感謝您的意見回饋。
Webex 政府版 (FedRAMP) 的網路需求
意見回饋?
會議連接埠和 IP 範圍快速參考
FedRAMP 會議叢集上部署的站點使用下列 IP 範圍。對於本文檔,這些範圍被稱為「Webex IP 範圍」:
- 150.253.150.0/23 (150.253.150.0 至 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 至 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 至 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 至 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 至 170.72.254.255)
- 170.133.156.0/22(170.133.156.0 到 170.133.159.255)
- 207.182.160.0/21(207.182.160.0 到 207.182.167.255)
- 207.182.168.0/23(207.182.168.0 到 207.182.169.255)
- 207.182.176.0/22(207.182.176.0 到 207.182.179.255)
- 207.182.190.0/23(207.182.190.0 到 207.182.191.255)
- 216.151.130.0/24(216.151.130.0 到 216.151.130.255)
- 216.151.134.0/24(216.151.134.0 到 216.151.134.255)
- 216.151.135.0/25(216.151.135.0 到 216.151.135.127)
- 216.151.135.240/28(216.151.135.240 到 216.151.135.255)
- 216.151.138.0/24(216.151.138.0 到 216.151.138.255)
- 216.151.139.0/25(216.151.139.0 到 216.151.139.127)
- 216.151.139.240/28(216.151.139.241 到 216.151.139.254)
已部署的服務
在此 IP 範圍內部署的服務包括但不限於下列內容:
- 會議網站(例如,customersite.webex.com)
- 會議資料伺服器
- 用於收發電腦音訊 (VoIP) 和網路攝影機視訊的多媒體伺服器
- XML/API 服務,包括生產力工具調度
- 網路型錄製 (NBR) 伺服器
- 主要服務處於維護狀態或遇到技術困難時使用輔助服務
下列 URI 用於檢查安全憑證的「憑證撤銷清單」。「憑證撤銷清單」用於確保不會使用任何受損憑證來攔截安全的 Webex 流量。此流量會出現在 TCP 埠 80 上:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com(IdenTrust 憑證)
以下 UserAgent 將由 Webex 中的 utiltp 進程傳遞,並應允許通過機構的防火牆:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping 作為允許的 URL 的一部分。它被用作設備激活過程的一部分,並且「設備在知道它是 FedRAMP 設備之前就使用它。設備向其發送一個不帶 FedRAMP 訊息的啟動碼,服務發現這是一個 FedRAMP 啟動碼,然後將其重定向。 」
所有 FedRAMP 流量都需要 TLS 1.2 加密和針對本地 SIP 註冊裝置的 mTLS 1.2 加密。
Webex Meetings 用戶端(包括雲端註冊設備)使用的連接埠
| 通訊協定 | 埠號 | 方向 | 流量類型 | IP 範圍 | 意見 |
|---|---|---|---|---|---|
| TCP | 80/443 | 輸出至 Webex | HTTP、HTTPS | Webex 和 AWS(不建議按 IP 位址進行篩選) |
Webex 建議按 URL 進行過濾。如果按 IP 位址過濾,則必須允許 AWS GovCloud、Cloudfront 和 Webex IP 範圍。 |
| TCP/UDP | 53 | 輸出至本地 DNS | 網域名稱服務 (DNS) | 僅限 DNS 伺服器 | 用於 DNS 查找,以在雲端探索 Webex 伺服器 的 IP 位址。即使會透過 UDP 完成典型的 DNS 查找,如果查詢回應不適合放在 UDP 封包中,某些查找可能要求 TCP。 |
| UDP | 9000, 5004 | 輸出至 Webex | 主要 Webex 用戶端媒體(VoIP 和視訊 RTP) | Webex | Webex 用戶端媒體埠用於交換電腦音訊、網路攝影機視訊和內容共用串流。需要打開此連接埠以確保最佳的媒體體驗。 |
