外部の音声ビデオ ファイアウォールおよびポートの要件の決定
トピックの最終更新日: 2012-10-24
次のファイアウォールとポートの表を使用して、ファイアウォールの要件と開く必要のあるポートを確認します。 次に、ネットワーク アドレス変換 (NAT) 用語を確認します。これは、NAT が多くの異なる方法で実装される可能性があるためです。 ファイアウォールのポート設定の詳細については、「外部ユーザー アクセス用のトポロジ」の参照アーキテクチャを参照してください。
音声ビデオのファイアウォールおよびポートの要件
| フェデレーション先 | 機能 | TCP/443 | UDP/3478 | RTP/UDP 50,000 ~ 59,999 | RTP/TCP 50,000 ~ 59,999 |
|---|---|---|---|---|---|
Windows Live Messenger 2011 |
Point to Point 音声ビデオ (A/V) |
受信を開く 送信を開く |
受信を開く 送信を開く |
必要なし |
送信を開く |
Lync Server 2010 |
音声ビデオ |
受信を開く 送信を開く |
受信を開く 送信を開く |
必要なし |
送信を開く |
Lync Server 2010 |
アプリケーション共有/デスクトップ共有 |
受信を開く 送信を開く |
受信を開く 送信を開く |
必要なし |
送信を開く |
Lync Server 2010 |
ファイル送信 |
受信を開く 送信を開く |
受信を開く 送信を開く |
必要なし |
送信を開く |
Office Communications Server 2007 R2 |
音声ビデオ |
受信を開く 送信を開く |
受信を開く 送信を開く |
必要なし |
送信を開く |
Office Communications Server 2007 R2 |
デスクトップ共有 |
受信を開く 送信を開く |
受信を開く 送信を開く |
必要なし |
送信を開く |
Office Communications Server 2007 R2 |
ファイル送信 |
該当なし |
該当なし |
該当なし |
該当なし |
Office Communications Server 2007 |
音声ビデオ |
受信を開く 送信を開く |
受信を開く |
受信を開く 送信を開く |
受信を開く 送信を開く |
Office Communications Server 2007 |
デスクトップ共有 |
該当なし |
該当なし |
該当なし |
該当なし |
Office Communications Server 2007 |
ファイル送信 |
該当なし |
該当なし |
該当なし |
該当なし |
.gif "note") 注: |
|---|
| (受信) は、インターネットから音声ビデオ エッジの外部インターフェイスへ送信される RTP/TCP および RTP/UDP トラフィックを参照します。 (送信) は、音声ビデオ エッジの外部インターフェイスからインターネットへ送信される RTP/TCP および RTP/UDP トラフィックを参照します。 |
外部ユーザー アクセス用の外部の音声ビデオ ファイアウォール ポートの要件
外部 (および内部) SIP と会議 (PowerPoint プレゼンテーション、ホワイトボードおよびポーリング) インターフェイスのファイアウォール ポートの要件は、フェデレーション パートナーが実行しているバージョンに関係なく一貫しています。
音声ビデオ エッジの外部インターフェイスの場合は、そうではありません。 ほとんどの場合、音声ビデオ エッジ サービスでは、外部ファイアウォール ルールによって、50,000 ~ 59,999 のポート範囲で、RTP/TCP および RTP/UDP トラフィックが一方向または双方向に流れることができるようになっている必要があります。 たとえば、このポート範囲を開くことは、特定のフェデレーション シナリオをサポートするために必要であり、前の表に各シナリオの詳細が記載されています。 この表は、Lync Server 2010 が主なフェデレーション パートナーであり、表示されている 4 種類のフェデレーション パートナーのうちの 1 つと通信できるよう構成中であることを前提とします。
| 注: |
|---|
| 50,000 ~ 59,999 のポート範囲の場合、Lync Server 2010 で最もお勧めの方法は、企業ポリシー上問題ないのであれば、50,000-59,999/TCP アウトバウンドを、音声ビデオ エッジの外部インターフェイスの "クライアント IP およびフェデレーション パートナー" に対して開くことです。 |
外部ユーザー アクセス用の NAT 要件
通常、NAT はルーティング機能ですが、ファイアウォールなどの新しいデバイスや、ハードウェア ロード バランサーなどでも NAT を構成できます。ここでは、NAT を実行するデバイスについてではなく、必要な NAT 動作について説明します。
Microsoft Lync Server 2010 通信ソフトウェアは、エッジの内部インターフェイスではなく、エッジの外部インターフェイスとの送受信トラフィックで NAT をサポートします。次の NAT 動作が必要です。 このドキュメントの表では、ChangeDST と ChangeSRC という頭字語と描画を使用して、次の必要な動作を定義しています。
ChangeDST NAT を使用しているネットワーク宛のパケット上の宛先 IP アドレスを変更するプロセスです。これは別名で透過性、ポート転送、宛先 NAT モード、ハーフ NAT モードなどとして知られます。
ChangeSRC NAT を使用しているネットワークからのパケット上の送信元 IP アドレスを変更するプロセスです。これは別名でプロキシ、セキュア NAT、ステートフル NAT、送信元 NAT またはフル NAT モードなどとして知られます。
使用する名前付け規則に関わらず、エッジ サーバーの外部インターフェイスで必要な NAT 動作は次のとおりです。
インターネットからエッジの外部インターフェイスへ送信されるトラフィックの場合:
エッジの外部インターフェイスのパブリック IP アドレスからの受信パケットの宛先 IP アドレスを、エッジの外部インターフェイスの変換された IP アドレスに変更します。
送信元 IP アドレスは変更しないでおくため、トラフィックの戻りのルートは存在します。
エッジの外部インターフェイスからインターネットへ送信されるトラフィックの場合:
エッジの外部インターフェイスから送信されるパケットの送信元 IP アドレスを、エッジの外部インターフェイスの変換された IP アドレスからパブリック IP アドレスに変更します。エッジの内部 IP アドレスはルーティング可能な IP アドレスではないため、公開されないようにするためです。
送信パケットの宛先 IP アドレスは、変更しないでおきます。
次の図では、受信トラフィックの宛先 IP アドレスの変更 (ChangeDST) と、送信トラフィックの送信元 IP アドレスの変更 (ChangeSRC) の違いについて、音声ビデオ エッジの例を使用して説明しています。
受信トラフィックの宛先 IP アドレスの変更 (ChangeDST) と送信元 IP アドレスの変更 (ChangeSRC)
.jpg "送信先/送信元 IP アドレスの変更")
主な点は次のとおりです。
音声ビデオ エッジへの受信トラフィックでは、送信元 IP アドレスは変更されませんが、宛先 IP アドレスは 131.107.155.30 から 10.45.16.10 という変換された IP アドレスに変更されます。
音声ビデオ エッジからワークステーションへの送信トラフィックの場合、送信元 IP アドレスは、サーバーのパブリック IP アドレスの送信元 IP アドレスから、音声ビデオ エッジのパブリック IP アドレスの送信元 IP アドレスに変更されます。また宛先 IP は、ワークステーションのパブリック IP アドレスのままです。パケットが最初の NAT デバイスから送信されると、NAT デバイス上のルールによって、送信元 IP アドレスが、音声ビデオ エッジの外部インターフェイスの IP アドレス (10.45.16.10) から、音声ビデオ エッジのパブリック IP アドレス (131.107.155.30) に変更されます。