Cisco Cisco TelePresence Video Communication Server Expressway

Appendix 3 – Firewall and NAT configuration

Cisco VCS Deployment Guide: Basic configuration – VCS Control with VCS Expressway

Page 54 of 59

In many deployments outbound connections (from internal network to DMZ) will be permitted by the
NAT/firewall device. If the administrator wants to restrict this further, the following tables provide the
permissive rules required.

Management

Management
computer

VCSe As

required

>=1024

TCP

192.0.2.2 80 / 443 / 22 / 23

SNMP
monitoring

Management
computer

VCSe As

required

>=1024

UDP

192.0.2.2 161

H.323 endpoints registering with Assent

RAS Assent

Endpoint

VCSe Any

1719

UDP

192.0.2.2 6001

Q.931/H.225
and H.245

Endpoint

VCSe Any

>=1024

TCP

192.0.2.2 2776

RTCP Assent

Endpoint

VCSe Any

>=1024

UDP

192.0.2.2 2777

RTP Assent

Endpoint

VCSe Any

>=1024

UDP

192.0.2.2 2776

SIP endpoints registering using UDP / TCP or TLS

SIP TCP

Endpoint

VCSe Any

25000 to
29999

TCP

192.0.2.2 5060

SIP TLS

Endpoint

VCSe Any

25000 to
29999

TCP

192.0.2.2 5061

RTP & RTCP

Endpoint

VCSe Any

50000 to
52399

UDP

192.0.2.2 2776 and 2777

SIP traversal calls

SIP TCP

VCSc

VCSe 10.0.0.2

25000 to
29999

TCP

192.0.2.2 Traversal zone

ports, e.g. 7001

SIP TLS

VCSc

VCSe 10.0.0.2

25000 to
29999

TCP

192.0.2.2 5061

RTCP Assent

VCSc

VCSe 10.0.0.2

50000 to
52399

UDP

192.0.2.2 2777

RTP Assent

VCSc

VCSe 10.0.0.2

50000 to
52399

UDP

192.0.2.2 2776

As VCS Control to VCS Expressway communications are always initiated from the VCS Control to the
VCS Expressway (VCS Expressway sending messages by responding to VCS Control’s messages) no
ports need to be opened from DMZ to Internal for call handling.