Рекомендации по сетевым требованиям для правительственных организаций, включая диапазоны IP-адресов и конфигурацию портов для Webex Meetings и Webex Calling.
Краткое описание портов совещаний и диапазонов IP-адресов
Следующие диапазоны IP-адресов используются веб-сайтами, развернутыми в кластере совещаний FedRAMP. В настоящем документе эти диапазоны называются "Диапазоны IP-адресов Webex".
- 150.253.150.0/23 (с 150.253.150.0 по 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0–144.196.231.255)
- 23.89.18.0/23 (с 23.89.18.0 по 23.89.19.255)
- 163.129.16.0/21 (с 163.129.16.0 по 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0–170.72.254.255)
- 170.133.156.0/22 (с 170.133.156.0 по 170.133.159.255)
- 207.182.160.0/21 (с 207.182.160.0 по 207.182.167.255)
- 207.182.168.0/23 (с 207.182.168.0 по 207.182.169.255)
- 207.182.176.0/22 (с 207.182.176.0 по 207.182.179.255)
- 207.182.190.0/23 (с 207.182.190.0 по 207.182.191.255)
- 216.151.130.0/24 (с 216.151.130.0 по 216.151.130.255)
- 216.151.134.0/24 (с 216.151.134.0 по 216.151.134.255)
- 216.151.135.0/25 (с 216.151.135.0 по 216.151.135.127)
- 216.151.135.240/28 (с 216.151.135.240 по 216.151.135.255)
- 216.151.138.0/24 (с 216.151.138.0 по 216.151.138.255)
- 216.151.139.0/25 (с 216.151.139.0 по 216.151.139.127)
- 216.151.139.240/28 (с 216.151.139.241 по 216.151.139.254)
Развернутые службы
Службы, развернутые в этом диапазоне IP-адресов, включают, помимо прочего, следующие:
- Веб-сайт совещания (например, customersite.webex.com)
- Серверы данных совещаний
- Серверы мультимедиа для аудио компьютера (передача голоса по IP) и видео веб-камеры
- службы XML/API, включая планирование инструментов повышения производительности
- Серверы сетевой записи (NBR)
- Дополнительные службы во время технического обслуживания основных служб или возникновения технических сложностей
Для проверки списка отзыва сертификатов для наших сертификатов безопасности используются приведенные ниже URI. Списки отзыва сертификатов применяются с целью гарантии невозможности использования скомпрометированных сертификатов для перехвата безопасного трафика Webex. Этот трафик поступает на порт 80 TCP:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (сертификаты IdenTrust)
 | Следующие UserAgents будут переданы Webex в процессе utiltp в Webex и должны быть разрешены через брандмауэр агентства.
|
https://activation.webex.com/api/v1/ping в числе разрешенных URL-адресов. Он используется в процессе активации устройства, и "устройство использует его до того, как узнает, что это устройство FedRAMP. Устройство отправляет ему код активации без информации о FedRAMP, служба видит, что это код активации FedRAMP, а затем перенаправляет их".
Весь трафик FedRAMP требует шифрования TLS 1.2 и шифрования mTLS 1.2 для локальных зарегистрированных SIP устройств.
Порты, используемые клиентами Webex Meetings (включая устройства, зарегистрированные в облаке)
| Protocol | Номера портов | Направление | Тип трафика | Диапазон IP-адресов | Комментарии | ||
|---|---|---|---|---|---|---|---|
| TCP | 80/443 | Исходящие соединения в Webex | HTTP, HTTPS | Webex и AWS (не рекомендуется использовать фильтрацию по IP-адресу) |
Webex рекомендует фильтрацию по URL. ПРИ Фильтрации по IP-адресу необходимо разрешить диапазоны IP AWS GovCloud, Cloudfront и Webex. | ||
| TCP/UDP | 53 | Исходящие соединения в локальную службу DNS | Службы доменных имен (DNS) | Только сервер DNS | Используется для поиска DNS с целью обнаружения IP-адресов служб Webex в облаке. Хотя обычный поиск DNS выполняется по протоколу UDP, в некоторых случаях требуется использование TCP, если ответы на запросы не могут быть переданы в пакетах UDP. | ||
| UCP | 9000, 5004 | Исходящие соединения в Webex | Основные мультимедиа в клиенте Webex (передача голоса по IP и видео по RTP) | Webex | Порт мультимедиа клиента Webex используется для обмена потоками аудио компьютера, видео веб-камеры и совместного доступа к контенту. Открытие этого порта необходимо для обеспечения наилучших возможностей мультимедиа. | ||
| TCP | 5004, 443, 80 | Исходящие соединения в Webex | Альтернативные мультимедиа в клиенте Webex (передача голоса по IP и видео по RTP) | Webex | Резервные порты для подключения мультимедиа, если порт UDP 9000 не открыт в брандмауэре | ||
| UDP/TCP | Аудио. с 52000 до 52049 Видео. с 52100 до 52199 | Входящие в вашу сеть | Мультимедиа клиента Webex (передача голоса по IP и видео) | Обратные соединения из AWS и Webex | Webex устанавливает связь с портом назначения, определенным при подключении клиента. Необходимо разрешить в брандмауэре эти обратные соединения.
