感谢您的反馈。
Webex for Government (FedRAMP) 的网络要求
反馈?
会议端口和 IP 地址范围快速参考
以下 IP 地址范围被部署在 FedRAMP 会议集群上的站点使用。在本文档中,这些范围被称为“Webex IP范围”:
- 150.253.150.0/23 (150.253.150.0 至 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 至 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 至 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 至 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 至 170.72.254.255)
- 170.133.156.0/22(170.133.156.0 至 170.133.159.255)
- 207.182.160.0/21(207.182.160.0 至 207.182.167.255)
- 207.182.168.0/23(207.182.168.0 至 207.182.169.255)
- 207.182.176.0/22(207.182.176.0 至 207.182.179.255)
- 207.182.190.0/23(207.182.190.0 至 207.182.191.255)
- 216.151.130.0/24(216.151.130.0 至 216.151.130.255)
- 216.151.134.0/24(216.151.134.0 至 216.151.134.255)
- 216.151.135.0/25(216.151.135.0 至 216.151.135.127)
- 216.151.135.240/28(216.151.135.240 至 216.151.135.255)
- 216.151.138.0/24(216.151.138.0 至 216.151.138.255)
- 216.151.139.0/25(216.151.139.0 至 216.151.139.127)
- 216.151.139.240/28(216.151.139.241 至 216.151.139.254)
- 2607:fcf0:1100:1000::/52
- 2607:fcf0:2100:1000::/52
- 2607:fcf0:500:a000::/52
- 2607:fcf0:1500:a000::/52
- 2607:fcf0:2500:a000::/52
- 2607:fcf0:a00:3000::/52
- 2607:fcf0:1a00:3000::/52
- 2607:fcf0:2a00:3000::/52
-
2607:fcf0:20a7::/48
已部署服务
在此 IP 地址段上部署的服务包括但不限于以下服务:
- 会议网站(例如,customersite.webex.com 或 customersite.webexgov.us)
请参阅 Webex for Government (FedRAMP) 新域名空间常见问题解答 以获取更多信息。
- 会议数据服务器
- 用于计算机音频(网络语音)和网络摄像头视频的多媒体服务器
- XML/API 服务,包括生产力工具调度
- 网络录制文件 (NBR) 服务器
- 主服务正在维护或遇到技术难题时使用的辅助服务
以下 URI 可以用于检查安全证书是否在“证书吊销列表”中。证书吊销列表可以确保不会使用已泄露证书来拦截安全 Webex 流量。此流量发生在 TCP 端口 80 上:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com(IdenTrust 证书)
以下 UserAgent 将通过 Webex 中的 utiltp 进程传递给 Webex,并且应该允许其通过机构的防火墙:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping 作为允许的 URL 的一部分。它用作设备激活过程的一部分,“设备在知道它是 FedRAMP 设备之前会使用它。该设备向其发送了一个不包含 FedRAMP 信息的激活码,服务检测到这是一个 FedRAMP 激活码,然后将其重定向。
所有 FedRAMP 流量都需要 TLS1.2 或 TLS 1.3 加密,并且对于本地 SIP 注册设备需要 mTLS 加密。
Webex Meetings 客户端(包括云注册设备)使用的端口
| 协议 | 端口号码 | 方向 | 交通类型 | IP 范围 | 条评论 |
|---|---|---|---|---|---|
