政府网络要求指南,包括Webex Meetings和Webex 的IP范围和端口配置。
会议端口和IP范围快速参考
部署在FedRAMP会议集群上的站点使用以下IP范围。 对于本文档,这些范围称为“Webex IP范围”:
- 150.253.150.0/23 (150.253.150.0至150.253.151.255)
- 144.196.224.0/21 (144.196.224.0至144.196.231.255)
- 23.89.18.0/23 (23.89.18.0至23.89.19.255)
- 163.129.16.0/21 (163.129.16.0至163.129.23.255)
- 170.72.254.0/24 (170.72.254.0至170.72.254.255)
- 170.133.156.0/22(170.133.156.0 至 170.133.159.255)
- 207.182.160.0/21(207.182.160.0 至 207.182.167.255)
- 207.182.168.0/23(207.182.168.0 至 207.182.169.255)
- 207.182.176.0/22(207.182.176.0 至 207.182.179.255)
- 207.182.190.0/23(207.182.190.0 至 207.182.191.255)
- 216.151.130.0/24(216.151.130.0 至 216.151.130.255)
- 216.151.134.0/24(216.151.134.0 至 216.151.134.255)
- 216.151.135.0/25(216.151.135.0 至 216.151.135.127)
- 216.151.135.240/28(216.151.135.240 至 216.151.135.255)
- 216.151.138.0/24(216.151.138.0 至 216.151.138.255)
- 216.151.139.0/25(216.151.139.0 至 216.151.139.127)
- 216.151.139.240/28(216.151.139.241 至 216.151.139.254)
已部署的服务
在此IP范围内部署的服务包括但不限于以下各项:
- 会议网站(例如customersite.webex.com)
- 会议数据服务器
- 用于计算机音频(网络语音)和网络摄像头视频的多媒体服务器
- XML/API服务,包括快捷会议工具安排
- 网络录制文件 (NBR) 服务器
- 主服务正在维护或遇到技术难题时使用的辅助服务
以下 URI 可以用于检查安全证书是否在“证书吊销列表”中。 证书吊销列表可以确保不会使用已泄露证书来拦截安全 Webex 流量。 此流量发生在 TCP 端口 80 上:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com(IdenTrust 证书)
 | 以下UserAgent将通过Webex中的utiltp进程由Webex传递,并应允许通过代理的防火墙:
|
https://activation.webex.com/api/v1/ping 作为允许的 URL 的一部分。 它被用作设备激活过程的一部分,“设备在知道它是FedRAMP设备之前就开始使用它。 设备向其发送一个没有FedRAMP信息的激活代码,服务会发现它是FedRAMP激活代码,然后重定向这些代码。”
所有FedRAMP流量都需要对本地SIP注册设备进行TLS 1.2加密和mTLS 1.2加密。
Webex Meetings客户端(包括云注册设备)使用的端口
| 协议 | 端口号码 | 指导 | 流量类型 | IP 范围 | 条评论 | ||
|---|---|---|---|---|---|---|---|
| TCP | 80/443 | 出站至 Webex | HTTP、HTTPS | Webex 和 AWS(不建议按 IP 过滤) |
Webex建议按URL过滤。 如果按IP地址过滤,您必须允许AWS GovCloud、Cloudfront和Webex IP范围。 | ||
| TCP/UDP | 53 | 出站至本地 DNS | 域名服务 (DNS) | 仅 DNS 服务器 | 用于 DNS 查找以发现云环境中 Webex 服务器的 IP 地址。 虽然传统 DNS 查找是通过 UDP 完成的,但如果 UDP 数据包中不能容纳查询响应,有些查找可能需使用 TCP。 | ||
| UCP | 9000、5004 | 出站至 Webex | 主 Webex 客户端媒体(网络语音和视频 RTP) | Webex | Webex 客户端媒体端口用于交换计算机音频、网络摄像头视频和内容共享流。 打开此端口是必要的,以确保最佳的媒体体验。 | ||
| TCP | 5004, 443, 80 | 出站至 Webex | 备用的 Webex 客户端媒体(网络语音和视频 RTP) | Webex | 防火墙中未开启 UDP 端口 9000 时,作为媒体连接的备用端口使用 | ||
| UDP/TCP | 音频: 52000 - 52049 视频: 52100 - 52199 | 入站至您的网络 | Webex客户端媒体(网络语音和视频) | 从 AWS 和 Webex 返回 | 当客户端建立连接时,Webex 将与收到的目标端口通信。 防火墙应配置为允许这些返回连接通过。
| ||
| TCP/UDP | 操作系统特定临时端口 | 入站至您的网络 | 来自 Webex 的返回流量 | 从 AWS 和 Webex 返回 | 当客户端建立连接时,Webex 将与收到的目标端口通信。 防火墙应配置为允许这些返回连接通过。
|
