Дякуємо за відгук.
Вимоги до мережі для Webex for Government (FedRAMP)
Надіслати відгук?
Швидка довідка щодо портів нарад і діапазонів IP
Наступні діапазони IP використовуються сайтами, розгорнутими в кластері нарад FedRAMP. "У цьому документі ці діапазони називаються ""Діапазони IP Webex"":"
- 150.253.150.0/23 (150.253.150.0 до 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 до 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 - 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 - 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 до 170.72.254.255)
- 170.133.156.0/22 (від 170.133.156.0 до 170.133.159.255)
- 207.182.160.0/21 (від 207.182.160.0 до 207.182.167.255)
- 207.182.168.0/23 (від 207.182.168.0 до 207.182.169.255)
- 207.182.176.0/22 (від 207.182.176.0 до 207.182.179.255)
- 207.182.190.0/23 (від 207.182.190.0 до 207.182.191.255)
- 216.151.130.0/24 (від 216.151.130.0 до 216.151.130.255)
- 216.151.134.0/24 (від 216.151.134.0 до 216.151.134.255)
- 216.151.135.0/25 (від 216.151.135.0 до 216.151.135.127)
- 216.151.135.240/28 (від 216.151.135.240 до 216.151.135.255)
- 216.151.138.0/24 (від 216.151.138.0 до 216.151.138.255)
- 216.151.139.0/25 (від 216.151.139.0 до 216.151.139.127)
- 216.151.139.240/28 (від 216.151.139.241 до 216.151.139.254)
Розгорнуті служби
Служби, розгорнуті в цьому діапазоні IP-адрес, включають, але не обмежуються наступним:
- Вебсайт наради (наприклад, customersite.webex.com)
- Сервери даних нарад
- Мультимедійні сервери для комп 'ютерного аудіо (VoIP) та відео з веб-камери
- Служби XML/API, зокрема планування інструментів підвищення продуктивності
- Мережеві сервери запису (NBR)
- Вторинні послуги, коли первинні послуги знаходяться в обслуговуванні або відчувають технічні труднощі
Наступні URI використовуються для перевірки "Список відкликання сертифікатів" для наших сертифікатів безпеки. Списки відкликання сертифікатів, щоб гарантувати, що жодні скомпрометовані сертифікати не можуть бути використані для перехоплення безпечного трафіку Webex. Цей трафік відбувається на TCP-порту 80:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (Сертифікати IdenTrust)
Такі оператори користувача будуть передані Webex процесом utiltp у Webex, і їх має бути дозволено через брандмауер агентства:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping як частина дозволених URL-адрес. Він використовується як частина процесу активації пристрою, і "пристрій використовує його, перш ніж дізнається, що це пристрій FedRAMP. Пристрій надсилає йому код активації без інформації FedRAMP, служба бачить, що це код активації FedRAMP, а потім переспрямовує його."
Усі трафіки FedRAMP потребують шифрування TLS 1.2 і шифрування mTLS 1.2 для локальних зареєстрованих пристроїв SIP.
Порти, що використовуються клієнтами Webex Meetings (включно з пристроями, зареєстрованими в хмарі)
| Протокол | Номер(и) порту | Напрямок | Тип трафіку | Діапазон IP | Коментарі |
|---|---|---|---|---|---|
| TCP | 80/443 | Вихід до Webex | HTTP, HTTPS | Webex і AWS (не рекомендується фільтрувати за IP-адресою) |
Webex рекомендує фільтрувати за URL-адресою. Якщо ВИКОНУЄТЬСЯ фільтрування за IP-адресою, необхідно дозволити діапазони IP-адрес AWS GovCloud, Cloudfront і Webex. |
| TCP або UDP | 53 | Вихід до локального DNS | Служби доменних імен (DNS) | Тільки DNS-сервер | Використовується для пошуку DNS із метою виявлення IP-адрес серверів Webex у хмарі. Незважаючи на те що звичайний пошук DNS виконується за протоколом UDP, інколи потрібно використовувати TCP, якщо відповіді на запити неможливо передати в пакетах UDP. |
| UDP | 9000, 5004 | Вихідні підключення у Webex | Основні мультимедіа у клієнті Webex (VoIP й передавання відео за протоколом RTP) | Webex | Медіапорт клієнта Webex використовується для обміну комп 'ютерними аудіо, відео з веб-камери та потоками обміну вмістом. Відкриття цього порту потрібне для найефективнішого використання мультимедіа. |
