Architecture de référence 3 : résumé des ports requis pour la topologie Edge consolidée mise à l’échelle (avec charge matérielle équilibrée)
Dernière rubrique modifiée : 2012-11-02
La fonctionnalité de serveur Edge Lync Server 2010 décrite dans cette architecture de référence est très semblable à ce qui a été préalablement défini dans Office Communications Server 2007 R2, avec les exceptions suivantes :
Le port 8080 est facultatif et peut être utilisé par les appareils mobiles exécutant Lync pour trouver le service de découverte automatique dans les situations où la modification du certificat de règle de publication du service web externe n’est pas souhaitable (par exemple si vous avez un grand nombre de domaines SIP).
Le port 4443 sert à router le trafic depuis l’interface interne du proxy inverse vers l’IP virtuelle du pool.
Le port 4443 sert à router le trafic depuis le ou les serveurs frontaux du pool vers l’interface interne du serveur Edge.
Il existe plusieurs options pour la plage de ports 50 000 – 59 999, mais la topologie Edge consolidée mise à l’échelle (avec équilibrage de la charge matérielle) illustrée dans la figure Architecture de référence 3 : topologie Edge consolidée mise à l’échelle (avec charge matérielle équilibrée) représente la configuration courante pour l’interopérabilité avec les versions précédentes d’Office Communications Server. Pour plus d’informations sur les options de configuration de cette plage de ports, voir la section dans Détermination des conditions requises pour le pare-feu A/V externe et les ports.
Réseau de périmètre d’entreprise pour la topologie Edge consolidée mise à l’échelle avec charge matérielle équilibrée
.jpg "Réseau de périmètre HLB de serveur Edge consolidé avec montée en puissance")
Dans les tableaux précédents, (entrant) se réfère au trafic provenant d’un réseau dont la relation de confiance est plus faible vers un réseau dont la relation de confiance est plus élevée (Internet vers réseau périmètre ou réseau de périmètre vers réseau d’entreprise). Par exemple, le trafic provenant d’Internet vers l’interface externe Edge ou de l’interface interne Edge vers le pool du tronçon suivant. (sortant) se réfère au trafic provenant d’un réseau dont la relation de confiance est plus élevée vers un réseau dont la relation de confiance est plus faible (réseau d’entreprise vers réseau de périmètre ou réseau de périmètre vers Internet). Par exemple, le trafic provenant d’un pool d’entreprise vers l’interface interne Edge ou de l’interface externe Edge vers Internet. Enfin, (entrant/sortant) se réfère au trafic allant dans les deux sens.
Trafic Edge bidirectionnel
.jpg "Diagramme entrée/sortie Edge")
Nous vous recommandons d’ouvrir uniquement les ports nécessaires à la prise en charge de la fonctionnalité pour laquelle vous fournissez un accès externe.
Pour que l’accès distant fonctionne pour tout service Edge, il est obligatoire que le trafic SIP puisse circuler de manière bidirectionnelle comme le montre la figure Topologie Edge consolidée mise à l’échelle (avec charge matérielle équilibrée). En d’autres termes, le service d’accès Edge intervient dans la messagerie instantanée, la présence, la conférence web ainsi que l’audio et la vidéo (A/V).
