Architettura di riferimento 3: riepilogo delle porte per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware)
Ultima modifica dell'argomento: 2012-11-02
La funzionalità Edge Server di Lync Server 2010 descritta in questa architettura di riferimento è molto simile a quella inizialmente introdotta in Office Communications Server 2007 R2, con le eccezioni seguenti:
La porta 8080 può essere utilizzata dai dispositivi mobili che eseguono Lync per rilevare il servizio di individuazione automatica nei casi in cui la modifica del certificato della regola di pubblicazione su servizio Web esterno non è appropriata, ad esempio se è presente un numero elevato di domini SIP.
La porta 4443 viene utilizzata per instradare il traffico dall'interfaccia interna del proxy inverso all'IP virtuale del pool (VIP).
La porta 4443 viene utilizzata per instradare il traffico dal/dai Front End Server del pool all'interfaccia interna del server perimetrale.
Per gli intervalli di porte da 50.000 a 59.999 esistono varie opzioni, ma la figura relativa alla topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware) in Architettura di riferimento 3: topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware) illustra la configurazione comune per l'interoperabilità con le versioni precedenti di Office Communications Server. Per informazioni dettagliate sulle opzioni per la configurazione di questo intervallo di porte, vedere la relativa sezione in Determinazione dei requisiti di porte e firewall A/V esterni.
Rete perimetrale aziendale per topologia perimetrale consolidata con scalabilità implementata con bilanciamento del carico hardware
.jpg "Rete perimetrale consolidata con scalabilità implementata e bilanciamento del carico hardware")
Per la lettura delle tabelle precedenti, (in) si riferisce al traffico diretto da una rete meno attendibile a una più attendibile, ad esempio da Internet alla rete perimetrale o dalla rete perimetrale alla rete aziendale. Ad esempio, il traffico da Internet all'interfaccia esterna del server perimetrale oppure dall'interfaccia interna del server perimetrale al pool dell'hop successivo. (out) si riferisce al traffico diretto da una rete più attendibile a una meno attendibile, ad esempio dalla rete aziendale alla rete perimetrale, o dalla rete perimetrale a Internet. Ad esempio, il traffico da un pool aziendale all'interfaccia interna del server perimetrale o dall'interfaccia esterna del server perimetrale a Internet. Infine, (in/out) si riferisce al traffico in entrambe le direzioni.
Traffico in ingresso/uscita del server perimetrale
.jpg "Diagramma del traffico perimetrale in ingresso/in uscita")
È consigliabile aprire solo le porte necessarie al supporto della funzionalità per cui si desidera fornire accesso esterno.
Per il corretto funzionamento dell'accesso remoto per qualsiasi servizio Edge, è obbligatorio che sia consentito il flusso bidirezionale del traffico SIP, come illustrato nella figura Topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware). In altre parole, il servizio Access Edge è coinvolto nella messaggistica istantanea, nella presenza, nelle conferenze Web e nell'audio/video (A/V).
Riepilogo firewall per topologia perimetrale consolidata con scalabilità implementata con bilanciamento del carico hardware: interfaccia esterna
| Protocollo/porta | Utilizzato per |
|---|---|
HTTP 80 (out) |
Download di elenchi di revoche di certificati |
DNS 53 (out) |
Query DNS esterne |
SIP/TLS/443 (in) |
Traffico SIP client-server per l'accesso di utenti remoti (aperto solo al VIP esterno dell'Access Edge, non ai singoli server perimetrali del pool) |
SIP/MTLS/5061 (in) |
Federazione e connettività con un servizio di Exchange ospitato. Aperto solo al VIP esterno dell'Access Edge, non ai singoli server perimetrali del pool. |
PSOM/TLS/443 (in) |
Accesso utente remoto a conferenze Web per utenti anonimi e federati. Aperto solo al VIP esterno del Web Conferencing Edge Server (non ai singoli server perimetrali del pool) |
RTP/TCP/Intervallo 50.000 (in) |
Scambio di dati multimediali (per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni) Necessario per l'interoperabilità con Office Communications Server 2007 |
RTP/TCP/Intervallo 50.000 (out) |