| TCP | 80/443 | 出站至 Webex | HTTP、HTTPS | Webex 和 AWS(不建议按 IP 过滤) |
Webex建议按URL进行筛选。如果按 IP 地址进行筛选,则必须允许 AWS GovCloud、Cloudfront 和 Webex 的 IP 地址范围。 |
| TCP/UDP | 53 | 出站至本地 DNS | 域名服务 (DNS) | 仅 DNS 服务器 | 用于 DNS 查找以发现云环境中 Webex 服务器的 IP 地址。虽然传统 DNS 查找是通过 UDP 完成的,但如果 UDP 数据包中不能容纳查询响应,有些查找可能需使用 TCP。 |
| UDP | 9000, 5004 | 出站至 Webex | 主 Webex 客户端媒体(网络语音和视频 RTP) | Webex | Webex 客户端媒体端口用于交换计算机音频、网络摄像头视频和内容共享流。开启此端口是确保最佳媒体体验的必要条件。 |
| TCP | 5004, 443, 80 | 出站至 Webex | 备用的 Webex 客户端媒体(网络语音和视频 RTP) | Webex | 防火墙中未开启 UDP 端口 9000 时,作为媒体连接的备用端口使用 |
| UDP/TCP |
音频:52000 - 52049 视频:52100 - 52199 | 入站到您的网络 | Webex客户端媒体(VoIP和视频) | 从 AWS 和 Webex 返回 |
当客户端建立连接时,Webex 将与收到的目标端口通信。防火墙应配置为允许这些返回连接通过。 缺省情况下已启用。 |
| TCP/UDP | 操作系统特定临时端口 | 入站到您的网络 | 来自 Webex 的返回流量 | 从 AWS 和 Webex 返回 |
当客户端建立连接时,Webex 将与收到的目标端口通信。防火墙应配置为允许这些返回连接通过。 在有状态防火墙中,此功能通常会自动打开,但为了完整性,此处仍列出。 |
对于启用 Webex for Government 但无法允许基于 URL 的 HTTPS 过滤的客户,您需要允许与 AWS Gov Cloud West(区域:)建立连接。us-gov-west-1)和 Cloud Front(服务:CLOUDFRONT)。请查阅 AWS 文档,确定 AWS Gov Cloud(美国西部)和 AWS Cloud Front 的 IP 范围。AWS 文档可在 https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html获取。Webex强烈建议尽可能按URL进行筛选。
Cloudfront 用于通过内容分发网络提供的静态内容,为全美各地客户提供最佳性能。
本地注册的思科视频协作设备使用的端口
另请参阅 《思科 Webex Meetings 企业部署指南:支持视频设备的会议》
| 协议 | 端口号 | 方向 | 访问类型 | IP 范围 | 条评论 |
|---|---|---|---|---|---|
| TCP | 5061—5070 | 出站至 Webex | SIP 信令 | Webex | Webex 媒体端在这些端口上侦听 |
| TCP | 5061, 5065 | 入站至您的网络 | SIP 信令 | Webex | 来自 Webex 云的入站 SIP 信令流量 |
| TCP | 5061 | 出站至 Webex | 来自云注册设备的 SIP 信令 | AWS | 来自 Webex 应用的来电 1:1 将已在云端注册的设备呼叫到您本地注册的 SIP URI。 *5061 是默认端口。Webex 支持 5061 至 5070 端口,供客户在其 SIP SRV 记录中定义使用。 |
| TCP/UDP | 1719, 1720, 15000—19999 | 出站至 Webex | H.323 LS | Webex | 如果您的终端需要与网守通信,也请打开端口 1719,该端口包含 Lifesize。 |
| TCP/UDP | 短暂港口,36000—59999 | 入站 | 媒体端口 | Webex | 如果您使用 Cisco Expressway,则媒体范围需要设为 36000-59999。如果您使用的是第三方端点或呼叫控制,则需要将其配置为使用此范围。 |
| TCP | 443 | 入站 | 本地部署设备近接 | 本地网络 | Webex 应用或 Webex 桌面应用必须使用 HTTPS 与视频设备之间建立 IPv4 可路由路径。 |
对于启用政府版 Webex 的客户,要接收从 Webex 应用程序一对一呼叫和云注册设备到本地部署注册 SIP URI 的入站呼叫。您还必须允许连接 AWS Gov Cloud(美国西部)(地区:us-gov-west-1)。请查阅 AWS 文档,以确定 AWS Gov Cloud West 区域的 IP 地址范围。AWS 文档可从以下位置获取: https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Edge Audio 使用的端口
