Referencias de puerto para el cortafuegos

La siguiente tabla describe las asignaciones de puerto para los distintos componentes y configuraciones de CA UIM. Estas asignaciones de puerto se aplican a las instalaciones de un solo concentrador y a las instalaciones de varios concentradores, tanto si tienen cortafuegos como si no.
uim901
firewall_port
La siguiente tabla describe las asignaciones de puerto para los distintos componentes y configuraciones de CA UIM. Estas asignaciones de puerto se aplican a las instalaciones de un solo concentrador y a las instalaciones de varios concentradores, tanto si tienen cortafuegos como si no.
Los siguientes temas cubren la información completa:
2
2
Consideraciones
Revise las siguientes consideraciones:
  • Todas las instalaciones requieren lo siguiente:
    • Controlador del robot
    • Administrador de trabajos en cola del robot
    • Comunicaciones de robot a concentrador y de gestor a concentrador
    • Un puerto para cada sonda
    • Las sondas wasp para acceder a la Consola de administración o a UMP a través de HTTP
  • Las instalaciones de varios concentradores para túneles no SSL también requieren lo siguiente:
    • Servidor de túnel
  • Las instalaciones de varios concentradores para túneles SSL también requieren lo siguiente:
    • service_host al cliente del túnel
  • Las instalaciones que activan la detección a través de un cortafuegos sin un concentrador ni un túnel requieren el puerto para que el protocolo adecuado se abra en la sonda discovery_agent.
Los protocolos para todos los componentes son TCP, exceptuando el controlador, el concentrador y el administrador de trabajos en cola, que también requieren UDP. Se utiliza la difusión UDP para la detección del concentrador, cola de impresión y componentes del controlador. Todas las otras comunicaciones del núcleo se realizan a través de TCP.
Tabla Referencias de puerto para el cortafuegos
En la tabla siguiente, las reglas de cortafuegos definen los puertos y direcciones que deben estar abiertas a través del cortafuegos.
Componente de CA UIM
Puertos
Dirección
Reglas de cortafuegos
Detalles
CA Business Intelligence Server, base de datos de UIM
1433, 1521 o 3306
Entrante
Permitir la comunicación entrante en el puerto correspondiente hasta el servidor de la base de datos.
Comunicación entrante de CA Business Intelligence a la base de datos seleccionada.
CA Business Intelligence Server, UMP
80 o 443; configurable
Entrante/Saliente
Permitir la comunicación entrante en 80 o 443 para UMP y CA Business Intelligence Server.
Esta conexión proporciona la conectividad de cliente del cliente y del explorador a CA Business Intelligence y UMP. El puerto 80 de forma predeterminada, o el puerto 443 u otro puerto configurado para HTTPS. El puerto puede variar de explorador/cliente a CA Business Intelligence y UMP. El valor depende de la elección del usuario durante la instalación de CA Business Intelligence y UMP. Por ejemplo, el puerto 80 o el puerto 443. El intervalo configurable de puertos es de 1 a 65535.
Controlador
48000; configurable
Entrante/Saliente
Permitir comunicación entrante en el puerto 48000+ para el acceso de la sonda en todos los robots.
El puerto de escucha del controlador.
En el caso de una empresa, permite la comunicación en ambas direcciones en el puerto 48000 a través de un cortafuegos. La comunicación en ambas direcciones permite a CA UIM contactar y controlar los concentradores, robots y sondas. Este puerto también recibe el estado desde los componentes del bus.
El administrador de trabajos en cola del concentrador y el administrador de trabajos en cola para los robots transmiten las alarmas y los datos de la calidad del servicio. El puerto debe establecerse en la configuración del controlador para que el Gestor de la infraestructura o la Consola de administración pueda conectarse a los túneles remotos a través del servidor del túnel y de las IP del cliente; por ejemplo, 192.168.1.10:50003.
En el caso de los concentradores del túnel, establezca el
primer número de puerto de la sonda
en Configuración > Opciones avanzadas para que el controlador llegue al puerto 50000 o a un puerto superior. Si es necesario, abra el mismo puerto y un puerto superior en el cortafuegos.
Solo se necesita el puerto 48000 para el controlador y el puerto 48002 para el concentrador abierto entre el concentrador principal y el concentrador de UMP. No es necesario tener estos puertos abiertos entre todos los concentradores del dominio y el servidor de UMP porque los controladores del concentrador se comunicarán con el controlador del concentrador principal.
Administrador de trabajos en cola
48001; configurable
Entrante/Saliente
Permitir comunicación entrante en el puerto 48001 en todos los robots.
Active la comunicación entrante del robot al concentrador para que las sondas pueden enviar mensajes a los concentradores a través del puerto del administrador de trabajos en cola. Las sondas envían mensajes a los concentradores mediante el puerto 48001 del administrador de trabajos en cola. Este puerto debe estar activado del robot al concentrador.
Concentrador
48002; configurable
Entrante/Saliente
Permitir la comunicación entrante en el puerto 48002 hacia el concentrador.
