Snabbreferens för mötesportar och IP-intervall

Följande IP-intervall används av webbplatser som distribueras i FedRAMP-mötesklustret. I det här dokumentet kallas dessa intervall för "Webex IP-intervall":

  • 150.253.150.0/23 (150.253.150.0 till 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 till 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 till 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 till 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 till 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 till 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 till 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 till 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 till 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 till 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 till 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 till 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 till 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 till 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 till 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 till 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 till 216.151.139.254)

Implementerade tjänster

Tjänster som distribueras på detta IP-intervall inkluderar, men är inte begränsade till, följande:

  • Mötets webbplats (t.ex. customersite.webex.com)
  • Mötesdataservrar
  • Multimediaservrar för datorljud (VoIP) och webbkameravideo
  • XML/API tjänster, inklusive schemaläggning av produktivitetsverktyg
  • Nätverksbaserade inspelningsservrar (NBR)
  • Sekundära tjänster när primära tjänster står under underhåll eller har tekniska problem

Följande URI:er används för att kontrollera "listan över återkallade certifikat" för våra säkerhetscertifikat. Listor över återkallade certifikat för att säkerställa att inga komprometterade certifikat kan användas för att avlyssna säker Webex-trafik. Denna trafik sker på TCP-port 80:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (IdenTrust-certifikat)

Följande UserAgents kommer att skickas av Webex via utiltp-processen i Webex och bör tillåtas genom en myndighets brandvägg:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping som en del av de tillåtna URL:erna. Den används som en del av enhetens aktiveringsprocessen, och "enheten använder den innan den vet att det är en FedRAMP-enhet." Enheten skickar en aktiveringskod utan FedRAMP-information, tjänsten ser att det är en FedRAMP-aktiveringskod och omdirigerar dem sedan.

All FedRAMP-trafik kräver TLS 1.2- eller TLS 1.3-kryptering och mTLS-kryptering för lokala SIP-registrerade enheter.

Portar som används av Webex Meetings-klienter (inklusive molnregistrerade enheter)

ProtokollPortnummerRiktningTrafiktypIP-intervallKommentarer
TCP80/443Utgående till WebexHTTP, HTTPSWebex och AWS (rekommenderas inte att filtrera efter IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (Detta används för att hantera statiskt innehåll och filer)
  • *.wbx2.com

Webex rekommenderar filtrering efter URL. Om du filtrerar efter IP-adress måste du tillåta AWS GovCloud-, Cloudfront- och Webex IP-intervall.

TCP/UDP53Utgående till lokal DNSDomännamnstjänster (DNS)Endast DNS-serverAnvänds för DNS-sökningar i syfte att identifiera IP-adresserna till Webex-servrar i molnet. Även om DNS-sökningar vanligen görs via UDP kan det ibland vara nödvändigt att använda TCP om frågesvaren inte ryms i UDP-paket.
UDP9000, 5004Utgående till WebexPrimär Webex-klientmedia (VoIP och video-RTP)WebexWebex-klientens medieport används för att byta datorljud, webbkameravideo och innehållsdelning strömmar. Att öppna den här porten krävs för att säkerställa bästa möjliga medieupplevelse.
TCP5004, 443, 80Utgående till WebexAlternativ Webex-klientmedia (VoIP och video-RTP)WebexReservportar för medieanslutning när UDP-port 9000 inte är öppen i brandväggen
UDP/TCP

Ljud: 52000 till 52049

Video: 52100 till 52199

Inkommande till ditt nätverkWebex-klientmedia (VoIP och video)Återgå från AWS och Webex

Webex kommunicerar till destinationsporten som mottogs när klienten anslöt. Brandväggar bör vara konfigurerade så att de här returanslutningarna släpps igenom.

Detta är aktiverat som standard.
TCP/UDPOS-specifika tillfälliga portarInkommande till ditt nätverkReturtrafik från WebexÅtergå från AWS och Webex

Webex kommunicerar till destinationsporten som mottogs när klienten anslöt. Brandväggar bör vara konfigurerade så att de här returanslutningarna släpps igenom.

