确定外部 A/V 防火墙和端口要求
上一次修改主题: 2012-10-24
使用以下防火墙表和端口表来确定防火墙要求和要打开的端口。然后,检查网络地址转换 (NAT) 术语,因为可以通过多种不同方式实现 NAT。有关防火墙端口设置的详细示例,请参阅外部用户访问的拓扑中的参考体系结构。
A/V 防火墙和端口要求
联盟 | 功能 | TCP/443 | UDP/3478 | RTP/UDP 50,000-59,999 | RTP/TCP 50,000-59,999 |
---|---|---|---|---|---|
Windows Live Messenger 2011 |
点对点 音频/视频 (A/V) |
对入站方向开放 对出站方向开放 |
对入站方向开放 对出站方向开放 |
不需要 |
对出站方向开放 |
Lync Server 2010 |
A/V |
对入站方向开放 对出站方向开放 |
对入站方向开放 对出站方向开放 |
不需要 |
对出站方向开放 |
Lync Server 2010 |
应用程序共享/桌面共享 |
对入站方向开放 对出站方向开放 |
对入站方向开放 对出站方向开放 |
不需要 |
对出站方向开放 |
Lync Server 2010 |
文件传输 |
对入站方向开放 对出站方向开放 |
对入站方向开放 对出站方向开放 |
不需要 |
对出站方向开放 |
Office Communications Server 2007 R2 |
A/V |
对入站方向开放 对出站方向开放 |
对入站方向开放 对出站方向开放 |
不需要 |
对出站方向开放 |
Office Communications Server 2007 R2 |
桌面共享 |
对入站方向开放 对出站方向开放 |
对入站方向开放 对出站方向开放 |
不需要 |
对出站方向开放 |
Office Communications Server 2007 R2 |
文件传输 |
不适用 |
不适用 |
不适用 |
不适用 |
Office Communications Server 2007 |
A/V |
对入站方向开放 对出站方向开放 |
对入站方向开放 |
对入站方向开放 对出站方向开放 |
对入站方向开放 对出站方向开放 |
Office Communications Server 2007 |
桌面共享 |
不适用 |
不适用 |
不适用 |
不适用 |
Office Communications Server 2007 |
文件传输 |
不适用 |
不适用 |
不适用 |
不适用 |
注意: |
---|
(入站)指的是从 Internet 到 A/V 边缘外部接口的 RTP/TCP 和 RTP/UDP 流量。 (出站)指的是从 A/V 边缘外部接口到 Internet 的 RTP/TCP 和 RTP/UDP 流量。 |
外部用户访问的外部 A/V 防火墙端口要求
无论您的联盟伙伴运行哪个版本,外部(和内部)SIP 和会议(PowerPoint 演示文稿、白板和轮询)接口的防火墙端口要求都是一致的。
而音频/视频边缘外部接口却并非如此。在大多数情况下,A/V 边缘服务要求外部防火墙规则允许 50,000 到 59,999 端口范围中的 RTP/TCP 和 RTP/UDP 流量单向或双向流动。例如,支持某些联盟方案需要打开此端口范围,上表提供了各个方案的详细信息。该表假定 Lync Server 2010 是主要联盟伙伴,并将其配置为与列出的四个类型的联盟伙伴之一进行通信。
注意: |
---|
对于 50,000-59,999 端口范围,Lync Server 2010 的最佳做法是对 50,000-59,999/TCP 出站方向开放,如果企业策略允许,对 A/V 边缘外部接口的“客户端 IP 和联合合作伙伴”开放。 |
外部用户访问的 NAT 要求
NAT 通常是路由功能,但可以为 NAT 配置较新的设备(如防火墙),甚至是硬件负载平衡器。本主题介绍所需的 NAT 行为,而不是着重介绍执行 NAT 的设备。
Microsoft Lync Server 2010通信软件对往返于边缘内部接口的流量不支持 NAT,但对边缘外部接口支持 NAT,需要执行以下 NAT 行为。本文档使用表和图形中的首字母缩写词 ChangeDST 和 ChangeSRC 来定义以下所需行为:
ChangeDST 更改发送到使用 NAT 的网络的数据包的目标 IP 地址的过程,也称为透明度、端口转发、目标 NAT 模式或半 NAT 模式。
ChangeSRC 更改离开使用 NAT 的网络的数据包的源 IP 地址的过程,也称为代理、安全 NAT、状态 NAT 或全 NAT 模式。
无论使用何种命名约定,边缘服务器的外部接口所需的 NAT 行为均如下:
对于从 Internet 到边缘外部接口的流量:
将来自边缘外部接口公共 IP 地址的传入数据包的目标 IP 地址更改为边缘外部接口的转换后的 IP 地址。
保留源 IP 地址不变,以便流量具有返回路由。
对于从边缘外部接口到 Internet 的流量:
将离开边缘外部接口的数据包的源 IP 地址从转换后的 IP 地址更改为边缘外部接口的公共 IP 地址,以便不公开内部边缘 IP 地址,这是因为该地址是不可路由的 IP 地址。
使目标 IP 地址在传出数据包上保持不变。
下图以 A/V 边缘为例,显示了更改入站流量的目标 IP 地址 (ChangeDST) 与更改出站流量的源 IP 地址 (ChangeSRC) 之间的区别。
更改入站流量的目标 IP 地址 (ChangeDST) 与更改源 IP 地址 (ChangeSRC)
要点包括:
对于 A/V 边缘的传入流量,源 IP 地址不会更改,但目标 IP 地址会从 131.107.155.30 更改为转换后的 IP 地址 10.45.16.10。
对于从 A/V 边缘返回工作站的出站流量,源 IP 地址将从服务器的公用 IP 地址的源 IP 地址更改为 A/V 边缘的公用 IP 地址的源 IP 地址。目标 IP 地址仍为工作站的公用 IP 地址。数据包将第一个 NAT 设备出站后,NAT 设备上的规则会将源 IP 地址从 A/V 边缘的外部接口 IP 地址 (10.45.16.10) 更改为其公用 IP 地址 (131.107.155.30)。