Page 1
Cisco ISE ポートリファレンス
• Cisco ISEインフラストラクチャ, 1 ページ
• Cisco ISE管理ノードのポート, 3 ページ
• Cisco ISEモニタリングノードのポート, 5 ページ
• Cisco ISEポリシーサービスノードのポート, 7 ページ
• Cisco ISE pxGridサービスポート, 13 ページ
• OCSPおよび CRLサービスポート, 14 ページ
Cisco ISE インフラストラクチャこの付録では、Cisco ISEが外部アプリケーションやデバイスとのイントラネットワーク通信に使用する、TCPおよび User Datagram Protocol(UDP)のポートの一覧を示します。この付録に示される Cisco ISEポートが、対応するファイアウォールでオープンになっている必要があります。
Cisco ISEネットワークでサービスを設定する場合は、次の情報に注意してください。
• Cisco ISE管理は、ギガビットイーサネット 0でのみ使用できます。
• RADIUSはすべてのネットワークインターフェイスカード(NIC)でリッスンします。
• Cisco ISEサーバインターフェイスは VLANタギングをサポートしていません。Cisco ISEノードへの接続に使用するスイッチポートの VLANトランキングを無効にし、アクセスレイヤポートとして設定してください。
•すべての NICが IPアドレスを使用して設定できます。
Cisco Identity Services Engine リリース 2.1 インストールガイド1
Page 2
Cisco Identity Services Engine リリース 2.1 インストールガイド2
Cisco ISE ポートリファレンスCisco ISE インフラストラクチャ
Page 3
Cisco ISE 管理ノードのポートその他のイーサネットイン
ターフェイス(ギガビット
イーサネット 1 ~ 5、またはボンド 1 および 2)のポート
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
—• HTTP:TCP/80、HTTPS:TCP/443(TCP/443にリダイレクトされた TCP/80。設定不可)
• SSHサーバ:TCP/22
•外部 RESTfulサービス(ERS)REST API:TCP/9060
• TCP:9002(管理GUIからスポンサーポータルを表
示するため)
ポート 80および 443は、管理Webアプリケーションをサポート
していて、デフォルト
でイネーブルになって
います。
(注)
ギガビットイーサ
ネット 0では、CiscoISEへの HTTPSおよび SSHアクセスは制限されています。
(注)
管理(Administration)
—• HTTPS(SOAP):TCP/443
•データの同期/レプリケーション(JGroups):TCP/12001(グローバル)
複製および同期
SNMPクエリー:UDP/161
このポートは、ルートテーブルによって異なりま
す。
(注)
モニタリング(Monitoring)
Cisco Identity Services Engine リリース 2.1 インストールガイド3
Cisco ISE ポートリファレンスCisco ISE 管理ノードのポート
Page 4
その他のイーサネットイン
ターフェイス(ギガビット
イーサネット 1 ~ 5、またはボンド 1 および 2)のポート
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
• syslog:UDP/20514、TCP/1468
•セキュア syslog:TCP/6514
デフォルトポートは外部ロギング用に設定できま
す。
(注)
• SNMPトラップ:UDP/162
ロギング(アウトバウンド)
•管理ユーザインターフェイスおよびエンドポイント認証:
◦ LDAP:TCP/389、3268、UDP/389
◦ SMB:TCP/445
◦ KDC:TCP/88、UDP/88
◦ KPASS:TCP/464
• WMI(パッシブ統合アイデンティティサービスおよびSCCM-MDM統合によって使用される):TCP/135、TCP/5985、TCP/5986
• ODBC:ODBCポートはサードパーティデータベースサーバで設定できます。
(注)
◦ Microsoft SQL:TCP/1433
◦ Sybase:TCP/2638
◦ PortgreSQL:TCP/5432
◦ Oracle:TCP/1512
• NTP:UDP/123
• DNS:UDP/53、TCP/53
ギガビットイーサネット 0インターフェイス以外のインターフェイスのみから到達可能な外部のア
イデンティティソースおよびサービス用に、適切
にスタティックルートを設定します。
(注)
外部 IDソースおよびリソース(アウトバウンド)
Cisco Identity Services Engine リリース 2.1 インストールガイド4
Cisco ISE ポートリファレンスCisco ISE 管理ノードのポート
Page 5
その他のイーサネットイン
ターフェイス(ギガビット
