Сводка по портам — масштабируемая консолидированная пограничная топология с аппаратными балансировщиками нагрузки в Lync Server 2013
Последнее изменение раздела: 2015-04-27
Функциональные возможности Lync Server 2013, edge Server, описанные в этой архитектуре сценария, очень похожи на функции, реализованные в Lync Server 2010. Наиболее заметным дополнением является порт 5269 через запись TCP для расширяемого протокола обмена сообщениями и присутствия (XMPP). При необходимости Lync Server 2013 развертывает прокси-сервер XMPP на пограничном сервере или в пограничном пуле, а сервер шлюза XMPP — на сервере переднего плана или в пуле переднего плана.
В дополнение к протоколу IPv4 пограничный сервер теперь поддерживает протокол IPv6. Для ясности в сценариях используется только протокол IPv4.
Масштабируемое консолидированное пограничное устройство с помощью аппаратной балансировки нагрузки
.jpg "пограничного сервера")
сети периметра пограничного сервера и протоколы сети периметра
Сведения о портах и протоколах
Рекомендуется открывать только порты, необходимые для поддержки функций, для которых предоставляется внешний доступ.
Для удаленного доступа к любой пограничной службе необходимо, чтобы трафик SIP был разрешен двунаправленно, как показано на рисунке входящего и исходящего пограничного трафика. Другой способ: обмен сообщениями SIP в службу Access Edge и из нее участвует в обмене мгновенными сообщениями, присутствии, веб-конференции, аудио- и видеосвязи (A/V) и федерации.
Сводка брандмауэра для масштабируемого консолидированного пограничного сервера, аппаратная балансировка нагрузки: внешний интерфейс — узел 1 и узел 2 (пример)
| Role/Protocol/TCP, UDP/Port | IP-адрес источника | IP-адрес назначения | Примечания. |
|---|---|---|---|
Access/HTTP/TCP/80 |
Пограничный сервер, общедоступный IP-адрес пограничной службы доступа |
Любой |
Отзыв сертификата или проверка crl и извлечение |
Access/DNS/TCP/53 |
Пограничный сервер, общедоступный IP-адрес пограничной службы доступа |
Любой |
Запрос DNS по протоколу TCP |
Access/DNS/UDP/53 |
Пограничный сервер, общедоступный IP-адрес пограничной службы доступа |
Любой |
Запрос DNS по протоколу UDP |
A/V/RTP/TCP/50,000-59,999 |
Пограничный сервер, IP-адрес пограничной службы аудио- и видеоданных |
Любой |
Требуется для федерации с партнерами, работающими под управлением Office Communications Server 2007, Office Communications Server 2007 R2, Lync Server 2010 и Lync Server 2013. |
A/V/RTP/UDP/50,000-59,999 |
Пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных |
Любой |
Требуется только для федерации с партнерами, работающими под управлением Office Communications Server 2007. |
A/V/RTP/TCP/50,000-59,999 |
Любой |
Пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных |
Требуется только для федерации с партнерами, работающими под управлением Office Communications Server 2007 |
A/V/RTP/UDP/50,000-59,999 |
Любой |
Пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных |
Требуется только для федерации с партнерами, работающими под управлением Office Communications Server 2007 |
A/V/STUN,MSTURN/UDP/3478 |
Пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных |
Любой |
Исходящий трафик 3478 используется для определения версии пограничного сервера, с которую взаимодействует Lync Server, а также для трафика мультимедиа с пограничного сервера на пограничный сервер. Требуется для федерации с Lync Server 2010, Windows Live Messenger и Office Communications Server 2007 R2, а также при развертывании нескольких пограничных пулов в компании. |
A/V/STUN,MSTURN/UDP/3478 |
Любой |
Пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных |
Согласование кандидатов по протоколу STUN/TURN по протоколу UDP/3478 |
A/V/STUN,MSTURN/TCP/443 |
Любой |
Пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных |
Согласование кандидатов по протоколу STUN/TURN по протоколу TCP/443 |
A/V/STUN,MSTURN/TCP/443 |
Пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных |
Любой |
Согласование кандидатов по протоколу STUN/TURN по протоколу TCP/443 |
Сводка по брандмауэру для масштабируемого консолидированного пограничного сервера, аппаратной балансировки нагрузки: узел внутреннего интерфейса 1 и узел 2
| Role/Protocol/TCP, UDP/Port | IP-адрес источника | IP-адрес назначения | Примечания. |
|---|---|---|---|
XMPP/MTLS/TCP/23456 |
Любой (может быть определен как адрес сервера переднего плана или виртуальный IP-адрес пула переднего плана, на котором запущена служба шлюза XMPP) |
Внутренний интерфейс пограничного сервера |
Исходящий трафик XMPP из службы шлюза XMPP, работающей на сервере переднего плана или в пуле переднего плана |
HTTPS/TCP/4443 |
Любой (может быть определен как IP-адрес сервера переднего плана или пул, содержащий центральное хранилище управления) |
Внутренний интерфейс пограничного сервера |
Репликация изменений из центрального хранилища управления на пограничный сервер |
PSOM/MTLS/TCP/8057 |
