Referência rápida de portas e intervalos IP de reuniões

Os seguintes intervalos de IP são utilizados por sites implantados no cluster de reuniões FedRAMP. Para este documento, esses intervalos são referidos como "Intervalos de IP Webex":

  • 150.253.150.0/23 (150.253.150.0 a 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 a 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 a 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 a 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 a 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 a 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 a 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 a 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 a 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 a 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 a 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 a 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 a 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 a 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 a 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 a 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 a 216.151.139.254)

Serviços implantados

Os serviços implantados neste intervalo de IP incluem, mas não se limitam a, o seguinte:

  • O site da reunião (por exemplo, customersite.webex.com)
  • Servidores de dados da reunião
  • Servidores multimídia para áudio de computador (VoIP) e vídeo da webcam
  • Serviços XML/API, incluindo agendamento das Ferramentas de Produtividade
  • Servidores de gravação baseada em rede (NBR)
  • Serviços secundários quando os serviços primários estão em manutenção ou estão enfrentando dificuldades técnicas

Os seguintes URIs são usados para verificar a 'Lista de revogação de certificados' em nossos certificados de segurança. As Listas de revogação de certificados para garantir que nenhum certificado comprometido possa ser usado para interceptar o tráfego Webex seguro. Esse tráfego ocorre na porta TCP 80:

  • *.quovadisglobal.com.
  • *.digicert.com
  • *.identrust.com (Certificados IdenTrust)

 

Os seguintes UserAgents serão transmitidos pelo Webex pelo processo utiltp no Webex e devem ser permitidos através do firewall de uma agência:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping como parte das URLs permitidas. Ele é usado como parte do processo de ativação do dispositivo e "o dispositivo o usa antes de saber que é um dispositivo FedRAMP. O dispositivo envia um código de ativação sem informações FedRAMP, o serviço vê que é um código de ativação FedRAMP e, em seguida, redireciona-os."

Todo o tráfego FedRAMP requer criptografia TLS 1.2 e criptografia mTLS 1.2 para dispositivos registrados SIP no local.

Portas usadas por clientes Webex Meetings (incluindo dispositivos registrados na nuvem)

ProtocoloNúmero(s) de portaDireçãoTipo de tráfegoIntervalo de IPComentários
TCP80/443Saída para WebexHTTP, HTTPSWebex e AWS (Não recomendado para filtrar por IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Isso é usado para servir conteúdo estático e arquivos)
  • *.wbx2.com

A Webex recomenda a filtragem por URL. SE Filtrar pelo endereço IP, você deve permitir os intervalos IP AWS GovCloud, Cloudfront e Webex.

TCP/UDP53Saída para DNS localServiços de nome de domínio (DNS)Apenas servidor DNSUsado para pesquisas de DNS para descobrir os endereços IP dos servidores Webex na nuvem. Embora as pesquisas típicas de DNS sejam feitas em UDP, algumas podem exigir TCP, se as respostas da consulta não couberem nos pacotes UDP.
UCP9000, 5004Saída para WebexMídia principal do cliente Webex (VoIP e RTP de vídeo)WebexA porta de mídia do cliente Webex é usada para trocar áudio do computador, vídeo da webcam e fluxos de compartilhamento de conteúdo. A abertura desta porta é necessária para garantir a melhor experiência de mídia possível.
TCP5004, 443, 80Saída para WebexMídia alternativa do cliente Webex (VoIP e RTP de vídeo)WebexPortas de fallback para conectividade de mídia quando a porta UDP 9000 não está aberta no firewall
UDP/TCP

Áudio: 52000 a 52049

Vídeo: 52100 a 52199

Entrada para sua redeMídia do cliente Webex (Voip e vídeo)Retornar do AWS e Webex

O Webex se comunicará com a porta de destino recebida quando o cliente fizer sua conexão. Um firewall deve ser configurado para permitir essas conexões de retorno.


 
Isso é ativado por padrão.
TCP/UDPPortas efêmeras específicas do SOEntrada para sua redeTráfego de retorno do WebexRetornar do AWS e Webex

O Webex se comunicará com a porta de destino recebida quando o cliente fizer sua conexão. Um firewall deve ser configurado para permitir essas conexões de retorno.


 
Isso geralmente é aberto automaticamente em um firewall stateful, no entanto, está listado aqui para completar.

