Obrigado pelos seus comentários.
Requisitos de rede do Webex for Government (FedRAMP)
Comentários?
Referência rápida de portas e intervalos IP de reuniões
Os seguintes intervalos de IP são utilizados por sites implantados no cluster de reuniões FedRAMP. Para este documento, esses intervalos são referidos como "Intervalos de IP Webex":
- 150.253.150.0/23 (150.253.150.0 a 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 a 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 a 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 a 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 a 170.72.254.255)
- 170.133.156.0/22 (170.133.156.0 a 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 a 207.182.167.255)
- 207.182.168.0/23 (207.182.168.0 a 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 a 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 a 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0 a 216.151.130.255)
- 216.151.134.0/24 (216.151.134.0 a 216.151.134.255)
- 216.151.135.0/25 (216.151.135.0 a 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 a 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 a 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 a 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 a 216.151.139.254)
Serviços implantados
Os serviços implantados neste intervalo de IP incluem, mas não se limitam a, o seguinte:
- O site da reunião (por exemplo, customersite.webex.com)
- Servidores de dados da reunião
- Servidores multimídia para áudio do computador (VoIP) e vídeo da webcam
- Serviços XML/API, incluindo agendamento das Ferramentas de Produtividade
- Servidores de gravação baseada em rede (NBR)
- Serviços secundários quando serviços primários estão em manutenção ou estão enfrentando dificuldades técnicas
As seguintes URIs são usadas para verificar a "Lista de revogação de certificados" para nossos certificados de segurança. As Listas de revogação de certificados para garantir que nenhum certificado comprometido possa ser usado para interceptar o Tráfego Webex seguro. Este tráfego ocorre na porta TCP 80:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (certificados IdenTrust)
Os seguintes UserAgents serão transmitidos pelo Webex pelo processo utiltp no Webex e devem ser permitidos através do firewall de uma agência:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping como parte das URLs permitidas. Ele é usado como parte do processo de ativação do dispositivo e "o dispositivo o usa antes de saber que é um dispositivo FedRAMP. O dispositivo envia um código de ativação sem informações FedRAMP, o serviço vê que é um código de ativação FedRAMP e, em seguida, redireciona-os."
Todo o tráfego FedRAMP requer criptografia TLS 1.2 e criptografia mTLS 1.2 para dispositivos registrados SIP no local.
Portas usadas por clientes Webex Meetings (incluindo dispositivos registrados na nuvem)
| Protocolo | Números de portas | Direção | Tipo de tráfego | Intervalo de IP | Comentários |
|---|---|---|---|---|---|
| TCP | 80/443 | Saída para Webex | HTTP, HTTPS | Webex e INSTAGRAMS (Não recomendado para filtrar por IP) |
A Webex recomenda a filtragem por URL. SE Filtrar pelo endereço IP, você deve permitir os intervalos IP AWS GovCloud, Cloudfront e Webex. |
| TCP/UDP | 53 | Saída para DNS local | Serviços do nome do domínio (DNS) | Somente servidor DNS | Usado para pesquisas de DNS para descobrir os endereços IP dos servidores Webex na nuvem. Embora as pesquisas típicas de DNS sejam feitas em UDP, algumas podem exigir TCP, se as respostas da consulta não couberem nos pacotes UDP. |
| UDP | 9000, 5004 | Saída para Webex | Mídia principal do cliente Webex (VoIP e RTP de vídeo) | Webex | A porta de mídia do cliente Webex é usada para a troca de áudio do computador, vídeo da webcam e compartilhamento de conteúdo de áudio. A abertura desta porta é necessária para garantir a melhor experiência de mídia possível. |
| TCP | 5004, 443, 80 | Saída para Webex | Mídia alternativa do cliente Webex (VoIP e RTP de vídeo) | Webex | Portas de fall-back para conectividade de mídia quando a porta UDP 9000 não está aberta no firewall |
| UDP/TCP |
Áudio: 52000 a 52049 Vídeo: 52100 a 52199 | Entrada para sua rede | Mídia do cliente Webex (Voip e vídeo) | Retorne deCULS e Webex |
O Webex se comunicará com a porta de destino recebida quando o cliente fizer sua conexão. Um firewall deve ser configurado para permitir essas conexões de retorno. Isso é ativado por padrão. |
| TCP/UDP | Portas efêmeras específicas do SO | Entrada para sua rede | Tráfego de retorno do Webex | Retorne deCULS e Webex |
O Webex se comunicará com a porta de destino recebida quando o cliente fizer sua conexão. Um firewall deve ser configurado para permitir essas conexões de retorno. Isso geralmente é aberto automaticamente em um firewall stateful, no entanto, está listado aqui para completar. |
Para clientes que ativam o Webex for Government que não podem permitir a filtragem baseada em URL para HTTPS, você precisará permitir a conectividade com o AWS Gov Cloud West (região: us-gov-west-1) e Frente em nuvem (serviço: CLOUDFRONT). Revise a documentação DASS para identificar as faixas de IP para AS GOVS Gov Cloud West região e ISIS Cloud Front. A documentação do AWS está disponível em https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. A Webex recomenda fortemente a filtragem por URL, quando possível.