イーサネット 1 ~ 5、またはボンド 1 および 2)のポート
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
ゲストアカウントの有効期限の電子メール通知:SMTP:TCP/25
ゲスト
TCP/443経由のシスコのクラウドへの接続スマートライセンス
Cisco ISE モニタリングノードのポートその他のイーサネットインター
フェイス(ギガビットイーサ
ネット 1 ~ 5、またはボンド 1およびボンド 2)のポート
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
—• HTTP:TCP/80、HTTPS:TCP/443
• SSHサーバ:TCP/22
管理(Administration)
Oracle DBリスナー:TCP/1521• HTTPS(SOAP):TCP/443
• Oracle DBリスナー:TCP/1521
•データの同期/レプリケーション(JGroups):TCP/12001(グローバル)
複製および同期
Simple Network Management Protocol [SNMP]:UDP/161
このポートは、ルートテーブルによって異なりま
す。
(注)
モニタリング(Monitoring)
Cisco Identity Services Engine リリース 2.1 インストールガイド5
Cisco ISE ポートリファレンスCisco ISE モニタリングノードのポート
Page 6
その他のイーサネットインター
フェイス(ギガビットイーサ
ネット 1 ~ 5、またはボンド 1およびボンド 2)のポート
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
• syslog:UDP/20514、TCP/1468
•セキュア syslog:TCP/6514
デフォルトポートは外部ロギング用に設定できま
す。
(注)
• SMTP:TCP/25
• SNMPトラップ:UDP/162
ログ
•管理ユーザインターフェイスおよびエンドポイント認証:
◦ LDAP:TCP/389、3268、UDP/389
◦ SMB:TCP/445
◦ KDC:TCP/88、UDP/88
◦ KPASS:TCP/464
• ODBC:ODBCポートはサードパーティデータベースサーバで設定できます。
(注)
◦ Microsoft SQL:TCP/1433
◦ Sybase:TCP/2638
◦ PortgreSQL:TCP/5432
◦ Oracle:TCP/1512
• NTP:UDP/123
• DNS:UDP/53、TCP/53
ギガビットイーサネット 0インターフェイス以外のインターフェイスのみから到達可能な外部のアイデン
ティティソースおよびサービス用に、適切にスタ
ティックルートを設定します。
(注)
外部 IDソースおよびリソース(アウトバウンド)
SSL:TCP/8910pxGridの一括ダウンロード
Cisco Identity Services Engine リリース 2.1 インストールガイド6
Cisco ISE ポートリファレンスCisco ISE モニタリングノードのポート
Page 7
Cisco ISE ポリシーサービスノードのポートその他のイーサネットインター
フェイス、またはボンド 1 およびボンド 2
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
Cisco ISE管理は、ギガビットイーサネット0でのみ使用できます。
• HTTP:TCP/80、HTTPS:TCP/443
• SSHサーバ:TCP/22
• OCSP:TCP/2560
管理(Administration)
—• HTTPS(SOAP):TCP/443
•データの同期/レプリケーション(JGroups):TCP/12001(グローバル)
複製および同期
—•ノードグループ/JGroups:TCP/7800
•ノード障害検出:TCP/7802
クラスタリング(ノードグ
ループ)
—TCP/9090CA PKI
TACACS+:TCP/49
このポートは、リリース 2.1で設定できます。
(注)
デバイス管理
• PSN(SXPノード)から NAD:TCP/64999
• PSNから SXP(ノード間通信):TCP/443
SXP
TCP/443TC-NAC
Simple Network Management Protocol [SNMP]:UDP/161
このポートは、ルートテーブルによって異なりま
す。
(注)
モニタリング(Monitoring)
Cisco Identity Services Engine リリース 2.1 インストールガイド7
Cisco ISE ポートリファレンスCisco ISE ポリシーサービスノードのポート
Page 8
その他のイーサネットインター
フェイス、またはボンド 1 およびボンド 2
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
• syslog:UDP/20514、TCP/1468
•セキュア syslog:TCP/6514
