简介
本文档介绍有关统一无线解决方案(CUWN WLC)使用的端口号的信息。
背景信息
本文档的主要目的是提供包含CUWN解决方案的整合通信协议来源。目标是基于此信息实施适当的防火墙和安全策略,以适当保护CUWN基础设施。
使用的术语
以下是本文档中使用的术语列表:
- 无线控制系统 — WCS
- 网络控制系统 — NCS
- Cisco Prime基础设施 — PI
- 无线LAN控制器 — WLC
- 移动服务引擎 — MSE
- 操作系统 — 操作系统
- 接入点 — AP
- 安全外壳 — SSH
- 简单邮件传输协议 — SMTP
- 身份验证、授权和记帐 — AAA
- 域名系统 — DNS
- 身份服务引擎 — ISE
- 网络时间协议 — NTP
- 简单对象访问协议 — SOAP
- 高可用性 — HA
- 服务质量 — QoS
- 数据库 — DB
- 远程桌面协议 — RDP
- 虚拟网络计算 — VNC
- 传输层安全 — TLS
- 思科位置控制协议 — LOCP
- Internet控制消息协议 — ICMP
- 简单网络管理协议 — SNMP
- 网络移动服务协议 — NMSP
- 自适应无线入侵防御系统 — AwIPS
- IP以太网 — EoIP
- 欺诈位置发现协议 — RDLP
- 无线接入点的控制和调配 — CAPWAP
- 轻量接入点协议 — LWAPP
- 网络频谱接口 — NSI
- OfficeExtend接入点 — OEAP
网络概述
网络图
协议和端口号信息
以下是本文档中的表列表:
表1. WCS/NCS/PI协议和端口
WCS/NCS/PI协议
|
源设备
|
目的设备
|
协议
|
目标端口
|
描述
|
WCS/NCS/PI
|
WLC和MSE
|
TCP
|
21
|
FTP — 用于在设备之间传输文件
|
各种管理站
|
WCS主机服务器OS-Linux
|
TCP
|
22
|
SSH — 用于远程Linux主机访问
|
WCS/NCS/PI
|
思科aIOS® AP
|
TCP
|
23
|
Telnet — 用于Cisco aIOS AP配置
|
WCS/NCS/PI
|
SMTP邮件服务器
|
TCP
|
25
|
SMTP — 用于故障通知
|
AAA服务器/ISE
|
WCS/NCS/PI
|
TCP/UDP
|
49
|
TACACS+
|
WCS/NCS/PI
|
aIOS AP
|
UDP
|
53
|
DNS — 用于Cisco aIOS AP配置
|
WLC
|
WCS/NCS/PI
|
UDP
|
69
|
TFTP — 用于在设备之间传输文件
|
各种管理站
|
WCS/NCS/PI
|
TCP
|
80
|
HTTP(可在安装时配置)
|
NTP 服务器
|
WLC
|
UDP
|
123
|
NTP
|
WLC和MSE
|
WCS/NCS/PI
|
UDP
|
161
|
SNMP发现、清点Cisco aIOS AP及其他
|
WLC和MSE
|
WCS/NCS/PI
|
UDP
|
162
|
SNMP 陷阱接收器
|
各种管理站
|
WCS/NCS/PI
|
TCP
|
443
|
HTTPS(可在安装时配置)
|
MSE
|
WCS/NCS/PI
|
TCP
|
443
|
SOAP/XML(用于MSE管理的SOAP)
|
WLC
|
WCS/NCS/PI
|
UDP
|
514
|
系统日志(可选)
|
仅限本地
|
WCS/NCS/PI
|
TCP
|
1299
|
RMI注册表端口(仅本地)
|
HA服务器和其他各种服务器
|
WCS/NCS/PI
|
TCP
|
1315
|
数据库服务器HA(QoS)
|
WCS高可用性服务器
|
WCS/NCS/PI
|
TCP
|
1316-1320
|
高可用性数据库端口
|
AAA服务器/ISE
|
WCS/NCS/PI
|
UDP
|
1812/1645
|
RADIUS
|
AAA服务器/ISE
|
WCS/NCS/PI
|
UDP
|
1813/1646
|
RADIUS
|
各种管理站
|
WCS主机服务器操作系统 — Microsoft Windows
|
TCP/UDP
|
3389
|
RDP - Microsoft Windows远程桌面(可选)
|
多种
|
WCS/NCS/PI
|
TCP
|
5001
|
Apache Axis SOAP监控:Java监听程序
|
各种管理站
|
WCS主机服务器操作系统 — Microsoft Windows
|
TCP
|
5500
|
VNC — (可选)用于远程Microsoft Windows主机访问
|
各种管理站
|