| TCP | 5004, 443, 80 | 輸出至 Webex | 備用 Webex 用戶端媒體(VoIP 和視訊 RTP) | Webex | 當 UDP 埠 9000 在防火牆中未開放時,將使用備援埠來連線媒體 |
| UDP/TCP |
音訊:52000 至 52049 視訊:52100 至 52199 | 進入您的網絡 | Webex 用戶端媒體(VoIP 與視訊) | 從 AWS 和 Webex 返回 |
在用戶端建立其連線時,Webex 將與收到的目的地連接埠通訊。應該設定防火牆以允許這些返回連線經過。 預設會啟用此功能。 |
| TCP/UDP | OS 特定的暫時埠 | 進入您的網絡 | 來自 Webex 的返回流量 | 從 AWS 和 Webex 返回 |
在用戶端建立其連線時,Webex 將與收到的目的地連接埠通訊。應該設定防火牆以允許這些返回連線經過。 這通常會在狀態防火牆中自動打開,但是為了完整性而在此列出。 |
對於啟用 Webex for Government 但無法允許基於 URL 的 HTTPS 過濾的客戶,您將需要允許與 AWS Gov Cloud West(區域:us-gov-west-1)及 Cloud Front(服務:CLOUDFRONT)連線。請複查 AWS 文件,以識別用於 AWS Gov Cloud West 地區及 AWS Cloud Front 的 IP 位址範圍。AWS 文件可在 https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html處找到。Webex 強烈建議盡可能按 URL 進行過濾。
Cloudfront 用於透過「內容傳遞網路」遞送的靜態內容,以便給國家/地區範圍內的客戶提供最佳效能。
本地註冊的思科視訊協作設備所使用的端口
另請參閱 Cisco Webex Meetings 企業部署指南(適用於支援視訊設備的會議)
| 通訊協定 | 連接埠號 | 方向 | 訪問類型 | IP 範圍 | 意見 |
|---|---|---|---|---|---|
| TCP | 5061—5070 | 輸出至 Webex | SIP 訊號 | Webex | Webex Media Edge 在這些埠上接聽 |
| TCP | 5061, 5065 | 輸入至您的網路 | SIP 訊號 | Webex | 來自 Webex 雲端的輸入 SIP 訊號流量 |
| TCP | 5061 | 輸出至 Webex | 來自雲端註冊裝置的 SIP 訊號 | AWS | 來自 Webex 應用程式的入站呼叫 1:1 將通話和雲端註冊設備連接到您本地註冊的 SIP URI。 *5061 是預設連接埠。Webex 支援 5061—5070 連接埠供客戶使用,如其 SIP SRV 記錄所定義 |
| TCP/UDP | 1719, 1720, 15000—19999 | 輸出至 Webex | H.323 LS | Webex | 如果您的端點需要網守通信,請同時開啟連接埠 1719,其中包括 Lifesize |
| TCP/UDP | 臨時端口,36000—59999 | 入埠 | 媒體連接埠 | Webex | 如果是使用 Cisco Expressway,則媒體範圍需要設為 36000-59999。如果您使用第三方端點或呼叫控制,則需要對其進行配置以使用此範圍。 |
| TCP | 443 | 輸入 | 內部部署裝置 Proximity | 本地網路 | Webex 應用程式或 Webex 桌面應用程式必須使用 HTTPS 在自身和視訊設備之間建立 IPv4 可路由路徑 |
對於啟用政府版 Webex 的客戶,接收從 Webex 應用程式一對一呼叫和雲端註冊裝置輸入至內部註冊 SIP URI 的呼叫。您還必須允許與 AWS Gov Cloud West(地區:us-gov-west-1)連線。請查看 AWS 文件以確定 AWS Gov Cloud West 區域的 IP 範圍。可從以下網站獲得 AWS 文件: https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Edge Audio 使用的連接埠
只有當您利用 Edge Audio 時才需要這樣做。
| 通訊協定 | 連接埠號 | 方向 | 訪問類型 | IP 範圍 | 意見 |
|---|---|---|---|---|---|
| TCP | 5061—5062 | 輸入至您的網路 | SIP 訊號 | Webex | Edge 音訊的入站 SIP 訊號 |
| TCP | 5061—5065 | 輸出至 Webex | SIP 訊號 | Webex | Edge 音訊的出站 SIP 訊號 |
| TCP/UDP | 臨時端口,8000—59999 | 輸入至您的網路 | 媒體連接埠 | Webex | 在企業防火牆上,需要開放連接埠以接收通往 Expressway 的傳入流量,連接埠範圍為 8000—59999 |
使用以下選項配置 mTLS:
- 設定Expressway | TLS 驗證 。
- 支援根憑證授權單位Cisco Webex | 音訊和視Cisco Webex平臺 。
- Edge Audio | 設定指南.
