Дякуємо за відгук.
Вимоги до мережі для Webex для уряду (FedRAMP)
Надіслати відгук?
Короткий довідник портів зустрічей та діапазонів IP-адрес
Наведені нижче діапазони IP-адрес використовуються сайтами, розгорнутими на кластері зустрічей FedRAMP. У цьому документі ці діапазони називаються «діапазонами IP-адрес Webex»:
- 150.253.150.0/23 (150.253.150.0 – 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 – 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 до 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 – 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 – 170.72.254.255)
- 170.133.156.0/22 (від 170.133.156.0 до 170.133.159.255)
- 207.182.160.0/21 (від 207.182.160.0 до 207.182.167.255)
- 207.182.168.0/23 (від 207.182.168.0 до 207.182.169.255)
- 207.182.176.0/22 (від 207.182.176.0 до 207.182.179.255)
- 207.182.190.0/23 (від 207.182.190.0 до 207.182.191.255)
- 216.151.130.0/24 (від 216.151.130.0 до 216.151.130.255)
- 216.151.134.0/24 (від 216.151.134.0 до 216.151.134.255)
- 216.151.135.0/25 (від 216.151.135.0 до 216.151.135.127)
- 216.151.135.240/28 (від 216.151.135.240 до 216.151.135.255)
- 216.151.138.0/24 (від 216.151.138.0 до 216.151.138.255)
- 216.151.139.0/25 (від 216.151.139.0 до 216.151.139.127)
- 216.151.139.240/28 (від 216.151.139.241 до 216.151.139.254)
Розгорнуті служби
Сервіси, розгорнуті в цьому діапазоні IP-адрес, включають, але не обмежуються, наступним:
- Вебсайт зустрічі (наприклад, customersite.webex.com)
- Сервери даних нарад
- Мультимедійні сервери для комп 'ютерного аудіо (VoIP) та відео з веб-камери
- XML/API послуги, включаючи планування за допомогою інструментів продуктивності
- Мережеві сервери запису (NBR)
- Вторинні послуги, коли первинні послуги знаходяться в обслуговуванні або відчувають технічні труднощі
Наступні URI використовуються для перевірки "Список відкликання сертифікатів" для наших сертифікатів безпеки. Списки відкликання сертифікатів, щоб гарантувати, що жодні скомпрометовані сертифікати не можуть бути використані для перехоплення безпечного трафіку Webex. Цей трафік відбувається на TCP-порту 80:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (Сертифікати IdenTrust)
Наступні UserAgents будуть передані Webex процесом utiltp у Webex і повинні бути пропущені через брандмауер агентства:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping як частина дозволених URL-адрес. Він використовується як частина процесу активації пристрою, і «пристрій використовує його, перш ніж дізнається, що це пристрій FedRAMP». Пристрій надсилає код активації без інформації FedRAMP, сервіс бачить, що це код активації FedRAMP, а потім перенаправляє їх.
Весь трафік FedRAMP вимагає шифрування TLS 1.2 та шифрування mTLS 1.2 для локальних пристроїв, зареєстрованих за протоколом SIP.
Порти, що використовуються клієнтами Webex Meetings (включно з пристроями, зареєстрованими в хмарі)
| Протокол | Номер(и) порту | Напрямок | Тип трафіку | Діапазон IP | Коментарі |
|---|---|---|---|---|---|
| TCP | 80/443 | Вихід до Webex | HTTP, HTTPS | Webex і AWS (не рекомендується фільтрувати за IP-адресою) |
Webex рекомендує фільтрувати за URL-адресою. ЯКЩО використовується фільтрація за IP-адресою, необхідно дозволити діапазони IP-адрес AWS GovCloud, Cloudfront та Webex. |
| TCP або UDP | 53 | Вихід до локального DNS | Служби доменних імен (DNS) | Тільки DNS-сервер | Використовується для пошуку DNS із метою виявлення IP-адрес серверів Webex у хмарі. Незважаючи на те що звичайний пошук DNS виконується за протоколом UDP, інколи потрібно використовувати TCP, якщо відповіді на запити неможливо передати в пакетах UDP. |
| UDP | 9000, 5004 | Вихідні підключення у Webex | Основні мультимедіа у клієнті Webex (VoIP й передавання відео за протоколом RTP) | Webex | Медіапорт клієнта Webex використовується для обміну комп 'ютерними аудіо, відео з веб-камери та потоками обміну вмістом. Відкриття цього порту необхідне для забезпечення найкращого можливого досвіду роботи з медіа. |