A cloudfront é usada para conteúdo estático entregue através da Rede de Entrega de Conteúdo para dar aos clientes o melhor desempenho em todo o país.
Portas usadas por dispositivos de colaboração de vídeo da Cisco registrados no local
Consulte também o Guia de implantação empresarial do Cisco Webex Meetings para reuniões habilitadas para dispositivos de vídeo
| Protocolo | Números de porta | Direção | Tipo de acesso | Intervalo de IP | Comentários |
|---|---|---|---|---|---|
| TCP | 5061—5070 | Saída para Webex | Sinalização SIP | Webex | O edge de mídia Webex escuta nessas portas |
| TCP | 5061, 5065 | Entrada para a sua rede | Sinalização SIP | Webex | Tráfego de Sinalização SIP de entrada do Webex Cloud |
| TCP | 5061 | Saída para Webex | Sinalização SIP de dispositivos registrados em nuvem | Aws | Chamadas de entrada de dispositivos registrados no aplicativo Webex 1:1 Calling e em nuvem para o SIP URI registrado no local. *5061 é a porta padrão. O Webex suporta 5061 — 5070 portas a serem usadas pelos clientes conforme definido no Registro SIP SRV |
| TCP/UDP | 1719, 1720, 15000—19999 | Saída para Webex | H.323 LS | Webex | Se o terminal exigir comunicação com o gatekeeper, abra também a porta 1719, que inclui o Lifesize |
| TCP/UDP | Portas efêmeras, 36000 — 59999 | Entrada | Portas de mídia | Webex | Se você estiver usando um Cisco Expressway, os intervalos de mídia devem ser definidos para 36000-59999. Se você estiver usando um terminal ou controle de chamadas de terceiros, ele precisará ser configurado para usar esse intervalo. |
| TCP | 443 | Entrada | Proximidade de dispositivos no local | Rede local | O aplicativo Webex ou o aplicativo de desktop Webex devem ter um caminho roteável IPv4 entre ele e o dispositivo de vídeo usando HTTPS |
Para os clientes que permitem o Webex para o governo receber chamadas de entrada do aplicativo Webex 1:1 e dispositivos registrados na Nuvem para seu SIP URI registrado no local. Você também deve permitir a conectividade com o GOVS Gov Cloud West (região: us.gov.west-1). Revise a documentação do AWS para identificar os intervalos de IP para a região oeste da nuvem do AWS Gov. A documentação DOSS está disponível em https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Portas usadas pelo áudio Edge
Isso só é necessário se você aproveitar o Áudio Edge.
| Protocolo | Números de porta | Direção | Tipo de acesso | Intervalo de IP | Comentários |
|---|---|---|---|---|---|
| TCP | 5061—5062 | Entrada para a sua rede | Sinalização SIP | Webex | Sinalização SIP de entrada para áudio Edge |
| TCP | 5061—5065 | Saída para Webex | Sinalização SIP | Webex | Sinalização SIP de saída para o áudio Edge |
| TCP/UDP | Portas efêmeras, 8000 — 59999 | Entrada para a sua rede | Portas de mídia | Webex | Em um firewall corporativo, as portas precisam ser abertas para o tráfego de entrada no Expressway com um intervalo de portas de 8000 a 59999 |
Configure o mTLS usando as seguintes opções:
- Configure Expressway | autenticação TLS mútua.