Webex Calling 服務的網域和 URL
一個 * 顯示在 URL 開頭(例如, *.webex.com) 表示頂級域及所有子網域內的服務都可以存取。
| Domain/URL | 說明 | 使用這些的 Webex 應用程式和設備 domains/URLs |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
核心 Webex Calling & Webex Aware 服務 身分配置 身分儲存 驗證 OAuth 服務 裝置加入 當手機首次連接到網路或恢復原廠設定且未設定 DHCP 選項時,它會聯絡裝置以啟動伺服器進行零接觸配置。新電話使用 activate.cisco.com,韌體版本早於 11.2(1) 的電話繼續使用 webapps.cisco.com 進行設定。 從 binaries.webex.com下載設備韌體和區域設定更新。 | 所有 |
| *.wbx2.com 和 *.ciscospark.com | 用於雲感知、CSDM、WDM、水銀等。這些服務是應用程式和裝置連接 Webex Calling 所必需的 & 入職期間和入職後的 Webex Aware 服務。 | 所有 |
| *.webexapis.com |
管理您的應用程式和裝置的 Webex 微服務。 個人資料圖片服務 白板服務 鄰近服務 狀態服務 註冊服務 日曆服務 搜尋服務 | 所有 |
| *.webexcontent.com |
與一般文件儲存相關的 Webex 訊息服務包括: 使用者檔案 轉碼文件 影像 截圖 白板內容 客戶 & 設備日誌 設定檔圖片 品牌識別 日誌檔 批量匯出 CSV 文件 & 導入文件(控制中心) | Webex App 訊息服務。 2019 年 10 月,使用 webexcontent.com 的檔案儲存被 clouddrive.com 取代 |
| Domain/URL | 說明 | 使用這些的 Webex 應用程式和設備 domains/URLs |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | 效能追蹤、錯誤和毀損擷取、階段作業指標。 | Control Hub |
| *.huron-dev.com | Webex Calling 微服務,如切換服務、電話號碼訂購和指派服務。 | Control Hub |
| *.sipflash.com | 設備管理服務。韌體升級和安全入職目的。 | Webex 應用程式 |
|
*.google.com *.googleapis.com |
向行動裝置上的 Webex 應用程式發送通知(例如:新訊息(接聽電話時) 對於 IP 子網,請參閱這些鏈接 | Webex 應用程式 |
Webex Calling 服務的 IP 子網
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
- 144.196.17.0/24
Webex Calling 使用的連接埠
| 連線目的 | 來源位址 | 來源埠 | 通訊協定 | 目的地位址 | 目的地埠 | 附註 |
|---|---|---|---|---|---|---|
| Webex Calling 的呼叫訊號 (SIP TLS) | 本機閘道外部 (NIC) | 8000—65535 | TCP | 請參閱 Webex Calling 服務的 IP 子網路。 | 5062, 8934 |
從本區閘道、裝置及應用程式(來源)到雲端(目的地)的外發 SIP-TLS 通話訊號需要這些 IP/Webex Calling埠。 連接埠 5062(基於憑證的中繼所需)。以及連接埠 8934(註冊中繼所需) |
| 裝置 | 5060—5080 | 8934 | ||||
| 應用程式 | 暫時(依賴於作業系統) | |||||
| Webex Calling 的呼叫媒體 (SRTP) | 本機閘道外部 NIC | 8000—48198†* | UDP | 請參閱 Webex Calling 服務的 IP 子網路。 |
