Obrigado pelos seus comentários.
Requisitos de rede para Webex para Governo (FedRAMP)
Comentários?
Referência rápida de portas de reunião e intervalos de IP
Os seguintes intervalos de IP são utilizados por sites implantados no cluster de reunião do FedRAMP. Para este documento, esses intervalos são chamados de "Intervalos de IP Webex":
- 150.253.150.0/23 (150.253.150.0 a 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 a 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 a 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 a 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 a 170.72.254.255)
- 170.133.156.0/22 (170.133.156.0 a 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 a 207.182.167.255)
- 207.182.168.0/23 (207.182.168.0 a 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 a 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 a 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0 a 216.151.130.255)
- 216.151.134.0/24 (216.151.134.0 a 216.151.134.255)
- 216.151.135.0/25 (216.151.135.0 a 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 a 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 a 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 a 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 a 216.151.139.254)
Serviços implantados
Os serviços implantados neste intervalo de IP incluem, mas não estão limitados ao seguinte:
- O site da reunião (por exemplo, customersite.webex.com)
- Servidores de dados da reunião
- Servidores multimídia para áudio do computador (VoIP) e vídeo da webcam
- XML/API serviços, incluindo agendamento de ferramentas de produtividade
- Servidores de gravação baseada em rede (NBR)
- Serviços secundários quando serviços primários estão em manutenção ou estão enfrentando dificuldades técnicas
As seguintes URIs são usadas para verificar a "Lista de revogação de certificados" para nossos certificados de segurança. As Listas de revogação de certificados para garantir que nenhum certificado comprometido possa ser usado para interceptar o Tráfego Webex seguro. Este tráfego ocorre na porta TCP 80:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (certificados IdenTrust)
Os seguintes UserAgents serão passados pelo Webex pelo processo utiltp no Webex e devem ser permitidos através do firewall de uma agência:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping como parte das URLs permitidas. Ele é usado como parte do processo de ativação do dispositivo, e "o dispositivo o usa antes de saber que é um dispositivo FedRAMP. O dispositivo envia um código de ativação sem nenhuma informação do FedRAMP, o serviço vê que é um código de ativação do FedRAMP e então o redireciona."
Todo o tráfego FedRAMP requer criptografia TLS1.2 ou TLS 1.3 e criptografia mTLS para dispositivos registrados SIP no local.
Portas usadas pelos clientes do Webex Meetings (incluindo dispositivos registrados na nuvem)
| Protocolo | Números de portas | Direção | Tipo de tráfego | Intervalo de IP | Comentários |
|---|---|---|---|---|---|
| TCP | 80/443 | Saída para Webex | HTTP, HTTPS | Webex e INSTAGRAMS (Não recomendado para filtrar por IP) |
O Webex recomenda filtrar por URL. SE filtrar por endereço IP, você deve permitir intervalos de IP AWS GovCloud, Cloudfront e Webex. |
| TCP/UDP | 53 | Saída para DNS local | Serviços do nome do domínio (DNS) | Somente servidor DNS | Usado para pesquisas de DNS para descobrir os endereços IP dos servidores Webex na nuvem. Embora as pesquisas típicas de DNS sejam feitas em UDP, algumas podem exigir TCP, se as respostas da consulta não couberem nos pacotes UDP. |
| UDP | 9000, 5004 | Saída para Webex | Mídia principal do cliente Webex (VoIP e RTP de vídeo) | Webex | A porta de mídia do cliente Webex é usada para a troca de áudio do computador, vídeo da webcam e compartilhamento de conteúdo de áudio. A abertura desta porta é necessária para garantir a melhor experiência de mídia possível. |
| TCP | 5004, 443, 80 | Saída para Webex | Mídia alternativa do cliente Webex (VoIP e RTP de vídeo) | Webex | Portas de fall-back para conectividade de mídia quando a porta UDP 9000 não está aberta no firewall |
| UDP/TCP |
Áudio: 52000 a 52049 Vídeo: 52100 a 52199 | Entrada para sua rede | Webex Client Media (VoIP e Vídeo) | Retorne deCULS e Webex |
O Webex se comunicará com a porta de destino recebida quando o cliente fizer sua conexão. Um firewall deve ser configurado para permitir essas conexões de retorno. Isso é ativado por padrão. |
| TCP/UDP | Portas efêmeras específicas do SO | Entrada para sua rede | Tráfego de retorno do Webex | Retorne deCULS e Webex |
O Webex se comunicará com a porta de destino recebida quando o cliente fizer sua conexão. Um firewall deve ser configurado para permitir essas conexões de retorno. Geralmente, isso é aberto automaticamente em um firewall com estado, mas está listado aqui para fins de integridade. |
Para clientes que habilitam o Webex para Governo e que não podem permitir a filtragem baseada em URL para HTTPS, será necessário permitir a conectividade com o AWS Gov Cloud West (região: us-gov-west-1) e Frente em nuvem (serviço: CLOUDFRONT). Revise a documentação DASS para identificar as faixas de IP para AS GOVS Gov Cloud West região e ISIS Cloud Front. A documentação da AWS está disponível em https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. O Webex recomenda fortemente filtrar por URL quando possível.
