Compartilhar via

  • Artigo

Arquitetura de referência 1: Resumo de portas para Borda consolidada única

 

Tópico modificado em: 2012-11-02

A funcionalidade do Servidor de Borda do Lync Server 2010 descrita nesta arquitetura de referência é muito parecida com à que foi introduzida primeiro no Office Communications Server 2007 R2, com as seguintes exceções:

  • A porta 8080 é usada para rotear o tráfego da interface interna do proxy reverso para o VIP (IP virtual do pool). Ela é opcional e pode ser usada por dispositivos móveis que executam o Lync para localizar o Serviço Descoberta automática em situações onde modificar o certificado de regra de publicação do serviço web externo é indesejável (por exemplo, se você tiver um grande número de domínios SIP).

  • A porta 4443 é usada para rotear o tráfego da interface interna do proxy reverso para o VIP do pool.

  • A porta 4443 é usada para rotear tráfego dos front-ends do pool para a interface interna de Borda

Há várias opções de intervalos de portas 50.000 – 59.999, mas a figura a seguir mostra a configuração comum para interoperabilidade com versões anteriores do Office Communications Server. Para obter detalhes sobre as opções para configurar esse intervalo de porta, consulte Determinando requisitos de porta e de firewall A/V externo.

Rede de perímetro corporativa para borda única consolidada

Diagrama de Rede de perímetro de borda consolidada dimensionada

Ao ler as tabelas a seguir, (entrada) se refere ao tráfego que vai de uma rede menos confiável a uma rede mais confiável, como Internet-para-perímetro ou perímetro-para-corporativo. Por exemplo, o tráfego da Internet para a interface externa de borda ou da interface interna de borda ao pool de próximo salto. (saída) se refere ao tráfego que vai de uma rede mais confiável a uma rede menos confiável, como corporativo-para-perímetro ou perímetro-para-Internet. Por exemplo, o tráfego de um pool corporativo para a interface interna da borda ou da interface externa da borda para a Internet. E, (entrada/saída) se refere ao tráfego de ambas as direções.

Tráfego de borda de entrada/saída

Diagrama de entrada/saída de borda

Recomendamos abrir apenas as portas necessárias para dar suporte à funcionalidade para a qual você está fornecendo acesso externo.

Para que o acesso remoto funcione em qualquer serviço de borda, é obrigatório que o fluxo do tráfego SIP possa ser bidirecional, como mostra a figura de tráfego de borda de Entrada/Saída. Indicado de outra forma, o serviço Borda de Acesso está envolvido em mensagens instantâneas, presença, Webconferência e A/V (áudio/vídeo).

Resumo do firewall para borda consolidada única/em escala com balanceamento de carga de DNS: interface externa

Protocolo/Porta Usado para

HTTP 80 (saída)

Verificar listas de revogação de certificado

DNS 53 (saída)

Consultas de DNS externas

SIP/TLS/443 (entrada)

Tráfego SIP de cliente para servidor para acesso de usuário remoto

SIP/MTLS/5061 (entrada/saída)

Federação e conectividade com um serviço hospedado do Exchange

PSOM/TLS/443 (entrada)

Acesso de usuário remoto a conferências para usuários anônimos e federados

Intervalo do RTP/TCP/50K (entrada)

Troca de mídia (para obter detalhes, consulte Determinando requisitos de porta e de firewall A/V externo)

Necessário para interoperabilidade do Office Communications Server 2007

Intervalo do RTP/TCP/50K (saída)

Troca de mídia (para obter detalhes, consulte Determinando requisitos de porta e de firewall A/V externo)

Necessário para interoperabilidade do Office Communications Server 2007

Necessário para compartilhamento de área de trabalho e federação do Office Communications Server 2007 R2

Necessário para compartilhamento de arquivo e transferência de arquivo do Lync Server 2010

A/V com Windows Live Messenger

noteObservação:
Se UDP 3478 estiver bloqueado por conta dos requisitos de firewall do perimêtro ou restrições do lado do cliente sobre o UDP 3478, o intervalo de porta 50k será usado no UDP 3478

Intervalo de RTP/UDP/50K (entrada)

Troca de mídia (para obter detalhes, consulte Determinando requisitos de porta e de firewall A/V externo)

Necessário para interoperabilidade do Office Communications Server 2007

Intervalo de RTP/UDP/50K (entrada)