Любой (может быть определен как IP-адрес директора, IP-адрес сервера переднего плана или виртуальный IP-адрес пула) |
Внутренний интерфейс пограничного сервера |
Трафик веб-конференций от внутреннего развертывания к интерфейсу внутреннего пограничного сервера |
STUN/MSTURN/UDP/3478 |
Любой (может быть определен как IP-адрес директора, IP-адрес сервера переднего плана или виртуальный IP-адрес пула) |
Внутренний интерфейс пограничного сервера |
Предпочтительный путь для передачи мультимедиа A/V между внутренними и внешними пользователями, устройством для обеспечения связи филиала или сервером ветвей связи |
STUN/MSTURN/TCP/443 |
Любой (может быть определен как IP-адрес директора, IP-адрес сервера переднего плана или виртуальный IP-адрес пула) |
Внутренний интерфейс пограничного сервера |
Резервный путь для передачи мультимедиа A/V между внутренними и внешними пользователями, устройством обеспечения связи в филиале или сервером филиала, если не удается установить связь по протоколу UDP, протокол TCP используется для передачи файлов и общего доступа к рабочему столу. |
MTLS/TCP/50001 |
Любой |
Внутренний интерфейс пограничного сервера |
Централизованный контроллер службы ведения журнала с помощью командной консоли Lync Server и командлетов централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и сбора журналов |
MTLS/TCP/50002 |
Любой |
Внутренний интерфейс пограничного сервера |
Централизованный контроллер службы ведения журнала с помощью командной консоли Lync Server и командлетов централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и сбора журналов |
MTLS/TCP/50003 |
Любой |
Внутренний интерфейс пограничного сервера |
Централизованный контроллер службы ведения журнала с помощью командной консоли Lync Server и командлетов централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и сбора журналов |
Аппаратные подсистемы балансировки нагрузки имеют определенные требования при развертывании для обеспечения доступности и балансировки нагрузки для Lync Server. Требования определены на следующем рисунке и в таблицах. Сторонние поставщики могут использовать другую терминологию для определенных здесь требований. Необходимо сопоставить требования Lync Server с функциями и вариантами конфигурации, предоставляемыми поставщиком подсистемы балансировки нагрузки оборудования.
При настройке аппаратных подсистем балансировки нагрузки учитывайте следующие требования:
Преобразование исходных сетевых адресов (SNAT) можно настроить на аппаратной подсистеме балансировки нагрузки (HLB) для службы Access Edge и пограничной службы веб-конференций
Не удается настроить SNAT в пограничной службе A/V. Служба A/V Edge должна отвечать на запросы с реальным адресом сервера, а не виртуальным IP-адресом HLB (ВИРТУАЛЬНЫЙ IP-адрес) для простого обхода UDP через NAT (STUN)/обхода с помощью NAT ретранслятора (TURN)/federation TURN (FTURN) для правильной работы.
Если клиент отправляет запрос в HLB, ответ должен быть от виртуального IP-адреса HLB.
Если клиент отправляет запрос на пограничный сервер, ответ должен вернуться с IP-адреса Edge.
Общедоступные IP-адреса используются в каждом интерфейсе сервера и на виртуальных IP-адресах HLB. Требования к общедоступным IP-адресам: N+1, где для каждого интерфейса реального сервера существует общедоступный IP-адрес, а для каждого виртуального IP-адреса HLB — один. Если в пуле 2 пограничных сервера, это приведет к 9 общедоступным IP-адресам, где 3 используются для виртуальных IP-адресов HLB и по одному для каждого интерфейса пограничного сервера (всего шесть для серверов).
Для пограничной службы Access Edge и пограничной службы веб-конференций (и использования NAT в HLB) клиент обращается к виртуальному IP-адресу, виртуальный IP-адрес изменяет исходный IP-адрес клиента на собственный IP-адрес. Серверный интерфейс адресует виртуальный IP-адрес, виртуальный IP-адрес изменяет исходный адрес с IP-адреса интерфейса сервера и отправляет пакет клиенту.
Для пограничной службы A/V виртуальный IP-адрес не должен изменять исходный IP-адрес, а реальный адрес сервера возвращается клиенту напрямую— вы не можете настроить NAT в HLB для трафика AV.
Если клиент отправляет запрос на виртуальный IP-адрес HLB, ответ должен быть от виртуального IP-адреса HLB.
Если клиент отправляет запрос на IP-адрес Edge, ответ должен вернуться с IP-адреса Edge.
Для av внешний брандмауэр сохранит общедоступный IP-адрес реального сервера для всех пакетов.
После установки подключение клиента к пограничной службе A/V выполняется с реальным сервером, а не с балансировщиком нагрузки.
Внутреннее пограничное подключение к внутренним серверам и клиентам должно быть перенаправлено, а постоянные маршруты заданные для всех внутренних сетей, в которых размещены серверы или клиенты
Виртуальный IP-адрес службы пограничного сервера HLB будет выступать в качестве шлюза по умолчанию для каждого интерфейса пограничного сервера.
Примечание.
