Determinando requisitos de porta e de firewall A/V externo
Tópico modificado em: 2012-10-24
Use a tabela a seguir de Firewalls e Portas para determinar os requisitos de firewall e quais portas precisam ser abertas. Em seguida, revise a terminologia da NAT (conversão de endereço de rede), pois a NAT pode ser implementada de muitas formas diferentes. Para ver um exemplo detalhado das configurações de porta do firewall, consulte as arquiteturas de referência em Topologias para acesso de usuários externos.
Requisitos de Porta e Firewall A/V
Federação com | Recurso | TCP/443 | UDP/3478 | RTP/UDP 50.000-59.999 | RTP/TCP 50.000-59.999 |
---|---|---|---|---|---|
Windows Live Messenger 2011 |
Ponto a Ponto A/V (Áudio/Vídeo) |
Entrada aberta Abrir de saída |
Entrada aberta Saída aberta |
Não necessária |
Saída aberta |
Lync Server 2010 |
A/V |
Entrada aberta Saída aberta |
Entrada aberta Saída aberta |
Não necessária |
Saída aberta |
Lync Server 2010 |
Compartilhamento de aplicativo/área de trabalho |
Entrada aberta Saída aberta |
Entrada aberta Saída aberta |
Não necessária |
Saída aberta |
Lync Server 2010 |
Transferência de arquivo |
Entrada aberta Saída aberta |
Entrada aberta Saída aberta |
Não necessária |
Saída aberta |
Office Communications Server 2007 R2 |
A/V |
Entrada aberta Saída aberta |
Entrada aberta Saída aberta |
Não necessária |
Saída aberta |
Office Communications Server 2007 R2 |
Compartilhamento da área de trabalho |
Entrada aberta Saída aberta |
Entrada aberta Saída aberta |
Não necessária |
Saída aberta |
Office Communications Server 2007 R2 |
Transferência de arquivo |
N/D |
N/D |
N/D |
N/D |
Office Communications Server 2007 |
A/V |
Entrada aberta Saída aberta |
Entrada aberta |
Entrada aberta Saída aberta |
Entrada aberta Saída aberta |
Office Communications Server 2007 |
Compartilhamento da área de trabalho |
N/D |
N/D |
N/D |
N/D |
Office Communications Server 2007 |
Transferência de arquivo |
N/D |
N/D |
N/D |
N/D |
Observação: |
---|
(entrada) refere-se ao tráfego RTP/TCP e UDP/RTP da Internet para a interface externa da Borda A/V. (saída) refere-se ao tráfego RTP/TCP e UDP/RTP da interface externa da Borda A/V para a Internet. |
Requisitos de porta de firewall A/V externa para acesso de usuário externo
Os requisitos de porta do firewall para SIP externo (e interno) e as interfaces de conferência (apresentações do PowerPoint, quadro de comunicações e sondagem) são consistentes, independentemente da versão que seu parceiro de federação está executando.
O mesmo não é verdadeiro para a interface externa da Borda de Áudio/Vídeo. Na maioria dos casos, o serviço de Borda A/V exige que as regras de firewall externo permitam o tráfego RTP/TCP e RTP/UDP no intervalo de porta 50.000 a 59.999 para um fluxo em uma ou nas duas direções. Por exemplo, abrir esse intervalo de porta é necessário para dar suporte a determinados cenários de federação e a tabela anterior fornece os detalhes para cada cenário. A tabela presume que o Lync Server 2010 seja o principal parceiro de federação e está sendo configurado para se comunicar com um dos quatro tipos de parceiros de federação listados.
Observação: |
---|
Com relação ao intervalo de porta 50.000-59.999, a prática recomendada para o Lync Server 2010 é abrir a saída 50.000-59.999/TCP, para "IPs do Cliente e Parceiros Federados" da interface externa de Borda A/V, se a política corporativa permitir. |
Requisitos de NAT para acesso de usuário externo
NAT geralmente é uma função de roteamento, mas dispositivos mais recentes, como firewalls, e até mesmo balanceadores de carga de hardware podem ser configurados para NAT. Em vez de focar em qual dispositivo está executando NAT, este tópico descreve o comportamento NAT necessário.
O Microsoft Lync Server 2010 software de comunicação não dá suporte de NAT para tráfego para ou da interface interna de Borda, mas para a interface interna de Borda, o comportamento NAT a seguir é necessário. Esta documentação usa os acrônimos ChangeDST e ChangeSRC em tabelas e desenhos para definir o seguinte comportamento necessário:
ChangeDST o processo de alterar o endereço IP de destino em pacotes destinados à rede que está usando o NAT. Isso também é conhecido como transparência, encaminhamento de porta, modo de NAT de destino ou modo de NAT parcial.
ChangeSRC o processo de alterar o endereço IP de origem nos pacotes que saem da rede que está usando o NAT. Isso também é conhecido como proxy, NAT seguro, NAT com estado, NAT de origem ou modo de NAT completo.
Independentemente da convenção de nomenclatura usada, o comportamento NAT exigido para a interface externa do Servidor de Borda é:
Para tráfego da Internet para a interface externa de Borda:
Altere o endereço IP de destino do pacote de entrada do endereço IP público da interface externa de Borda para o endereço IP convertido da interface externa de Borda.
Deixe o endereço IP de origem intacto para que haja uma rota de retorno para o tráfego.
Para tráfego da interface externa de Borda para a Internet:
Altere o endereço IP de origem do pacote que está saindo da interface externa de Borda, do endereço IP convertido para o endereço IP público da interface externa de Borda, para que o endereço IP de Borda interno não seja exposto e porque ele é um endereço IP não roteável.
Deixe o endereço IP de destino intacto nos pacotes de saída.
A figura a seguir mostra a distinção entre alterar o endereço IP de destino (ChangeDST) para tráfego de entrada e alterar o endereço IP de origem (ChangeSRC) para tráfego de saída usando a borda A/V como exemplo.
Alterando o endereço IP de destino (ChangeDST) para tráfego de entrada e alterando o endereço IP de origem (ChangeSRC)
Os pontos principais são:
Para entrada do na Borda A/V, o endereço IP de origem não altera, mas o endereço IP de destino é alterado de 131.107.155.30 para o endereço IP convertido de 10.45.16.10.
Para a saída de tráfego da Borda A/V para a estação de trabalho, o endereço IP de origem é alterado do endereço IP público do servidor para o endereço IP público da Borda A/V. O IP de destino permanece o endereço IP público da estação de trabalho. Depois que o pacote deixa a primeira saída do dispositivo NAT, a regra no dispositivo NAT altera o endereço IP de origem do endereço IP da interface externa da Borda A/V (10.45.16.10) para seu endereço IP público (131.107.155.30).