Troca de mídia (para obter detalhes, consulte Determinando requisitos de porta e de firewall A/V externo)

Necessário para interoperabilidade do Office Communications Server 2007

STUN/MSTURN/UDP/3478 (entrada/saída)

Acesso de usuário externo a sessões de A/V (UDP)

STUN/MSTURN/TCP/443 (entrada)

Acesso de usuário externo a sessões de A/V e mídia (TCP)

Detalhes do firewall para borda consolidada única/em escala com balanceamento de carga de DNS: interface interna

Protocolo/Porta Usado para

SIP/MTLS/5061 (entrada/saída)

Tráfego SIP

PSOM/MTLS/8057 (saída)

Tráfego de Webconferência do pool para o Servidor de Borda

SIP/MTLS/5062 (saída)

Autenticação de usuários A/V (serviço de autenticação A/V)

STUN/MSTURN/UDP/3478 (saída)

Caminho preferencial para transferência de mídia entre usuários internos e externos (UDP)

STUN/MSTURN/TCP/443 (saída)

Caminho alternativo para transferência de mídia entre usuários internos e externos (TCP)

HTTPS 4443 (saída)

Envio por push de atualizações do Repositório de Gerenciamento Central aos Servidores de Borda

Detalhes de firewall para o servidor proxy reverso: interface externa

Protocolo/Porta Use para

HTTP 80 (entrada)

(Opcional) Redirecionar ao HTTPS se o usuário inserir acidentalmente http://<publishedSiteFQDN>.

Também será necessário se o Serviço Descoberta Automática estiver sendo usado para dispositivos móveis que executam o Lync em situações em que a organização não deseja modificar o certificado de regra de publicação do serviço web externo.

HTTPS 443 (entrada)

Downloads do catálogo de endereço, serviço de consulta à Web do Catálogo de Endereço, atualizações do cliente, conteúdo da reunião, atualizações de dispositivo, expansão de grupo, conferência de discagem e reuniões.

Detalhes de firewall para o servidor proxy reverso: interface interna

Protocolo/Porta Usado para

HTTP 8080 (entrada)

Necessário se o Serviço Descoberta Automática estiver sendo usado para dispositivos móveis que executam o Lync em situações em que a organização não deseja modificar o certificado de regra de publicação do serviço web externo.

O tráfego enviado para a porta 80 na interface externa do proxy reverso é redirecionado para um pool na porta 8080 da interface interna do proxy reverso para que os Serviços Web do pool possam distingui-lo do tráfego da web interno.

HTTPS 4443 (entrada)

O tráfego enviado para a porta 443 na interface externa do proxy reverso é redirecionado para um pool na porta 4443 da interface interna do proxy reverso para que os serviços web do pool possam distingui-lo do tráfego da web interno.
noteObservação:
Ao ler as tabelas a seguir, (entrada) se refere ao tráfego que vai de uma rede menos confiável a uma rede mais confiável, como Internet-para-perímetro ou perímetro-para-corporativo. Por exemplo, tráfego da Internet para a interface externa do proxy reverso ou da interface interna do proxy inverso para um pool Standard Edition ou um VIP de balanceador de carga de hardware associado a um pool Front-End.

Configurações de portas externas necessárias para a topologia de borda consolidada única

Função de borda Endereço IP de origem Porta de origem Endereço IP de destino Porta de destino Transporte Aplicativo Observações

Acesso

10.45.16.10

Qualquer uma

Qualquer um

80

TCP

HTTP

Acesso

10.45.16.10

Qualquer uma

Qualquer um

53

UDP

DNS

Acesso

Qualquer um

Qualquer uma

10.45.16.10

443

TCP

SIP (TLS)

Tráfego SIP de cliente para servidor para acesso de usuário externo

Acesso

Qualquer um

Qualquer uma

10.45.16.10

5061

TCP

SIP (MTLS)

Para conectividade pública e federada de mensagens instantâneas usando SIP

Acesso

10.45.16.10

Qualquer uma

Qualquer uma

5061

TCP

SIP (MTLS)

Para conectividade pública e federada de mensagens instantâneas usando SIP

Webconferência

Qualquer um

Qualquer uma

10.45.16.20

443

TCP

PSOM (TLS)

A/V

10.45.16.30

50.000 – 59.999

Qualquer uma

443

TCP

RTP

Obrigatório para compartilhamento de área de trabalho ou federação com parceiros executando o Office Communications Server 2007 R2 e quando mais de um Serviço de Borda A/V está envolvido em uma chamada, por exemplo, usuários na mesma empresa, usando Servidores de Borda ou pools diferentes.