Résumé du pare-feu pour la topologie Edge consolidée à l’échelle avec charge matérielle équilibrée : interface externe
| Protocole/port | Utilisé pour | ||
|---|---|---|---|
HTTP 80 (sortant) |
Téléchargement des listes de révocation de certificats |
||
DNS 53 (sortant) |
Requêtes DNS externes |
||
SIP/TLS/443 (entrant) |
Trafic SIP du client vers le serveur pour l’accès des utilisateurs distants (ouvert à l’adresse IP virtuelle externe du serveur Edge d’accès seulement, pas aux serveurs de pool Edge individuels) |
||
SIP/MTLS/5061 (entrant) |
Fédération et connectivité avec un service Exchange hébergé. Ouvert à l’adresse IP virtuelle externe du serveur Edge d’accès seulement, pas aux serveurs de pool Edge individuels |
||
PSOM/TLS/443 (entrant) |
Accès des utilisateurs distants aux conférences web pour les utilisateurs anonymes et fédérés. Ouvert à l’adresse IP virtuelle externe du serveur Edge de conférence web seulement, pas aux serveurs de pool Edge individuels |
||
RTP/TCP/plage 50K (entrant) |
Échanges multimédias (pour plus d’informations, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports) Requis pour l’interopérabilité avec Office Communications Server 2007 |
||
RTP/TCP/plage 50K (sortant) |
Échanges multimédias (pour plus d’informations, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports) Requis pour l’interopérabilité avec Office Communications Server 2007 Requis pour le partage du Bureau et la fédération avec Office Communications Server 2007 R2 Requis pour le partage d’application et le transfert de fichiers avec Lync Server 2010 A/V avec Windows Live Messenger
|
||
RTP/UDP/plage 50K (entrant) |
Échanges multimédias (pour plus d’informations, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports) Requis pour l’interopérabilité avec Office Communications Server 2007 |
||
RTP/UDP/plage 50K (sortant) |
Échanges multimédias (pour plus d’informations, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports) Requis pour l’interopérabilité avec Office Communications Server 2007 |
||
STUN/MSTURN/UDP/3478 (entrant/sortant) |
Accès des utilisateurs externes aux sessions A/V (UDP) (ouvert à l’adresse IP externe du serveur Edge A/V et aux serveurs Edge individuels) |
||
STUN/MSTURN/TCP/443 (entrant/sortant) |
Accès des utilisateurs externes aux sessions et médias A/V (TDP) (ouvert à l’adresse IP externe du serveur Edge A/V et aux serveurs Edge individuels) |
Résumé du pare-feu pour la topologie Edge consolidée à l’échelle avec charge matérielle équilibrée : interface interne
| Protocole/port | Utilisé pour |
|---|---|
SIP/MTLS/5061 (entrant/sortant) |
Trafic SIP. Ouvert à l’adresse IP virtuelle externe du serveur Edge et aux serveurs de pool Edge individuels. |
PSOM/MTLS/8057 (sortant) |
Trafic de conférence web du pool vers le serveur Edge (ouvert aux serveurs Edge individuels uniquement) |
SIP/MTLS/5062 (sortant) |
Authentification des utilisateurs A/V (en fait, service d’authentification A/V) (ouvert à l’adresse IP virtuelle interne du serveur Edge et aux serveurs Edge individuels) |
STUN/MSTURN/UDP/3478 (sortant) |
Chemin d’accès préféré pour le transfert multimédia entre les utilisateurs internes et externes (UDP) (ouvert à l’adresse IP interne du serveur Edge et aux serveurs Edge individuels) |
STUN/MSTURN/TCP/443 (sortant) |
Autre chemin d’accès pour le transfert multimédia entre les utilisateurs internes et externes (TDP) (ouvert à l’adresse IP interne du serveur Edge et aux serveurs Edge individuels) |
HTTPS 4443 (sortant) |
Transmission des mises à jour de la base de données CMS sur les nœuds Edge (ouvert aux serveurs Edge individuels uniquement) |
Informations sur le pare-feu pour le serveur proxy inverse : interface externe
| Protocole/port | Utilisé pour |
|---|---|
HTTP 80 (entrant) |
(Facultatif) Redirection vers HTTPS si l’utilisateur entre par inadvertance http://<NomDeDomaineCompletSitePublié> Également requis en cas d’utilisation du service de découverte automatique pour les appareils mobiles exécutant Lync dans les situations où l’organisation ne souhaite pas modifier le certificat de règle de publication du service web externe. |
HTTPS 443 (entrant) |
Téléchargements de carnet d’adresses, service de requête web du carnet d’adresses, mises à jour du client, contenu de la réunion, mises à jour du périphérique, développement du groupe, conférence rendez-vous et conférences. |
Informations sur le pare-feu pour le serveur proxy inverse : interface interne
| Protocole/port | Utilisé pour |
|---|---|
HTTP 8080 (entrant) |
Requis en cas d’utilisation du service de découverte automatique pour les appareils mobiles exécutant Lync dans les situations où le client ne souhaite pas modifier le certificat de règle de publication du service web externe. Le trafic envoyé vers le port 80 sur l’interface externe du proxy inverse est réacheminé vers un pool sur le port 8080 à partir de l’interface interne du proxy inverse. Ainsi, les services web du pool peuvent faire la distinction par rapport au trafic web interne. |
