Поделиться через


Сводка по портам — единая консолидированная пограничная топология с закрытыми IP-адресами и трансляцией сетевых адресов в Lync Server 2013

 

Последнее изменение раздела: 2013-04-03

Функциональные возможности Lync Server 2013, edge Server, описанные в этой архитектуре сценария, очень похожи на функции, реализованные в Lync Server 2010. Наиболее заметным дополнением является порт 5269 через запись TCP для расширяемого протокола обмена сообщениями и присутствия (XMPP). При необходимости Lync Server 2013 развертывает прокси-сервер XMPP на пограничном сервере или в пограничном пуле, а сервер шлюза XMPP — на сервере переднего плана или в пуле переднего плана.

В дополнение к протоколу IPv4 пограничный сервер теперь поддерживает протокол IPv6. Для ясности в сценариях используется только протокол IPv4.

Сетевой периметр для одного консолидированного пограничного сервера с частным IP-адресированием с помощью NAT

f8c144c5-e5fb-498a-823e-eb39f26b6847

Сведения о портах и протоколах

Рекомендуется открывать только порты, необходимые для поддержки функций, для которых предоставляется внешний доступ.

Для удаленного доступа к любой пограничной службе необходимо, чтобы трафик SIP был разрешен двунаправленно, как показано на рисунке входящего и исходящего пограничного трафика. Другой способ: обмен сообщениями SIP в службу Access Edge и из нее участвует в обмене мгновенными сообщениями, присутствии, веб-конференции, аудио- и видеосвязи (A/V) и федерации.

Сводка брандмауэра для одного консолидированного пограничного сервера с частными IP-адресами с помощью NAT: внешний интерфейс

Role/Protocol/TCP, UDP/Port IP-адрес источника IP-адрес назначения Примечания.

XMPP/TCP/5269

Любой

Служба прокси-сервера XMPP (предоставляет IP-адрес службе Access Edge)

Прокси-служба XMPP принимает трафик от контактов XMPP в определенных федерациях XMPP.

Access/HTTP/TCP/80

Пограничное пограничное управление доступом к серверу

Любой

Отзыв сертификата или проверка crl и извлечение

Access/DNS/TCP/53

Пограничное пограничное управление доступом к серверу

Любой

Запрос DNS по протоколу TCP

Access/DNS/UDP/53

Пограничное пограничное управление доступом к серверу

Любой

Запрос DNS по протоколу UDP

Access/SIP(TLS)/TCP/443

Любой

Пограничное пограничное управление доступом к серверу

Трафик SIP между клиентами и серверами для доступа внешних пользователей

Access/SIP(MTLS)/TCP/5061

Любой

Пограничное пограничное управление доступом к серверу

Для федеративного и общедоступного обмена мгновенными сообщениями с помощью SIP

Access/SIP(MTLS)/TCP/5061

Пограничное пограничное управление доступом к серверу

Любой

Для федеративного и общедоступного обмена мгновенными сообщениями с помощью SIP

Веб-конференции/PSOM(TLS)/TCP/443

Любой

Edge Server Web Conferencing Edge service

Носитель веб-конференций

A/V/RTP/TCP/50,000-59,999

Пограничный сервер A/V пограничной службы

Любой

Требуется для федерации с партнерами, работающими под управлением Office Communications Server 2007, Office Communications Server 2007 R2, Lync Server 2010 и Lync Server 2013.

A/V/RTP/UDP/50,000-59,999

Пограничный сервер A/V пограничной службы

Любой

Требуется только для федерации с партнерами, работающими под управлением Office Communications Server 2007.

