參考架構 1:單一合併邊緣的連接埠摘要
上次修改主題的時間: 2012-11-02
本參考架構中所說明的 Lync Server 2010 Edge Server 功能,非常類似於在 Office Communications Server 2007 R2 中首度推出的功能,差別之處在於:
連接埠 8080 用於將反向 Proxy 內部介面的流量路由傳送至集區虛擬 IP (VIP)。此連接埠為選用,可供執行 Lync 的行動裝置在不適合修改外部 Web 服務發行規則憑證的情況下 (例如具有大量 SIP 網域時),用來尋找自動探索服務。
連接埠 4443 可將來自反向 Proxy 內部介面的流量路由至集區 VIP
連接埠 4443 可將來自集區前端的流量路由至 Edge 內部介面
50,000 – 59,999 連接埠範圍有數種選項可使用,但下圖也列出與舊版 Office Communications Server 間的交互操作性方面常見的設定,供您參考。如需設定此連接埠範圍選項的詳細資訊,請參閱<決定外部 A/V 防火牆和連接埠需求>。
單一合併式 Edge 的企業周邊網路
在閱讀下列表格時,請將「(輸入)」 解讀為從較不受信任的網路流向較受信任的網路的流量,例如「網際網路到周邊網路」或「周邊網路到公司網路」。例如,從網際網路到 Edge 外部介面的流量,或是從 Edge 內部介面到下一個躍點集區的流量,皆屬此類流量。「(輸出)」 則是指從較受信任的網路流向較不受信任的網路的流量,例如「公司網路到周邊網路」或「周邊網路到網際網路」。例如,從公司集區到 Edge 內部介面的流量,或是從 Edge 外部介面到網際網路的流量,皆屬此類流量。而「(輸入/輸出)」 則是指雙向流動的流量。
輸入/輸出 Edge 流量
建議您僅針對要提供給外部存取的功能,開啟支援所需的連接埠。
若要啟用任何 Edge Service 的遠端存取,則必須允許 SIP 流量雙向流動,如輸入/輸出 Edge 流量圖中所說明。換句話說,Access Edge Service 會涉及立即訊息 (IM)、顯示狀態、Web 會議與音訊/視訊 (A/V) 等功能。
使用 DNS 負載平衡之單一/調整式合併 Edge 的防火牆摘要:外部介面
通訊協定/連接埠 | 用途 | ||
---|---|---|---|
HTTP 80 (輸出) |
檢查憑證撤銷清單 |
||
DNS 53 (輸出) |
外部 DNS 查詢 |
||
SIP/TLS/443 (輸入) |
遠端使用者存取從用戶端到伺服器的 SIP 流量 |
||
SIP/MTLS/5061 (輸入/輸出) |
主控的 Exchange 服務的同盟與連線 |
||
PSOM/TLS/443 (輸入) |
遠端使用者以匿名與同盟使用者的身分存取會議 |
||
RTP/TCP/50K 範圍 (輸入) |
媒體交換 (如需詳細資訊,請參閱決定外部 A/V 防火牆和連接埠需求) 進行 Office Communications Server 2007 的交互操作必須使用 |
||
RTP/TCP/50K 範圍 (輸出) |
媒體交換 (如需詳細資訊,請參閱決定外部 A/V 防火牆和連接埠需求) 進行 Office Communications Server 2007 的交互操作必須使用 進行 Office Communications Server 2007 R2 桌面共用與同盟時必須使用 進行 Lync Server 2010 應用程式共用和檔案傳輸時必須使用 Windows Live Messenger 的 A/V 功能
|
||
RTP/UDP/50K 範圍 (輸入) |
媒體交換 (如需詳細資訊,請參閱〈決定外部 A/V 防火牆和連接埠需求〉) 進行 Office Communications Server 2007 的交互操作必須使用 |
||
RTP/UDP/50K 範圍 (輸出) |
媒體交換 (如需詳細資訊,請參閱〈決定外部 A/V 防火牆和連接埠需求〉) 進行 Office Communications Server 2007 的交互操作必須使用 |
||
STUN/MSTURN/UDP/3478 (輸入/輸出) |
外部使用者存取 A/V 工作階段 (UDP) |
||
STUN/MSTURN/TCP/443 (輸入) |
外部使用者存取 A/V 工作階段與媒體 (TCP) |
使用 DNS 負載平衡之單一/調整式合併 Edge 的防火牆詳細資料:內部介面
通訊協定/連接埠 | 用途 |
---|---|
SIP/MTLS/5061 (輸入/輸出) |
SIP流量 |
PSOM/MTLS/8057 (輸出) |
從集區到 Edge Server 的 Web 會議流量 |
SIP/MTLS/5062 (輸出) |
A/V 使用者驗證 (A/V 驗證服務) |
STUN/MSTURN/UDP/3478 (輸出) |
內部與外部使用者之間媒體傳輸的慣用路徑 (UDP) |
STUN/MSTURN/TCP/443 (輸出) |
內部與外部使用者之間媒體傳輸的替代路徑 (TCP) |
HTTPS 4443 (輸出) |
將中央管理存放區更新發送至 Edge Server |
反向 Proxy 伺服器的防火牆詳細資料:外部介面
通訊協定/連接埠 | 用途 |
---|---|
HTTP 80 (輸入) |
(選擇性) 在使用者不慎輸入 http://<發佈的網站 FQDN> 時重新導向至 HTTPS。 在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,也會需要此項目。 |
HTTPS 443 (輸入) |
通訊錄下載、通訊錄 Web 查詢服務、用戶端更新、會議內容、裝置更新、群組擴充、電話撥入式會議與會議。 |
反向 Proxy 伺服器的防火牆詳細資料:內部介面
通訊協定/連接埠 | 用途 |
---|---|
HTTP 8080 (輸入) |
在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,會需要此項目。 傳送至反向 Proxy 外部介面之連接埠 80 的流量,會從反向 Proxy 內部介面重新導向至連接埠 8080 上的集區,讓集區 Web 服務能夠區分此類流量與內部 Web 流量。 |
HTTPS 4443 (輸入) |
傳送至反向 Proxy 外部介面之連接埠 443 的流量,會從反向 Proxy 內部介面重新導向至連接埠 4443 上的集區,讓集區 Web 服務能夠區分此類流量與內部 Web 流量。 |
附註: |
---|
在閱讀上述表格時,請將 (輸入) 解讀為從較不受信任的網路流向較受信任的網路的流量,例如「網際網路到周邊網路」或「周邊網路到公司網路」。例如,從網際網路到反向 Proxy 外部介面的流量,或是從反向 Proxy 內部介面到 Standard Edition 集區或與前端集區相關聯之硬體負載平衡器 VIP 的流量,均屬此類流量。 |
