Determinación de los requisitos de los puertos y el firewall de A/V externos
Última modificación del tema: 2012-10-24
Use la siguiente tabla para determinar los requisitos de firewall y los puertos que se abren. A continuación, revise la terminología de traducción de direcciones de red (NAT) porque NAT puede implementarse de formas muy distintas. Para ver un ejemplo detallado de configuración de puertos de firewall, consulte las arquitecturas de referencia en Topologías para el acceso de usuarios externos.
Requisitos de puerto y firewall A/V
| Federación con | Característica | TCP/443 | UDP/3478 | RTP/UDP 50.000-59.999 | RTP/TCP 50.000-59.999 |
|---|---|---|---|---|---|
Windows Live Messenger 2011 |
Punto a punto Audio y vídeo (A/V) |
Abrir entrante Abrir saliente |
Abrir entrante Abrir saliente |
No se necesita |
Abrir saliente |
Lync Server 2010 |
A/V |
Abrir entrante Abrir saliente |
Abrir entrante Abrir saliente |
No se necesita |
Abrir saliente |
Lync Server 2010 |
Uso compartido de aplicaciones/uso compartido de escritorio |
Abrir entrante Abrir saliente |
Abrir entrante Abrir saliente |
No se necesita |
Abrir saliente |
Lync Server 2010 |
Transferencia de archivos |
Abrir entrante Abrir saliente |
Abrir entrante Abrir saliente |
No se necesita |
Abrir saliente |
Office Communications Server 2007 R2 |
A/V |
Abrir entrante Abrir saliente |
Abrir entrante Abrir saliente |
No se necesita |
Abrir saliente |
Office Communications Server 2007 R2 |
Uso compartido de escritorio |
Abrir entrante Abrir saliente |
Abrir entrante Abrir saliente |
No se necesita |
Abrir saliente |
Office Communications Server 2007 R2 |
Transferencia de archivos |
N/D |
N/D |
N/D |
N/D |
Office Communications Server 2007 |
A/V |
Abrir entrante Abrir saliente |
Abrir entrante |
Abrir entrante Abrir saliente |
Abrir entrante Abrir saliente |
Office Communications Server 2007 |
Uso compartido de escritorio |
N/D |
N/D |
N/D |
N/D |
Office Communications Server 2007 |
Transferencia de archivos |
N/D |
N/D |
N/D |
N/D |
Nota
(entrante) se refiere a tráfico RTP/TCP y RTP/UDP desde Internet hacia la interfaz perimetral externa A/V.
(saliente) se refiere a tráfico RTP/TCP y RTP/UDP desde la interfaz perimetral externa A/V hacia Internet.
Requisitos de puerto de firewall A/V para el acceso de usuarios externos
Los requisitos de puerto de firewall para interfaces externas (e internas) de SIP y conferencias (presentaciones de PowerPoint, pizarras y sondeos) son coherentes, con independencia de la versión del socio federado que se ejecute.
No sucede lo mismo con la interfaz perimetral externa de audio y vídeo. En la mayoría de los casos, el servicio perimetral A/V requiere que las reglas de firewall externo permitan que el tráfico RTP/TCP y RTP/UDP del intervalo de puertos de 50.000 a 59.999 fluya en una o ambas direcciones. Por ejemplo, se requiere la apertura de este intervalo de puertos para admitir determinados escenarios de federación, y la tabla anterior proporciona los detalles de cada escenario. En la tabla se presupone que Lync Server 2010 es el principal socio federado y se configura para comunicarse con uno de los cuatro tipos de socio federado incluidos en la lista.
Nota
Con respecto al intervalo de puertos de 50.000-59.999, el procedimiento recomendado para Lync Server 2010 es abrir 50.000-59.999/TCP como saliente en "IP de cliente y Socios federados" para la interfaz perimetral externa A/V, si la directiva corporativa lo permite.
Requisitos de NAT para el acceso de usuarios externos
NAT suele ser una función de enrutamiento, pero los dispositivos más recientes, como los firewalls e incluso los equilibradores de carga de hardware, pueden configurarse para NAT. En lugar de centrarse en el dispositivo en que se ejecuta NAT, en este tema se describe el comportamiento necesario de NAT.
El software de comunicaciones Microsoft Lync Server 2010 no admite NAT para tráfico procedente de la interfaz perimetral interna ni hacia ella, pero para la interfaz perimetral externa, se requiere el siguiente comportamiento de NAT. En esta documentación se usan los acrónimos ChangeDST y ChangeSRC en tablas y dibujos para definir el siguiente comportamiento necesario:
ChangeDST Proceso de cambio de la dirección IP de destino en paquetes destinados a la red que usa NAT. También se denomina transparencia, enrutamiento de puerto, modo NAT de destino o modo NAT medio.
ChangeSRC Proceso de cambio de la dirección IP de origen en paquetes que salen de la red que usa NAT. También se denomina proxy, NAT segura, NAT con estado, NAT de origen o modo NAT completo.
Con independencia de la convención de nomenclatura usada, el comportamiento de NAT necesario para la interfaz externa del servidor perimetral es el siguiente:
Para tráfico desde Internet hacia la interfaz perimetral externa:
Cambiar la dirección IP de destino del paquete entrante de la dirección IP pública de la interfaz perimetral externa a la dirección IP traducida de la interfaz perimetral externa.
Dejar la dirección IP de origen intacta para que haya una ruta de retorno para el tráfico.
Para tráfico desde la interfaz perimetral externa hacia Internet:
Cambiar la dirección IP de origen del paquete que sale de la interfaz perimetral externa, de la dirección IP traducida a la dirección IP pública de la interfaz perimetral externa, para que la dirección IP del servidor perimetral no quede expuesta y porque se trata de una dirección IP que no se puede enrutar.
Dejar la dirección IP de destino intacta en los paquetes salientes.
En la figura siguiente se muestra la distinción entre cambiar la dirección IP de destino (ChangeDST) para el tráfico entrante y cambiar la dirección IP de origen (ChangeSRC) para el tráfico saliente con el servidor perimetral A/V como ejemplo.
Cambio de la dirección IP de destino (ChangeDST) para el tráfico entrante y cambio de la dirección IP de origen para el tráfico saliente (ChangeSRC)
.jpg "Cambio de direcciones IP de destino/origen")
Los puntos clave son los siguientes:
Para el tráfico entrante al servidor perimetral A/V, la dirección IP de origen no cambia pero la dirección IP de destino cambia de 131.107.155.30 a la dirección IP traducida de 10.45.16.10.
Para el tráfico saliente del servidor perimetral A/V que vuelve a la estación de trabajo, la dirección IP de origen cambia de la dirección IP pública del servidor a la dirección IP pública del servidor perimetral A/V. La dirección IP de destino permanece en la dirección IP pública de la estación de trabajo. Después de que el paquete sale del primer dispositivo NAT saliente, la regla del dispositivo NAT cambia la dirección IP de origen, de la dirección IP de la interfaz externa del servidor perimetral A/V (10.45.16.10) a su dirección IP pública (131.107.155.30).