管理

• HTTPS：TCP/443

• SSH サーバー：TCP/22

• CoA

• 外部 RESTful サービス（ERS）REST API：TCP/9060

  （注）

  ERS サービスと OpenAPI サービスは、ポート 443 を介して動作する HTTPS 専用の REST API です。現在、ERS API もポート 9060 を介して動作します。ただし、ポート 9060 は、以降の Cisco ISE リリースの ERS API ではサポートされない可能性があります。ERS API にはポート 443 のみを使用することをお勧めします。ポート 9060 のデフォルトの conn-limit 値は 30 です。連続して ERS API コールが HTTP 502 エラーを返す場合は、コマンド conn-limit cl1 60 port 9060 を使用して、ポート 9060 の conn-limit 値を 60 に増やすことを推奨します。

• 管理者 GUI からのゲストアカウントの管理：TCP/9002

• ElasticSearch（コンテキストの可視性、プライマリからセカンダリ管理者ノードへのデータのレプリケート）：TCP/9300

—

モニターリング

• SNMP クエリー：UDP/161

• ICMP

ロギング（アウトバウンド）

• syslog：UDP/20514、TCP/1468

• セキュア syslog：TCP/6514

• SNMP トラップ：UDP/162

外部 ID ソースおよびリソース（アウトバウンド）

• 管理ユーザー インターフェイスおよびエンドポイント認証：

  • LDAP：TCP/389、3268、UDP/389

  • SMB：TCP/445

  • KDC：TCP/88

  • KPASS：TCP/464

• WMI：TCP/135

• ODBC：

  （注）	ODBC ポートはサードパーティ データベース サーバーで設定できます。

  • Microsoft SQL：TCP/1433

  • Sybase：TCP/2638

  • PostgreSQL：TCP/5432

  • Oracle：TCP/1521、

• NTP：UDP/123（localhost インターフェイスのみ）

• DNS：UDP/53、TCP/53

電子メール

ゲストアカウントおよびユーザーパスワードの有効期限の電子メール通知：SMTP：TCP/25

スマート ライセンス

TCP/443 経由のシスコのクラウドへの接続

TCP/443 と ICMP を介した SSM オンプレミスサーバーへの接続

管理

• HTTPS は TCP ポート 443 を使用します。

• SSH サーバーは TCP ポート 22 を使用します。

—

モニターリング

Simple Network Management Protocol [SNMP]：SNMP は UDP ポート 161 を使用します。

• ICMP

ログ

• Syslog は UDP ポート 20514 と TCP ポート 1468 を使用します。

• セキュア Syslog は TCP ポート 6514 を使用します。

• SMTP はアラームの電子メール用に TCP ポート 25 を使用します。

• SNMP トラップは UDP ポート 162 を使用します。

外部 ID ソースおよびリソース（アウトバウンド）

• 管理ユーザー インターフェイスおよびエンドポイント認証：

  • LDAP は TCP ポート 389 および 3268 と UDP ポート 389 を使用します。

  • SMB は TCP ポート 445 を使用します。

  • KDC は TCP ポート 88 と UDP ポート 88 を使用します。

  • KPASS は TCP ポート 464 を使用します。

• WMI は TCP ポート 135 を使用します。

• ODBC：

  （注）	ODBC ポートはサードパーティ データベース サーバーで設定できます。

  • Microsoft SQL は TCP ポート 1433 を使用します。

  • Sybase は TCP ポート 2638 を使用します。

  • PostgreSQL は TCP ポート 5432 を使用します。

  • Oracle は TCP ポート 1521、15723、および 16820 を使用します。

• NTP は UDP ポート 123 を使用します（localhost インターフェイスのみ）。

• DNS は UDP ポート 53 と TCP ポート 53 を使用します。

インバウンド通信に使用されるポート

• MnT REST API のルーティングのために有効になっている ISE API ゲートウェイを持つ Cisco ISE ノードからの MnT インバウンド通信は TCP ポート 9443 を使用します。

