Sieťové požiadavky pre Webex for Government (FedRAMP)

Webex stretnutia
Volanie Webex

Rýchla referencia portov stretnutí a rozsahov IP

Nasledujúce rozsahy IP využívajú lokality nasadené v klastri stretnutí FedRAMP. V tomto dokumente sa tieto rozsahy označujú ako „rozsahy IP Webex“:

150.253.150.0/23 (150.253.150.0 až 150.253.151.255)
144.196.224.0/21 (144.196.224.0 až 144.196.231.255)
23.89.18.0/23 (23.89.18.0 až 23.89.19.255)
163.129.16.0/21 (163.129.16.0 až 163.129.23.255)
170.72.254.0/24 (170.72.254.0 až 170.72.254.255)
170.133.156.0/22 (170.133.156.0 až 170.133.159.255)
207.182.160.0/21 (207.182.160.0 až 207.182.167.255)
207.182.168.0/23 (207.182.168.0 až 207.182.169.255)
207.182.176.0/22 (207.182.176.0 až 207.182.179.255)
207.182.190.0/23 (207.182.190.0 až 207.182.191.255)
216.151.130.0/24 (216.151.130.0 až 216.151.130.255)
216.151.134.0/24 (216.151.134.0 až 216.151.134.255)
216.151.135.0/25 (216.151.135.0 až 216.151.135.127)
216.151.135.240/28 (216.151.135.240 až 216.151.135.255)
216.151.138.0/24 (216.151.138.0 až 216.151.138.255)
216.151.139.0/25 (216.151.139.0 až 216.151.139.127)
216.151.139.240/28 (216.151.139.241 až 216.151.139.254)

Nasadené služby

Služby nasadené v tomto rozsahu IP zahŕňajú, ale nie sú obmedzené na nasledujúce:

web stretnutia (napr. customersite.webex.com)
Stretnutie dátových serverov
Multimediálne servery pre počítačový zvuk (VoIP) a video z webovej kamery
Služby XML/API vrátane plánovania nástrojov produktivity
Servery NBR (Network-Based Recording).
Sekundárne služby, keď sú primárne služby v údržbe alebo majú technické problémy

Nasledujúce URI sa používajú na kontrolu 'Zoznamu zrušených certifikátov' pre naše bezpečnostné certifikáty. Zoznamy zrušených certifikátov, aby sa zabezpečilo, že žiadne kompromitované certifikáty nemožno použiť na zachytenie bezpečnej prevádzky Webex. Táto prevádzka sa vyskytuje na porte TCP 80:

*.quovadisglobal.com
*.digicert.com
*.identrust.com (certifikáty IdenTrust)

Nasledujúcich UserAgentov odovzdá Webex procesom utiltp vo Webexe a mali by byť povolené cez firewall agentúry:

UserAgent=WebexInMeetingWin
UserAgent=WebexInMeetingMac
UserAgent=prefetchDocShow
UserAgent=pohotovostný režim

https://activation.webex.com/api/v1/ping ako súčasť povolených adries URL. Používa sa ako súčasť procesu aktivácie zariadenia a „zariadenie ho použije skôr, ako zistí, že ide o zariadenie FedRAMP. Zariadenie mu pošle aktivačný kód bez informácií FedRAMP, služba zistí, že ide o aktivačný kód FedRAMP, a potom ich presmeruje.“

Všetka prevádzka FedRAMP vyžaduje šifrovanie TLS 1.2 a šifrovanie mTLS 1.2 pre lokálne registrované zariadenia SIP.

Porty používané klientmi Webex Meetings (vrátane zariadení registrovaných v cloude)

Protokol

čísla portov

Smer

Typ dopravy

rozsah IP

Komentáre

TCP

80/443

Odchádzajúce na Webex

HTTP, HTTPS

Webex a AWS (neodporúča sa filtrovať podľa IP)

*.webex.com
*.gov.ciscospark.com
*.s3.us-gov-west-1.amazonaws.com (Používa sa na poskytovanie statického obsahu a súborov)
*.wbx2.com

Webex odporúča filtrovanie podľa URL. AK Filtrovanie podľa IP adresy, musíte povoliť rozsahy AWS GovCloud, Cloudfront a Webex IP.

