Короткий довідник про порти нарад і діапазони IP-адрес

Наведені нижче діапазони IP використовуються сайтами, розгорнутими на кластері нарад FedRAMP. У цьому документі ці діапазони називаються «Діапазонами IP-адрес Webex»:

  • 150.253.150.0/23 (150.253.150.0 до 150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0 до 144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0 до 23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0 до 163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0 до 170.72.254.255)
  • 170.133.156.0/22 (170.133.156.0 до 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 до 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 до 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 до 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 до 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 до 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 до 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 до 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 до 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 до 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 до 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 до 216.151.139.254)

Розгорнуті служби

Послуги, розгорнуті в цьому діапазоні IP-адрес, включають, але не обмежуються цим:

  • Веб-сайт зустрічі (наприклад, customersite.webex.com)
  • Сервери даних зустрічей
  • Мультимедійні сервери для комп’ютерного аудіо (VoIP) і відео з веб-камери
  • Сервіси XML/API, включаючи планування інструментів підвищення продуктивності
  • Сервери мережевого запису (NBR).
  • Додаткові послуги, коли первинні служби перебувають на технічному обслуговуванні або мають технічні проблеми

Наступні URI використовуються для перевірки «Списку відкликаних сертифікатів» для наших сертифікатів безпеки. Списки відкликаних сертифікатів, щоб гарантувати, що жодні скомпрометовані сертифікати не можуть використовуватися для перехоплення безпечного трафіку Webex. Цей трафік відбувається через TCP-порт 80:

  • *.quovadisglobal.com.
  • *.digicert.com
  • *.identrust.com (сертифікати IdenTrust)

 

Наведені нижче оператори користувача будуть передані Webex процесом utiltp у Webex і повинні бути дозволені через брандмауер агентства:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping як частину дозволених URL-адрес. Він використовується як частина процесу активації пристрою, і «пристрій використовує його, перш ніж дізнається, що це пристрій FedRAMP. Пристрій надсилає йому код активації без інформації FedRAMP, служба бачить, що це код активації FedRAMP, а потім переспрямовує їх".

Весь трафік FedRAMP вимагає шифрування TLS 1.2 і шифрування mTLS 1.2 для локальних зареєстрованих пристроїв SIP.

Порти, що використовуються клієнтами Webex Meetings (включно з пристроями, зареєстрованими в хмарі)

ПротоколНомер(и) портуНапрямокТип трафікуДіапазон IPКоментарі
TCP80/443Вихідні підключення у WebexHTTP, HTTPSWebex і AWS (не рекомендується фільтрувати за IP)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com (використовується для обслуговування статичного контенту та файлів)
  • *.wbx2.com

Webex рекомендує фільтрувати за URL-адресою. ЯКЩО фільтрується за IP-адресою, ви повинні дозволити діапазони IP-адрес AWS GovCloud, Cloudfront і Webex.

TCP або UDP53Вихідний на локальний DNSСлужби доменних імен (DNS)Тільки DNS-серверВикористовується для пошуку DNS із метою виявлення IP-адрес серверів Webex у хмарі. Незважаючи на те що звичайний пошук DNS виконується за протоколом UDP, інколи потрібно використовувати TCP, якщо відповіді на запити неможливо передати в пакетах UDP.
UCP9000, 5004Вихідні підключення у WebexОсновні мультимедіа у клієнті Webex (VoIP й передавання відео за протоколом RTP)WebexМедіапорт клієнта Webex використовується для обміну потоками аудіо комп’ютера, відео з вебкамери й спільного доступу до контенту. Відкриття цього порту потрібне для забезпечення найкращого медіа-вживання.
TCP5004, 443, 80Вихідні підключення у WebexАльтернативні мультимедіа у клієнті Webex (VoIP й передавання голосу за протоколом RTP)WebexРезервні порти для підключення мультимедіа в разі, якщо порт UDP 9000 не відкрито у брандмауері
UDP/TCP

Аудіо. 52000 до 52049

Відео. 52100 до 52199

Вхідні до вашої мережіWebex Client Media (Voip і відео)Повернення від AWS і Webex

Webex установлює зв’язок із портом призначення, визначеним під час підключення клієнта. Необхідно дозволити ці зворотні підключення у брандмауері.


 
Це ввімкнено за умовчанням.
TCP або UDPЕфемерні порти для ОСВхідні до вашої мережіЗворотний трафік із WebexПовернення від AWS і Webex

Webex установлює зв’язок із портом призначення, визначеним під час підключення клієнта. Необхідно дозволити ці зворотні підключення у брандмауері.