A cloudfront é usada para conteúdo estático entregue através da Rede de Entrega de Conteúdo para dar aos clientes o melhor desempenho em todo o país.
Portas usadas por dispositivos de colaboração de vídeo Cisco registrados no local
Consulte também o Guia de implantação empresarial do Cisco Webex Meetings para reuniões habilitadas para dispositivos de vídeo
| Protocolo | Números de porta | Direção | Tipo de acesso | Intervalo de IP | Comentários |
|---|---|---|---|---|---|
| TCP | 5061—5070 | Saída para Webex | Sinalização SIP | Webex | O edge de mídia Webex escuta nessas portas |
| TCP | 5061, 5065 | Entrada para a sua rede | Sinalização SIP | Webex | Tráfego de Sinalização SIP de entrada do Webex Cloud |
| TCP | 5061 | Saída para Webex | Sinalização SIP de dispositivos registrados em nuvem | Aws | Chamadas de entrada do aplicativo Webex 1:1 Chamadas e dispositivos registrados na nuvem para seu URI SIP registrado no local. *5061 é a porta padrão. O Webex oferece suporte às portas 5061 a 5070 a serem usadas pelos clientes, conforme definido em seu registro SIP SRV. |
| TCP/UDP | 1719, 1720, 15000—19999 | Saída para Webex | H.323 LS | Webex | Se o seu ponto de extremidade exigir comunicação do gatekeeper, abra também a porta 1719, que inclui o Lifesize |
| TCP/UDP | Portos Efémeros, 36000—59999 | Entrada | Portas de mídia | Webex | Se você estiver usando um Cisco Expressway, os intervalos de mídia devem ser definidos para 36000-59999. Se você estiver usando um ponto de extremidade de terceiros ou controle de chamadas, eles precisarão ser configurados para usar esse intervalo. |
| TCP | 443 | Entrada | Proximidade de dispositivos no local | Rede local | O aplicativo Webex ou o aplicativo Webex Desktop deve ter um caminho roteável IPv4 entre ele e o dispositivo de vídeo usando HTTPS |
Para os clientes que permitem o Webex para o governo receber chamadas de entrada do aplicativo Webex 1:1 e dispositivos registrados na Nuvem para seu SIP URI registrado no local. Você também deve permitir a conectividade com o GOVS Gov Cloud West (região: us.gov.west-1). Revise a documentação da AWS para identificar os intervalos de IP para a região AWS Gov Cloud West. A documentação DOSS está disponível em https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Portas usadas pelo Edge Audio
Isso só é necessário se você utilizar o Edge Audio.
| Protocolo | Números de porta | Direção | Tipo de acesso | Intervalo de IP | Comentários |
|---|---|---|---|---|---|
| TCP | 5061—5062 | Entrada para a sua rede | Sinalização SIP | Webex | Sinalização SIP de entrada para Edge Audio |
| TCP | 5061—5065 | Saída para Webex | Sinalização SIP | Webex | Sinalização SIP de saída para Edge Audio |
| TCP/UDP | Portos Efémeros, 8000—59999 | Entrada para a sua rede | Portas de mídia | Webex | Em um firewall corporativo, as portas precisam ser abertas para o tráfego de entrada no Expressway com um intervalo de portas de 8000 a 59999 |
Configure o mTLS usando as seguintes opções:
- Configure Expressway | autenticação TLS mútua.