| TCP | 5004, 443, 80 | Вихідні підключення у Webex | Альтернативні мультимедіа у клієнті Webex (VoIP й передавання голосу за протоколом RTP) | Webex | Резервні порти для з 'єднання з медіа, коли UDP-порт 9000 не відкритий у брандмауері |
| UDP/TCP |
Аудіо. від 52000 до 52049 Відео: від 52100 до 52199 | Вхідний до вашої мережі | Webex Client Media (VoIP та відео) | Повернення з AWS і Webex |
Webex установлює зв’язок із портом призначення, визначеним під час підключення клієнта. Необхідно дозволити ці зворотні підключення у брандмауері. Цей параметр увімкнено за замовчуванням. |
| TCP/UDP | Специфічні для ОС ефемерні порти | Вхідний до вашої мережі | Зворотний трафік з Webex | Повернення з AWS і Webex |
Webex установлює зв’язок із портом призначення, визначеним під час підключення клієнта. Необхідно дозволити ці зворотні підключення у брандмауері. Зазвичай це автоматично відкривається у брандмауері з відстеженням стану, проте тут це перераховано для повноти інформації. |
Клієнтам, які вмикають Webex для уряду, але не можуть дозволити фільтрацію на основі URL-адрес для HTTPS, потрібно буде дозволити підключення до AWS Gov Cloud West (регіон: us‐gov‐west‐1) та Cloud Front (послуга: CLOUDFRONT). Перегляньте документацію AWS, щоб визначити діапазони IP-адрес для області AWS Gov Cloud West Region та AWS Cloud Front. Документація AWS доступна за адресою https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex наполегливо рекомендує фільтрувати за URL-адресою, коли це можливо.
Cloudfront використовується для статичного вмісту, що доставляється через Мережу доставки вмісту, щоб забезпечити клієнтам найкращу продуктивність по всій країні.
Порти, що використовуються зареєстрованими в приміщенні пристроями Cisco для відеоспільної роботи
Див. також Посібник з розгортання Cisco Webex Meetings Enterprise для зустрічей із підтримкою відеопристроїв
| Протокол | Номери портів | Напрямок | Тип доступу | Діапазон IP | Коментарі |
|---|---|---|---|---|---|
| TCP | 5061—5070 | Вихід до Webex | Сигналізація SIP | Webex | Медіа-краєвид Webex прослуховується на цих портах |
| TCP | 5061, 5065 | Вхід до вашої мережі | Сигналізація SIP | Webex | Вхідний трафік сигналізації SIP з хмари Webex |
| TCP | 5061 | Вихідні підключення у Webex | Сигналізація SIP від зареєстрованих пристроїв Cloud | АРМ | Вхідні дзвінки з застосунку Webex 1:1 Дзвінки та переадресація зареєстрованих у хмарі пристроїв на ваш локально зареєстрований SIP URI. *5061 є портом за замовчуванням. Webex підтримує порти 5061—5070, які можуть використовувати клієнти, як визначено в їхньому записі SIP SRV. |
| TCP або UDP | 1719, 1720, 15000—19999 | Вихідні підключення у Webex | H.323 LS | Webex | Якщо вашій кінцевій точці потрібен зв'язок із гейткіпером, також відкрийте порт 1719, який включає Lifesize. |
| TCP або UDP | Ефемерні порти, 36000—59999 | Вхідні | Медіа-порти | Webex | Якщо ви використовуєте Cisco Expressway, діапазон носіїв потрібно встановити на 36000-59999. Якщо ви використовуєте кінцеву точку або систему керування викликами стороннього виробника, їх потрібно налаштувати для використання цього діапазону. |
| TCP | 443 | Вхідний | Близькість до локального пристрою | Локальна мережа | Програма Webex або програма Webex для настільних комп’ютерів повинна мати шлях між собою та відеопристроєм, що підтримує маршрутизацію IPv4, використовуючи HTTPS. |
Для клієнтів, які вмикають Webex для уряду, що отримують вхідні дзвінки від Webex App 1:1 Виклик і зареєстровані хмарні пристрої на ваш локальний зареєстрований SIP URI. Також необхідно дозволити з 'єднання з AWS Gov Cloud West (регіон: us‐gov‐west‐1). Будь ласка, перегляньте документацію AWS, щоб визначити діапазони IP-адрес для регіону AWS Gov Cloud West. Документація AWS доступна за адресою https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Порти, що використовуються Edge Audio
Це потрібно лише якщо ви використовуєте Edge Audio.
