简介
本文档介绍有关统一无线解决方案使用的端口号的信息。
背景信息
本文档的主要目的是提供包含CUWN解决方案的整合通信协议来源。目标是基于此信息实施适当的防火墙和安全策略,以适当保护CUWN基础设施。
使用的术语
以下是本文档中使用的术语列表:
- 无线控制系统 — WCS
- 网络控制系统 — NCS
- Cisco Prime基础设施 — PI
- 无线LAN控制器 — WLC
- 移动服务引擎 — MSE
- 操作系统 — 操作系统
- 接入点 — AP
- 安全外壳 — SSH
- 简单邮件传输协议 — SMTP
- 身份验证、授权和记帐 — AAA
- 域名系统 — DNS
- 身份服务引擎 — ISE
- 网络时间协议 — NTP
- 简单对象访问协议 — SOAP
- 高可用性 — HA
- 服务质量 — QoS
- 数据库 — DB
- 远程桌面协议 — RDP
- 虚拟网络计算 — VNC
- 传输层安全 — TLS
- 思科位置控制协议 — LOCP
- Internet控制消息协议 — ICMP
- 简单网络管理协议 — SNMP
- 网络移动服务协议 — NMSP
- 自适应无线入侵防御系统 — AwIPS
- IP以太网 — EoIP
- 欺诈位置发现协议 — RDLP
- 无线接入点的控制和调配 — CAPWAP
- 轻量接入点协议 — LWAPP
- 网络频谱接口 — NSI
- OfficeExtend接入点 — OEAP
网络概述
网络图
协议和端口号信息
以下是本文档中的表列表:
表 1.WCS/NCS/PI协议和端口
WCS/NCS/PI协议 |
源设备 |
目的设备 |
协议 |
目标端口 |
描述 |
WCS/NCS/PI |
WLC和MSE |
TCP |
21 |
FTP — 用于在设备之间传输文件 |
各种管理站 |
WCS主机服务器OS-Linux |
TCP |
22 |
SSH — 用于远程Linux主机访问 |
WCS/NCS/PI |
思科aIOS® AP |
TCP |
23 |
Telnet — 用于Cisco aIOS AP配置 |
WCS/NCS/PI |
SMTP邮件服务器 |
TCP |
25 |
SMTP — 用于故障通知 |
AAA服务器/ISE |
WCS/NCS/PI |
TCP/UDP |
49 |
TACACS+ |
WCS/NCS/PI |
aIOS AP |
UDP |
53 |
DNS — 用于Cisco aIOS AP配置 |
WLC |
WCS/NCS/PI |
UDP |
69 |
TFTP — 用于在设备之间传输文件 |
各种管理站 |
WCS/NCS/PI |
TCP |
80 |
HTTP(可在安装时配置) |
NTP 服务器 |
WLC |
UDP |
123 |
NTP |
WLC和MSE |
WCS/NCS/PI |
UDP |
161 |
SNMP发现、清点Cisco aIOS AP及其他 |
WLC和MSE |
WCS/NCS/PI |
UDP |
162 |
SNMP 陷阱接收器 |
各种管理站 |
WCS/NCS/PI |
TCP |
443 |
HTTPS(可在安装时配置) |
MSE |
WCS/NCS/PI |
TCP |
443 |
SOAP/XML(用于MSE管理的SOAP) |
WLC |
WCS/NCS/PI |
UDP |
514 |
系统日志(可选) |
仅限本地 |
WCS/NCS/PI |
TCP |
1299 |
RMI注册表端口(仅本地) |
HA服务器和其他各种服务器 |
WCS/NCS/PI |
TCP |
1315 |
数据库服务器HA(QoS) |
WCS高可用性服务器 |
WCS/NCS/PI |
TCP |
1316-1320 |
高可用性数据库端口 |
AAA服务器/ISE |
WCS/NCS/PI |
UDP |
1812/1645 |
RADIUS |
AAA服务器/ISE |
WCS/NCS/PI |
UDP |
1813/1646 |
RADIUS |
各种管理站 |
WCS主机服务器操作系统 — Microsoft Windows |
TCP/UDP |
3389 |
RDP - Microsoft Windows远程桌面(可选) |
多种 |
WCS/NCS/PI |
TCP |
5001 |
Apache Axis SOAP监控:Java监听程序 |
各种管理站 |
WCS主机服务器操作系统 — Microsoft Windows |
TCP |
5500 |
VNC — (可选)用于远程Microsoft Windows主机访问 |
各种管理站 |
