Determinazione dei requisiti di porte e firewall A/V esterni
Ultima modifica dell'argomento: 2012-10-24
Utilizzare la tabella di firewall e porte riportata di seguito per determinare i requisiti di firewall e le porte da aprire. Rivedere quindi la terminologia relativa alla conversione NAT (Network Address Translation) perché quest'ultima può essere implementata in diversi modi. Per un esempio dettagliato delle impostazioni delle porte di firewall, vedere le architetture di riferimento in Topologie per l'accesso utente esterno.
Requisiti di porte e firewall A/V
Federazione con | Funzionalità | TCP/443 | UDP/3478 | RTP/UDP 50.000-59.999 | RTP/TCP 50.000-59.999 |
---|---|---|---|---|---|
Windows Live Messenger 2011 |
Point-to-Point Audio/Video (A/V) |
Aperta in ingresso Aperta in uscita |
Aperta in ingresso Aperta in uscita |
Non necessaria |
Aperta in uscita |
Lync Server 2010 |
A/V |
Aperta in ingresso Aperta in uscita |
Aperta in ingresso Aperta in uscita |
Non necessaria |
Aperta in uscita |
Lync Server 2010 |
Condivisione applicazioni/desktop |
Aperta in ingresso Aperta in uscita |
Aperta in ingresso Aperta in uscita |
Non necessaria |
Aperta in uscita |
Lync Server 2010 |
Trasferimento file |
Aperta in ingresso Aperta in uscita |
Aperta in ingresso Aperta in uscita |
Non necessaria |
Aperta in uscita |
Office Communications Server 2007 R2 |
A/V |
Aperta in ingresso Aperta in uscita |
Aperta in ingresso Aperta in uscita |
Non necessaria |
Aperta in uscita |
Office Communications Server 2007 R2 |
Condivisione desktop |
Aperta in ingresso Aperta in uscita |
Aperta in ingresso Aperta in uscita |
Non necessaria |
Aperta in uscita |
Office Communications Server 2007 R2 |
Trasferimento file |
N/D |
N/D |
N/D |
N/D |
Office Communications Server 2007 |
A/V |
Aperta in ingresso Aperta in uscita |
Aperta in ingresso |
Aperta in ingresso Aperta in uscita |
Aperta in ingresso Aperta in uscita |
Office Communications Server 2007 |
Condivisione desktop |
N/D |
N/D |
N/D |
N/D |
Office Communications Server 2007 |
Trasferimento file |
N/D |
N/D |
N/D |
N/D |
Nota
(In ingresso) si riferisce al traffico RTP/TCP e RTP/UDP da Internet verso l'interfaccia esterna A/V Edge.
(In uscita) si riferisce al traffico RTP/TCP e RTP/UDP dall'interfaccia esterna A/V Edge verso Internet.
Requisiti delle porte dei firewall A/V esterni per l'accesso degli utenti esterni
I requisiti delle porte dei firewall per le interfacce SIP esterne e interne e di conferenza (presentazioni di PowerPoint, lavagne e sondaggi) sono uniformi indipendentemente dalla versione utilizzata dal partner federativo.
Non si applicano gli stessi requisiti per l'interfaccia esterna Audio/Video Edge. Nella maggior parte dei casi, il servizio A/V Edge richiede che le regole del firewall esterno consentano il flusso bidirezionale del traffico RTP/TCP e RTP/UDP nell'intervallo di porte 50.000-59.999. È ad esempio necessario aprire questo intervallo di porte per supportare alcuni scenari di federazione e nella tabella precedente vengono forniti i dettagli per ogni scenario. Nella tabella si presuppone che Lync Server 2010 sia il partner federativo primario e che sia configurato per comunicare con uno dei quattro tipi di partner federativi elencati.