| TCP | 5004, 443, 80 | Вихідні підключення у Webex | Альтернативні мультимедіа у клієнті Webex (VoIP й передавання голосу за протоколом RTP) | Webex | Резервні порти для з 'єднання з медіа, коли UDP-порт 9000 не відкритий у брандмауері |
| UDP/TCP |
Аудіо. від 52000 до 52049 Відео: від 52100 до 52199 | Вхідні до вашої мережі | Мультимедіа клієнта Webex (VoIP та відео) | Повернення з AWS і Webex |
Webex установлює зв’язок із портом призначення, визначеним під час підключення клієнта. Необхідно дозволити ці зворотні підключення у брандмауері. Цей параметр увімкнено за замовчуванням. |
| TCP/UDP | Специфічні для ОС ефемерні порти | Вхідні до вашої мережі | Зворотний трафік з Webex | Повернення з AWS і Webex |
Webex установлює зв’язок із портом призначення, визначеним під час підключення клієнта. Необхідно дозволити ці зворотні підключення у брандмауері. Зазвичай його автоматично відкривають у брандмауері, що має статус, однак його наведено тут для повноти. |
Для клієнтів, що вмикають Webex for Government, які не можуть дозволити фільтрування на основі URL для HTTPS, потрібно дозволити підключення до хмари AWS Gov Cloud West (регіон: us‐gov‐west‐1) та Cloud Front (послуга: CLOUDFRONT). Перегляньте документацію AWS, щоб визначити діапазони IP-адрес для області AWS Gov Cloud West Region та AWS Cloud Front. Документацію AWS можна знайти на сторінці https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex настійно рекомендує фільтрувати за URL-адресою, якщо це можливо.
Cloudfront використовується для статичного вмісту, що доставляється через Мережу доставки вмісту, щоб забезпечити клієнтам найкращу продуктивність по всій країні.
Порти, що використовуються зареєстрованими на території пристроями для відеоспівпраці Cisco
Див. також Посібник із розгортання Cisco Webex Meetings для компаній для нарад із підтримкою відеопристроїв
| Протокол | Номери портів | Напрямок | Тип доступу | Діапазон IP | Коментарі |
|---|---|---|---|---|---|
| TCP | 5061—5070 | Вихід до Webex | Сигналізація SIP | Webex | Медіа-краєвид Webex прослуховується на цих портах |
| TCP | 5061, 5065 | Вхід до вашої мережі | Сигналізація SIP | Webex | Вхідний трафік сигналізації SIP з хмари Webex |
| TCP | 5061 | Вихідні підключення у Webex | Сигналізація SIP від зареєстрованих пристроїв Cloud | АРМ | Вхідні виклики з викликів програми Webex 1:1 і зареєстрованих у хмарі пристроїв на локальний зареєстрований SIP URI. *5061 є портом за замовчуванням. Webex підтримує порти 5061–5070, які будуть використовуватися клієнтами, як визначено в їхньому записі SIP SRV. |
| TCP або UDP | 1719, 1720, 15000—19999 | Вихідні підключення у Webex | H.323 LS | Webex | Якщо ваш кінцевий пристрій потребує зв’язку з контролером шлюзу, також відкрийте порт 1719, який включає Lifesize |
| TCP або UDP | Ефемерні порти, 36000—59999 | Вхідні | Медіа-порти | Webex | Якщо ви використовуєте Cisco Expressway, діапазон носіїв потрібно встановити на 36000-59999. Якщо ви використовуєте сторонній кінцевий пристрій або контроль виклику, для використання цього діапазону потрібно налаштувати його. |
| TCP | 443 | Вхідний | Близькість до локального пристрою | Локальна мережа | Програма Webex або класична програма Webex повинна мати шлях із можливістю маршрутизації IPv4 між нею та відеопристроєм за допомогою HTTPS |
Для клієнтів, які вмикають Webex для уряду, що отримують вхідні дзвінки від Webex App 1:1 Виклик і зареєстровані хмарні пристрої на ваш локальний зареєстрований SIP URI. Також необхідно дозволити з 'єднання з AWS Gov Cloud West (регіон: us‐gov‐west‐1). Перегляньте документацію AWS, щоб визначити діапазони IP для західного регіону хмари AWS Gov. Документація AWS доступна за адресою https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Порти, що використовуються Edge Audio
Цей параметр потрібен лише в разі використання Edge Audio.
