Topologien für das SIP-Trunking
Letztes Änderungsdatum des Themas: 2012-01-24
Die folgende Abbildung zeigt die Topologie für das SIP-Trunking in Lync Server 2010.
Topologie für das SIP-Trunking
.jpg "Topologie für das SIP-Trunking")
Wie in der Abbildung gezeigt, wird das virtuelle private IP-Netzwerk (IP-VPN) für die Verbindungen zwischen dem Unternehmensnetzwerk und dem PSTN-Dienstanbieter verwendet. Mit diesem privaten Netzwerk sollen IP-Verbindungen, erweiterte Sicherheit und (optional) Garantien für die Dienstqualität geboten werden. Aufgrund der Merkmale eines VPNs ist es nicht erforderlich, TLS für den SIP-Signaldatenverkehr oder SRTP für den Mediendatenverkehr zu verwenden. Die Verbindungen zwischen dem Unternehmen und dem Dienstanbieter bestehen deshalb aus einfachen TCP-Verbindungen für SIP-Datenverkehr und einfachen RTP-Verbindungen (über UDP) für Mediendatenverkehr, der durch ein IP-VPN getunnelt werden kann. Stellen Sie sicher, dass alle Firewalls zwischen den VPN-Routern offene Ports aufweisen, damit die VPN-Router kommunizieren können. Zudem müssen die IP-Adressen der externen Edgeschnittstellen der VPN-Router öffentlich routingfähig sein.
.gif "important") Wichtig: |
|---|
| Kontaktieren Sie Ihren Dienstanbieter, um zu ermitteln, ob er Unterstützung für hohe Verfügbarkeit (einschließlich Failover) bietet. Wenn ja, müssen Sie die erforderlichen Vorgehensweisen zum Einrichten von hoher Verfügbarkeit ermitteln. Müssen Sie z. B. nur eine IP-Adresse und einen SIP-Trunk auf jedem Vermittlungsserver konfigurieren, oder müssen auf jedem Vermittlungsserver mehrere SIP-Trunks konfiguriert werden? Wenn Sie über mehr als einen zentraler Standort verfügen, fragen Sie den Dienstanbieter zudem, ob Verbindungen zwischen den zentraler Standorten hergestellt werden können. |
.gif "note") Hinweis: |
|---|
| Für SIP-Trunking wird die Bereitstellung eines eigenständigen Vermittlungsservers dringend empfohlen. Ausführliche Informationen finden Sie unter Bereitstellen von Vermittlungsservern und Definieren von Peers in der Bereitstellungsdokumentation. |
Schützen des Vermittlungsservers für das SIP-Trunking
Aus Sicherheitsgründen sollten Sie ein virtuelles LAN (VLAN) für jede Verbindung zwischen den zwei VPN-Routern einrichten. Die tatsächliche Vorgehensweise zum Einrichten eines VLANs variiert abhängig vom Routerhersteller. Ausführliche Informationen erhalten Sie von Ihrem Routeranbieter.
Sie sollten die folgenden Richtlinie befolgen:
Richten Sie ein virtuelles LAN (VLAN) zwischen dem Vermittlungsserver und dem VPN-Router im Umkreisnetzwerk ein (auch als Demilitarized Zone, DMZ, und überwachtes Subnetz bezeichnet).
Lassen Sie keine Übertragung von Broadcast- oder Multicastpaketen vom Router in das VLAN zu.
Blockieren Sie alle Routingregeln, über die Datenverkehr vom Router an ein anderes Ziel als den Vermittlungsserver weitergeleitet wird.
Bei Verwendung eines VPN-Servers sollten Sie die folgenden Richtlinie befolgen:
Richten Sie ein VLAN zwischen dem VPN-Server und dem Vermittlungsserver ein.
Lassen Sie keine Übertragung von Broadcast- oder Multicastpaketen vom VPN-Server in das VLAN zu.
Blockieren Sie alle Routingregeln, über die Datenverkehr vom VPN-Server an ein anderes Ziel als den Vermittlungsserver weitergeleitet wird.
Verschlüsseln Sie Daten im VPN mithilfe von GRE (Generic Routing Encapsulation).