 
Зазвичай він автоматично відкривається в брандмауері з підтримкою стану, однак він наведено тут для повноти.

Клієнтам, які вмикають Webex for Government і не можуть дозволити фільтрацію на основі URL-адрес для HTTPS, потрібно буде дозволити підключення до AWS Gov Cloud West (регіон: us‐gov‐west‐1) і Cloud Front (сервіс: CLOUDFRONT). Перегляньте документацію AWS, щоб визначити діапазони IP для регіону AWS Gov Cloud West і AWS Cloud Front. Документація AWS доступна за адресоюhttps://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html . Webex настійно рекомендує фільтрувати за URL-адресою, коли це можливо.

Cloudfront використовується для статичного вмісту, що доставляється через мережу доставки вмісту, щоб надати клієнтам найкращу продуктивність по всій країні.

Порти, що використовуються зареєстрованими пристроями Cisco для відео співпраці

Див. також Посібник із розгортання Cisco Webex Meetings Enterprise для нарад із підтримкою відеопристроїв

ПротоколНомери портівНапрямокТип доступуДіапазон IPКоментарі
TCP5061—5070Вихідні підключення у WebexСигналізація SIPWebexWebex media edge слухає ці порти
TCP5061, 5065Вхідний до вашої мережіСигналізація SIPWebexВхідний трафік сигналізації SIP із хмари Webex
TCP5061Вихідні підключення у WebexСигналізація SIP із пристроїв, зареєстрованих у хмаріAWSВхідні дзвінки з Webex App 1:1 Calling і пристроїв, зареєстрованих у хмарі, на локально зареєстрований URI SIP. *5061 — порт за замовчуванням. Webex підтримує порти 5061–5070, які будуть використовуватися клієнтами, як визначено в їхніх записах SIP SRV.
TCP або UDP1719, 1720, 15000—19999Вихідні підключення у WebexLS H.323WebexЯкщо ваш кінцевий пристрій вимагає зв’язку привратника, також відкрийте порт 1719, який включає Lifesize
TCP або UDPЕфемерні порти, 36000—59999ВхіднийМедіапортиWebexЯкщо ви використовуєте Cisco Expressway, для медіапортів потрібно встановити діапазон 36000–59999. Якщо ви використовуєте сторонній термінальний пристрій або систему керування викликом, для них потрібно налаштувати використання цього діапазону.
TCP443ВхіднийБлизькість локального пристроюЛокальна мережаПрограма Webex або програма для комп’ютерів Webex повинні мати шлях для маршрутизації IPv4 між собою та відеопристроєм за допомогою HTTPS.

Для клієнтів, які ввімкнули Webex для уряду, що отримує вхідні дзвінки від Webex App 1:1 Calling і пристроїв, зареєстрованих у хмарі, на ваш локальний зареєстрований URI SIP. Ви також повинні дозволити підключення до AWS Gov Cloud West (регіон: Уряд США-Захід-1). Перегляньте документацію AWS, щоб визначити діапазони IP для регіону AWS Gov Cloud West. Документація AWS доступна за адресою https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Порти, що використовуються Edge Audio

Це потрібно, лише якщо ви використовуєте Edge Audio.

ПротоколНомери портівНапрямокТип доступуДіапазон IPКоментарі
TCP5061—5062Вхідний до вашої мережіСигналізація SIPWebexВхідна сигналізація SIP для Edge Audio
TCP5061—5065Вихідні підключення у WebexСигналізація SIPWebexВихідна сигналізація SIP для Edge Audio
TCP або UDPЕфемерні порти, 8000—59999Вхідний до вашої мережіМедіапортиWebexНа корпоративному брандмауері порти повинні бути відкриті для вхідного трафіку до Expressway з діапазоном портів від 8000 до 59999.

Налаштуйте mTLS за допомогою таких параметрів:

Домени та URL-адреси для служб Webex Calling

Позначка * на початку URL-адреси (наприклад, *.webex.com) вказує на те, що служби домену верхнього рівня і всіх дочірніх доменів повинні бути доступними.

