會議連接埠和IP範圍快速參考

以下IP範圍供部署在 FedRAMP 會議叢集上的網站使用。 對於本文件,這些範圍稱為「Webex IP範圍」:

  • 150.253.150.0/23(150.253.150.0 到 150.253.151.255)
  • 144.196.224.0/21(144.196.224.0 到 144.196.231.255)
  • 23.89.18.0/23(23.89.18.0 到 23.89.19.255)
  • 163.129.16.0/21(163.129.16.0 到 163.129.23.255)
  • 170.72.254.0/24(170.72.254.0 到 170.72.254.255)
  • 170.133.156.0/22(170.133.156.0 到 170.133.159.255)
  • 207.182.160.0/21(207.182.160.0 到 207.182.167.255)
  • 207.182.168.0/23(207.182.168.0 到 207.182.169.255)
  • 207.182.176.0/22(207.182.176.0 到 207.182.179.255)
  • 207.182.190.0/23(207.182.190.0 到 207.182.191.255)
  • 216.151.130.0/24(216.151.130.0 到 216.151.130.255)
  • 216.151.134.0/24(216.151.134.0 到 216.151.134.255)
  • 216.151.135.0/25(216.151.135.0 到 216.151.135.127)
  • 216.151.135.240/28(216.151.135.240 到 216.151.135.255)
  • 216.151.138.0/24(216.151.138.0 到 216.151.138.255)
  • 216.151.139.0/25(216.151.139.0 到 216.151.139.127)
  • 216.151.139.240/28(216.151.139.241 到 216.151.139.254)

已部署的服務

部署在此IP範圍上的服務包括但不限於以下服務:

  • 會議網站(例如,customerssite.webex.com)
  • 會議資料伺服器
  • 用於收發電腦音訊 (VoIP) 和網路攝影機視訊的多媒體伺服器
  • XML/ API服務,包括生產力工具排定
  • 網路型錄製 (NBR) 伺服器
  • 主要服務處於維護狀態或遇到技術困難時使用輔助服務

下列 URI 用於檢查安全憑證的「憑證撤銷清單」。 「憑證撤銷清單」用於確保不會使用任何受損憑證來攔截安全的 Webex 流量。 此流量會出現在 TCP 埠 80 上:

  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com(IdenTrust 憑證)

 

以下 UserAgent 將由Webex透過Webex中的 utiltp 處理流程傳遞,且應允許其透過代理的防火牆:

  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby

https://activation.webex.com/api/v1/ping 作為允許的 URL 的一部分。 它用作裝置啟動程序的一部分,並且「裝置在知道它是 FedRAMP 裝置之前就已使用它。 裝置會傳送不含 FedRAMP 資訊的啟用代碼,服務會將其視為 FedRAMP 啟用代碼,然後重新導向。」

對於內部部署SIP註冊的裝置,所有 FedRAMP 流量都需要TLS 1.2 加密和 mTLS 1.2 加密。

Webex Meetings用戶端(包括雲端註冊的裝置)使用的連接埠

通訊協定埠號方向流量類型IP 範圍意見
TCP80/443輸出至 WebexHTTP、HTTPSWebex 和 AWS(不建議按 IP 位址進行篩選)
  • *.webex.com
  • *.gov.ciscospark.com
  • *.s3.us-gov-west-1.amazonaws.com(用於提供靜態內容和檔案)
  • *.wbx2.com

Webex建議按URL篩選。 如果按IP 位址篩選 ,您必須允許 AWS GovCloud、Cloudfront 和Webex IP範圍。

TCP/UDP53輸出至本地 DNS網域名稱服務 (DNS)僅限 DNS 伺服器用於 DNS 查找,以在雲端探索 Webex 伺服器 的 IP 位址。 即使會透過 UDP 完成典型的 DNS 查找,如果查詢回應不適合放在 UDP 封包中,某些查找可能要求 TCP。
UCP9000、5004輸出至 Webex主要 Webex 用戶端媒體(VoIP 和視訊 RTP)WebexWebex 用戶端媒體連接埠用於交換電腦音訊、網路攝影機視訊和內容共用串流。 需要開啟此連接埠以確保最佳的媒體體驗。
TCP5004、443、80輸出至 Webex備用 Webex 用戶端媒體(VoIP 和視訊 RTP)Webex當 UDP 連接埠 9000 在防火牆中未開放時,將使用備援連接埠來連線媒體
UDP/TCP