• MnT ノードで TCP ポート 1521 を有効にします。このポートは、ポリシー管理ノード（PAN）からのインバウンド通信に必要です。

• オープン API 用に、TCP ポート 443 をグローバルに有効にし、TCP ポート 9070 をノード間で有効にします。

• ERS API 用に TCP ポート 443 および 9060 を有効にします。

pxGrid の一括ダウンロード

TCP/9993、2000

管理

• HTTPS：TCP/443

• SSH サーバー：TCP/22

• OCSP：TCP/2560

デバイスは、ギガビットイーサネット 0 を介してのみ管理できます。

クラスタリング（ノード グループ）

ノード グループ/JGroups：TCP/7800

—

SCEP

TCP/9090

—

IPsec/ISAKMP

UDP/500

—

デバイス管理

TACACS+：TCP/49

TrustSec

HTTP と Cisco ISE REST API を使用して、ポート 9063 を介して TrustSec データをネットワークデバイスに転送します。

SXP

• PSN（SXP ノード）から NAD：TCP/64999

• PSN から SXP へ（同じ Cisco ISE での内部通信）： TCP/9644

TC-NAC

TCP/443

モニターリング

Simple Network Management Protocol [SNMP]：UDP/161

ロギング（アウトバウンド）

• syslog：UDP/20514、TCP/1468

• セキュア syslog：TCP/6514

• SNMP トラップ：UDP/162

セッション

• RADIUS 認証：UDP/1645、1812

• RADIUS アカウンティング：UDP/1646、1813

• RADIUS DTLS 認証/アカウンティング：UDP/2083

• RADIUS 許可変更（CoA）送信：UDP/1700

• RADIUS 許可変更（CoA）リッスン/リレー：UDP/1700、3799

外部 ID ソースおよびリソース（アウトバウンド）

• 管理ユーザー インターフェイスおよびエンドポイント認証：

  • LDAP：TCP/389、3268

  • SMB：TCP/445

  • KDC：TCP/88

  • KPASS：TCP/464

• WMI：TCP/135

• ODBC：

  （注）	ODBC ポートはサードパーティ データベース サーバーで設定できます。

  • Microsoft SQL：TCP/1433

  • Sybase：TCP/2638

  • PostgreSQL：TCP/5432

  • Oracle：TCP/1521

• NTP：UDP/123（localhost インターフェイスのみ）

• DNS：UDP/53、TCP/53

パッシブ ID（インバウンド）

• TS エージェント：TCP/9094

• AD エージェント：TCP/9095

• syslog：UDP/40514、TCP/11468

Web ポータル サービス：

- ゲスト/Web 認証

- ゲスト スポンサー ポータル

- デバイス ポータル

- クライアントのプロビジョニング

- 証明書のプロビジョニング

- ブロックリストポータル

HTTPS（インターフェイスは Cisco ISE のサービスに対して有効にする必要があります）：

• ブロックリストポータル：TCP/8000-8999（デフォルトポートは TCP/8444 ）

• ゲストポータルおよびクライアントのプロビジョニング：TCP/8000-8999（デフォルトポートは TCP/8443）

• 証明書のプロビジョニングポータル：TCP/8000-8999（デフォルトポートは TCP/8443 ）

• デバイスポータル：TCP/8000-8999（デフォルトポートは TCP/8443）

• スポンサーポータル：TCP/8000-8999（デフォルトポートは TCP/8443）

• ゲストとスポンサーのポータルからの SMTP ゲストの通知：TCP/25

ポスチャ

- 検出

- プロビジョニング

- アセスメント/ハートビート

• 検出（クライアント側）：TCP/8905（HTTPS）

  （注）

  Cisco ISE は、TCP ポート 8905 のポスチャおよびクライアント プロビジョニングの管理証明書を提示します。 Cisco ISE は、TCP ポート 8443（またはポータルで使用するために設定したポート）のポータル証明書を提示します。 Cisco ISE 3.1 以降では、ポート 8905 は非ポリシーサービスノードでデフォルトで無効になっています。このポートを有効にするには、[全般設定（General Settings）] ウィンドウ（[管理（Administration）] > [システム（System）] > [設定（Settings）] > [ポスチャ（Posture）] > [全般設定（General Settings）]）で、[ポスチャサービスの非ポリシーサービスノードでポート8905を有効にする（Enable Port 8905 on non-Policy Service Nodes for Posture Services）] チェックボックスをオンにします。

• 検出（ポリシー サービス ノード側）：TCP/8443、8905（HTTPS）

  AnyConnect リリース 4.4 以降が搭載された Cisco ISE リリース 2.2 以降から、このポートは設定可能です。

• アセスメント - ポスチャ ネゴシエーションとエージェント レポート：TCP/8905（HTTPS）

• 双方向ポスチャフロー：TCP/8000 〜 8999（デフォルトポートは TCP/8449）

個人所有デバイスの持ち込み（BYOD）/ネットワーク サービス プロトコル（NSP）

- リダイレクト

- プロビジョニング

- SCEP

• プロビジョニング - URL リダイレクト：「Web ポータル サービス：ゲスト ポータルおよびクライアント プロビジョニング」を参照してください。

• EST 認証付きの Android デバイスの場合：TCP/8084 Android デバイスの場合、ポート 8084 を リダイレクト ACL に追加する必要があります。

• プロビジョニング - ActiveX と Java アプレットのインストール（ウィザードのインストールの開始を含む）：「Web ポータル サービス：ゲスト ポータルおよびクライアント プロビジョニング」を参照してください。

• プロビジョニング - Cisco ISE からのウィザードのインストール（Windows および Mac OS）：TCP/8443

• プロビジョニング - Google Play（Android）からのウィザードのインストール：TCP/443

• プロビジョニング - サプリカントのプロビジョニング プロセス：TCP/8905

• CA への SCEP プロキシ：TCP/443（SCEP RA URL の設定に基づく）

モバイル デバイス管理（MDM）API の統合

• URL リダイレクト：「Web ポータル サービス：ゲスト ポータルおよびクライアント プロビジョニング」を参照してください。

• API：ベンダー固有

• エージェントのインストールおよびデバイスの登録：ベンダー固有

プロファイリング

• NetFlow：UDP/9996

  （注）	このポートは、設定可能です。

• DHCP：UDP/67

  （注）	このポートは、設定可能です。

• DHCP SPAN プローブ：UDP/68

• HTTP：8080

• DNS：UDP/53（ルックアップ）

  （注）	このポートは、ルート テーブルによって異なります。

• SNMP クエリー：UDP/161

  （注）	このポートは、ルート テーブルによって異なります。

• SNMP トラップ：UDP/162

  （注）	このポートは、設定可能です。

pxGrid 登録者数

TCP ポート 8910

ノード間通信

TCP ポート 8910