确定 Lync Server 2013 的外部 A/V 防火墙和端口要求
上次修改的主题: 2012-10-29
音频/视频 (A/V) 通信可能很复杂。 由于 A/V 中使用的协议的性质以及客户端和服务器如何使用协议,因此需要使用特殊部分来解释客户端和服务器版本之间的差异。
使用以下 A/V 防火墙和端口表来确定防火墙要求和要打开的端口。 然后,查看 (NAT) 术语的网络地址转换,因为 NAT 可以通过许多不同的方式实现。 有关防火墙端口设置的详细示例,请参阅 Lync Server 2013 中外部用户访问的方案中的参考体系结构。
音频/视频和媒体流量中 UDP 和 TCP 的常规协议使用情况
| 音频/视频传输 | 用法 |
|---|---|
UDP |
音频和视频的首选传输层协议 |
TCP |
音频和视频的回退传输层协议 应用程序共享到 Office Communications Server 2007 R2、Lync Server 2010 和 Lync Server 2013 所需的传输层协议 将文件传输到 Lync Server 2010 和 Lync Server 2013 所需的传输层协议 |
外部用户访问的外部 A/V 防火墙端口要求
外部 (和内部) SIP 和会议接口的防火墙端口要求是一致的,而不考虑客户端版本或联合身份验证合作伙伴的版本。
音频/视频边缘外部接口也是如此。 对于与 Office Communications Server 2007 的联合,A/V Edge 服务要求外部防火墙规则允许 50,000 到 59,999 端口范围内的 RTP/TCP 和 RTP/UDP 流量双向流动。 上表假定 Lync Server 2013 是主要联合合作伙伴,并且配置为与列出的其他联合伙伴类型之一通信。
配置音频/视频端口范围 50,000-59,999 必须考虑到端口范围将包含与联合合作伙伴通信的源端口。 请详细考虑从联合合作伙伴发起的通信。 来自 50,000-59,999 范围内的 A/V Edge 服务端口的通信将连接到合作伙伴的 A/V Edge 服务的预期端口 TCP 443。 相反,发往 A/V Edge 服务端口 TCP 443 的入站流量的源端口范围为 50,000-59,999。
防火墙管理的不同防火墙和策略可能只需要配置目标规则,或者可能需要配置源和目标。 如果要求仅适用于目标端口,则音频/视频要求为:
| 源 IP | 目标 IP | 目标端口 |
|---|---|---|
A/V Edge 服务接口 |
任意 |
TCP 443 |
A/V Edge 服务接口 |
任意 |
UDP 3478 |
任何 |
A/V Edge 服务接口 |
TCP 443 |
任何 |
A/V Edge 服务接口 |
UDP 3478 |
如果策略同时需要入站和出站防火墙规则定义,则音频/视频要求为:
| 源 IP | 目标 IP | 源端口 | 目标端口 |
|---|---|---|---|
A/V Edge 服务接口 |
任意 |
TCP 50,000-59,999 |
TCP 443 |
A/V Edge 服务接口 |
任意 |
UDP 3478 |
UDP 3478 |
任何 |
A/V Edge 服务接口 |
任意 |
TCP 443 |
任何 |
A/V Edge 服务接口 |
任意 |
UDP 3478 |
重要
Microsoft Office Communications Server 2007 需要略有不同的配置。 TCP 和 UDP 端口范围 50,000-59,999 必须开放入站和出站。 此要求仅适用于 Office Communicator 2007。 Office Communications Server 2007 R2、Lync Server 2010 和 Lync Server 2013 只需要 TCP 范围 50,000-59,999 开放出站。
Edge 服务的 NAT 要求
如果选择为 Edge 服务配置不可路由的专用 IP 地址,则适用以下 NAT 要求:
NAT 只能与 DNS 负载均衡一起使用。 HLB) Edge 拓扑 (硬件负载均衡不支持 NAT。
NAT 只能在外部 Edge 接口上使用。 内部 Edge 接口不支持 NAT。
NAT 必须对传入和传出流量对称。
对于来自 Internet 的流量,NAT 必须将目标 IP 地址从已启用 NAT 的 A/V Edge 服务的公共 IP 地址更改为其外部 IP 地址。 源 IP 地址必须保持不变,以便 A/V Edge 服务能够找到最佳媒体路径。
例如,在下图的入站方向中,公共 IP 地址 131.107.155.30 已更改为外部 (专用) IP 地址 10.45.16.10。 源 IP 地址保持不变。
- 对于从 A/V Edge 服务到 Internet 的流量,NAT 必须将源 IP 地址从 A/V Edge 服务的外部 IP 地址更改为已启用 NAT 的公共 IP 地址。
例如,在下图的出站方向中,外部 (专用) IP 地址 10.45.16.10 已更改为公共 IP 地址 131.107.155.30。
下图显示了 NAT 如何更改入站流量的目标 IP 地址和出站流量的源 IP 地址。
.jpg "更改目标/源 IP 地址")
关键点为:
传入到运行 A/V Edge 服务的服务器的流量,源 IP 地址不会更改,但目标 IP 地址从 131.107.155.30 更改为 10.45.16.10 的已转换 IP 地址。
从运行 A/V Edge 服务的服务器出站的流量返回到工作站,源 IP 地址从服务器的公共 IP 地址更改为运行 A/V Edge 服务的服务器的公共 IP 地址。 目标 IP 仍然是工作站的公共 IP 地址。 数据包离开第一个 NAT 设备出站后,NAT 设备上的规则会将运行 A/V Edge 服务外部接口 IP 地址的服务器的源 IP 地址 (10.45.16.10) 更改为其公共 IP 地址 (131.107.155.30) 。