Architecture de référence 1 : résumé des ports pour la topologie Edge consolidée unique
Dernière rubrique modifiée : 2012-11-02
La fonctionnalité de serveur Edge de Lync Server 2010 décrite dans cette architecture de référence est très similaire à celle de Office Communications Server 2007 R2, à quelques exceptions près :
Le port 8080 sert à router le trafic depuis l’interface interne du proxy inverse vers l’adresse IP virtuelle du pool. Il est facultatif et peut être utilisé par les appareils mobiles exécutant Lync pour trouver le service de découverte automatique dans les situations où la modification du certificat de règle de publication du service web externe n’est pas souhaitable (par exemple si vous avez un grand nombre de domaines SIP).
le port 4443 sert à acheminer le trafic de l’interface interne du proxy inverse vers l’adresse VIP ;
le port 4443 sert à acheminer le trafic du pool frontal vers l’interface interne Edge.
Bien que plusieurs options existent pour la plage de ports 50 000 à 59 999, l’illustration suivante montre la configuration courante pour l’interopérabilité avec les versions précédentes d’Office Communications Server. Pour plus d’informations sur les options de configuration de cette plage de ports, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports.
Réseau de périmètre d’entreprise pour une topologie Edge unique consolidée
.jpg "Diagramme de réseau de périmètre de serveur Edge consolidé unique")
Dans les tableaux suivants, (entrant) se réfère au trafic provenant d’un réseau dont la relation de confiance est plus faible vers un réseau dont la relation de confiance est plus élevée (Internet vers réseau périmètre ou réseau de périmètre vers réseau d’entreprise). Par exemple, le trafic provenant d’Internet vers l’interface externe Edge ou de l’interface interne Edge vers le pool du tronçon suivant. (sortant) se réfère au trafic provenant d’un réseau dont la relation de confiance est plus élevée vers un réseau dont la relation de confiance est plus faible (réseau d’entreprise vers réseau de périmètre ou réseau de périmètre vers Internet). Par exemple, le trafic provenant d’un pool d’entreprise vers l’interface interne Edge ou de l’interface externe Edge vers Internet. Enfin, (entrant/sortant) se réfère au trafic allant dans les deux sens.
Trafic Edge bidirectionnel
.jpg "Diagramme entrée/sortie Edge")
Nous vous recommandons de n’ouvrir que les ports nécessaires à la prise en charge de la fonctionnalité pour laquelle vous autorisez l’accès externe.
Pour l’accès distant à un service Edge, il est obligatoire d’autoriser le trafic SIP à circuler dans les deux sens, comme le montre l’illustration « Trafic Edge bidirectionnel ». En d’autres termes, le service d’accès Edge intervient dans la messagerie instantanée, la présence, la conférence web ainsi que l’audio et la vidéo (A/V).
Résumé de la configuration de pare-feu requise pour la topologie Edge unique/mise à l’échelle consolidée (avec charge DNS équilibrée) : interface externe
| Protocole/port | Utilisé pour | ||
|---|---|---|---|
HTTP 80 (sortant) |
Vérification des listes de révocation des certificats |
||
DNS 53 (sortant) |
Requêtes DNS externes |
||
SIP/TLS/443 (entrant) |
Trafic SIP client vers serveur pour l’accès des utilisateurs distants |
||
SIP/MTLS/5061 (entrant/sortant) |
Fédération et connectivité avec un service Exchange hébergé |
||
PSOM/TLS/443 (entrant) |
Accès distant aux conférences pour les utilisateurs anonymes et fédérés |
||
RTP/TCP/plage 50K (entrant) |
Échanges multimédias (pour plus d’informations, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports) Requis pour l’interopérabilité avec Office Communications Server 2007 |
||
RTP/TCP/plage 50K (sortant) |
Échanges multimédias (pour plus d’informations, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports) Requis pour l’interopérabilité avec Office Communications Server 2007 Requis pour le partage du Bureau et la fédération avec Office Communications Server 2007 R2 Requis pour le partage d’application et le transfert de fichiers avec Lync Server 2010 A/V avec Windows Live Messenger
|
||
RTP/UDP/plage 50K (entrant) |
Échanges multimédias (pour plus d’informations, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports) Requis pour l’interopérabilité avec Office Communications Server 2007 |
