Краткая справка по портам и диапазонам IP-адресов для совещаний

Следующие диапазоны IP-адресов используются веб-сайтами, развернутыми в кластере совещаний FedRAMP. В этом документе эти диапазоны называются "диапазоны IP-адресов Webex".

  • 150.253.150.0/23 (от 150.253.150.0 до 150.253.151.255)
  • 144.196.224.0/21 (с 144.196.224.0 по 144.196.231.255)
  • 23.89.18.0/23 (с 23.89.18.0 по 23.89.19.255)
  • 163.129.16.0/21 (с 163.129.16.0 по 163.129.23.255)
  • 170.72.254.0/24 (с 170.72.254.0 по 170.72.254.255)
  • 170.133.156.0/22 (с 170.133.156.0 по 170.133.159.255)
  • 207.182.160.0/21 (с 207.182.160.0 по 207.182.167.255)
  • 207.182.168.0/23 (с 207.182.168.0 по 207.182.169.255)
  • 207.182.176.0/22 (с 207.182.176.0 по 207.182.179.255)
  • 207.182.190.0/23 (с 207.182.190.0 по 207.182.191.255)
  • 216.151.130.0/24 (с 216.151.130.0 по 216.151.130.255)
  • 216.151.134.0/24 (с 216.151.134.0 по 216.151.134.255)
  • 216.151.135.0/25 (с 216.151.135.0 по 216.151.135.127)
  • 216.151.135.240/28 (с 216.151.135.240 по 216.151.135.255)
  • 216.151.138.0/24 (с 216.151.138.0 по 216.151.138.255)
  • 216.151.139.0/25 (с 216.151.139.0 по 216.151.139.127)
  • 216.151.139.240/28 (с 216.151.139.241 по 216.151.139.254)

Развернутые службы

Службы, развернутые в этом диапазоне IP-адресов, включают приведенные ниже, но не ограничиваются ими.

  • Веб-сайт совещаний (например, customersite.webex.com)
  • Серверы данных совещаний
  • Серверы мультимедиа для аудио компьютера (передача голоса по IP) и видео веб-камеры
  • Службы XML/API, включая планирование инструментов повышения производительности
  • Серверы сетевой записи (NBR)
  • Дополнительные службы во время технического обслуживания основных служб или возникновения технических сложностей

Для проверки списка отзыва сертификатов для наших сертификатов безопасности используются приведенные ниже URI. Списки отзыва сертификатов применяются с целью гарантии невозможности использования скомпрометированных сертификатов для перехвата безопасного трафика Webex. Этот трафик поступает на порт 80 TCP:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (сертификаты IdenTrust)

Перечисленные ниже UserAgent будут переданы Webex в процессе utiltp в Webex и должны быть разрешены в брандмауэре агентства.

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping в числе разрешенных URL-адресов. Он используется в рамках процесса активации устройства, и «устройство использует его до того, как узнает, что это устройство FedRAMP. Устройство отправляет код активации без информации FedRAMP, служба видит, что это код активации FedRAMP, а затем перенаправляет их".

Для локально зарегистрированных устройств SIP для всего трафика FedRAMP требуется шифрование TLS 1.2 и mTLS 1.2.

Порты, используемые клиентами Webex Meetings (включая устройства, зарегистрированные в облаке)

ПротоколНомера портовНаправлениеТип трафикаДиапазон IP-адресовКомментарии
TCP80/443Исходящие соединения в WebexHTTP, HTTPSWebex и AWS (не рекомендуется использовать фильтрацию по IP-адресу)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (используется для обслуживания статического контента и файлов)
  • *.wbx2.com

Webex рекомендует выполнить фильтрацию по URL-адресу. В СЛУЧАЕ Фильтрации по IP-адресу необходимо разрешить диапазоны IP-адресов AWS GovCloud, Cloudfront и Webex.

TCP/UDP53Исходящие соединения в локальную службу DNSСлужбы доменных имен (DNS)Только сервер DNSИспользуется для поиска DNS с целью обнаружения IP-адресов служб Webex в облаке. Хотя обычный поиск DNS выполняется по протоколу UDP, в некоторых случаях требуется использование TCP, если ответы на запросы не могут быть переданы в пакетах UDP.
UDP9000, 5004Исходящие соединения в WebexОсновные мультимедиа в клиенте Webex (передача голоса по IP и видео по RTP)WebexПорт мультимедиа клиента Webex используется для обмена потоками аудио компьютера, видео веб-камеры и совместного доступа к контенту. Открытие этого порта необходимо для обеспечения оптимальной работы мультимедиа.
TCP5004, 443, 80Исходящие соединения в WebexАльтернативные мультимедиа в клиенте Webex (передача голоса по IP и видео по RTP)WebexРезервные порты для подключения мультимедиа, если порт UDP 9000 не открыт в брандмауэре
UDP/TCP

Аудио. с 52000 до 52049

Видео. с 52100 до 52199

Входящие вызовы в вашу сетьМультимедиа клиента Webex (передача голоса по IP и видео)Обратные соединения из AWS и Webex

Webex устанавливает связь с портом назначения, определенным при подключении клиента. Необходимо разрешить в брандмауэре эти обратные соединения.