Detta öppnas vanligtvis automatiskt i en tillståndskänslig brandvägg, men det listas här för fullständighetens skull.

För kunder som aktiverar Webex för myndigheter och som inte kan tillåta URL-baserad filtrering för HTTPS, måste ni tillåta anslutning med AWS Gov Cloud West (region: us‐gov‐west‐1) och Cloud Front (tjänst: CLOUDFRONT). Läs igenom AWS-dokumentationen för att identifiera IP-intervallerna för regionen AWS Gov Cloud West och AWS Cloud Front. AWS-dokumentation finns tillgänglig på https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex rekommenderar starkt att filtrera efter URL när det är möjligt.

Cloudfront används för statiskt innehåll som levereras via Content Delivery Network för att ge kunder bästa prestanda runt om i landet.

Portar som används av lokalregistrerade Cisco-videosamarbetsenheter

Se även Cisco Webex Meetings Enterprise Deployment Guide för möten aktiverade för videoenheter

ProtokollPortnummerRiktningÅtkomsttypIP-intervallKommentarer
TCP5061—5070Utgående till WebexSIP-signaleringWebexWebex medie edge lyssnar på de här portarna
TCP5061, 5065Ingående i ditt nätverkSIP-signaleringWebexIngående SIP-signaleringstrafik från Webex Cloud
TCP5061Utgående till WebexSIP-signalering från molnregistrerade enheterAwsInkommande samtal från Webex-appen 1:1 Samtal och molnregistrerade enheter till din lokala registrerade SIP-URI. *5061 är standardporten. Webex stöder 5061–5070-portar som ska användas av kunder enligt definitionen i deras SIP SRV-post.
TCP/UDP1719, 1720, 15000—19999Utgående till WebexH.323 LSWebexOm din slutpunkt kräver gatekeeper-kommunikation, öppna även port 1719, som inkluderar Lifesize.
TCP/UDPEfemära hamnar, 36000—59999InkommandeMedieportarWebexOm du använder en Cisco Expressway måste medieintervallen ställas in på 36000–59999. Om du använder en slutpunkt eller samtalskontroll från tredje part måste de konfigureras för att använda det här intervallet.
TCP443InkommandeLokal enhet ProximityLokalt nätverkWebex-appen eller Webex-skrivbordsappen måste ha en IPv4-routningsbar sökväg mellan sig själv och videoenheten med HTTPS

För kunder som aktiverar Webex för myndigheter som tar emot inkommande samtal från Webex App 1:1-samtal och molnregistrerade enheter till din lokala registrerade SIP URI. Du måste också tillåta anslutning med AWS Gov Cloud West (region: us‐gov‐west‐1). Granska AWS-dokumentationen för att identifiera IP-intervallen för AWS Gov Cloud West-regionen. AWS-dokumentationen finns tillgänglig på https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Portar som används av Edge Audio

Detta krävs endast om du använder Edge Audio.

ProtokollPortnummerRiktningÅtkomsttypIP-intervallKommentarer
TCP5061—5062Ingående i ditt nätverkSIP-signaleringWebexInkommande SIP-signalering för Edge Audio
TCP5061—5065Utgående till WebexSIP-signaleringWebexUtgående SIP-signalering för Edge Audio
TCP/UDPEfemära hamnar, 8000—59999Ingående i ditt nätverkMedieportarWebexPå en företagsbrandvägg måste portar öppnas för inkommande trafik till Expressway med ett portintervall från 8000–59999

Konfigurera mTLS med följande alternativ:

Domäner och URL:er för Webex Calling-tjänster

En * visas i början av en URL (till exempel *.webex.com) indikerar att tjänster i toppdomänen och alla underdomäner är tillgängliga.

Tabell 3. Webex-tjänster
Domain/URLBeskrivningWebex-appar och enheter som använder dessa domains/URLs

*.webex.com

*.cisco.com

*.webexgov.us

Kärn-Webex-samtal & Webex Aware-tjänster

Identitetsprovisionering

Identitetslagring

Autentisering

OAuth-tjänster

Enhetsregistrering

När en telefon ansluter till ett nätverk för första gången, eller efter en fabriksåterställning utan DHCP-alternativ, kontaktar den en enhetsaktiveringsserver för zero-touch provisioning. Nya telefoner använder activate.cisco.com och telefoner med firmwareversioner tidigare än 11.2(1) fortsätter att använda webapps.cisco.com för provisionering.

