Définition de la configuration requise pour le pare-feu A/V et les ports pour Lync Server 2013
Rubrique Dernière modification : 2012-10-29
La communication audio/vidéo (A/V) peut être complexe. En raison de la nature des protocoles utilisés dans A/V et de la façon dont les clients et les serveurs utilisent les protocoles, une section spéciale est justifiée pour expliquer les différences entre les versions client et serveur.
Utilisez la table de pare-feu et de ports A/V suivante pour déterminer les exigences de pare-feu et les ports à ouvrir. Ensuite, passez en revue la terminologie de traduction d’adresses réseau (NAT), car la traduction d’adresses réseau peut être implémentée de différentes façons. Pour obtenir un exemple détaillé des paramètres de port de pare-feu, consultez les architectures de référence dans Scénarios d’accès des utilisateurs externes dans Lync Server 2013.
Utilisation générale du protocole pour UDP et TCP dans le trafic audio/vidéo et multimédia
| Transport audio/vidéo | Utilisation |
|---|---|
UDP |
Protocole de couche de transport préféré pour l’audio et la vidéo |
TCP |
Protocole de couche de transport de secours pour l’audio et la vidéo Protocole de couche de transport requis pour le partage d’applications vers Office Communications Server 2007 R2, Lync Server 2010 et Lync Server 2013 Protocole de couche de transport requis pour le transfert de fichiers vers Lync Server 2010 et Lync Server 2013 |
Exigences de port de pare-feu A/V externe pour l’accès utilisateur externe
Les exigences de port de pare-feu pour les interfaces SIP et de conférence externes (et internes) sont cohérentes, quelle que soit la version de votre client ou la version du partenaire de fédération.
Il en va de même pour l’interface externe Audio/Video Edge. Pour la fédération avec Office Communications Server 2007, le service Edge A/V exige que les règles de pare-feu externes autorisent le trafic RTP/TCP et RTP/UDP entre 50 000 et 59 999 ports dans les deux sens. Le tableau précédent suppose que Lync Server 2013 est le principal partenaire de fédération et qu’il est configuré pour communiquer avec l’un des autres types de partenaires de fédération répertoriés.
La configuration de la plage de ports audio/vidéo comprise entre 50 000 et 59 999 doit tenir compte du fait que la plage de ports contiendra les ports sources pour les communications aux partenaires de fédération. En détail, considérez qu’une communication est initiée par un partenaire de fédération. La communication à partir des ports de service Edge A/V de la plage 50 000 à 59 999 se connectera au port TCP 443 attendu du service Edge A/V du partenaire. À l’inverse, le trafic entrant vers votre port de service Edge A/V TCP 443 aura un port source compris entre 50 000 et 59 999.
Les différents pare-feu et stratégies pour l’administration du pare-feu peuvent nécessiter la configuration de règles de destination uniquement, ou la configuration de la source et de la destination. Si vos exigences concernent uniquement les ports de destination, les exigences audio/vidéo sont les suivantes :
| Adresse IP source | Adresse IP de destination | Port de destination |
|---|---|---|
Interface de service Edge A/V |
Indifférente |
TCP 443 |
Interface de service Edge A/V |
Indifférente |
UDP 3478 |
Indifférente |
Interface de service Edge A/V |
TCP 443 |
Indifférente |
Interface de service Edge A/V |
UDP 3478 |
Si vos stratégies nécessitent des définitions de règles de pare-feu entrantes et sortantes, les exigences audio/vidéo sont les suivantes :
| Adresse IP source | Adresse IP de destination | Port source | Port de destination |
|---|---|---|---|
Interface de service Edge A/V |
Indifférente |
TCP 50 000 à 59 999 |
TCP 443 |
Interface de service Edge A/V |
Indifférente |
UDP 3478 |
UDP 3478 |
Indifférente |
Interface de service Edge A/V |
Indifférente |
TCP 443 |
Indifférente |
Interface de service Edge A/V |
Indifférente |
UDP 3478 |
Important
Microsoft Office Communications Server 2007 nécessite une configuration légèrement différente. La plage de ports TCP et UDP comprise entre 50 000 et 59 999 doit être ouverte entrante et sortante. Cette exigence concerne uniquement Office Communicator 2007. Office Communications Server 2007 R2, Lync Server 2010 et Lync Server 2013 nécessitent uniquement une plage TCP comprise entre 50 000 et 59 999 sorties ouvertes.
Configuration nat requise pour le service Edge
Les exigences NAT suivantes s’appliquent si vous choisissez de configurer des adresses IP privées non routables pour le service Edge :
NAT ne peut être utilisé qu’avec l’équilibrage de charge DNS. NAT n’est pas pris en charge avec une topologie Edge d’équilibrage de charge matérielle (HLB).
Nat ne peut être utilisé que sur l’interface Edge externe. NAT n’est pas pris en charge sur l’interface Edge interne.
NAT doit être symétrique pour le trafic entrant et sortant.
Pour le trafic en provenance d’Internet, NAT doit remplacer l’adresse IP de destination de l’adresse IP publique compatible NAT du service Edge A/V par son adresse IP externe. L’adresse IP source doit rester intacte, afin que le service Edge A/V puisse trouver le chemin d’accès multimédia optimal.
Par exemple, dans le sens entrant de la figure ci-dessous, l’adresse IP publique 131.107.155.30 a été remplacée par l’adresse IP externe (privée) 10.45.16.10. L’adresse IP source est restée inchangée.
- Pour le trafic du service Edge A/V vers Internet, NAT doit remplacer l’adresse IP source de l’adresse IP externe du service Edge A/V par l’adresse IP publique compatible NAT.
Par exemple, dans la direction sortante de la figure ci-dessous, l’adresse IP externe (privée) 10.45.16.10 a été remplacée par l’adresse IP publique 131.107.155.30.
La figure ci-dessous montre comment NAT modifie l’adresse IP de destination pour le trafic entrant et l’adresse IP source pour le trafic sortant.
.jpg "Modification des adresses IP de destination/source")
Les points clés sont les suivants :
Trafic entrant vers le serveur exécutant le service Edge A/V, l’adresse IP source ne change pas, mais l’adresse IP de destination passe de 131.107.155.30 à l’adresse IP traduite de 10.45.16.10.
Trafic sortant du serveur exécutant le service Edge A/V vers la station de travail, l’adresse IP source passe de l’adresse IP publique du serveur à l’adresse IP publique du serveur exécutant le service Edge A/V. L’adresse IP de destination reste l’adresse IP publique de la station de travail. Une fois que le paquet quitte le premier appareil NAT sortant, la règle sur l’appareil NAT remplace l’adresse IP source du serveur exécutant l’adresse IP de l’interface externe du service Edge A/V (10.45.16.10) par son adresse IP publique (131.107.155.30).