Para clientes que ativam o Webex for Government que não podem permitir a filtragem baseada em URL para HTTPS, você precisará permitir a conectividade com o AWS Gov Cloud West (região: us-gov-west-1) e frente de nuvem (serviço: FRENTE NUBLADA). Revise a documentação do AWS para identificar os intervalos de IP da região oeste do AWS Gov Cloud e do AWS Cloud Front. A documentação do AWS está disponível em https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. A Webex recomenda fortemente a filtragem por URL, quando possível.

O Cloudfront é usado para conteúdo estático fornecido através da rede de entrega de conteúdo para dar aos clientes o melhor desempenho em todo o país.

Portas usadas por dispositivos de colaboração de vídeo da Cisco registrados no local

Consulte também o Guia de implantação empresarial do Cisco Webex Meetings para reuniões habilitadas para dispositivos de vídeo

ProtocoloNúmeros de portaDireçãoTipo de acessoIntervalo de IPComentários
TCP5061 — 5070Saída para WebexSinalização SIPWebexO edge de mídia Webex escuta nessas portas
TCP5061, 5065Entrada para sua redeSinalização SIPWebexTráfego de sinalização SIP de entrada do Webex Cloud
TCP5061Saída para WebexSinalização SIP de dispositivos registrados em nuvemAWSChamadas de entrada de dispositivos registrados no aplicativo Webex 1:1 Calling e em nuvem para o SIP URI registrado no local. *5061 é a porta padrão. O Webex suporta 5061 — 5070 portas a serem usadas pelos clientes conforme definido no Registro SIP SRV
TCP/UDP1719, 1720, 15000 — 19999Saída para WebexH.323 LSWebexSe o terminal exigir comunicação com o gatekeeper, abra também a porta 1719, que inclui o Lifesize
TCP/UDPPortas efêmeras, 36000 — 59999EntradaPortas de mídiaWebexSe você estiver usando um Cisco Expressway, os intervalos de mídia precisarão ser definidos como 36000-59999. Se você estiver usando um terminal ou controle de chamada de terceiros, eles precisarão ser configurados para usar esse intervalo.
TCP443EntradaProximidade do dispositivo no localRede localO aplicativo Webex ou o aplicativo de desktop Webex devem ter um caminho roteável IPv4 entre ele e o dispositivo de vídeo usando HTTPS

Para clientes que permitem que o Webex for Government receba chamadas de Entrada de dispositivos registrados no aplicativo Webex 1:1 Calling e em nuvem para o SIP URI registrado no local. Você também deve permitir a conectividade com o AWS Gov Cloud West (região: us-gov-west-1). Revise a documentação do AWS para identificar os intervalos de IP para a região oeste da nuvem do AWS Gov. A documentação do AWS está disponível em https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Portas usadas pelo áudio Edge

Isso só é necessário se você aproveitar o Áudio Edge.

ProtocoloNúmeros de portaDireçãoTipo de acessoIntervalo de IPComentários
TCP5061 — 5062Entrada para sua redeSinalização SIPWebexSinalização SIP de entrada para áudio Edge
TCP5061 — 5065Saída para WebexSinalização SIPWebexSinalização SIP de saída para o áudio Edge
TCP/UDPPortas efêmeras, 8000 — 59999Entrada para sua redePortas de mídiaWebexEm um firewall corporativo, as portas precisam ser abertas para o tráfego de entrada no Expressway com um intervalo de portas de 8000 a 59999

Configure o mTLS usando as seguintes opções:

Domínios e URLs dos serviços do Webex Calling

Um * mostrado no início de uma URL (por exemplo, *.webex.com) indica que os serviços no domínio de nível superior e todos os subdomínios devem estar acessíveis.

Tabela 3. Serviços Webex
Domínio/URLDescriçãoAplicativos e dispositivos Webex usando esses domínios/URLs

*.webex.com

*.cisco.com

*.webexgov.us

Principais serviços Webex Calling e Webex Aware

provisionamento de dispositivos

Armazenamento de identidade

Autenticação

Serviços OAuth

integração do dispositivo

Quando um telefone se conecta a uma rede pela primeira vez ou após uma redefinição das configurações de fábrica sem opções DHCP definidas, ele entra em contato com um servidor de ativação do dispositivo para provisionamento zero touch. Os novos telefones usam activate.cisco.com e os telefones com versão de firmware anterior à 11.2(1), continuam usando o webapps.cisco.com para provisionamento.

