政府版網路需求準則,包括Webex Meetings和Webex Calling的IP範圍和連接埠設定。
會議連接埠和IP範圍快速參考
以下IP範圍供部署在 FedRAMP 會議叢集上的網站使用。 對於本文件,這些範圍稱為「Webex IP範圍」:
- 150.253.150.0/23(150.253.150.0 到 150.253.151.255)
- 144.196.224.0/21(144.196.224.0 到 144.196.231.255)
- 23.89.18.0/23(23.89.18.0 到 23.89.19.255)
- 163.129.16.0/21(163.129.16.0 到 163.129.23.255)
- 170.72.254.0/24(170.72.254.0 到 170.72.254.255)
- 170.133.156.0/22(170.133.156.0 到 170.133.159.255)
- 207.182.160.0/21(207.182.160.0 到 207.182.167.255)
- 207.182.168.0/23(207.182.168.0 到 207.182.169.255)
- 207.182.176.0/22(207.182.176.0 到 207.182.179.255)
- 207.182.190.0/23(207.182.190.0 到 207.182.191.255)
- 216.151.130.0/24(216.151.130.0 到 216.151.130.255)
- 216.151.134.0/24(216.151.134.0 到 216.151.134.255)
- 216.151.135.0/25(216.151.135.0 到 216.151.135.127)
- 216.151.135.240/28(216.151.135.240 到 216.151.135.255)
- 216.151.138.0/24(216.151.138.0 到 216.151.138.255)
- 216.151.139.0/25(216.151.139.0 到 216.151.139.127)
- 216.151.139.240/28(216.151.139.241 到 216.151.139.254)
已部署的服務
部署在此IP範圍上的服務包括但不限於以下服務:
- 會議網站(例如,customerssite.webex.com)
- 會議資料伺服器
- 用於收發電腦音訊 (VoIP) 和網路攝影機視訊的多媒體伺服器
- XML/ API服務,包括生產力工具排定
- 網路型錄製 (NBR) 伺服器
- 主要服務處於維護狀態或遇到技術困難時使用輔助服務
下列 URI 用於檢查安全憑證的「憑證撤銷清單」。 「憑證撤銷清單」用於確保不會使用任何受損憑證來攔截安全的 Webex 流量。 此流量會出現在 TCP 埠 80 上:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com(IdenTrust 憑證)
 | 以下 UserAgent 將由Webex透過Webex中的 utiltp 處理流程傳遞,且應允許其透過代理的防火牆:
|
https://activation.webex.com/api/v1/ping 作為允許的 URL 的一部分。 它用作裝置啟動程序的一部分,並且「裝置在知道它是 FedRAMP 裝置之前就已使用它。 裝置會傳送不含 FedRAMP 資訊的啟用代碼,服務會將其視為 FedRAMP 啟用代碼,然後重新導向。」
對於內部部署SIP註冊的裝置,所有 FedRAMP 流量都需要TLS 1.2 加密和 mTLS 1.2 加密。
Webex Meetings用戶端(包括雲端註冊的裝置)使用的連接埠
| 通訊協定 | 埠號 | 方向 | 流量類型 | IP 範圍 | 意見 | ||
|---|---|---|---|---|---|---|---|
| TCP | 80/443 | 輸出至 Webex | HTTP、HTTPS | Webex 和 AWS(不建議按 IP 位址進行篩選) |
Webex建議按URL篩選。 如果按IP 位址篩選 ,您必須允許 AWS GovCloud、Cloudfront 和Webex IP範圍。 | ||
