Architecture de référence 2 : résumé des ports requis pour la topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée)
Dernière rubrique modifiée : 2012-11-02
La fonctionnalité du serveur Edge Lync Server 2010 décrite dans cette architecture de référence est très similaire à celle qui avait été introduite dans Office Communications Server 2007 R2, avec les exceptions suivantes :
Le port 8080 sert à router le trafic depuis l’interface interne du proxy inverse vers l’adresse IP virtuelle du pool. Il est facultatif et peut être utilisé par les appareils mobiles exécutant Lync pour trouver le service de découverte automatique dans les situations où la modification du certificat de règle de publication du service web externe n’est pas souhaitable (par exemple si vous avez un grand nombre de domaines SIP).
Le port 4443 sert à router le trafic depuis l’interface interne du proxy inverse vers l’IP virtuelle du pool.
Le port 4443 permet de router le trafic des serveurs frontaux du pool vars l’interface interne du serveur Edge.
Bien que plusieurs options existent pour la plage de ports 50 000 à 59 999, l’illustration suivante montre la configuration courante pour l’interopérabilité avec les versions précédentes d’Office Communications Server. Pour plus d’informations sur les options de configuration de cette plage de ports, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports.
Réseau de périmètre d’entreprise pour topologie Edge consolidée mise à l’échelle
.jpg "Diagramme de réseau de périmètre de serveur Edge consolidé avec montée en puissance")
Dans les tableaux suivants, (entrant) se réfère au trafic provenant d’un réseau dont la relation de confiance est plus faible vers un réseau dont la relation de confiance est plus élevée (Internet vers réseau périmètre ou réseau de périmètre vers réseau d’entreprise). Par exemple, le trafic provenant d’Internet vers l’interface externe Edge ou de l’interface interne Edge vers le pool du tronçon suivant. (sortant) se réfère au trafic provenant d’un réseau dont la relation de confiance est plus élevée vers un réseau dont la relation de confiance est plus faible (réseau d’entreprise vers réseau de périmètre ou réseau de périmètre vers Internet). Par exemple, le trafic provenant d’un pool d’entreprise vers l’interface interne Edge ou de l’interface externe Edge vers Internet. Enfin, (entrant/sortant) se réfère au trafic allant dans les deux sens.
Trafic Edge bidirectionnel
.jpg "Diagramme entrée/sortie Edge")
Nous vous recommandons d’ouvrir uniquement les ports nécessaires à la prise en charge de la fonctionnalité pour laquelle vous fournissez un accès externe.
Pour que l’accès à distance fonctionne pour tout service Edge, il est obligatoire d’autoriser un flux bidirectionnel du trafic SIP comme illustré dans la figure Trafic Edge entrant/sortant. En d’autres termes, le service d’accès Edge intervient dans la messagerie instantanée, la présence, la conférence web ainsi que l’audio et la vidéo (A/V).
Résumé de la configuration de pare-feu requise pour la topologie Edge unique/mise à l’échelle consolidée (avec charge DNS équilibrée) : interface externe
| Protocole/port | Utilisé pour | ||
|---|---|---|---|
HTTP 80 (sortant) |
Vérification des listes de révocation des certificats |
||
DNS 53 (sortant) |
Requêtes DNS externes |
||
SIP/TLS/443 (entrant) |
Trafic SIP client à serveur pour l’accès des utilisateurs distants |
||
SIP/MTLS/5061 (entrant/sortant) |
Fédération et connectivité avec un service Exchange hébergé |
||
PSOM/TLS/443 (entrant) |
Accès distant aux conférences pour les utilisateurs anonymes et fédérés |
||
RTP/TCP/plage 50K (entrant) |
Échanges multimédias (pour plus d’informations, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports) Requis pour l’interopérabilité avec Office Communications Server 2007 |
||
RTP/TCP/plage 50K (sortant) |
Échanges multimédias (pour plus d’informations, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports) Requis pour l’interopérabilité Requis pour le partage du Bureau et la fédération avec Office Communications Server 2007 R2 Requis pour le partage d’application et le transfert de fichiers avec Lync Server 2010 A/V avec Windows Live Messenger
