Благодарим вас за обратную связь.
Требования к сети для решения "Webex для правительственных организаций" (FedRAMP)
Отправить обратную связь?
Краткая справка по портам и диапазонам IP-адресов для совещаний
Следующие диапазоны IP-адресов используются веб-сайтами, развернутыми в кластере совещаний FedRAMP. В этом документе эти диапазоны называются "диапазоны IP-адресов Webex".
- 150.253.150.0/23 (от 150.253.150.0 до 150.253.151.255)
- 144.196.224.0/21 (с 144.196.224.0 по 144.196.231.255)
- 23.89.18.0/23 (с 23.89.18.0 по 23.89.19.255)
- 163.129.16.0/21 (с 163.129.16.0 по 163.129.23.255)
- 170.72.254.0/24 (с 170.72.254.0 по 170.72.254.255)
- 170.133.156.0/22 (с 170.133.156.0 по 170.133.159.255)
- 207.182.160.0/21 (с 207.182.160.0 по 207.182.167.255)
- 207.182.168.0/23 (с 207.182.168.0 по 207.182.169.255)
- 207.182.176.0/22 (с 207.182.176.0 по 207.182.179.255)
- 207.182.190.0/23 (с 207.182.190.0 по 207.182.191.255)
- 216.151.130.0/24 (с 216.151.130.0 по 216.151.130.255)
- 216.151.134.0/24 (с 216.151.134.0 по 216.151.134.255)
- 216.151.135.0/25 (с 216.151.135.0 по 216.151.135.127)
- 216.151.135.240/28 (с 216.151.135.240 по 216.151.135.255)
- 216.151.138.0/24 (с 216.151.138.0 по 216.151.138.255)
- 216.151.139.0/25 (с 216.151.139.0 по 216.151.139.127)
- 216.151.139.240/28 (с 216.151.139.241 по 216.151.139.254)
Развернутые службы
Службы, развернутые в этом диапазоне IP-адресов, включают приведенные ниже, но не ограничиваются ими.
- Веб-сайт совещаний (например, customersite.webex.com)
- Серверы данных совещаний
- Серверы мультимедиа для аудио компьютера (передача голоса по IP) и видео веб-камеры
- Службы XML/API, включая планирование инструментов повышения производительности
- Серверы сетевой записи (NBR)
- Дополнительные службы во время технического обслуживания основных служб или возникновения технических сложностей
Для проверки списка отзыва сертификатов для наших сертификатов безопасности используются приведенные ниже URI. Списки отзыва сертификатов применяются с целью гарантии невозможности использования скомпрометированных сертификатов для перехвата безопасного трафика Webex. Этот трафик поступает на порт 80 TCP:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (сертификаты IdenTrust)
Перечисленные ниже UserAgent будут переданы Webex в процессе utiltp в Webex и должны быть разрешены в брандмауэре агентства.
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping в числе разрешенных URL-адресов. Он используется в рамках процесса активации устройства, и «устройство использует его до того, как узнает, что это устройство FedRAMP. Устройство отправляет код активации без информации FedRAMP, служба видит, что это код активации FedRAMP, а затем перенаправляет их".
Для локально зарегистрированных устройств SIP для всего трафика FedRAMP требуется шифрование TLS 1.2 и mTLS 1.2.
