Arquitetura de referência 3: Resumo de portas para Borda consolidada dimensionada (balanceamento de carga de hardware)
Tópico modificado em: 2012-11-02
A funcionalidade do Servidor de Borda do Lync Server 2010 descrita nesta arquitetura de referência é muito semelhante à que foi introduzida pela primeira vez no Office Communications Server 2007 R2, com as seguintes exceções:
A porta 8080 é opcional e pode ser usada por dispositivos móveis executando o Lync para localizar o Serviço de Descoberta Automática em situações em que modificar o certificado de regra de publicação do serviço web externo é indesejável (por exemplo, se houver um número grande de domínios SIP).
A porta 4443 é usada para rotear o tráfego da interface interna do proxy reverso para o IP virtual (VIP) do pool.
A porta 4443 é usada para rotear o tráfego do(s) Servidor(es) Front End do pool para a interface interna da Borda.
Existem várias opções para o intervalo de porta 50.000 – 59.999, mas a figura da Topologia de Borda Consolidada em Escala (Carga do Hardware Balanceada) em Arquitetura de referência 3: Borda consolidada dimensionada (balanceamento de carga de hardware) mostra a configuração comum para interoperabilidade com versões anteriores do Office Communications Server. Para detalhes sobre as opções de configuração deste intervalo de porta, consulte a seção em Determinando requisitos de porta e de firewall A/V externo.
Rede de perímetro corporativa para borda consolidada em escala com balanceamento de carga do hardware
.jpg "Rede de perímetro HLB de borda consolidada dimensionada")
Ao ler as tabelas anteriores, (in) refere-se ao tráfego indo de uma rede menos confiável para uma rede mais confiável, como internet-para-perímetro ou perímetro-para-corporativa. Por exemplo, o tráfego da Internet para a interface externa da borda ou da interface interna da borda para o pool do próximo salto. (out) refere-se ao tráfego indo de uma rede mais confiável para uma rede menos confiável, como corporativa-para-perímetro ou perímetro-para-internet. Por exemplo, o tráfego de um pool corporativo para a interface interna da borda ou da interface externa da borda para a Internet. E (in/out) refere-se ao tráfego indo em ambas as direções.
Tráfego de borda de entrada/saída
.jpg "Diagrama de entrada/saída de borda")
É recomendável que você abra somente as portas necessárias para oferecer suporte à funcionalidade para a qual está fornecendo acesso externo.
Para que o acesso remoto funcione para qualquer serviço de borda, é imprescindível que o tráfego SIP tenha permissão para fluir bidirecionalmente, conforme mostra a figura da Topologia de Borda Consolidada em Escala (Carga de Hardware Balanceada). Em outras palavras, o serviço de Borda de Acesso está envolvido no sistema de mensagens instantâneas (IM), presença, webconferência e conferência de áudio/vídeo (A/V).
Resumo do firewall para borda consolidada em escala com balanceamento de carga do hardware: interface externa
| Protocolo/porta | Usado para | ||
|---|---|---|---|
HTTP 80 (out) |
Fazer download de listas de certificados revogados |
||
DNS 53 (out) |
Consultas DNS externas |
||
SIP/TLS/443 (in) |
Tráfego SIP do cliente para o servidor para acesso remoto do usuário (aberta somente para o VIP externo da Borda de Acesso, não para servidores de pool da Borda individuais) |
||
SIP/MTLS/5061 (in) |
Federação e conectividade com um serviço hospedado do Exchange. Aberta somente para o VIP externo da Borda de Acesso (não para servidores de pool da Borda individuais). |
||
PSOM/TLS/443 (in) |
Acesso remoto do usuário a webconferências para usuários anônimos e federados. Aberta somente para o VIP externo da Borda de Webconferência (não para servidores do pool da Borda individuais) |
||
RTP/TCP/intervalo de 50K (in) |
Troca de mídia (para detalhes, consulte Determinando requisitos de porta e de firewall A/V externo) Necessário para interoperabilidade do Office Communications Server 2007 |
||
RTP/TCP/intervalo de 50K (out) |
Troca de mídia (para detalhes, consulte Determinando requisitos de porta e de firewall A/V externo) Necessário para interoperabilidade do Office Communications Server 2007 Necessário para compartilhamento da área de trabalho do Office Communications Server 2007 R2 e federação Necessário para compartilhamento de aplicativos do Lync Server 2010 e transferência de arquivos. A/V com Windows Live Messenger
|
||
RTP/UDP/intervalo de 50K (in) |
