Краткий справочник по портам и диапазонам IP-адресов для встреч

Следующие диапазоны IP-адресов используются сайтами, развернутыми в кластере встреч FedRAMP. В этом документе эти диапазоны называются «диапазонами IP-адресов Webex»:

  • 150.253.150.0/23 (150.253.150.0 по 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 по 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 по 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 по 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 по 170.72.254.255)
  • 170.133.156.0/22 (с 170.133.156.0 по 170.133.159.255)
  • 207.182.160.0/21 (с 207.182.160.0 по 207.182.167.255)
  • 207.182.168.0/23 (с 207.182.168.0 по 207.182.169.255)
  • 207.182.176.0/22 (с 207.182.176.0 по 207.182.179.255)
  • 207.182.190.0/23 (с 207.182.190.0 по 207.182.191.255)
  • 216.151.130.0/24 (с 216.151.130.0 по 216.151.130.255)
  • 216.151.134.0/24 (с 216.151.134.0 по 216.151.134.255)
  • 216.151.135.0/25 (с 216.151.135.0 по 216.151.135.127)
  • 216.151.135.240/28 (с 216.151.135.240 по 216.151.135.255)
  • 216.151.138.0/24 (с 216.151.138.0 по 216.151.138.255)
  • 216.151.139.0/25 (с 216.151.139.0 по 216.151.139.127)
  • 216.151.139.240/28 (с 216.151.139.241 по 216.151.139.254)

Развернутые услуги

Услуги, развернутые в этом диапазоне IP-адресов, включают, помимо прочего, следующее:

  • Веб-сайт встречи (например, customerssite.webex.com)
  • Серверы данных совещаний
  • Серверы мультимедиа для аудио компьютера (передача голоса по IP) и видео веб-камеры
  • XML/API услуги, включая планирование инструментов производительности
  • Серверы сетевой записи (NBR)
  • Дополнительные службы во время технического обслуживания основных служб или возникновения технических сложностей

Для проверки списка отзыва сертификатов для наших сертификатов безопасности используются приведенные ниже URI. Списки отзыва сертификатов применяются с целью гарантии невозможности использования скомпрометированных сертификатов для перехвата безопасного трафика Webex. Этот трафик поступает на порт 80 TCP:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (сертификаты IdenTrust)

Следующие UserAgent будут передаваться Webex с помощью процесса utiltp в Webex и должны быть разрешены через брандмауэр агентства:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping в числе разрешенных URL-адресов. Он используется как часть процесса активации устройства, и «устройство использует его до того, как узнает, что это устройство FedRAMP. Устройство отправляет ему код активации без информации FedRAMP, сервис видит, что это код активации FedRAMP, а затем перенаправляет его».

Для всего трафика FedRAMP требуется шифрование TLS 1.2 и шифрование mTLS 1.2 для локальных зарегистрированных устройств SIP.

Порты, используемые клиентами Webex Meetings (включая устройства, зарегистрированные в облаке)

ПротоколНомера портовНаправлениеТип трафикаДиапазон IP-адресовКомментарии
TCP80/443Исходящие соединения в WebexHTTP, HTTPSWebex и AWS (не рекомендуется использовать фильтрацию по IP-адресу)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Используется для обслуживания статического контента и файлов)
  • *.wbx2.com

Webex рекомендует фильтровать по URL. ЕСЛИ используется фильтрация по IP-адресу, необходимо разрешить диапазоны IP-адресов AWS GovCloud, Cloudfront и Webex.

TCP/UDP53Исходящие соединения в локальную службу DNSСлужбы доменных имен (DNS)Только сервер DNSИспользуется для поиска DNS с целью обнаружения IP-адресов служб Webex в облаке. Хотя обычный поиск DNS выполняется по протоколу UDP, в некоторых случаях требуется использование TCP, если ответы на запросы не могут быть переданы в пакетах UDP.
UDP9000, 5004Исходящие соединения в WebexОсновные мультимедиа в клиенте Webex (передача голоса по IP и видео по RTP)WebexПорт мультимедиа клиента Webex используется для обмена потоками аудио компьютера, видео веб-камеры и совместного доступа к контенту. Открытие этого порта необходимо для обеспечения наилучшего качества работы мультимедиа.
TCP5004, 443, 80Исходящие соединения в WebexАльтернативные мультимедиа в клиенте Webex (передача голоса по IP и видео по RTP)WebexРезервные порты для подключения мультимедиа, если порт UDP 9000 не открыт в брандмауэре
UDP/TCP

Аудио. с 52000 до 52049

Видео. с 52100 до 52199

Входящий в вашу сетьКлиент Webex Media (VoIP и видео)Обратные соединения из AWS и Webex

Webex устанавливает связь с портом назначения, определенным при подключении клиента. Необходимо разрешить в брандмауэре эти обратные соединения.