Порты, используемые клиентами Webex Meetings (включая устройства, зарегистрированные в облаке)
| Протокол | Номера портов | Направление | Тип трафика | Диапазон IP-адресов | Комментарии |
|---|---|---|---|---|---|
| TCP | 80/443 | Исходящие соединения в Webex | HTTP, HTTPS | Webex и AWS (не рекомендуется использовать фильтрацию по IP-адресу) |
Webex рекомендует выполнить фильтрацию по URL-адресу. В СЛУЧАЕ Фильтрации по IP-адресу необходимо разрешить диапазоны IP-адресов AWS GovCloud, Cloudfront и Webex. |
| TCP/UDP | 53 | Исходящие соединения в локальную службу DNS | Службы доменных имен (DNS) | Только сервер DNS | Используется для поиска DNS с целью обнаружения IP-адресов служб Webex в облаке. Хотя обычный поиск DNS выполняется по протоколу UDP, в некоторых случаях требуется использование TCP, если ответы на запросы не могут быть переданы в пакетах UDP. |
| UDP | 9000, 5004 | Исходящие соединения в Webex | Основные мультимедиа в клиенте Webex (передача голоса по IP и видео по RTP) | Webex | Порт мультимедиа клиента Webex используется для обмена потоками аудио компьютера, видео веб-камеры и совместного доступа к контенту. Открытие этого порта необходимо для обеспечения оптимальной работы мультимедиа. |
| TCP | 5004, 443, 80 | Исходящие соединения в Webex | Альтернативные мультимедиа в клиенте Webex (передача голоса по IP и видео по RTP) | Webex | Резервные порты для подключения мультимедиа, если порт UDP 9000 не открыт в брандмауэре |
| UDP/TCP |
Аудио. с 52000 до 52049 Видео. с 52100 до 52199 | Входящие вызовы в вашу сеть | Мультимедиа клиента Webex (передача голоса по IP и видео) | Обратные соединения из AWS и Webex |
Webex устанавливает связь с портом назначения, определенным при подключении клиента. Необходимо разрешить в брандмауэре эти обратные соединения. Эта возможность включена по умолчанию. |
| TCP/UDP | Временные порты для определенной операционной системы | Входящие вызовы в вашу сеть | Обратный трафик из Webex | Обратные соединения из AWS и Webex |
Webex устанавливает связь с портом назначения, определенным при подключении клиента. Необходимо разрешить в брандмауэре эти обратные соединения. Обычно он открывается автоматически в брандмауэре с сохранением состояния, однако он отображается здесь для полноты. |
Для клиентов, включающих решение "Webex для правительственных организаций", которые не могут разрешить фильтрацию на основе URL для HTTPS, необходимо разрешить подключение к AWS Gov Cloud West (регион: us‐gov‐west‐1) и Cloud Front (служба: CLOUDFRONT). Ознакомьтесь с документацией AWS, чтобы определить диапазоны IP-адресов для региона AWS Gov Cloud West и AWS Cloud Front. Документация по AWS доступна по адресу https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex настоятельно рекомендует по возможности выполнять фильтрацию по URL-адресу.
Cloudfront используется для статического контента, пересылаемого через сеть доставки содержимого, чтобы обеспечить для клиентов максимальную производительность по всей стране.
Порты, используемые локально зарегистрированными видеоустройствами для совместной работы Cisco
| Протокол | Номера портов | Направление | Тип доступа | Диапазон IP-адресов | Комментарии |
|---|---|---|---|---|---|
| TCP | 5061—5070 | Исходящие соединения в Webex | Сигналы SIP | Webex | Узел мультимедиа Webex принимает трафик на этих портах |
| TCP | 5061, 5065 | Входящие соединения в вашу сеть | Сигналы SIP | Webex | Входящий трафик передачи сигналов SIP из облака Webex |
| TCP | 5061 | Исходящие соединения в Webex | Передача сигналов SIP с устройств, зарегистрированных в облаке | AWS | Входящие вызовы из приложения Webex для вызовов "1 на 1" и зарегистрированных в облаке устройств на локально зарегистрированный URI SIP. *5061 является портом по умолчанию. Webex поддерживает порты 5061–5070, которые используются клиентами, как определено в их записи SRV SIP |
| TCP/UDP | 1719, 1720, 15000—19999 | Исходящие соединения в Webex | H.323 LS | Webex | Если для конечной точки требуется соединение с помощью шлюза, также откройте порт 1719, который включает Lifesize |
| TCP/UDP | Временные порты, 36000–59999 | Входящий | Порты мультимедиа | Webex | При использовании Cisco Expressway для портов мультимедиа необходимо установить диапазон 36000–59999. Если используется стороннее терминальное устройство или управление вызовами, они должны быть настроены для использования этого диапазона. |
| Протокол TCP | 443 | Входящий | Обнаружение локальных устройств поблизости | Локальная сеть | В приложении Webex или настольном приложении Webex должен быть предусмотрен путь с возможностью маршрутизации IPv4 между ним и видеоустройством с использованием HTTPS |
Для клиентов, включающих решение "Webex для правительственных организаций", принимающих входящие вызовы из приложения Webex при совершении вызовов "1 на 1" и зарегистрированных в облаке устройств на локально зарегистрированный URI SIP. Также необходимо разрешить соединение с AWS Gov Cloud West (регион: us‐gov‐west‐1). Ознакомьтесь с документацией AWS, чтобы определить диапазоны IP-адресов для региона AWS Gov Cloud West. Документация по AWS доступна по ссылке https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Порты, используемые аудио Edge
Это необходимо только при использовании аудио Edge.