Troca de mídia (para detalhes, consulte Determinando requisitos de porta e de firewall A/V externo) Necessário para interoperabilidade do Office Communications Server 2007 |
||
RTP/UDP/intervalo de 50K (out) |
Troca de mídia (para detalhes, consulte Determinando requisitos de porta e de firewall A/V externo) Necessário para interoperabilidade do Office Communications Server 2007 |
||
STUN/MSTURN/UDP/3478 (in/out) |
Acesso externo do usuário para sessões de A/V (UDP) (aberta para VIP externo da Borda de A/V e Servidores de Borda individuais) |
||
STUN/MSTURN/TCP/443 (in) |
Acesso externo do usuário para sessões de A/V e mídia (TCP) (aberta para VIP externo da Borda de A/V e Servidores de Borda individuais) |
Resumo do firewall para borda consolidada em escala com balanceamento de carga do hardware: interface interna
| Protocolo/porta | Usado para |
|---|---|
SIP/MTLS/5061 (in/out) |
Tráfego SIP. Aberta para VIP interno da Borda e servidores de pool da Borda individuais. |
PSOM/MTLS/8057 (out) |
Tráfego de webconferência do poll-para-Borda (aberta somente para Servidores de Borda) |
SIP/MTLS/5062 (out) |
Autenticação de usuários de A/V (ou seja, serviço de autenticação de A/V) (aberta para VIP interno da Borda e Servidores de Borda individuais) |
STUN/MSTURN/UDP/3478 (out) |
Caminho preferencial para transferência de mídia entre usuários internos e externos (UDP) (aberta para VIP interno da Borda e Servidores de Borda individuais) |
STUN/MSTURN/TCP/443 (out) |
Caminho alternativo para transferência de mídia entre usuários internos e externos (TCP) (aberta para VIP interno da Borda e Servidores de Borda individuais) |
HTTPS 4443 (out) |
Atualizações do banco de dados CMS por push para nós da Borda (aberta somente para Servidores de Borda individuais) |
Detalhes do firewall para o servidor de proxy reverso: interface externa
| Protocolo/porta | Use para |
|---|---|
HTTP 80 (in) |
(Opcional) Redirecionamento para HTTPS se o usuário acidentalmente inserir http://<publishedSiteFQDN>. Também necessário se utilizar o Serviço de Descoberta Automática para dispositivos móveis executando o Lync em situações em que a organização não quer modificar o certificado na regra de publicação do serviço web externo. |
HTTPS 443 (in) |
Downloads do catálogo de endereços, serviço de consulta web no catálogo de endereços, atualizações de cliente, conteúdo de reuniões, atualizações de dispositivo, expansão de grupo, conferência discada e conferências. |
Detalhes do firewall para o servidor de proxy reverso: interface interna
| Protocolo/porta | Usado para |
|---|---|
HTTP 8080 (in) |
Necessário se utilizar o Serviço de Descoberta Automática para dispositivos móveis executando o Lync em situações em que o cliente não deseja modificar o certificado da regra de publicação do serviço web externo. O tráfego enviado para a porta 80 na interface externa do proxy reverso é redirecionado para um pool na porta 8080 a partir da interface interna do proxy reverso para que os Serviços Web do pool possam distingui-lo do tráfego interno da web. |
HTTPS 4443 (in) |
O tráfego enviado para a porta 443 na interface externa do proxy reverso é redirecionado para um pool na porta 4443 a partir da interface interna do proxy reverso para que os Serviços Web do pool possam distingui-lo do tráfego interno da web. |
.gif "note") Observação: |
|---|
| Ao ler as tabelas anteriores, (in) refere-se ao tráfego indo de uma rede menos confiável para uma rede mais confiável, como Internet-para-perímetro ou perímetro-para-corporativa. Por exemplo, o tráfego da Internet para a interface externa do proxy reverso ou da interface interna do proxy reverso para um pool Standard Edition ou um VIP de balanceador de carga do hardware associado a um pool Enterprise Edition. |
Configurações de porta externa necessárias para a Topologia de Borda Consolidada em Escala (Carga do Hardware Balanceada): IPs virtuais da interface externa
| Função de Borda | Endereço IP de Origem | Porta de origem | Endereço IP de Destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
Acesso |
Qualquer um |
Qualquer um |
131.107.155.110 |
443 |
TCP |
SIP (TLS) |
Tráfego SIP do cliente para o servidor para acesso externo do usuário |
Acesso |
Qualquer um |
Qualquer um |
131.107.155.110 |
5061 |
TCP |
SIP (MTLS) |
Para conectividade federada e IM público usando SIP (entrada) |
Webconferência |
Qualquer um |
Qualquer um |
131.107.155.120 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
