Determinar firewall A/V externo e requisitos de porta para Lync Server 2013
Tópico Última Modificação: 29-10-2012
A comunicação de áudio/vídeo (A/V) pode ser complexa. Devido à natureza dos protocolos usados em A/V e de como os clientes e servidores usam os protocolos, uma seção especial é justificação para explicar as diferenças entre as versões de cliente e servidor.
Use a tabela de Porta e Firewall A/V a seguir para determinar os requisitos de firewall e quais portas abrir. Em seguida, examine a terminologia nat (conversão de endereços de rede), pois a NAT pode ser implementada de várias maneiras diferentes. Para obter um exemplo detalhado de configurações de porta de firewall, consulte as arquiteturas de referência em Cenários para acesso de usuário externo no Lync Server 2013.
Uso geral de protocolo para UDP e TCP no tráfego de áudio/vídeo e mídia
| Transporte de áudio/vídeo | Uso |
|---|---|
UDP |
Protocolo de camada de transporte preferencial para áudio e vídeo |
TCP |
Protocolo de camada de transporte de fallback para áudio e vídeo Protocolo de camada de transporte necessário para o compartilhamento de aplicativos com o Office Communications Server 2007 R2, o Lync Server 2010 e o Lync Server 2013 Protocolo de camada de transporte necessário para transferência de arquivos para o Lync Server 2010 e o Lync Server 2013 |
Requisitos de porta de firewall A/V externo para acesso de usuário externo
Os requisitos de porta de firewall para interfaces de SIP e conferência externas (e internas) são consistentes, independentemente da versão do cliente ou da versão do parceiro de federação.
O mesmo não é verdadeiro para a interface externa da Borda de Áudio/Vídeo. Para federação com o Office Communications Server 2007, o serviço A/V Edge exige que as regras de firewall externas permitam que o tráfego RTP/TCP e RTP/UDP no intervalo de portas de 50.000 a 59.999 flua em ambas as direções. A tabela anterior pressupõe que o Lync Server 2013 é o parceiro de federação principal e está sendo configurado para se comunicar com um dos outros tipos de parceiros de federação listados.
Configurar o intervalo de portas de Áudio/Vídeo de 50.000 a 59.999 deve levar em conta que o intervalo de portas conterá as portas de origem para comunicações com parceiros de federação. Em detalhes, considere que uma comunicação é iniciada de um parceiro de federação. A comunicação das portas de serviço do A/V Edge no intervalo de 50.000 a 59.999 se conectará à porta TCP 443 esperada do serviço A/V Edge do parceiro. Por outro lado, o tráfego de entrada para a porta de serviço do A/V Edge TCP 443 terá uma porta de origem no intervalo de 50.000 a 59.999.
Firewalls e políticas diferentes para administração de firewall podem exigir que apenas as regras de destino sejam configuradas ou podem exigir que a origem e o destino sejam configurados. Se seus requisitos forem apenas para portas de destino, os requisitos de Áudio/Vídeo serão:
| IP de origem | IP de destino | Porta de Destino |
|---|---|---|
Interface de serviço do A/V Edge |
Qualquer um |
TCP 443 |
Interface de serviço do A/V Edge |
Qualquer um |
UDP 3478 |
Qualquer um |
Interface de serviço do A/V Edge |
TCP 443 |
Qualquer um |
Interface de serviço do A/V Edge |
UDP 3478 |
Se suas políticas exigirem definições de regra de firewall de entrada e saída, os requisitos de Áudio/Vídeo serão:
| IP de origem | IP de destino | Porta de origem | Porta de Destino |
|---|---|---|---|
Interface de serviço do A/V Edge |
Qualquer um |
TCP 50.000-59.999 |
TCP 443 |
Interface de serviço do A/V Edge |
Qualquer um |
UDP 3478 |
UDP 3478 |
Qualquer um |
Interface de serviço do A/V Edge |
Qualquer um |
TCP 443 |
Qualquer um |
Interface de serviço do A/V Edge |
Qualquer um |
UDP 3478 |
Importante
O Microsoft Office Communications Server 2007 requer uma configuração ligeiramente diferente. O intervalo de portas TCP e UDP de 50.000 a 59.999 deve estar aberto de entrada e saída. Esse requisito é apenas para o Office Communicator 2007. O Office Communications Server 2007 R2, o Lync Server 2010 e o Lync Server 2013 exigem apenas o intervalo TCP de 50.000 a 59.999 de saída aberta.
Requisitos nat para o serviço de Borda
Os seguintes requisitos nat se aplicam se você optar por configurar endereços IP privados não roteáveis para o serviço de Borda:
A NAT só pode ser usada com balanceamento de carga DNS. Não há suporte para NAT com uma topologia de borda HLB (balanceamento de carga de hardware).
A NAT só pode ser usada na interface externa do Edge. Não há suporte para NAT na interface de borda interna.
A NAT deve ser simétrica para o tráfego de entrada e saída.
Para o tráfego da Internet, a NAT deve alterar o endereço IP de destino do endereço IP público habilitado para NAT do serviço A/V Edge para seu endereço IP externo. O endereço IP de origem deve permanecer intacto, para que o serviço de Borda A/V possa encontrar o caminho de mídia ideal.
Por exemplo, na direção de entrada na figura abaixo, o endereço IP público 131.107.155.30 foi alterado para o endereço IP externo (privado) 10.45.16.10. O endereço IP de origem permaneceu inalterado.
- Para o tráfego do serviço de Borda A/V para a Internet, a NAT deve alterar o endereço IP de origem do endereço IP externo do serviço A/V Edge para o endereço IP público habilitado para NAT.
Por exemplo, na direção de saída na figura abaixo, o endereço IP externo (privado) 10.45.16.10 foi alterado para o endereço IP público 131.107.155.30.
A figura abaixo mostra como a NAT altera o endereço IP de destino para o tráfego de entrada e o endereço IP de origem para o tráfego de saída.
.jpg "Alterando endereços IP de origem/destino")
Os principais pontos são:
O tráfego de entrada para o servidor que executa o serviço A/V Edge, o endereço IP de origem não é alterado, mas o endereço IP de destino muda de 131.107.155.30 para o endereço IP traduzido de 10.45.16.10.
O tráfego que é de saída do servidor que executa o serviço A/V Edge de volta para a estação de trabalho, o endereço IP de origem muda do endereço IP público do servidor para o endereço IP público do servidor que executa o serviço A/V Edge. O IP de destino permanece o endereço IP público da estação de trabalho. Depois que o pacote deixa o primeiro dispositivo NAT de saída, a regra no dispositivo NAT altera o endereço IP de origem do servidor que executa o endereço IP da interface externa do serviço A/V Edge (10.45.16.10) para seu endereço IP público (131.107.155.30).