||
RTP/UDP/plage 50K (sortant) |
Échanges multimédias (pour plus d’informations, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports) Requis pour l’interopérabilité avec Office Communications Server 2007 |
||
STUN/MSTURN/UDP/3478 (entrant/sortant) |
Accès des utilisateurs externes aux sessions A/V (UDP) |
||
STUN/MSTURN/TCP/443 (entrant/sortant) |
Accès des utilisateurs externes aux sessions A/V et multimédias (TCP) |
Informations sur le pare-feu pour la topologie Edge unique/mise à l’échelle consolidée (avec charge DNS équilibrée) : interface interne
| Protocole/port | Utilisé pour |
|---|---|
SIP/MTLS/5061 (entrant/sortant) |
Trafic SIP |
PSOM/MTLS/8057 (sortant) |
Trafic de conférence web du pool vers le serveur Edge |
SIP/MTLS/5062 (sortant) |
Authentification des utilisateurs A/V (service d’authentification A/V) |
STUN/MSTURN/UDP/3478 (sortant) |
Chemin préféré pour les transferts multimédias entre utilisateurs internes et externes (UDP) |
STUN/MSTURN/TCP/443 (sortant) |
Autre chemin d’accès pour les transferts multimédias entre utilisateurs internes et externes (UDP) |
HTTPS 4443 (sortant) |
Transmission des mises à jour magasin central de gestion aux serveurs Edge |
Informations sur le pare-feu pour le serveur proxy inverse : interface externe
| Protocole/port | Utilisé pour |
|---|---|
HTTP 80 (entrant) |
(Facultatif) Redirection vers HTTPS si l’utilisateur entre par inadvertance http://<NomDeDomaineCompletSitePublié> Également requis en cas d’utilisation du service de découverte automatique pour les appareils mobiles exécutant Lync dans les situations où l’organisation ne souhaite pas modifier le certificat de règle de publication du service web externe. |
HTTPS 443 (entrant) |
Téléchargement de carnets d’adresses, service de requête web du carnet d’adresses, mises à jour de clients, contenu de réunions, mises à jour de périphériques, développement de groupes, conférences rendez-vous et réunions |
Informations sur le pare-feu pour le serveur proxy inverse : interface interne
| Protocole/port | Utilisé pour |
|---|---|
HTTP 8080 (entrant) |
Requis en cas d’utilisation du service de découverte automatique pour les appareils mobiles exécutant Lync dans les situations où l’organisation ne souhaite pas modifier le certificat de règle de publication du service web externe. Le trafic envoyé vers le port 80 sur l’interface externe du proxy inverse est réacheminé vers un pool sur le port 8080 à partir de l’interface interne du proxy inverse. Ainsi, les services web du pool peuvent faire la distinction par rapport au trafic web interne. |
HTTPS 4443 (entrant) |
Le trafic envoyé vers le port 443 sur l’interface externe du proxy inverse est réacheminé vers un pool sur le port 4443 à partir de l’interface interne du proxy inverse. Ainsi, les services web du pool peuvent faire la distinction par rapport au trafic web interne. |
.gif "note") Remarque : |
|---|
| Dans les tableaux précédents, (entrant) se réfère au trafic provenant d’un réseau dont la relation de confiance est plus faible vers un réseau dont la relation de confiance est plus élevée (Internet vers réseau de périmètre ou réseau de périmètre vers réseau d’entreprise). Par exemple, le trafic allant d’Internet vers l’interface externe du proxy inverse ou allant de l’interface interne du proxy inverse vers un pool Standard Edition Server ou l’adresse VIP d’un programme d’équilibrage de la charge matérielle associé à un pool frontal. |
Paramètres des ports externes requis pour une topologie Edge unique consolidée
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Accès |
10.45.16.10 |
Indifférent |
Indifférente |
80 |
TCP |
HTTP |
|
Accès |
10.45.16.10 |
Indifférent |
Indifférente |
53 |
UDP |
DNS |
|
Accès |
Indifférente |
Indifférent |
10.45.16.10 |
443 |
TCP |
SIP (TLS) |
Trafic SIP client vers serveur pour l’accès des utilisateurs externes |
Accès |
Indifférente |
Indifférent |
10.45.16.10 |
5061 |
TCP |
SIP (MTLS) |
Pour la connectivité fédérée et PIC avec SIP |
Accès |
10.45.16.10 |
Indifférent |
Indifférente |
5061 |
TCP |
SIP (MTLS) |
Pour la connectivité fédérée et PIC avec SIP |
Conférence web |
Indifférente |
Indifférent |
10.45.16.20 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.30 |