Эта возможность включена по умолчанию.
TCP/UDPВременные порты для определенной операционной системыВходящий в вашу сетьОбратный трафик из WebexОбратные соединения из AWS и Webex

Webex устанавливает связь с портом назначения, определенным при подключении клиента. Необходимо разрешить в брандмауэре эти обратные соединения.

Обычно он автоматически открывается в межсетевом экране с отслеживанием состояния, однако он указан здесь для полноты картины.

Для клиентов, включивших Webex для государственных учреждений, которые не могут разрешить фильтрацию на основе URL-адресов для HTTPS, вам необходимо разрешить подключение к AWS Gov Cloud West (регион: us‐gov‐west‐1) и Cloud Front (служба: CLOUDFRONT). Ознакомьтесь с документацией AWS, чтобы определить диапазоны IP-адресов для региона AWS Gov Cloud West и AWS Cloud Front. Документация AWS доступна по адресу https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex настоятельно рекомендует фильтровать по URL, когда это возможно.

Cloudfront используется для статического контента, пересылаемого через сеть доставки содержимого, чтобы обеспечить для клиентов максимальную производительность по всей стране.

Порты, используемые локально зарегистрированными устройствами Cisco для видеосотрудничества

См. также Руководство по развертыванию Cisco Webex Meetings Enterprise для совещаний с поддержкой видеоустройств

ПротоколНомера портовНаправлениеТип доступаДиапазон IP-адресовКомментарии
TCP5061—5070Исходящие соединения в WebexСигналы SIPWebexУзел мультимедиа Webex принимает трафик на этих портах
TCP5061, 5065Входящие соединения в вашу сетьСигналы SIPWebexВходящий трафик передачи сигналов SIP из облака Webex
TCP5061Исходящие соединения в WebexПередача сигналов SIP с устройств, зарегистрированных в облакеAWSВходящие вызовы из приложения Webex 1:1 Вызовы и зарегистрированные в облаке устройства на ваш локально зарегистрированный SIP URI. *5061 порт по умолчанию. Webex поддерживает порты 5061—5070, которые могут использоваться клиентами, как определено в их записи SRV SIP.
TCP/UDP1719, 1720, 15000—19999Исходящие соединения в WebexH.323 LSWebexЕсли вашей конечной точке требуется связь с привратником, также откройте порт 1719, который включает Lifesize
TCP/UDPЭфемерные порты, 36000—59999ВходящийПорты мультимедиаWebexПри использовании Cisco Expressway для портов мультимедиа необходимо установить диапазон 36000–59999. Если вы используете стороннюю конечную точку или средство управления вызовами, их необходимо настроить для использования этого диапазона.
Протокол TCP443ВходящийОбнаружение локальных устройств поблизостиЛокальная сетьПриложение Webex или настольное приложение Webex должно иметь маршрутизируемый IPv4-путь между собой и видеоустройством с использованием HTTPS.

Для клиентов, включающих решение "Webex для правительственных организаций", принимающих входящие вызовы из приложения Webex при совершении вызовов "1 на 1" и зарегистрированных в облаке устройств на локально зарегистрированный URI SIP. Также необходимо разрешить соединение с AWS Gov Cloud West (регион: us‐gov‐west‐1). Ознакомьтесь с документацией AWS, чтобы определить диапазоны IP-адресов для региона AWS Gov Cloud West. Документация по AWS доступна по ссылке https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Порты, используемые Edge Audio

Это необходимо только в том случае, если вы используете Edge Audio.

ПротоколНомера портовНаправлениеТип доступаДиапазон IP-адресовКомментарии
TCP5061—5062Входящие соединения в вашу сетьСигналы SIPWebexВходящая сигнализация SIP для Edge Audio
TCP5061—5065Исходящие соединения в WebexСигналы SIPWebexИсходящая сигнализация SIP для Edge Audio
TCP/UDPЭфемерные порты, 8000—59999Входящие соединения в вашу сетьПорты мультимедиаWebexНа корпоративном брандмауэре необходимо открыть порты для входящего трафика на Expressway в диапазоне портов 8000–59999.

