決定外部 A/V 防火牆和連接埠需求
上次修改主題的時間: 2012-10-24
使用下列防火牆和連接埠表格,判斷防火牆需求以及應開放的連接埠。接著檢閱網路位址轉譯 (NAT) 術語,因為 NAT 可透過許多方式實作。如需防火牆連接埠設定的詳細範例,請參閱外部使用者存取的拓撲中的參考架構。
A/V 防火牆和連接埠需求
| 同盟對象 | 功能 | TCP/443 | UDP/3478 | RTP/UDP 50,000-59,999 | RTP/TCP 50,000-59,999 |
|---|---|---|---|---|---|
Windows Live Messenger 2011 |
點對點 音訊/視訊 (A/V) |
開放輸入 開放輸出 |
開放輸入 開放輸出 |
不需要 |
開放輸出 |
Lync Server 2010 |
A/V |
開放輸入 開放輸出 |
開放輸入 開放輸出 |
不需要 |
開放輸出 |
Lync Server 2010 |
應用程式共用/桌面共用 |
開放輸入 開放輸出 |
開放輸入 開放輸出 |
不需要 |
開放輸出 |
Lync Server 2010 |
檔案傳輸 |
開放輸入 開放輸出 |
開放輸入 開放輸出 |
不需要 |
開放輸出 |
Office Communications Server 2007 R2 |
A/V |
開放輸入 開放輸出 |
開放輸入 開放輸出 |
不需要 |
開放輸出 |
Office Communications Server 2007 R2 |
桌面共用 |
開放輸入 開放輸出 |
開放輸入 開放輸出 |
不需要 |
開放輸出 |
Office Communications Server 2007 R2 |
檔案傳輸 |
N/A |
N/A |
N/A |
N/A |
Office Communications Server 2007 |
A/V |
開放輸入 開放輸出 |
開放輸入 |
開放輸入 開放輸出 |
開放輸入 開放輸出 |
Office Communications Server 2007 |
桌面共用 |
N/A |
N/A |
N/A |
N/A |
Office Communications Server 2007 |
檔案傳輸 |
N/A |
N/A |
N/A |
N/A |
.gif "note") 附註: |
|---|
| (輸入) 是指從網際網路到 A/V Edge 外部介面的 RTP/TCP 和 RTP/UDP 流量。 (輸出) 是指從 A/V Edge 外部介面到網際網路的 RTP/TCP 和 RTP/UDP 流量。 |
外部使用者存取的外部 A/V 防火牆連接埠需求
外部 (及內部) SIP 和會議 (PowerPoint 簡報、白板和輪詢) 介面的防火牆連接埠需求是一致的,不論您同盟協力廠商執行的版本為何。
A/V Edge 外部介面則不同。大部分情況下,A/V Edge Service 需要外部防火牆規則允許 RTP/TCP 和 RTP/UDP 流量在 50,000 至 59,999 連接埠範圍單向或雙向流動。例如,開放此連接埠範圍對於支援某些同盟案例是必要的,而上表即提供每種案例的詳細資料。表中假設 Lync Server 2010 是主要同盟協力廠商,且您要設定它來與所列四種同盟協力廠商類型之一進行通訊。
| 附註: |
|---|
| 關於 50,000-59,999 連接埠範圍,Lync Server 2010 的最佳做法是針對 A/V Edge 外部介面,開放 50,000-59,999/TCP 輸出至「用戶端 IP 與同盟協力廠商」(如果公司政策允許)。 |
外部使用者存取的 NAT 需求
NAT 通常是一種路由功能,但如防火牆甚至是硬體負載平衡器之類的較新裝置都可以設定 NAT。本主題並不討論哪種裝置會執行 NAT,而是說明必要的 NAT 行為。
Microsoft Lync Server 2010 通訊軟體不支援對進出 Edge 內部介面的流量使用 NAT,但對於 Edge 外部介面,下列 NAT 行為是必要的。本文件在表格和繪圖中使用縮寫 ChangeDST 和 ChangeSRC,以定義下列必要行為:
ChangeDST 指在預定送往使用 NAT 的網路的封包上變更目的 IP 位址的過程。也稱為透明度、連接埠轉送、目的地 NAT 模式或半 NAT 模式。
ChangeSRC 指在離開使用 NAT 的網路的封包上變更來源 IP 位址的過程。也稱為 Proxy、安全 NAT、可設定狀態的 NAT、來源 NAT 或全 NAT 模式。
無論所使用的命名慣例為何,Edge Server 的外部介面所需的 NAT 行為如下:
從網際網路到 Edge 外部介面的流量:
將傳入封包的目的地 IP 位址,從 Edge 外部介面公用 IP 位址變更為轉譯後的 Edge 外部介面 IP 位址。
保持來源 IP 位址不變,讓流量保有傳回路由。
從 Edge 外部介面到網際網路的流量:
將離開 Edge 外部介面的封包的來源 IP 位址,從轉譯後的 Edge 外部介面 IP 位址變更為公用 IP 位址,以免暴露內部 Edge IP 位址,而且因為這是無法路由的 IP 位址。
保持傳出封包上的目的地 IP 位址不變。
下圖以 A/V Edge 為例,顯示變更輸入流量的目的地 IP 位址 (ChangeDST) 跟變更輸出流量的來源 IP 位址 (ChangeSRC) 有何不同。
變更輸入流量的目的地 IP 位址 (ChangeDST) 和變更來源 IP 位址 (ChangeSRC)
.jpg "變更目的地/來源 IP 位址")
重點為:
對於傳入 A/V Edge 的流量,來源 IP 位址不變,但目的地 IP 位址從 131.107.155.30 變更為轉譯後的 IP 位址 10.45.16.10。
對於從 A/V Edge 輸出回到工作站的流量,來源 IP 位址從伺服器的公用 IP 位址變更為 A/V Edge 的公用 IP 位址。目的地 IP 仍為工作站的公用 IP 位址。封包往外離開第一個 NAT 裝置後,NAT 裝置上的規則會將來源 IP 位址從 A/V Edge 的外部介面 IP 位址 (10.45.16.10) 變更為其公用 IP 位址 (131.107.155.30)。