| ||
| TCP/UDP | Временные порты для определенной операционной системы | Входящие в вашу сеть | Обратный трафик из Webex | Обратные соединения из AWS и Webex | Webex устанавливает связь с портом назначения, определенным при подключении клиента. Необходимо разрешить в брандмауэре эти обратные соединения.
|
Клиентам, использующим решение "Webex для правительственных организаций", которые не могут разрешить фильтрацию на основе URL для HTTPS, необходимо разрешить подключение к облаку AWS Gov West (регион: us‐gov‐west‐1) и Cloud Front (служба: CLOUDFRONT). Ознакомьтесь с документацией AWS, чтобы определить диапазоны IP-адресов для региона AWS Gov Cloud West и AWS Cloud Front. Документация AWS доступна по адресу https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex настоятельно рекомендует фильтрацию по URL, когда это возможно.
Cloudfront используется для статического контента, пересылаемого через сеть доставки содержимого, чтобы обеспечить для клиентов максимальную производительность по всей стране.
Порты, используемые зарегистрированными локально устройствами для совместной работы видео Cisco
См. также руководство по корпоративному развертыванию Cisco Webex Meetings для совещаний с поддержкой видеоустройств
| Protocol | Номера портов | Направление | Тип доступа | Диапазон IP-адресов | Комментарии |
|---|---|---|---|---|---|
| TCP | 5061–5070 | Исходящие соединения в Webex | Сигналы SIP | Webex | Узел мультимедиа Webex принимает трафик на этих портах |
| TCP | 5061, 5065 | Входящие соединения в вашу сеть | Сигналы SIP | Webex | Входящий трафик передачи сигналов SIP из облака Webex |
| TCP | 5061 | Исходящие соединения в Webex | Передача сигналов SIP с устройств, зарегистрированных в облаке | AWS | Входящие вызовы из приложения Webex при совершении вызовов "1 на 1" и зарегистрированных в облаке устройств на локально зарегистрированный URI SIP. * 5061 является портом по умолчанию. Webex поддерживает порты 5061–5070, которые будут использоваться клиентами, как определено в их записи SRV SIP |
| TCP/UDP | 1719, 1720, 15000—19999 | Исходящие соединения в Webex | H.323 LS | Webex | Если для конечной точки требуется связь с шлюзом, также откройте порт 1719, который включает Lifesize |
| TCP/UDP | Эфемерные порты, 36000—59999 | Входящий | Порты мультимедиа | Webex | При использовании Cisco Expressway для портов мультимедиа необходимо установить диапазон 36000–59999. Если используется сторонняя конечная точка или элементы управления вызовом, они должны быть настроены для использования этого диапазона. |
| TCP | 443 | Входящий | Обнаружение локальных устройств поблизости | Локальная сеть | Приложение Webex или настольное приложение Webex должно иметь путь для маршрутизации IPv4 между собой и видеоустройством с помощью HTTPS |
Для клиентов, включающих решение "Webex для правительственных организаций", принимающих входящие вызовы из приложения Webex при совершении вызовов "1 на 1" и зарегистрированных в облаке устройств на локально зарегистрированный URI SIP. Также необходимо разрешить соединение с AWS Gov Cloud West (регион: us‐gov‐west‐1). Ознакомьтесь с документацией AWS, чтобы определить диапазоны IP-адресов для региона AWS Gov Cloud West. Документация по AWS доступна по ссылке https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Порты, используемые аудио Edge
Это необходимо только при использовании аудио Edge.