Ladda ner enhetens firmware och lokala uppdateringar från binaries.webex.com.

Allt
*.wbx2.com och *.ciscospark.comAnvänds för molnmedvetenhet, CSDM, WDM, kvicksilver och så vidare. Dessa tjänster är nödvändiga för att appar och enheter ska kunna nå Webex Calling. & Webex Aware-tjänster under och efter onboarding.Allt
*.webexapis.com

Webex-mikrotjänster som hanterar dina applikationer och enheter.

Profilbildstjänst

Whiteboardtjänst

Närhetstjänst

Närvarotjänst

Registreringstjänst

Kalendertjänst

Söktjänst

Allt
*.webexcontent.com

Webex Messaging-tjänst relaterad till allmän fillagring inklusive:

Användarfiler

Transkodade filer

Bilder

Skärmdumpar

Whiteboard-innehåll

Klient & enhetsloggar

Profilbilder

Varumärkeslogotyper

Loggfiler

Massexport av CSV-filer & importera filer (Control Hub)

Webex-appens meddelandetjänster.
Fillagring med webexcontent.com ersattes av clouddrive.com i oktober 2019
Tabell 4. Ytterligare Webex-relaterade tjänster (tredjepartsdomäner)
Domain/URLBeskrivningWebex-appar och enheter som använder dessa domains/URLs

*.appdynamics.com

*.eum-appdynamics.com

Prestandaspårning, registrering av fel och kraschar, sessionsmätvärden.Control Hub
*.huron-dev.comWebex Calling-mikrotjänster såsom växlingstjänster, beställning av telefonnummer och tilldelningstjänster.Control Hub
*.sipflash.comEnhetshanteringstjänster. Uppgraderingar av firmware och säkra onboarding-ändamål.Webex-appar

*.google.com

*.googleapis.com

Meddelanden till Webex-appar på mobila enheter (Exempel: nytt meddelande, när samtal besvaras)

För IP-subnät, se dessa länkar

Google Firebase Cloud Messaging-tjänst (FCM)

Apples push-notifieringstjänst (APNS)

Webex-appen

IP-undernät för Webex Calling-tjänster

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24
  • 144.196.17.0/24

Portar som används av Webex Calling

Tabell 5. Webex Calling och Webex Aware-tjänster
AnslutningssyfteKälladresserKällportarProtocolDestinationsadresserDestinationsportarAnteckningar
Samtals signal till Webex Calling (SIP TLS)Lokal gateway, extern (NIC)8000—65535TCPSe IP-undernät för Webex Calling-tjänster.5062, 8934

Dessa IP-adresser/portar behövs för utgående SIP-TLS-samtalssignaler från lokala gateways, enheter och program (källa) till Webex Calling Cloud (destination).

Port 5062 (krävs för certifikatbaserad trunk). Och port 8934 (krävs för registreringsbaserad trunk

Enheter5060—50808934
ProgramTillfälliga (beroende på operativsystem)
Samtals media till Webex Calling (SRTP)Extern NIC för lokal gateway8000—48198*UDPSe IP-undernät för Webex Calling-tjänster.

8500—8700,19560—65535 (SRTP över UDP)

STUN-, ICE-Lite-baserad medieoptimering stöds inte för Webex för myndigheter.

Dessa IPs/ports används för utgående SRTP-samtal från lokala gateways, enheter och program (källa) till Webex Calling Cloud (destination).

För vissa nätverkstopologier där brandväggar används inom en kundlokal, tillåt åtkomst för de nämnda käll- och destinationsportintervallen inom ditt nätverk för att media ska kunna flöda igenom.

Exempel: För applikationer, tillåt käll- och destinationsportintervallet 8500–8700.