|
||
RTP/UDP/plage 50K (entrant) |
Échanges multimédias (pour plus d’informations, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports) Requis pour l’interopérabilité avec Office Communications Server 2007 |
||
RTP/UDP/plage 50K (sortant) |
Échanges multimédias (pour plus d’informations, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports) Requis pour l’interopérabilité avec Office Communications Server 2007 |
||
STUN/MSTURN/UDP/3478 (entrant/sortant) |
Accès des utilisateurs externes aux sessions A/V (UDP) |
||
STUN/MSTURN/TCP/443 (entrant/sortant) |
Accès des utilisateurs externes aux sessions A/V et multimédias (TCP) |
Informations sur le pare-feu pour la topologie Edge unique/mise à l’échelle consolidée (avec charge DNS équilibrée) : interface interne
| Protocole/port | Utilisé pour |
|---|---|
SIP/MTLS/5061 (entrant/sortant) |
Trafic SIP |
PSOM/MTLS/8057 (sortant) |
Trafic de conférence web du pool au serveur Edge |
SIP/MTLS/5062 (sortant) |
Authentification des utilisateurs A/V (service d’authentification A/V) |
STUN/MSTURN/UDP/3478 (sortant) |
Chemin préféré pour les transferts multimédias entre utilisateurs internes et externes (UDP) |
STUN/MSTURN/TCP/443 (sortant) |
Autre chemin d’accès pour les transferts multimédias entre utilisateurs internes et externes (UDP) |
HTTPS 4443 (sortant) |
Transmission des mises à jour magasin central de gestion aux serveurs Edge |
Informations sur le pare-feu pour le serveur proxy inverse : interface externe
| Protocole/port | Utilisé pour |
|---|---|
HTTP 80 (entrant) |
(Facultatif) Redirection vers HTTPS si l’utilisateur entre par inadvertance http://NomDeDomaineCompletSitePublié Également requis en cas d’utilisation du service de découverte automatique pour les appareils mobiles exécutant Lync dans les situations où l’organisation ne souhaite pas modifier le certificat de règle de publication du service web externe. |
HTTPS 443 (entrant) |
Téléchargements de Carnets d’adresses, service de requête web du Carnet d’adresses, mises à jour des clients, contenu de conférence, mises à jour des périphériques, développement de groupes, conférence rendez-vous et conférences. |
Informations sur le pare-feu pour le serveur proxy inverse : interface interne
| Protocole/port | Utilisé pour |
|---|---|
HTTP 8080 (entrant) |
Requis en cas d’utilisation du service de découverte automatique pour les appareils mobiles exécutant Lync dans les situations où l’organisation ne souhaite pas modifier le certificat de règle de publication du service web externe. Le trafic envoyé vers le port 80 sur l’interface externe du proxy inverse est réacheminé vers un pool sur le port 8080 à partir de l’interface interne du proxy inverse. Ainsi, les services web du pool peuvent faire la distinction par rapport au trafic web interne. |
HTTPS 4443 (entrant) |
Le trafic envoyé vers le port 443 sur l’interface externe du proxy inverse est réacheminé vers un pool sur le port 4443 à partir de l’interface interne du proxy inverse. Ainsi, les services web du pool peuvent faire la distinction par rapport au trafic web interne. |
.gif "note") Remarque : |
|---|
| Dans les tableaux précédents, (entrant) se réfère au trafic provenant d’un réseau dont la relation de confiance est plus faible vers un réseau dont la relation de confiance est plus élevée (Internet vers réseau de périmètre ou réseau de périmètre vers réseau d’entreprise). Par exemple, le trafic allant d’Internet vers l’interface externe du proxy inverse ou allant de l’interface interne du proxy inverse vers un pool Standard Edition Server ou l’adresse VIP d’un programme d’équilibrage de la charge matérielle associé à un pool frontal. |
Paramètres des ports externes requis pour la topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée) : interface externe, nœud 1
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Accès |
10.45.16.10 |
indifférent |
indifférente |
80 |
TCP |
HTTP |
|
Accès |
10.45.16.10 |
indifférent |
indifférente |
