Cisco Cisco TelePresence Video Communication Server Expressway

Appendix 3 – Firewall and NAT configuration

Cisco VCS Basic Configuration (Control with Expressway) Deployment Guide

Page 55 of 69

Logging

VCSe

Syslog
server

192.0.2.2 40000 to

49999

UDP

10.0.0.13 514

Management

VCSe

TMS server

192.0.2.2 >=1024

TCP

10.0.0.14 80 / 443

LDAP (for login, if
required)

VCSe

LDAP
server

192.0.2.2 40000 to

49999

TCP

389 /
636

NTP (time sync)

VCSe

NTP server

192.0.2.2 >=1024

UDP

123

Access to services such as DNS (UDP port 53) and NTP (UDP port 123) for time synchronization should be
permitted on the appropriate firewall.

n

Traffic destined for the Logging and Management server addresses (using specific destination ports) must
be routed to the internal network.

In this example it is assumed that outbound connections (from DMZ to external network) are all permitted by
the firewall device.

n

Ensure that any SIP or H.323 "fixup" ALG or awareness functionality is disabled on the NAT firewall – if
enabled this will adversely interfere with the VCS functionality.

H.323 endpoints registering with Assent

RAS Assent

Endpoint VCSe Any

>=1024

UDP

192.0.2.2 1719

Q.931/H.225 and
H.245

Endpoint VCSe Any

>=1024

TCP

192.0.2.2 2776

RTCP Assent

Endpoint VCSe Any

>=1024

UDP

192.0.2.2 2777

RTP Assent

Endpoint VCSe Any

>=1024

UDP

192.0.2.2 2776

H.323 endpoints registering with public IP addresses

RAS

Endpoint VCSe Any

1719

UDP

192.0.2.2 1719

Q.931/H.225

Endpoint VCSe Any

>=1024

TCP

192.0.2.2 15000 to

19999

H.245

Endpoint VCSe Any

>=1024

TCP

192.0.2.2 1720

RTP & RTCP

Endpoint VCSe Any

>=1024

UDP

192.0.2.2 50000 to

54999

SIP endpoints registering using UDP / TCP or TLS