会议端口和IP范围快速参考

部署在FedRAMP会议集群上的站点使用以下IP范围。 对于本文档,这些范围称为“Webex IP范围”:

  • 150.253.150.0/23 (150.253.150.0至150.253.151.255)
  • 144.196.224.0/21 (144.196.224.0至144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0至23.89.19.255)
  • 163.129.16.0/21 (163.129.16.0至163.129.23.255)
  • 170.72.254.0/24 (170.72.254.0至170.72.254.255)
  • 170.133.156.0/22(170.133.156.0 至 170.133.159.255)
  • 207.182.160.0/21(207.182.160.0 至 207.182.167.255)
  • 207.182.168.0/23(207.182.168.0 至 207.182.169.255)
  • 207.182.176.0/22(207.182.176.0 至 207.182.179.255)
  • 207.182.190.0/23(207.182.190.0 至 207.182.191.255)
  • 216.151.130.0/24(216.151.130.0 至 216.151.130.255)
  • 216.151.134.0/24(216.151.134.0 至 216.151.134.255)
  • 216.151.135.0/25(216.151.135.0 至 216.151.135.127)
  • 216.151.135.240/28(216.151.135.240 至 216.151.135.255)
  • 216.151.138.0/24(216.151.138.0 至 216.151.138.255)
  • 216.151.139.0/25(216.151.139.0 至 216.151.139.127)
  • 216.151.139.240/28(216.151.139.241 至 216.151.139.254)

已部署的服务

在此IP范围内部署的服务包括但不限于以下各项:

  • 会议网站(例如customersite.webex.com)
  • 会议数据服务器
  • 用于计算机音频(网络语音)和网络摄像头视频的多媒体服务器
  • XML/API服务,包括快捷会议工具安排
  • 网络录制文件 (NBR) 服务器
  • 主服务正在维护或遇到技术难题时使用的辅助服务

以下 URI 可以用于检查安全证书是否在“证书吊销列表”中。 证书吊销列表可以确保不会使用已泄露证书来拦截安全 Webex 流量。 此流量发生在 TCP 端口 80 上:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com(IdenTrust 证书)

 

以下UserAgent将通过Webex中的utiltp进程由Webex传递,并应允许通过代理的防火墙:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping 作为允许的 URL 的一部分。 它被用作设备激活过程的一部分,“设备在知道它是FedRAMP设备之前就开始使用它。 设备向其发送一个没有FedRAMP信息的激活代码,服务会发现它是FedRAMP激活代码,然后重定向这些代码。”

所有FedRAMP流量都需要对本地SIP注册设备进行TLS 1.2加密和mTLS 1.2加密。

Webex Meetings客户端(包括云注册设备)使用的端口

协议端口号码指导流量类型IP 范围条评论
TCP80/443出站至 WebexHTTP、HTTPSWebex 和 AWS(不建议按 IP 过滤)
  • *.webex.com
  • *。gov.ciscospark.com
  • *。s3.us-gov-west-1.amazonaws.com(用于提供静态内容和文件)
  • *.wbx2.com

Webex建议按URL过滤。 如果按IP地址过滤,您必须允许AWS GovCloud、Cloudfront和Webex IP范围。

TCP/UDP53出站至本地 DNS域名服务 (DNS)仅 DNS 服务器用于 DNS 查找以发现云环境中 Webex 服务器的 IP 地址。 虽然传统 DNS 查找是通过 UDP 完成的,但如果 UDP 数据包中不能容纳查询响应,有些查找可能需使用 TCP。
UCP9000、5004出站至 Webex主 Webex 客户端媒体(网络语音和视频 RTP)WebexWebex 客户端媒体端口用于交换计算机音频、网络摄像头视频和内容共享流。 打开此端口是必要的,以确保最佳的媒体体验。
TCP5004, 443, 80出站至 Webex备用的 Webex 客户端媒体(网络语音和视频 RTP)Webex防火墙中未开启 UDP 端口 9000 时,作为媒体连接的备用端口使用
UDP/TCP

音频: 52000 - 52049

视频: 52100 - 52199

入站至您的网络Webex客户端媒体(网络语音和视频)从 AWS 和 Webex 返回

当客户端建立连接时,Webex 将与收到的目标端口通信。 防火墙应配置为允许这些返回连接通过。


 
默认情况下已启用该功能。
TCP/UDP操作系统特定临时端口入站至您的网络来自 Webex 的返回流量从 AWS 和 Webex 返回

当客户端建立连接时,Webex 将与收到的目标端口通信。 防火墙应配置为允许这些返回连接通过。


 
它通常在状态防火墙中自动打开,但为了完整起见,此处列出了它。

对于启用Webex for 但不允许对HTTPS进行基于URL的过滤的客户,您将需要允许与AWS Gov Cloud West(地区: us-gov-west-1)和 Cloud Front(服务: CLOUDFRONT)。 请查阅 AWS 文档,确定 AWS Gov Cloud(美国西部)和 AWS Cloud Front 的 IP 范围。 AWS文档可在 https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html 获取。 Webex强烈建议尽可能按URL进行过滤。

