Краткое описание портов совещаний и диапазонов IP-адресов

Следующие диапазоны IP-адресов используются веб-сайтами, развернутыми в кластере совещаний FedRAMP. В настоящем документе эти диапазоны называются "Диапазоны IP-адресов Webex".

  • 150.253.150.0/23 (с 150.253.150.0 по 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0–144.196.231.255)
  • 23.89.18.0/23 (с 23.89.18.0 по 23.89.19.255)
  • 163.129.16.0/21 (с 163.129.16.0 по 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0–170.72.254.255)
  • 170.133.156.0/22 (с 170.133.156.0 по 170.133.159.255)
  • 207.182.160.0/21 (с 207.182.160.0 по 207.182.167.255)
  • 207.182.168.0/23 (с 207.182.168.0 по 207.182.169.255)
  • 207.182.176.0/22 (с 207.182.176.0 по 207.182.179.255)
  • 207.182.190.0/23 (с 207.182.190.0 по 207.182.191.255)
  • 216.151.130.0/24 (с 216.151.130.0 по 216.151.130.255)
  • 216.151.134.0/24 (с 216.151.134.0 по 216.151.134.255)
  • 216.151.135.0/25 (с 216.151.135.0 по 216.151.135.127)
  • 216.151.135.240/28 (с 216.151.135.240 по 216.151.135.255)
  • 216.151.138.0/24 (с 216.151.138.0 по 216.151.138.255)
  • 216.151.139.0/25 (с 216.151.139.0 по 216.151.139.127)
  • 216.151.139.240/28 (с 216.151.139.241 по 216.151.139.254)

Развернутые службы

Службы, развернутые в этом диапазоне IP-адресов, включают, помимо прочего, следующие:

  • Веб-сайт совещания (например, customersite.webex.com)
  • Серверы данных совещаний
  • Серверы мультимедиа для аудио компьютера (передача голоса по IP) и видео веб-камеры
  • службы XML/API, включая планирование инструментов повышения производительности
  • Серверы сетевой записи (NBR)
  • Дополнительные службы во время технического обслуживания основных служб или возникновения технических сложностей

Для проверки списка отзыва сертификатов для наших сертификатов безопасности используются приведенные ниже URI. Списки отзыва сертификатов применяются с целью гарантии невозможности использования скомпрометированных сертификатов для перехвата безопасного трафика Webex. Этот трафик поступает на порт 80 TCP:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (сертификаты IdenTrust)

 

Следующие UserAgents будут переданы Webex в процессе utiltp в Webex и должны быть разрешены через брандмауэр агентства.

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping в числе разрешенных URL-адресов. Он используется в процессе активации устройства, и "устройство использует его до того, как узнает, что это устройство FedRAMP. Устройство отправляет ему код активации без информации о FedRAMP, служба видит, что это код активации FedRAMP, а затем перенаправляет их".

Весь трафик FedRAMP требует шифрования TLS 1.2 и шифрования mTLS 1.2 для локальных зарегистрированных SIP устройств.

Порты, используемые клиентами Webex Meetings (включая устройства, зарегистрированные в облаке)

ProtocolНомера портовНаправлениеТип трафикаДиапазон IP-адресовКомментарии
TCP80/443Исходящие соединения в WebexHTTP, HTTPSWebex и AWS (не рекомендуется использовать фильтрацию по IP-адресу)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (используется для обслуживания статического контента и файлов)
  • *.wbx2.com

Webex рекомендует фильтрацию по URL. ПРИ Фильтрации по IP-адресу необходимо разрешить диапазоны IP AWS GovCloud, Cloudfront и Webex.

TCP/UDP53Исходящие соединения в локальную службу DNSСлужбы доменных имен (DNS)Только сервер DNSИспользуется для поиска DNS с целью обнаружения IP-адресов служб Webex в облаке. Хотя обычный поиск DNS выполняется по протоколу UDP, в некоторых случаях требуется использование TCP, если ответы на запросы не могут быть переданы в пакетах UDP.
UCP9000, 5004Исходящие соединения в WebexОсновные мультимедиа в клиенте Webex (передача голоса по IP и видео по RTP)WebexПорт мультимедиа клиента Webex используется для обмена потоками аудио компьютера, видео веб-камеры и совместного доступа к контенту. Открытие этого порта необходимо для обеспечения наилучших возможностей мультимедиа.
TCP5004, 443, 80Исходящие соединения в WebexАльтернативные мультимедиа в клиенте Webex (передача голоса по IP и видео по RTP)WebexРезервные порты для подключения мультимедиа, если порт UDP 9000 не открыт в брандмауэре
UDP/TCP

Аудио. с 52000 до 52049

Видео. с 52100 до 52199

Входящие в вашу сетьМультимедиа клиента Webex (передача голоса по IP и видео)Обратные соединения из AWS и Webex

Webex устанавливает связь с портом назначения, определенным при подключении клиента. Необходимо разрешить в брандмауэре эти обратные соединения.