| Протокол | Номери портів | Напрямок | Тип доступу | Діапазон IP | Коментарі |
|---|---|---|---|---|---|
| TCP | 5061—5062 | Вхід до вашої мережі | Сигналізація SIP | Webex | Вхідні сигнали SIP для Edge Audio |
| TCP | 5061—5065 | Вихід до Webex | Сигналізація SIP | Webex | Вихідний сигнал SIP для Edge Audio |
| TCP або UDP | Ефемерні порти, 8000—59999 | Вхід до вашої мережі | Медіа-порти | Webex | На корпоративному брандмауері потрібно відкрити порти для вхідного трафіку до Expressway з діапазоном портів від 8000 до 59999 |
Налаштуйте mTLS за допомогою таких параметрів:
- Налаштування | взаємної автентифікації TLS Expressway.
- Підтримувані кореневі центри сертифікації аудіо- та відеоплатформ | Cisco Webex.
- | Посібник із налаштування Edge Audio.
Домени та URL-адреси для служб Webex Calling
*, що відображається на початку URL-адреси (наприклад, *.webex.com), означає, що служби в домені верхнього рівня та на всіх субдоменах доступні.
| Домен/URL | Опис | Програми й пристрої Webex, що використовують ці домени/URL-адреси |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
Основні служби Webex Calling і Webex Aware Підготовка посвідчень Сховище посвідчень Автентифікація Служби OAuth Реєстрація пристрою Коли телефон вперше підключається до мережі або після відновлення заводських налаштувань без установлених параметрів DHCP, він контактує з сервером активації пристрою для надання нульової сенсорної інформації. Нові телефони використовують activate.cisco.com і телефони з випуском мікропрограми раніше 11.2(1), продовжуйте використовувати для підготовки вебзастосунків.cisco.com. Завантажте оновлення мікропрограми пристрою та локалізації з binaries.webex.com. | Усе |
| *.wbx2.com та *.ciscospark.com | Використовується для обізнаності хмари, CSDM, WDM, ртуті тощо. Ці служби необхідні для того, щоб програми та пристрої могли підключатися до служб Webex Calling і Webex Aware під час приєднання та після. | Усі |
| *.webexapis.com |
Мікрослужби Webex, які керують вашими програмами та пристроями. Служба зображення профілю Служба дощок Служба Proximity Служба Presence Служба реєстрації Служба календаря Служба пошуку | Усі |
| *.webexcontent.com |
Служба обміну повідомленнями Webex, пов’язана з загальним сховищем файлів, зокрема: Файли користувача Транскодовані файли Зображення Знімки екрана Контент дошки Журнали клієнта та пристрою Зображення профілю Логотипи брендингу Файли журналу Груповий експорт і імпорт файлів CSV (Control Hub) | Служби обміну повідомленнями програми Webex. Сховище файлів за допомогою webexcontent.com замінено на clouddrive.com у жовтні 2019 року |
| Домен/URL | Опис | Програми й пристрої Webex, що використовують ці домени/URL-адреси |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | Відстеження продуктивності, запис помилок і аварійних збоїв, показники сеансу. | Control Hub |
| *.huron-dev.com | Мікрослужби Webex Calling, такі як перемикання служб, замовлення номерів телефону й служби призначення. | Control Hub |
| *.sipflash.com | Служби керування пристроями. Оновлення версії мікропрограми та безпечна реєстрація. | Програми Webex |
|
*.google.com *.googleapis.com |
Сповіщення для програм Webex на мобільних пристроях (приклад: нове повідомлення, коли отримано відповідь на виклик) Для IP-підмереж див. ці посилання | Додаток Webex |
Підмережі IP для служб Webex Calling
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
Порти, що використовуються Webex Calling
| Мета підключення | Адреси джерела | Порти джерела | Протокол | Адреси призначення | Порти призначення | Примітки |
|---|---|---|---|---|---|---|
| Передавання сигналів виклику до Webex Calling (TLS SIP) | Зовнішній (NIC) локального шлюзу | 8000—65535 | TCP | Див. розділ Підмережі IP для служб Webex Calling. | 5062, 8934 |
Ці IP-адреси/порти потрібні для вихідного сигналу виклику SIP-TLS від локальних шлюзів, пристроїв і додатків (джерело) до Webex Calling Cloud (пункт призначення). Порт 5062 (вимагається для транка на основі сертифіката). І порт 8934 (вимагається для транка на основі реєстрації |