HTTPS 4443 (entrant) |
Le trafic envoyé vers le port 443 sur l’interface externe du proxy inverse est réacheminé vers un pool sur le port 4443 à partir de l’interface interne du proxy inverse. Ainsi, les services web du pool peuvent faire la distinction par rapport au trafic web interne. |
.gif "note") Remarque : |
|---|
| En lisant les tableaux précédents, (entrant) fait référence au trafic qui passe d’un réseau moins approuvé à un réseau plus approuvé, tel que Internet vers périmètre ou périmètre vers entreprise. Par exemple, le trafic provenant d’Internet vers l’interface externe du proxy inverse, ou de l’interface interne du proxy inverse vers un pool Standard Edition ou vers une adresse IP virtuelle d’un programme d’équilibrage de la charge matérielle associée à un pool Enterprise Edition. |
Paramètres de port externes requis pour la topologie Edge consolidée mise à l’échelle (avec charge matérielle équilibrée) : IP virtuelles d’interface externe
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Accès |
indifférente |
indifférente |
131.107.155.110 |
443 |
TCP |
SIP (TLS) |
Trafic SIP client à serveur pour l’accès des utilisateurs externes |
Accès |
indifférente |
indifférente |
131.107.155.110 |
5061 |
TCP |
SIP (MTLS) |
Pour connectivité de messagerie instantanée publique et fédérée utilisant SIP (entrante) |
Conférence web |
indifférente |
indifférente |
131.107.155.120 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
Indifférent |
Indifférent |
131.107.155.130 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
indifférente |
indifférente |
131.107.155.130 |
443 |
TCP |
STUN/MSTURN |
Paramètres de port externes requis pour la topologie Edge consolidée mise à l’échelle (avec charge matérielle équilibrée) : interface externe, nœud 1
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Accès |
131.107.155.10 |
indifférente |
indifférente |
80 |
TCP |
HTTP |
|
Accès |
131.107.155.10 |
indifférente |
indifférente |
53 |
UDP |
DNS |
|
Accès |
131.107.155.10 |
indifférente |
indifférente |
5061 |
TCP |
SIP (MTLS) |
Pour connectivité de messagerie instantanée publique et fédérée utilisant SIP (sortante) |
A/V |
131.107.155.30 |
50,000 – 59,999 |
indifférente |
indifférente |
TCP |
RTP |
Requis uniquement pour le partage de bureau avec des partenaires exécutant Office Communications Server 2007 R2. Également requis pour le partage d’application ou le transfert de fichiers avec des utilisateurs Lync Server 2010 fédérés et les sessions A/V avec Windows Live Messenger. |
A/V |
131.107.155.30 |
50,000 – 59,999 |
indifférente |
indifférente |
UDP |
RTP |
Requis uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V |
indifférente |
indifférente |
131.107.155.30 |
50,000 – 59,999 |
TCP |
RTP |
Requis uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V |
indifférente |
indifférente |
131.107.155.30 |
50,000 – 59,999 |
UDP |
RTP |
Requis uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V |
131.107.155.30 |
indifférente |
Indifférent |
3478 |
UDP |
STUN/MSTURN |
3478 sortant est utilisé pour déterminer la version avec laquelle le serveur Edge Lync Server 2010 communique et également pour le trafic multimédia de serveur Edge à serveur Edge. Requis pour la fédération avec Lync Server 2010, Windows Live Messenger et Office Communications Server 2007 R2, et aussi si plusieurs pools Edge sont déployés dans l’entreprise. |
A/V |
indifférente |
indifférente |
131.107.155.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
indifférente |
indifférente |
131.107.155.30 |
443 |
TCP |
STUN/MSTURN |
Paramètres de port externes requis pour la topologie Edge consolidée mise à l’échelle (avec charge matérielle équilibrée) : interface externe, nœud 2
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Accès |
131.107.155.11 |
indifférente |
indifférente |
80 |
TCP |
HTTP |
|
Accès |
131.107.155.11 |
indifférente |
indifférente |
53 |
UDP |
DNS |
|
Accès |
131.107.155.11 |
indifférente |
indifférente |
5061 |
TCP |
SIP (MTLS) |
Pour connectivité de messagerie instantanée publique et fédérée utilisant SIP (sortante) |
A/V |
131.107.155.31 |
50,000 – 59,999 |
indifférente |
indifférente |
TCP |
RTP |
Requis uniquement pour le partage de bureau avec des partenaires exécutant Office Communications Server 2007 R2. Également requis pour le partage d’application ou le transfert de fichiers avec des utilisateurs Lync Server 2010 fédérés et les sessions A/V avec Windows Live Messenger. |
A/V |
131.107.155.31 |
50,000 – 59,999 |
indifférente |
indifférente |
UDP |
RTP |
Requis uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V |
indifférente |
indifférente |
131.107.155.31 |
50,000 – 59,999 |
TCP |
RTP |
Requis uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V |
