IX システムのポートとプロトコル
改訂日:2017 年 5 月 11 日
概要
臨場感あふれる Cisco TelePresence システムは、統合 IP ネットワークで展開されるように設計されています。多くの企業では、Cisco Unified Communications Manager(Unified CM)に登録しているシステムをさまざまな種類の悪意のある脅威から保護するため、ファイアウォールまたはアクセス コントロール リスト(ACL)(あるいは、その両方)を利用しています。また、ACL は、ローカル エリア ネットワーク(LAN )のアクセス エッジや LAN とワイド エリア ネットワーク(WAN)の交点など、ネットワークのさまざまな場所におけるトラフィックのマーキング、シェーピング、ポリシングを含めた、Quality of Service(QoS)設定の強化のためにもよく使用されます。
Cisco TelePresence と併せてファイアウォールやアクセス コントロール リストを使用する場合には、次の 3 つの主な考慮事項があります。
1. ソリューションの各コンポーネント間で許可する必要がある特定の TCP ポートと UDP ポート。
2. Cisco TelePresence のミーティングの音声およびビデオ メディア ストリームでは、一般的な音声コールに比べ、必要な帯域幅は極めて高く、遅延、ジッター、および損失に対する許容性は非常に低いものとなっています。したがって、特定のルータ、スイッチ、ファイアウォール、侵入防御(IPS)プラットフォーム、およびそれらのパフォーマンス特性について検討する際には、その点を考慮する必要があります。
3. 特定の UDP ポートの動的な開閉のためにアプリケーション レイヤに依存するファイアウォールでは、Cisco TelePresence の固有の SIP プロトコル実装をサポートしていない可能性や、アプリケーション層プロトコルが暗号化されているためにプロトコルの内容を検査できない可能性があります。
このマニュアルでは、上記の 3 つの考慮事項のうち、最初の 1 つのみを取り上げ、Cisco TelePresence で使用する TCP ポートと UDP ポートの一覧を示します。使用すべきルータ、ファイアウォール、IPS プラットフォーム、または設定に関するガイダンスは提供しません。ネットワーク設計の詳細については、『Solution Reference Network Design (SRND)』ガイド( https://www.cisco.com/go/ucsrnd )を参照してください。このマニュアルは、ご使用の Unified CM リリースの SRND ガイドの情報と併せてご利用ください。
(注) 特定のファイアウォール、ACL、および IPS 設定を実稼働環境に展開する前に、それらに対する Cisco TelePresence のテストを徹底的に実施することをお勧めします。
IX システムで使用するポートとプロトコル
この章では、IX システムで使用され、ファイアウォールまたは ACL の管理者にとって関係があるポートについて説明します。内部システム通信に使用されるポートについては、ここでは言及しません。
表 7-1 IX システムで使用するプロトコルとポート
|
|
|
|
|
CDP |
該当なし |
IX コーデック:該当なし |
スイッチ:該当なし |
接続しているアップストリームの Cisco Catalyst イーサネット スイッチに自身の存在をアドバタイズし、パケットにタグ付けする仮想 LAN(VLAN)を学習します。 (注) CDP は、レイヤ 2 プロトコルであるため、トランスポートに TCP や UDP を使用しません。 |
DHCP |
UDP |
0.0.0.0:68 IX コーデック:68 |
ブロードキャスト:67 |
IP アドレスを DHCP サーバに要求します。 (注) すべての CTS エンドポイントで DHCP ではなく静的 IP アドレッシングを使用することをお勧めします。 |
UDP |
0.0.0.0: 67 DHCP:67 |
ブロードキャスト:68 |
IP アドレスの要求に応じて DHCP サーバから送信されます。 |
ICMP |
該当なし |
任意:該当なし |
任意:該当なし |
ICMP は、デバイスが到達可能かどうかを判断するために使用されることがあります(たとえば、ICMP エコー要求と応答など)。デバイスまたはポートが到達不能になったことを示すため、ICMP 到達不能メッセージがデバイスによって送信されることがあります。パケットの存続可能時間(ttl)を超過したことを示すため、ICMP 時間超過メッセージがデバイスによって送信されることがあります。 |
