Cisco ISE ポートリファレンス

• Cisco ISEインフラストラクチャ, 1 ページ

• Cisco ISE管理ノードのポート, 3 ページ

• Cisco ISEモニタリングノードのポート, 5 ページ

• Cisco ISEポリシーサービスノードのポート, 7 ページ

• Cisco ISE pxGridサービスポート, 13 ページ

• OCSPおよび CRLサービスポート, 14 ページ

Cisco ISE インフラストラクチャこの付録では、Cisco ISEが外部アプリケーションやデバイスとのイントラネットワーク通信に使用する、TCPおよび User Datagram Protocol（UDP）のポートの一覧を示します。この付録に示される Cisco ISEポートが、対応するファイアウォールでオープンになっている必要があります。

Cisco ISEネットワークでサービスを設定する場合は、次の情報に注意してください。

• Cisco ISE管理は、ギガビットイーサネット 0でのみ使用できます。

• RADIUSはすべてのネットワークインターフェイスカード（NIC）でリッスンします。

• Cisco ISEサーバインターフェイスは VLANタギングをサポートしていません。Cisco ISEノードへの接続に使用するスイッチポートの VLANトランキングを無効にし、アクセスレイヤポートとして設定してください。

•すべての NICが IPアドレスを使用して設定できます。

Cisco Identity Services Engine リリース 2.1 インストールガイド1

Cisco Identity Services Engine リリース 2.1 インストールガイド2

Cisco ISE ポートリファレンスCisco ISE インフラストラクチャ

Cisco ISE 管理ノードのポートその他のイーサネットイン

ターフェイス（ギガビット

イーサネット 1 ～ 5、またはボンド 1 および 2）のポート

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

—• HTTP：TCP/80、HTTPS：TCP/443（TCP/443にリダイレクトされた TCP/80。設定不可）

• SSHサーバ：TCP/22

•外部 RESTfulサービス（ERS）REST API：TCP/9060

• TCP：9002（管理GUIからスポンサーポータルを表

示するため）

ポート 80および 443は、管理Webアプリケーションをサポート

していて、デフォルト

でイネーブルになって

います。

（注）

ギガビットイーサ

ネット 0では、CiscoISEへの HTTPSおよび SSHアクセスは制限されています。

（注）

管理（Administration）

—• HTTPS（SOAP）：TCP/443

•データの同期/レプリケーション（JGroups）：TCP/12001（グローバル）

複製および同期

SNMPクエリー：UDP/161

このポートは、ルートテーブルによって異なりま

す。

（注）

モニタリング（Monitoring）

Cisco Identity Services Engine リリース 2.1 インストールガイド3

Cisco ISE ポートリファレンスCisco ISE 管理ノードのポート

その他のイーサネットイン

ターフェイス（ギガビット

イーサネット 1 ～ 5、またはボンド 1 および 2）のポート

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

• syslog：UDP/20514、TCP/1468

•セキュア syslog：TCP/6514

デフォルトポートは外部ロギング用に設定できま

す。

（注）

• SNMPトラップ：UDP/162

ロギング（アウトバウンド）

•管理ユーザインターフェイスおよびエンドポイント認証：

◦ LDAP：TCP/389、3268、UDP/389

◦ SMB：TCP/445

◦ KDC：TCP/88、UDP/88

◦ KPASS：TCP/464

• WMI（パッシブ統合アイデンティティサービスおよびSCCM-MDM統合によって使用される）：TCP/135、TCP/5985、TCP/5986

• ODBC：ODBCポートはサードパーティデータベースサーバで設定できます。

（注）

◦ Microsoft SQL：TCP/1433

◦ Sybase：TCP/2638

◦ PortgreSQL：TCP/5432

◦ Oracle：TCP/1512

• NTP：UDP/123

• DNS：UDP/53、TCP/53

ギガビットイーサネット 0インターフェイス以外のインターフェイスのみから到達可能な外部のア

イデンティティソースおよびサービス用に、適切

にスタティックルートを設定します。

（注）

外部 IDソースおよびリソース（アウトバウンド）

Cisco Identity Services Engine リリース 2.1 インストールガイド4

