa przesyłania wiadomości w chmurze Google-Firebase (FCM) | 443, 2197, 5228, 5229, 5230, 5223 | Powiadomienia do aplikacji Webex na urządzeniach mobilnych (przykład: Gdy otrzymasz nową wiadomość lub gdy ktoś odbierze połączenie) |
- †* Zakres portu multimedialnego CUBE można skonfigurować za pomocązakresu portu rtp.
- Jeśli dla Twoich aplikacji i urządzeń skonfigurowano adres serwera proxy, ruch sygnalizacyjny jest wysyłany do serwera proxy. Media przesyłane za pomocą protokołu SRTP przez protokół UDP nie są wysyłane do serwera proxy. Zamiast tego musi on trafić bezpośrednio do zapory sieciowej.
- Jeśli w sieci swojego przedsiębiorstwa używasz usług NTP i DNS, otwórz porty 53 i 123 poprzez zaporę sieciową.
Data rewizji | Wprowadziliśmy następujące zmiany w artykule |
---|---|
7/7/2025 | Webex Meetings: Od sierpnia 2025 r. usługa Webex for Government będzie obejmować nową domenę webexgov.us w usługach spotkań, wiadomości i połączeń. Więcej szczegółów znajdziesz w Najczęściej zadawanych pytaniach dotyczących nowej przestrzeni domenowej dla Webex for Government (FedRAMP). |
6/13/2025 | Webex Meetings: Cały ruch FedRAMP wymaga szyfrowania TLS1.2 lub TLS 1.3 oraz szyfrowania mTLS w przypadku lokalnych urządzeń zarejestrowanych w protokole SIP. |
4/8/2025 | Połączenia Webex: Dodano nową podsieć do sekcji Podsieci IP dla usług połączeń Webex -144.196.17.0/24 |