Дополнительные сведения о планировании и функциональных возможностях NAT см. в требованиях к аппаратной подсистеме балансировки нагрузки для Lync Server 2013.
.jpg "и протоколах пограничного сервера")
а также сведения о портах
Параметры внешнего порта, необходимые для масштабируемого консолидированного пограничного сервера, аппаратной балансировки нагрузки: виртуальные IP-адреса внешнего интерфейса
| Role/Protocol/TCP, UDP/Port | IP-адрес источника | IP-адрес назначения | Примечания. |
|---|---|---|---|
XMPP/TCP/5269 |
Любой |
Служба прокси-сервера XMPP (предоставляет IP-адрес службе Access Edge) |
Прокси-служба XMPP принимает трафик от контактов XMPP в определенных федерациях XMPP. |
XMPP/TCP/5269 |
Служба прокси-сервера XMPP (предоставляет IP-адрес службе Access Edge) |
Любой |
Служба прокси-сервера XMPP отправляет трафик контактам XMPP в определенных федерациях XMPP |
Access/SIP(TLS)/TCP/443 |
Любой |
Общедоступный виртуальный IP-адрес службы Access Edge |
Трафик SIP между клиентами и серверами для доступа внешних пользователей |
Access/SIP(MTLS)/TCP/5061 |
Любой |
Общедоступный виртуальный IP-адрес службы Access Edge |
Передача сигналов SIP, федеративное и общедоступное подключение для обмена мгновенными сообщениями с помощью SIP |
Access/SIP(MTLS)/TCP/5061 |
Общедоступный виртуальный IP-адрес службы Access Edge |
Федеративный партнер |
Передача сигналов SIP, федеративное и общедоступное подключение для обмена мгновенными сообщениями с помощью SIP |
Веб-конференции/PSOM(TLS)/TCP/443 |
Любой |
Общедоступный ВИРТУАЛЬНЫй IP-адрес пограничной службы веб-конференций пограничного сервера |
Носитель веб-конференций |
A/V/STUN,MSTURN/UDP/3478 |
Любой |
Общедоступный виртуальный IP-адрес пограничного сервера A/V Edge |
Согласование кандидатов по протоколу STUN/TURN по протоколу UDP/3478 |
A/V/STUN,MSTURN/TCP/443 |
Любой |
Общедоступный виртуальный IP-адрес пограничного сервера A/V Edge |
Согласование кандидатов по протоколу STUN/TURN по протоколу TCP/443 |
Сводка брандмауэра для масштабируемого консолидированного пограничного сервера с аппаратной балансировкой нагрузки: виртуальные IP-адреса внутреннего интерфейса
| Role/Protocol/TCP, UDP/Port | IP-адрес источника | IP-адрес назначения | Примечания. |
|---|---|---|---|
Access/SIP(MTLS)/TCP/5061 |
Любой (может быть определен в качестве виртуального IP-адреса директора, пула директоров, интерфейсного сервера или виртуального IP-адреса пула переднего плана) |
Интерфейс внутреннего виртуального IP-адреса пограничного сервера |
Исходящий трафик SIP (от каталога, виртуального IP-адреса пула директоров, интерфейсного сервера или виртуального IP-адреса пула переднего плана) к внутреннему пограничному виртуальному IP-адресу |
Access/SIP(MTLS)/TCP/5061 |
Интерфейс внутреннего виртуального IP-адреса пограничного сервера |
Любой (может быть определен в качестве виртуального IP-адреса директора, пула директоров, интерфейсного сервера или виртуального IP-адреса пула переднего плана) |
Входящий трафик SIP (в каталог, виртуальный IP-адрес пула директоров, интерфейсный сервер или виртуальный IP-адрес пула переднего плана) из внутреннего интерфейса пограничного сервера |
SIP/MTLS/TCP/5062 |
Любой (может быть определен как IP-адрес сервера переднего плана, IP-адрес пула переднего плана или любое устройство для обеспечения связи филиала или сервер филиала, использующий этот пограничный сервер). |
Интерфейс внутреннего виртуального IP-адреса пограничного сервера |
Проверка подлинности пользователей A/V (служба проверки подлинности A/V) с IP-адреса интерфейсного сервера или пула переднего плана или любого устройства обеспечения связи филиала или сервера филиала с помощью этого пограничного сервера |
STUN/MSTURN/UDP/3478 |
Любой |
Интерфейс внутреннего виртуального IP-адреса пограничного сервера |
Предпочтительный путь для передачи мультимедиа A/V между внутренними и внешними пользователями |
STUN/MSTURN/TCP/443 |
Любой |
Интерфейс внутреннего виртуального IP-адреса пограничного сервера |
Резервный путь для передачи мультимедиа A/V между внутренними и внешними пользователями, если не удается установить связь по протоколу UDP, протокол TCP используется для передачи файлов и совместного использования рабочего стола. |
STUN/MSTURN/TCP/443 |
Интерфейс внутреннего виртуального IP-адреса пограничного сервера |
Любой |
Резервный путь для передачи мультимедиа A/V между внутренними и внешними пользователями, если не удается установить связь по протоколу UDP, протокол TCP используется для передачи файлов и совместного использования рабочего стола. |