Scambio di dati multimediali (per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni) Necessario per l'interoperabilità con Office Communications Server 2007 Necessario per la condivisione desktop e la federazione di Office Communications Server 2007 R2 Necessario per il trasferimento file e la condivisione applicazioni di Lync Server 2010. A/V con Windows Live Messenger Nota Se il protocollo UDP 3478 è bloccato a causa di requisiti del firewall perimetrale o limitazioni sul lato client, l'intervallo di 50.000 porte verrà utilizzato in UDP 3478 |
RTP/UDP/Intervallo 50.000 (in) |
Scambio di dati multimediali (per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni) Necessario per l'interoperabilità con Office Communications Server 2007 |
RTP/UDP/Intervallo 50.000 (out) |
Scambio di dati multimediali (per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni) Necessario per l'interoperabilità con Office Communications Server 2007 |
STUN/MSTURN/UDP/3478 (in/out) |
Accesso utente esterno a sessioni A/V (UDP) (aperto al VIP esterno di A/V Edge e ai singoli server perimetrali) |
STUN/MSTURN/TCP/443 (in) |
Accesso utente esterno a sessioni A/V e dati multimediali (aperto al VIP esterno di A/V Edge e ai singoli server perimetrali) |
Riepilogo firewall per topologia perimetrale consolidata con scalabilità implementata con bilanciamento del carico hardware: interfaccia interna
| Protocollo/porta | Utilizzato per |
|---|---|
SIP/MTLS/5061 (in/out) |
Traffico SIP. Aperto al VIP del server perimetrale interno e ai singoli server perimetrali del pool. |
PSOM/MTLS/8057 (out) |
Traffico relativo alle conferenze Web da pool a server perimetrale (aperto solo ai singoli server perimetrali) |
SIP/MTLS/5062 (out) |
Autenticazione degli utenti A/V, ovvero servizio di autenticazione A/V (aperto al VIP del server perimetrale interno e ai singoli server perimetrali) |
STUN/MSTURN/UDP/3478 (out) |
Percorso preferenziale per il trasferimento di dati multimediali tra utenti interni ed esterni (UDP) (aperto al VIP del server perimetrale interno e ai singoli server perimetrali) |
STUN/MSTURN/TCP/443 (out) |
Percorso alternativo per il trasferimento di dati multimediali tra utenti interni ed esterni (TCP) (aperto al VIP del server perimetrale interno e ai singoli server perimetrali) |
HTTPS 4443 (out) |
Push degli aggiornamenti del database CMS ai nodi Edge (aperto solo ai singoli server perimetrali) |
Dettagli firewall per server proxy inverso: interfaccia esterna
| Protocollo/porta | Utilizzato per |
|---|---|
HTTP 80 (in) |
(Facoltativo) Reindirizzamento a HTTPS se l'utente immette accidentalmente http://<publishedSiteFQDN>. Necessario anche se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync nei casi in cui l'organizzazione non desidera modificare il certificato della regola di pubblicazione su servizio Web esterno. |
HTTPS 443 (in) |
Download della Rubrica, servizio Address Book Web Query, aggiornamenti dei client, contenuto delle riunioni, aggiornamenti di dispositivi, espansione di gruppi, conferenze telefoniche con accesso esterno e conferenze. |
Dettagli firewall per server proxy inverso: interfaccia interna
| Protocollo/porta | Utilizzato per |
|---|---|
HTTP 8080 (in) |
Necessario se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync nei casi in cui il cliente non desidera modificare la regola di pubblicazione su servizio Web esterno. Il traffico inviato alla porta 80 nell'interfaccia esterna del proxy inverso viene reindirizzato a un pool sulla porta 8080 dall'interfaccia interna del proxy inverso, in modo che il pool di servizi Web possa distinguerlo dal traffico della rete interna. |
HTTPS 4443 (in) |
Il traffico inviato alla porta 443 nell'interfaccia esterna del proxy inverso viene reindirizzato a un pool sulla porta 4443 dall'interfaccia interna del proxy inverso, in modo che il pool di servizi Web possa distinguerlo dal traffico della rete interna. |
Nota
Per la lettura delle tabelle precedenti, (in) si riferisce al traffico diretto da una rete meno attendibile a una più attendibile, ad esempio da Internet alla rete perimetrale o dalla rete perimetrale alla rete aziendale. Ad esempio, il traffico da Internet all'interfaccia esterna del proxy inverso oppure dall'interfaccia interna del proxy inverso a un pool Standard Edition o al VIP di un dispositivo di bilanciamento del carico hardware associato a un pool Enterprise Edition.
