Arquitectura de referencia 1: resumen de puertos para perímetro consolidado de un solo equipo
Última modificación del tema: 2012-11-02
La funcionalidad de servidor perimetral de Lync Server 2010 que se describe en esta arquitectura de referencia es muy similar a la que se presentó por primera vez en Office Communications Server 2007 R2, con las siguientes excepciones:
El puerto 8080 se usa para enrutar el tráfico de la interfaz interna del proxy inverso a la IP virtual (VIP) del grupo de servidores. Es opcional y lo pueden usar los dispositivos móviles que ejecutan Lync para localizar el servicio Detección automática en situaciones en que no es deseable modificar el certificado de la regla de publicación de servicios web externos (por ejemplo, si tiene un gran número de dominios SIP).
Se usa el puerto 4443 para enrutar el tráfico procedente de la interfaz interna del proxy inverso hacia la VIP del conjunto de servidores
Se usa el puerto 4443 para enrutar el tráfico procedente de los servidores front-end del conjunto de servidores hacia la interfaz perimetral interna
Existen varias opciones para los intervalos de puertos entre 50.000 y 59.999, pero en la ilustración siguiente se muestra la configuración común para la interoperabilidad con versiones anteriores de Office Communications Server. Para obtener más información sobre las opciones para configurar este intervalo de puertos, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos.
Red perimetral de la empresa para perímetro consolidado de un solo equipo
.jpg "Diagrama de red perimetral para perímetro consolidado único")
En las tablas siguientes, (entrada) se refiere a tráfico que va de una red de menos confianza a una red de más confianza, como, por ejemplo, de Internet a perimetral o de perimetral a corporativa). Por ejemplo, tráfico de Internet a la interfaz perimetral externa o de la interfaz perimetral interna al grupo de servidores del próximo salto. (salto) se refiere a tráfico que va de una red de más confianza a una red de menos confianza, como, por ejemplo, de corporativa a perimetral o de perimetral a Internet). Por ejemplo, tráfico de un conjunto de servidores corporativos a la interfaz perimetral interna o de la interfaz perimetral externa a Internet. Y, por último, (entrada/salida) se refiere a tráfico que va en ambas direcciones.
Tráfico perimetral entrante/saliente
.jpg "Diagrama de perímetro entrante/saliente")
Se recomienda abrir únicamente los puertos necesarios para admitir la funcionalidad para la que se proporciona acceso externo.
Para acceso remoto que funcione con cualquier servicio perimetral, es obligatorio permitir que el tráfico SIP fluya en ambas direcciones, tal como se muestra en la figura Tráfico perimetral entrante/saliente. Dicho de otra forma, el servicio perimetral de acceso interviene en mensajería instantánea, presencia, conferencia web y audio y vídeo (A/V).
Resumen de firewalls para topología perimetral consolidada de un solo equipo/escalada con equilibrio de carga de DNS: Interfaz externa
| Protocolo y puerto | Se usa para |
|---|---|
HTTP 80 (salida) |
Consulta de listas de revocación de certificados |
DNS 53 (salida) |
Consultas de DNS externo |
SIP/TLS/443 (entrada) |
Tráfico SIP de cliente a servidor para acceso de usuarios remotos |
SIP/MTLS/5061 (entrada/salida) |
Federación y conectividad con un servicio de Exchange hospedado |
PSOM/TLS/443 (entrada) |
Acceso de usuarios remotos a conferencias para usuarios anónimos y federados |
RTP/TCP/intervalo de 50 K (entrada) |
Intercambio de medios (para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos) Necesario para interoperatividad con Office Communications Server 2007 R2 |
RTP/TCP/intervalo de 50 K (salida) |