WCS主机服务器操作系统 — Microsoft Windows |
TCP |
5800 |
VNC — (可选)用于远程Microsoft Windows主机访问 |
各种管理站 |
WCS主机服务器操作系统 — Microsoft Windows |
TCP/UDP |
5900 |
VNC — (可选)用于远程Microsoft Windows主机访问 |
仅限本地 |
WCS/NCS/PI |
TCP |
6789 |
RMI服务器端口(仅本地) |
MSE — 位置设备 |
WCS/NCS/PI |
TCP |
8001 |
位置服务器数据同步。通信端口 |
仅限本地 |
WCS/NCS/PI |
TCP |
8005 |
Tomcat关闭端口 |
仅限本地 |
WCS/NCS/PI |
TCP |
8009 |
Web服务器/Java服务器连接器(仅本地) |
HA Web服务器 |
WCS/NCS/PI |
TCP |
8082 |
HA Web服务器端口:WCS HA的运行状况监视器 |
各种管理站 |
WCS/NCS/PI |
TCP |
8456 |
HTTP 接口 |
各种管理站 |
WCS/NCS/PI |
TCP |
8457 |
HTTP 重定向 |
各种管理站 |
WCS/NCS/PI |
TCP |
16113 |
LOCP TLS端口 |
WLC |
WCS/NCS/PI |
UDP |
29001-29005 |
TFTP子线程 |
多种 |
无线接入点 |
ICMP |
|
ICMP — 可选 |
WLC |
CMX 10.2.X |
NMSP、AoA、80、443、161、162 |
16113、2003、HTTP、HTTPS、ICMP、SNMP |
|
表 2.MSE - AwIPS协议
MSE - AwIPS协议 |
源设备 |
目的设备 |
协议 |
目标端口 |
描述 |
WCS/NCS/PI |
MSE |
TCP |
21 |
FTP — 用于在设备之间传输文件 |
各种管理站 |
MSE主机服务器OS-Linux |
TCP |
22 |
SSH — 用于远程Linux主机访问 |
WCS/NCS/PI |
MSE |
TCP |
80 |
HTTP(可在安装时配置) |
NTP 服务器 |
WLC |
UDP |
123 |
NTP |
WCS/NCS/PI |
MSE |
UDP |
161 |
SNMP |
MSE |
WCS/NCS/PI |
UDP |
162 |
SNMP 陷阱接收器 |
WCS/NCS/PI |
MSE |
TCP |
443 |
HTTPS(可在安装时配置) |
WCS/NCS/PI |
MSE |
TCP |
443 |
SOAP/XML |
WCS/NCS/PI |
MSE |
TCP |
8001 |
HTTPS(可在安装时配置) |
WLC |
MSE和频谱专家 |
TCP |
16113 |
NMSP |
多种 |
无线接入点 |
ICMP |
|
ICMP — 可选 |
表 3.MSE — 情景协议
MSE — 情景感知和AwIPS协议 |
源设备 |
目的设备 |
协议 |
目标端口 |
描述 |
WCS/NCS/PI |
MSE |
TCP |
21 |
FTP — 用于在设备之间传输文件 |
各种管理站 |
MSE主机服务器OS-Linux |
TCP |
22 |
SSH — 用于远程Linux主机访问 |
WCS/NCS/PI |
MSE |
TCP |
80 |
HTTP(可在安装时配置) |
NTP 服务器 |
WLC |
UDP |
123 |
NTP |
WCS/NCS/PI |
MSE |
UDP |
161 |
SNMP |
MSE |
WCS/NCS/PI |
UDP |
162 |
SNMP 陷阱接收器 |
WCS/NCS/PI |
MSE |
TCP |
443 |
HTTPS(可在安装时配置) |
WCS/NCS/PI |
MSE |
TCP |
443 |
SOAP/XML |
WCS/NCS/PI |
MSE |
TCP |
8001 |
HTTPS(可在安装时配置) |
WLC和Catalyst LAN交换机 |
MSE和频谱专家 |
TCP |
16113 |
NMSP |
多种 |
无线接入点 |
ICMP |
|
ICMP — 可选 |
表 4.WLC协议
WLC协议 |
源设备 |
目的设备 |
协议 |
目标端口 |
源端口 |
描述 |
WCS/NCS/PI |
WLC |
TCP |
21 |
0:65535 |
FTP — 用于在设备之间传输文件 |
WCS和各种管理站 |
WLC |
TCP |
22 |
0:65535 |
