vSphere Web Client permite abrir y cerrar puertos de firewall para cada servicio o para admitir tráfico de las direcciones IP seleccionadas.
En la siguiente tabla, se muestran los firewalls para los servicios que se instalan habitualmente. Si instala otros VIB en el host, es posible que estén disponibles otros puertos de firewall y servicios adicionales.
Tabla 5‑5. Conexiones de firewall entrantes
Servicio Puerto Comentario
Servidor CIM 5988 (TCP) Servidor para CIM (Common Information Model). Servidor CIM seguro 5989 (TCP) Servidor seguro para CIM.
CIM SLP 427 (TCP, UDP) El cliente CIM usa el protocolo de ubicación de servicios, versión 2 (SLPv2), para buscar servidores CIM.
DHCPv6 546 (TCP, UDP) Cliente DHCP para IPv6.
DVSSync 8301, 8302 (UDP) Se usan puertos de DVSSync para sincronizar los estados de los puertos virtuales distribuidos entre los hosts que tienen habilitada la opción de grabación/reproducción de VMware FT. Solo los hosts que ejecutan máquinas virtuales principales o de copia de seguridad deben tener abiertos estos puertos. En los hosts que no usan VMware FT, no es necesario que estos puertos estén abiertos. NFC 902 (TCP) Network File Copy (NFC) proporciona un servicio
de FTP basado en los tipos de archivos para los componentes de vSphere. Como opción predeterminada, ESXi usa NFC para las operaciones, como la copia y la transferencia de datos entre áreas de almacenamiento de datos. Servicio de agrupación en
clústeres de Virtual SAN 12345, 23451 (UDP) Servicio de directorio de membresía y supervisiónde clústeres de Virtual SAN. Usa multidifusión IP basada en UDP para establecer los miembros del clúster y distribuir los metadatos de Virtual SAN a todos los miembros del clúster. Si se deshabilita, Virtual SAN no funciona.
Cliente DHCP 68 (UDP) Cliente DHCP para IPv4.
Cliente DNS 53 (UDP) Cliente DNS.
Fault Tolerance 8200, 8100, 8300 (TCP, UDP) Tráfico entre hosts para vSphere Fault Tolerance (FT).
Servicio de enrutador lógico
distribuido de NSX 6999 (UDP) Servicio de enrutador virtual distribuido de NSX.El puerto de firewall asociado con este servicio se abre cuando se instalan los VIB de NSX y se crea el módulo de VDR. Si no hay instancias de VDR asociadas con el host, no es necesario que el puerto esté abierto.
En versiones anteriores del producto, este servicio se llamaba Enrutador lógico distribuido de NSX.
Tabla 5‑5. Conexiones de firewall entrantes (Continua)
Servicio Puerto Comentario
Transporte de Virtual SAN 2233 (TCP) Transporte fiable de datagramas de Virtual SAN. Emplea TCP y se utiliza para E/S de
almacenamiento de Virtual SAN. Si se deshabilita, Virtual SAN no funciona.
Servidor SNMP 161 (UDP) Permite que el host se conecte a un servidor SNMP.
Servidor SSH 22 (TCP) Es necesario para el acceso a SSH.
vMotion 8000 (TCP) Es necesario para la migración de máquinas virtuales con vMotion.
vSphere Web Client 902, 443 (TCP) Conexiones de clientes
vsanvp 8080 (TCP) VSAN VASA Vendor Provider. Lo utiliza el servicio de administración de almacenamiento (SMS) que forma parte de vCenter para acceder a la información sobre cumplimiento de normas, funcionalidades y perfiles de almacenamiento de Virtual SAN. Si está deshabilitado, la
administración del almacenamiento basada en perfiles (SPBM) de Virtual SAN no funciona. vSphere Web Access 80 (TCP) Página principal, con vínculos de descarga para
diferentes interfaces.
protocolo RFB 5900-5964 (TCP) Lo utilizan herramientas de administración como VNC.
Tabla 5‑6. Conexiones de firewall salientes
Servicio Puerto Comentario
CIM SLP 427 (TCP, UDP) El cliente CIM usa el protocolo de ubicación de servicios, versión 2 (SLPv2), para buscar servidores CIM.
DHCPv6 547 (TCP, UDP) Cliente DHCP para IPv6.
DVSSync 8301, 8302 (UDP) Se usan puertos de DVSSync para sincronizar los estados de los puertos virtuales distribuidos entre los hosts que tienen habilitada la opción de grabación/reproducción de VMware FT. Solo los hosts que ejecutan máquinas virtuales principales o de copia de seguridad deben tener abiertos estos puertos. En los hosts que no usan VMware FT, no es necesario que estos puertos estén abiertos. HBR 44046, 31031 (TCP) Se usa para tráfico de replicación continuo de
vSphere Replication y VMware Site Recovery Manager.
NFC 902 (TCP) Network File Copy (NFC) proporciona un servicio de FTP basado en los tipos de archivos para los componentes de vSphere. Como opción predeterminada, ESXi usa NFC para las operaciones, como la copia y la transferencia de datos entre áreas de almacenamiento de datos.
WOL 9 (UDP) Utilizado por Wake-on-LAN.
Servicio de agrupación en
clústeres de Virtual SAN 12345 23451 (UDP) Servicio de directorio de membresía y supervisiónde clústeres utilizado por Virtual SAN.
Cliente DHCP 68 (UDP) Cliente DHCP.
Tabla 5‑6. Conexiones de firewall salientes (Continua)
Servicio Puerto Comentario
Fault Tolerance 80, 8200, 8100, 8300 (TCP, UDP) Es compatible con VMware Fault Tolerance. Cliente iSCSI de software 3260 (TCP) Es compatible con iSCSI de software. Servicio de enrutador lógico
distribuido de NSX 6999 (UDP) El puerto de firewall asociado con este servicio seabre cuando se instalan los VIB de NSX y se crea el módulo de VDR. Si no hay instancias de VDR asociadas con el host, no es necesario que el puerto esté abierto.
rabbitmqproxy 5671 (TCP) Un proxy que se ejecuta en el host ESXi y que permite a las aplicaciones ejecutarse dentro de máquinas virtuales para comunicarse con los agentes de AMQP que se ejecutan en el dominio de red de vCenter. No es necesario que la máquina virtual esté en la red (es decir, no se requiere la NIC). El proxy se conecta con los agentes del dominio de red de vCenter. Por lo tanto, como mínimo, las direcciones IP de las conexiones salientes deben incluir los agentes actuales en uso o los agentes futuros. Pueden agregarse agentes si el cliente desea escalar verticalmente.
Transporte de Virtual SAN 2233 (TCP) Se utiliza para tráfico de RDT (comunicación de punto a punto de Unicast) entre nodos de Virtual SAN.
vMotion 8000 (TCP) Es necesario para la migración de máquinas virtuales con vMotion.
VMware vCenter Agent 902 (UDP) vCenter Server Agent.
vsanvp 8080 (TCP) Se utiliza para tráfico de proveedores de Virtual SAN.