Intercambio de medios (para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos) Necesario para interoperatividad con Office Communications Server 2007 Necesario para uso compartido y federación de Office Communications Server 2007 R2 Necesario para la transferencia de archivos y el uso compartido de aplicaciones en Lync Server 2010 A/V con Windows Live Messenger Nota Si UDP 3478 está bloqueado debido a los requisitos del firewall perimetral o debido a restricciones del cliente de UDP 3478, se usará el intervalo de puertos 50k a través de UDP 3478 |
RTP/UDP/intervalo de 50 K (entrada) |
Intercambio de medios (para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos) Necesario para interoperatividad con Office Communications Server 2007 R2 |
RTP/UDP/intervalo de 50 K (salida) |
Intercambio de medios (para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos) Necesario para la interoperabilidad de Office Communications Server 2007 |
STUN/MSTURN/UDP/3478 (entrada/salida) |
Acceso de usuarios externos a sesiones A/V (UDP) |
STUN/MSTURN/TCP/443 (entrada) |
Acceso de usuarios externos a medios y sesiones A/V (TCP) |
Detalles de firewalls para topología perimetral consolidada de un solo equipo/escalada con equilibrio de carga de DNS: Interfaz interna
| Protocolo y puerto | Se usa para |
|---|---|
SIP/MTLS/5061 (entrada/salida) |
Tráfico SIP |
PSOM/MTLS/8057 (salida) |
Tráfico de conferencia web del grupo de servidores al servidor perimetral |
SIP/MTLS/5062 (salida) |
Autenticación de usuarios de audio y vídeo (servicio de autenticación A/V) |
STUN/MSTURN/UDP/3478 (salida) |
Ruta de acceso preferida para la transferencia multimedia entre usuarios internos y externos (UDP) |
STUN/MSTURN/TCP/443 (salida) |
Ruta de acceso alternativa para la transferencia multimedia entre usuarios internos y externos (TCP) |
HTTPS 4443 (salida) |
Inserción de actualizaciones del Almacén de administración central en servidores perimetrales |
Detalles de firewalls para servidor proxy inverso: Interfaz externa
| Protocolo y puerto | Se usa para |
|---|---|
HTTP 80 (entrada) |
(Opcional) Redirección a HTTPS si el usuario introduce accidentalmente http://<FQDNSitioPublicado>. Requerido también si se usa el servicio Detección automática para dispositivos móviles que ejecutan Lync en situaciones en que la organización no quiere modificar el certificado de la regla de publicación de servicios web externos. |
HTTPS 443 (entrada) |
Descargas de libreta de direcciones, servicio de consulta web de libreta de direcciones, actualizaciones de cliente, contenido de reuniones, actualizaciones de dispositivo, expansión de grupos, conferencia de acceso telefónico y reuniones. |
Detalles de firewalls para servidor proxy inverso: Interfaz interna
| Protocolo y puerto | Se usa para |
|---|---|
HTTP 8080 (entrada) |
Requerido si se usa el servicio Detección automática para dispositivos móviles que ejecutan Lync en situaciones en que la organización no quiere modificar el certificado de la regla de publicación de servicios web externos. El tráfico que se envía a 80 en la interfaz externa del proxy inverso se redirige a un grupo de servidores del puerto 8080 desde la interfaz interna del proxy inverso, para que los servicios web del grupo de servidores puedan distinguirlo del tráfico web interno. |
HTTPS 4443 (entrada) |
El tráfico enviado al puerto 443 de la interfaz externa del proxy inverso se redirige a un conjunto de servidores del puerto 4443 desde la interfaz interna del proxy inverso para que los servicios web del grupo de servidores puedan distinguirlo del tráfico web interno. |
Nota
En las tablas anteriores, (entrada) se refiere a tráfico que va de una red de menos confianza a una red de más confianza, como podría ser de Internet a perimetral o de perimetral a corporativa. Por ejemplo, el tráfico de Internet a la interfaz externa del proxy inverso o de la interfaz interna del proxy inverso a un grupo de servidores Standard Edition o a una dirección VIP de equilibrador de carga de hardware asociada a un grupo de servidores front-end.
