Articolo
01/16/2015

Architettura di riferimento 1: riepilogo delle porte per la topologia perimetrale consolidata singola

Ultima modifica dell'argomento: 2012-11-02

La funzionalità Lync Server 2010, Edge Server illustrata in questa architettura di riferimento è molto simile a quella inizialmente introdotta in Office Communications Server 2007 R2, con le eccezioni seguenti:

La porta 8080 viene utilizzata per instradare il traffico dall'interfaccia interna del proxy inverso all'IP virtuale del pool. È facoltativa e può essere utilizzata dai dispositivi mobili che eseguono Lync per trovare il servizio di individuazione automatica in situazioni in cui non è auspicabile modificare il certificato nella regola di pubblicazione dei servizi Web esterni, ad esempio in presenza di un numero elevato di domini SIP.
La porta 4443 viene utilizzata per instradare il traffico dall'interfaccia interna del proxy inverso all'IP virtuale del pool.
La porta 4443 viene utilizzata per instradare il traffico dal server o dai Front End Server del pool verso l'interfaccia interna perimetrale.

Sono disponibili diverse opzioni per gli intervalli di porte 50.000 - 59.999, ma nella figura seguente viene mostrata la configurazione comune per l'interoperabilità con le versioni precedenti di Office Communications Server. Per informazioni dettagliate sulle opzioni per la configurazione di questo intervallo di porte, vedere Determinazione dei requisiti di porte e firewall A/V esterni.

Rete perimetrale aziendale per server perimetrale consolidato singolo

Diagramma della rete perimetrale con un singolo server consolidato

Nelle tabelle riportate di seguito il termine (ingresso) indica il traffico da una rete meno attendibile a una rete più attendibile, ad esempio da Internet alla rete perimetrale o dalla rete perimetrale alla rete aziendale. Si consideri come esempio il traffico da Internet all'interfaccia esterna perimetrale o dall'interfaccia interna perimetrale al pool hop successivo. Il termine (uscita) invece indica il traffico da una rete più attendibile a una rete meno attendibile, ad esempio da una rete aziendale a una rete perimetrale o da una rete perimetrale a Internet. Si consideri come esempio il traffico da un pool aziendale all'interfaccia interna perimetrale o dall'interfaccia esterna perimetrale a Internet. Infine, il termine (ingresso/uscita) indica il traffico in entrambe le direzioni.

Traffico perimetrale in ingresso/uscita

Diagramma del traffico perimetrale in ingresso/in uscita

È consigliabile aprire solo le porte necessarie per supportare le funzionalità per cui si fornisce l'accesso esterno.

Per il funzionamento dell'accesso remoto per i servizi perimetrali, è necessario consentire il flusso bidirezionale del traffico SIP, come mostrato nella figura relativa al traffico perimetrale in ingresso/uscita. In altri termini, il servizio Access Edge è coinvolto per le funzionalità di messaggistica istantanea, informazioni sulla presenza, conferenze Web e audio/video (A/V).

Riepilogo per firewall per server perimetrale consolidato singolo/con scalabilità implementata con bilanciamento del carico DNS: interfaccia esterna

Protocollo/porta	Utilizzare per
HTTP 80 (uscita)	Verifica degli elenchi di revoche di certificati
DNS 53 (uscita)	Query DNS esterne
SIP/TLS/443 (ingresso)	Traffico SIP da client a server per l'accesso degli utenti remoti
SIP/MTLS/5061 (ingresso/uscita)	Federazione e connettività con un servizio di Exchange ospitato
PSOM/TLS/443 (ingresso)	Accesso degli utenti remoti anonimi e federati alle conferenze
RTP/TCP/intervallo di porte 50.000 (ingresso)	Scambio di contenuto multimediale (per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni) Necessario per l'interoperabilità con Office Communications Server 2007
RTP/TCP/intervallo di porte 50.000 (uscita)	Scambio di contenuto multimediale (per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni) Necessario per l'interoperabilità con Office Communications Server 2007 Necessario per la federazione e la condivisione desktop con Office Communications Server 2007 R2 Necessario per il trasferimento file e la condivisione applicazioni di Lync Server 2010 A/V con Windows Live Messenger Nota Se il protocollo UDP 3478 è bloccato a causa di requisiti del firewall perimetrale o limitazioni sul lato client, l'intervallo di 50.000 porte verrà utilizzato in UDP 3478
RTP/UDP/intervallo di porte 50.000 (ingresso)	Scambio di contenuto multimediale (per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni) Necessario per l'interoperabilità con Office Communications Server 2007
RTP/UDP/intervallo di porte 50.000 (uscita)	Scambio di contenuto multimediale (per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni) Necessario per l'interoperabilità con Office Communications Server 2007
STUN/MSTURN/UDP/3478 (ingresso/uscita)	Accesso degli utenti esterni alle sessioni A/V (UDP)
STUN/MSTURN/TCP/443 (ingresso)	Accesso degli utenti esterni al contenuto multimediale e alle sessioni A/V (TCP)