Настройте mTLS, используя следующие параметры:

Домены и URL-адреса для служб Webex Calling

А * отображается в начале URL-адреса (например, *.webex.com) указывает на то, что сервисы в домене верхнего уровня и всех поддоменах доступны.

Таблица 3. Службы Webex
Domain/URLОписаниеПриложения и устройства Webex, использующие эти domains/URLs

*.webex.com

*.cisco.com

*.webexgov.us

Основной вызов Webex & Услуги Webex Aware

Предоставление идентификационных данных

Хранение идентификационных данных

Аутентификация

OAuth-сервисы

Перенос устройств

Когда телефон подключается к сети в первый раз или после сброса настроек к заводским, когда не установлены параметры DHCP, он связывается с сервером активации устройства для автоматической настройки. Новые телефоны используют activate.cisco.com, а телефоны с версией прошивки ниже 11.2(1) продолжают использовать webapps.cisco.com для настройки.

Загрузите прошивку устройства и обновления локали с binaries.webex.com.

Все
*.wbx2.com и *.ciscospark.comИспользуется для распознавания облаков, CSDM, WDM, ртути и т. д. Эти службы необходимы для того, чтобы приложения и устройства могли подключаться к Webex Calling. & Услуги Webex Aware во время и после регистрации.Все
*.webexapis.com

Микросервисы Webex, управляющие вашими приложениями и устройствами.

Услуга по созданию фотографий профиля

Услуга белой доски

Близость обслуживания

Служба присутствия

Регистрационная служба

Календарный сервис

Поисковая служба

Все
*.webexcontent.com

Служба обмена сообщениями Webex, связанная с общим хранилищем файлов, включая:

Пользовательские файлы

Транскодированные файлы

Изображения

Скриншоты

Содержание доски

Клиент & журналы устройств

Изображения профиля.

Брендинг логотипов

Файлы журнала

Массовый экспорт файлов CSV & импорт файлов (Control Hub)

Службы обмена сообщениями приложения Webex.
Хранилище файлов с использованием webexcontent.com заменено на clouddrive.com в октябре 2019 г.
Таблица 4. Дополнительные услуги, связанные с Webex (сторонние домены)
Domain/URLОписаниеПриложения и устройства Webex, использующие эти domains/URLs

*.appdynamics.com

*.eum-appdynamics.com

Отслеживание производительности, регистрация ошибок и сбоев, показатели сеанса.Control Hub
*.huron-dev.comМикрослужбы Webex Calling, такие как службы переключения, заказ номеров телефонов и службы назначения.Control Hub
*.sipflash.comСлужбы управления устройствами. Обновления прошивки и обеспечение безопасной интеграции.Приложения Webex

*.google.com

*.googleapis.com

Уведомления для приложений Webex на мобильных устройствах (пример: новое сообщение, когда ответят на звонок)

Для IP-подсетей перейдите по этим ссылкам

Служба Google Firebase Cloud Messaging (FCM)

Служба push-уведомлений Apple (APNS)

Приложение Webex

IP-подсети для служб Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24
  • 144.196.17.0/24

Порты, используемые Webex Calling

Таблица 5. Службы Webex Calling и Webex Aware
Цель соединенияАдреса источникаПорты источникаПротоколАдреса назначенияПорты назначенияПримечания
Передача сигналов вызовов в Webex Calling (SIP TLS)Внешний (NIC) локального шлюза8000—65535TCPСм. статью IP-подсети служб Webex Calling.5062, 8934

Эти IP/порты необходимы для исходящие сигналы вызова SIP-TLS от локальных шлюзов, устройств и приложений (источника) в облако Webex Calling (место назначения).

Порт 5062 (требуется для канала на основе сертификата). И порт 8934 (требуется для транка на основе регистрации)

Устройства5060—50808934
ПриложенияВременный (зависит от ОС)
Передача мультимедиа во время вызова в Webex Calling (SRTP)Внешний NIC локального шлюза8000—48198*UDPСм. статью IP-подсети служб Webex Calling.

8500—8700,19560—65535 (SRTP через UDP)

Оптимизация мультимедиа на базе STUN и ICE-Lite не поддерживается для Webex for Government.

Эти IPs/ports используются для исходящих вызовов SRTP с локальных шлюзов, устройств и приложений (источник) в облако Webex Calling (назначение).

Для определенных сетевых топологий, где в помещении клиента используются межсетевые экраны, разрешите доступ для указанных диапазонов портов источника и назначения внутри вашей сети для передачи мультимедиа.