NTP |
UDP |
IX コーデック:123 |
NTP:123 |
CTS のハードウェア クロックと NTP サーバを同期させます。 |
DNS |
UDP |
IX コーデック:エフェメラル |
DNS:53 |
ホスト名を IP アドレスに解決します。 |
HTTP |
TCP |
任意:エフェメラル |
IX コーデック:80、443 |
IX コーデックの管理 Web インターフェイスにアクセスします。ポート 80 はポート 443 に自動的にリダイレクトされます。 |
|
IX コーデック:エフェメラル |
CUCM:6970 |
コンフィギュレーション ファイルとファームウェア ファイルを Cisco Unified CM TFTP サービスからダウンロードします。 (注) IX コーデックは、TFTP ではなく HTTP を使用して、これらのファイルにアクセスします。 |
IX コーデック:エフェメラル |
CUCM:8080 |
Cisco Unified IP Phone ユーザ インターフェイスのディレクトリ機能で Cisco Unified CM の LDAP ディレクトリを検索するために使用されます。 |
- IX コーデック:エフェメラル
- CTS-Manager:エフェメラル
|
- CTS-Manager:8080、8444
- IX コーデック:8081、9501
|
XML/SOAP を使用して、CTS-Manager とのミーティングのスケジュールおよびシステム動作ステータスの調整を行います。
- セキュリティがイネーブルの場合、CTS はポート 8444 を使用し、CTS-Manager は CTS のポート 9501(推奨)を使用します。
- セキュリティがイネーブルでない場合、CTS は CTS-Manager のポート 8080 を使用し、CTS-Manager は CTS のポート 8081 を使用します。
|
IX コーデック:エフェメラル |
CTMS:9501 |
サイト/セグメントのスイッチングやミーティングのロック/ロック解除など、ミーテング中の制御のため、各 CTS と CTMS 間で XML を使用します。 |
SSH |
TCP |
任意:エフェメラル |
IX コーデック:22 |
IX コーデックの管理コマンドライン インターフェイス(CLI)にアクセスします。 |
SNMP |
UDP |
任意:エフェメラル |
IX コーデック:161 |
SNMP クエリを管理ステーションから受信します。 |
IX コーデック:エフェメラル |
SNMP:162 |
SNMP トラップを管理ステーションに送信します。 |
CAPF |
TCP |
IX コーデック:エフェメラル |
CUCM:3804 |
製造元でインストールされる証明書(MIC, Manufacturing Installed Certificate)を登録するか、またはローカルで有効な証明書(LSC)を Cisco Unified CM の認証局プロキシ機能(CAPF)サービスから取得します。 |
CTL |
TCP |
IX コーデック:エフェメラル |
CUCM:6970 および 2444(注を参照) |
証明書信頼リスト(CTL)を Cisco Unified CM の証明書信頼リスト(CTL)プロバイダー サービスからダウンロードします。CTL のダウンロード時にはポート 2444 が使用されます。 |
SIP |
UDP |
IX コーデック:エフェメラル |
CUCM:5060 |
CTS と Cisco Unified CM 間の登録とコール シグナリングに使用されます。次のいずれかの値を取ることができます。
- UDP ポート 5060
- TCP ポート 5060
- SIP over TLS がイネーブルの場合は TCP ポート 5061(推奨)。
|
TCP |
CUCM:5060、5061 |
RTP |
UDP |
IX コーデック:16384~32768 |
任意:任意 |
音声およびビデオ メディアを送受信します。 |
XML-RPC |
TCP |
IX コーデック:エフェメラル |
電話:61456 |
MIDlet 電話ユーザ インターフェイス(UI)を自動起動します。 |
電話:エフェメラル |
IX コーデック:61457 |
MIDlet 電話 UI に通知を送信します。 |
電話:エフェメラル |
IX コーデック:61458 |
MIDlet 電話 UI から通知を受信します。 |
Cisco TelePresence Server で使用するポートとプロトコル
表 7-2 に、Cisco TelePresence Server で使用するポートの一覧を示します。