| Протокол | Номера портов | Направление | Тип доступа | Диапазон IP-адресов | Комментарии |
|---|---|---|---|---|---|
| TCP | 5061—5062 | Входящие соединения в вашу сеть | Сигналы SIP | Webex | Передача входящих SIP-сигналов для аудио Edge |
| TCP | 5061—5065 | Исходящие соединения в Webex | Сигналы SIP | Webex | Исходящие SIP-сигналы для аудио Edge |
| TCP/UDP | Временные порты, 8000–59999 | Входящие соединения в вашу сеть | Порты мультимедиа | Webex | В корпоративном брандмауэре порты должны быть открыты для входящего трафика в Expressway в диапазоне от 8000 до 59999 |
Настройте mTLS, используя следующие параметры:
- Настройте Expressway | Mutual TLS.
- Поддерживаемые корневые органы | сертификации Cisco Webex платформ аудио и видео.
- | Руководство по настройке аудио Edge.
Домены и URL-адреса служб Webex Calling
*, отображаемое в начале URL-адреса (например, *.webex.com), указывает на доступность служб в домене верхнего уровня и всех поддоменах.
| Домен/URL-адрес | Описание | Приложения и устройства Webex, использующие эти домены/URL-адреса |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
Основные службы Webex Calling и Webex Aware подготовка удостоверений Хранилище удостоверений Аутентификация службы OAuth Перенос устройств Когда телефон подключается к сети в первый раз или после сброса до заводских настроек без настройки параметров DHCP, он обращается к серверу активации устройства для обеспечения нулевого касания. На новых телефонах используется activate.cisco.com, а на телефонах с микропрограммным обеспечением более ранней версии 11.2(1) по-прежнему используется webapps.cisco.com для подготовки. Скачайте микропрограммное обеспечение устройства и обновления региональных параметров на веб-сайте binaries.webex.com. | Все |
| *.wbx2.com и *.ciscospark.com | Используется для информирования о облаке, CSDM, WDM, ртути и т. д. Эти службы необходимы приложениям и устройствам для связи со службами Webex Calling и Webex Aware во время и после подключения. | Все |
| *.webexapis.com |
Микрослужбы Webex, управляющие вашими приложениями и устройствами. служба изображений профиля служба виртуальной доски Служба Proximity служба Presence Служба регистрации Служба календаря Служба поиска | Все |
| *.webexcontent.com |
Служба обмена сообщениями Webex, связанная с общим хранилищем файлов, включая: Файлы пользователя Перекодированные файлы Изображения Скриншоты Контент виртуальной доски Журналы клиента и устройства Изображения профиля. Логотипы брендинга Файлы журнала Массовый экспорт и импорт файлов в формате CSV (Control Hub) | службы обмена сообщениями в приложении Webex. Хранилище файлов с помощью webexcontent.com заменено clouddrive.com в октябре 2019 г. |
| Домен/URL-адрес | Описание | Приложения и устройства Webex, использующие эти домены/URL-адреса |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | Отслеживание производительности, регистрация ошибок и сбоев, показатели сеанса. | Control Hub |
| *.huron-dev.com | Микрослужбы Webex Calling, такие как службы переключения, заказ номеров телефонов и службы назначения. | Control Hub |
| *.sipflash.com | Службы управления устройствами. Обновление микропрограммного обеспечения и безопасное подключение. | Приложения Webex |
|
*.google.com *.googleapis.com |
Уведомления для приложений Webex на мобильных устройствах (пример: новое сообщение при ответе на вызов) Для IP-подсетей см. эти ссылки | Приложение Webex |
IP-подсети для служб Webex Calling
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
Порты, используемые Webex Calling
| Цель соединения | Адреса источника | Порты источника | Протокол | Адреса назначения | Порты назначения | Примечания |
|---|---|---|---|---|---|---|
| Передача сигналов вызовов в Webex Calling (SIP TLS) | Внешний (NIC) локального шлюза | 8000—65535 | Протокол TCP | См. статью IP-подсети служб Webex Calling. | 5062, 8934 |
