会议端口和IP范围快速引用

以下IP范围由FedRAMP会议集群上部署的站点使用。对于本文档,这些范围称为“Webex IP范围”:

  • 150.253.150.0/23(150.253.150.0至150.253.151.255)
  • 144.196.224.0/21(144.196.224.0至144.196.231.255)
  • 23.89.18.0/23 (23.89.18.0至23.89.19.255)
  • 163.129.16.0/21(163.129.16.0至163.129.23.255)
  • 170.72.254.0/24(170.72.254.0至170.72.254.255)
  • 170.133.156.0/22(170.133.156.0 至 170.133.159.255)
  • 207.182.160.0/21(207.182.160.0 至 207.182.167.255)
  • 207.182.168.0/23(207.182.168.0 至 207.182.169.255)
  • 207.182.176.0/22(207.182.176.0 至 207.182.179.255)
  • 207.182.190.0/23(207.182.190.0 至 207.182.191.255)
  • 216.151.130.0/24(216.151.130.0 至 216.151.130.255)
  • 216.151.134.0/24(216.151.134.0 至 216.151.134.255)
  • 216.151.135.0/25(216.151.135.0 至 216.151.135.127)
  • 216.151.135.240/28(216.151.135.240 至 216.151.135.255)
  • 216.151.138.0/24(216.151.138.0 至 216.151.138.255)
  • 216.151.139.0/25(216.151.139.0 至 216.151.139.127)
  • 216.151.139.240/28(216.151.139.241 至 216.151.139.254)

已部署的服务

在此IP范围上部署的服务包括但不限于以下各项:

  • 会议网站(例如customersite.webex.com)
  • 会议数据服务器
  • 用于计算机音频(网络语音)和网络摄像头视频的多媒体服务器
  • XML/API服务,包括生产力工具调度
  • 网络录制文件 (NBR) 服务器
  • 主服务正在维护或遇到技术难题时使用的辅助服务

以下 URI 可以用于检查安全证书是否在“证书吊销列表”中。证书吊销列表可以确保不会使用已泄露证书来拦截安全 Webex 流量。此流量发生在 TCP 端口 80 上:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com(IdenTrust 证书)

以下UserAgent将通过Webex中的utiltp流程通过Webex传递,并应允许通过代理机构的防火墙:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping 作为允许的 URL 的一部分。它被用作设备激活过程的一部分,“设备在知道它是FedRAMP设备之前使用它。设备向其发送没有FedRAMP信息的激活代码,服务看到它是FedRAMP激活代码,然后重新定向它们。

所有FedRAMP流量都需要TLS 1.2加密和mTLS 1.2加密,适用于内部SIP注册设备。

Webex Meetings客户端使用的端口(包括云注册设备)

协议端口号码方向流量类型IP 范围条评论
TCP80/443出站至 WebexHTTP、HTTPSWebex 和 AWS(不建议按 IP 过滤)
  • *.webex.com
  • *.gov.ciscospark.com
  • *。s3.us-gov-west-1.amazonaws.com(用于提供静态内容和文件)
  • *.wbx2.com

Webex建议按URL进行筛选。如果按IP地址进行筛选,则必须允许AWS GovCloud、Cloudfront和Webex IP范围。

TCP/UDP53出站至本地 DNS域名服务 (DNS)仅 DNS 服务器用于 DNS 查找以发现云环境中 Webex 服务器的 IP 地址。虽然传统 DNS 查找是通过 UDP 完成的,但如果 UDP 数据包中不能容纳查询响应,有些查找可能需使用 TCP。
UDP9000, 5004出站至 Webex主 Webex 客户端媒体(网络语音和视频 RTP)WebexWebex 客户端媒体端口用于交换计算机音频、网络摄像头视频和内容共享流。需要打开此端口,以确保最佳媒体体验。
TCP5004, 443, 80出站至 Webex备用的 Webex 客户端媒体(网络语音和视频 RTP)Webex防火墙中未开启 UDP 端口 9000 时,作为媒体连接的备用端口使用
UDP/TCP

音频:52000 - 52049

视频:52100 - 52199

入站到您的网络Webex客户端媒体(Voip和视频)从 AWS 和 Webex 返回

当客户端建立连接时,Webex 将与收到的目标端口通信。防火墙应配置为允许这些返回连接通过。

缺省情况下已启用。
TCP/UDP操作系统特定临时端口入站到您的网络来自 Webex 的返回流量从 AWS 和 Webex 返回

当客户端建立连接时,Webex 将与收到的目标端口通信。防火墙应配置为允许这些返回连接通过。

这通常会在有状态的防火墙中自动打开,但是为了完整性在这里列出。

对于支持Webex for Government且无法允许基于URL的HTTPS过滤的客户,您需要允许与AWS Gov Cloud West连接(区域:us-gov-west-1)和 Cloud Front(服务:CLOUDFRONT)。请查阅 AWS 文档,确定 AWS Gov Cloud(美国西部)和 AWS Cloud Front 的 IP 范围。AWS文档可在 https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html 获得。Webex强烈建议尽可能按URL进行筛选。