只有在使用 Edge Audio 时才需要这样做。
| 协议 | 端口号 | 方向 | 访问类型 | IP 范围 | 条评论 |
|---|---|---|---|---|---|
| TCP | 5061—5062 | 入站至您的网络 | SIP 信令 | Webex | Edge Audio 的入站 SIP 信令 |
| TCP | 5061—5065 | 出站至 Webex | SIP 信令 | Webex | Edge Audio 的出站 SIP 信令 |
| TCP/UDP | 短暂港口,8000—59999 | 入站至您的网络 | 媒体端口 | Webex | 在企业防火墙上,需要为 Expressway 的入站流量开放端口,端口范围为 8000 至 59999。 |
请使用以下选项配置 mTLS:
Webex Calling 服务的域名和 URL
一个 * 显示在网址的开头(例如, *.webex.com) 表示顶级域及其所有子域中的服务均可访问。
| Domain/URL | 描述 | 使用这些 Webex 应用和设备的 domains/URLs |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
Webex 通话核心 & Webex Aware 服务 身份配置 身份存储 身份验证 OAuth 服务 设备加入 当手机首次连接到网络或在恢复出厂设置且未设置 DHCP 选项后连接到网络时,它会联系设备激活服务器进行零接触配置。新电话使用 activate.cisco.com,而固件版本早于 11.2(1) 的电话继续使用 webapps.cisco.com 进行配置。 从 binaries.webex.com下载设备固件和区域设置更新。 | 所有 |
| *.wbx2.com 和 *.ciscospark.com | 用于云感知、CSDM、WDM、Mercury 等。这些服务对于应用程序和设备连接到 Webex Calling 至关重要。 & Webex Aware 在入职期间和入职后提供的服务。 | 全部 |
| *.webexapis.com |
Webex 微服务,用于管理您的应用程序和设备。 个人资料图片服务 白板服务 近距离服务 存在服务 注册服务 日历服务 搜索服务 | 全部 |
| *.webexcontent.com |
Webex Messaging 服务与一般文件存储相关,包括: 用户文件 转码文件 图像 屏幕截图 白板内容 客户 & 设备日志 档案照片 品牌标识 日志文件 批量导出 CSV 文件 & 导入文件(控制中心) | Webex App 即时通讯服务。 2019年10月,使用webexcontent.com的文件存储服务被clouddrive.com取代。 |
| Domain/URL | 描述 | 使用这些 Webex 应用和设备的 domains/URLs |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | 性能跟踪、错误和崩溃捕获、会话指标。 | Control Hub |
| *.huron-dev.com | Webex Calling 微服务(如:切换服务、电话号码订购和分配服务)。 | Control Hub |
| *.sipflash.com | 设备管理服务。用于固件升级和安全注册。 | Webex 应用 |
|
*.google.com *.googleapis.com |
向移动设备上的 Webex 应用发送通知(例如:接通电话时会收到新消息) 有关 IP 子网,请参阅以下链接 | Webex 应用程序 |
Webex 通话服务的 IP 子网
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
- 144.196.17.0/24
Webex Calling 使用的端口
| 连接目的 | 源地址 | 源端口 | 协议 | 目的地地址 | 目的地端口 | 说明 |
|---|---|---|---|---|---|---|
| 到 Webex Calling 的呼叫信令 (SIP TLS) | 本地网关外部 (NIC) | 8000—65535 | TCP | 请参阅 Webex Calling 服务的 IP 子网。 | 5062, 8934 |
从本地网关、设备和应用程序(源)到云(目标)的出站 SIP-TLS 呼叫信号需要这些 IP/端口Webex Calling IP/端口。 端口 5062(基于证书的中继需要)。端口 8934(基于注册的中继线路需要此端口) |
| 设备 | 5060—5080 | 8934 | ||||