 
Эта функция включена по умолчанию.
TCP/UDPВременные порты для определенной операционной системыВходящие в вашу сетьОбратный трафик из WebexОбратные соединения из AWS и Webex

Webex устанавливает связь с портом назначения, определенным при подключении клиента. Необходимо разрешить в брандмауэре эти обратные соединения.


 
Обычно это автоматически открывается в сетевом брандмауэре, однако он приведен здесь для полноты.

Клиентам, использующим решение "Webex для правительственных организаций", которые не могут разрешить фильтрацию на основе URL для HTTPS, необходимо разрешить подключение к облаку AWS Gov West (регион: us‐gov‐west‐1) и Cloud Front (служба: CLOUDFRONT). Ознакомьтесь с документацией AWS, чтобы определить диапазоны IP-адресов для региона AWS Gov Cloud West и AWS Cloud Front. Документация AWS доступна по адресу https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex настоятельно рекомендует фильтрацию по URL, когда это возможно.

Cloudfront используется для статического контента, пересылаемого через сеть доставки содержимого, чтобы обеспечить для клиентов максимальную производительность по всей стране.

Порты, используемые зарегистрированными локально устройствами для совместной работы видео Cisco

См. также руководство по корпоративному развертыванию Cisco Webex Meetings для совещаний с поддержкой видеоустройств

ProtocolНомера портовНаправлениеТип доступаДиапазон IP-адресовКомментарии
TCP5061–5070Исходящие соединения в WebexСигналы SIPWebexУзел мультимедиа Webex принимает трафик на этих портах
TCP5061, 5065Входящие соединения в вашу сетьСигналы SIPWebexВходящий трафик передачи сигналов SIP из облака Webex
TCP5061Исходящие соединения в WebexПередача сигналов SIP с устройств, зарегистрированных в облакеAWSВходящие вызовы из приложения Webex при совершении вызовов "1 на 1" и зарегистрированных в облаке устройств на локально зарегистрированный URI SIP. * 5061 является портом по умолчанию. Webex поддерживает порты 5061–5070, которые будут использоваться клиентами, как определено в их записи SRV SIP
TCP/UDP1719, 1720, 15000—19999Исходящие соединения в WebexH.323 LSWebexЕсли для конечной точки требуется связь с шлюзом, также откройте порт 1719, который включает Lifesize
TCP/UDPЭфемерные порты, 36000—59999ВходящийПорты мультимедиаWebexПри использовании Cisco Expressway для портов мультимедиа необходимо установить диапазон 36000–59999. Если используется сторонняя конечная точка или элементы управления вызовом, они должны быть настроены для использования этого диапазона.
TCP443ВходящийОбнаружение локальных устройств поблизостиЛокальная сетьПриложение Webex или настольное приложение Webex должно иметь путь для маршрутизации IPv4 между собой и видеоустройством с помощью HTTPS

Для клиентов, включающих решение "Webex для правительственных организаций", принимающих входящие вызовы из приложения Webex при совершении вызовов "1 на 1" и зарегистрированных в облаке устройств на локально зарегистрированный URI SIP. Также необходимо разрешить соединение с AWS Gov Cloud West (регион: us‐gov‐west‐1). Ознакомьтесь с документацией AWS, чтобы определить диапазоны IP-адресов для региона AWS Gov Cloud West. Документация по AWS доступна по ссылке https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Порты, используемые аудио Edge

Это необходимо только при использовании аудио Edge.

ProtocolНомера портовНаправлениеТип доступаДиапазон IP-адресовКомментарии
TCP5061–5062Входящие соединения в вашу сетьСигналы SIPWebexВходящие сигналы SIP для аудио Edge
TCP5061–5065Исходящие соединения в WebexСигналы SIPWebexИсходящие сигналы SIP для аудио Edge
TCP/UDPЭфемерные порты, 8000—59999Входящие соединения в вашу сетьПорты мультимедиаWebexВ корпоративном брандмауэре порты должны быть открыты для входящего трафика в Expressway с диапазоном портов от 8000 до 59999

Настройте mTLS с помощью следующих параметров:

Домены и URL-адреса служб Webex Calling

Символ * в начале URL-адреса (например *.webex.com), указывает на то, что службы в домене верхнего уровня и все поддомены должны быть доступными.