- Autoridades de certificação raiz suportadas | Cisco Webex plataformas de áudio e vídeo.
- Guia de configuração do Edge Audio | .
Domínios e URLs para serviços de chamada Webex
UM * mostrado no início de uma URL (por exemplo, *.webex.com) indica que os serviços no domínio de nível superior e em todos os subdomínios estão acessíveis.
| Domain/URL | Descrição | Aplicativos e dispositivos Webex que usam estes domains/URLs |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
Chamadas Webex principais & Serviços Webex Aware Provisionamento de identidade Armazenamento de identidade Autenticação Serviços OAuth Integração do dispositivo Quando um telefone se conecta a uma rede pela primeira vez ou após uma redefinição de fábrica sem opções de DHCP definidas, ele entra em contato com um servidor de ativação do dispositivo para provisionamento sem toque. Novos telefones usam activate.cisco.com e telefones com versão de firmware anterior à 11.2(1) continuam usando webapps.cisco.com para provisionamento. Baixe as atualizações de firmware e localidade do dispositivo em binaries.webex.com. | Todos |
| *.wbx2.com e *.ciscospark.com | Usado para conscientização de nuvem, CSDM, WDM, mercúrio e assim por diante. Esses serviços são necessários para que os aplicativos e dispositivos alcancem o Webex Calling & Serviços Webex Aware durante e após a integração. | Todos |
| *.webexapis.com |
Microsserviços Webex que gerenciam seus aplicativos e dispositivos. Serviço de foto de perfil Serviço de quadro branco Serviço de proximidade Serviço de presença Serviço de registro Serviço de calendário Serviço de busca | Todos |
| *.webexcontent.com |
Serviço de mensagens Webex relacionado ao armazenamento geral de arquivos, incluindo: Arquivos de usuário Arquivos transcodificados Imagens Capturas de tela Conteúdo do quadro branco Cliente & registros do dispositivo Fotos do perfil Logotipos de marca Arquivos de registro Arquivos CSV para exportação em massa & importar arquivos (Control Hub) | Serviços de mensagens do aplicativo Webex. Armazenamento de arquivos usando webexcontent.com substituído por clouddrive.com em outubro de 2019 |
| Domain/URL | Descrição | Aplicativos e dispositivos Webex que usam estes domains/URLs |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | Rastreamento de desempenho, captura de erros e falhas, métricas de sessão. | Control Hub |
| *.huron-dev.com | Microsserviços do Webex Calling, como serviços de alternância, pedidos de números de telefone e serviços de atribuição. | Control Hub |
| *.sipflash.com | Serviços de gerenciamento de dispositivos. Atualizações de firmware e integração segura. | Aplicativos Webex |
|
*.google.com *.googleapis.com |
Notificações para aplicativos Webex em dispositivos móveis (Exemplo: nova mensagem, quando a chamada for atendida) Para sub-redes IP, consulte estes links | Aplicativo Webex |
Sub-redes IP para serviços de chamada Webex
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
- 144.196.17.0/24
Portas usadas pelo Webex Calling
| Finalidade da conexão | Endereços de origem | Portas de origem | Protocolo | Endereços de destino | Portas de destino | Notas |
|---|---|---|---|---|---|---|
| Sinalização de chamada para Webex Calling (SIP TLS) | Gateway local externo (NIC) | 8000—65535 | TCP | Consulte Subredes IP para serviços do Webex Calling. | 5062, 8934 |
Esses IPs/portas são necessários para a sinalização de chamada SIP-TLS de saída dos Gateways locais, dispositivos e aplicativos (Fonte) para Webex Calling Nuvem (Destino). Porta 5062 (necessária para tronco baseado em certificado). E porta 8934 (necessária para tronco baseado em registro |
| Dispositivos | 5060—5080 | 8934 | ||||
| Aplicativos | Efêmero (Dependente do SO) | |||||
