感谢您的反馈。
Webex 政府版 (FedRAMP) 的网络要求
反馈?
会议端口和 IP 范围快速参考
FedRAMP 会议集群上部署的站点使用以下 IP 范围。对于本文档,这些范围被称为“Webex IP 范围”:
- 150.253.150.0/23 (150.253.150.0 至 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 至 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 至 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 至 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 至 170.72.254.255)
- 170.133.156.0/22(170.133.156.0 至 170.133.159.255)
- 207.182.160.0/21(207.182.160.0 至 207.182.167.255)
- 207.182.168.0/23(207.182.168.0 至 207.182.169.255)
- 207.182.176.0/22(207.182.176.0 至 207.182.179.255)
- 207.182.190.0/23(207.182.190.0 至 207.182.191.255)
- 216.151.130.0/24(216.151.130.0 至 216.151.130.255)
- 216.151.134.0/24(216.151.134.0 至 216.151.134.255)
- 216.151.135.0/25(216.151.135.0 至 216.151.135.127)
- 216.151.135.240/28(216.151.135.240 至 216.151.135.255)
- 216.151.138.0/24(216.151.138.0 至 216.151.138.255)
- 216.151.139.0/25(216.151.139.0 至 216.151.139.127)
- 216.151.139.240/28(216.151.139.241 至 216.151.139.254)
已部署的服务
在此 IP 范围内部署的服务包括但不限于以下内容:
- 会议网站(例如,customersite.webex.com)
- 会议数据服务器
- 用于计算机音频(网络语音)和网络摄像头视频的多媒体服务器
- XML/API 服务,包括生产力工具调度
- 网络录制文件 (NBR) 服务器
- 主服务正在维护或遇到技术难题时使用的辅助服务
以下 URI 可以用于检查安全证书是否在“证书吊销列表”中。证书吊销列表可以确保不会使用已泄露证书来拦截安全 Webex 流量。此流量发生在 TCP 端口 80 上:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com(IdenTrust 证书)
以下 UserAgent 将由 Webex 中的 utiltp 进程传递,并应允许通过机构的防火墙:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping 作为允许的 URL 的一部分。它被用作设备激活过程的一部分,并且“设备在知道它是 FedRAMP 设备之前就使用它。设备向其发送一个不带 FedRAMP 信息的激活码,服务发现这是一个 FedRAMP 激活码,然后将其重定向。”
所有 FedRAMP 流量都需要 TLS1.2 或 TLS 1.3 加密以及针对本地 SIP 注册设备的 mTLS 加密。
Webex Meetings 客户端(包括云注册设备)使用的端口
| 协议 | 端口号码 | 方向 | 流量类型 | IP 范围 | 条评论 |
|---|---|---|---|---|---|
| TCP | 80/443 | 出站至 Webex | HTTP、HTTPS | Webex 和 AWS(不建议按 IP 过滤) |
Webex 建议按 URL 进行过滤。如果按 IP 地址过滤,则必须允许 AWS GovCloud、Cloudfront 和 Webex IP 范围。 |
| TCP/UDP | 53 | 出站至本地 DNS | 域名服务 (DNS) | 仅 DNS 服务器 | 用于 DNS 查找以发现云环境中 Webex 服务器的 IP 地址。虽然传统 DNS 查找是通过 UDP 完成的,但如果 UDP 数据包中不能容纳查询响应,有些查找可能需使用 TCP。 |
| UDP | 9000, 5004 | 出站至 Webex | 主 Webex 客户端媒体(网络语音和视频 RTP) | Webex | Webex 客户端媒体端口用于交换计算机音频、网络摄像头视频和内容共享流。需要打开此端口以确保最佳的媒体体验。 |
| TCP | 5004, 443, 80 | 出站至 Webex | 备用的 Webex 客户端媒体(网络语音和视频 RTP) | Webex | 防火墙中未开启 UDP 端口 9000 时,作为媒体连接的备用端口使用 |
| UDP/TCP |
音频:52000 - 52049 视频:52100 - 52199 | 进入您的网络 | Webex 客户端媒体(VoIP 和视频) | 从 AWS 和 Webex 返回 |
当客户端建立连接时,Webex 将与收到的目标端口通信。防火墙应配置为允许这些返回连接通过。 缺省情况下已启用。 |
| TCP/UDP | 操作系统特定临时端口 | 进入您的网络 | 来自 Webex 的返回流量 | 从 AWS 和 Webex 返回 |
当客户端建立连接时,Webex 将与收到的目标端口通信。防火墙应配置为允许这些返回连接通过。 这通常在状态防火墙中自动打开,但是为了完整性而在此列出。 |
