Lync Server 2013 中用于 SIP 中继的组件和拓扑

 

上次修改的主题： 2012-09-21

下图描绘了 Lync Server 中的 SIP 中继拓扑。

SIP 中继拓扑

如图所示，企业网络与公用电话交换网 (PSTN) 服务提供商之间的连接使用 IP 虚拟专用网络 (VPN)。 这个专用网络旨在提供 IP 连接、增强安全性和（可选的）获取服务质量 (QoS) 保证。 由于 VPN 的特性，您无需为 SIP 信号流量使用传输层安全性 (TLS)，也无需为媒体流量使用安全实时传输协议 (SRTP)。 因此，企业与服务提供商之间的连接由用于 SIP 的普通 TCP 连接以及用于通过 IP VPN 进行隧道传输的媒体的普通实时传输协议 (RTP)（通过 UDP）构成。 确保 VPN 路由器之间的所有防火墙打开端口以允许 VPN 路由器进行通信，并且 VPN 路由器外部边缘上的 IP 地址公共可路由。

重要

请与服务提供商联系，以确定是否提供包括故障转移在内的高可用性支持。 如果提供，则需要确定设置过程。 例如，是否需要在每个中介服务器上仅配置一个 IP 地址和一个 SIP 中继，或者是否需要在每个中介服务器上配置多个 SIP 中继？
如果有多个中心站点，还询问服务提供商是否能够启用与另一个中心站点之间的连接。

注意

对于 SIP 中继，我们强烈建议部署独立的中介服务器。 有关详细信息，请参阅部署文档 中的 Lync Server 2013 中部署中介服务器和定义对等 服务器。

为 SIP 中继保护中介服务器的安全

为安全起见，应为两个 VPN 路由器之间的每个连接设置一个虚拟 LAN (VLAN)。 设置 VLAN 的实际过程因路由器制造商而异。 请与路由器供应商联系以获取详细信息。

建议您遵循下列准则：

• 在外围网络中的中介服务器和 VPN 路由器之间设置虚拟 LAN (VLAN) (也称为 DMZ、非军事化区域和受屏蔽子网) 。

• 不允许将广播数据包或多播数据包从路由器传输到 VLAN。

• 阻止将流量从路由器路由到中介服务器之外的任何位置的任何路由规则。

如果使用 VPN 服务器，建议您遵循下列准则：

• 在 VPN 服务器和中介服务器之间设置 VLAN。

• 不允许将广播数据包或多播数据包从 VPN 服务器传输到 VLAN。

• 阻止将 VPN 服务器流量路由到中介服务器之外的任何位置的任何路由规则。

• 使用基本路由封装 (GRE) 加密 VPN 上的数据。