Эта возможность включена по умолчанию.
TCP/UDPВременные порты для определенной операционной системыВходящие вызовы в вашу сетьОбратный трафик из WebexОбратные соединения из AWS и Webex

Webex устанавливает связь с портом назначения, определенным при подключении клиента. Необходимо разрешить в брандмауэре эти обратные соединения.

Обычно он открывается автоматически в брандмауэре с сохранением состояния, однако он отображается здесь для полноты.

Для клиентов, включающих решение "Webex для правительственных организаций", которые не могут разрешить фильтрацию на основе URL для HTTPS, необходимо разрешить подключение к AWS Gov Cloud West (регион: us‐gov‐west‐1) и Cloud Front (служба: CLOUDFRONT). Ознакомьтесь с документацией AWS, чтобы определить диапазоны IP-адресов для региона AWS Gov Cloud West и AWS Cloud Front. Документация по AWS доступна по адресу https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex настоятельно рекомендует по возможности выполнять фильтрацию по URL-адресу.

Cloudfront используется для статического контента, пересылаемого через сеть доставки содержимого, чтобы обеспечить для клиентов максимальную производительность по всей стране.

Порты, используемые локально зарегистрированными видеоустройствами для совместной работы Cisco

См. также руководство по корпоративному развертыванию Cisco Webex Meetings для совещаний с поддержкой видеоустройств.

ПротоколНомера портовНаправлениеТип доступаДиапазон IP-адресовКомментарии
TCP5061—5070Исходящие соединения в WebexСигналы SIPWebexУзел мультимедиа Webex принимает трафик на этих портах
TCP5061, 5065Входящие соединения в вашу сетьСигналы SIPWebexВходящий трафик передачи сигналов SIP из облака Webex
TCP5061Исходящие соединения в WebexПередача сигналов SIP с устройств, зарегистрированных в облакеAWSВходящие вызовы из приложения Webex для вызовов "1 на 1" и зарегистрированных в облаке устройств на локально зарегистрированный URI SIP. *5061 является портом по умолчанию. Webex поддерживает порты 5061–5070, которые используются клиентами, как определено в их записи SRV SIP
TCP/UDP1719, 1720, 15000—19999Исходящие соединения в WebexH.323 LSWebexЕсли для конечной точки требуется соединение с помощью шлюза, также откройте порт 1719, который включает Lifesize
TCP/UDPВременные порты, 36000–59999ВходящийПорты мультимедиаWebexПри использовании Cisco Expressway для портов мультимедиа необходимо установить диапазон 36000–59999. Если используется стороннее терминальное устройство или управление вызовами, они должны быть настроены для использования этого диапазона.
Протокол TCP443ВходящийОбнаружение локальных устройств поблизостиЛокальная сетьВ приложении Webex или настольном приложении Webex должен быть предусмотрен путь с возможностью маршрутизации IPv4 между ним и видеоустройством с использованием HTTPS

Для клиентов, включающих решение "Webex для правительственных организаций", принимающих входящие вызовы из приложения Webex при совершении вызовов "1 на 1" и зарегистрированных в облаке устройств на локально зарегистрированный URI SIP. Также необходимо разрешить соединение с AWS Gov Cloud West (регион: us‐gov‐west‐1). Ознакомьтесь с документацией AWS, чтобы определить диапазоны IP-адресов для региона AWS Gov Cloud West. Документация по AWS доступна по ссылке https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Порты, используемые аудио Edge

Это необходимо только при использовании аудио Edge.