| TCP/UDP | 53 | 輸出至本地 DNS | 網域名稱服務 (DNS) | 僅限 DNS 伺服器 | 用於 DNS 查找,以在雲端探索 Webex 伺服器 的 IP 位址。 即使會透過 UDP 完成典型的 DNS 查找,如果查詢回應不適合放在 UDP 封包中,某些查找可能要求 TCP。 | ||
| UCP | 9000、5004 | 輸出至 Webex | 主要 Webex 用戶端媒體(VoIP 和視訊 RTP) | Webex | Webex 用戶端媒體連接埠用於交換電腦音訊、網路攝影機視訊和內容共用串流。 需要開啟此連接埠以確保最佳的媒體體驗。 | ||
| TCP | 5004、443、80 | 輸出至 Webex | 備用 Webex 用戶端媒體(VoIP 和視訊 RTP) | Webex | 當 UDP 連接埠 9000 在防火牆中未開放時,將使用備援連接埠來連線媒體 | ||
| UDP/TCP | 音訊: 52000 至 52049 視訊: 52100 至 52199 | 入埠至您的網路 | Webex用戶端媒體(VoIP 和視訊) | 從 AWS 和 Webex 返回 | 在用戶端建立其連線時,Webex 將與收到的目的地連接埠通訊。 應該設定防火牆以允許這些返回連線經過。
| ||
| TCP/UDP | OS 特定的暫時埠 | 入埠至您的網路 | 來自 Webex 的返回流量 | 從 AWS 和 Webex 返回 | 在用戶端建立其連線時,Webex 將與收到的目的地連接埠通訊。 應該設定防火牆以允許這些返回連線經過。
|
對於啟用Webex for Government 且不允許對 HTTPS 進行基於URL的篩選的客戶,您將需要允許與 AWS Gov Cloud West(區域: us-gov-west-1)及 Cloud Front(服務: CLOUDFRONT)連線。 請複查 AWS 文件,以識別用於 AWS Gov Cloud West 地區及 AWS Cloud Front 的 IP 位址範圍。 AWS 文件可在下列位置取得https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html。 Webex強烈建議盡可能按URL進行篩選。
Cloudfront 用於透過「內容傳遞網路」遞送的靜態內容,以便給國家/地區範圍內的客戶提供最佳效能。
內部註冊的Cisco視訊協作裝置使用的埠
另請參閱適用於啟用視訊裝置的會議的Cisco Webex Meetings企業部署指南
| 通訊協定 | 埠號碼 | 方向 | 存取類型 | IP 範圍 | 意見 |
|---|---|---|---|---|---|
| TCP | 5061 — 5070 | 輸出至 Webex | SIP 訊號 | Webex | Webex Media Edge 在這些埠上接聽 |
| TCP | 5061, 5065 | 輸入至您的網路 | SIP 訊號 | Webex | 來自 Webex 雲端的輸入 SIP 訊號流量 |
| TCP | 5061 | 輸出至 Webex | 來自雲端註冊裝置的 SIP 訊號 | AWS | 從 Webex 應用程式一對一呼叫和雲端註冊裝置輸入至內部註冊 SIP URI 的呼叫。 *5061 為預設埠。 Webex支援客戶使用其SIP SRV 記錄中定義的 5061—5070 連接埠 |
| TCP/UDP | 1719、1720、15000 — 19999 | 輸出至 Webex | H.323 LS | Webex | 如果您的端點需要閘道通訊,請同時開放連接埠 1719,其中包括 |
| TCP/UDP | 暫時埠,36000—59999 | 輸入 | 媒體連接埠 | Webex | 如果是使用 Cisco Expressway,則媒體範圍需要設為 36000-59999。 如果是使用協力廠商端點或通話控制,則需要將其設定成使用此範圍。 |
| TCP | 443 | 輸入 | 內部部署裝置 Proximity | 本地網路 | Webex 應用程式或Webex桌面應用程式本身與使用 HTTPS 的視訊裝置之間必須具有可IPv4路由的路徑 |
對於啟用政府版 Webex 的客戶,接收從 Webex 應用程式一對一呼叫和雲端註冊裝置輸入至內部註冊 SIP URI 的呼叫。 您還必須允許與 AWS Gov Cloud West(地區: us-gov-west-1)連線。 請檢閱 AWS 文件以識別 AWS Gov 雲端西部區域的IP範圍。 可從以下網站獲得 AWS 文件: https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Edge Audio 使用的連接埠