Enheter19560—19660
Program8500—8700
Samtalssignalering till PSTN-gateway (SIP TLS)Lokal gateway, intern NIC8000—65535TCPDin ITSP PSTN-gateway eller Unified CMBeror på PSTN-alternativ (till exempel vanligtvis 5060 eller 5061 för Unified CM)
Samtalsmedia till PSTN-gateway (SRTP)Lokal gateway, intern NIC8000—48198*UDPDin ITSP PSTN-gateway eller Unified CMBeror på PSTN-alternativet (till exempel vanligtvis 5060 eller 5061 för Unified CM)
Enhetskonfiguration och hantering av inbyggd programvara (Cisco-enheter)Webex Calling enheterTillfälligaTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Krävs av följande skäl:

  1. Migrera från företagstelefoner (Cisco Unified CM) till Webex Calling. Se upgrade.cisco.com för mer information. cloudupgrader.webex.com använder portar: 6970 443 för migreringsprocessen av den inbyggda programvaran.

  2. Uppgraderingar av firmware och säker onboarding av enheter (MPP och rums- eller bordstelefoner) med hjälp av den 16-siffriga aktiveringskoden (GDS).

  3. För CDA / EDOS - MAC-adressbaserad provisionering. Används av enheter (MPP-telefoner, ATA:er och SPA ATA:er) med nyare inbyggd programvara.

  4. När en telefon ansluter till ett nätverk för första gången eller efter en fabriksåterställning, utan att DHCP-alternativen är inställda, kontaktar den en enhetsaktiveringsserver för zero-touch provisionering. Nya telefoner använder activate.cisco.com i stället för webapps.cisco.com för etablering. Telefoner med firmware som släpptes tidigare än 11.2(1) fortsätter att använda "webapps.cisco.com". Det rekommenderas att tillåta alla dessa IP-subnät.

ProgramkonfigurationWebex Calling programTillfälligaTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Används för Idbroker-autentisering, applikationskonfigurationstjänster för klienter, webbläsarbaserad webbåtkomst för självvård OCH åtkomst till administrativa gränssnitt.
Tidssynkronisering för enhet (NTP)Webex Calling enheter51494UDPSe IP-undernät för Webex Calling-tjänster.123Dessa IP-adresser behövs för tidssynkronisering för enheter (MPP-telefoner, ATA:er och SPA ATA:er)
Enhetsnamnsupplösning och programnamnsupplösningWebex Calling enheterTillfälligaUDP och TCPVärddefinierad53

Används för DNS-sökningar för att upptäcka IP-adresserna för Webex Calling-tjänster i molnet.

Även om typiska DNS-sökningar görs via UDP, kan vissa kräva TCP, om frågesvaren inte får plats med det i UDP-paketen.
Tidssynkronisering för programWebex Calling program123UpdVärddefinierad123
CScanWebbaserat nätverksberedskapsverktyg för förkvalificering för Webex CallingTillfälligaUpdSe IP-undernät för Webex Calling-tjänster.19569—19760Webbaserat nätverksberedskapsverktyg för förkvalificering av Webex Calling. Mer information finns på cscan.webex.com.
Tabell 6. Ytterligare Webex Calling- och Webex Aware-tjänster (tredjepartstjänst)
AnslutningssyfteKälladresserKällportarProtocolDestinationsadresserDestinationsportarAnteckningar
Push-meddelanden APNS och FCM-tjänsterWebex Calling programTillfälligaTCP

Se IP-subnät som nämns under länkarna.

Apples push-notifieringstjänst (APNS)

Google-Firebase Cloud Messaging (FCM)

443, 2197, 5228, 5229, 5230, 5223Meddelanden till Webex-appar på mobila enheter (Exempel: När du får ett nytt meddelande eller när ett samtal besvaras)
  • *CUBE-mediaportintervallet kan konfigureras med rtp-portintervall.
  • Om en proxyserveradress är konfigurerad för dina appar och enheter skickas signaltrafiken till proxyn. Media som transporteras med SRTP över UDP skickas inte till proxyservern. Den måste istället flöda direkt till din brandvägg.
  • Om du använder NTP- och DNS-tjänster i ditt företagsnätverk, öppna portarna 53 och 123 genom din brandvägg.