Détermination des conditions requises pour le pare-feu A/V externe et les ports
Dernière rubrique modifiée : 2012-10-24
Le tableau Pare-feu et port ci-dessous permet de déterminer les conditions requises pour le pare-feu et les ports à ouvrir. Consultez ensuite la terminologie propre à la traduction d’adresses réseau (NAT, Network Address Translation), car cette fonctionnalité peut être implémentée de nombreuses façons. Pour obtenir un exemple détaillé des paramètres de port de pare-feu, voir les architectures de référence à la rubrique Topologies pour l’accès des utilisateurs externes.
Conditions requises pour le pare-feu A/V et les ports
| Fédération avec | Fonctionnalité | TCP/443 | UDP/3478 | RTP/UDP 50 000-59 999 | RTP/TCP 50 000-59 999 |
|---|---|---|---|---|---|
Windows Live Messenger 2011 |
Point à point Audio/Vidéo (A/V) |
Ouvrir entrant Ouvrir sortant |
Ouvrir entrant Ouvrir sortant |
Non requis |
Ouvrir sortant |
Lync Server 2010 |
A/V |
Ouvrir entrant Ouvrir sortant |
Ouvrir entrant Ouvrir sortant |
Non requis |
Ouvrir sortant |
Lync Server 2010 |
Partage d’application/partage du Bureau |
Ouvrir entrant Ouvrir sortant |
Ouvrir entrant Ouvrir sortant |
Non requis |
Ouvrir sortant |
Lync Server 2010 |
Transfert de fichiers |
Ouvrir entrant Ouvrir sortant |
Ouvrir entrant Ouvrir sortant |
Non requis |
Ouvrir sortant |
Office Communications Server 2007 R2 |
A/V |
Ouvrir entrant Ouvrir sortant |
Ouvrir entrant Ouvrir sortant |
Non requis |
Ouvrir sortant |
Office Communications Server 2007 R2 |
Partage du Bureau |
Ouvrir entrant Ouvrir sortant |
Ouvrir entrant Ouvrir sortant |
Non requis |
Ouvrir sortant |
Office Communications Server 2007 R2 |
Transfert de fichiers |
N/A |
N/A |
N/A |
N/A |
Office Communications Server 2007 |
A/V |
Ouvrir entrant Ouvrir sortant |
Ouvrir entrant |
Ouvrir entrant Ouvrir sortant |
Ouvrir entrant Ouvrir sortant |
Office Communications Server 2007 |
Partage du Bureau |
N/A |
N/A |
N/A |
N/A |
Office Communications Server 2007 |
Transfert de fichiers |
N/A |
N/A |
N/A |
N/A |
.gif "note") Remarque : |
|---|
| (entrant) se réfère au trafic RTP/TCP et RTP/UDP d’Internet vers l’interface externe Edge A/V. (sortant) se réfère au trafic RTP/TCP et RTP/UDP de l’interface externe Edge A/V vers Internet. |
Conditions requises pour les ports du pare-feu A/V externe pour l’accès des utilisateurs externes
Les conditions requises pour les ports du pare-feu pour les interfaces SIP et de conférence (présentations PowerPoint, tableau blanc et sondages) externes (et internes) sont cohérentes, quelle que soit la version exécutée par votre partenaire fédéré.
Ce n’est pas le cas de l’interface externe Edge A/V. Dans la plupart des cas, le service Edge A/V exige que des règles de pare-feu externes autorisent le trafic RTP/TCP et RTP/UDP à transiter via la plage de ports 50 000 à 59 999 dans les deux sens. Par exemple, l’ouverture de cette plage de ports est nécessaire pour prendre en charge certains scénarios de fédération. Le tableau précédent fournit les détails de chaque scénario. Le tableau suppose que Lync Server 2010 est le partenaire principal de la fédération et est configuré en vue de communiquer avec un des quatre types de partenaires de la fédération répertoriés.
| Remarque : |
|---|
| Concernant la plage de ports 50 000-59 999, la bonne pratique pour Lync Server 2010 consiste à ouvrir les ports sortants 50 000-59 999/TCP, aux « IP client et partenaires fédérés » pour l’interface externe Edge A/V - si la stratégie de l’entreprise l’autorise. |
Configuration requise pour la traduction d’adresses réseau (NAT) pour l’accès des utilisateurs externes
La traduction d’adresses réseau (NAT) est à la base une fonction de routage. Toutefois, il est possible de la configurer sur les nouveaux périphériques, tels que les pare-feu, et même les programmes d’équilibrage de la charge matérielle. L’objet de cette rubrique n’est pas de déterminer quel périphérique est capable d’exécuter la fonction NAT, mais de présenter le comportement de cette fonction.
Microsoft Lync Server 2010 logiciels de communication ne prend pas en charge NAT pour le trafic vers et depuis l’interface interne Edge. Pour l’interface externe Edge, NAT doit avoir le comportement suivant. Dans cette documentation, les termes ChangeDST et ChangeSRC sont utilisés dans les tableaux et les illustrations pour définir le comportement requis suivant :
ChangeDST Processus de changement de l’adresse IP de destination des paquets destinés au réseau qui utilise NAT. Ce processus est également appelé transparence, redirection de ports, mode de destination NAT ou mode semi-NAT.
ChangeSRC Processus de changement de l’adresse IP source des paquets provenant du réseau qui utilise NAT. Ce processus est également appelé proxy, NAT sécurisé, NAT avec état, NAT source ou mode NAT intégral.
Quel que soit le nom utilisé, le comportement NAT requis pour l’interface externe du serveur Edge est le suivant :
Pour le trafic allant d’Internet vers l’interface externe Edge :
Changez l’adresse IP de destination du paquet entrant, de l’adresse IP publique de l’interface externe Edge en adresse IP traduite de l’interface externe Edge.
Laissez l’adresse IP source intacte de sorte à laisser un itinéraire de retour pour le trafic.
Pour le trafic allant de l’interface externe Edge vers Internet :
Changez l’adresse IP source du paquet quittant l’interface externe Edge, de l’adresse IP traduite en adresse IP publique de l’interface externe de sorte que l’adresse IP de l’interface interne Edge ne soit pas exposée (car il s’agit d’une adresse IP non routable).
Laissez l’adresse IP de destination intacte sur les paquets sortants.
L’illustration suivante montre la distinction entre le changement de l’adresse IP de destination (ChangeDST) pour le trafic entrant et le changement de l’adresse IP source (ChangeSRC) pour le trafic sortant, avec le serveur Edge A/V comme exemple.
Changement de l’adresse IP de destination (ChangeDST) pour le trafic entrant et changement de l’adresse IP source (ChangeSRC)
.jpg "Modification des adresses IP source/de destination")
Les principaux points sont les suivants :
Pour le trafic entrant vers le serveur Edge A/V, l’adresse IP source ne change pas, mais l’adresse IP de destination change de 131.107.155.30 à 10.45.16.10, qui est l’adresse IP traduite.
Pour le trafic sortant du serveur Edge A/V qui revient vers le poste de travail, l’adresse IP source change de l’adresse IP publique du serveur en l’adresse IP publique du serveur Edge A/V. L’adresse IP de destination reste l’adresse IP publique du poste de travail. Une fois que le paquet quitte le premier périphérique NAT sortant, la règle du périphérique NAT traduit l’adresse IP source, à savoir l’adresse IP de l’interface externe Edge A/V (10.45.16.10), en son adresse IP publique (131.107.155.30).