Baixe o firmware do dispositivo e as atualizações de localidade de binários.webex.com .

Todos
*.wbx2.com e *.ciscospark.comUsado para reconhecimento de nuvem, CSDM, WDM, mercúrio e assim por diante. Esses serviços são necessários para que os Aplicativos e dispositivos entrem em contato com os serviços Webex Calling e Webex Aware durante e após a integração.Todos
*.webexapis.com

Microsserviços Webex que gerenciam seus aplicativos e dispositivos.

Serviço de imagem do perfil

Serviço de quadro de comunicações

Serviço de proximidade

Serviço de presença

Registro obrigatório

Serviço de calendário

Procurar dispositivo

Todos
*.webexconnect.com

Serviço de mensagens Webex relacionado ao armazenamento de arquivos em geral, incluindo:

Linhas de usuários

Arquivos transcodificados

Imagens

Captura de tela

Controles do quadro de comunicações

Registros do cliente e do dispositivo

Fotos do perfil

Logotipos de marcas

Caixa arquivos

Arquivos de exportação CSV em massa e arquivos de importação (Control Hub)

Serviços de mensagens do aplicativo Webex.

 
Armazenamento de arquivos usando webexcontent.com substituído por clouddrive.com em outubro de 2019
Tabela 4. Serviços adicionais relacionados ao Webex (domínios de terceiros)
Domínio/URLDescriçãoAplicativos e dispositivos Webex usando esses domínios/URLs

*.appdynamics.com

*.eum-appdynamics.com

Rastreamento de desempenho, captura de erros e falhas, métricas de sessão.Control Hub
*.huron-dev.comMicrosserviços do Webex Calling, como serviços de alternância, pedidos de números de telefone e serviços de atribuição.Control Hub
*.sipflash.comServiço de gerenciamento de dispositivos Atualizações de firmware e finalidades de integração segura.Aplicativos Webex

*.google.com

*.googleapis.com

Notificações para aplicativos Webex em dispositivos móveis (Exemplo: nova mensagem, quando a chamada é atendida)

Para sub-redes IP, consulte estes links

Serviço Google Firebase Cloud Messaging (FCM)

Serviço de Notificação Push da Apple (APNS)

Aplicativo Webex

Subredes IP para serviços do Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Portas usadas pelo Webex Calling

Tabela 5. Serviços do Webex Calling e Webex Aware
Finalidade da conexãoEndereços de origemPortas de origemProtocoloEndereços de destinoPortas de destinoNotas
Sinalização de chamada para o Webex Calling (SIP TLS)Gateway local externo (NIC)8000 — 65535TCPConsulte Subredes IP para serviços do Webex Calling.5062, 8934

Esses IPs/portas são necessários para a sinalização de chamada SIP-TLS de saída dos Gateways locais, dispositivos e aplicativos (Fonte) para Webex Calling Nuvem (Destino).

Porta 5062 (necessária para tronco baseado em certificado). E porta 8934 (necessária para tronco baseado em registro

Dispositivos5060 — 50808934
AplicativosEfêmero (Dependente do SO)
Mídia de chamadas para Webex Calling (SRTP)NIC externo do gateway local8000 — 48198 <UNK> <UNK> *UDPConsulte Subredes IP para serviços do Webex Calling.

8500 — 8700,19560 — 65535 (SRTP sobre UDP)

STUN, a otimização de mídia baseada no ICE-Lite não é compatível com o Webex for Government.

Esses IPs/portas são necessários para mídia de chamadas SRTP de saída de Gateways locais, dispositivos e aplicativos (origem) para o Webex Calling Cloud (destino).

Para determinadas topologias de rede em que os firewalls são usados dentro de uma premissa do cliente, permita o acesso aos intervalos de porta de origem e destino mencionados dentro de sua rede para que a mídia flua.

Exemplo: Para aplicativos, permita o intervalo de portas de origem e destino 8500 — 8700.