Таблица 3. Службы Webex
Домен/URLОписаниеПриложения и устройства Webex, использующие эти домены/URL

*.webex.com

*.cisco.com

*.webexgov.us

Основные службы Webex Calling и Webex Aware

подготовка устройства

Хранение удостоверений

Аутентификация

OAuth сервисы

перенос устройств

Когда телефон подключается к сети в первый раз или после сброс до заводских настроек без заданных параметров DHCP , он обращается к серверу активации устройства для инициализации без касания. В новых телефонах используется activate.cisco.com, а в телефонах с микропрограммным обеспечением более ранней версии, чем 11.2 (1), для подготовки по-прежнему используется webapps.cisco.com.

Загрузите микропрограммное обеспечение устройства и обновления языковых стандартов с веб-сайта binaries.webex.com .

Все
*.wbx2.com и *.ciscospark.comИспользуется для информации об облаке, CSDM, WDM, ртути и т. Д. Эти службы необходимы для того, чтобы приложения и устройства могли обращаться к службам Webex Calling и Webex Aware во время и после подключения.Все
webexapis.com

Микрослужбы Webex, управляющие вашими приложениями и устройствами.

Сервис изображений профиля

Доска объявлений

Служба близости

Служба присутствия

Обязательная регистрация

Служба календаря

Поиск устройства

Все
*.webexconnect.com

Служба обмен сообщениями Webex , относящаяся к общему хранилищу файлов, включая:

Роли пользователей

Перекодированные файлы

Изображения.

Снимок экрана

Контекст виртуальной доски

Журналы клиента и устройства

Изображения профиля.

Фирменные логотипы

файлы Box;

Массовый экспорт и импорт файлов CSV (Control Hub)

Службы обмена сообщениями в приложении Webex.

 
Файловое хранилище с использованием webexcontent.com заменено на clouddrive.com в октябре 2019 г.
Таблица 4. Дополнительные службы, связанные с Webex (сторонние домены)
Домен/URLОписаниеПриложения и устройства Webex, использующие эти домены/URL

*.appdynamics.com

*.eum-appdynamics.com

Отслеживание производительности, регистрация ошибок и сбоев, показатели сеанса.Control Hub
*.huron-dev.comМикрослужбы Webex Calling, такие как службы переключения, заказ номеров телефонов и службы назначения.Control Hub
*.sipflash.comСлужба управления устройствами Обновления микропрограммного обеспечения и безопасное подключение.приложения Webex

* .google.com

* .googleapis.com

Уведомления для приложений Webex на мобильных устройствах (пример: новое сообщение при ответе на вызов)

Для IP -подсетей перейдите по этим ссылкам.

Сервис Google Firebase Cloud обмен сообщениями (FCM)

Служба push-уведомлений Apple

Приложение Webex

IP-подсети для служб Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Порты, используемые Webex Calling

Таблица 5. Службы Webex Calling и Webex Aware
Цель соединенияАдреса источникаПорты источникаProtocolАдреса назначенияПорты назначенияПримечания
Передача сигналов вызовов в Webex Calling (SIP TLS)Внешний (NIC) локального шлюза8000—65535TCPСм. статью IP-подсети служб Webex Calling.5062, 8934

Эти IP/порты необходимы для исходящие сигналы вызова SIP-TLS от локальных шлюзов, устройств и приложений (источника) в облако Webex Calling (место назначения).

Порт 5062 (необходим для магистрали на основе сертификатов). И порт 8934 (требуется для магистрали на основе регистрации)

Устройства5060–50808934
ПриложенияВременный (зависит от ОС)
Передача мультимедиа во время вызова в Webex Calling (SRTP)Внешний NIC локального шлюза8000—48198 <UNK> *UDPСм. статью IP-подсети служб Webex Calling.

8500—8700,19560—65535 (SRTP через UDP)

Оптимизация мультимедиа на основе STUN, ICE-Lite не поддерживается для решения "Webex для правительственных организаций".

Эти IP-адреса или порты предназначены для исходящей передачи вызова мультимедиа SRTP с локальных шлюзов, устройств и приложений (источника) в облако Webex Calling (место назначения).