Таблиця 3. Служби Webex
Домен/URLОписПрограми та пристрої Webex, що використовують ці домени/URL-адреси

*.webex.com

*.cisco.com

*.webexgov.us

Основні сервіси Webex Calling та Webex Aware

підготовка пристрою

Зберігання ідентифікаторів

Автентифікація

Послуги OAuth

підготовка пристрою

Коли телефон підключається до мережі вперше або після скидання заводських налаштувань без встановлення параметрів DHCP, він зв 'язується з сервером активації пристрою для забезпечення нульового дотику. Нові телефони використовують activate.cisco.com і телефони з випуском прошивки раніше 11.2(1), продовжують використовувати webapps.cisco.com для підготовки.

Завантажте оновлення прошивки та локалі пристрою з <span data-id ="0"></span>binaries.webex.com.

Усе
*.wbx2.com і *.ciscospark.comВикористовується для хмарної обізнаності, CSDM, WDM, ртуті тощо. Ці служби необхідні для того, щоб додатки та пристрої могли звертатися до служб Webex Calling & Webex Aware під час та після реєстрації.Усе
*.webexapis.com

Мікрослужби Webex, які керують вашими програмами та пристроями.

Служба зображень профілю

Сервіс Whiteboarding

Служба близькості

Служба присутності

Реєстрацію відхилено

Служба календаря

Шукати пристрій

Усе
*.webexcontent.com

Послуга обміну повідомленнями Webex, пов 'язана із загальним зберіганням файлів, включаючи:

Лінії користувача

Транскодовані файли

Зображення

Знімки екрана

Елементи керування дошки

Журнали клієнтів і пристроїв

Зображення профілю

Брендування логотипів

Файли коробки

Масовий експорт файлів CSV та імпорт файлів (Control Hub)

Служби обміну повідомленнями програми Webex.

 
Зберігання файлів за допомогою webexcontent.com замінено на clouddrive.com у жовтні 2019 року
Таблиця 4. Додаткові служби, пов’язані з Webex (домени третіх сторін)
Домен/URLОписПрограми та пристрої Webex, що використовують ці домени/URL-адреси

*.appdynamics.com

*.eum-appdynamics.com

Відстеження продуктивності, запис помилок і аварійних збоїв, показники сеансу.Control Hub
*.huron-dev.comМікрослужби Webex Calling, такі як перемикання служб, замовлення номерів телефону й служби призначення.Control Hub
*.sipflash.comПослуги з управління пристроями. Оновлення вбудованого програмного забезпечення та безпечні цілі адаптації.Програми Webex

*.google.com

*.googleapis.com

Сповіщення про програми Webex на мобільних пристроях (Приклад: нове повідомлення, коли відповіли на дзвінок)

Для підмереж IP див. ці посилання

Сервіс Google Firebase Cloud Messaging (FCM)

Служба Push-сповіщень Apple (APN)

Програма Webex

Підмережі IP для служб Webex Calling

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Порти, що використовуються Webex Calling

Таблиця 5. Служби Webex Calling і Webex Aware
Мета підключенняАдреси джерелаПорти джерелаПротоколАдреси призначенняПорти призначенняПримітки
Передавання сигналів виклику до Webex Calling (TLS SIP)Зовнішній (NIC) локального шлюзу8000—65535TCPДив. розділ Підмережі IP для служб Webex Calling.5062, 8934

Ці IP-адреси/порти потрібні для вихідної сигналізації викликів SIP-TLS від локальних шлюзів, пристроїв і програм (джерело) до хмари викликів Webex (пункт призначення).

Порт 5062 (необхідний для багажника на основі сертифікатів). І порт 8934 (необхідний для багажника на основі реєстрації)

Пристрої5060—50808934
ПрограмиТимчасовий (залежить від ОС)
Виклик медіафайлів на Webex Calling (SRTP)Зовнішній NIC локального шлюзу8000—48198 *UDPДив. розділ Підмережі IP для служб Webex Calling.

8500—8700,19560—65535 (SRTP через UDP)

STUN, оптимізація медіа на основі ICE-Lite не підтримується у Webex для державних установ.

Ці IP-адреси або порти необхідні для передавання мультимедіа вихідних викликів SRTP з локальних шлюзів, пристроїв і програм (джерело) до хмари Webex Calling (призначення).

Для певних мережевих топологій, де брандмауери використовуються на території клієнта, дозвольте доступ для згаданих діапазонів портів джерела та призначення всередині мережі для проходження медіа.

Приклад: Для програм дозвольте діапазон портів джерела та призначення 8500–8700.