53 |
UDP |
DNS |
|
Accès |
indifférente |
indifférent |
10.45.16.10 |
443 |
TCP |
SIP (TLS) |
Trafic SIP client vers serveur pour l’accès des utilisateurs externes |
Accès |
indifférente |
indifférent |
10.45.16.10 |
5061 |
TCP |
SIP (MTLS) |
Pour la connectivité fédérée et PIC avec SIP |
Accès |
10.45.16.10 |
indifférent |
indifférente |
5061 |
TCP |
SIP (MTLS) |
Pour la connectivité fédérée et PIC avec SIP |
Conférence web |
indifférente |
indifférent |
10.45.16.20 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.30 |
50 000 – 59 999 |
indifférente |
indifférent |
TCP |
RTP |
Requis uniquement pour le partage de bureau avec des partenaires exécutant Office Communications Server 2007 R2. Également requis pour le partage d’application ou le transfert de fichiers avec des utilisateurs Lync Server 2010 fédérés et les sessions A/V avec Windows Live Messenger. |
A/V |
10.45.16.30 |
50 000 – 59 999 |
indifférente |
indifférent |
UDP |
RTP |
Requis uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V |
indifférente |
indifférent |
10.45.16.30 |
50 000 – 59 999 |
TCP |
RTP |
Requis uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V |
indifférente |
indifférent |
10.45.16.30 |
50 000 – 59 999 |
UDP |
RTP |
Requis uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V |
10.45.16.30 |
3478 |
indifférente |
3478 |
UDP |
STUN/MSTURN |
Le port de sortie 3478 permet de déterminer la version du serveur Edge Server avec lequel Lync Server 2010 communique et sert également au trafic multimédia de serveur Edge à serveur Edge. Requis pour la fédération avec Lync Server 2010, Windows Live Messenger et Office Communications Server 2007 R2, et aussi si plusieurs pools Edge sont déployés dans l’entreprise. |
A/V |
indifférente |
indifférent |
10.45.16.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
indifférente |
indifférent |
10.45.16.30 |
443 |
TCP |
STUN/MSTURN |
Paramètres des ports externes requis pour la topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée) : interface externe, nœud 2
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Accès |
10.45.16.11 |
indifférent |
indifférente |
80 |
TCP |
HTTP |
|
Accès |
10.45.16.11 |
indifférent |
indifférente |
53 |
UDP |
DNS |
|
Accès |
indifférente |
indifférent |
10.45.16.11 |
443 |
TCP |
SIP (TLS) |
Trafic SIP client vers serveur pour l’accès des utilisateurs externes |
Accès |
indifférente |
indifférent |
10.45.16.11 |
5061 |
TCP |
SIP (MTLS) |
Pour la connectivité fédérée et PIC avec SIP |
Accès |
10.45.16.11 |
indifférente |
indifférent |
5061 |
TCP |
SIP (MTLS) |
Pour la connectivité fédérée et PIC avec SIP |
Conférence web |
indifférente |
indifférent |
10.45.16.21 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.31 |
50 000 – 59 999 |
indifférente |
indifférent |
TCP |
RTP |
Requis uniquement pour le partage de bureau avec des partenaires exécutant Office Communications Server 2007 R2. Également requis pour le partage d’application ou le transfert de fichiers avec des utilisateurs Lync Server 2010 fédérés et les sessions A/V avec Windows Live Messenger. |
A/V |
10.45.16.31 |
50 000 – 59 999 |
indifférente |
indifférent |
UDP |
RTP |
Requis uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V |
indifférente |
indifférent |
10.45.16.31 |
50 000 – 59 999 |
TCP |
RTP |
Requis uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V |
indifférente |
indifférent |
10.45.16.31 |
50 000 – 59 999 |
UDP |
RTP |
Requis uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V |
10.45.16.31 |
3478 |
indifférente |
3478 |
UDP |
STUN/MSTURN |
Le port de sortie 3478 permet de déterminer la version du serveur Edge Server avec lequel Lync Server 2010 communique et sert également au trafic multimédia de serveur Edge à serveur Edge. Requis pour la fédération avec Lync Server 2010, Windows Live Messenger et Office Communications Server 2007 R2, et aussi si plusieurs pools Edge sont déployés dans l’entreprise. |
A/V |
indifférente |
indifférent |
10.45.16.31 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
indifférente |
indifférent |
10.45.16.31 |
443 |
TCP |