TCP/UDP

Odchádzajúce do lokálneho DNS

Služby doménových mien (DNS)

Iba server DNS

Používa sa na vyhľadávanie DNS na zistenie adries IP serverov Webex v cloude. Aj keď sa typické vyhľadávania DNS vykonávajú cez UDP, niektoré môžu vyžadovať TCP, ak sa odpovede na otázky nezmestia do paketov UDP.

UCP

9000, 5004

Odchádzajúce na Webex

Primárne Webex Client Media (VoIP a Video RTP)

Webex

Port médií klienta Webex sa používa na výmenu počítačového zvuku, videa z webovej kamery a streamov na zdieľanie obsahu. Otvorenie tohto portu je potrebné na zabezpečenie čo najlepšieho mediálneho zážitku.

TCP

5004, 443, 80

Odchádzajúce na Webex

Alternatívne Webex Client Media (VoIP a Video RTP)

Webex

Záložné porty pre pripojenie médií, keď port UDP 9000 nie je otvorený vo bráne firewall

UDP/TCP

Zvuk: 52 000 až 52 049

Video: 52100 až 52199

Prichádzajúce do vašej siete

Webex Client Media (Voip a Video)

Návrat z AWS a Webex

Webex bude komunikovať s cieľovým portom prijatým, keď sa klient pripojí. Firewall by mal byť nakonfigurovaný tak, aby umožňoval tieto spätné pripojenia.

Toto je predvolene povolené.

TCP/UDP

Dočasné porty špecifické pre OS

Prichádzajúce do vašej siete

Spätná návštevnosť z Webexu

Návrat z AWS a Webex

Webex bude komunikovať s cieľovým portom prijatým, keď sa klient pripojí. Firewall by mal byť nakonfigurovaný tak, aby umožňoval tieto spätné pripojenia.

Toto sa zvyčajne automaticky otvorí v stavovom firewalle, avšak pre úplnosť je to tu uvedené.

Pre zákazníkov povoľujúcich Webex for Government, ktorí nemôžu povoliť filtrovanie na základe URL pre HTTPS, budete musieť povoliť pripojenie s AWS Gov Cloud West (región: us‐gov‐west‐1) a Cloud Front (služba: OBLAK). Pozrite si dokumentáciu AWS a identifikujte rozsahy IP pre región AWS Gov Cloud West a AWS Cloud Front. Dokumentácia AWS je k dispozícii na adrese https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex dôrazne odporúča filtrovanie podľa URL, ak je to možné.

Cloudfront sa používa na statický obsah dodávaný prostredníctvom siete na doručovanie obsahu, aby zákazníkom v celej krajine poskytoval najlepší výkon.

Porty používané vopred registrovanými zariadeniami Cisco na spoluprácu s videom

Pozri tiež Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings

Protokol	Čísla portov	Smer	Typ prístupu	rozsah IP	Komentáre
TCP	5061—5070	Odchádzajúce na Webex	SIP signalizácia	Webex	Webex media edge počúva na týchto portoch
TCP	5061, 5065	Prichádzajúce do vašej siete	SIP signalizácia	Webex	Prichádzajúca signalizácia SIP z cloudu Webex
TCP	5061	Odchádzajúce na Webex	SIP signalizácia z Cloud registrovaných zariadení	AWS	Prichádzajúce hovory zo zariadení Webex App 1:1 Calling a Cloud registrovaných na vaše lokálne registrované SIP URI. *5061 je predvolený port. Webex podporuje porty 5061-5070, ktoré môžu zákazníci používať, ako je definované v ich zázname SIP SRV
TCP/UDP	1719, 1720, 15000—19999	Odchádzajúce na Webex	H.323 LS	Webex	Ak váš koncový bod vyžaduje komunikáciu so správcom brány, otvorte aj port 1719, ktorý zahŕňa Lifesize
TCP/UDP	Ephemeral Ports, 36000-59999	Prichádzajúce	Mediálne porty	Webex	Ak používate Cisco Expressway, rozsahy médií je potrebné nastaviť na 36000-59999. Ak používate koncový bod alebo ovládací prvok hovoru tretej strany, musia byť nakonfigurované na používanie tohto rozsahu.
TCP	443	Prichádzajúce	On-Premise Device Proximity	Lokálna sieť	Aplikácia Webex alebo aplikácia Webex Desktop App musí mať medzi sebou a video zariadením pomocou protokolu HTTPS cestu umožňujúcu smerovanie IPv4