indifférente |
indifférente |
131.107.155.31 |
50,000 – 59,999 |
UDP |
RTP |
Requis uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V |
131.107.155.31 |
indifférente |
Indifférent |
3478 |
UDP |
STUN/MSTURN |
3478 sortant est utilisé pour déterminer la version avec laquelle le serveur Edge Lync Server 2010 communique et également pour le trafic multimédia de serveur Edge à serveur Edge. Requis pour la fédération avec Lync Server 2010, Windows Live Messenger et Office Communications Server 2007 R2, et aussi si plusieurs pools Edge sont déployés dans l’entreprise. |
A/V |
indifférente |
indifférente |
131.107.155.31 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
indifférente |
indifférente |
131.107.155.31 |
443 |
TCP |
STUN/MSTURN |
Paramètres de port externes requis pour la topologie Edge consolidée mise à l’échelle (avec charge matérielle équilibrée) : Proxy inverse
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Non applicable |
indifférente |
indifférente |
10.45.16.40 |
80 |
TCP |
SIP (TLS) |
(Facultatif) Utiliser pour rediriger le trafic HTTP vers HTTPS. Également requis en cas d’utilisation du service de découverte automatique pour les appareils mobiles exécutant Lync dans les situations où l’organisation ne souhaite pas modifier le certificat de règle de publication du service web externe. |
Non applicable |
indifférente |
indifférente |
10.45.16.40 |
443 |
TCP |
HTTPS |
Paramètres de port de pare-feu internes requis pour la topologie Edge consolidée mise à l’échelle (avec charge matérielle équilibrée) : IP virtuelles d’interface interne
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Accès |
192.168.10.90 192.168.10.91 |
indifférente |
172.25.33.110 |
5061 |
TCP |
SIP (MTLS) |
|
A/V |
indifférente |
indifférente |
172.25.33.110 |
5062 |
TCP |
SIP (MTLS) |
Inclut tous les serveurs frontaux et les serveurs Survivable Branch Appliance ou serveurs Survivable Branch Server à l’aide de ce service d’authentification A/V particulier. |
A/V |
indifférente |
indifférente |
172.25.33.110 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
indifférente |
indifférente |
172.25.33.110 |
443 |
TCP |
STUN/MSTURN |
Paramètres de port de pare-feu internes requis pour la topologie Edge consolidée mise à l’échelle (avec charge matérielle équilibrée) : interface interne, nœud 1
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Accès |
172.25.33.10 |
indifférente |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
La destination sera le(s) serveur(s) de tronçon suivant(s). Dans le contexte de l’architecture de référence, il s’agit des adresses IP des deux pools frontaux. |
Accès |
192.168.10.90 192.168.10.91 |
indifférente |
172.25.33.10 |
4443 |
TCP |
HTTPS |
Utilisé pour la réplication du magasin central de gestion, inclut tous les serveurs frontaux. |
Conférence web |
indifférente |
indifférente |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 |
indifférente |
172.25.33.10 |
5062 |
TCP |
SIP(MTLS) |
Authentification du serveur relais multimédia |
A/V |
indifférente |
Indifférent |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
indifférente |
indifférente |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
Paramètres de port de pare-feu internes requis pour la topologie Edge consolidée mise à l’échelle (avec charge matérielle équilibrée) : interface interne, nœud 2
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Accès |
172.25.33.11 |
indifférente |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
La destination sera le(s) serveur(s) de tronçon suivant(s). Dans le contexte de l’architecture de référence, il s’agit des adresses IP des deux pools frontaux. |
Accès |
192.168.10.90 192.168.10.91 |
indifférente |
172.25.33.11 |
4443 |
TCP |
HTTPS |
Utilisé pour la réplication du magasin central de gestion, inclut tous les serveurs frontaux. |
Conférence web |
indifférente |
indifférente |
172.25.33.11 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 |
indifférente |
172.25.33.11 |
5062 |
TCP |
SIP(MTLS) |
Authentification du serveur relais multimédia |
A/V |
indifférente |
Indifférent |
172.25.33.11 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
indifférente |
indifférente |
172.25.33.11 |
443 |
TCP |
STUN/MSTURN |
Paramètres de port de pare-feu internes requis pour la topologie Edge consolidée mise à l’échelle (avec charge matérielle équilibrée) : Proxy inverse
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Non applicable |
172.25.33.40 |
indifférente |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(Facultatif) Requis en cas d’utilisation du service de découverte automatique pour les appareils mobiles exécutant Lync dans les situations où l’organisation ne souhaite pas modifier le certificat de règle de publication du service web externe. |
Non applicable |
172.25.33.40 |
Indifférent |
192.168.10.190 |
4443 |
TCP |
HTTPS |