- Autoridades de certificação raiz suportadas | Cisco Webex plataformas de áudio e vídeo.
- Áudio Edge | Guia de configuração .
Domínios e URLs dos serviços do Webex Calling
Um * mostrado no início de uma URL (por exemplo, *.webex.com) indica que os serviços no domínio de nível superior e todos os subdomínios são acessíveis.
| Domínio/URL | Descrição | Aplicativos e dispositivos Webex usando esses domínios/URLs |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
Serviços essenciais do Webex Calling e Webex Aware Provisionamento de identidade Armazenamento de identidade Autenticação Serviços OAuth Integração do dispositivo Quando um telefone se conecta a uma rede pela primeira vez ou após uma redefinição de fábrica sem opções de DHCP definidas, ele entra em contato com um servidor de ativação de dispositivos para provisionamento sem toque. Novos telefones usam activate.cisco.com e os telefones com versão de firmware anterior a 11.2(1) continuam usando webapps.cisco.com para provisionamento. Baixe o firmware do dispositivo e as atualizações de localidade de binaries.webex.com . | Todos |
| *.wbx2.com e *.ciscospark.com | Usado para conscientização de nuvem, CSDM, WDM, mercúrio, e assim por diante. Esses serviços são necessários para que os Aplicativos e dispositivos entrem em contato com os serviços Webex Calling e Webex Aware durante e após a integração. | Todos |
| *.webexapis.com |
Microsserviços Webex que gerenciam seus aplicativos e dispositivos. Serviço de imagem do perfil Serviço de quadro de comunicações Serviço de proximidade serviço de Presença Serviço de registro Serviço de calendário Pesquisar serviço | Todos |
| *.webexcontent.com |
Serviço de mensagens Webex relacionado ao armazenamento geral de arquivos, incluindo: Arquivos do usuário Arquivos transcodificados Imagens Capturas de tela Conteúdo do quadro de comunicações Registros de clientes e dispositivos Fotos do perfil Logotipos de marca Arquivos de registro Arquivos de exportação e arquivos de importação CSV em massa (Control Hub) | Serviços de mensagens do aplicativo Webex. Armazenamento de arquivos usando webexcontent.com substituído por clouddrive.com em outubro de 2019 |
| Domínio/URL | Descrição | Aplicativos e dispositivos Webex usando esses domínios/URLs |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | Rastreamento de desempenho, captura de erros e falhas, métricas de sessão. | Control Hub |
| *.huron-dev.com | Microsserviços do Webex Calling, como serviços de alternância, pedidos de números de telefone e serviços de atribuição. | Control Hub |
| *.sipflash.com | Serviços de gerenciamento de dispositivos. Atualizações de firmware e finalidades de integração seguras. | Aplicativos Webex |
|
*.google.com *.googleapis.com |
Notificações aos aplicativos Webex em dispositivos móveis (Exemplo: nova mensagem quando a chamada é atendida) Para subredes IP, consulte estes links | Aplicativo Webex |
Subredes IP para serviços do Webex Calling
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
Portas usadas pelo Webex Calling
| Finalidade da conexão | Endereços de origem | Portas de origem | Protocolo | Endereços de destino | Portas de destino | Notas |
|---|---|---|---|---|---|---|
| Sinalização de chamada para Webex Calling (SIP TLS) | Gateway local externo (NIC) | 8000—65535 | TCP | Consulte Subredes IP para serviços do Webex Calling. | 5062, 8934 |
Esses IPs/portas são necessários para a sinalização de chamada SIP-TLS de saída dos Gateways locais, dispositivos e aplicativos (Fonte) para Webex Calling Nuvem (Destino). Porta 5062 (necessária para tronco baseado em certificado). E porta 8934 (necessário para tronco baseado em registro |
| Dispositivos | 5060—5080 | 8934 | ||||
| Aplicativos | Efêmero (Dependente do SO) | |||||