El puerto de escucha del concentrador. Esta conexión permite las comunicaciones de robot a concentrador y de gestor a concentrador.
  • Permite el tráfico saliente en todos los puertos de concentradores y robots.
  • Todos los concentradores deben tener abierto el puerto 48002 entrante y saliente para las comunicaciones de robot a concentrador y gestor a concentrador.
  • Todos los concentradores deben tener abierto el puerto 48000 entrante y saliente para la comunicación con el controlador del robot.
  • Todos los robots secundarios también deben tener abierto el puerto 48000 entrante.
  • Abra el puerto 48001 en el concentrador para las comunicaciones del administrador de trabajos en cola.
Se recomienda tener abiertos los puertos 48000-48099 entrantes para todos los robots.
Solo se necesita el puerto 48000 para el controlador y el puerto 48002 para el concentrador abierto entre el concentrador principal y el concentrador de UMP. No es necesario tener estos puertos abiertos entre todos los concentradores del dominio y el servidor de UMP porque los controladores del concentrador se comunicarán con el controlador del concentrador principal.
Túneles
48003 o 443 (configurable)
Los túneles que utilizan el modelo "servidor del túnel hacia clientes del túnel" o "cliente del túnel hacia servidores del túnel" necesitan el puerto 48003, 443 o cualquier otro puerto configurado para el tráfico entrante. Por ejemplo, un puerto debe estar abierto para el centro de datos empresarial y el cortafuegos de MSP.
El puerto 443 es el puerto predeterminado para
https
, pero puede utilizarse para otras finalidades.
Las infraestructuras de varios concentradores pueden utilizar un túnel con o sin SSL. En el caso de los túneles que no son túneles SSL, los puertos utilizan la misma asignación que para las instalaciones de un solo concentrador.
Solo se necesita el puerto 48000 para el controlador y el puerto 48002 para el concentrador abierto entre el concentrador principal y el concentrador de UMP. No es necesario tener estos puertos abiertos entre todos los concentradores del dominio y el servidor de UMP porque los controladores del concentrador se comunicarán con el controlador del concentrador principal.
Túneles seguros (SSL)
48003 (configurable)
Unidireccional
Permitir la comunicación entrante y saliente a través de un cortafuegos.
Si está utilizando un túnel de SSL de CA UIM, es necesario que el túnel disponga de puertos de túnel abiertos entre los concentradores de túnel. El resto del tráfico de CA UIM fluye a través del túnel. En el caso de los túneles que son túneles SSL:
  • El puerto del controlador debe establecerse en 48000.
  • El puerto del concentrador debe establecerse en 48002.
  • El puerto del cliente del túnel debe establecerse en 48003 para permitir el acceso al servidor del túnel.
  • La sonda wasp debe establecerse en el puerto 80 para que pueda acceder a la Consola de administración y a la página web de CA UIM.
Se deben bloquear todos los demás puertos de UIM que no sean el puerto del túnel SSL configurado.
Discovery_agent
DNS: Puerto 53
NetBIOS: Puerto 137
SSH: Puerto 22
SNMP: Puerto 161; configurable
WMI: Puerto 135 y otros
Salida
Permitir la comunicación saliente en los puertos para el protocolo.
Discovery_agent realiza llamadas, como cliente, a los servicios hospedados en los equipos de destino.
Sondas
48004-48050 (configurable)
Entrante
Permitir la comunicación entrante en los puertos 48004-48050 (o superior) en todos los robots.
Las sondas escuchan a sus respectivos puertos y esperan a las conexiones entrantes de otros clientes. El puerto de entrada de cada sonda debe estar abierto para que los concentradores y los clientes externos puedan comunicarse. Los puertos se asignan a las sondas de forma secuencial según su disponibilidad empezando por el primer número de puerto de sonda.
Para obtener más información sobre los requisitos de puerto específicos de las sondas, consulte la documentación de las sondas en el espacio dedicado a las sondas de gestión de CA Unified Infrastructure Management.
Servidor de distribución (distsrv)
48005 o asignado automáticamente
Entrante/Saliente
Véanse los detalles.
La sonda distsrv en el concentrador debe tener el puerto TCP abierto en el concentrador para que pueda activar la licencia de las sondas en los robots. Sin este puerto, las sondas abiertas no se pueden iniciar en los robots. Al contrario que en el caso del controlador, el administrador de trabajos en cola y el concentrador, la sonda distsrv no tiene un puerto reservado. El puerto puede cambiar cada vez que se reinicia el concentrador.
Base de datos de UIM
1433 (Microsoft SQL Server); configurable
1521 (Oracle); configurable
3306 (MySQL); configurable
Entrante
Permitir la comunicación entrante para la base de datos.
La comunicación del concentrador principal (data_engine) a la base de datos de UIM debe ser preferiblemente local o a través de la misma subred que CA UIM. Si la base de datos para el concentrador principal se encuentra detrás de un cortafuegos interno, el puerto correcto debe estar abierto desde CA UIM Server hasta la base de datos de UIM; debe permitir la comunicación saliente desde el servidor del concentrador y la comunicación entrante desde el servidor de la base de datos de CA UIM. Las respuestas del servidor de la base de datos al concentrador principal vuelven a través de la misma conexión o puerto.