WCS主机服务器操作系统 — Microsoft Windows
|
TCP
|
5800
|
VNC — (可选)用于远程Microsoft Windows主机访问
|
各种管理站
|
WCS主机服务器操作系统 — Microsoft Windows
|
TCP/UDP
|
5900
|
VNC — (可选)用于远程Microsoft Windows主机访问
|
仅限本地
|
WCS/NCS/PI
|
TCP
|
6789
|
RMI服务器端口(仅本地)
|
MSE — 位置设备
|
WCS/NCS/PI
|
TCP
|
8001
|
位置服务器数据同步。通信端口
|
仅限本地
|
WCS/NCS/PI
|
TCP
|
8005
|
Tomcat关闭端口
|
仅限本地
|
WCS/NCS/PI
|
TCP
|
8009
|
Web服务器/Java服务器连接器(仅本地)
|
HA Web服务器
|
WCS/NCS/PI
|
TCP
|
8082
|
HA Web服务器端口:WCS HA的运行状况监视器
|
各种管理站
|
WCS/NCS/PI
|
TCP
|
8456
|
HTTP 接口
|
各种管理站
|
WCS/NCS/PI
|
TCP
|
8457
|
HTTP 重定向
|
各种管理站
|
WCS/NCS/PI
|
TCP
|
16113
|
LOCP TLS端口
|
WLC
|
WCS/NCS/PI
|
UDP
|
29001-29005
|
TFTP子线程
|
多种
|
无线接入点
|
ICMP
|
|
ICMP — 可选
|
WLC
|
CMX 10.2.X
|
NMSP、AoA、80、443、161、162
|
16113、2003、HTTP、HTTPS、ICMP、SNMP
|
|
表2. MSE - AwIPS协议
MSE - AwIPS协议
|
源设备
|
目的设备
|
协议
|
目标端口
|
描述
|
WCS/NCS/PI
|
MSE
|
TCP
|
21
|
FTP — 用于在设备之间传输文件
|
各种管理站
|
MSE主机服务器OS-Linux
|
TCP
|
22
|
SSH — 用于远程Linux主机访问
|
WCS/NCS/PI
|
MSE
|
TCP
|
80
|
HTTP(可在安装时配置)
|
NTP 服务器
|
WLC
|
UDP
|
123
|
NTP
|
WCS/NCS/PI
|
MSE
|
UDP
|
161
|
SNMP
|
MSE
|
WCS/NCS/PI
|
UDP
|
162
|
SNMP 陷阱接收器
|
WCS/NCS/PI
|
MSE
|
TCP
|
443
|
HTTPS(可在安装时配置)
|
WCS/NCS/PI
|
MSE
|
TCP
|
443
|
SOAP/XML
|
WCS/NCS/PI
|
MSE
|
TCP
|
8001
|
HTTPS(可在安装时配置)
|
WLC
|
MSE和频谱专家
|
TCP
|
16113
|
NMSP
|
多种
|
无线接入点
|
ICMP
|
|
ICMP — 可选
|
表3. MSE — 环境协议
MSE — 情景感知和AwIPS协议
|
源设备
|
目的设备
|
协议
|
目标端口
|
描述
|
WCS/NCS/PI
|
MSE
|
TCP
|
21
|
FTP — 用于在设备之间传输文件
|
各种管理站
|
MSE主机服务器OS-Linux
|
TCP
|
22
|
SSH — 用于远程Linux主机访问
|
WCS/NCS/PI
|
MSE
|
TCP
|
80
|
HTTP(可在安装时配置)
|
NTP 服务器
|
WLC
|
UDP
|
123
|
NTP
|
WCS/NCS/PI
|
MSE
|
UDP
|
161
|
SNMP
|
MSE
|
WCS/NCS/PI
|
UDP
|
162
|
SNMP 陷阱接收器
|
WCS/NCS/PI
|
MSE
|
TCP
|
443
|
HTTPS(可在安装时配置)
|
WCS/NCS/PI
|
MSE
|
TCP
|
443
|
SOAP/XML
|
WCS/NCS/PI
|
MSE
|
TCP
|
8001
|
HTTPS(可在安装时配置)
|
WLC和Catalyst LAN交换机
|
MSE和频谱专家
|
TCP
|
16113
|
NMSP
|
多种
|
无线接入点
|
ICMP
|
|
ICMP — 可选
|
表4. WLC协议
WLC协议
|
源设备
|
目的设备
|
协议
|
目标端口
|
源端口
|
描述
|
WCS/NCS/PI
|
WLC
|
TCP
|
21
|
0:65535
|
FTP — 用于在设备之间传输文件
|
WCS和各种管理站
|
WLC
|
TCP
|
22
|
0:65535