Cloudfront 用于通过内容分发网络提供的静态内容,为全美各地客户提供最佳性能。

由预先注册的Cisco视频协作设备使用的端口

另请参阅支持视频设备会议的Cisco Webex Meetings企业部署指南

协议端口号码方向访问类型IP 范围条评论
TCP5061—5070出站至 WebexSIP 信令WebexWebex 媒体端在这些端口上侦听
TCP5061, 5065入站至您的网络SIP 信令Webex来自 Webex 云的入站 SIP 信令流量
TCP5061出站至 Webex来自云注册设备的 SIP 信令AWS从Webex App 1:1呼叫和云注册设备到内部注册的SIP URI的入站呼叫。 *5061是默认端口。Webex支持客户在SIP SRV记录中定义使用的5061-5070个端口
TCP/UDP1719, 1720, 15000—19999出站至 WebexH.323 LSWebex如果您的端点需要网关通信,请打开端口1719,其中包括Lifesize
TCP/UDP短暂端口,36000-59999入站媒体端口Webex如果您使用 Cisco Expressway,则媒体范围需要设为 36000-59999。如果您使用第三方端点或呼叫控制,则需要将其配置为使用此范围。
TCP443入站本地部署设备近接本地网络Webex应用程序或Webex桌面应用程序必须与使用HTTPS的视频设备之间有可路由的IPv4路径

对于启用政府版 Webex 的客户,要接收从 Webex 应用程序一对一呼叫和云注册设备到本地部署注册 SIP URI 的入站呼叫。您还必须允许连接 AWS Gov Cloud(美国西部)(地区:us-gov-west-1)。请查看AWS文档,以确定AWS Gov Cloud West区域的IP范围。AWS 文档可从以下位置获取: https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Edge Audio使用的端口

只有当您利用Edge Audio时才需要此操作。

协议端口号码方向访问类型IP 范围条评论
TCP5061—5062入站至您的网络SIP 信令Webex用于Edge音频的入站SIP信号
TCP5061—5065出站至 WebexSIP 信令Webex用于Edge音频的出站SIP信号
TCP/UDP短暂端口,8000-59999入站至您的网络媒体端口Webex在企业防火墙上,需要打开端口,以便进入高速公路,端口范围为8000-59999

使用以下选项配置mTLS:

Webex 服务的域和URL

URL开头显示的*(例如*。webex.com)表示可访问顶级域和所有子域中的服务。

表3. Webex 服务
域/URL描述使用这些域/URL的Webex应用程序和设备

*.webex.com

*.cisco.com

*.webexgov.us

核心Webex 和Webex Aware服务

身份设置

身份存储

身份验证

OAuth服务

设备加入

当电话第一次连接到网络或恢复出厂设置但未设置DHCP选项时,它会联系设备激活服务器以进行零接触预配置。新电话使用activate.cisco.com,固件版本早于11.2(1)的电话继续使用webapps.cisco.com进行预配置。

binaries.webex.com 下载设备固件和区域设置更新。

所有
*.wbx2.com 和 *.ciscospark.com用于云意识、CSDM、WDM、汞等。这些服务对于应用程序和设备在入职期间和之后联系Webex呼叫和Webex Aware服务是必不可少的。全部
*.webexapis.com

用于管理应用程序和设备的Webex微服务。

档案照片服务

白板服务

服务

服务

注册服务

日历服务

搜索服务

全部
*.webexcontent.com

与一般文件存储相关的Webex消息传递服务,包括:

用户文件

转码文件

图像

屏幕截图

白板内容

客户端和设备日志

档案照片

品牌徽标

日志文件

批量CSV导出文件和导入文件(Control Hub)

Webex应用程序消息服务。
2019年10月,使用webexcontent.com的文件存储被clouddrive.com取代
表 4. 其他与Webex相关的服务(第三方域)
域/URL描述使用这些域/URL的Webex应用程序和设备

*.appdynamics.com

*.eum-appdynamics.com

性能跟踪、错误和崩溃捕获、会话指标。Control Hub
*.huron-dev.comWebex Calling 微服务(如:切换服务、电话号码订购和分配服务)。Control Hub
*.sipflash.com设备管理服务。固件升级和安全激活目的。Webex应用程序

*.google.com

*.googleapis.com

移动设备上的Webex应用程序通知(示例:新消息,当呼叫应答时)

有关IP子网,请参阅以下链接

Google Firebase Cloud Messaging (FCM)服务

Apple Push Notification Service (APNS)