Эти IP/порты необходимы для исходящие сигналы вызова SIP-TLS от локальных шлюзов, устройств и приложений (источника) в облако Webex Calling (место назначения). Порт 5062 (требуется для магистрали на основе сертификата). И порт 8934 (требуется для магистрали на основе регистрации) |
| Устройства | 5060—5080 | 8934 | ||||
| Приложения | Временный (зависит от ОС) | |||||
| Передача мультимедиа во время вызова в Webex Calling (SRTP) | Внешний NIC локального шлюза | 8000—48198†* | UDP | См. статью IP-подсети служб Webex Calling. |
8500–8700,19560–65535 (SRTP по UDP) |
Оптимизация мультимедиа на основе STUN, ICE-Lite не поддерживается для решения "Webex для правительственных организаций". Эти IP-адреса или порты используются для исходящих мультимедиа вызовов SRTP от локальных шлюзов, устройств и приложений (источника) в облако Webex Calling (назначение). Для определенных топологий сети, в которых брандмауэры используются в локальной среде клиента, разрешите доступ к указанным диапазонам портов источника и назначения внутри сети для передачи мультимедиа. Пример: Для приложений разрешите диапазон портов источника и назначения 8500–8700. |
| Устройства | 19560—19660 | |||||
| Приложения | 8500—8700 | |||||
| Передача сигналов вызовов на шлюз PSTN (SIP TLS) | Внутренний NIC локального шлюза | 8000—65535 | Протокол TCP | Ваш поставщик услуг интернет-телефонии, шлюз PSTN или Unified CM | Зависит от параметра PSTN (например, для Unified CM, как правило, 5060 или 5061) | |
| Передача мультимедиа во время вызова на шлюз PSTN (SRTP) | Внутренний NIC локального шлюза | 8000—48198†* | UDP | Ваш поставщик услуг интернет-телефонии, шлюз PSTN или Unified CM | Зависит от параметра PSTN (например, обычно 5060 или 5061 для Unified CM) | |
| Конфигурация устройств и управление микропрограммным обеспечением (устройства Cisco) | Устройства Webex Calling | Временный | Протокол TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
Требуется по следующим причинам:
|
| Конфигурация приложения | Приложения Webex Calling | Временный | Протокол TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Используется для аутентификации Idbroker, служб конфигурации приложений для клиентов, веб-доступа на основе браузера для доступа к интерфейсам самообслуживания И Администрирования. |
| Синхронизация времени устройства (NTP) | Устройства Webex Calling | 51494 | UDP | См. статью IP-подсети служб Webex Calling. | 123 | Эти IP-адреса предназначены для синхронизации времени устройств (телефонов MPP, ATA и SPA ATA) |
| Разрешение имени устройства и разрешения имени приложения | Устройства Webex Calling | Временный | UDP и TCP | Определяется узлом | 53 | Используется для поиска DNS для обнаружения IP-адресов служб Webex Calling в облаке. Несмотря на то, что типичные запросы DNS выполняются через UDP, некоторые из них могут потребовать TCP, если ответы на запросы не могут поместиться в пакеты UDP. |
| Синхронизация времени приложения | Приложения Webex Calling | 123 | Upd | Определяется узлом | 123 | |
| CScan | Инструмент предварительной квалификации для Webex Calling | Временный | Upd | См. статью IP-подсети служб Webex Calling. | 19569—19760 | Инструмент предварительной оценки готовности сети для Webex Calling. Дополнительные сведения см. на веб-сайте upgrade.cisco.com. |
| Цель соединения | Адреса источника | Порты источника | Протокол | Адреса назначения | Порты назначения | Примечания |
|---|---|---|---|---|---|---|
| Push-уведомления службы APNS и FCM | Приложения Webex Calling | Временный | Протокол TCP |
См. IP-подсети, упомянутые в ссылках | 443, 2197, 5228, 5229, 5230, 5223 | Уведомления для приложений Webex на мобильных устройствах (пример: При получении нового сообщения или при ответе на вызов) |
- *Диапазон портов мультимедиа CUBE настраивается с диапазоном портов rtp.
- Если адрес прокси-сервера настроен для приложений и устройств, сигнальный трафик отправляется на прокси. Мультимедиа, передаваемые SRTP через UDP, не отправляется на прокси-сервер. Вместо этого он должен поступать непосредственно в брандмауэр.
- Если службы NTP и DNS используются в корпоративной сети, откройте порты 53 и 123 в брандмауэре.