Cisco ISE ポートリファレンスCisco ISE 管理ノードのポート

その他のイーサネットイン

ターフェイス（ギガビット

イーサネット 1 ～ 5、またはボンド 1 および 2）のポート

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

ゲストアカウントの有効期限の電子メール通知：SMTP：TCP/25

ゲスト

TCP/443経由のシスコのクラウドへの接続スマートライセンス

Cisco ISE モニタリングノードのポートその他のイーサネットインター

フェイス（ギガビットイーサ

ネット 1 ～ 5、またはボンド 1およびボンド 2）のポート

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

—• HTTP：TCP/80、HTTPS：TCP/443

• SSHサーバ：TCP/22

管理（Administration）

Oracle DBリスナー：TCP/1521• HTTPS（SOAP）：TCP/443

• Oracle DBリスナー：TCP/1521

•データの同期/レプリケーション（JGroups）：TCP/12001（グローバル）

複製および同期

Simple Network Management Protocol [SNMP]：UDP/161

このポートは、ルートテーブルによって異なりま

す。

（注）

モニタリング（Monitoring）

Cisco Identity Services Engine リリース 2.1 インストールガイド5

Cisco ISE ポートリファレンスCisco ISE モニタリングノードのポート

その他のイーサネットインター

フェイス（ギガビットイーサ

ネット 1 ～ 5、またはボンド 1およびボンド 2）のポート

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

• syslog：UDP/20514、TCP/1468

•セキュア syslog：TCP/6514

デフォルトポートは外部ロギング用に設定できま

す。

（注）

• SMTP：TCP/25

• SNMPトラップ：UDP/162

ログ

•管理ユーザインターフェイスおよびエンドポイント認証：

◦ LDAP：TCP/389、3268、UDP/389

◦ SMB：TCP/445

◦ KDC：TCP/88、UDP/88

◦ KPASS：TCP/464

• ODBC：ODBCポートはサードパーティデータベースサーバで設定できます。

（注）

◦ Microsoft SQL：TCP/1433

◦ Sybase：TCP/2638

◦ PortgreSQL：TCP/5432

◦ Oracle：TCP/1512

• NTP：UDP/123

• DNS：UDP/53、TCP/53

ギガビットイーサネット 0インターフェイス以外のインターフェイスのみから到達可能な外部のアイデン

ティティソースおよびサービス用に、適切にスタ

ティックルートを設定します。

（注）

外部 IDソースおよびリソース（アウトバウンド）

SSL：TCP/8910pxGridの一括ダウンロード

Cisco Identity Services Engine リリース 2.1 インストールガイド6

Cisco ISE ポートリファレンスCisco ISE モニタリングノードのポート

Cisco ISE ポリシーサービスノードのポートその他のイーサネットインター

フェイス、またはボンド 1 およびボンド 2

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

Cisco ISE管理は、ギガビットイーサネット0でのみ使用できます。

• HTTP：TCP/80、HTTPS：TCP/443

• SSHサーバ：TCP/22

• OCSP：TCP/2560

管理（Administration）

—• HTTPS（SOAP）：TCP/443

•データの同期/レプリケーション（JGroups）：TCP/12001（グローバル）

複製および同期

—•ノードグループ/JGroups：TCP/7800

•ノード障害検出：TCP/7802

クラスタリング（ノードグ

ループ）

—TCP/9090CA PKI

TACACS+：TCP/49

このポートは、リリース 2.1で設定できます。

（注）

デバイス管理

• PSN（SXPノード）から NAD：TCP/64999

• PSNから SXP（ノード間通信）：TCP/443

SXP

TCP/443TC-NAC

Simple Network Management Protocol [SNMP]：UDP/161

このポートは、ルートテーブルによって異なりま

す。

（注）

モニタリング（Monitoring）

Cisco Identity Services Engine リリース 2.1 インストールガイド7

Cisco ISE ポートリファレンスCisco ISE ポリシーサービスノードのポート