ПротоколНомера портовНаправлениеТип доступаДиапазон IP-адресовКомментарии
TCP5061—5062Входящие соединения в вашу сетьСигналы SIPWebexПередача входящих SIP-сигналов для аудио Edge
TCP5061—5065Исходящие соединения в WebexСигналы SIPWebexИсходящие SIP-сигналы для аудио Edge
TCP/UDPВременные порты, 8000–59999Входящие соединения в вашу сетьПорты мультимедиаWebexВ корпоративном брандмауэре порты должны быть открыты для входящего трафика в Expressway в диапазоне от 8000 до 59999

Настройте mTLS, используя следующие параметры:

Домены и URL-адреса служб Webex Calling

*, отображаемое в начале URL-адреса (например, *.webex.com), указывает на доступность служб в домене верхнего уровня и всех поддоменах.

Таблица 3. Службы Webex
Домен/URL-адресОписаниеПриложения и устройства Webex, использующие эти домены/URL-адреса

*.webex.com

*.cisco.com

*.webexgov.us

Основные службы Webex Calling и Webex Aware

подготовка удостоверений

Хранилище удостоверений

Аутентификация

службы OAuth

Перенос устройств

Когда телефон подключается к сети в первый раз или после сброса до заводских настроек без настройки параметров DHCP, он обращается к серверу активации устройства для обеспечения нулевого касания. На новых телефонах используется activate.cisco.com, а на телефонах с микропрограммным обеспечением более ранней версии 11.2(1) по-прежнему используется webapps.cisco.com для подготовки.

Скачайте микропрограммное обеспечение устройства и обновления региональных параметров на веб-сайте binaries.webex.com.

Все
*.wbx2.com и *.ciscospark.comИспользуется для информирования о облаке, CSDM, WDM, ртути и т. д. Эти службы необходимы приложениям и устройствам для связи со службами Webex Calling и Webex Aware во время и после подключения.Все
*.webexapis.com

Микрослужбы Webex, управляющие вашими приложениями и устройствами.

служба изображений профиля

служба виртуальной доски

Служба Proximity

служба Presence

Служба регистрации

Служба календаря

Служба поиска

Все
*.webexcontent.com

Служба обмена сообщениями Webex, связанная с общим хранилищем файлов, включая:

Файлы пользователя

Перекодированные файлы

Изображения

Скриншоты

Контент виртуальной доски

Журналы клиента и устройства

Изображения профиля.

Логотипы брендинга

Файлы журнала

Массовый экспорт и импорт файлов в формате CSV (Control Hub)

службы обмена сообщениями в приложении Webex.
Хранилище файлов с помощью webexcontent.com заменено clouddrive.com в октябре 2019 г.
Таблица 4. Дополнительные службы, связанные с Webex (сторонние домены)
Домен/URL-адресОписаниеПриложения и устройства Webex, использующие эти домены/URL-адреса

*.appdynamics.com

*.eum-appdynamics.com

Отслеживание производительности, регистрация ошибок и сбоев, показатели сеанса.Control Hub
*.huron-dev.comМикрослужбы Webex Calling, такие как службы переключения, заказ номеров телефонов и службы назначения.Control Hub
*.sipflash.comСлужбы управления устройствами. Обновление микропрограммного обеспечения и безопасное подключение.Приложения Webex

*.google.com

*.googleapis.com

Уведомления для приложений Webex на мобильных устройствах (пример: новое сообщение при ответе на вызов)

Для IP-подсетей см. эти ссылки

служба обмена сообщениями в облаке (FCM) Google Firebase

служба push-уведомлений Apple (APNS)

Приложение Webex

IP-подсети для служб Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Порты, используемые Webex Calling

Таблица 5. Службы Webex Calling и Webex Aware
Цель соединенияАдреса источникаПорты источникаПротоколАдреса назначенияПорты назначенияПримечания
Передача сигналов вызовов в Webex Calling (SIP TLS)Внешний (NIC) локального шлюза8000—65535Протокол TCPСм. статью IP-подсети служб Webex Calling.5062, 8934

Эти IP/порты необходимы для исходящие сигналы вызова SIP-TLS от локальных шлюзов, устройств и приложений (источника) в облако Webex Calling (место назначения).

Порт 5062 (требуется для магистрали на основе сертификата). И порт 8934 (требуется для магистрали на основе регистрации)

Устройства5060—50808934
ПриложенияВременный (зависит от ОС)
Передача мультимедиа во время вызова в Webex Calling (SRTP)Внешний NIC локального шлюза8000—48198*UDPСм. статью IP-подсети служб Webex Calling.

8500–8700,19560–65535 (SRTP по UDP)

Оптимизация мультимедиа на основе STUN, ICE-Lite не поддерживается для решения "Webex для правительственных организаций".

Эти IP-адреса или порты используются для исходящих мультимедиа вызовов SRTP от локальных шлюзов, устройств и приложений (источника) в облако Webex Calling (назначение).