对于启用 Webex for Government 但无法允许基于 URL 的 HTTPS 过滤的客户,您将需要允许与 AWS Gov Cloud West(区域:us-gov-west-1)和 Cloud Front(服务:CLOUDFRONT)。请查阅 AWS 文档,确定 AWS Gov Cloud(美国西部)和 AWS Cloud Front 的 IP 范围。AWS 文档可在 https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html处找到。Webex 强烈建议尽可能按 URL 进行过滤。
Cloudfront 用于通过内容分发网络提供的静态内容,为全美各地客户提供最佳性能。
本地注册的思科视频协作设备使用的端口
另请参阅 Cisco Webex Meetings 企业部署指南(适用于支持视频设备的会议)
| 协议 | 端口号 | 方向 | 访问类型 | IP 范围 | 条评论 |
|---|---|---|---|---|---|
| TCP | 5061—5070 | 出站至 Webex | SIP 信令 | Webex | Webex 媒体端在这些端口上侦听 |
| TCP | 5061, 5065 | 入站至您的网络 | SIP 信令 | Webex | 来自 Webex 云的入站 SIP 信令流量 |
| TCP | 5061 | 出站至 Webex | 来自云注册设备的 SIP 信令 | AWS | 来自 Webex 应用程序的入站呼叫 1:1 将呼叫和云注册设备连接到您本地注册的 SIP URI。 *5061 是默认端口。Webex 支持 5061—5070 端口供客户使用,如其 SIP SRV 记录中所定义 |
| TCP/UDP | 1719, 1720, 15000—19999 | 出站至 Webex | H.323 LS | Webex | 如果您的端点需要网守通信,还请打开端口 1719,其中包括 Lifesize |
| TCP/UDP | 临时端口,36000—59999 | 入站 | 媒体端口 | Webex | 如果您使用 Cisco Expressway,则媒体范围需要设为 36000-59999。如果您使用第三方端点或呼叫控制,则需要对其进行配置以使用此范围。 |
| TCP | 443 | 入站 | 本地部署设备近接 | 本地网络 | Webex 应用程序或 Webex 桌面应用程序必须使用 HTTPS 在自身和视频设备之间建立 IPv4 可路由路径 |
对于启用政府版 Webex 的客户,要接收从 Webex 应用程序一对一呼叫和云注册设备到本地部署注册 SIP URI 的入站呼叫。您还必须允许连接 AWS Gov Cloud(美国西部)(地区:us-gov-west-1)。请查看 AWS 文档以确定 AWS Gov Cloud West 区域的 IP 范围。AWS 文档可从以下位置获取: https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Edge Audio 使用的端口
仅当您利用 Edge Audio 时才需要这样做。
| 协议 | 端口号 | 方向 | 访问类型 | IP 范围 | 条评论 |
|---|---|---|---|---|---|
| TCP | 5061—5062 | 入站至您的网络 | SIP 信令 | Webex | Edge 音频的入站 SIP 信令 |
| TCP | 5061—5065 | 出站至 Webex | SIP 信令 | Webex | Edge 音频的出站 SIP 信令 |
| TCP/UDP | 临时端口,8000—59999 | 入站至您的网络 | 媒体端口 | Webex | 在企业防火墙上,需要开放端口以接收通往 Expressway 的传入流量,端口范围为 8000—59999 |
使用以下选项配置 mTLS:
Webex Calling 服务的域和 URL
一个 * 显示在 URL 开头(例如, *.webex.com) 表示顶级域及所有子域内的服务都可以访问。
| Domain/URL | 说明 | 使用这些的 Webex 应用程序和设备 domains/URLs |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
核心 Webex Calling & Webex Aware 服务 身份配置 身份存储 验证 OAuth 服务 设备加入 当手机首次连接到网络或恢复出厂设置且未设置 DHCP 选项时,它会联系设备激活服务器进行零接触配置。新电话使用 activate.cisco.com,固件版本早于 11.2(1) 的电话继续使用 webapps.cisco.com 进行配置。 从 binaries.webex.com下载设备固件和区域设置更新。 | 所有 |
| *.wbx2.com 和 *.ciscospark.com | 用于云感知、CSDM、WDM、水银等。这些服务是应用程序和设备连接 Webex Calling 所必需的 & 入职期间和入职后的 Webex Aware 服务。 | 所有 |
| *.webexapis.com |
管理您的应用程序和设备的 Webex 微服务。 个人资料图片服务 白板服务 邻近服务 状态服务 注册服务 日历服务 搜索服务 | 所有 |
| *.webexcontent.com |
与一般文件存储相关的 Webex 消息服务包括: 用户文件 转码文件 图像 截图 白板内容 客户 & 设备日志 档案照片 品牌标识 日志文件 批量导出 CSV 文件 & 导入文件(控制中心) | Webex App 消息服务。 2019 年 10 月,使用 webexcontent.com 的文件存储被 clouddrive.com 取代 |
| Domain/URL | 说明 | 使用这些的 Webex 应用程序和设备 domains/URLs |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | 性能跟踪、错误和崩溃捕获、会话指标。 | Control Hub |