|
SSH — 用于远程管理(可选)
|
WCS和各种管理站
|
WLC
|
TCP
|
23
|
0:65535
|
Telnet — 用于远程管理(可选)
|
AAA服务器/ISE
|
WLC
|
TCP/UDP
|
49
|
0:65535
|
TACACS+
|
WCS和各种管理站
|
WLC
|
UDP
|
69
|
0:65535
|
TFTP — 用于在设备之间传输文件
|
各种管理站
|
WLC
|
TCP
|
80
|
0:65535
|
HTTP(可在安装时配置)
|
WLC
|
WLC
|
TCP
|
91
|
0:65535
|
|
WLC移动组成员
|
WLC
|
EoIP IP协议97
|
EoIP IP协议97
|
0:65535
|
EoIP隧道 — 客户端锚点/隧道流量
|
NTP 服务器
|
WLC
|
UDP
|
123
|
0:65535
|
NTP
|
WCS/NCS/PI
|
WLC
|
UDP
|
161
|
161
|
SNMP
|
WCS/NCS/PI
|
WLC
|
UDP
|
162
|
0:65535
|
SNMP 陷阱接收器
|
各种管理站
|
WLC
|
TCP
|
443
|
0:65535
|
HTTPS(可在安装时配置)
|
WLC和各种系统日志服务器
|
WLC
|
UDP
|
514
|
0:65535
|
系统日志(可选)
|
AAA服务器/ISE
|
WLC
|
UDP
|
1812/1645
|
0:65535
|
RADIUS
|
AAA服务器/ISE
|
WLC
|
UDP
|
1813/1646
|
0:65535
|
RADIUS
|
无线接入点
|
WLC
|
UDP
|
6352
|
0:65535
|
RDLP
|
各种管理站(MSE、频谱专家)
|
WLC
|
TCP
|
16113
|
0:65535
|
LOCP TLS端口NMSP
|
WLC
|
WLC
|
UDP
|
16666
|
16666
|
移动性 — 非安全
|
WLC
|
WLC
|
UDP
|
16667
|
|
移动性 — 版**中的安全。删除了5.2+功能
|
无线接入点
|
WLC
|
UDP
|
5246-5247
|
0:65535
|
CAPWAP Ctl/Data
|
无线接入点
|
WLC
|
UDP
|
5248
|
0:65535
|
CAPWAP Mcast。
|
多种
|
无线接入点
|
ICMP
|
|
|
ICMP — 可选
|
mDNS
|
WLC/网络
|
UDP
|
5353
|
0:65535
|
mDNS
|
RADIUS 服务器
|
WLC
|
UDP
|
1700
|
0::65535
|
CoA radius数据包
|
表5. AP协议
AP CAPWAP-LWAPP协议
|
源设备
|
目的设备
|
协议
|
目标端口
|
描述
|
多种
|
无线接入点
|
UDP
|
69
|
TFTP — 用于远程代码更新
|
多种
|
无线接入点
|
TCP
|
22
|
SSH — 用于可选的远程故障排除访问。可以管理性禁用。
|
多种
|
无线接入点
|
TCP
|
23
|
Telnet — 用于可选的远程故障排除访问。可以管理性禁用。
|
无线接入点
|
DNS 服务器
|
TCP/UDP
|
53
|
DNS
|
无线接入点
|
DHCP 服务器
|
UDP
|
68
|
DHCP
|
无线接入点
|
多种
|
UDP
|
514
|
Syslog — 目标可配置。默认值为 255.255.255.255。
|
WLC
|
无线接入点
|
UDP
|
1024 - 65535*
|
CAPWAP Ctl/Data
|
WLC
|
无线接入点
|
UDP
|
5248
|
CAPWAP Mcast。
|
无线接入点
|
WLC
|
UDP
|
6352
|
RDLP
|
无线接入点
|
监控PC
|
TCP
|
37540于2.4 GHz,37550于5 GHz
|
用于SE-Connect的NSI协议
|
多种
|
无线接入点
|
ICMP
|
|
ICMP — 可选
|
无线接入点
|
无线接入点
|
UDP
|
16670
|
客户端策略(AVC)
|
* -当AP加入WLC时,为范围1024 - 65535内的每个AP分配任意端口号。只要AP已连接,WLC就会使用数字作为CAPWAP Ctl/Data的目标端口。
表6. OEAP600防火墙协议
AP CAPWAP-LWAPP协议
|
源设备
|
目的设备
|
协议
|
目标端口
|
描述
|
WLC
|
无线接入点
|
UDP
|
5246-5247
|
CAPWAP Ctl/Data
|