Dispositivos19560 — 19660
Aplicativos8500 — 8700
Sinalização de chamadas para gateway PSTN (SIP TLS)NIC interno do gateway local8000 — 65535TCPSeu GW ITSP PSTN ou Unified CMDepende da opção de PSTN (por exemplo, normalmente 5060 ou 5061 para o Unified CM)
Mídia de chamadas para gateway PSTN (SRTP)NIC interno do gateway local8000 — 48198 <UNK> <UNK> *UDPSeu GW ITSP PSTN ou Unified CMDepende da opção PSTN (por exemplo, normalmente 5060 ou 5061 para o Unified CM)
Configuração de dispositivos e gerenciamento de firmware (dispositivos Cisco)Dispositivos do Webex CallingEfêmeroTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443,6970

Obrigatório pelos seguintes motivos:

  1. Migração de telefones corporativos (Cisco Unified CM) para o Webex Calling. Ver update.cisco.com para obter mais informações. O cloudupgrader.webex.com usa as portas: 6970.443 para o processo de migração do firmware.

  2. Esses IPs são necessários para integração segura de dispositivos (MPP e telefones de sala ou de mesa) usando o código de ativação de 16 dígitos (GDS).

  3. Para provisionamento baseado em endereço MAC CDA/EDOS-MA. Usado por dispositivos (telefones MPP, ATAs e SPA ATAs) com firmware mais recente.

  4. Quando um telefone se conecta a uma rede pela primeira vez ou após uma redefinição das configurações de fábrica, sem as opções DHCP definidas, ele entra em contato com um servidor de ativação do dispositivo para provisionamento zero touch. Os novos telefones usam "activate.cisco.com" em vez de "webapps.cisco.com" para provisionamento. Os telefones com versão de firmware anterior a 11.2(1) continuam usando "webapps.cisco.com". É recomendado permitir todas essas sub-redes IP.

Configuração do aplicativoAplicativos Webex CallingEfêmeroTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Usado para autenticação Idbroker, serviços de configuração de aplicativos para clientes, acesso à web baseado em navegador para autoatendimento E acesso às interfaces administrativas.
Sincronização dos relógios dos dispositivos (NTP)Dispositivos do Webex Calling51494UDPConsulte Subredes IP para serviços do Webex Calling.123Esses endereços IP são necessários para a sincronização dos relógios dos dispositivos (telefones MPP, ATAs e SPA ATAs)
Resolução do nome do dispositivo e resolução do nome do aplicativoDispositivos do Webex CallingEfêmeroUDP e TCPDefinido pelo organizador53

Usado para pesquisas de DNS para descobrir os endereços IP dos servidores Webex na nuvem.

Embora as pesquisas típicas de DNS sejam feitas em UDP, algumas podem exigir TCP, se as respostas da consulta não couberem nos pacotes UDP.
Sincronização dos horários dos aplicativosAplicativos Webex Calling123UPDDefinido pelo organizador123
CScanFerramenta de pré-qualificação de preparação de rede baseada na web para Webex CallingEfêmeroUPDConsulte Subredes IP para serviços do Webex Calling.19569 — 19760Ferramenta de pré-qualificação de preparação de rede baseada na web para o Webex Calling. Vá para cscan.webex.com para obter mais informações.
Tabela 6. Serviços adicionais do Webex Calling e Webex Aware (terceiros)
Finalidade da conexãoEndereços de origemPortas de origemProtocoloEndereços de destinoPortas de destinoNotas
Serviços de APNS e FCM de notificações por pushAplicativos Webex CallingEfêmeroTCP

Consulte Sub-redes IP mencionadas nos links

Serviço de Notificação Push da Apple (APNS)

Google-Firebase Cloud Messaging (FCM)

443, 2197, 5228, 5229, 5230, 5223Notificações para aplicativos Webex em dispositivos móveis (Exemplo: Quando você recebe uma nova mensagem ou quando uma chamada é atendida)

 
  • † O intervalo de portas de mídia CUBE é configurável com o intervalo de portas rtp.
  • Se um endereço de servidor proxy for configurado para seus aplicativos e dispositivos, o tráfego de sinalização será enviado para o proxy. A mídia transportada SRTP sobre UDP não é enviada para o servidor proxy. Em vez disso, ele deve fluir diretamente para o firewall.
  • Se você estiver usando serviços NTP e DNS dentro da rede da sua empresa, abra as portas 53 e 123 através do firewall.