| Протокол | Номери портів | Напрямок | Тип доступу | Діапазон IP | Коментарі |
|---|---|---|---|---|---|
| TCP | 5061—5062 | Вхід до вашої мережі | Сигналізація SIP | Webex | Вхідна SIP-сигналізація для Edge Audio |
| TCP | 5061—5065 | Вихід до Webex | Сигналізація SIP | Webex | Вихідна SIP-сигналізація для Edge Audio |
| TCP або UDP | Ефемерні порти, 8000—59999 | Вхід до вашої мережі | Медіа-порти | Webex | На корпоративному брандмауері необхідно відкрити порти для вхідного трафіку на Expressway з діапазоном портів від 8000 до 59999. |
Налаштуйте mTLS, використовуючи такі параметри:
- Налаштування | взаємної автентифікації TLS Expressway.
- Підтримувані кореневі центри сертифікації аудіо- та відеоплатформ | Cisco Webex.
- Посібник з налаштування Edge Audio | .
Домени та URL-адреси для сервісів Webex Calling
А * відображається на початку URL-адреси (наприклад, *.webex.com) вказує на те, що сервіси у домені верхнього рівня та всіх піддоменах доступні.
| Domain/URL | Опис | Програми та пристрої Webex, що їх використовують domains/URLs |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
Основні виклики Webex & Сервіси Webex Aware Надання ідентифікаційних даних Зберігання ідентифікаційних даних Автентифікація Сервіси OAuth Реєстрація пристрою Коли телефон підключається до мережі вперше або після скидання до заводських налаштувань без налаштувань DHCP, він зв’язується із сервером активації пристрою для автоматичного налаштування. Нові телефони використовують activate.cisco.com, а телефони з прошивкою версії раніше 11.2(1) продовжують використовувати webapps.cisco.com для налаштування. Завантажте оновлення прошивки пристрою та локалізації з binaries.webex.com. | Усе |
| *.wbx2.com та *.ciscospark.com | Використовується для хмарної обізнаності, CSDM, WDM, Mercury тощо. Ці сервіси необхідні для того, щоб програми та пристрої могли зв’язуватися з Webex Calling. & Послуги Webex Aware під час та після адаптації. | Усе |
| *.webexapis.com |
Мікросервіси Webex, які керують вашими програмами та пристроями. Сервіс фотографій профілю Послуги з нанесення на білу дошку Послуга визначення близькості Послуга присутності Реєстраційна служба Служба календарів Пошуковий сервіс | Усе |
| *.webexcontent.com |
Служба обміну повідомленнями Webex, пов’язана зі загальним зберіганням файлів, зокрема: Файли користувача Перекодовані файли Зображення Знімки екрана Вміст білої дошки Клієнт & журнали пристроїв Фотографії профілю Брендування логотипів Файли журналу Масовий експорт CSV-файлів & імпорт файлів (Центр керування) | Служби обміну повідомленнями в застосунку Webex. Зберігання файлів за допомогою webexcontent.com замінено на clouddrive.com у жовтні 2019 року |
| Domain/URL | Опис | Програми та пристрої Webex, що їх використовують domains/URLs |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | Відстеження продуктивності, запис помилок і аварійних збоїв, показники сеансу. | Control Hub |
| *.huron-dev.com | Мікрослужби Webex Calling, такі як перемикання служб, замовлення номерів телефону й служби призначення. | Control Hub |
| *.sipflash.com | Сервіси керування пристроями. Оновлення прошивки та безпечна адаптація. | Програми Webex |
|
*.google.com *.googleapis.com |
Сповіщення для програм Webex на мобільних пристроях (наприклад: нове повідомлення, коли на дзвінок відповіли) Щодо IP-підмереж, перейдіть за цими посиланнями | Програма Webex |
IP-підмережі для служб Webex Calling
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
- 144.196.17.0/24
Порти, що використовуються Webex Calling
| Мета підключення | Адреси джерела | Порти джерела | Протокол | Адреси призначення | Порти призначення | Примітки |
|---|---|---|---|---|---|---|
| Передавання сигналів виклику до Webex Calling (TLS SIP) | Зовнішній (NIC) локального шлюзу | 8000—65535 | TCP | Див. розділ Підмережі IP для служб Webex Calling. | 5062, 8934 |