Impostazioni delle porte esterne necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware): IP virtuali interfaccia esterna
| Ruolo Edge | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Access |
Qualsiasi |
Qualsiasi |
131.107.155.110 |
443 |
TCP |
SIP (TLS) |
Traffico SIP client-server per l'accesso utente esterno |
Access |
Qualsiasi |
Qualsiasi |
131.107.155.110 |
5061 |
TCP |
SIP (MTLS) |
Per connettività di messaggistica istantanea pubblica e federata con SIP (in ingresso) |
Web Conferencing |
Qualsiasi |
Qualsiasi |
131.107.155.120 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
Qualsiasi |
Qualsiasi |
131.107.155.130 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualsiasi |
Qualsiasi |
131.107.155.130 |
443 |
TCP |
STUN/MSTURN |
Impostazioni delle porte esterne necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware): nodo 1 dell'interfaccia esterna
| Ruolo Edge | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Access |
131.107.155.10 |
Qualsiasi |
Qualsiasi |
80 |
TCP |
HTTP |
|
Access |
131.107.155.10 |
Qualsiasi |
Qualsiasi |
53 |
UDP |
DNS |
|
Access |
131.107.155.10 |
Qualsiasi |
Qualsiasi |
5061 |
TCP |
SIP (MTLS) |
Per connettività di messaggistica istantanea pubblica e federata con SIP (in uscita) |
A/V |
131.107.155.30 |
50.000 – 59.999 |
Qualsiasi |
Qualsiasi |
TCP |
RTP |
Necessario solo per la condivisione desktop con partner che eseguono Office Communications Server 2007 R2. Necessario anche per la condivisione di applicazioni o il trasferimento di file con utenti federati di Lync Server 2010 e sessioni A/V con Windows Live Messenger. |
A/V |
131.107.155.30 |
50.000 – 59.999 |
Qualsiasi |
Qualsiasi |
UDP |
RTP |
Necessario solo per la federazione con partner che eseguono Office Communications Server 2007. |
A/V |
Qualsiasi |
Qualsiasi |
131.107.155.30 |
50.000 – 59.999 |
TCP |
RTP |
Necessario solo per la federazione con partner che eseguono Office Communications Server 2007. |
A/V |
Qualsiasi |
Qualsiasi |
131.107.155.30 |
50.000 – 59.999 |
UDP |
RTP |
Necessario solo per la federazione con partner che eseguono Office Communications Server 2007. |
A/V |
131.107.155.30 |
Qualsiasi |
Qualsiasi |
3478 |
UDP |
STUN/MSTURN |
La porta 3478 in uscita viene utilizzata per determinare la versione del server perimetrale con cui Lync Server 2010 sta comunicando e per il traffico di dati multimediali tra server perimetrali. Necessario per la federazione con Lync Server 2010, Windows Live Messenger e Office Communications Server 2007 R2, nonché se nell'azienda sono distribuiti più pool di server perimetrali. |
A/V |
Qualsiasi |
Qualsiasi |
131.107.155.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualsiasi |
Qualsiasi |
131.107.155.30 |
443 |
TCP |
STUN/MSTURN |
Impostazioni delle porte esterne necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware): nodo 2 dell'interfaccia esterna
| Ruolo Edge | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Access |
131.107.155.11 |
Qualsiasi |
Qualsiasi |
80 |
TCP |
HTTP |
|
Access |
131.107.155.11 |
Qualsiasi |
Qualsiasi |
53 |
UDP |
DNS |
|
Access |
131.107.155.11 |
Qualsiasi |
Qualsiasi |
5061 |
TCP |
SIP (MTLS) |
Per connettività di messaggistica istantanea pubblica e federata con SIP (in uscita) |
A/V |
131.107.155.31 |
50.000 – 59.999 |
Qualsiasi |
Qualsiasi |
TCP |
RTP |
Necessario solo per la condivisione desktop con partner che eseguono Office Communications Server 2007 R2. Necessario anche per la condivisione di applicazioni o il trasferimento di file con utenti federati di Lync Server 2010 e sessioni A/V con Windows Live Messenger. |
A/V |
131.107.155.31 |
50.000 – 59.999 |
Qualsiasi |
Qualsiasi |
UDP |
RTP |
Necessario solo per la federazione con partner che eseguono Office Communications Server 2007. |
A/V |
Qualsiasi |
Qualsiasi |
131.107.155.31 |
50.000 – 59.999 |
TCP |
RTP |
Necessario solo per la federazione con partner che eseguono Office Communications Server 2007. |
A/V |
Qualsiasi |
Qualsiasi |
131.107.155.31 |
50.000 – 59.999 |
UDP |
RTP |
Necessario solo per la federazione con partner che eseguono Office Communications Server 2007. |
A/V |
131.107.155.31 |
Qualsiasi |
Qualsiasi |
3478 |
UDP |
STUN/MSTURN |