(注) この表は、Cisco TelePresence Server MSE 8710 のデフォルトの一覧です。次の TelePresence Server 製品では、FTP ポートや H.323 ポートは使用しません。
- Cisco TelePresence Server on Multiparty Media 3 x 0
- 仮想マシンの Cisco TelePresence サーバ
表 7-2 Cisco TelePresence Server で使用するプロトコルとポート
|
|
|
|
HTTP |
[TCP] |
80 |
HTTP ポート |
HTTPS |
[TCP] |
443 |
HTTPS ポート(HTTPS port) |
H.323 |
[TCP] |
1720 |
H.323 用の着信ポート |
SIP(TCP) |
[TCP] |
5060 |
SIP ポート(SIP port) |
暗号化 SIP(TLS) |
[TCP] |
5061 |
暗号化 SIP ポート |
FTP |
[TCP] |
21 |
FTP ポート |
SIP(UDP) |
UDP |
5060 |
暗号化 SIP ポート |
該当なし |
該当なし |
49152~65535 |
Ephemeral ポート |
Cisco TelePresence Multipoint Switch(CTMS)で使用するポートとプロトコル
表 7-3 に、Cisco TelePresence Multipoint Switch に関する情報を示します。
表 7-3 Cisco TelePresence Multipoint Switch
|
|
|
|
|
CDP |
該当なし |
該当なし |
該当なし |
接続しているアップストリームの Cisco Catalyst イーサネット スイッチに自身の存在をアドバタイズします。 (注) CDP は、レイヤ 2 プロトコルであるため、TCP や UDP を使用しません。 |
DHCP |
UDP |
0.0.0.0:68 CTMS:68 |
ブロードキャスト:67 |
IP アドレスを DHCP サーバに要求します。 (注) DHCP ではなく静的 IP アドレッシングを使用することをお勧めします。 |
0.0.0.0:67 DHCP:67 |
ブロードキャスト:68 |
IP アドレスの要求に応じて DHCP サーバから送信されます。 |
ICMP |
該当なし |
任意:該当なし |
任意:該当なし |
ICMP は、デバイスが到達可能かどうかを判断するために使用されることがあります(たとえば、ICMP エコー要求と応答など)。デバイスまたはポートが到達不能になったことを示すため、ICMP 到達不能メッセージがデバイスによって送信されることがあります。パケットの存続可能時間(ttl)を超過したことを示すため、ICMP 時間超過メッセージがデバイスによって送信されることがあります。 |
NTP |
UDP |
CTMS:123 |
NTP:123 |
CTMS のハードウェア クロックと NTP サーバを同期させます。 |
DNS |
UDP |
CTMS:エフェメラル |
DNS:53 |
ホスト名を IP アドレスに解決します。 |
HTTP |
[TCP] |
- CTMS:エフェメラル
- CTS-Manager:エフェメラル
|
- CTS-Manager:8080、8444
- CTMS:8080、8444
|
XML/SOAP over HTTP または HTTP を使用して、CTS-Manager と CTMS 間でミーティングのスケジュールおよびシステム動作ステータスの調整を行います。
- セキュリティがイネーブルの場合、CTMS は CTS-Manager のポート 8444 を使用し、CTS-Manager は CTMS のポート 8444(推奨)を使用します。
- セキュリティがイネーブルでない場合、CTMS は CTS-Manager のポート 8080 を使用し、CTS-Manager は CTMS のポート 8080 を使用します。
|
任意:エフェメラル |
CTMS:80、443 |
CTMS の管理 Web インターフェイスにアクセスします。ポート 80 はポート 443 に自動的にリダイレクトされます。 |
IX コーデック:エフェメラル |
CTMS:9501 |
サイト/セグメントのスイッチングやミーティングのロック/ロック解除など、ミーテング中の制御のため、各 CTS と CTMS 間で XML を使用します。このポートは、セキュア モードと非セキュア モードの両方で同じです。 |
SSH |
[TCP] |
任意:エフェメラル |