デフォルトポートは外部ロギング用に設定できま
す。
(注)
• SNMPトラップ:UDP/162
ロギング(アウトバウン
ド)
• RADIUS認証:UDP/1645、1812
• RADIUSアカウンティング:UDP/1646、1813
• RADIUS許可変更(CoA)送信:UDP/1700
• RADIUS許可変更(CoA)リッスン/リレー:UDP/1700、3799
UDPポート 3799は、設定できません。
(注)
セッション(Session)
Cisco Identity Services Engine リリース 2.1 インストールガイド8
Cisco ISE ポートリファレンスCisco ISE ポリシーサービスノードのポート
Page 9
その他のイーサネットインター
フェイス、またはボンド 1 およびボンド 2
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
•管理ユーザインターフェイスおよびエンドポイント認証:
◦ LDAP:TCP/389、3268
◦ SMB:TCP/445
◦ KDC:TCP/88
◦ KPASS:TCP/464
• WMI(パッシブ統合アイデンティティサービスおよびSCCM-MDM統合によって使用される):TCP/135、TCP/5985、TCP/5986
• ODBC:ODBCポートはサードパーティデータベースサーバで設定できます。
(注)
◦ Microsoft SQL:TCP/1433
◦ Sybase:TCP/2638
◦ PortgreSQL:TCP/5432
◦ Oracle:TCP/1512
• NTP:UDP/123
• DNS:UDP/53、TCP/53
ギガビットイーサネット 0インターフェイス以外のインターフェイスのみから到達可能な外部のアイデンティティ
ソースおよびサービス用に、適切にスタティックルート
を設定します。
(注)
外部 IDソースおよびリソース(アウトバウンド)
Cisco Identity Services Engine リリース 2.1 インストールガイド9
Cisco ISE ポートリファレンスCisco ISE ポリシーサービスノードのポート
Page 10
その他のイーサネットインター
フェイス、またはボンド 1 およびボンド 2
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
HTTPS(インターフェイスは Cisco ISEのサービスに対して有効にする必要があります):
•ブラックリストポータル:TCP/8000-8999(デフォルトポートは TCP/8444です)。
•ゲストポータルとクライアントのプロビジョニング:TCP/8000-8999(デフォルトポートは TCP/8443です)。
•証明書のプロビジョニングポータル:TCP/8000-8999(デフォルトポートは TCP/8443です)。
•デバイスポータル:TCP/8000-8999(デフォルトポートはTCP/8443です)。
•スポンサーポータル:TCP/8000-8999(デフォルトポートはTCP/8443です)。
• SMTP通知:TCP/25
Webポータルサービス:
-ゲスト/Web認証
-ゲストスポンサーポータル
-デバイスポータル
-クライアントのプロビジョニング
-証明書のプロビジョニング
-ポータルのブラックリスト化
Cisco Identity Services Engine リリース 2.1 インストールガイド10
Cisco ISE ポートリファレンスCisco ISE ポリシーサービスノードのポート
Page 11
その他のイーサネットインター
フェイス、またはボンド 1 およびボンド 2
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
•検出(クライアント側):TCP/80(HTTP)、TCP/8905(HTTPS)
デフォルトでは、TCP/80は TCP/8443にリダイレクトされます。「Webポータルサービス:ゲストポータルおよびクライアントプロビジョニング」を参照
してください。
(注)
•検出(ポリシーサービスノード側):TCP/8443、8905(HTTPS)
•プロビジョニング - URLリダイレクト:「Webポータルサービス:ゲストポータルおよびクライアントプロビジョニン
グ」を参照してください。
•プロビジョニング -ActiveXと Javaアプレットのインストール(IP更新を含む)、Webエージェントのインストール、および NACエージェントのインストールの開始:「Webポータルサービス:ゲストポータルおよびクライアントプロビジョ
ニング」を参照してください。
•プロビジョニング - NAC Agentのインストール:TCP/8443
•プロビジョニング - NAC Agentの更新通知:UDP/8905(SWISS)
•プロビジョニング -NACAgentおよび他のパッケージ/モジュールの更新:TCP/8905(HTTPS)
•アセスメント -ポスチャネゴシエーションとエージェントレポート:TCP/8905(HTTPS)
•アセスメント - PRA/キープアライブ:UDP/8905(SWISS)
ポスチャ(Posture)