Cloudfront 用于通过内容分发网络提供的静态内容,为全美各地客户提供最佳性能。

本地注册的Cisco视频协作设备使用的端口

另请参阅针对启用视频设备的会议的 isco Webex Meetings企业部署指南

协议端口号码指导访问类型IP 范围条评论
TCP5061—5070出站至 WebexSIP 信令WebexWebex 媒体端在这些端口上侦听
TCP5061、5065入站至您的网络SIP 信令Webex来自 Webex 云的入站 SIP 信令流量
TCP5061出站至 Webex来自云注册设备的 SIP 信令AWS从 Webex 应用程序一对一呼叫和云注册设备到本地注册 SIP URI 的入站呼叫。 *5061 是缺省端口。 Webex支持客户按照其SIP SRV记录中的定义使用5061-5070端口
TCP/UDP1719、1720、15000 - 19999出站至 WebexH.323 LSWebex如果您的终端需要网守通信,也可以打开端口1719,其中包括Lifesize
TCP/UDP临时端口,36000 - 59999入站媒体端口Webex如果您使用 Cisco Expressway,则媒体范围需要设为 36000-59999。 如果您使用第三方终端或呼叫控制,则需要将其配置为使用此媒体范围。
TCP443入站本地部署设备近接本地网络Webex应用程序或Webex桌面应用程序必须在自身与使用HTTPS的视频设备之间具有可路由的IPv4路径

对于启用政府版 Webex 的客户,要接收从 Webex 应用程序一对一呼叫和云注册设备到本地部署注册 SIP URI 的入站呼叫。 您还必须允许连接 AWS Gov Cloud(美国西部)(地区: us-gov-west-1)。 请查看AWS文档以确定AWS Gov Cloud West区域的IP范围。 AWS 文档可从以下位置获取: https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Edge音频使用的端口

仅当您使用Edge音频时才需要此操作。

协议端口号码指导访问类型IP 范围条评论
TCP5061—5062入站至您的网络SIP 信令Webex用于Edge音频的入站SIP信令
TCP5061—5065出站至 WebexSIP 信令Webex用于Edge音频的出站SIP信令
TCP/UDP临时端口,8000 - 59999入站至您的网络媒体端口Webex在企业防火墙上,需要打开端口以接收到Expressway的流量,端口范围为8000 - 59999。

使用以下选项配置mTLS:

Webex 服务的域和URL

URL(例如,*.webex.com)开头的 * 表示可访问顶级域和所有子域中的服务。

表 3. Webex 服务
域/URL描述使用这些域/URL的Webex应用程序和设备

*.webex.com

*.cisco.com

*。webexgov.us

核心Webex Calling和 Webex Aware 服务

身份预配置

身份存储

身份验证

OAuth 服务

设备载入

当电话首次连接到网络时或在未设置 DHCP 选项的情况下恢复恢复出厂设置设置后,它将联系设备激活服务器以进行零接触设置。 新电话使用 activate.cisco.com 以及固件版本低于 11.2(1) 的电话,继续使用 webapps.cisco.com 进行设置。

下载设备固件和区域设置更新: binaries.webex.com

所有
*.wbx2.com 和 *.ciscospark.com用于云认知、CSDM、WDM、mercury 等。 这些服务是应用程序和设备在载入期间和之后访问Webex Calling和 Webex 认知服务所必需的。所有
*.webexapis.com

管理应用程序和设备的Webex微服务。

档案照片服务

白板服务

近接服务

在线状态服务

注册服务

日历服务

搜索服务

所有
*.webexcontent.com

与常规文件存储相关的 Webex Messaging 服务,包括:

用户文件

已转码的文件

图像

屏幕截图

白板内容

客户端和设备日志

档案照片

品牌徽标

日志文件

批量 CSV 导出和导入文件 (Control Hub)

Webex应用程序消息传递服务。

 
使用 webexcontent.com 的文件存储已于 2019 年 10 月被 clouddrive.com 取代
表 4. 其他Webex相关服务(第三方域)
域/URL描述使用这些域/URL的Webex应用程序和设备

*.appdynamics.com

*.eum-appdynamics.com

性能跟踪、错误和崩溃捕获、会话指标。Control Hub
*.huron-dev.comWebex Calling 微服务(如:切换服务、电话号码订购和分配服务)。Control Hub
*.sipflash.com设备管理服务。 固件升级和安全载入目的。Webex应用程序

*.google.com

*.googleapis.com

向移动设备上的 Webex 应用程序发送通知(示例: 新消息,当应答呼叫时)

对于 IP 子网,请参阅以下链接

Google Firebase 云消息传递 (FCM) 服务

Apple推送通知服务 (APNS)