單一合併式 Edge 拓撲所需的外部連接埠設定
Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
---|---|---|---|---|---|---|---|
存取 |
10.45.16.10 |
任何一個 |
任何一個 |
80 |
TCP |
HTTP |
|
存取 |
10.45.16.10 |
任何一個 |
任何一個 |
53 |
UDP |
DNS |
|
存取 |
任何一個 |
任何一個 |
10.45.16.10 |
443 |
TCP |
SIP (TLS) |
外部使用者存取從用戶端到伺服器的 SIP 流量 |
存取 |
任何一個 |
任何一個 |
10.45.16.10 |
5061 |
TCP |
SIP (MTLS) |
適用於使用 SIP 的同盟與公用 IM 連線 |
存取 |
10.45.16.10 |
任何一個 |
任何一個 |
5061 |
TCP |
SIP (MTLS) |
適用於使用 SIP 的同盟與公用 IM 連線 |
Web 會議 |
任何一個 |
任何一個 |
10.45.16.20 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.30 |
50,000 – 59,999 |
任何一個 |
443 |
TCP |
RTP |
與執行 Office Communications Server 2007 R2 的協力廠商同盟進行桌面共用,以及涉及多個 A/V Edge Service 通話方 (例如:在同公司中的使用者) 但使用不同 Edge Server 或集區時,也必須使用。 此外,與 Lync Server 2010 同盟使用者進行應用程式共用或檔案傳輸,以及透過 Windows Live Messenger 執行 A/V 工作階段時,也必須使用。 如果外部使用者由於來源 (用戶端) 限制或其他條件而無法使用 UDP 3478 規則時,也會使用此連接埠範圍與規則。 |
A/V |
10.45.16.30 |
50,000 – 59,999 |
任何一個 |
任何一個 |
UDP |
RTP |
只有與仍執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
任何一個 |
任何一個 |
10.45.16.30 |
50,000 – 59,999 |
TCP |
RTP |
只有與仍執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
任何一個 |
任何一個 |
10.45.16.30 |
50,000 – 59,999 |
UDP |
RTP |
只有與仍執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
10.45.16.30 |
3478 |
任何一個 |
3478 |
UDP |
STUN/MSTURN |
「3478 輸出」可用來判斷與 Lync Server 2010 通訊的 Edge Server 版本,並且可用於不同 Edge Server 間的媒體流量。 在與 Lync Server 2010 進行同盟、使用 Windows Live Messenger 與 Office Communications Server 2007 R2 時,以及在公司中部署了多個 Edge 集區時,必須要使用。 |
A/V |
任何一個 |
任何一個 |
10.45.16.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
任何一個 |
任何一個 |
10.45.16.30 |
443 |
TCP |
STUN/MSTURN |
|
反向 Proxy:N/A |
任何一個 |
任何一個 |
10.45.16.40 |
80 |
TCP |
HTTP |
(選擇性) 可用來將 http 流量重新導向至 https。 在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,也會需要此項目。 |
反向 Proxy:N/A |
任何一個 |
任何一個 |
10.45.16.40 |
443 |
TCP |
HTTPS |
單一合併式 Edge 拓撲所需的內部連接埠設定
Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
---|---|---|---|---|---|---|---|
存取 |
172.25.33.10 |
任何一個 |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
目的地將是下一個躍點伺服器。在參考架構的案例中,此為兩個集區前端伺服器的 IP 位址。 |
存取 |
192.168.10.90 192.168.10.91 |
任何一個 |
172.25.33.10 |
5061 |
TCP |
SIP (MTLS) |
來源將是下一個躍點伺服器。在參考架構的案例中,此為兩個集區前端伺服器的 IP 位址。 |
存取 |
192.168.10.90 192.168.10.91 |
任何一個 |
172.25.33.10 |
4443 |
TCP |
HTTPS |
供複寫代理程式進行中央管理存放區複寫,包括所有的前端伺服器。 |
Web 會議 |
任何一個 |
任何一個 |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 任何 Survivable Branch Appliance 或 Survivable Branch 伺服器 |
任何一個 |
172.25.33.10 |
5062 |
TCP |
SIP (MTLS) |
包括使用這項特殊 A/V 驗證服務的所有前端伺服器。 |
A/V |
任何一個 |
任何一個 |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
任何一個 |
任何一個 |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
|
反向 Proxy:N/A |
172.25.33.40 |
任何一個 |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(選擇性) 在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,會需要此項目。 |
反向 Proxy:N/A |
172.25.33.40 |
任何一個 |
192.168.10.190 |
4443 |
TCP |
HTTPS |