Também é necessária para transferência de arquivo ou compartilhamento de aplicativo com usuários federados do Lync Server 2010 e sessões A/V com o Windows Live Messenger.

Este intervalo de porta e regra também são usados se o usuário externo não pode utilizar a regra UDP 3478 devido a restrições ou outras condições na origem (cliente).

A/V

10.45.16.30

50.000 – 59.999

Qualquer um

Qualquer uma

UDP

RTP

Necessária somente para federação com parceiros que ainda estão executando o Office Communications Server 2007.

A/V

Qualquer um

Qualquer um

10.45.16.30

50.000 – 59.999

TCP

RTP

Necessária somente para federação com parceiros que ainda estão executando o Office Communications Server 2007.

A/V

Qualquer uma

Qualquer um

10.45.16.30

50.000 – 59.999

UDP

RTP

Necessária somente para federação com parceiros que ainda estão executando o Office Communications Server 2007.

A/V

10.45.16.30

3478

Qualquer uma

3478

UDP

STUN/MSTURN

A saída 3478 é usada para determinar a versão do Servidor de Borda com o qual o Lync Server 2010 está se comunicando e também para tráfego de mídia do Servidor de Borda para o Servidor de Borda.

Necessária para federação com o Lync Server 2010, o Windows Live Messenger e o Office Communications Server 2007 R2, bem como também se vários pools de Borda forem implantados em uma empresa.

A/V

Qualquer um

Qualquer um

10.45.16.30

3478

UDP

STUN/MSTURN

A/V

Qualquer uma

Qualquer um

10.45.16.30

443

TCP

STUN/MSTURN

Proxy Reverso: N/D

Qualquer um

Qualquer uma

10.45.16.40

80

TCP

HTTP

(Opcional) Pode ser usada para redirecionar o tráfego http para https.

Também será necessária se o Serviço Descoberta Automática estiver sendo usado para dispositivos móveis que executam o Lync em situações em que a organização não deseja modificar o certificado na regra de publicação do serviço web externo.

Proxy Reverso: N/D

Qualquer um

Qualquer uma

10.45.16.40

443

TCP

HTTPS

Configurações de portas internas necessárias para a topologia de borda consolidada única

Função de borda Endereço IP de origem Porta de origem Endereço IP de destino Porta de destino Transporte Aplicativo Observações

Acesso

172.25.33.10

Qualquer uma

192.168.10.90

192.168.10.91

5061

TCP

SIP (MTLS)

Destino será o servidor do próximo salto. No caso da arquitetura de referência, são os endereços IP dos dois Servidores Front-End do pool.

Acesso

192.168.10.90

192.168.10.91

Qualquer uma

172.25.33.10

5061

TCP

SIP (MTLS)

Origem será o servidor do próximo salto. No caso da arquitetura de referência, são os endereços IP dos dois Servidores Front-End do pool.

Acesso

192.168.10.90

192.168.10.91

Qualquer uma

172.25.33.10

4443

TCP

HTTPS

Usada pelo agente de replicação para replicação do Repositório de Gerenciamento Centralreplicação, incluir todos os Servidores front-End.

Webconferência

Qualquer um

Qualquer uma

172.25.33.10

8057

TCP

PSOM (MTLS)

A/V

192.168.10.90

192.168.10.91

Qualquer Aparelho de Filial Persistente ou Servidor de Filial Persistente

Qualquer uma

172.25.33.10

5062

TCP

SIP (MTLS)

Incluir todos os Servidores Front-End que usam esse serviço específico de autenticação A/V.

A/V

Qualquer um

Qualquer uma

172.25.33.10

3478

UDP

STUN/MSTURN

A/V

Qualquer um

Qualquer uma

172.25.33.10

443

TCP

STUN/MSTURN

Proxy reverso: N/D

172.25.33.40

Qualquer uma

192.168.10.190

8080

TCP

HTTPS

Também será necessária se o Serviço Descoberta Automática estiver sendo usado para dispositivos móveis que executam o Lync em situações em que a organização não deseja modificar o certificado na regra de publicação do serviço web externo.

Proxy reverso: N/D

172.25.33.40

Qualquer uma

192.168.10.190

4443

TCP

HTTPS