| Chamar mídia para Webex Calling (SRTP) | NIC externo do gateway local | 8000—48198†* | UDP | Consulte Subredes IP para serviços do Webex Calling. |
8500 — 8700,19560 — 65535 (SRTP sobre UDP) |
STUN, a otimização de mídia baseada no ICE-Lite não é compatível com o Webex for Government. Esses IPs/portas são usados para mídia de chamadas SRTP de saída de Gateways locais, dispositivos e aplicativos (origem) para o Webex Calling Cloud (destino). Para determinadas topologias de rede em que os firewalls são usados dentro de uma premissa do cliente, permita o acesso aos intervalos de porta de origem e destino mencionados dentro de sua rede para que a mídia flua. Exemplo: Para aplicativos, permita o intervalo de portas de origem e destino 8500 — 8700. |
| Dispositivos | 19560—19660 | |||||
| Aplicativos | 8500—8700 | |||||
| Sinalização de chamadas para gateway PSTN (SIP TLS) | NIC interno do gateway local | 8000—65535 | TCP | Seu GW ITSP PSTN ou Unified CM | Depende da opção de PSTN (por exemplo, normalmente 5060 ou 5061 para o Unified CM) | |
| Mídia de chamadas para gateway PSTN (SRTP) | NIC interno do gateway local | 8000—48198†* | UDP | Seu GW ITSP PSTN ou Unified CM | Depende da opção PSTN (por exemplo, normalmente 5060 ou 5061 para o Unified CM) | |
| Configuração de dispositivos e gerenciamento de firmware (dispositivos Cisco) | Dispositivos Webex Calling | Efêmero | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
Obrigatório pelos seguintes motivos:
|
| Configuração do aplicativo | Webex Calling aplicativos | Efêmero | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Usado para Autenticação Idbroker, serviços de configuração de aplicativos para clientes, acesso à web baseado em navegador para autoatendimento E acesso de interfaces administrativas. |
| Sincronização dos relógios dos dispositivos (NTP) | Dispositivos Webex Calling | 51494 | UDP | Consulte Subredes IP para serviços do Webex Calling. | 123 | Esses endereços IP são necessários para a sincronização dos relógios dos dispositivos (telefones MPP, ATAs e SPA ATAs) |
| Resolução do nome do dispositivo e resolução do nome do aplicativo | Dispositivos Webex Calling | Efêmero | UDP e TCP | Definido pelo organizador | 53 | Usado para pesquisas de DNS para descobrir os endereços IP dos serviços Webex Calling na nuvem. Mesmo que as pesquisas típicas de DNS sejam feitas em UDP, algumas podem exigir TCP, se as respostas da consulta não puderem caber nos pacotes UDP. |
| Sincronização dos horários dos aplicativos | Webex Calling aplicativos | 123 | Upd | Definido pelo organizador | 123 | |
| CScan | Ferramenta de pré-qualificação de preparação de rede baseada na web para Webex Calling | Efêmero | Upd | Consulte Subredes IP para serviços do Webex Calling. | 19569—19760 | Ferramenta de pré-qualificação de preparação de rede baseada na Web para Webex Calling. Vá para cscan.webex.com para obter mais informações. |
| Finalidade da conexão | Endereços de origem | Portas de origem | Protocolo | Endereços de destino | Portas de destino | Notas |
|---|---|---|---|---|---|---|
| Serviços de APNS e FCM de notificações por push | Webex Calling aplicativos | Efêmero | TCP |
Consulte as subredes IP mencionadas nos links | 443, 2197, 5228, 5229, 5230, 5223 | Notificações aos aplicativos Webex em dispositivos móveis (Exemplo: Quando você recebe uma nova mensagem ou quando uma chamada é atendida) |
- * O intervalo de portas de mídia do CUBE é configurável com o intervalo de portas rtp .
- Se um endereço de servidor proxy estiver configurado para seus aplicativos e dispositivos, o tráfego de sinalização será enviado ao proxy. O SRTP transportado por mídia através de UDP não é enviado ao servidor proxy. Em vez disso, ele deve fluir diretamente para o firewall.
- Se você estiver usando serviços NTP e DNS na sua rede corporativa, abra as portas 53 e 123 por meio do firewall.