| 应用程序 | 临时(依赖于操作系统) | |||||
| 到 Webex Calling 的呼叫媒体 (SRTP) | 本地网关外部 NIC | 8000—48198†* | UDP | 请参阅 Webex Calling 服务的 IP 子网。 |
8500—8700,19560—65535(基于UDP的SRTP) |
Webex for Government 不支持基于 STUN 和 ICE-Lite 的媒体优化。 这些 IPs/ports 用于从本地网关、设备和应用程序(源)到 Webex Calling Cloud(目标)的出站 SRTP 呼叫媒体。 对于某些在客户场所内使用防火墙的网络拓扑结构,请允许所述源端口和目标端口范围在您的网络内访问,以便媒体能够通过。 例如:对于应用程序,允许源端口和目标端口范围为 8500—8700。 |
| 设备 | 19560—19660 | |||||
| 应用程序 | 8500—8700 | |||||
| 到 PSTN 网关的呼叫信令 (SIP TLS) | 本地网关内部 NIC | 8000—65535 | TCP | 您的 ITSP PSTN GW 或 Unified CM | 取决于 PSTN 选项(例如,对于 Unified CM,通常为 5060 或 5061) | |
| 到 PSTN 网关的呼叫媒体 (SRTP) | 本地网关内部 NIC | 8000—48198†* | UDP | 您的 ITSP PSTN GW 或 Unified CM | 取决于 PSTN 选项(例如,统一 CM 通常为 5060 或 5061)。 | |
| 设备配置和固件管理(Cisco 设备) | Webex Calling 设备 | 临时 | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
出于以下原因需要:
|
| 应用程序配置 | Webex Calling 应用程序 | 临时 | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | 用于 Idbroker 身份验证、客户端应用程序配置服务、基于浏览器的自助服务 Web 访问以及管理界面访问。 |
| 设备时间同步 (NTP) | Webex Calling 设备 | 51494 | UDP | 请参阅 Webex Calling 服务的 IP 子网。 | 123 | 需要这些 IP 地址才能实现设备(MPP 电话、ATA 和 SPA ATA)的时间同步 |
| 设备名称解析和应用程序名称解析 | Webex Calling 设备 | 临时 | UDP 和 TCP | 主机定义 | 53 | 用于 DNS 查询,以发现云端 Webex Calling 服务的 IP 地址。 尽管典型的 DNS 查询是通过 UDP 完成的,但如果查询响应无法放入 UDP 数据包中,则某些查询可能需要 TCP。 |
| 应用程序时间同步 | Webex Calling 应用程序 | 123 | UDP | 主机定义 | 123 |
| 连接目的 | 源地址 | 源端口 | 协议 | 目的地地址 | 目的地端口 | 说明 |
|---|---|---|---|---|---|---|
| 推送通知 APNS 和 FCM 服务 | Webex Calling 应用程序 | 临时 | TCP |
请参阅链接中提到的 IP 子网。 | 443, 2197, 5228, 5229, 5230, 5223 | 向移动设备上的 Webex 应用发送通知(例如:当您收到新消息或接听电话时) |
- †*CUBE 媒体端口范围可通过 rtp-port range进行配置。
- 如果为您的应用和设备配置了代理服务器地址,则信令流量将发送到代理服务器。通过 UDP 协议以 SRTP 方式传输的媒体不会发送到代理服务器。它必须直接发送到你的防火墙。
- 如果您在企业网络中使用 NTP 和 DNS 服务,则需要在防火墙中打开端口 53 和 123。
| 修订日期 | 我们对文章做了以下修改。 |
|---|---|
| 7/7/2025 | Webex 会议: 截至 2025 年 8 月,Webex for Government 将把新的域名空间 webexgov.us 整合到会议、消息传递以及通话服务中。请参阅 Webex for Government (FedRAMP) 新域名空间常见问题解答 以了解更多详情。 |
| 6/13/2025 | Webex 会议: 所有 FedRAMP 流量都需要 TLS1.2 或 TLS 1.3 加密,并且对于本地 SIP 注册设备需要 mTLS 加密。 |
| 4/8/2025 | Webex 通话: Webex Calling 服务部分的 IP 子网中添加了新的子网 -144.196.17.0/24 |