Webex 应用程序

Webex呼叫服务的IP子网

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Webex Calling使用的端口

表 5. Webex呼叫和Webex感知服务
连接目的源地址源端口协议目的地地址目的地端口说明
到 Webex Calling 的呼叫信令 (SIP TLS)本地网关外部 (NIC)8000—65535TCP请参阅 Webex Calling 服务的 IP 子网5062, 8934

从本地网关、设备和应用程序(源)到云(目标)的出站 SIP-TLS 呼叫信号需要这些 IP/端口Webex Calling IP/端口。

端口5062(基于证书的干线必需)。和端口8934(基于注册的干线需要

设备5060—50808934
应用程序临时(依赖于操作系统)
到 Webex Calling 的呼叫媒体 (SRTP)本地网关外部 NIC8000—48198*UDP请参阅 Webex Calling 服务的 IP 子网

8500—8700,19560—65535(SRTP高于UDP)

Webex for Government不支持基于STUN、ICE-Lite的媒体优化。

这些IP/端口用于从本地网关、设备和应用程序(源)到WEBEX呼叫云(目的地)的出站SRTP呼叫媒体。

对于在客户内部使用防火墙的特定网络拓扑,允许访问网络内的上述源端口和目标端口范围,以便媒体流经。

例如:对于应用程序,允许源和目标端口范围为8500 - 8700。

设备19560—19660
应用程序8500—8700
到 PSTN 网关的呼叫信令 (SIP TLS)本地网关内部 NIC8000—65535TCP您的 ITSP PSTN GW 或 Unified CM取决于 PSTN 选项(例如,对于 Unified CM,通常为 5060 或 5061)
到 PSTN 网关的呼叫媒体 (SRTP)本地网关内部 NIC8000—48198*UDP您的 ITSP PSTN GW 或 Unified CM取决于PSTN选项(例如,通常用于Unified CM的5060或5061)
设备配置和固件管理(Cisco 设备)Webex Calling 设备临时TCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443, 6970

由于以下原因而需要:

  1. 从企业电话(Cisco Unified CM)迁移到Webex 。有关更多信息,请参阅upgrade.cisco.com 。cloudupgrader.webex.com使用端口:固件迁移流程6970,443。

  2. 使用16位激活码(GDS)对设备(MPP和会议室或办公电话)进行固件升级和安全接入。

  3. 对于CDA / EDOS -基于MAC地址的设置。可供固件较新的设备(MPP 电话、ATA 和 SPA ATA)使用。

  4. 当电话第一次连接到网络或恢复出厂设置后,如果未设置DHCP选项,它会联系设备激活服务器以进行零接触预配置。新电话使用“activate.cisco.com”而非“webapps.cisco.com”进行预配置。固件发布于11.2(1)之前的电话继续使用“webapps.cisco.com”。建议允许所有这些IP子网。

应用程序配置Webex Calling 应用程序临时TCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443用于Idbroker身份验证、面向客户的应用程序配置服务、基于浏览器的Web访问,用于自我护理和管理接口访问。
设备时间同步 (NTP)Webex Calling 设备51494UDP请参阅 Webex Calling 服务的 IP 子网123需要这些 IP 地址才能实现设备(MPP 电话、ATA 和 SPA ATA)的时间同步
设备名称分辨率和应用程序名称分辨率Webex Calling 设备临时UDP 和 TCP主机定义53

用于DNS查找,以发现云中的Webex 服务的IP地址。

即使典型的DNS查找是通过UDP完成的,如果UDP数据包中无法容纳查询响应,有些DNS查找可能需要TCP。
应用程序时间同步Webex Calling 应用程序123UPD主机定义123
CScan用于Webex 的基于Web的网络就绪预审工具临时UPD请参阅 Webex Calling 服务的 IP 子网19569—19760用于Webex 的基于Web的网络就绪预审工具。有关更多信息,请参阅 cscan.webex.com
表 6. 其他Webex呼叫和Webex Aware服务(第三方)
连接目的源地址源端口协议目的地地址目的地端口说明
推送通知APNS和FCM服务Webex Calling 应用程序临时TCP

请参阅链接下提及的IP子网

Apple推送通知服务(APNS)

Google-Firebase云消息传递(FCM)

443, 2197, 5228, 5229, 5230, 5223移动设备上的Webex应用程序通知(示例:当您收到新消息或呼叫被应答时)
  • *CUBE媒体端口范围可使用rtp-port范围进行配置。
  • 如果为应用程序和设备配置了代理服务器地址,信令流量将发送到代理。通过UDP传输的SRTP的媒体不会发送到代理服务器。它必须直接流至您的防火墙。
  • 如果您在企业网络中使用NTP和DNS服务,请通过防火墙打开53和123端口。