Определение требований к внешнему брандмауэру аудио- и видеосвязи и портам для Lync Server 2013
Последнее изменение раздела: 2012-10-29
Аудио- и видеосвязь (A/V) может быть сложной. Из-за характера протоколов, используемых в A/V, а также того, как клиенты и серверы используют эти протоколы, требуется специальный раздел, в котором описываются различия между версиями клиента и сервера.
Используйте следующую таблицу брандмауэра и порта A/V, чтобы определить требования брандмауэра и порты для открытия. Затем ознакомьтесь с терминологией преобразования сетевых адресов (NAT), так как NAT можно реализовать различными способами. Подробный пример параметров портов брандмауэра см. в эталонных архитектурах в разделе "Сценарии для доступа внешних пользователей " в Lync Server 2013.
Общее использование протокола для UDP и TCP в аудио- и видео- и медиапотоках
| Транспортировка аудио- и видеосвязи | Режим |
|---|---|
UDP |
Предпочтительный протокол транспортного уровня для звука и видео |
TCP |
Резервный протокол транспортного уровня для аудио и видео Обязательный протокол транспортного уровня для совместного использования приложений в Office Communications Server 2007 R2, Lync Server 2010 и Lync Server 2013 Обязательный протокол транспортного уровня для передачи файлов в Lync Server 2010 и Lync Server 2013 |
Требования к портам брандмауэра внешнего A/V для доступа внешних пользователей
Требования к портам брандмауэра для внешних (и внутренних) интерфейсов SIP и конференц-связи согласованы независимо от версии клиента или версии партнера федерации.
То же самое не относится к внешнему интерфейсу Audio/Video Edge. Для федерации с Office Communications Server 2007 служба A/V Edge требует, чтобы правила внешнего брандмауэра разрешали трафик RTP/TCP и RTP/UDP в диапазоне портов от 50 000 до 59 999 для передачи в обоих направлениях. В предыдущей таблице предполагается, что Lync Server 2013 является основным партнером федерации и настроен для связи с одним из других перечисленных типов партнеров федерации.
При настройке диапазона портов аудио- и видеосвязи в диапазоне от 50 000 до 59 999 необходимо учетом того, что диапазон портов будет содержать исходные порты для обмена данными с партнерами федерации. В подробных сведениях следует учитывать, что обмен данными инициируется партнером федерации. При обмене данными из портов службы A/V Edge в диапазоне 50 000–59 999 будет подключаться к ожидаемому порту TCP 443 пограничной службы A/V партнера. И наоборот, входящий трафик к порту службы A/V Edge TCP 443 будет иметь исходный порт в диапазоне от 50 000 до 59 999.
Для различных брандмауэров и политик администрирования брандмауэра может потребоваться настроить только правила назначения или настроить источник и назначение. Если ваши требования предназначены только для портов назначения, требования к звуку и видео:
| Исходный IP-адрес | Конечный IP-адрес | Конечный порт |
|---|---|---|
Интерфейс службы A/V для пограничных вычислений |
Любой |
TCP 443 |
Интерфейс службы A/V для пограничных вычислений |
Любой |
UDP 3478 |
Любой |
Интерфейс службы A/V для пограничных вычислений |
TCP 443 |
Любой |
Интерфейс службы A/V для пограничных вычислений |
UDP 3478 |
Если для политик требуются определения правил брандмауэра для входящего и исходящего трафика, требования к звуку и видео:
| Исходный IP-адрес | Конечный IP-адрес | Исходный порт | Конечный порт |
|---|---|---|---|
Интерфейс службы A/V для пограничных вычислений |
Любой |
TCP 50 000-59 999 |
TCP 443 |
Интерфейс службы A/V для пограничных вычислений |
Любой |
UDP 3478 |
UDP 3478 |
Любой |
Интерфейс службы A/V для пограничных вычислений |
Любой |
TCP 443 |
Любой |
Интерфейс службы A/V для пограничных вычислений |
Любой |
UDP 3478 |
Важно
Microsoft Office Communications Server 2007 требует немного другой конфигурации. Диапазон портов TCP и UDP от 50 000 до 59 999 должен быть открытым для входящего и исходящего трафика. Это требование применяется только к Office Communicator 2007. Для Office Communications Server 2007 R2, Lync Server 2010 и Lync Server 2013 требуется только диапазон TCP 50 000–59 999 открытых исходящих подключений.
Требования NAT для пограничной службы
При настройке частных IP-адресов, не маршрутируемых для пограничной службы, применяются следующие требования NAT:
NAT можно использовать только с балансировкой нагрузки DNS. NAT не поддерживается с топологией аппаратной балансировки нагрузки (HLB) edge.
NAT можно использовать только во внешнем интерфейсе Edge. NAT не поддерживается во внутреннем интерфейсе Edge.
NAT должен быть симметричным для входящего и исходящего трафика.
Для трафика из Интернета NAT должен изменить конечный IP-адрес с общедоступного IP-адреса пограничной службы A/V на внешний. Исходный IP-адрес должен оставаться неизменным, чтобы служба A/V Edge определяла оптимальный путь к мультимедиа.
Например, в направлении входящего трафика на рисунке ниже общедоступный IP-адрес 131.107.155.30 был изменен на внешний (частный) IP-адрес 10.45.16.10. Исходный IP-адрес не изменился.
- Для трафика из пограничной службы A/V в Интернет NAT должен изменить исходный IP-адрес с внешнего IP-адреса пограничной службы A/V на общедоступный IP-адрес с поддержкой NAT.
Например, в направлении исходящего трафика на рисунке ниже внешний (частный) IP-адрес 10.45.16.10 был изменен на общедоступный IP-адрес 131.107.155.30.
На рисунке ниже показано, как NAT изменяет ip-адрес назначения для входящего трафика и исходный IP-адрес для исходящего трафика.
.jpg "ip-адресов назначения или источника")
изменении
Ключевые моменты:
Трафик, входящий на сервер, на котором работает служба A/V Edge, исходный IP-адрес не изменяется, но ip-адрес назначения изменяется с 131.107.155.30 на преобразованный IP-адрес 10.45.16.10.
Исходящий трафик, исходящий от сервера, на котором выполняется пограничной службы A/V, обратно на рабочую станцию. Исходный IP-адрес изменяется с общедоступного IP-адреса сервера на общедоступный IP-адрес сервера, на котором запущена служба A/V Edge. Конечный IP-адрес остается общедоступным IP-адресом рабочей станции. После того как пакет покидает первый исходящий трафик устройства NAT, правило на устройстве NAT изменяет исходный IP-адрес сервера, на котором выполняется IP-адрес внешнего интерфейса пограничной службы A/V (10.45.16.10), на общедоступный IP-адрес (131.107.155.30).