Pre zákazníkov, ktorí umožňujú Webex for Government prijímať prichádzajúce hovory zo zariadení Webex App 1:1 Calling a Cloud registrovaných na vaše lokálne registrované SIP URI. Musíte tiež povoliť pripojenie s AWS Gov Cloud West (región: us‐gov‐west‐1). Pozrite si dokumentáciu AWS a identifikujte rozsahy IP pre región AWS Gov Cloud West. Dokumentácia AWS je k dispozícii na adrese https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Porty používané Edge Audio

Vyžaduje sa to iba vtedy, ak využívate Edge Audio.

Protokol	Čísla portov	Smer	Typ prístupu	rozsah IP	Komentáre
TCP	5061—5062	Prichádzajúce do vašej siete	SIP signalizácia	Webex	Prichádzajúca signalizácia SIP pre Edge Audio
TCP	5061—5065	Odchádzajúce na Webex	SIP signalizácia	Webex	Odchádzajúca signalizácia SIP pre Edge Audio
TCP/UDP	Ephemeral Ports, 8000-59999	Prichádzajúce do vašej siete	Porty médií	Webex	Na podnikovej bráne firewall je potrebné otvoriť porty pre prichádzajúcu prevádzku na Expressway s rozsahom portov od 8000 do 59999

Nakonfigurujte mTLS pomocou nasledujúcich možností:

Konfigurácia rýchlostnej cesty | Vzájomná autentifikácia TLS.
Podporované koreňové certifikačné autority | Audio a video platformy Cisco Webex.
Edge Audio | Konfiguračná príručka.

Domény a adresy URL pre služby volania Webex

Znak * zobrazený na začiatku adresy URL (napríklad *.webex.com) označuje, že služby v doméne najvyššej úrovne a všetky subdomény sú prístupné.

Tabuľka 3. služby Webex

Doména/URL

Popis

Aplikácie a zariadenia Webex používajúce tieto domény/adresy URL

*.webex.com

*.cisco.com

*.webexgov.us

Základné služby Webex Calling & Webex Aware

Poskytovanie identity

Ukladanie identity

Overenie

služby OAuth

Zavedenie zariadenia

Keď sa telefón pripojí k sieti prvýkrát alebo po obnovení továrenských nastavení bez nastavených možností DHCP, kontaktuje server aktivácie zariadenia, aby zabezpečil bezdotykové poskytovanie. Nové telefóny používajú activate.cisco.com a telefóny s verziou firmvéru staršieho ako 11.2(1) naďalej používajú webapps.cisco.com na poskytovanie.

Stiahnite si aktualizácie firmvéru a miestnych nastavení zariadenia z binaries.webex.com.

Všetko

*.wbx2.com a *.ciscospark.com

Používa sa na informovanie o cloude, CSDM, WDM, ortuti atď. Tieto služby sú potrebné na to, aby aplikácie a zariadenia mohli osloviť služby Webex Calling & Webex Aware počas registrácie a po nej.

Všetko

*.webexapis.com

Mikroslužby Webex, ktoré spravujú vaše aplikácie a zariadenia.

Služba profilových obrázkov

Služba tabuľovania

Bezprostredná služba

Prezenčná služba

Registračná služba

Služba kalendára

Vyhľadávacia služba

Všetko

*.webexcontent.com

Služba Webex Messaging súvisiaca so všeobecným ukladaním súborov vrátane:

Používateľské súbory

Prekódované súbory

snímky

Snímky obrazovky

Obsah tabule

Denníky klientov a zariadení

Profilové fotky

Logá značky

Log súbory

Hromadný export súborov CSV a import súborov (Control Hub)

Služby odosielania správ Webex App.