La porta 3478 in uscita viene utilizzata per determinare la versione del server perimetrale con cui Lync Server 2010 sta comunicando e per il traffico di dati multimediali tra server perimetrali. Necessario per la federazione con Lync Server 2010, Windows Live Messenger e Office Communications Server 2007 R2, nonché se nell'azienda sono distribuiti più pool di server perimetrali. |
A/V |
Qualsiasi |
Qualsiasi |
131.107.155.31 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualsiasi |
Qualsiasi |
131.107.155.31 |
443 |
TCP |
STUN/MSTURN |
Impostazioni delle porte esterne necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware): proxy inverso
| Ruolo Edge | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Non applicabile |
Qualsiasi |
Qualsiasi |
10.45.16.40 |
80 |
TCP |
SIP (TLS) |
(Facoltativo) Utilizzare per reindirizzare il traffico http su https. Necessario anche se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync nei casi in cui l'organizzazione non desidera modificare il certificato della regola di pubblicazione su servizio Web esterno. |
Non applicabile |
Qualsiasi |
Qualsiasi |
10.45.16.40 |
443 |
TCP |
HTTPS |
Impostazioni delle porte del firewall interno necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware): IP virtuali interfaccia interna
| Ruolo Edge | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Access |
192.168.10.90 192.168.10.91 |
Qualsiasi |
172.25.33.110 |
5061 |
TCP |
SIP (MTLS) |
|
A/V |
Qualsiasi |
Qualsiasi |
172.25.33.110 |
5062 |
TCP |
SIP (MTLS) |
Includere tutti i Front End Server e gli eventuali Survivable Branch Appliance o Survivable Branch Server che utilizzano questo particolare servizio di autenticazione A/V. |
A/V |
Qualsiasi |
Qualsiasi |
172.25.33.110 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualsiasi |
Qualsiasi |
172.25.33.110 |
443 |
TCP |
STUN/MSTURN |
Impostazioni delle porte del firewall interno necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware): nodo 1 interfaccia interna
| Ruolo Edge | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Access |
172.25.33.10 |
Qualsiasi |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
La destinazione sarà il server hop successivo. Nel caso dell'architettura di riferimento, si tratta dell'indirizzo IP dei due Front End Server del pool. |
Access |
192.168.10.90 192.168.10.91 |
Qualsiasi |
172.25.33.10 |
4443 |
TCP |
HTTPS |
Utilizzato per la replica di archivio di gestione centrale, includere tutti i Front End Server. |
Web Conferencing |
Qualsiasi |
Qualsiasi |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 |
Qualsiasi |
172.25.33.10 |
5062 |
TCP |
SIP(MTLS) |
Autenticazione del Media Relay |
A/V |
Qualsiasi |
Qualsiasi |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualsiasi |
Qualsiasi |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
Impostazioni delle porte del firewall interno necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware): nodo 2 interfaccia interna
| Ruolo Edge | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Access |
172.25.33.11 |
Qualsiasi |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
La destinazione sarà il server hop successivo. Nel caso dell'architettura di riferimento, si tratta dell'indirizzo IP dei due Front End Server del pool. |
Access |
192.168.10.90 192.168.10.91 |
Qualsiasi |
172.25.33.11 |
4443 |
TCP |
HTTPS |
Utilizzato per la replica di archivio di gestione centrale, includere tutti i Front End Server. |
Web Conferencing |
Qualsiasi |
Qualsiasi |
172.25.33.11 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 |
Qualsiasi |
172.25.33.11 |
5062 |
TCP |
SIP (MTLS) |
Autenticazione del Media Relay |
A/V |
Qualsiasi |
Qualsiasi |
172.25.33.11 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualsiasi |
Qualsiasi |
172.25.33.11 |
443 |
TCP |
STUN/MSTURN |
Impostazioni delle porte del firewall esterno necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico hardware): proxy inverso
| Ruolo Edge | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Non applicabile |
172.25.33.40 |
Qualsiasi |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(Facoltativo) Necessario se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync nei casi in cui l'organizzazione non desidera modificare il certificato della regola di pubblicazione su servizio Web esterno. |
Non applicabile |
172.25.33.40 |
Qualsiasi |
192.168.10.190 |
4443 |
TCP |
HTTPS |