A/V/RTP/TCP/50,000-59,999

Любой

Пограничный сервер A/V пограничной службы

Требуется только для федерации с партнерами, работающими под управлением Office Communications Server 2007

A/V/RTP/UDP/50,000-59,999

Любой

Пограничный сервер A/V пограничной службы

Требуется только для федерации с партнерами, работающими под управлением Office Communications Server 2007

A/V/STUN,MSTURN/UDP/3478

Пограничный сервер A/V пограничной службы

Любой

Исходящий трафик 3478 используется для определения версии пограничного сервера, с которую взаимодействует Lync Server, а также для трафика мультимедиа с пограничного сервера на пограничный сервер. Требуется для федерации с Lync Server 2010, Windows Live Messenger и Office Communications Server 2007 R2, а также при развертывании нескольких пограничных пулов в компании.

A/V/STUN,MSTURN/UDP/3478

Любой

Пограничный сервер A/V пограничной службы

Согласование кандидатов по протоколу STUN/TURN по протоколу UDP/3478

A/V/STUN,MSTURN/TCP/443

Любой

Пограничный сервер A/V пограничной службы

Согласование кандидатов по протоколу STUN/TURN по протоколу TCP/443

A/V/STUN,MSTURN/TCP/443

Пограничный сервер A/V пограничной службы

Любой

Согласование кандидатов по протоколу STUN/TURN по протоколу TCP/443

Сводка по брандмауэру для одного консолидированного пограничного сервера с частными IP-адресами с использованием NAT: внутренний интерфейс

Протокол, TCP или UDP/порт IP-адрес источника IP-адрес назначения Комментарии

XMPP/MTLS/TCP/23456

Любой (может быть определен как IP-адрес сервера Standard Edition, IP-адрес сервера Standard Edition или IP-адрес пула под управлением службы шлюза XMPP).

Внутренний интерфейс пограничного сервера

Исходящий трафик XMPP из службы шлюза XMPP, работающей на сервере переднего плана или в пуле переднего плана

SIP/MTLS/TCP/5061

Любой (может быть определен как "Директор", "IP-адрес пула директоров", "Сервер переднего плана" или "IP-адрес пула переднего плана").

Внутренний интерфейс пограничного сервера

Исходящий трафик SIP (от каталога, IP-адреса пула директоров, интерфейсного сервера или интерфейсного пула) к внутреннему интерфейсу пограничного сервера

SIP/MTLS/TCP/5061

Внутренний интерфейс пограничного сервера

Любой (может быть определен как "Директор", "IP-адрес пула директоров", "Сервер переднего плана" или "IP-адрес пула переднего плана").

Входящий трафик SIP (к директору, IP-адресу пула директоров, серверу переднего плана или IP-адресу пула переднего плана) из внутреннего интерфейса пограничного сервера

PSOM/MTLS/TCP/8057

Любой (может быть определен как IP-адрес сервера переднего плана или каждый IP-адрес переднего плана в пуле переднего плана)

Внутренний интерфейс пограничного сервера

Трафик веб-конференций с сервера переднего плана или каждого интерфейсного сервера, если он есть в пуле, на внутренний интерфейс пограничного сервера

SIP/MTLS/TCP/5062

Любой (может быть определен как IP-адрес сервера переднего плана, IP-адрес пула переднего плана или любое устройство для обеспечения связи филиала или сервер филиала, использующий этот пограничный сервер).

Внутренний интерфейс пограничного сервера

Проверка подлинности пользователей A/V (служба проверки подлинности A/V) с IP-адреса интерфейсного сервера или пула переднего плана или любого устройства обеспечения связи филиала или сервера филиала с помощью этого пограничного сервера

STUN/MSTURN/UDP/3478

Любой

Внутренний интерфейс пограничного сервера

Предпочтительный путь для передачи мультимедиа A/V между внутренними и внешними пользователями, устройством для обеспечения связи филиала или сервером ветвей связи

STUN/MSTURN/TCP/443

Любой

Внутренний интерфейс пограничного сервера

Резервный путь для передачи мультимедиа A/V между внутренними и внешними пользователями, устройством обеспечения связи в филиале или сервером филиала, если не удается установить связь по протоколу UDP, протокол TCP используется для передачи файлов и общего доступа к рабочему столу.