Webex 应用程序

Webex 服务的IP子网

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Webex 使用的端口

表 5. Webex 和Webex Aware服务
连接目的源地址源端口协议目的地地址目的地端口笔记
到 Webex Calling 的呼叫信令 (SIP TLS)本地网关外部 (NIC)8000 - 65535TCP请参阅 Webex Calling 服务的 IP 子网5062, 8934

从本地网关、设备和应用程序(源)到云(目标)的出站 SIP-TLS 呼叫信号需要这些 IP/端口Webex Calling IP/端口。

端口 5062(基于证书的干线必需)。 和端口 8934(基于注册的干线必需

设备5060 - 50808934
应用程序临时(依赖于操作系统)
到 Webex Calling 的呼叫媒体 (SRTP)本地网关外部 NIC8000 — 48198*UDP请参阅 Webex Calling 服务的 IP 子网

8500—8700,19560—65535(基于UDP的SRTP)

Webex for 不支持基于ICE-Lite的媒体优化。

这些 IP/端口用于从本地网关、设备和应用程序(源)到Webex Calling Cloud(目标)的出站 SRTP 呼叫媒体。

对于在客户内部使用防火墙的特定网络拓扑,允许访问网络内的上述源端口和目标端口范围,以便媒体流经。

例如: 对于应用程序,源端口和目标端口的范围应为8500-8700。

设备19560年-19660
应用程序8500 - 8700
到 PSTN 网关的呼叫信令 (SIP TLS)本地网关内部 NIC8000 - 65535TCP您的 ITSP PSTN GW 或 Unified CM取决于 PSTN 选项(例如,对于 Unified CM,通常为 5060 或 5061)
到 PSTN 网关的呼叫媒体 (SRTP)本地网关内部 NIC8000 — 48198*UDP您的 ITSP PSTN GW 或 Unified CM取决于PSTN选项(例如,通常用于Unified CM的5060或5061)
设备配置和固件管理(Cisco 设备)Webex Calling 设备临时TCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443、6970

必需,原因如下:

  1. 从企业电话 (Cisco Unified CM) 迁移到Webex Calling。 请参阅upgrade.cisco.com了解更多信息。 cloudupgrader.webex.com 使用以下端口: 6970,443,用于固件迁移过程。

  2. 使用 16 位激活码 (GDS) 的设备(MPP 和协作室或座机)的固件升级和安全载入。

  3. 对于 CDA/EDOS - 基于MAC 地址的设置。 可供固件较新的设备(MPP 电话、ATA 和 SPA ATA)使用。

  4. 当电话首次连接到网络或进行恢复恢复出厂设置后,在没有设置 DHCP 选项的情况下,它将联系设备激活服务器以进行零接触设置。 新电话使用“activate.cisco.com”而非“webapps.cisco.com”进行预配置。 固件版本低于 11.2(1) 的电话将继续使用“webapps.cisco.com”。 建议允许所有这些 IP 子网。

应用程序配置Webex Calling 应用程序临时TCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443用于 Idbroker 验证、客户端的应用程序配置服务、用于自助服务的基于浏览器的Web 访问以及管理界面访问。
设备时间同步 (NTP)Webex Calling 设备51494UDP请参阅 Webex Calling 服务的 IP 子网123需要这些 IP 地址才能实现设备(MPP 电话、ATA 和 SPA ATA)的时间同步
设备名称解析和应用程序名称解析Webex Calling 设备临时UDP 和 TCP主机定义53

用于 DNS 查询,以发现云中Webex Calling服务的 IP 地址。

尽管典型的 DNS 查找是通过 UDP 完成的,但如果查询响应不能放入 UDP 数据包中,某些 DNS 查找可能需要 TCP。
应用程序时间同步Webex Calling 应用程序123UPD主机定义123
CScan基于 Web 的网络就绪情况资格预审工具Webex Calling临时UPD请参阅 Webex Calling 服务的 IP 子网19569-19760年用于Webex Calling的基于 Web 的网络准备就绪资格预审工具。 有关更多信息,请参阅 cscan.webex.com
表 6. 其他Webex 和Webex Aware服务(第三方)
连接目的源地址源端口协议目的地地址目的地端口笔记
推送通知 APNS 和 FCM 服务Webex Calling 应用程序临时TCP

请参阅链接下提到的 IP 子网

Apple推送通知服务 (APNS)

Google-Firebase 云消息传递 (FCM)

443、2197、5228、5229、5230、5223向移动设备上的 Webex 应用程序发送通知(示例: 当您收到新留言或当呼叫被应答时)

 
  • * CUBE媒体端口范围可配置为rtp 端口范围
  • 如果为应用程序和设备配置了代理服务器地址,信令流量将发送到代理。 传输的媒体 SRTP over UDP 不会发送到代理服务器。 它必须直接流向您的防火墙。
  • 如果您在企业网络中使用 NTP 和 DNS 服务,则通过防火墙打开端口 53 和 123。