その他のイーサネットインター

フェイス、またはボンド 1 およびボンド 2

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

• syslog：UDP/20514、TCP/1468

•セキュア syslog：TCP/6514

デフォルトポートは外部ロギング用に設定できま

す。

（注）

• SNMPトラップ：UDP/162

ロギング（アウトバウン

ド）

• RADIUS認証：UDP/1645、1812

• RADIUSアカウンティング：UDP/1646、1813

• RADIUS許可変更（CoA）送信：UDP/1700

• RADIUS許可変更（CoA）リッスン/リレー：UDP/1700、3799

UDPポート 3799は、設定できません。

（注）

セッション（Session）

Cisco Identity Services Engine リリース 2.1 インストールガイド8

Cisco ISE ポートリファレンスCisco ISE ポリシーサービスノードのポート

その他のイーサネットインター

フェイス、またはボンド 1 およびボンド 2

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

•管理ユーザインターフェイスおよびエンドポイント認証：

◦ LDAP：TCP/389、3268

◦ SMB：TCP/445

◦ KDC：TCP/88

◦ KPASS：TCP/464

• WMI（パッシブ統合アイデンティティサービスおよびSCCM-MDM統合によって使用される）：TCP/135、TCP/5985、TCP/5986

• ODBC：ODBCポートはサードパーティデータベースサーバで設定できます。

（注）

◦ Microsoft SQL：TCP/1433

◦ Sybase：TCP/2638

◦ PortgreSQL：TCP/5432

◦ Oracle：TCP/1512

• NTP：UDP/123

• DNS：UDP/53、TCP/53

ギガビットイーサネット 0インターフェイス以外のインターフェイスのみから到達可能な外部のアイデンティティ

ソースおよびサービス用に、適切にスタティックルート

を設定します。

（注）

外部 IDソースおよびリソース（アウトバウンド）

Cisco Identity Services Engine リリース 2.1 インストールガイド9

Cisco ISE ポートリファレンスCisco ISE ポリシーサービスノードのポート

その他のイーサネットインター

フェイス、またはボンド 1 およびボンド 2

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

HTTPS（インターフェイスは Cisco ISEのサービスに対して有効にする必要があります）：

•ブラックリストポータル：TCP/8000-8999（デフォルトポートは TCP/8444です）。

•ゲストポータルとクライアントのプロビジョニング：TCP/8000-8999（デフォルトポートは TCP/8443です）。

•証明書のプロビジョニングポータル：TCP/8000-8999（デフォルトポートは TCP/8443です）。

•デバイスポータル：TCP/8000-8999（デフォルトポートはTCP/8443です）。

•スポンサーポータル：TCP/8000-8999（デフォルトポートはTCP/8443です）。

• SMTP通知：TCP/25

Webポータルサービス：

-ゲスト/Web認証

-ゲストスポンサーポータル

-デバイスポータル

-クライアントのプロビジョニング

-証明書のプロビジョニング

-ポータルのブラックリスト化

Cisco Identity Services Engine リリース 2.1 インストールガイド10

Cisco ISE ポートリファレンスCisco ISE ポリシーサービスノードのポート

その他のイーサネットインター

フェイス、またはボンド 1 およびボンド 2

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

•検出（クライアント側）：TCP/80（HTTP）、TCP/8905（HTTPS）

デフォルトでは、TCP/80は TCP/8443にリダイレクトされます。「Webポータルサービス：ゲストポータルおよびクライアントプロビジョニング」を参照

してください。

（注）

•検出（ポリシーサービスノード側）：TCP/8443、8905（HTTPS）

•プロビジョニング - URLリダイレクト：「Webポータルサービス：ゲストポータルおよびクライアントプロビジョニン

グ」を参照してください。

•プロビジョニング -ActiveXと Javaアプレットのインストール（IP更新を含む）、Webエージェントのインストール、および NACエージェントのインストールの開始：「Webポータルサービス：ゲストポータルおよびクライアントプロビジョ