HTTPS/TCP/4443

Любой (может быть определен как IP-адрес сервера переднего плана или пул, содержащий центральное хранилище управления)

Внутренний интерфейс пограничного сервера

Репликация изменений из центрального хранилища управления на пограничный сервер

MTLS/TCP/50001

Любой

Внутренний интерфейс пограничного сервера

Централизованный контроллер службы ведения журнала с помощью командной консоли Lync Server и командлетов централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и сбора журналов

MTLS/TCP/50002

Любой

Внутренний интерфейс пограничного сервера

Централизованный контроллер службы ведения журнала с помощью командной консоли Lync Server и командлетов централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и сбора журналов

MTLS/TCP/50003

Любой

Внутренний интерфейс пограничного сервера

Централизованный контроллер службы ведения журнала с помощью командной консоли Lync Server и командлетов централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и сбора журналов

Сводка по брандмауэру для федерации

Role/Protocol/TCP, UDP/Port IP-адрес источника IP-адрес назначения Примечания.

Access/SIP(MTLS)/TCP/5061

Общедоступный IP-адрес службы Access Edge

Любой

Для федеративного и общедоступного обмена мгновенными сообщениями с помощью SIP

Сводка по брандмауэру — подключение к общедоступному обмену мгновенными сообщениями

Role/Protocol/TCP, UDP/Port IP-адрес источника IP-адрес назначения Примечания.

Access/SIP(MTLS)/TCP/5061

Партнеры по подключению к общедоступному обмену мгновенными сообщениями

Пограничное пограничное управление доступом к серверу

Для федеративного и общедоступного обмена мгновенными сообщениями с помощью SIP

Access/SIP(MTLS)/TCP/5061

Пограничное пограничное управление доступом к серверу

Партнеры по подключению к общедоступному обмену мгновенными сообщениями

Для федеративного и общедоступного обмена мгновенными сообщениями с помощью SIP

Access/SIP(TLS)/TCP/443

Клиенты

Пограничное пограничное управление доступом к серверу

Трафик SIP между клиентами и серверами для доступа внешних пользователей

A/V/RTP/TCP/50,000-59,999

Пограничный сервер A/V пограничной службы

Клиенты Live Messenger

Используется для сеансов A/V с Windows Live Messenger, если настроено общедоступное подключение для обмена мгновенными сообщениями.

A/V/STUN,MSTURN/UDP/3478

Пограничный сервер A/V пограничной службы

Клиенты Live Messenger

Требуется для подключения к общедоступному обмену мгновенными сообщениями с Windows Live Messenger

A/V/STUN,MSTURN/UDP/3478

Клиенты Live Messenger

Пограничный сервер A/V пограничной службы

Требуется для подключения к общедоступному обмену мгновенными сообщениями с Windows Live Messenger

Сводка по брандмауэру для расширяемого протокола обмена сообщениями и присутствия

Протокол, TCP или UDP/порт Источник (IP-адрес) Назначение (IP-адрес) Комментарии

XMPP/TCP/5269

Любой

IP-адрес интерфейса пограничного интерфейса пограничной службы для доступа к пограничному серверу

Стандартный порт связи между серверами для XMPP. Разрешает обмен данными с прокси-сервером XMPP пограничного сервера от федеративных партнеров XMPP

XMPP/TCP/5269

IP-адрес интерфейса пограничного интерфейса пограничной службы для доступа к пограничному серверу

Любой

Стандартный порт связи между серверами для XMPP. Разрешает обмен данными с прокси-сервера XMPP пограничного сервера с федеративными партнерами XMPP.

XMPP/MTLS/TCP/23456

Любой

Каждый внутренний IP-адрес интерфейса пограничного сервера

Внутренний трафик XMPP из шлюза XMPP на сервере переднего плана или пуле переднего плана на внутренний IP-адрес пограничного сервера или внутренний IP-адрес каждого участника пограничного пула