僅當您使用 Edge Audio 時,才需要這樣做。
| 通訊協定 | 埠號碼 | 方向 | 存取類型 | IP 範圍 | 意見 |
|---|---|---|---|---|---|
| TCP | 5061 — 5062 | 輸入至您的網路 | SIP 訊號 | Webex | Edge Audio 的入埠SIP 信號 |
| TCP | 5061 — 5065 | 輸出至 Webex | SIP 訊號 | Webex | Edge Audio 的出埠SIP 信號 |
| TCP/UDP | 暫時埠,8000—59999 | 輸入至您的網路 | 媒體連接埠 | Webex | 在企業防火牆上,需要為 Expressway 的傳入流量開放埠範圍從 8000 到 59999 |
使用以下選項配置 mTLS:
- 設定 Expressway|雙向TLS驗證。
- 支援的根憑證授權機構|Cisco Webex音訊和視訊平台。
- Edge Audio|組態指南。
Webex Calling服務的網域和 URL
URL (例如 *.webex.com)開頭的 * 表示頂層網域和所有子網域中的服務都可存取。
| 網域/ URL | 說明 | 使用這些網域/URL 的Webex應用程式和裝置 | ||
|---|---|---|---|---|
*.webex.com *.cisco.com *.webexgov.us | 核心Webex Calling和Webex Aware 服務 身分佈建 身分儲存 驗證 OAuth 服務 裝置上線 當電話首次連線至網路時,或在未設定DHCP選項的情況下重設成出廠預設值後,它會聯絡裝置啟動伺服器以進行零接觸佈建。 新電話使用 activate.cisco.com 以及韌體版本低於 11.2(1) 的電話,請繼續使用 webapps.cisco.com 進行佈建。 下載裝置韌體和地區設定更新, binary.webex.com 。 | 所有 | ||
| *.wbx2.com 和 *.ciscospark.com | 用於雲端感知、CSDM、WDM、水星等。 這些服務是應用程式和裝置在上線期間和之後聯絡Webex Calling和Webex Aware 服務所必需的。 | 所有 | ||
| *.webexapis.com | 管理您的應用程式和裝置的Webex微型服務。 設定檔圖片服務 白板服務 Proximity 服務 在線狀態服務 註冊服務 行事歷服務 搜尋服務 | 所有 | ||
| *.webexcontent.com | 與一般檔案儲存相關的Webex 傳訊服務,包括: 使用者檔案 轉碼的檔案 影像 螢幕截圖 白板內容 用戶端和裝置記錄 設定檔圖片 品牌標誌 記錄檔案 批量CSV匯出檔案和匯入檔案 (Control Hub) | Webex應用程式傳訊服務。
|
| 網域/ URL | 說明 | 使用這些網域/URL 的Webex應用程式和裝置 |
|---|---|---|
*.appdynamics.com *.eum-appdynamics.com | 效能追蹤、錯誤和毀損擷取、階段作業指標。 | Control Hub |
| *.huron-dev.com | Webex Calling 微服務,如切換服務、電話號碼訂購和指派服務。 | Control Hub |
| *.sipflash.com | 裝置管理服務。 韌體升級和安全上線目的。 | Webex應用程式 |
*.google.com *.googleapis.com | 行動裝置上的Webex應用程式的通知(例如: 新訊息,當通話被接聽時) 對於IP子網路,請參閱下列鏈結 | Webex 應用程式 |
Webex Calling服務的IP子網路
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
Webex Calling使用的連接埠
| 連線目的 | 來源位址 | 來源埠 | 通訊協定 | 目的地位址 | 目的地埠 | 筆記 |
|---|---|---|---|---|---|---|