ニング」を参照してください。

•プロビジョニング - NAC Agentのインストール：TCP/8443

•プロビジョニング - NAC Agentの更新通知：UDP/8905（SWISS）

•プロビジョニング -NACAgentおよび他のパッケージ/モジュールの更新：TCP/8905（HTTPS）

•アセスメント -ポスチャネゴシエーションとエージェントレポート：TCP/8905（HTTPS）

•アセスメント - PRA/キープアライブ：UDP/8905（SWISS）

ポスチャ（Posture）

-検出

-プロビジョニング

-アセスメント/ハートビート

Cisco Identity Services Engine リリース 2.1 インストールガイド11

Cisco ISE ポートリファレンスCisco ISE ポリシーサービスノードのポート

その他のイーサネットインター

フェイス、またはボンド 1 およびボンド 2

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

•プロビジョニング - URLリダイレクト：「Webポータルサービス：ゲストポータルおよびクライアントプロビジョニン

グ」を参照してください。

•プロビジョニング -ActiveXと Javaアプレットのインストール（ウィザードのインストールの開始を含む）：「Webポータルサービス：ゲストポータルおよびクライアントプロビジョ

ニング」を参照してください。

•プロビジョニング - Cisco ISEからのウィザードのインストール（WindowsおよびMac OS）：TCP/8443

•プロビジョニング - Google Play（Android）からのウィザードのインストール：TCP/443

•プロビジョニング -サプリカントのプロビジョニングプロセス：TCP/8905

• CAへの SCEPプロキシ：TCP/80または TCP/443（SCEP RAURLの設定に基づく）

個人所有デバイスの持ち込

み（BYOD）/ネットワークサービスプロトコル

（NSP）

-リダイレクト

-プロビジョニング

- SCEP

• URLリダイレクト：「Webポータルサービス：ゲストポータルおよびクライアントプロビジョニング」を参照してくだ

さい。

• API：ベンダー固有

•エージェントのインストールおよびデバイスの登録：ベンダー固有

モバイルデバイス管理

（MDM）APIの統合

Cisco Identity Services Engine リリース 2.1 インストールガイド12

Cisco ISE ポートリファレンスCisco ISE ポリシーサービスノードのポート

その他のイーサネットインター

フェイス、またはボンド 1 およびボンド 2

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

• NetFlow：UDP/9996

このポートは、設定可能で

す。

（注）

• DHCP：UDP/67

このポートは、設定可能で

す。

（注）

• DHCP SPANプローブ：UDP/68

• HTTP：TCP/80、8080

• DNS：UDP/53（ルックアップ）

このポートは、ルートテーブルによって異なりま

す。

（注）

• SNMPクエリー：UDP/161

このポートは、ルートテーブルによって異なりま

す。

（注）

• SNMPトラップ：UDP/162

このポートは、設定可能で

す。

（注）

プロファイリング

Cisco ISE pxGrid サービスポートその他のイーサネットインター

フェイス（ギガビットイーサ

ネット 1 ～ 5、またはボンド 1およびボンド 2）のポート

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

—• SSL：TCP/5222（ノード間通信）

• SSL：TCP/7400（ノードグループ通信）

管理（Administration）

Cisco Identity Services Engine リリース 2.1 インストールガイド13

Cisco ISE ポートリファレンスCisco ISE pxGrid サービスポート

その他のイーサネットインター

フェイス（ギガビットイーサ

ネット 1 ～ 5、またはボンド 1およびボンド 2）のポート

ギガビットイーサネット 0 またはボンド 0 のポート

Cisco ISE サービス

—データの同期およびレプリケー

ション（JGroups）：TCP/12001（グローバル）

複製および同期

OCSP および CRL サービスポートCisco ISEサービスおよびポートへの参照には Cisco ISE管理ノード、ポリシーサービスノード、モニタリングノードで個別に使用される基本ポートが表示されますが、Online Certificate StatusProtocol（OCSP）サービスおよび証明書失効リスト（CRL）の場合、ポートは CAサーバまたはOCSP/CRLをホストするサービスによって異なります。

OCSPの場合、使用可能なデフォルトポートは TCP 80/TCP 443です。Cisco ISE管理者ポータルでは、OCSPサービス用のHTTPベースのURLが予期されるため、TCP 80がデフォルトです。デフォルト以外のポートも使用できます。

CRLの場合、デフォルトのプロトコルには、HTTP、HTTPS、および LDAPが含まれており、それぞれのデフォルトポートは 80、443、および 389になります。実際のポートは CRLサーバで設定されます。

Cisco Identity Services Engine リリース 2.1 インストールガイド14

Cisco ISE ポートリファレンスOCSP および CRL サービスポート