对于启用Webex for 但不允许对HTTPS进行基于URL的过滤的客户,您将需要允许与AWS Gov Cloud West(地区: us-gov-west-1)和 Cloud Front(服务: CLOUDFRONT)。 请查阅 AWS 文档,确定 AWS Gov Cloud(美国西部)和 AWS Cloud Front 的 IP 范围。 AWS文档可在 https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html 获取。 Webex强烈建议尽可能按URL进行过滤。
Cloudfront 用于通过内容分发网络提供的静态内容,为全美各地客户提供最佳性能。
本地注册的Cisco视频协作设备使用的端口
另请参阅针对启用视频设备的会议的 isco Webex Meetings企业部署指南
| 协议 | 端口号码 | 指导 | 访问类型 | IP 范围 | 条评论 |
|---|---|---|---|---|---|
| TCP | 5061—5070 | 出站至 Webex | SIP 信令 | Webex | Webex 媒体端在这些端口上侦听 |
| TCP | 5061、5065 | 入站至您的网络 | SIP 信令 | Webex | 来自 Webex 云的入站 SIP 信令流量 |
| TCP | 5061 | 出站至 Webex | 来自云注册设备的 SIP 信令 | AWS | 从 Webex 应用程序一对一呼叫和云注册设备到本地注册 SIP URI 的入站呼叫。 *5061 是缺省端口。 Webex支持客户按照其SIP SRV记录中的定义使用5061-5070端口 |
| TCP/UDP | 1719、1720、15000 - 19999 | 出站至 Webex | H.323 LS | Webex | 如果您的终端需要网守通信,也可以打开端口1719,其中包括Lifesize |
| TCP/UDP | 临时端口,36000 - 59999 | 入站 | 媒体端口 | Webex | 如果您使用 Cisco Expressway,则媒体范围需要设为 36000-59999。 如果您使用第三方终端或呼叫控制,则需要将其配置为使用此媒体范围。 |
| TCP | 443 | 入站 | 本地部署设备近接 | 本地网络 | Webex应用程序或Webex桌面应用程序必须在自身与使用HTTPS的视频设备之间具有可路由的IPv4路径 |
对于启用政府版 Webex 的客户,要接收从 Webex 应用程序一对一呼叫和云注册设备到本地部署注册 SIP URI 的入站呼叫。 您还必须允许连接 AWS Gov Cloud(美国西部)(地区: us-gov-west-1)。 请查看AWS文档以确定AWS Gov Cloud West区域的IP范围。 AWS 文档可从以下位置获取: https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Edge音频使用的端口
仅当您使用Edge音频时才需要此操作。
| 协议 | 端口号码 | 指导 | 访问类型 | IP 范围 | 条评论 |
|---|---|---|---|---|---|
| TCP | 5061—5062 | 入站至您的网络 | SIP 信令 | Webex | 用于Edge音频的入站SIP信令 |
| TCP | 5061—5065 | 出站至 Webex | SIP 信令 | Webex | 用于Edge音频的出站SIP信令 |
| TCP/UDP | 临时端口,8000 - 59999 | 入站至您的网络 | 媒体端口 | Webex | 在企业防火墙上,需要打开端口以接收到Expressway的流量,端口范围为8000 - 59999。 |
使用以下选项配置mTLS:
- 配置Expressway | <UNK> LS验证。
- 支持的根证书颁发机构| isco Webex音频和视频平台。
- Edge音频| 指南。
Webex 服务的域和URL
URL(例如,*.webex.com)开头的 * 表示可访问顶级域和所有子域中的服务。
| 域/URL | 描述 | 使用这些域/URL的Webex应用程序和设备 | ||
|---|---|---|---|---|
*.webex.com *.cisco.com *。webexgov.us | 核心Webex Calling和 Webex Aware 服务 身份预配置 身份存储 身份验证 OAuth 服务 设备载入 当电话首次连接到网络时或在未设置 DHCP 选项的情况下恢复恢复出厂设置设置后,它将联系设备激活服务器以进行零接触设置。 新电话使用 activate.cisco.com 以及固件版本低于 11.2(1) 的电话,继续使用 webapps.cisco.com 进行设置。 下载设备固件和区域设置更新: binaries.webex.com 。 | 所有 | ||
| *.wbx2.com 和 *.ciscospark.com | 用于云认知、CSDM、WDM、mercury 等。 这些服务是应用程序和设备在载入期间和之后访问Webex Calling和 Webex 认知服务所必需的。 | 所有 | ||
| *.webexapis.com | 管理应用程序和设备的Webex微服务。 档案照片服务 白板服务 近接服务 在线状态服务 注册服务 日历服务 搜索服务 | 所有 | ||
| *.webexcontent.com | 与常规文件存储相关的 Webex Messaging 服务,包括: 用户文件 已转码的文件 图像 屏幕截图 白板内容 客户端和设备日志 档案照片 品牌徽标 日志文件 批量 CSV 导出和导入文件 (Control Hub) | Webex应用程序消息传递服务。
|
| 域/URL | 描述 | 使用这些域/URL的Webex应用程序和设备 |
|---|---|---|