Dettagli per firewall per server perimetrale consolidato singolo/con scalabilità implementata con bilanciamento del carico DNS: interfaccia interna

Protocollo/porta	Utilizzare per
SIP/MTLS/5061 (ingresso/uscita)	Traffico SIP
PSOM/MTLS/8057 (uscita)	Traffico conferenze Web da pool a server perimetrale
SIP/MTLS/5062 (uscita)	Autenticazione degli utenti A/V (servizio di autenticazione A/V)
STUN/MSTURN/UDP/3478 (uscita)	Percorso preferito per trasferimento multimediale tra utenti interni ed esterni (UDP)
STUN/MSTURN/TCP/443 (uscita)	Percorso alternativo per trasferimento multimediale tra utenti interni ed esterni (TCP)
HTTPS 4443 (uscita)	Estensione degli aggiornamenti dell'archivio di gestione centrale ai server perimetrali

Dettagli per firewall per server proxy interno: interfaccia esterna

Protocollo/porta	Utilizzare per
HTTP 80 (ingresso)	(Facoltativo) Reindirizzamento a HTTPS se l'utente immette accidentalmente http://<FQDNsitoPubblicato>. Necessario inoltre se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync in situazioni in cui l'organizzazione non desidera modificare il certificato nella regola di pubblicazione dei servizi Web esterni.
HTTPS 443 (ingresso)	Download della Rubrica, servizio Address Book Web Query, aggiornamenti client, contenuto delle riunioni, aggiornamenti dei dispositivi, espansione dei gruppi, conferenze telefoniche con accesso esterno e riunioni.

HTTP 80 (ingresso)

(Facoltativo) Reindirizzamento a HTTPS se l'utente immette accidentalmente http://<FQDNsitoPubblicato>.

Necessario inoltre se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync in situazioni in cui l'organizzazione non desidera modificare il certificato nella regola di pubblicazione dei servizi Web esterni.

HTTPS 443 (ingresso)

Download della Rubrica, servizio Address Book Web Query, aggiornamenti client, contenuto delle riunioni, aggiornamenti dei dispositivi, espansione dei gruppi, conferenze telefoniche con accesso esterno e riunioni.

Dettagli per firewall per server proxy interno: interfaccia interna

Protocollo/porta	Utilizzare per
HTTP 8080 (ingresso)	Necessario se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync in situazioni in cui l'organizzazione non desidera modificare il certificato nella regola di pubblicazione dei servizi Web esterni. Il traffico inviato alla porta 80 dell'interfaccia esterna del proxy inverso viene reindirizzato a un pool sulla porta 8080 dall'interfaccia interna del proxy inverso in modo che i servizi Web del pool possano distinguerlo dal traffico Web interno.
HTTPS 4443 (ingresso)	Il traffico inviato alla porta 443 dell'interfaccia esterna del proxy inverso viene reindirizzato a un pool sulla porta 4443 dall'interfaccia interna del proxy inverso in modo che i servizi Web del pool possano distinguerlo dal traffico Web interno.

HTTP 8080 (ingresso)

Necessario se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync in situazioni in cui l'organizzazione non desidera modificare il certificato nella regola di pubblicazione dei servizi Web esterni.

Il traffico inviato alla porta 80 dell'interfaccia esterna del proxy inverso viene reindirizzato a un pool sulla porta 8080 dall'interfaccia interna del proxy inverso in modo che i servizi Web del pool possano distinguerlo dal traffico Web interno.

HTTPS 4443 (ingresso)

Il traffico inviato alla porta 443 dell'interfaccia esterna del proxy inverso viene reindirizzato a un pool sulla porta 4443 dall'interfaccia interna del proxy inverso in modo che i servizi Web del pool possano distinguerlo dal traffico Web interno.

Nota

Nelle tabelle precedenti il termine (ingresso) indica il traffico da una rete meno attendibile a una rete più attendibile, ad esempio da Internet alla rete perimetrale o dalla rete perimetrale alla rete aziendale. Si consideri come esempio il traffico da Internet all'interfaccia esterna del proxy inverso o dall'interfaccia interna del proxy inverso a un pool Standard Edition o a un IP virtuale del dispositivo di bilanciamento del carico hardware associato a un pool Front End.

Impostazioni delle porte esterne necessarie per la topologia a server perimetrale consolidato singolo