| Пристрої | 5060—5080 | 8934 | ||||
| Програми | Тимчасовий (залежить від ОС) | |||||
| Виклик медіафайлів у Webex Calling (SRTP) | Зовнішній NIC локального шлюзу | 8000—48198†* | UDP | Див. розділ Підмережі IP для служб Webex Calling. |
8500—8700,19560—65535 (SRTP через UDP) |
Оптимізація мультимедіа на основі ICE-Lite не підтримується у Webex for Government. Ці IP-адреси/порти використовуються для вихідних медіафайлів викликів SRTP від локальних шлюзів, пристроїв і програм (джерело) до хмари Webex Calling (призначення). Для певних топологій мережі, де брандмауери використовуються в приміщенні клієнта, дозвольте доступ до зазначених діапазонів вихідних і цільових портів у вашій мережі, щоб мультимедіа могли проходити через них. Приклад: Для застосунків дозвольте діапазон вихідного та цільового портів 8500–8700. |
| Пристрої | 19560—19660 | |||||
| Програми | 8500—8700 | |||||
| Передавання сигналів виклику до шлюзу PSTN (TLS SIP) | Внутрішній NIC локального шлюзу | 8000—65535 | TCP | Ваш шлюз PSTN ITSP або Unified CM | Залежить від параметра PSTN (наприклад, зазвичай для Unified CM використовується 5060 або 5061) | |
| Передавання мультимедіа викликів до шлюзу PSTN (SRTP) | Внутрішній NIC локального шлюзу | 8000—48198†* | UDP | Ваш шлюз PSTN ITSP або Unified CM | Залежить від параметра ТМЗК (наприклад, зазвичай 5060 або 5061 для Unified CM) | |
| Конфігурація пристрою і керування мікропрограмним забезпеченням (пристрої Cisco) | Пристрої Webex Calling | Короткотерміновий | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
Вимагається з таких причин:
|
| Конфігурація програми | Програми Webex Calling | Короткотерміновий | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Використовується для автентифікації Idbroker, служб конфігурації застосунків для клієнтів, веб-доступу на основі браузера для самообслуговування Та доступу до Адміністративних інтерфейсів. |
| Синхронізація часу пристрою (NTP) | Пристрої Webex Calling | 51494 | UDP | Див. розділ Підмережі IP для служб Webex Calling. | 123 | Ці IP-адреси необхідні для синхронізації часу на пристроях (телефони MPP, ATA й SPA ATA) |
| Роздільна здатність імені пристрою та імені застосунку | Пристрої Webex Calling | Короткотерміновий | UDP й TCP | Визначив хост | 53 | Використовується для пошуку DNS з метою виявлення IP-адрес служб Webex Calling у хмарі. Хоча типові пошуки DNS виконуються через UDP, деякі з них можуть потребувати TCP, якщо відповіді запиту не вписуються в пакети UDP. |
| Синхронізація часу програми | Програми Webex Calling | 123 | UPD | Визначив хост | 123 | |
| CScan | Інструмент підготовки до кваліфікації для Webex Calling на основі вебмережі | Короткотерміновий | UPD | Див. розділ Підмережі IP для служб Webex Calling. | 19569—19760 | Інструмент для попередньої кваліфікації готовності до мережі для Webex Calling. Додаткову інформацію див. на сторінці cscan.webex.com. |
| Мета підключення | Адреси джерела | Порти джерела | Протокол | Адреси призначення | Порти призначення | Примітки |
|---|---|---|---|---|---|---|
| Push-сповіщення APNS і служби FCM | Програми Webex Calling | Короткотерміновий | TCP |
Посилання на IP-підмережі, зазначені за посиланнями | 443, 2197, 5228, 5229, 5230, 5223 | Сповіщення для програм Webex на мобільних пристроях (приклад: Коли ви отримаєте нове повідомлення або на виклик) |
- †*Діапазон медіапорту CUBE можна налаштувати за допомогою діапазону порту rtp.
- Якщо для ваших програм і пристроїв налаштовано адресу проксі-сервера, трафік сигналів буде надіслано на проксі. Медіафайли, переміщені SRTP через UDP, не надсилаються на проксі-сервер. Натомість він має перейти безпосередньо до брандмауера.
- Якщо ви використовуєте служби NTP і DNS у вашій корпоративній мережі, відкрийте порти 53 і 123 через брандмауер.