*.appdynamics.com *.eum-appdynamics.com | 性能跟踪、错误和崩溃捕获、会话指标。 | Control Hub |
| *.huron-dev.com | Webex Calling 微服务(如:切换服务、电话号码订购和分配服务)。 | Control Hub |
| *.sipflash.com | 设备管理服务。 固件升级和安全载入目的。 | Webex应用程序 |
*.google.com *.googleapis.com | 向移动设备上的 Webex 应用程序发送通知(示例: 新消息,当应答呼叫时) 对于 IP 子网,请参阅以下链接 | Webex 应用程序 |
Webex 服务的IP子网
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
Webex 使用的端口
| 连接目的 | 源地址 | 源端口 | 协议 | 目的地地址 | 目的地端口 | 笔记 |
|---|---|---|---|---|---|---|
| 到 Webex Calling 的呼叫信令 (SIP TLS) | 本地网关外部 (NIC) | 8000 - 65535 | TCP | 请参阅 Webex Calling 服务的 IP 子网。 | 5062, 8934 | 从本地网关、设备和应用程序(源)到云(目标)的出站 SIP-TLS 呼叫信号需要这些 IP/端口Webex Calling IP/端口。 端口 5062(基于证书的干线必需)。 和端口 8934(基于注册的干线必需 |
| 设备 | 5060 - 5080 | 8934 | ||||
| 应用程序 | 临时(依赖于操作系统) | |||||
| Webex 的呼叫媒体(STUN、SRTP | 本地网关外部 NIC | 8000 — 48198†* | UDP | 请参阅 Webex Calling 服务的 IP 子网。 | 5004、9000(STUN 端口) 8500—8700,19560—65535(基于UDP的SRTP) | 这些 IP/端口用于从本地网关、设备和应用程序(源)到Webex Calling Cloud(目标)的出站 SRTP 呼叫媒体。 对于STUN、ICE协商成功的组织内的呼叫,云中的媒体中继将被删除作为通信路径。 在这种情况下,媒体流直接在用户的应用程序/设备之间。 例如: 如媒体优化成功,应用程序在8500-9700端口范围内彼此直接发送媒体,设备在19560-19660端口内彼此直接发送媒体。 对于在客户内部使用防火墙的特定网络拓扑,允许访问网络内的上述源端口和目标端口范围,以便媒体流经。 例如: 对于应用程序,源端口和目标端口的范围应为8500-8700。 |
| 设备 | 19560年-19660 | |||||
| 应用程序 | 8500 - 8700 | |||||
| 到 PSTN 网关的呼叫信令 (SIP TLS) | 本地网关内部 NIC | 8000 - 65535 | TCP | 您的 ITSP PSTN GW 或 Unified CM | 取决于 PSTN 选项(例如,对于 Unified CM,通常为 5060 或 5061) | |
| 到 PSTN 网关的呼叫媒体 (SRTP) | 本地网关内部 NIC | 8000 — 48198†* | UDP | 您的 ITSP PSTN GW 或 Unified CM | 取决于PSTN选项(例如,通常用于Unified CM的5060或5061) | |
| 设备配置和固件管理(Cisco 设备) | Webex Calling 设备 | 临时 | TCP | 3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443、6970 | 必需,原因如下:
|
| 应用程序配置 | Webex Calling 应用程序 | 临时 | TCP | 62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | 用于 Idbroker 验证、客户端的应用程序配置服务、用于自助服务的基于浏览器的Web 访问以及管理界面访问。 |
| 设备时间同步 (NTP) | Webex Calling 设备 | 51494 | UDP | 请参阅 Webex Calling 服务的 IP 子网。 | 123 | 需要这些 IP 地址才能实现设备(MPP 电话、ATA 和 SPA ATA)的时间同步 |
| 设备名称解析和应用程序名称解析 | Webex Calling 设备 | 临时 | UDP 和 TCP | 主机定义 | 53 | 用于 DNS 查询,以发现云中Webex Calling服务的 IP 地址。 尽管典型的 DNS 查找是通过 UDP 完成的,但如果查询响应不能放入 UDP 数据包中,某些 DNS 查找可能需要 TCP。 |
| 应用程序时间同步 | Webex Calling 应用程序 | 123 | UPD | 主机定义 | 123 | |
| CScan | 基于 Web 的网络就绪情况资格预审工具Webex Calling | 临时 | UPD | 请参阅 Webex Calling 服务的 IP 子网。 | 19569-19760年 | 用于Webex Calling的基于 Web 的网络准备就绪资格预审工具。 有关更多信息,请参阅 cscan.webex.com。 |
| 连接目的 | 源地址 | 源端口 | 协议 | 目的地地址 | 目的地端口 | 笔记 |
|---|---|---|---|---|---|---|
| 推送通知 APNS 和 FCM 服务 | Webex Calling 应用程序 | 临时 | TCP | 请参阅链接下提到的 IP 子网 | 443、2197、5228、5229、5230、5223 | 向移动设备上的 Webex 应用程序发送通知(示例: 当您收到新留言或当呼叫被应答时) |
|
|