Configuración de puertos externos necesaria para topología perimetral consolidada de un solo equipo
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Acceso |
10.45.16.10 |
Cualquiera |
Cualquiera |
80 |
TCP |
HTTP |
|
Acceso |
10.45.16.10 |
Cualquiera |
Cualquiera |
53 |
UDP |
DNS |
|
Acceso |
Cualquiera |
Cualquiera |
10.45.16.10 |
443 |
TCP |
SIP (TLS) |
Tráfico SIP de cliente a servidor para acceso de usuarios externos |
Acceso |
Cualquiera |
Cualquiera |
10.45.16.10 |
5061 |
TCP |
SIP (MTLS) |
Para conectividad de mensajería instantánea pública y federada mediante SIP |
Acceso |
10.45.16.10 |
Cualquiera |
Cualquiera |
5061 |
TCP |
SIP (MTLS) |
Para conectividad de mensajería instantánea pública y federada mediante SIP |
Conferencia web |
Cualquiera |
Cualquiera |
10.45.16.20 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.30 |
50,000 – 59,999 |
Cualquiera |
443 |
TCP |
RTP |
Necesario para compartir escritorio o federarse con socios que ejecuten Office Communications Server 2007 R2 y cuando más de un Servicio perimetral A/V esté implicado en una llamada, como es el caso de usuarios de una misma empresa que usen diferentes Servidores perimetrales o grupos de servidores. También se necesita para uso compartido de aplicaciones o transferencia de archivos con usuarios federados y sesiones A/V con Windows Live Messenger en Lync Server 2010. Este intervalo de puertos y esta regla también se utilizan si el usuario externo no puede usar la regla UDP 3478 debido a restricciones u otros problemas en el origen (cliente). |
A/V |
10.45.16.30 |
50,000 – 59,999 |
Cualquiera |
Cualquiera |
UDP |
RTP |
Solo se necesita para federación con socios que todavía ejecuten Office Communications Server 2007. |
A/V |
Cualquiera |
Cualquiera |
10.45.16.30 |
50,000 – 59,999 |
TCP |
RTP |
Solo se necesita para federación con socios que todavía ejecuten Office Communications Server 2007. |
A/V |
Cualquiera |
Cualquiera |
10.45.16.30 |
50,000 – 59,999 |
UDP |
RTP |
Solo se necesita para federación con socios que todavía ejecuten Office Communications Server 2007. |
A/V |
10.45.16.30 |
3478 |
Cualquiera |
3478 |
UDP |
STUN/MSTURN |
El puerto saliente 3478 se usa para determinar la versión del servidor perimetral con el que Lync Server 2010 se comunica y también para el tráfico de medios de servidor perimetral a servidor perimetral. Se necesita para federación con Lync Server 2010, Windows Live Messenger y Office Communications Server 2007 R2, así como cuando se implementan varios conjuntos de servidores perimetrales en una compañía. |
A/V |
Cualquiera |
Cualquiera |
10.45.16.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Cualquiera |
Cualquiera |
10.45.16.30 |
443 |
TCP |
STUN/MSTURN |
|
Proxy inverso: N/D |
Cualquiera |
Cualquiera |
10.45.16.40 |
80 |
TCP |
HTTP |
(Opcional) Se puede usar para redirigir el tráfico http a https. Requerido también si se usa el servicio Detección automática para dispositivos móviles que ejecutan Lync en situaciones en que la organización no quiere modificar el certificado para la regla de publicación de servicios web externos. |
Proxy inverso: N/D |
Cualquiera |
Cualquiera |
10.45.16.40 |
443 |
TCP |
HTTPS |
Configuración de puertos internos necesaria para topología perimetral consolidada de un solo equipo
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Acceso |
172.25.33.10 |
Cualquiera |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
El destino será los servidores del próximo salto. En el caso de la arquitectura de referencia, corresponde a las direcciones IP de los dos servidores front-end del grupo de servidores. |
Acceso |
192.168.10.90 192.168.10.91 |
Cualquiera |
172.25.33.10 |
5061 |
TCP |
SIP (MTLS) |
El origen será los servidores del próximo salto. En el caso de la arquitectura de referencia, corresponde a las direcciones IP de los dos servidores front-end del grupo de servidores. |
Acceso |
192.168.10.90 192.168.10.91 |
Cualquiera |
172.25.33.10 |
4443 |
TCP |
HTTPS |
Lo usa el agente de réplica para replicación del Almacén de administración central; incluye todos los servidores front-end. |
Conferencia web |
Cualquiera |
Cualquiera |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 Todos los Aplicaciones de sucursal con funciones de supervivencia o Servidores de sucursal con funciones de supervivencia |
Cualquiera |
172.25.33.10 |
5062 |
TCP |
SIP (MTLS) |
Incluye todos los servidores front-end que usan este servicio de autenticación A/V en particular. |
A/V |
Cualquiera |
Cualquiera |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Cualquiera |
Cualquiera |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
|
Proxy inverso: N/D |
172.25.33.40 |
Cualquiera |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(Opcional) Requerido si se usa el servicio Detección automática para dispositivos móviles que ejecutan Lync en situaciones en que la organización no quiere modificar el certificado para la regla de publicación de servicios web externos. |
Proxy inverso: N/D |
172.25.33.40 |
Cualquiera |
192.168.10.190 |
4443 |
TCP |
HTTPS |