Ukladanie súborov pomocou webexcontent.com nahradené clouddrive.com v októbri 2019

Tabuľka 4. Ďalšie služby súvisiace s Webexom (domény tretích strán)
Doména/URL	Popis	Aplikácie a zariadenia Webex používajúce tieto domény/adresy URL
.appdynamics.com .eum-appdynamics.com	Sledovanie výkonu, zaznamenávanie chýb a zlyhaní, metriky relácie.	Control Hub
*.huron-dev.com	Mikro služby Webex Calling, ako sú prepínacie služby, objednávanie telefónnych čísel a priraďovacie služby.	Control Hub
*.sipflash.com	Služby správy zariadení. Upgrady firmvéru a bezpečné účely registrácie.	aplikácie Webex
.google.com .googleapis.com	Upozornenia do aplikácií Webex na mobilných zariadeniach (Príklad: nová správa, keď je hovor prijatý) Pre podsiete IP si pozrite tieto odkazy Služba Google Firebase Cloud Messaging (FCM). Služba Apple Push Notification Service (APNS)	Aplikácia Webex

IP podsiete pre služby Webex Calling

23.89.18.0/23
163.129.16.0/21
150 253 150,0/23
144.196.224.0/21
144.196.16.0/24

Porty používané službou Webex Calling

Tabuľka 5. Služby Webex Calling a Webex Aware
Účel pripojenia	Zdrojové adresy	Zdrojové porty	Protokol	Cieľové adresy	Cieľové prístavy	Poznámky
Signalizácia hovoru na Webex Calling (SIP TLS)	Externá lokálna brána (NIC)	8000-65535	TCP	Odkazujú na Podsiete IP pre služby volania Webex.	5062, 8934	Tieto adresy IP/porty sú potrebné na signalizáciu odchádzajúcich hovorov SIP-TLS z miestnych brán, zariadení a aplikácií (zdroj) do cloudu volania Webex (cieľ). Port 5062 (vyžaduje sa pre kmeňový kanál založený na certifikáte). A port 8934 (vyžadovaný pre kmeň založený na registrácii
	Zariadenia	5060-5080			8934
	Aplikácie	Prchavé (závislé na OS)			8934
Zavolajte médiá na Webex Calling (STUN, SRTP	Externá sieťová karta lokálnej brány	8000-48198^†^*	UDP	Odkazujú na Podsiete IP pre služby volania Webex.	5004, 9000 (STUN porty) 8500-8700,19560-65535 (SRTP cez UDP)	Tieto adresy IP/porty sa používajú pre odchádzajúce médiá hovorov SRTP z miestnych brán, zariadení a aplikácií (zdroj) do cloudu volania Webex (cieľ). Pre hovory v rámci organizácie, kde je úspešné vyjednávanie STUN, ICE, sa ako komunikačná cesta odstráni mediálny prenos v cloude. V takýchto prípadoch je tok médií priamo medzi aplikáciami/zariadeniami používateľa. Napríklad: Ak je optimalizácia médií úspešná, aplikácie si posielajú médiá priamo medzi sebou na portoch v rozsahu 8500 – 9700 a zariadenia si posielajú médiá priamo medzi sebou na portoch v rozsahu 19560 – 19660. Pri určitých topológiách siete, kde sa v priestoroch zákazníka používajú brány firewall, povoľte prístup k uvedeným rozsahom zdrojových a cieľových portov vo vašej sieti, aby cez ne mohli prúdiť médiá. Príklad: Pre aplikácie povoľte rozsah zdrojového a cieľového portu 8500–8700.
	Zariadenia	19560—19660
	Aplikácie	8500-8700
Signalizácia hovoru na bránu PSTN (SIP TLS)	Interná sieťová karta lokálnej brány	8000-65535	TCP	Vaša ITSP PSTN GW alebo Unified CM	Závisí od možnosti PSTN (napríklad zvyčajne 5060 alebo 5061 pre Unified CM)
Volajte médiá na bránu PSTN (SRTP)	Interná sieťová karta lokálnej brány	8000-48198^†^*	UDP	Vaša ITSP PSTN GW alebo Unified CM	Závisí od možnosti PSTN (napríklad zvyčajne 5060 alebo 5061 pre Unified CM)