| Protocol | Номера портов | Направление | Тип доступа | Диапазон IP-адресов | Комментарии |
|---|---|---|---|---|---|
| TCP | 5061–5062 | Входящие соединения в вашу сеть | Сигналы SIP | Webex | Входящие сигналы SIP для аудио Edge |
| TCP | 5061–5065 | Исходящие соединения в Webex | Сигналы SIP | Webex | Исходящие сигналы SIP для аудио Edge |
| TCP/UDP | Эфемерные порты, 8000—59999 | Входящие соединения в вашу сеть | Порты мультимедиа | Webex | В корпоративном брандмауэре порты должны быть открыты для входящего трафика в Expressway с диапазоном портов от 8000 до 59999 |
Настройте mTLS с помощью следующих параметров:
- Настройка аутентификации |Expressway Mutual TLS.
- Поддерживаемые корневые центры сертификации |Cisco Webex Audio и Video.
- Руководство по |настройке аудио Edge.
Домены и URL-адреса служб Webex Calling
Символ * в начале URL-адреса (например *.webex.com), указывает на то, что службы в домене верхнего уровня и все поддомены должны быть доступными.
| Домен/URL | Описание | Приложения и устройства Webex, использующие эти домены/URL | ||
|---|---|---|---|---|
*.webex.com *.cisco.com *.webexgov.us | Основные службы Webex Calling и Webex Aware подготовка устройства Хранение удостоверений Аутентификация OAuth сервисы перенос устройств Когда телефон подключается к сети в первый раз или после сброс до заводских настроек без заданных параметров DHCP , он обращается к серверу активации устройства для инициализации без касания. В новых телефонах используется activate.cisco.com, а в телефонах с микропрограммным обеспечением более ранней версии, чем 11.2 (1), для подготовки по-прежнему используется webapps.cisco.com. Загрузите микропрограммное обеспечение устройства и обновления языковых стандартов с веб-сайта binaries.webex.com . | Все | ||
| *.wbx2.com и *.ciscospark.com | Используется для информации об облаке, CSDM, WDM, ртути и т. Д. Эти службы необходимы для того, чтобы приложения и устройства могли обращаться к службам Webex Calling и Webex Aware во время и после подключения. | Все | ||
| webexapis.com | Микрослужбы Webex, управляющие вашими приложениями и устройствами. Сервис изображений профиля Доска объявлений Служба близости Служба присутствия Обязательная регистрация Служба календаря Поиск устройства | Все | ||
| *.webexconnect.com | Служба обмен сообщениями Webex , относящаяся к общему хранилищу файлов, включая: Роли пользователей Перекодированные файлы Изображения. Снимок экрана Контекст виртуальной доски Журналы клиента и устройства Изображения профиля. Фирменные логотипы файлы Box; Массовый экспорт и импорт файлов CSV (Control Hub) | Службы обмена сообщениями в приложении Webex.
|
| Домен/URL | Описание | Приложения и устройства Webex, использующие эти домены/URL |
|---|---|---|
*.appdynamics.com *.eum-appdynamics.com | Отслеживание производительности, регистрация ошибок и сбоев, показатели сеанса. | Control Hub |
| *.huron-dev.com | Микрослужбы Webex Calling, такие как службы переключения, заказ номеров телефонов и службы назначения. | Control Hub |
| *.sipflash.com | Служба управления устройствами Обновления микропрограммного обеспечения и безопасное подключение. | приложения Webex |
* .google.com * .googleapis.com | Уведомления для приложений Webex на мобильных устройствах (пример: новое сообщение при ответе на вызов) Для IP -подсетей перейдите по этим ссылкам. | Приложение Webex |
IP-подсети для служб Webex Calling
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
Порты, используемые Webex Calling
| Цель соединения | Адреса источника | Порты источника | Protocol | Адреса назначения | Порты назначения | Примечания |
|---|---|---|---|---|---|---|
| Передача сигналов вызовов в Webex Calling (SIP TLS) | Внешний (NIC) локального шлюза | 8000—65535 | TCP | См. статью IP-подсети служб Webex Calling. | 5062, 8934 | Эти IP/порты необходимы для исходящие сигналы вызова SIP-TLS от локальных шлюзов, устройств и приложений (источника) в облако Webex Calling (место назначения). Порт 5062 (необходим для магистрали на основе сертификатов). И порт 8934 (требуется для магистрали на основе регистрации) |