STUN/MSTURN |
Paramètres des ports externes requis pour la topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée) : Proxy inverse
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Proxy inverse : N/A |
indifférente |
indifférent |
10.45.16.40 |
80 |
TCP |
SIP (TLS) |
(Facultatif) Peut être utilisé pour rediriger le trafic http vers https. Également requis en cas d’utilisation du service de découverte automatique pour les appareils mobiles exécutant Lync dans les situations où l’organisation ne souhaite pas modifier le certificat de règle de publication du service web externe. |
Proxy inverse : N/A |
indifférente |
indifférent |
10.45.16.40 |
443 |
TCP |
HTTPS |
Paramètres des ports de pare-feu interne requis pour la topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée) : interface interne, nœud 1
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Accès |
172.25.33.10 |
indifférent |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
La destination sera le(s) serveur(s) de tronçon suivant(s). Dans le contexte de l’architecture de référence, il s’agit des adresses IP des deux pools frontaux. |
Accès |
192.168.10.90 192.168.10.91 |
indifférent |
172.25.33.10 |
5061 |
TCP |
SIP (MTLS) |
La source sera le(s) serveur(s) de tronçon suivant(s). Dans le contexte de l’architecture de référence, il s’agit des adresses IP des deux pools frontaux. |
Accès |
192.168.10.90 192.168.10.91 |
indifférent |
172.25.33.10 |
4443 |
TCP |
HTTPS |
Utilisé pour la réplication du magasin central de gestion, inclut tous les serveurs frontaux. |
Conférence web |
indifférente |
indifférent |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 Des serveurs Survivable Branch Appliance ou des serveurs Survivable Branch Server |
indifférent |
172.25.33.10 |
5062 |
TCP |
SIP (MTLS) |
Inclut tous les serveurs frontaux à l’aide de ce service d’authentification A/V particulier. |
A/V |
indifférente |
indifférent |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
indifférente |
indifférent |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
Paramètres des ports de pare-feu interne requis pour la topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée) : interface interne, nœud 2
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Accès |
172.25.33.11 |
indifférent |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
La destination sera le(s) serveur(s) de tronçon suivant(s). Dans le contexte de l’architecture de référence, il s’agit des adresses IP des deux pools frontaux. |
Accès |
192.168.10.90 192.168.10.91 |
indifférent |
172.25.33.11 |
5061 |
TCP |
SIP (MTLS) |
La source sera le(s) serveur(s) de tronçon suivant(s). Dans le contexte de l’architecture de référence, il s’agit des adresses IP des deux pools frontaux. |
Accès |
192.168.10.90 192.168.10.91 |
indifférent |
172.25.33.11 |
4443 |
TCP |
HTTPS |
Utilisé pour la réplication du magasin central de gestion, inclut tous les serveurs frontaux. |
Conférence web |
indifférente |
indifférent |
172.25.33.11 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 Des serveurs Survivable Branch Appliance ou des serveurs Survivable Branch Server |
indifférent |
172.25.33.11 |
5062 |
TCP |
SIP (MTLS) |
Inclut tous les serveurs frontaux à l’aide de ce service d’authentification A/V particulier. |
A/V |
indifférente |
indifférent |
172.25.33.11 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
indifférente |
indifférent |
172.25.33.11 |
443 |
TCP |
STUN/MSTURN |
Paramètres des ports de pare-feu interne requis pour la topologie Edge consolidée mise à l’échelle (avec charge DNS équilibrée) : Proxy inverse
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Proxy inverse : N/A |
172.25.33.40 |
indifférent |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(Facultatif) Requis en cas d’utilisation du service de découverte automatique pour les appareils mobiles exécutant Lync dans les situations où l’organisation ne souhaite pas modifier le certificat de règle de publication du service web externe. |
Proxy inverse : N/A |
172.25.33.40 |
Indifférent |
192.168.10.190 |
4443 |
TCP |
HTTPS |