音訊: 52000 至 52049

視訊: 52100 至 52199

入埠至您的網路Webex用戶端媒體(VoIP 和視訊)從 AWS 和 Webex 返回

在用戶端建立其連線時,Webex 將與收到的目的地連接埠通訊。 應該設定防火牆以允許這些返回連線經過。


 
預設為啟用此功能。
TCP/UDPOS 特定的暫時埠入埠至您的網路來自 Webex 的返回流量從 AWS 和 Webex 返回

在用戶端建立其連線時,Webex 將與收到的目的地連接埠通訊。 應該設定防火牆以允許這些返回連線經過。


 
這通常會在有狀態的防火牆中自動開啟,但是為了完整起見,會在這裡列出。

對於啟用Webex for Government 且不允許對 HTTPS 進行基於URL的篩選的客戶,您將需要允許與 AWS Gov Cloud West(區域: us-gov-west-1)及 Cloud Front(服務: CLOUDFRONT)連線。 請複查 AWS 文件,以識別用於 AWS Gov Cloud West 地區及 AWS Cloud Front 的 IP 位址範圍。 AWS 文件可在下列位置取得https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html。 Webex強烈建議盡可能按URL進行篩選。

Cloudfront 用於透過「內容傳遞網路」遞送的靜態內容,以便給國家/地區範圍內的客戶提供最佳效能。

內部註冊的Cisco視訊協作裝置使用的埠

另請參閱適用於啟用視訊裝置的會議的Cisco Webex Meetings企業部署指南

通訊協定埠號碼方向存取類型IP 範圍意見
TCP5061 — 5070輸出至 WebexSIP 訊號WebexWebex Media Edge 在這些埠上接聽
TCP5061, 5065輸入至您的網路SIP 訊號Webex來自 Webex 雲端的輸入 SIP 訊號流量
TCP5061輸出至 Webex來自雲端註冊裝置的 SIP 訊號AWS從 Webex 應用程式一對一呼叫和雲端註冊裝置輸入至內部註冊 SIP URI 的呼叫。 *5061 為預設埠。 Webex支援客戶使用其SIP SRV 記錄中定義的 5061—5070 連接埠
TCP/UDP1719、1720、15000 — 19999輸出至 WebexH.323 LSWebex如果您的端點需要閘道通訊,請同時開放連接埠 1719,其中包括
TCP/UDP暫時埠,36000—59999輸入媒體連接埠Webex如果是使用 Cisco Expressway,則媒體範圍需要設為 36000-59999。 如果是使用協力廠商端點或通話控制,則需要將其設定成使用此範圍。
TCP443輸入內部部署裝置 Proximity本地網路Webex 應用程式或Webex桌面應用程式本身與使用 HTTPS 的視訊裝置之間必須具有可IPv4路由的路徑

對於啟用政府版 Webex 的客戶,接收從 Webex 應用程式一對一呼叫和雲端註冊裝置輸入至內部註冊 SIP URI 的呼叫。 您還必須允許與 AWS Gov Cloud West(地區: us-gov-west-1)連線。 請檢閱 AWS 文件以識別 AWS Gov 雲端西部區域的IP範圍。 可從以下網站獲得 AWS 文件: https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Edge Audio 使用的連接埠

僅當您使用 Edge Audio 時,才需要這樣做。

通訊協定埠號碼方向存取類型IP 範圍意見
TCP5061 — 5062輸入至您的網路SIP 訊號WebexEdge Audio 的入埠SIP 信號
TCP5061 — 5065輸出至 WebexSIP 訊號WebexEdge Audio 的出埠SIP 信號
TCP/UDP暫時埠,8000—59999輸入至您的網路媒體連接埠Webex在企業防火牆上,需要為 Expressway 的傳入流量開放埠範圍從 8000 到 59999

使用以下選項配置 mTLS:

Webex Calling服務的網域和 URL

URL (例如 *.webex.com)開頭的 * 表示頂層網域和所有子網域中的服務都可存取。

表 3. Webex Services
網域/ URL說明使用這些網域/URL 的Webex應用程式和裝置

*.webex.com

*.cisco.com

*.webexgov.us

核心Webex Calling和Webex Aware 服務

身分佈建

身分儲存

驗證

OAuth 服務

裝置上線

當電話首次連線至網路時,或在未設定DHCP選項的情況下重設成出廠預設值後,它會聯絡裝置啟動伺服器以進行零接觸佈建。 新電話使用 activate.cisco.com 以及韌體版本低於 11.2(1) 的電話,請繼續使用 webapps.cisco.com 進行佈建。

下載裝置韌體和地區設定更新, binary.webex.com

所有
*.wbx2.com 和 *.ciscospark.com用於雲端感知、CSDM、WDM、水星等。 這些服務是應用程式和裝置在上線期間和之後聯絡Webex Calling和Webex Aware 服務所必需的。所有
*.webexapis.com

管理您的應用程式和裝置的Webex微型服務。

設定檔圖片服務

白板服務

Proximity 服務

在線狀態服務

註冊服務

行事歷服務

搜尋服務

所有
*.webexcontent.com

與一般檔案儲存相關的Webex 傳訊服務,包括:

使用者檔案

轉碼的檔案

影像

螢幕截圖

白板內容

用戶端和裝置記錄

設定檔圖片

品牌標誌

記錄檔案

批量CSV匯出檔案和匯入檔案 (Control Hub)

Webex應用程式傳訊服務。

 
使用 webexcontent.com 的檔案儲存已在 2019 年 10 月被 cloudDrive.com 取代
表 4. 其他 Webex 相關服務(第三方網域)
網域/ URL說明使用這些網域/URL 的Webex應用程式和裝置

*.appdynamics.com

*.eum-appdynamics.com

效能追蹤、錯誤和毀損擷取、階段作業指標。Control Hub
*.huron-dev.comWebex Calling 微服務,如切換服務、電話號碼訂購和指派服務。Control Hub
*.sipflash.com裝置管理服務。 韌體升級和安全上線目的。Webex應用程式

*.google.com

*.googleapis.com

行動裝置上的Webex應用程式的通知(例如: 新訊息,當通話被接聽時)

對於IP子網路,請參閱下列鏈結

Google Firebase 雲端傳訊(FCM) 服務

Apple推播通知服務 (APNS)

Webex 應用程式

Webex Calling服務的IP子網路

  • 23.89.18.0/23
  • 163.129.16.0/21
  • 150.253.150.0/23
  • 144.196.224.0/21
  • 144.196.16.0/24

Webex Calling使用的連接埠

表 5. Webex Calling和Webex Aware 服務
連線目的來源位址來源埠通訊協定目的地位址目的地埠筆記
Webex Calling 的呼叫訊號 (SIP TLS)本機閘道外部 (NIC)8000—65535TCP請參閱 Webex Calling 服務的 IP 子網路5062, 8934

從本區閘道、裝置及應用程式(來源)到雲端(目的地)的外發 SIP-TLS 通話訊號需要這些 IP/Webex Calling埠。

連接埠 5062(基於憑證的 trunk 需要)。 和連接埠 8934(基於註冊的 trunk 必需

裝置5060 — 50808934
應用程式暫時(依賴於作業系統)
將媒體呼叫至Webex Calling (STUN、 SRTP本機閘道外部 NIC8000—48198 *UDP請參閱 Webex Calling 服務的 IP 子網路

5004、9000(STUN 埠)

8500—8700,19560—65535(SRTP透過UDP)

這些 IP/埠用於從本機閘道、裝置和應用程式(來源)到Webex Calling Cloud(目標)的出埠SRTP通話媒體。

對於組織內的通話,在 STUN 和 ICE 協商成功的情況下,雲端中的媒體中繼將作為通訊路徑移除。 在此情況下,媒體會直接在使用者的 應用程式/裝置之間流動。

例如: 如果媒體最佳化成功,應用程式會在 8500-9700 之間的埠範圍上直接在彼此之間傳送媒體,而裝置會在 19560-19660 之間的埠範圍上直接在彼此之間傳送媒體。