| *.huron-dev.com | Webex Calling 微服务(如:切换服务、电话号码订购和分配服务)。 | Control Hub |
| *.sipflash.com | 设备管理服务。固件升级和安全入职目的。 | Webex 应用程序 |
|
*.google.com *.googleapis.com |
向移动设备上的 Webex 应用程序发送通知(例如:新消息(接听电话时) 对于 IP 子网,请参阅这些链接 | Webex 应用程序 |
Webex Calling 服务的 IP 子网
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
- 144.196.17.0/24
Webex Calling 使用的端口
| 连接目的 | 源地址 | 源端口 | 协议 | 目的地地址 | 目的地端口 | 说明 |
|---|---|---|---|---|---|---|
| 到 Webex Calling 的呼叫信令 (SIP TLS) | 本地网关外部 (NIC) | 8000—65535 | TCP | 请参阅 Webex Calling 服务的 IP 子网。 | 5062, 8934 |
从本地网关、设备和应用程序(源)到云(目标)的出站 SIP-TLS 呼叫信号需要这些 IP/端口Webex Calling IP/端口。 端口 5062(基于证书的中继所需)。以及端口 8934(注册中继所需) |
| 设备 | 5060—5080 | 8934 | ||||
| 应用程序 | 临时(依赖于操作系统) | |||||
| 到 Webex Calling 的呼叫媒体 (SRTP) | 本地网关外部 NIC | 8000—48198†* | UDP | 请参阅 Webex Calling 服务的 IP 子网。 |
8500—8700,19560—65535(基于UDP的SRTP) |
Webex for Government 不支持基于 STUN、ICE-Lite 的媒体优化。 这些 IPs/ports 用于从本地网关、设备和应用程序(源)到 Webex Calling Cloud(目的地)的出站 SRTP 呼叫媒体。 对于客户场所内使用防火墙的某些网络拓扑,允许访问网络内提到的源和目标端口范围,以便媒体流过。 例如:对于应用程序,允许源和目标端口范围为 8500—8700。 |
| 设备 | 19560—19660 | |||||
| 应用程序 | 8500—8700 | |||||
| 到 PSTN 网关的呼叫信令 (SIP TLS) | 本地网关内部 NIC | 8000—65535 | TCP | 您的 ITSP PSTN GW 或 Unified CM | 取决于 PSTN 选项(例如,对于 Unified CM,通常为 5060 或 5061) | |
| 到 PSTN 网关的呼叫媒体 (SRTP) | 本地网关内部 NIC | 8000—48198†* | UDP | 您的 ITSP PSTN GW 或 Unified CM | 取决于 PSTN 选项(例如,对于 Unified CM 通常为 5060 或 5061) | |
| 设备配置和固件管理(Cisco 设备) | Webex Calling 设备 | 临时 | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
出于以下原因,需要这样做:
|
| 应用程序配置 | Webex Calling 应用程序 | 临时 | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | 用于 Idbroker 身份验证、客户端应用程序配置服务、基于浏览器的自助网络访问和管理界面访问。 |
| 设备时间同步 (NTP) | Webex Calling 设备 | 51494 | UDP | 请参阅 Webex Calling 服务的 IP 子网。 | 123 | 需要这些 IP 地址才能实现设备(MPP 电话、ATA 和 SPA ATA)的时间同步 |
| 设备名称解析和应用程序名称解析 | Webex Calling 设备 | 临时 | UDP 和 TCP | 主机定义 | 53 | 用于 DNS 查找以发现云端 Webex Calling 服务的 IP 地址。 尽管典型的 DNS 查找是通过 UDP 完成的,但如果查询响应无法放入 UDP 数据包中,则有些可能需要 TCP。 |
| 应用程序时间同步 | Webex Calling 应用程序 | 123 | UPD | 主机定义 | 123 | |
| CScan | 基于 Web 的 Webex Calling 网络就绪预审工具 | 临时 | UPD | 请参阅 Webex Calling 服务的 IP 子网。 | 19569—19760 | 基于 Web 的 Webex Calling 网络准备预审工具。有关更多信息,请参阅 cscan.webex.com。 |
| 连接目的 | 源地址 | 源端口 | 协议 | 目的地地址 | 目的地端口 | 说明 |
|---|---|---|---|---|---|---|
| 推送通知 APNS 和 FCM 服务 | Webex Calling 应用程序 | 临时 | TCP |
请参阅链接中提到的 IP 子网 | 443, 2197, 5228, 5229, 5230, 5223 | 向移动设备上的 Webex 应用程序发送通知(例如:当您收到新消息或接听电话时) |
- †*CUBE 媒体端口范围可使用 rtp-port range配置。
- 如果您的应用程序和设备配置了代理服务器地址,则信令流量将发送到该代理。通过 UDP 传输的 SRTP 媒体不会发送到代理服务器。它必须直接流向您的防火墙。
- 如果您在企业网络内使用 NTP 和 DNS 服务,请通过防火墙打开端口 53 和 123。