Для определенных топологий сети, в которых брандмауэры используются в локальной среде клиента, разрешите доступ к указанным диапазонам портов источника и назначения внутри сети для передачи мультимедиа.

Пример. Для приложений разрешите диапазон портов источника и назначения 8500–8700.

Устройства19560—19660
Приложения8500—8700
Передача сигналов вызовов на шлюз PSTN (SIP TLS)Внутренний NIC локального шлюза8000—65535TCPВаш поставщик услуг интернет-телефонии, шлюз PSTN или Unified CMЗависит от параметра PSTN (например, для Unified CM, как правило, 5060 или 5061)
Передача мультимедиа во время вызова на шлюз PSTN (SRTP)Внутренний NIC локального шлюза8000—48198 <UNK> *UDPВаш поставщик услуг интернет-телефонии, шлюз PSTN или Unified CMЗависит от параметра PSTN (например, обычно 5060 или 5061 для Unified CM)
Конфигурация устройств и управление микропрограммным обеспечением (устройства Cisco)Устройства Webex CallingВременныйTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443,6970

Требуется по следующим причинам:

  1. Переход с корпоративных телефонов (Cisco Unified CM) на Webex Calling. См. upgrade.cisco.com для получения дополнительной информации. Cloudupgrader.webex.com использует порты: 6970443 для процесса миграции микропрограммного обеспечения.

  2. Эти IP необходимы для безопасного включения устройств (MPP и телефонов в комнате или настольных телефонов) с помощью 16-значного кода активации (GDS).

  3. Для CDA / EDOS - подготовка на основе MAC-адрес. Используется на устройствах (телефонах MPP, ATA и SPA ATA) с более новым микропрограммным обеспечением.

  4. Когда телефон подключается к сети в первый раз или после сброс до заводских настроек, без заданных параметров DHCP , он связывается с сервером активации устройства для инициализации без касания. На новых телефонах для подготовки используется activate.cisco.com вместо webapps.cisco.com. На телефонах с микропрограммным обеспечением более раннего выпуска, чем 11.2(1), будет и дальше использоваться webapps.cisco.com. Рекомендуется разрешить все эти IP -подсети.

Конфигурация приложенияПриложения Webex CallingВременныйTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Используется для аутентификации Idbroker, служб конфигурации приложений для клиентов, веб-доступ на основе браузера для самообслуживания И доступа к административным интерфейсам.
Синхронизация времени устройства (NTP)Устройства Webex Calling51494UDPСм. статью IP-подсети служб Webex Calling.123Эти IP-адреса предназначены для синхронизации времени устройств (телефонов MPP, ATA и SPA ATA)
Разрешение имени устройства и разрешения имени приложенияУстройства Webex CallingВременныйUDP и TCPОпределяется узлом53

Используется для поиска DNS с целью обнаружения IP-адресов служб Webex в облаке.

Хотя обычный поиск DNS выполняется по протоколу UDP, в некоторых случаях требуется использование TCP, если ответы на запросы не могут быть переданы в пакетах UDP.
Синхронизация времени приложенияПриложения Webex Calling123UPDОпределяется узлом123
CScanвеб -инструмент для предварительной проверки готовности сети для Webex CallingВременныйUPDСм. статью IP-подсети служб Webex Calling.19569—19760веб инструмент предварительной оценки готовности сети для Webex Calling. Дополнительные сведения см. на веб-сайте upgrade.cisco.com.
Таблица 6. Дополнительные службы Webex Calling и Webex Aware (сторонние)
Цель соединенияАдреса источникаПорты источникаProtocolАдреса назначенияПорты назначенияПримечания
Push-уведомления Сервисы APNS и FCMПриложения Webex CallingВременныйTCP

См. IP -подсети, указанные по ссылкам

Служба push-уведомление Apple (APNS)

обмен сообщениями в облаке Google-Firebase (FCM)

443, 2197, 5228, 5229, 5230, 5223Уведомления для приложений Webex на мобильных устройствах (пример: При получении нового сообщения или при ответе на вызов)

 
  • † Диапазон портов мультимедиа CUBE настраивается с диапазоном портов RTP.
  • Если для ваших приложений и устройств настроен адрес прокси-сервер , сигнальный трафик отправляется на прокси-сервер. SRTP , передаваемые по UDP , не отправляются на прокси-сервер. Вместо этого он должен поступать непосредственно на ваш брандмауэр.
  • Если вы используете службы NTP и DNS в корпоративной сети, откройте порты 53 и 123 через брандмауэр.