Qualquer um |
Qualquer um |
131.107.155.130 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualquer um |
Qualquer um |
131.107.155.130 |
443 |
TCP |
STUN/MSTURN |
Configurações de porta externa necessárias para a Topologia de Borda Consolidada em Escala (Carga de Hardware Balanceada): nó 1 da interface externa
| Função de Borda | Endereço IP de Origem | Porta de origem | Endereço IP de Destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
Acesso |
131.107.155.10 |
Qualquer um |
Qualquer um |
80 |
TCP |
HTTP |
|
Acesso |
131.107.155.10 |
Qualquer um |
Qualquer um |
53 |
UDP |
DNS |
|
Acesso |
131.107.155.10 |
Qualquer um |
Qualquer um |
5061 |
TCP |
SIP (MTLS) |
Para conectividade federada e IM público usando SIP (saída) |
A/V |
131.107.155.30 |
50.000 – 59.999 |
Qualquer um |
Qualquer um |
TCP |
RTP |
Necessário apenas para compartilhamento de área de trabalho com parceiros executando o Office Communications Server 2007 R2. Também necessário para compartilhamento de aplicativos ou transferência de arquivos com usuários federados do Lync Server 2010 e sessões de A/V com o Windows Live Messenger. |
A/V |
131.107.155.30 |
50.000 – 59.999 |
Qualquer um |
Qualquer um |
UDP |
RTP |
Necessário apenas para federação com parceiros que estejam executando o Office Communications Server 2007. |
A/V |
Qualquer um |
Qualquer um |
131.107.155.30 |
50.000 – 59.999 |
TCP |
RTP |
Necessário apenas para federação com parceiros que estejam executando o Office Communications Server 2007. |
A/V |
Qualquer um |
Qualquer um |
131.107.155.30 |
50.000 – 59.999 |
UDP |
RTP |
Necessário apenas para federação com parceiros que estejam executando o Office Communications Server 2007. |
A/V |
131.107.155.30 |
Qualquer um |
Qualquer um |
3478 |
UDP |
STUN/MSTURN |
A saída 3478 é usada para determinar a versão do Lync Server 2010 com que o Servidor de Borda está se comunicando e para tráfego de mídia do Servidor de Borda-para-Servidor de Borda. Necessário para federação com o Lync Server 2010, Windows Live Messenger e Office Communications Server 2007 R2 e também se vários pools de Borda estiverem implantados dentro da empresa. |
A/V |
Qualquer um |
Qualquer um |
131.107.155.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualquer um |
Qualquer um |
131.107.155.30 |
443 |
TCP |
STUN/MSTURN |
Configurações de porta externa necessárias para a Topologia de Borda Consolidada em Escala (Carga de Hardware Balanceada): nó 2 da interface externa
| Função de borda | Endereço IP de Origem | Porta de origem | Endereço IP de Destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
Acesso |
131.107.155.11 |
Qualquer um |
Qualquer um |
80 |
TCP |
HTTP |
|
Acesso |
131.107.155.11 |
Qualquer um |
Qualquer um |
53 |
UDP |
DNS |
|
Acesso |
131.107.155.11 |
Qualquer um |
Qualquer um |
5061 |
TCP |
SIP (MTLS) |
Para conectividade federada e IM público usando SIP (saída) |
A/V |
131.107.155.31 |
50.000 – 59.999 |
Qualquer um |
Qualquer um |
TCP |
RTP |
Necessário apenas para compartilhamento de área de trabalho com parceiros executando o Office Communications Server 2007 R2. Também necessário para o compartilhamento de aplicativos ou transferência de arquivos com usuários federados do Lync Server 2010 e sessões de A/V com o Windows Live Messenger. |
A/V |
131.107.155.31 |
50.000 – 59.999 |
Qualquer um |
Qualquer um |
UDP |
RTP |
Necessário apenas para federação com parceiros que estejam executando o Office Communications Server 2007. |
A/V |
Qualquer um |
Qualquer um |
131.107.155.31 |
50.000 – 59.999 |
TCP |
RTP |
Necessário apenas para federação com parceiros que estejam executando o Office Communications Server 2007. |
A/V |
Qualquer um |
Qualquer um |
131.107.155.31 |
50.000 – 59.999 |
UDP |
RTP |
Necessário apenas para federação com parceiros que estejam executando o Office Communications Server 2007. |
A/V |
131.107.155.31 |
Qualquer um |
Qualquer um |
3478 |
UDP |
STUN/MSTURN |
A saída 3478 é usada para determinar a versão do Lync Server 2010 com que o servidor de Borda está se comunicando e para tráfego de mídia servidor de Borda para servidor de Borda. Necessário para federação com o Lync Server 2010, Windows Live Messenger e Office Communications Server 2007 R2 e também se vários pools de Borda estiverem implantados dentro da empresa.. |
A/V |
Qualquer um |
Qualquer um |
131.107.155.31 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualquer um |
Qualquer um |
131.107.155.31 |
443 |
TCP |
STUN/MSTURN |