Пристрої19560—19660 роки
Програми8500—8700
Передавання сигналів виклику до шлюзу PSTN (TLS SIP)Внутрішній NIC локального шлюзу8000—65535TCPВаш шлюз PSTN ITSP або Unified CMЗалежить від параметра PSTN (наприклад, зазвичай для Unified CM використовується 5060 або 5061)
Передавання мультимедіа викликів до шлюзу PSTN (SRTP)Внутрішній NIC локального шлюзу8000—48198 *UDPВаш шлюз PSTN ITSP або Unified CMЗалежить від параметра ТМЗК (наприклад, зазвичай 5060 або 5061 для Unified CM)
Конфігурація пристрою і керування мікропрограмним забезпеченням (пристрої Cisco)Пристрої Webex CallingКороткотерміновийTCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

Необхідно з наступних причин:

  1. Перехід з корпоративних телефонів (Cisco Unified CM) на Webex Calling. Див. <spandata-id ="0"></span> upgrade.cisco.com для отримання додаткової інформації. Cloudupgrader.webex.com використовує порти: 6970,443 для процесу міграції прошивки.

  2. Ці IP-адреси необхідні для безпечної адаптації пристроїв (MPP і Room або Desk телефонів) за допомогою 16-значного коду активації (GDS).

  3. Для CDA / EDO - MAC-адресна підготовка. Використовується пристроями (MPP-телефони, ATA й SPA ATA) з новішим мікропрограмним забезпеченням.

  4. Коли телефон підключається до мережі вперше або після скидання заводських налаштувань, без встановлення параметрів DHCP, він зв 'язується з сервером активації пристрою для забезпечення нульового дотику. У нових телефонах для підготовки замість webapps.cisco.com використовується activate.cisco.com. У телефонах із випуском мікропрограмного забезпечення, що передує 11.2(1), продовжується використання webapps.cisco.com. Рекомендується дозволити всі ці підмережі IP.

Конфігурація програмиПрограми Webex CallingКороткотерміновийTCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443Використовується для аутентифікації Idbroker, служб конфігурації додатків для клієнтів, веб-доступу на основі браузера для самообслуговування ТА доступу до адміністративних інтерфейсів.
Синхронізація часу пристрою (NTP)Пристрої Webex Calling51494UDPДив. розділ Підмережі IP для служб Webex Calling.123Ці IP-адреси необхідні для синхронізації часу на пристроях (телефони MPP, ATA й SPA ATA)
Роздільна здатність імен пристрою та роздільна здатність імен програмиПристрої Webex CallingКороткотерміновийUDP й TCPВизначив хост53

Використовується для пошуку DNS із метою виявлення IP-адрес серверів Webex у хмарі.

Незважаючи на те що звичайний пошук DNS виконується за протоколом UDP, інколи потрібно використовувати TCP, якщо відповіді на запити неможливо передати в пакетах UDP.
Синхронізація часу програмиПрограми Webex Calling123UPDВизначив хост123
CScanІнструмент попередньої кваліфікації для Webex CallingКороткотерміновийUPDДив. розділ Підмережі IP для служб Webex Calling.19569—19760 рокиІнструмент попередньої кваліфікації мережевої готовності Webex Calling. Додаткову інформацію див. на сторінці cscan.webex.com.
Таблиця 6. Додаткові служби Webex Calling і Webex Aware (сторонні)
Мета підключенняАдреси джерелаПорти джерелаПротоколАдреси призначенняПорти призначенняПримітки
Push-сповіщення APN і FCM-сервісиПрограми Webex CallingКороткотерміновийTCP

Див. підмережі IP, згадані під посиланнями

Служба Push-сповіщень Apple (APN)

Google-Firebase Cloud Messaging (FCM)

443, 2197, 5228, 5229, 5230, 5223Сповіщення про програми Webex на мобільних пристроях (Приклад: Коли ви отримуєте нове повідомлення або коли вам відповідають на дзвінок)

 
  • † Діапазон медіапортів CUBE налаштовується за допомогою діапазону портів RTP.
  • Якщо для ваших додатків і пристроїв налаштовано адресу проксі-сервера, сигнальний трафік надсилається проксі-серверу. Носій, що транспортується SRTP через UDP, не надсилається на проксі-сервер. Натомість він повинен надходити безпосередньо до вашого брандмауера.
  • Якщо ви використовуєте служби NTP і DNS у своїй корпоративній мережі, відкрийте порти 53 і 123 через брандмауер.