Пример. Для приложений разрешите диапазон портов источника и назначения 8500—8700.

Устройства19560—19660
Приложения8500—8700
Передача сигналов вызовов на шлюз PSTN (SIP TLS)Внутренний NIC локального шлюза8000—65535TCPВаш поставщик услуг интернет-телефонии, шлюз PSTN или Unified CMЗависит от параметра PSTN (например, для Unified CM, как правило, 5060 или 5061)
Передача мультимедиа во время вызова на шлюз PSTN (SRTP)Внутренний NIC локального шлюза8000—48198*UDPВаш поставщик услуг интернет-телефонии, шлюз PSTN или Unified CMЗависит от опции PSTN (например, обычно 5060 или 5061 для Unified CM)
Конфигурация устройств и управление микропрограммным обеспечением (устройства Cisco)Устройства Webex CallingВременныйПротокол TCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Требуется по следующим причинам:

  1. Миграция с корпоративных телефонов (Cisco Unified CM) на Webex Calling. Более подробную информацию см. на сайте upgrade.cisco.com. Cloudupgrader.webex.com использует порты: 6970,443 для процесса миграции прошивки.

  2. Обновления прошивки и безопасная регистрация устройств (MPP, комнатных или настольных телефонов) с использованием 16-значного кода активации (GDS).

  3. Для CDA / EDOS — инициализация на основе MAC-адреса. Используется на устройствах (телефонах MPP, ATA и SPA ATA) с более новым микропрограммным обеспечением.

  4. Когда телефон подключается к сети в первый раз или после сброса настроек к заводским, без установленных параметров DHCP, он связывается с сервером активации устройства для автоматической настройки. На новых телефонах для подготовки используется activate.cisco.com вместо webapps.cisco.com. Телефоны с прошивкой, выпущенной ранее 11.2(1), продолжают использовать «webapps.cisco.com». Рекомендуется разрешить все эти IP-подсети.

Конфигурация приложенияПриложения Webex CallingВременныйПротокол TCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Используется для аутентификации Idbroker, служб конфигурации приложений для клиентов, веб-доступа через браузер для самостоятельного обслуживания и доступа к административным интерфейсам.
Синхронизация времени устройства (NTP)Устройства Webex Calling51494UDPСм. статью IP-подсети служб Webex Calling.123Эти IP-адреса предназначены для синхронизации времени устройств (телефонов MPP, ATA и SPA ATA)
Разрешение имени устройства и разрешение имени приложенияУстройства Webex CallingВременныйUDP и TCPОпределяется узлом53

Используется для поиска DNS с целью обнаружения IP-адресов служб Webex Calling в облаке.

Несмотря на то, что типичные поиски DNS выполняются по протоколу UDP, для некоторых из них может потребоваться протокол TCP, если ответы на запросы не помещаются в пакеты UDP.
Синхронизация времени приложенияПриложения Webex Calling123UpdОпределяется узлом123
CScanВеб-инструмент предварительной квалификации сетевой готовности для Webex CallingВременныйUpdСм. статью IP-подсети служб Webex Calling.19569—19760Веб-инструмент предварительной квалификации готовности сети для Webex Calling. Дополнительные сведения см. на веб-сайте upgrade.cisco.com.
Таблица 6. Дополнительные службы Webex Calling и Webex Aware (сторонние)
Цель соединенияАдреса источникаПорты источникаПротоколАдреса назначенияПорты назначенияПримечания
Push-уведомления APNS и FCM сервисыПриложения Webex CallingВременныйПротокол TCP

См. IP-подсети, указанные по ссылкам.

Служба push-уведомлений Apple (APNS)

Облачный обмен сообщениями Google-Firebase (FCM)

443, 2197, 5228, 5229, 5230, 5223Уведомления для приложений Webex на мобильных устройствах (пример: Когда вы получаете новое сообщение или когда вам отвечают на звонок)
  • *Диапазон портов мультимедиа CUBE настраивается с помощью rtp-port range.
  • Если для ваших приложений и устройств настроен адрес прокси-сервера, сигнальный трафик отправляется на прокси-сервер. Медиаданные, передаваемые SRTP по UDP, не отправляются на прокси-сервер. Вместо этого он должен поступать непосредственно на ваш брандмауэр.
  • Если вы используете службы NTP и DNS в своей корпоративной сети, откройте порты 53 и 123 через брандмауэр.