SSH — 用于远程管理(可选) |
WCS和各种管理站 |
WLC |
TCP |
23 |
0:65535 |
Telnet — 用于远程管理(可选) |
AAA服务器/ISE |
WLC |
TCP/UDP |
49 |
0:65535 |
TACACS+ |
WCS和各种管理站 |
WLC |
UDP |
69 |
0:65535 |
TFTP — 用于在设备之间传输文件 |
各种管理站 |
WLC |
TCP |
80 |
0:65535 |
HTTP(可在安装时配置) |
WLC |
WLC |
TCP |
91 |
0:65535 |
|
WLC移动组成员 |
WLC |
EoIP IP协议97 |
EoIP IP协议97 |
0:65535 |
EoIP隧道 — 客户端锚点/隧道流量 |
NTP 服务器 |
WLC |
UDP |
123 |
0:65535 |
NTP |
WCS/NCS/PI |
WLC |
UDP |
161 |
161 |
SNMP |
WCS/NCS/PI |
WLC |
UDP |
162 |
0:65535 |
SNMP 陷阱接收器 |
各种管理站 |
WLC |
TCP |
443 |
0:65535 |
HTTPS(可在安装时配置) |
WLC和各种系统日志服务器 |
WLC |
UDP |
514 |
0:65535 |
系统日志(可选) |
AAA服务器/ISE |
WLC |
UDP |
1812/1645 |
0:65535 |
RADIUS |
AAA服务器/ISE |
WLC |
UDP |
1813/1646 |
0:65535 |
RADIUS |
无线接入点 |
WLC |
UDP |
6352 |
0:65535 |
RDLP |
各种管理站(MSE、频谱专家) |
WLC |
TCP |
16113 |
0:65535 |
LOCP TLS端口NMSP |
WLC |
WLC |
UDP |
16666 |
16666 |
移动性 — 非安全 |
WLC |
WLC |
UDP |
16667 |
|
移动性 — 版**中的安全。删除了5.2+功能 |
无线接入点 |
WLC |
UDP |
5246-5247 |
0:65535 |
CAPWAP Ctl/Data |
无线接入点 |
WLC |
UDP |
5248 |
0:65535 |
CAPWAP Mcast。 |
多种 |
无线接入点 |
ICMP |
|
|
ICMP — 可选 |
mDNS |
WLC/网络 |
UDP |
5353 |
0:65535 |
mDNS |
RADIUS 服务器 |
WLC |
UDP |
1700 |
0::65535 |
CoA radius数据包 |
表 5.AP协议
AP CAPWAP-LWAPP协议 |
源设备 |
目的设备 |
协议 |
目标端口 |
描述 |
多种 |
无线接入点 |
UDP |
69 |
TFTP — 用于远程代码更新 |
多种 |
无线接入点 |
TCP |
22 |
SSH — 用于可选的远程故障排除访问。可以管理性禁用。 |
多种 |
无线接入点 |
TCP |
23 |
Telnet — 用于可选的远程故障排除访问。可以管理性禁用。 |
无线接入点 |
DNS 服务器 |
TCP/UDP |
53 |
DNS |
无线接入点 |
DHCP 服务器 |
UDP |
68 |
DHCP |
无线接入点 |
多种 |
UDP |
514 |
Syslog — 目标可配置。默认值为 255.255.255.255。 |
WLC |
无线接入点 |
UDP |
1024 - 65535* |
CAPWAP Ctl/Data |
WLC |
无线接入点 |
UDP |
5248 |
CAPWAP Mcast。 |
无线接入点 |
WLC |
UDP |
6352 |
RDLP |
无线接入点 |
监控PC |
TCP |
37540于2.4 GHz,37550于5 GHz |
用于SE-Connect的NSI协议 |
多种 |
无线接入点 |
ICMP |
|
ICMP — 可选 |
无线接入点 |
无线接入点 |
UDP |
16670 |
客户端策略(AVC) |
* -当AP加入WLC时,为范围1024 - 65535内的每个AP分配任意端口号。只要AP已连接,WLC就会使用数字作为CAPWAP Ctl/Data的目标端口。
表 6.OEAP600防火墙协议
AP CAPWAP-LWAPP协议 |
源设备 |
目的设备 |
协议 |
目标端口 |
描述 |
WLC |
无线接入点 |
UDP |
5246-5247 |
CAPWAP Ctl/Data |