Ruolo server perimetrale	Indirizzo IP di origine	Porta di origine	Indirizzo IP di destinazione	Porta di destinazione	Trasporto	Applicazione	Note
Access	10.45.16.10	Qualsiasi	Qualsiasi	80	TCP	HTTP
Access	10.45.16.10	Qualsiasi	Qualsiasi	53	UDP	DNS
Access	Qualsiasi	Qualsiasi	10.45.16.10	443	TCP	SIP (TLS)	Traffico SIP da client a server per l'accesso degli utenti esterni
Access	Qualsiasi	Qualsiasi	10.45.16.10	5061	TCP	SIP (MTLS)	Per connettività per messaggistica istantanea pubblica e federata tramite SIP
Access	10.45.16.10	Qualsiasi	Qualsiasi	5061	TCP	SIP (MTLS)	Per connettività per messaggistica istantanea pubblica e federata tramite SIP
Web Conferencing	Qualsiasi	Qualsiasi	10.45.16.20	443	TCP	PSOM (TLS)
A/V	10.45.16.30	50.000 - 59.999	Qualsiasi	443	TCP	RTP	Necessario per la condivisione desktop o per la federazione con partner che eseguono Office Communications Server 2007 R2 e quando in una chiamata è coinvolto più di un servizio A/V Edge, ad esempio utenti della stessa società che però utilizzano Edge Server (server perimetrali) o pool diversi. Necessario inoltre per la condivisione applicazioni o il trasferimento file con sessioni A/V con Windows Live Messenger e utenti federati di Lync Server 2010. Questo intervallo di porte e questa regola vengono inoltre utilizzati se l'utente esterno non può utilizzare la regola UDP 3478 a causa di restrizioni o altre condizioni all'origine (client).
A/V	10.45.16.30	50.000 - 59.999	Qualsiasi	Qualsiasi	UDP	RTP	Necessario solo per la federazione con i partner che eseguono ancora Office Communications Server 2007.
A/V	Qualsiasi	Qualsiasi	10.45.16.30	50.000 - 59.999	TCP	RTP	Necessario solo per la federazione con i partner che eseguono ancora Office Communications Server 2007.
A/V	Qualsiasi	Qualsiasi	10.45.16.30	50.000 - 59.999	UDP	RTP	Necessario solo per la federazione con i partner che eseguono ancora Office Communications Server 2007.
A/V	10.45.16.30	3478	Qualsiasi	3478	UDP	STUN/MSTURN	La porta 3478 in uscita viene utilizzata per determinare la versione del server perimetrale con cui comunica Lync Server 2010, nonché per il traffico multimediale tra server perimetrali. Necessario per la federazione con Lync Server 2010, Windows Live Messenger e Office Communications Server 2007 R2, nonché in caso di distribuzione di più pool di server perimetrali in una società.
A/V	Qualsiasi	Qualsiasi	10.45.16.30	3478	UDP	STUN/MSTURN
A/V	Qualsiasi	Qualsiasi	10.45.16.30	443	TCP	STUN/MSTURN
Proxy inverso: non applicabile	Qualsiasi	Qualsiasi	10.45.16.40	80	TCP	HTTP	(Facoltativo) Può essere utilizzato per reindirizzare il traffico http a https. Necessario inoltre se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync in situazioni in cui l'organizzazione non desidera modificare il certificato nella regola di pubblicazione dei servizi Web esterni.
Proxy inverso: non applicabile	Qualsiasi	Qualsiasi	10.45.16.40	443	TCP	HTTPS

Impostazioni delle porte interne necessarie per la topologia a server perimetrale consolidato singolo

Ruolo server perimetrale	Indirizzo IP di origine	Porta di origine	Indirizzo IP di destinazione	Porta di destinazione	Trasporto	Applicazione	Note
Access	172.25.33.10	Qualsiasi	192.168.10.90 192.168.10.91	5061	TCP	SIP (MTLS)	La destinazione sarà il server o i server dell'hop successivo. Nel caso dell'architettura di riferimento, vengono utilizzati come destinazione gli indirizzi IP dei due Front End Server del pool.
Access	192.168.10.90 192.168.10.91	Qualsiasi	172.25.33.10	5061	TCP	SIP (MTLS)	La destinazione sarà il server o i server dell'hop successivo. Nel caso dell'architettura di riferimento, vengono utilizzati come destinazione gli indirizzi IP dei due Front End Server del pool.
Access	192.168.10.90 192.168.10.91	Qualsiasi	172.25.33.10	4443	TCP	HTTPS	Utilizzato dall'agente di replica per la replica dell'archivio di gestione centrale, includere tutti i Front End Server.
Web Conferencing	Qualsiasi	Qualsiasi	172.25.33.10	8057	TCP	PSOM (MTLS)
A/V	192.168.10.90 192.168.10.91 Qualsiasi Survivable Branch Appliance o Survivable Branch Server	Qualsiasi	172.25.33.10	5062	TCP	SIP (MTLS)	Includere tutti i Front End Server che utilizzano questo servizio di autenticazione A/V specifico.
A/V	Qualsiasi	Qualsiasi	172.25.33.10	3478	UDP	STUN/MSTURN
A/V	Qualsiasi	Qualsiasi	172.25.33.10	443	TCP	STUN/MSTURN
Proxy inverso: non applicabile	172.25.33.40	Qualsiasi	192.168.10.190	8080	TCP	HTTPS	(Facoltativo) Necessario se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync in situazioni in cui l'organizzazione non desidera modificare il certificato nella regola di pubblicazione dei servizi Web esterni.
Proxy inverso: non applicabile	172.25.33.40	Qualsiasi	192.168.10.190	4443	TCP	HTTPS

Condividi tramite