對於在客戶處所內使用防火牆的某些網路拓撲,請允許存取網路內上述的來源和目標埠範圍,以使媒體能夠流經。

範例: 對於應用程式,允許來源和目標埠範圍 8500—8700。

裝置19560—19660
應用程式8500 — 8700
PSTN 閘道的呼叫訊號 (SIP TLS)本機閘道內部 NIC8000—65535TCP您的 ITSP PSTN GW 或 Unified CM視 PSTN 選項而定(例如,對於 Unified CM,通常為 5060 或 5061)
PSTN 閘道的呼叫媒體 (SRTP)本機閘道內部 NIC8000—48198 *UDP您的 ITSP PSTN GW 或 Unified CM取決於 PSTN 選項(例如, Unified CM的通常為 5060 或 5061)
裝置設定和韌體管理(Cisco 裝置)Webex Calling 裝置暫時TCP

3.20.185.219

3.130.87.169

3.134.166.179

72.163.10.96/27

72.163.15.64/26

72.163.15.128/26

72.163.24.0/23

72.163.10.128/25

173.37.146.128/25

173.36.127.0/26

173.36.127.128/26

173.37.26.0/23

173.37.149.96/27

192.133.220.0/26

192.133.220.64/26

443、6970

需要,原因如下:

  1. 從企業電話 (Cisco Unified CM) 移轉至Webex Calling。 請參閱update.cisco.com獲取更多資訊。 cloudupgradeer.webex.com 使用連接埠: 6970443 用於韌體移轉過程。

  2. 使用 16 位數啟動碼 (GDS) 進行韌體升級和安全上線裝置(MPP 和會議室或桌面電話)。

  3. 對於 CDA / EDOS - 基於MAC 位址的佈建。 裝置(MPP 電話、ATA 和 SPA ATA)與較新韌體搭配使用。

  4. 當電話第一次連線至網路時或恢復重設成出廠預設值後,在未設定DHCP選項的情況下,它會聯絡裝置啟動伺服器以進行零接觸佈建。 新電話使用「activate.cisco.com」而不是「webapps.cisco.com」進行佈建。 韌體早於 11.2(1) 版的電話將繼續使用「webapps.cisco.com」。 建議允許所有這些IP子網路。

應用程式設定Webex Calling 應用程式暫時TCP

62.109.192.0/18

64.68.96.0/19

150.253.128.0/17

207.182.160.0/19

443, 8443用於 Idbroker 驗證、用戶端的應用程式組態服務、用於自助服務的基於瀏覽器的網頁存取及管理介面存取。
裝置時間同步 (NTP)Webex Calling 裝置51494UDP請參閱 Webex Calling 服務的 IP 子網路123裝置(MPP 電話、ATA 和 SPA ATA)的時間同步需要這些 IP 位址
裝置名稱解析和應用程式名稱解析Webex Calling 裝置暫時UDP與TCP主持人定義53

用於DNS查找,以發現雲端中Webex Calling服務的IP位址。

即使一般的DNS查詢是透過UDP完成,有些可能需要TCP,如果查詢回應不適合UDP封包。
應用程式時間同步Webex Calling 應用程式123UPD主持人定義123
CScan網路型網路準備就緒資格預審工具, Webex Calling暫時UPD請參閱 Webex Calling 服務的 IP 子網路19569—19760用於Webex Calling的網路型網路準備情況預審工具。 如需相關資訊,請轉至 cscan.webex.com
表 6. 其他Webex Calling和Webex Aware 服務(第三方)
連線目的來源位址來源埠通訊協定目的地位址目的地埠筆記
推播通知 APNS 和 FCM 服務Webex Calling 應用程式暫時TCP

請參閱鏈結下提及的IP子網路

Apple推播通知服務(APNS)

Google-Firebase 雲端傳訊(FCM)

443、2197、5228、5229、5230、5223行動裝置上的Webex應用程式的通知(例如: 當您收到新訊息或接聽來電時)

 
  • * CUBE媒體連接埠範圍可使用rtp 通訊埠範圍
  • 若您的應用程式和裝置已設定代理伺服器位址,則訊號流量將傳送至 Proxy。 透過UDP傳送的媒體SRTP未傳送至代理伺服器。 它必須改為直接流向您的防火牆。
  • 如果您在企業網路中使用NTP和DNS服務,請透過防火牆開放連接埠 53 和 123。