Configurações de porta externa necessárias para a Topologia de Borda Consolidada em Escala (Carga de Hardware Balanceada): proxy reverso
| Função de borda | Endereço IP de Origem | Porta de origem | Endereço IP de Destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
NA (não aplicável) |
Qualquer um |
Qualquer um |
10.45.16.40 |
80 |
TCP |
SIP (TLS) |
(Opcional) Use para redirecionar o tráfego http para https. Também necessário se estiver usando o Serviço de Descoberta Automática para dispositivos móveis executando o Lync em situações em que a organização não deseja modificar o certificado na regra de publicação do serviço web externo. |
NA (Não aplicável) |
Qualquer um |
Qualquer um |
10.45.16.40 |
443 |
TCP |
HTTPS |
Configurações de porta interna do firewall necessárias para a Topologia de Borda Consolidada em Escala (Carga de Hardware Balanceada): IPs virtuais da interface interna
| Função de borda | Endereço IP de Origem | Porta de origem | Endereço IP de Destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
Acesso |
192.168.10.90 192.168.10.91 |
Qualquer um |
172.25.33.110 |
5061 |
TCP |
SIP (MTLS) |
|
A/V |
Qualquer um |
Qualquer um |
172.25.33.110 |
5062 |
TCP |
SIP (MTLS) |
Inclui todos os Servidores de Front-end e qualquer Aparelho de Filial Persistente ou Servidor de Filial Persistente usando este determinado serviço de autenticação A/V. |
A/V |
Qualquer um |
Qualquer um |
172.25.33.110 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualquer um |
Qualquer um |
172.25.33.110 |
443 |
TCP |
STUN/MSTURN |
Configurações de porta interna do firewall necessárias para a Topologia de Borda Consolidada em Escala (Carga de Hardware Balanceada): nó 1 da interface interna
| Função de borda | Endereço IP de Origem | Porta de origem | Endereço IP de Destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
Acesso |
172.25.33.10 |
Qualquer um |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
O destino será o(s) servidor(es) do próximo salto. No caso da arquitetura de referência, os endereços IP dos dois Servidores Front End do pool serão o destino. |
Acesso |
192.168.10.90 192.168.10.91 |
Qualquer um |
172.25.33.10 |
4443 |
TCP |
HTTPS |
Usado para replicação do Repositório de Gerenciamento Central, incluir todos os Servidores Front End. |
Webconferência |
Qualquer um |
Qualquer um |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 |
Qualquer um |
172.25.33.10 |
5062 |
TCP |
SIP(MTLS) |
Autenticação de Media Relay |
A/V |
Qualquer um |
Qualquer um |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualquer um |
Qualquer um |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
Configurações de porta interna do firewall necessárias para a Topologia de Borda Consolidada em Escala (Carga de Hardware Balanceada): nó 2 da interface interna
| Função de Borda | Endereço IP de Origem | Porta de origem | Endereço IP de Destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
Acesso |
172.25.33.11 |
Qualquer um |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
O destino será o(s) servidor(es) do próximo salto. No caso da arquitetura de referência, os endereços IP dos dois Servidores Front End do pool serão o destino. |
Acesso |
192.168.10.90 192.168.10.91 |
Qualquer um |
172.25.33.11 |
4443 |
TCP |
HTTPS |
Usado para replicação do Repositório de Gerenciamento Central, incluir todos os Servidores Front End. |
Webconferência |
Qualquer um |
Qualquer um |
172.25.33.11 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 |
Qualquer um |
172.25.33.11 |
5062 |
TCP |
SIP(MTLS) |
Autenticação de Media Relay |
A/V |
Qualquer um |
Qualquer um |
172.25.33.11 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualquer um |
Qualquer um |
172.25.33.11 |
443 |
TCP |
STUN/MSTURN |
Configurações de porta interna do firewall necessárias para a Topologia de Borda Consolidada em Escala (Carga de Hardware Balanceada): proxy reverso
| Função de Borda | Endereço IP de Origem | Porta de origem | Endereço IP de Destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
NA (não aplicável) |
172.25.33.40 |
Qualquer um |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(Opcional) Necessário se estiver usando o Serviço de Descoberta Automática para dispositivos móveis executando o Lync em situações em que a organização não deseja modificar o certificado na regra de publicação do serviço web externo. |
NA (Não aplicável) |
172.25.33.40 |
Qualquer um |
192.168.10.190 |
4443 |
TCP |
HTTPS |