| Устройства | 5060–5080 | 8934 | ||||
| Приложения | Временный (зависит от ОС) | |||||
| Мультимедиа вызова в Webex Calling (STUN, SRTP | Внешний NIC локального шлюза | 8000—48198 <UNK> * | UDP | См. статью IP-подсети служб Webex Calling. | 5004, 9000 (порты STUN) 8500—8700,19560—65535 (SRTP через UDP) | Эти IP-адреса или порты предназначены для исходящей передачи вызова мультимедиа SRTP с локальных шлюзов, устройств и приложений (источника) в облако Webex Calling (место назначения). Для вызовов в организации, где согласование STUN и ICE прошло успешно, ретрансляция мультимедиа в облаке удаляется в качестве пути связи. В таких случаях поток мультимедиа осуществляется непосредственно между приложениями и устройствами пользователя. Например: Если оптимизация мультимедиа прошла успешно, приложения отправляют мультимедиа напрямую между собой в диапазоне портов от 8500 до 9700, а устройства отправляют мультимедиа напрямую друг другу в диапазоне портов от 19560 до 19660. Для определенных топологий сети, в которых брандмауэры используются в локальной среде клиента, разрешите доступ к указанным диапазонам портов источника и назначения внутри сети для передачи мультимедиа. Пример. Для приложений разрешите диапазон портов источника и назначения 8500–8700. |
| Устройства | 19560—19660 | |||||
| Приложения | 8500—8700 | |||||
| Передача сигналов вызовов на шлюз PSTN (SIP TLS) | Внутренний NIC локального шлюза | 8000—65535 | TCP | Ваш поставщик услуг интернет-телефонии, шлюз PSTN или Unified CM | Зависит от параметра PSTN (например, для Unified CM, как правило, 5060 или 5061) | |
| Передача мультимедиа во время вызова на шлюз PSTN (SRTP) | Внутренний NIC локального шлюза | 8000—48198 <UNK> * | UDP | Ваш поставщик услуг интернет-телефонии, шлюз PSTN или Unified CM | Зависит от параметра PSTN (например, обычно 5060 или 5061 для Unified CM) | |
| Конфигурация устройств и управление микропрограммным обеспечением (устройства Cisco) | Устройства Webex Calling | Временный | TCP | 3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443,6970 | Требуется по следующим причинам:
|
| Конфигурация приложения | Приложения Webex Calling | Временный | TCP | 62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Используется для аутентификации Idbroker, служб конфигурации приложений для клиентов, веб-доступ на основе браузера для самообслуживания И доступа к административным интерфейсам. |
| Синхронизация времени устройства (NTP) | Устройства Webex Calling | 51494 | UDP | См. статью IP-подсети служб Webex Calling. | 123 | Эти IP-адреса предназначены для синхронизации времени устройств (телефонов MPP, ATA и SPA ATA) |
| Разрешение имени устройства и разрешения имени приложения | Устройства Webex Calling | Временный | UDP и TCP | Определяется узлом | 53 | Используется для поиска DNS с целью обнаружения IP-адресов служб Webex в облаке. Хотя обычный поиск DNS выполняется по протоколу UDP, в некоторых случаях требуется использование TCP, если ответы на запросы не могут быть переданы в пакетах UDP. |
| Синхронизация времени приложения | Приложения Webex Calling | 123 | UPD | Определяется узлом | 123 | |
| CScan | веб -инструмент для предварительной проверки готовности сети для Webex Calling | Временный | UPD | См. статью IP-подсети служб Webex Calling. | 19569—19760 | веб инструмент предварительной оценки готовности сети для Webex Calling. Дополнительные сведения см. на веб-сайте upgrade.cisco.com. |
| Цель соединения | Адреса источника | Порты источника | Protocol | Адреса назначения | Порты назначения | Примечания |
|---|---|---|---|---|---|---|
| Push-уведомления Сервисы APNS и FCM | Приложения Webex Calling | Временный | TCP | См. IP -подсети, указанные по ссылкам | 443, 2197, 5228, 5229, 5230, 5223 | Уведомления для приложений Webex на мобильных устройствах (пример: При получении нового сообщения или при ответе на вызов) |
|
|