-検出
-プロビジョニング
-アセスメント/ハートビート
Cisco Identity Services Engine リリース 2.1 インストールガイド11
Cisco ISE ポートリファレンスCisco ISE ポリシーサービスノードのポート
Page 12
その他のイーサネットインター
フェイス、またはボンド 1 およびボンド 2
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
•プロビジョニング - URLリダイレクト:「Webポータルサービス:ゲストポータルおよびクライアントプロビジョニン
グ」を参照してください。
•プロビジョニング -ActiveXと Javaアプレットのインストール(ウィザードのインストールの開始を含む):「Webポータルサービス:ゲストポータルおよびクライアントプロビジョ
ニング」を参照してください。
•プロビジョニング - Cisco ISEからのウィザードのインストール(WindowsおよびMac OS):TCP/8443
•プロビジョニング - Google Play(Android)からのウィザードのインストール:TCP/443
•プロビジョニング -サプリカントのプロビジョニングプロセス:TCP/8905
• CAへの SCEPプロキシ:TCP/80または TCP/443(SCEP RAURLの設定に基づく)
個人所有デバイスの持ち込
み(BYOD)/ネットワークサービスプロトコル
(NSP)
-リダイレクト
-プロビジョニング
- SCEP
• URLリダイレクト:「Webポータルサービス:ゲストポータルおよびクライアントプロビジョニング」を参照してくだ
さい。
• API:ベンダー固有
•エージェントのインストールおよびデバイスの登録:ベンダー固有
モバイルデバイス管理
(MDM)APIの統合
Cisco Identity Services Engine リリース 2.1 インストールガイド12
Cisco ISE ポートリファレンスCisco ISE ポリシーサービスノードのポート
Page 13
その他のイーサネットインター
フェイス、またはボンド 1 およびボンド 2
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
• NetFlow:UDP/9996
このポートは、設定可能で
す。
(注)
• DHCP:UDP/67
このポートは、設定可能で
す。
(注)
• DHCP SPANプローブ:UDP/68
• HTTP:TCP/80、8080
• DNS:UDP/53(ルックアップ)
このポートは、ルートテーブルによって異なりま
す。
(注)
• SNMPクエリー:UDP/161
このポートは、ルートテーブルによって異なりま
す。
(注)
• SNMPトラップ:UDP/162
このポートは、設定可能で
す。
(注)
プロファイリング
Cisco ISE pxGrid サービスポートその他のイーサネットインター
フェイス(ギガビットイーサ
ネット 1 ~ 5、またはボンド 1およびボンド 2)のポート
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
—• SSL:TCP/5222(ノード間通信)
• SSL:TCP/7400(ノードグループ通信)
管理(Administration)
Cisco Identity Services Engine リリース 2.1 インストールガイド13
Cisco ISE ポートリファレンスCisco ISE pxGrid サービスポート
Page 14
その他のイーサネットインター
フェイス(ギガビットイーサ
ネット 1 ~ 5、またはボンド 1およびボンド 2)のポート
ギガビットイーサネット 0 またはボンド 0 のポート
Cisco ISE サービス
—データの同期およびレプリケー
ション(JGroups):TCP/12001(グローバル)
複製および同期
OCSP および CRL サービスポートCisco ISEサービスおよびポートへの参照には Cisco ISE管理ノード、ポリシーサービスノード、モニタリングノードで個別に使用される基本ポートが表示されますが、Online Certificate StatusProtocol(OCSP)サービスおよび証明書失効リスト(CRL)の場合、ポートは CAサーバまたはOCSP/CRLをホストするサービスによって異なります。
OCSPの場合、使用可能なデフォルトポートは TCP 80/TCP 443です。Cisco ISE管理者ポータルでは、OCSPサービス用のHTTPベースのURLが予期されるため、TCP 80がデフォルトです。デフォルト以外のポートも使用できます。
CRLの場合、デフォルトのプロトコルには、HTTP、HTTPS、および LDAPが含まれており、それぞれのデフォルトポートは 80、443、および 389になります。実際のポートは CRLサーバで設定されます。
Cisco Identity Services Engine リリース 2.1 インストールガイド14
Cisco ISE ポートリファレンスOCSP および CRL サービスポート