| Webex Calling 的呼叫訊號 (SIP TLS) | 本機閘道外部 (NIC) | 8000—65535 | TCP | 請參閱 Webex Calling 服務的 IP 子網路。 | 5062, 8934 | 從本區閘道、裝置及應用程式(來源)到雲端(目的地)的外發 SIP-TLS 通話訊號需要這些 IP/Webex Calling埠。 連接埠 5062(基於憑證的 trunk 需要)。 和連接埠 8934(基於註冊的 trunk 必需 |
| 裝置 | 5060 — 5080 | 8934 | ||||
| 應用程式 | 暫時(依賴於作業系統) | |||||
| Webex Calling 的呼叫媒體 (SRTP) | 本機閘道外部 NIC | 8000—48198 † * | UDP | 請參閱 Webex Calling 服務的 IP 子網路。 | 8500—8700,19560—65535(SRTP透過UDP) | 政府版Webex不支援基於 STUN、ICE-Lite 的媒體最佳化。 這些 IP/埠用於從本機閘道、裝置和應用程式(來源)到Webex Calling Cloud(目標)的出埠SRTP通話媒體。 對於在客戶處所內使用防火牆的某些網路拓撲,請允許存取網路內上述的來源和目標埠範圍,以使媒體能夠流經。 範例: 對於應用程式,允許來源和目標埠範圍 8500—8700。 |
| 裝置 | 19560—19660 | |||||
| 應用程式 | 8500 — 8700 | |||||
| PSTN 閘道的呼叫訊號 (SIP TLS) | 本機閘道內部 NIC | 8000—65535 | TCP | 您的 ITSP PSTN GW 或 Unified CM | 視 PSTN 選項而定(例如,對於 Unified CM,通常為 5060 或 5061) | |
| PSTN 閘道的呼叫媒體 (SRTP) | 本機閘道內部 NIC | 8000—48198 † * | UDP | 您的 ITSP PSTN GW 或 Unified CM | 取決於 PSTN 選項(例如, Unified CM的通常為 5060 或 5061) | |
| 裝置設定和韌體管理(Cisco 裝置) | Webex Calling 裝置 | 暫時 | TCP | 3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443、6970 | 需要,原因如下:
|
| 應用程式設定 | Webex Calling 應用程式 | 暫時 | TCP | 62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | 用於 Idbroker 驗證、用戶端的應用程式組態服務、用於自助服務的基於瀏覽器的網頁存取及管理介面存取。 |
| 裝置時間同步 (NTP) | Webex Calling 裝置 | 51494 | UDP | 請參閱 Webex Calling 服務的 IP 子網路。 | 123 | 裝置(MPP 電話、ATA 和 SPA ATA)的時間同步需要這些 IP 位址 |
| 裝置名稱解析和應用程式名稱解析 | Webex Calling 裝置 | 暫時 | UDP與TCP | 主持人定義 | 53 | 用於DNS查找,以發現雲端中Webex Calling服務的IP位址。 即使一般的DNS查詢是透過UDP完成,有些可能需要TCP,如果查詢回應不適合UDP封包。 |
| 應用程式時間同步 | Webex Calling 應用程式 | 123 | UPD | 主持人定義 | 123 | |
| CScan | 網路型網路準備就緒資格預審工具, Webex Calling | 暫時 | UPD | 請參閱 Webex Calling 服務的 IP 子網路。 | 19569—19760 | 用於Webex Calling的網路型網路準備情況預審工具。 如需相關資訊,請轉至 cscan.webex.com。 |
| 連線目的 | 來源位址 | 來源埠 | 通訊協定 | 目的地位址 | 目的地埠 | 筆記 |
|---|---|---|---|---|---|---|
| 推播通知 APNS 和 FCM 服務 | Webex Calling 應用程式 | 暫時 | TCP | 請參閱鏈結下提及的IP子網路 | 443、2197、5228、5229、5230、5223 | 行動裝置上的Webex應用程式的通知(例如: 當您收到新訊息或接聽來電時) |
|
|