Nota
Per quanto riguarda l'intervallo di porte 50.000-59.999, la procedura consigliata per Lync Server 2010 consiste nell'aprire le porte 50.000-59.999/TCP in uscita agli IP client e ai partner federati per l'interfaccia esterna A/V Edge, se consentito dalla politica aziendale.
Requisiti NAT per l'accesso degli utenti esterni
Il processo NAT in genere è una funzione di routing, ma i dispositivi più recenti come i firewall e addirittura i dispositivi di bilanciamento del carico hardware possono essere configurati per NAT. In questo argomento viene descritto il comportamento NAT necessario anziché i dispositivi su cui viene eseguito questo processo.
Il software di comunicazioneMicrosoft Lync Server 2010 non supporta il processo NAT per il traffico verso o dall'interfaccia interna perimetrale, mentre per l'interfaccia esterna perimetrale è necessario il comportamento NAT seguente. In questa documentazione vengono utilizzati i termini Modifica destinazione e Modifica origine nelle tabelle e nelle figure per definire il comportamento necessario seguente:
Modifica destinazione Processo di modifica dell'indirizzo IP di destinazione nei pacchetti destinati per la rete in cui viene utilizzato NAT. Questo processo è noto anche come trasparenza, port forwarding, modalità NAT di destinazione o modalità Half-NAT.
Modifica origine Processo di modifica dell'indirizzo IP di origine nei pacchetti provenienti dalla rete in cui viene utilizzato NAT. Questo processo è noto anche come proxy, SecureNAT, stateful NAT, Source NAT o modalità Full-NAT.
Indipendentemente dalla convenzione utilizzata per i nomi, il comportamento NAT necessario per l'interfaccia esterna del server perimetrale è il seguente:
Per il traffico proveniente da Internet e diretto verso l'interfaccia esterna perimetrale:
Cambiare l'indirizzo IP di destinazione del pacchetto in ingresso dall'indirizzo IP pubblico dell'interfaccia esterna perimetrale nell'indirizzo IP convertito dell'interfaccia esterna perimetrale.
Lasciare invariato l'indirizzo IP di origine in modo che vi sia una route di ritorno per il traffico.
Per il traffico proveniente dall'interfaccia esterna perimetrale e diretto verso Internet:
Cambiare l'indirizzo IP di origine del pacchetto in uscita dall'interfaccia esterna perimetrale da indirizzo IP convertito a indirizzo IP pubblico dell'interfaccia esterna perimetrale, in modo che l'indirizzo IP dell'interfaccia perimetrale interna non venga esposto e perché si tratta di un indirizzo IP non instradabile.
Lasciare invariato l'indirizzo IP di destinazione nei pacchetti in uscita.
Nella figura seguente viene mostrata la distinzione tra la modifica dell'indirizzo IP di destinazione (Modifica destinazione) per il traffico in ingresso e la modifica dell'indirizzo IP di origine (Modifica origine) per il traffico in uscita utilizzando l'interfaccia A/V Edge come esempio.
Modifica dell'indirizzo IP di destinazione (Modifica destinazione) per il traffico in ingresso e modifica dell'indirizzo IP di origine (Modifica origine)
I punti principali sono i seguenti:
Per il traffico in ingresso nell'interfaccia A/V Edge, l'indirizzo IP di origine non cambia, mentre l'indirizzo IP di destinazione cambia da 131.107.155.30 nell'indirizzo IP convertito 10.45.16.10.
Per il traffico in uscita dall'interfaccia A/V Edge verso la workstation, l'indirizzo IP di origine cambia dall'indirizzo IP pubblico del server nell'indirizzo IP pubblico A/V Edge. Come IP di destinazione resta l'indirizzo IP pubblico della workstation. Dopo che il pacchetto ha lasciato dal primo dispositivo NAT in uscita, la regola per il dispositivo NAT cambia l'indirizzo IP di origine dall'indirizzo IP dell'interfaccia esterna A/V Edge (10.45.16.10) nel relativo indirizzo IP pubblico (131.107.155.30).