Konfigurácia zariadenia a správa firmvéru (zariadenia Cisco)	Volacie zariadenia Webex	Pominuteľné	TCP	3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26	443, 6970	Vyžaduje sa z nasledujúcich dôvodov: Migrácia z podnikových telefónov (Cisco Unified CM) na Webex Calling. Pozri upgrade.cisco.com Pre viac informácií. Cloudupgrader.webex.com používa porty: 6970,443 pre proces migrácie firmvéru. Upgrady firmvéru a bezpečné pripojenie zariadení (MPP a izbové alebo stolové telefóny) pomocou 16-miestneho aktivačného kódu (GDS). Pre CDA / EDOS - poskytovanie založené na MAC adrese. Používajú sa zariadeniami (telefóny MPP, ATA a SPA ATA) s novším firmvérom. Keď sa telefón pripojí k sieti prvýkrát alebo po obnovení továrenského nastavenia bez nastavených možností DHCP, kontaktuje server aktivácie zariadenia, aby zabezpečil bezdotykové poskytovanie. Nové telefóny používajú na poskytovanie „activate.cisco.com“ namiesto „webapps.cisco.com“. Telefóny s firmvérom vydaným pred verziou 11.2(1) naďalej používajú „webapps.cisco.com“. Odporúča sa povoliť všetky tieto podsiete IP.
Konfigurácia aplikácie	Aplikácia Webex na volanie	Pominuteľné	TCP	62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19	443, 8443	Používa sa na autentifikáciu Idbroker, služby konfigurácie aplikácií pre klientov, webový prístup založený na prehliadači pre samoobslužnú starostlivosť A prístup k administratívnym rozhraniam.
Synchronizácia času zariadenia (NTP)	Volacie zariadenia Webex	51494	UDP	Odkazujú na Podsiete IP pre služby volania Webex.	123	Tieto adresy IP sú potrebné na synchronizáciu času pre zariadenia (telefóny MPP, ATA a SPA ATA)
Rozlíšenie názvu zariadenia a rozlíšenie názvu aplikácie	Volacie zariadenia Webex	Pominuteľné	UDP a TCP	Definované hostiteľom	53	Používa sa na vyhľadávanie DNS na zistenie adries IP služieb volania Webex v cloude. Aj keď sa typické vyhľadávania DNS vykonávajú cez UDP, niektoré môžu vyžadovať TCP, ak sa odpovede na otázky nezmestia do paketov UDP.
Synchronizácia času aplikácie	Aplikácia Webex na volanie	123	UPD	Definované hostiteľom	123
CScan	Webová pripravenosť siete Predkvalifikačný nástroj pre Webex Calling	Pominuteľné	UPD	Odkazujú na Podsiete IP pre služby volania Webex.	19569—19760	Webová pripravenosť siete Predkvalifikačný nástroj pre Webex Calling. Ísť do cscan.webex.com Pre viac informácií.

Tabuľka 6. Ďalšie služby Webex Calling a Webex Aware (tretej strany)
Účel pripojenia	Zdrojové adresy	Zdrojové porty	Protokol	Cieľové adresy	Cieľové prístavy	Poznámky
Push notifikácie služby APNS a FCM	Aplikácia Webex na volanie	Pominuteľné	TCP	Pozrite si podsiete IP uvedené pod odkazmi Služba Apple Push Notification Service (APNS) Google-Firebase Cloud Messaging (FCM)	443, 2197, 5228, 5229, 5230, 5223	Upozornenia do aplikácií Webex na mobilných zariadeniach (Príklad: Keď dostanete novú správu alebo keď sa prijme hovor)

^†^*Rozsah mediálnych portov CUBE je konfigurovateľný pomocou rozsah portov rtp.
Ak je pre vaše aplikácie a zariadenia nakonfigurovaná adresa proxy servera, signalizačná prevádzka sa odosiela na server proxy. Médiá prenášané SRTP cez UDP sa neodosielajú na proxy server. Namiesto toho musí prúdiť priamo do vašej brány firewall.
Ak v rámci podnikovej siete používate služby NTP a DNS, otvorte porty 53 a 123 cez bránu firewall.