50,000 – 59,999 |
Indifférente |
443 |
TCP |
RTP |
Requis pour le partage de bureau, ou la fédération avec les partenaires qui exécutent Office Communications Server 2007 R2 et quand plusieurs service Edge A/V sont utilisés pour l’appel, par exemple des utilisateurs de la même société, qui utilisent des serveurs Edge ou des pools différents. Également requis pour le partage d’application ou le transfert de fichiers avec des utilisateurs Lync Server 2010 fédérés et les sessions A/V avec Windows Live Messenger. Cette plage de ports et cette règle sont également utilisées si l’utilisateur externe ne peut pas utiliser la règle UDP 3478 en raison de restrictions ou d’autres conditions de la source (client). |
A/V |
10.45.16.30 |
50,000 – 59,999 |
Indifférent |
Indifférente |
UDP |
RTP |
Requis pour la fédération avec des partenaires exécutant toujours Office Communications Server 2007. |
A/V |
Indifférent |
Indifférente |
10.45.16.30 |
50,000 – 59,999 |
TCP |
RTP |
Requis pour la fédération avec des partenaires exécutant toujours Office Communications Server 2007. |
A/V |
Indifférent |
Indifférente |
10.45.16.30 |
50,000 – 59,999 |
UDP |
RTP |
Requis pour la fédération avec des partenaires exécutant toujours Office Communications Server 2007. |
A/V |
10.45.16.30 |
3478 |
Indifférent |
3478 |
UDP |
STUN/MSTURN |
Le port 3478 sortant est utilisé pour déterminer la version d’Edge Server avec laquelle Lync Server 2010 communique et pour le trafic multimédia d’Edge Server vers Edge Server. Requis pour la fédération avec Lync Server 2010, Windows Live Messenger et Office Communications Server 2007 R2, et aussi si plusieurs pools Edge sont déployés dans l’entreprise. |
A/V |
Indifférente |
Indifférente |
10.45.16.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Indifférent |
Indifférente |
10.45.16.30 |
443 |
TCP |
STUN/MSTURN |
|
Proxy inverse : N/A |
Indifférente |
Indifférent |
10.45.16.40 |
80 |
TCP |
HTTP |
(Facultatif) Peut être utilisé pour rediriger le trafic http vers https. Également requis en cas d’utilisation du service de découverte automatique pour les appareils mobiles exécutant Lync dans les situations où l’organisation ne souhaite pas modifier le certificat de règle de publication du service web externe. |
Proxy inverse : N/A |
Indifférent |
Indifférent |
10.45.16.40 |
443 |
TCP |
HTTPS |
Paramètres de ports internes requis pour une topologie Edge unique consolidée
| Rôle Edge | Adresse IP source | Port source | Adresse IP de destination | Port de destination | Transport | Application | Remarques |
|---|---|---|---|---|---|---|---|
Accès |
172.25.33.10 |
Indifférent |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
La destination sera le(s) serveur(s) de tronçon suivant(s). Dans le contexte de l’architecture de référence, il s’agit des adresses IP des deux pools frontaux. |
Accès |
192.168.10.90 192.168.10.91 |
Indifférent |
172.25.33.10 |
5061 |
TCP |
SIP (MTLS) |
La source sera le(s) serveur(s) de tronçon suivant(s). Dans le contexte de l’architecture de référence, il s’agit des adresses IP des deux pools frontaux. |
Accès |
192.168.10.90 192.168.10.91 |
Indifférent |
172.25.33.10 |
4443 |
TCP |
HTTPS |
Utilisé par l’agent de réplication pour la réplication magasin central de gestion, inclut tous les serveurs frontaux. |
Conférence web |
Indifférente |
Indifférent |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 Des serveurs Survivable Branch Appliance ou des serveurs Survivable Branch Server |
Indifférent |
172.25.33.10 |
5062 |
TCP |
SIP (MTLS) |
Inclut tous les serveurs frontaux à l’aide de ce service d’authentification A/V particulier. |
A/V |
Indifférent |
Indifférent |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Indifférente |
Indifférent |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
|
Proxy inverse : N/A |
172.25.33.40 |
Indifférent |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(Facultatif) Requis en cas d’utilisation du service de découverte automatique pour les appareils mobiles exécutant Lync dans les situations où l’organisation ne souhaite pas modifier le certificat de règle de publication du service web externe. |
Proxy inverse : N/A |
172.25.33.40 |
Indifférent |
192.168.10.190 |
4443 |
TCP |
HTTPS |