CTMS:22 |
CTMS の管理コマンドライン インターフェイス(CLI)にアクセスします。 |
SNMP |
UDP |
任意:エフェメラル |
CTMS:161 |
SNMP クエリを管理ステーションから受信します。 |
CTMS:エフェメラル |
SNMP:162 |
SNMP トラップを管理ステーションに送信します。 |
SIP |
UDP |
CTMS:エフェメラル |
CUCM:5060、5061 |
Cisco Unified CM とのコール シグナリングに使用されます。
- セキュリティがイネーブルでない場合、UDP または TCP ポート 5060 を使用します。
- セキュリティがイネーブルの場合、UDP または TCP を使用します。
(注) 常に Cisco Unified CM に対する SIP TCP ソケットを開始する CTS エンドポイントとは異なり、CTMS の場合は、どちらの側からも接続を開始できます。 |
CUCM:エフェメラル |
CTMS:5060、5061 |
[TCP] |
CTMS:エフェメラル |
CUCM:5060、5061 |
CUCM:エフェメラル |
CTMS:5060、5061 |
RTP |
UDP |
CTMS:16384~32768 |
任意:任意 |
音声およびビデオ メディアを送受信します。 |
Cisco IOS IP サービスレベル契約(IPSLA)に使用されるポートとプロトコル
Cisco IOS IP サービスレベル契約(IPSLA)は、ネットワーク パスを測定して評価するために Cisco TelePresence のインストール前によく使用されます。
表 7-4 に、Cisco TelePresence のネットワーク パス アセスメント(NPA)テストを実施するために使用される IPSLA UDP ジッター プローブ操作に関連する特定のポートを示します。「エージェント」は IPSLA テスト パケットを生成するルータであり、「レスポンダ」はそれらの要求に応答するルータです。「両方」は、そのようなパケットをエージェントとレスポンダのいずれかが生成する可能性があることを意味します。
(注) 表 7-4 に、IPSLA エージェント ルータと IPSLA レスポンダ ルータで最もよく使用されるポートを示します。IPSLA は Cisco IOS 上で動作するため、これらのルータが通信に使用する他のポートが存在する場合があります。
表 7-4 Cisco IOS IP サービスの IPSLA のサポート
|
|
|
|
|
CDP |
該当なし |
該当なし |
該当なし |
接続しているアップストリームの Cisco Catalyst イーサネット スイッチに自身の存在をアドバタイズします。 (注) CDP は、レイヤ 2 プロトコルであるため、TCP や UDP を使用しません。 |
ICMP |
該当なし |
任意:該当なし |
任意:該当なし |
ICMP は、デバイスが到達可能かどうかを判断するために使用されることがあります(たとえば、ICMP エコー要求と応答など)。デバイスまたはポートが到達不能になったことを示すため、ICMP 到達不能メッセージがデバイスによって送信されることがあります。パケットの存続可能時間(ttl)を超過したことを示すため、ICMP 時間超過メッセージがデバイスによって送信されることがあります。 |
NTP |
UDP |
両方:123 |
NTP:123 |
Cisco IOS IPSLA ルータのハードウェア クロックと NTP サーバを同期させます。 |
DNS |
UDP |
両方:エフェメラル |
DNS:53 |
ホスト名を IP アドレスに解決します。 |
SSH |
[TCP] |
任意:エフェメラル |
両方:22 |
Cisco IOS IPSLA ルータの管理コマンドライン インターフェイス(CLI)にアクセスします。 |
SNMP |
UDP |
任意:エフェメラル |
両方:161 |
SNMP クエリを管理ステーションから受信します。 |
両方:エフェメラル |
任意:162 |
SNMP トラップを管理ステーションに送信します。 |
IPSLA |
UDP |
エージェント:エフェメラル |
レスポンダ:1967 |
エージェントとレスポンダ間で新しい IPSLA 操作を通知します。 |
RTP |
UDP |
エージェント:エフェメラル |
レスポンダ:16384~32768(設定可能) |
エージェントからレスポンダに音声およびビデオ メディアを送信します。すると、レスポンダが、それらのパケットをエージェントに返します。特定の宛先 UDP ポートを IPSLA エージェント設定で定義できます。 |