Ці IP-адреси/порти потрібні для вихідного сигналу виклику SIP-TLS від локальних шлюзів, пристроїв і додатків (джерело) до Webex Calling Cloud (пункт призначення). Порт 5062 (обов'язковий для транкінгу на основі сертифікатів). І порт 8934 (потрібний для транкової лінії на основі реєстрації) |
| Пристрої | 5060—5080 | 8934 | ||||
| Програми | Тимчасовий (залежить від ОС) | |||||
| Виклик медіафайлів до Webex Calling (SRTP) | Зовнішній NIC локального шлюзу | 8000—48198†* | UDP | Див. розділ Підмережі IP для служб Webex Calling. |
8500—8700, 19560—65535 (SRTP через UDP) |
Оптимізація медіа на основі STUN та ICE-Lite не підтримується для Webex for Government. Ці IPs/ports використовуються для вихідних медіа-викликів SRTP від локальних шлюзів, пристроїв і програм (джерело) до Webex Calling Cloud (призначення). Для певних мережевих топологій, де в приміщенні клієнта використовуються брандмауери, дозвольте доступ для зазначених діапазонів портів джерела та призначення всередині вашої мережі для передачі медіаданих. Приклад: Для застосунків дозвольте діапазон портів джерела та призначення 8500—8700. |
| Пристрої | 19560—19660 | |||||
| Програми | 8500—8700 | |||||
| Передавання сигналів виклику до шлюзу PSTN (TLS SIP) | Внутрішній NIC локального шлюзу | 8000—65535 | TCP | Ваш шлюз PSTN ITSP або Unified CM | Залежить від параметра PSTN (наприклад, зазвичай для Unified CM використовується 5060 або 5061) | |
| Передавання мультимедіа викликів до шлюзу PSTN (SRTP) | Внутрішній NIC локального шлюзу | 8000—48198†* | UDP | Ваш шлюз PSTN ITSP або Unified CM | Залежить від опції PSTN (наприклад, зазвичай 5060 або 5061 для Unified CM) | |
| Конфігурація пристрою і керування мікропрограмним забезпеченням (пристрої Cisco) | Пристрої Webex Calling | Короткотерміновий | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
Необхідно з наступних причин:
|
| Конфігурація програми | Програми Webex Calling | Короткотерміновий | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Використовується для автентифікації Idbroker, послуг конфігурації програм для клієнтів, веб-доступу на основі браузера для самообслуговування ТА доступу до адміністративних інтерфейсів. |
| Синхронізація часу пристрою (NTP) | Пристрої Webex Calling | 51494 | UDP | Див. розділ Підмережі IP для служб Webex Calling. | 123 | Ці IP-адреси необхідні для синхронізації часу на пристроях (телефони MPP, ATA й SPA ATA) |
| Розпізнавання імен пристроїв та розпізнавання імен програм | Пристрої Webex Calling | Короткотерміновий | UDP й TCP | Визначив хост | 53 | Використовується для пошуку DNS для виявлення IP-адрес сервісів Webex Calling у хмарі. Хоча типові DNS-запити виконуються через UDP, деякі можуть вимагати TCP, якщо відповіді на запити не можуть поміститися в UDP-пакети. |
| Синхронізація часу програми | Програми Webex Calling | 123 | UPD | Визначив хост | 123 | |
| CScan | Веб-інструмент попередньої кваліфікації готовності до мережі для Webex Calling | Короткотерміновий | UPD | Див. розділ Підмережі IP для служб Webex Calling. | 19569—19760 | Веб-інструмент попередньої кваліфікації готовності мережі для Webex Calling. Додаткову інформацію див. на сторінці cscan.webex.com. |
| Мета підключення | Адреси джерела | Порти джерела | Протокол | Адреси призначення | Порти призначення | Примітки |
|---|---|---|---|---|---|---|
| Push-сповіщення сервісів APNS та FCM | Програми Webex Calling | Короткотерміновий | TCP |
Зверніться до IP-підмереж, згаданих за посиланнями | 443, 2197, 5228, 5229, 5230, 5223 | Сповіщення для програм Webex на мобільних пристроях (наприклад: Коли ви отримуєте нове повідомлення або коли на вас відповідають) |
- †*Діапазон медіапортів CUBE можна налаштувати за допомогою rtp-port range.
- Якщо для ваших програм і пристроїв налаштовано адресу проксі-сервера, сигнальний трафік надсилається на проксі-сервер. Медіафайли, що передаються за допомогою SRTP через UDP, не надсилаються на проксі-сервер. Він має надходити безпосередньо до вашого брандмауера.
- Якщо ви використовуєте служби NTP та DNS у вашій корпоративній мережі, відкрийте порти 53 та 123 через брандмауер.