| Chamar mídia para Webex Calling (SRTP) | NIC externo do gateway local | 8000—48198†* | UDP | Consulte Subredes IP para serviços do Webex Calling. |
8500—8700,19560—65535 (SRTP sobre UDP) |
A otimização de mídia baseada em STUN e ICE-Lite não é suportada pelo Webex for Government. Esses IPs/ports são usados para mídia de chamada SRTP de saída de gateways locais, dispositivos e aplicativos (origem) para o Webex Calling Cloud (destino). Para determinadas topologias de rede em que firewalls são usados nas instalações do cliente, permita o acesso aos intervalos de portas de origem e destino mencionados dentro da sua rede para que a mídia flua. Exemplo: Para aplicações, permita o intervalo de portas de origem e destino de 8500 a 8700. |
| Dispositivos | 19560—19660 | |||||
| Aplicativos | 8500—8700 | |||||
| Sinalização de chamadas para gateway PSTN (SIP TLS) | NIC interno do gateway local | 8000—65535 | TCP | Seu GW ITSP PSTN ou Unified CM | Depende da opção de PSTN (por exemplo, normalmente 5060 ou 5061 para o Unified CM) | |
| Mídia de chamadas para gateway PSTN (SRTP) | NIC interno do gateway local | 8000—48198†* | UDP | Seu GW ITSP PSTN ou Unified CM | Depende da opção PSTN (por exemplo, normalmente 5060 ou 5061 para Unified CM) | |
| Configuração de dispositivos e gerenciamento de firmware (dispositivos Cisco) | Dispositivos Webex Calling | Efêmero | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
Necessário pelos seguintes motivos:
|
| Configuração do aplicativo | Webex Calling aplicativos | Efêmero | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Usado para autenticação do Idbroker, serviços de configuração de aplicativos para clientes, acesso web baseado em navegador para autoatendimento e acesso a interfaces administrativas. |
| Sincronização dos relógios dos dispositivos (NTP) | Dispositivos Webex Calling | 51494 | UDP | Consulte Subredes IP para serviços do Webex Calling. | 123 | Esses endereços IP são necessários para a sincronização dos relógios dos dispositivos (telefones MPP, ATAs e SPA ATAs) |
| Resolução de nomes de dispositivos e resolução de nomes de aplicativos | Dispositivos Webex Calling | Efêmero | UDP e TCP | Definido pelo organizador | 53 | Usado para pesquisas de DNS para descobrir os endereços IP dos serviços do Webex Calling na nuvem. Embora as pesquisas típicas de DNS sejam feitas via UDP, algumas podem exigir TCP, caso as respostas da consulta não caibam nos pacotes UDP. |
| Sincronização dos horários dos aplicativos | Webex Calling aplicativos | 123 | Upd | Definido pelo organizador | 123 | |
| CScan | Ferramenta de pré-qualificação de prontidão de rede baseada na Web para chamadas Webex | Efêmero | Upd | Consulte Subredes IP para serviços do Webex Calling. | 19569—19760 | Ferramenta de pré-qualificação de prontidão de rede baseada na Web para Webex Calling. Vá para cscan.webex.com para obter mais informações. |
| Finalidade da conexão | Endereços de origem | Portas de origem | Protocolo | Endereços de destino | Portas de destino | Notas |
|---|---|---|---|---|---|---|
| Notificações push serviços APNS e FCM | Webex Calling aplicativos | Efêmero | TCP |
Consulte as sub-redes IP mencionadas nos links | 443, 2197, 5228, 5229, 5230, 5223 | Notificações para aplicativos Webex em dispositivos móveis (Exemplo: Quando você recebe uma nova mensagem ou quando uma chamada é atendida) |
- †*O intervalo de portas de mídia CUBE é configurável com rtp-port range.
- Se um endereço de servidor proxy estiver configurado para seus aplicativos e dispositivos, o tráfego de sinalização será enviado ao proxy. A mídia transportada SRTP via UDP não é enviada ao servidor proxy. Ele deve fluir diretamente para seu firewall.
- Se você estiver usando serviços NTP e DNS na sua rede corporativa, abra as portas 53 e 123 através do seu firewall.