Для определенных топологий сети, в которых брандмауэры используются в локальной среде клиента, разрешите доступ к указанным диапазонам портов источника и назначения внутри сети для передачи мультимедиа.

Пример: Для приложений разрешите диапазон портов источника и назначения 8500–8700.

Устройства19560—19660
Приложения8500—8700
Передача сигналов вызовов на шлюз PSTN (SIP TLS)Внутренний NIC локального шлюза8000—65535Протокол TCPВаш поставщик услуг интернет-телефонии, шлюз PSTN или Unified CMЗависит от параметра PSTN (например, для Unified CM, как правило, 5060 или 5061)
Передача мультимедиа во время вызова на шлюз PSTN (SRTP)Внутренний NIC локального шлюза8000—48198*UDPВаш поставщик услуг интернет-телефонии, шлюз PSTN или Unified CMЗависит от параметра PSTN (например, обычно 5060 или 5061 для Unified CM)
Конфигурация устройств и управление микропрограммным обеспечением (устройства Cisco)Устройства Webex CallingВременныйПротокол TCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Требуется по следующим причинам:

  1. Миграция с корпоративных телефонов (Cisco Unified CM) в Webex Calling. Дополнительную информацию см. в статье upgrade.cisco.com . Cloudupgrader.webex.com использует порты: 6970 443 для процесса миграции микропрограммного обеспечения.

  2. Обновление микропрограммного обеспечения и безопасное подключение устройств (MPP и телефонов комнат или стационарных телефонов) с помощью 16-значного кода активации (GDS).

  3. Для CDA/EDOS – подготовка на основе MAC-адресов. Используется на устройствах (телефонах MPP, ATA и SPA ATA) с более новым микропрограммным обеспечением.

  4. При первом подключении телефона к сети или после сброса до заводских настроек без настройки параметров DHCP он обращается к серверу активации устройства для обеспечения нулевого касания. На новых телефонах для подготовки используется activate.cisco.com вместо webapps.cisco.com. Телефоны с микропрограммным обеспечением, выпущенными ранее версий 11.2(1), продолжают использовать webapps.cisco.com. Рекомендуется разрешить все эти IP-подсети.

Конфигурация приложенияПриложения Webex CallingВременныйПротокол TCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Используется для аутентификации Idbroker, служб конфигурации приложений для клиентов, веб-доступа на основе браузера для доступа к интерфейсам самообслуживания И Администрирования.
Синхронизация времени устройства (NTP)Устройства Webex Calling51494UDPСм. статью IP-подсети служб Webex Calling.123Эти IP-адреса предназначены для синхронизации времени устройств (телефонов MPP, ATA и SPA ATA)
Разрешение имени устройства и разрешения имени приложенияУстройства Webex CallingВременныйUDP и TCPОпределяется узлом53

Используется для поиска DNS для обнаружения IP-адресов служб Webex Calling в облаке.

Несмотря на то, что типичные запросы DNS выполняются через UDP, некоторые из них могут потребовать TCP, если ответы на запросы не могут поместиться в пакеты UDP.
Синхронизация времени приложенияПриложения Webex Calling123UpdОпределяется узлом123
CScanИнструмент предварительной квалификации для Webex CallingВременныйUpdСм. статью IP-подсети служб Webex Calling.19569—19760Инструмент предварительной оценки готовности сети для Webex Calling. Дополнительные сведения см. на веб-сайте upgrade.cisco.com.
Таблица 6. Дополнительные службы Webex Calling и Webex Aware (сторонние)
Цель соединенияАдреса источникаПорты источникаПротоколАдреса назначенияПорты назначенияПримечания
Push-уведомления службы APNS и FCMПриложения Webex CallingВременныйПротокол TCP

См. IP-подсети, упомянутые в ссылках

служба push-уведомлений Apple (APNS)

Google-Firebase Cloud Messaging (FCM)

443, 2197, 5228, 5229, 5230, 5223Уведомления для приложений Webex на мобильных устройствах (пример: При получении нового сообщения или при ответе на вызов)
  • *Диапазон портов мультимедиа CUBE настраивается с диапазоном портов rtp.
  • Если адрес прокси-сервера настроен для приложений и устройств, сигнальный трафик отправляется на прокси. Мультимедиа, передаваемые SRTP через UDP, не отправляется на прокси-сервер. Вместо этого он должен поступать непосредственно в брандмауэр.
  • Если службы NTP и DNS используются в корпоративной сети, откройте порты 53 и 123 в брандмауэре.