8500—8700,19560—65535(基於UDP的SRTP) |
Webex for Government 不支援基於 STUN、ICE-Lite 的媒體最佳化。 這些 IPs/ports 用於從本機閘道、裝置和應用程式(來源)到 Webex Calling Cloud(目的地)的出站 SRTP 通話媒體。 對於客戶場所內使用防火牆的某些網路拓撲,允許存取網路內提到的來源和目標連接埠範圍,以便媒體串流。 範例:對於應用程序,允許來源和目標連接埠範圍為 8500—8700。 |
| 裝置 | 19560—19660 | |||||
| 應用程式 | 8500—8700 | |||||
| PSTN 閘道的呼叫訊號 (SIP TLS) | 本機閘道內部 NIC | 8000—65535 | TCP | 您的 ITSP PSTN GW 或 Unified CM | 視 PSTN 選項而定(例如,對於 Unified CM,通常為 5060 或 5061) | |
| PSTN 閘道的呼叫媒體 (SRTP) | 本機閘道內部 NIC | 8000—48198†* | UDP | 您的 ITSP PSTN GW 或 Unified CM | 取決於 PSTN 選項(例如,對於 Unified CM 通常為 5060 或 5061) | |
| 裝置設定和韌體管理(Cisco 裝置) | Webex Calling 裝置 | 暫時 | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
出於以下原因,需要這樣做:
|
| 應用程式設定 | Webex Calling 應用程式 | 暫時 | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | 用於 Idbroker 身份驗證、客戶端應用程式設定服務、基於瀏覽器的自助網路存取和管理介面存取。 |
| 裝置時間同步 (NTP) | Webex Calling 裝置 | 51494 | UDP | 請參閱 Webex Calling 服務的 IP 子網路。 | 123 | 裝置(MPP 電話、ATA 和 SPA ATA)的時間同步需要這些 IP 位址 |
| 設備名稱解析和應用程式名稱解析 | Webex Calling 裝置 | 暫時 | UDP 和 TCP | 主持人定義 | 53 | 用於 DNS 查找以發現雲端 Webex Calling 服務的 IP 位址。 儘管典型的 DNS 查找是透過 UDP 完成的,但如果查詢回應無法放入 UDP 封包中,則有些可能需要 TCP。 |
| 應用程式時間同步 | Webex Calling 應用程式 | 123 | UPD | 主持人定義 | 123 | |
| CScan | 基於 Web 的 Webex Calling 網路就緒預審工具 | 暫時 | UPD | 請參閱 Webex Calling 服務的 IP 子網路。 | 19569—19760 | 基於 Web 的 Webex Calling 網路準備預審工具。如需相關資訊,請轉至 cscan.webex.com。 |
| 連線目的 | 來源位址 | 來源埠 | 通訊協定 | 目的地位址 | 目的地埠 | 附註 |
|---|---|---|---|---|---|---|
| 推播通知 APNS 和 FCM 服務 | Webex Calling 應用程式 | 暫時 | TCP |
請參閱連結中提到的 IP 子網 | 443, 2197, 5228, 5229, 5230, 5223 | 向行動裝置上的 Webex 應用程式發送通知(例如:當您收到新訊息或接聽電話時) |
- †*CUBE 媒體連接埠範圍可使用 rtp-port range設定。
- 如果您的應用程式和裝置配置了代理伺服器位址,則訊號流量將傳送至該代理程式。透過 UDP 傳輸的 SRTP 媒體不會傳送到代理伺服器。它必須直接流向您的防火牆。
- 如果您在企業網路內使用 NTP 和 DNS 服務,請透過防火牆開啟連接埠 53 和 123。