La información del puerto para la base de datos de UIM se encuentra en la sección
Configuración de la base de datos
de la interfaz gráfica de la sonda data_engine.
ADE
22
Salida
La sonda automated_deployment_engine utiliza el puerto
22
para implementar robots mediante la transferencia de archivos SSH al sistema de destino. Si no puede abrir el puerto 22 en el concentrador principal:
    1. Implemente automated_deployment_engine en un concentrador secundario en el que el puerto 22 no esté bloqueado.
    2. Inicie sesión en el Gestor de la infraestructura directamente desde el concentrador secundario.
    3. Arrastre y suelte los paquetes del robot que desea implementar en el archivo de archivado del concentrador secundario.
    4. Implemente los robots en el concentrador secundario a través de un archivo XML. Para obtener más información, consulte el tema Implementación masiva de robots con un archivo XML.
udm_manager
4334 (configurable)
Entrante
Permitir la comunicación entrante en el puerto 4334 para el gestor de UDM.
Los clientes de UDM (réplica de Datomic), incluyendo UMP, trellis y el servidor de detección, deben conectarse a la base de datos SQL y también al gestor de UDM a través de este puerto.
Servidor UMP
8080, 80 o 443 Intervalo configurable: 1-65535
Entrante/Saliente
Permitir la comunicación entrante en el puerto 8080, 80 o 443 en el servidor de UMP.
La asignación de puerto para el servidor de UMP puede variar según el cliente o el explorador de UMP y en función de su elección durante la instalación de UMP.
Si está utilizando una configuración con varios servidores de UMP, los servidores se comunican a través de multidifusión en los siguiente puertos y dirección IP:
  • Direcciones IP:
    239.255.0.1
    -
    239.255.0.5
  • Puertos:
    23301
    -
    23305
UMP (conector de Tomcat)
8009
Entrante/Saliente
Permitir la comunicación entrante en el puerto 8009 en el servidor de UMP.
El motor del portal UMP.
Permite la comunicación entrante en el puerto 8009 de UIM Server a la instancia de UMP (sonda wasp).
Base de datos de UMP
1433 (Microsoft SQL Server)
1521 (Oracle)
3306 (MySQL)
Entrante
Permitir la comunicación entrante en el puerto correspondiente hasta el servidor de la base de datos.
Comunicación entrante de UMP a la base de datos seleccionada.
La sonda wasp requiere una conexión a la base de datos de UIM. Asegúrese de que los puertos de la base de datos entre UMP y los servidores de la base de datos estén abiertos.
Página principal de UIM Server
80; configurable
Entrante
Permitir la comunicación entrante en el puerto 80 (a nivel interno de la empresa).
La página principal de UIM Server normalmente es de acceso interno solamente. Abra el puerto en el cortafuegos de cualquier sistema que deba contactar con el concentrador principal para ejecutar aplicaciones o descargar e instalar el software del cliente.
SMTP
25 (configurable)
Salida
Permitir comunicación saliente.
El programador de informes crea la salida en formato PDF y CVS, que se transmite a través de correo electrónico a los usuarios. La transmisión por correo electrónico requiere un servidor designado con este puerto SMTP abierto.
SNMP
161 (configurable)
SNMP es un protocolo estándar de Internet para la gestión de dispositivos en redes IP. La sonda snmpcollector utiliza el puerto
161
de forma predeterminada para comunicarse con el puerto SNMP en un dispositivo.
Concentrador para el servidor LDAP/AD
389 o 686 (configurable)
Salida
Permitir la comunicación saliente al servidor LDAP/AD.
Permite la comunicación saliente a cualquier puerto personalizado en la configuración de la sonda wasp.
Clientes web, exploradores de UMP y clientes de UMP
80 o 443; configurable
N/D
Permitir la comunicación entrante en el puerto 80 o 443.
Permite el acceso al portal a través de Internet.
Consola de administración
80, 443; sonda wasp configurable
Entrante
Permitir la comunicación entrante en el puerto 80 o 443 en el concentrador principal.
La Consola de administración se aloja en el concentrador principal con service_host.
  • El puerto 80 es el puerto predeterminado para acceder a la Consola de administración y a la página web de CA UIM a través de HTTP.
  • El puerto 443 es el puerto predeterminado para acceder a la Consola de administración y a la página web de CA UIM a través de HTTPS.
Análisis de registros
9200, 9092
Entrante, saliente
Véanse los detalles.
Abra los siguientes puertos para permitir la comunicación entre CA UIM y CA App Experience Analytics:
  • Puerto de AXA Elasticsearch (valor predeterminado 9200): Abra este puerto entre CA App Experience Analytics y la ubicación de la sonda log_monitoring_service.
  • Puerto de AXA Kafka (valor predeterminado 9092): Abra este puerto entre CA App Experience Analytics y la ubicación de la sonda axa_log_gateway.