Raccordement de OCS 2007 R2 avec un SIP Trunk – Partie 1

  • Article

 

Auteur :Damien Caro, Consultant Microsoft

Le but de ce document est de décrire l'architecture technique à mettre en œuvre pour permettre à une infrastructure OCS 2007 R2 de communiquer avec le réseau téléphonique commuté via un SIP Trunk.

Sommaire

Introduction
Architecture globale
Ouverture du pare-feu avec ISA 2006

Synthèse des règles sur le Server ISA
Règle de publication pour le trafic de signalisation sur le serveur de médiation
Règle de publication pour le flux à destination du serveur de médiation
Règle d'accès pour le serveur de médiation de OCS 2007 R2


>> Télécharger le tutoriel au format Word

>> Lire la Partie 2 de cet article

 

<< Précédent Suivant >>

Introduction

Microsoft France a déménagé dans ses nouveaux locaux en Juillet 2009 et le déménagement a été l'occasion de refondre l'infrastructure de télécommunication utilisée par le MTC sans pour autant perdre des usages et scénarios que nous avions l'occasion de démontrer à nos clients.

L'interconnexion de nos plates-formes de démonstration devait donc évoluer d'une liaison à multiplexage temporel classique avec le réseau téléphonique publique vers une solution utilisant la connexion vers internet prévue.

Il est donc possible de résumé les contraintes comme suit :

  • Utiliser un SIP Trunk sur Internet
  • Solution certifiée avec Office Communications Server 2007 R2
  • Présence in Europe et particulièrement à Paris

Nous avons donc travaillé avec le seul fournisseur de SIP Trunk certifié en Europe au moment de l'étude et répondant aux autres critères: Interoute One (http://www.interouteone.com/)

A travers le reste du document nous allons décrire l'architecture mise en place, passer en revue les éléments clefs de la configuration et finalement implémenter l'un des gros avantages apporté par la SIP Trunk à une organisation (au-delà des économies réaliser sur les couts de communication).

Nous ne couvrirons pas dans ce document les étapes d'installation du produit ni les éléments de configuration initiale (comme la gestion des certificats par exemple); un niveau minimum de connaissance des produits est attendu.

Architecture globale

La première étape de la mise en œuvre de cette interconnexion est de permettre la connectivité réseau entre le SIP Trunk et l'infrastructure OCS 2007 R2.

Le SIP Trunk a besoin de :

  • Emettre et recevoir des messages SIP depuis une adresse IP de l'opérateur (sur TCP)
  • Emettre et recevoir du flux media depuis une adresse IP de l'opérateur (sur UDP, G.711 étant le codec)

C'est le serveur avec le rôle "OCS Mediation Server" qui sera donc amené à se connecter au SIP Trunk.

L'architecture globale de cette configuration est comme suit :

 
 

Il faut donc rendre le serveur de médiation joignable par l'opérateur de SIP-Trunk pour les appels entrants et inversement lui permettre de contacter le Session Border Controler (SBC) de l'opérateur de SIP Trunk.

Le réseau sur lequel nous avons implémenté l'architecture décrite dans ce document est un réseau utilisant un NAT simple (Network Addess Translation) protégé par un groupement de serveur ISA 2006. Dans cette première partie, nous allons décrire comment configurer ISA 2006 pour permettre le fonctionnement du SIP Trunk dans cette configuration. Ces paramètres doivent être adaptés dans le cas d'environnements réseau plus complexe.

Ouverture du pare-feu avec ISA 2006

L'architecture utilisée décrire la configuration du pare-feu est un simple NAT comme suit :
 
 

Cette architecture rend la configuration et la compréhension des règles de flux sur le firewall (entrants comme sortants) mises en œuvre pour le SIP Trunk plus simple.

Si vous êtes administrateurs d'Office Communications Server, il faudra fournir au responsable de le configuration du firewall la matrice de flux ci-dessous décrivant les flux entrants et sortants entre le réseaux interne et l'opérateur de téléphonie. Le seul serveur du réseau interne qui est concerné par la mise en œuvre du SIP Trunk est le Mediation Server (ou serveur de médiation).

Les configurations peuvent varier d'un opérateur à l'autre mais dans le cas d'une interconnexion avec InterouteOne, il faut autoriser les flux suivants :

Le Mediation Server doit pouvoir recevoir les messages entrant suivants:

  • TCP sur port 5060 pour le trafic de signalisation (établissement de l'appel)
  • UDP sur la plage de port  60 000 à 64 000 pour le media (les ports peuvent bouger en fonction de l'opérateur du SIP Trunk)

Le  Mediation Server doit aussi pouvoir contacter le SBC de l'opérateur sur les ports suivants:

  • TCP sur le port 5060 (pour la signalisation permettant d'établir l'appel)
  • UDP sur la plage 60 000 à 64 000 (pour le media)

Dans le cas d'Interoute One, nous avons implémenté la configuration suivante :
 
 

Voici comment cela se traduit en termes de configuration de ISA 2006 :

  • Deux règles de publication sur le serveurde médiation pour autoriser le flux entrants.
  • Deux règles d'accès pour le serveurde médiation permettant le flux sortant.

La configuration précédente a été implémentée sur notre serveur ISA comme indiqué dans la suite de ce document.

Note: Quelques adresses IP ont été masquées pour des raisons de confidentialité...

Synthèse des règles sur le Server ISA

Les règles suivantes sont celles en place sur notre infrastructure de production :

 
 

Règle de publication pour le trafic de signalisation sur le serveur de médiation

Ceci est la configuration de la règle de publication suivante :
CDU (Mediation) – Allow TCP 5060 from xx.xx.xx.xx by yy.yy.yy.yy

Cette règle autorise le trafic entrant sur le port 5060 et le route vers le serveur de médiation. Ceci veut bien évidemment dire que vous réservez le port 5060 sur votre interface réseau publique pour ce trafic particulier.

Important: L'adresse de l'interface publique ainsi utilisée doit être celle indiqué à l'opérateur de SIP Trunk. Leur SBC va essayer de vous contacter sur cette adresse lors de la réception d'un appel entrant.

Le protocole comme indiqué ci-dessous n'existe pas par défaut. Il faudra le créer lors de la création de la règle de publication en cliquant sur le bouton "new".

 
 

Une fois que le protocole utilisé est défini, il faut indiquer les sources et destinations du trafic que nous allons laisser passer.

Dans notre cas, nous avons créé un objet (appelé "Internet Route (Mediation)") représentant le SBC de Interoute One. Cet objet est la source de flux autorisée, la destination est indiquée en saisissant l'adresse IP du serveur de médiation. Voici la configuration en place :

 
 

La dernière chose qu'il faut faire est de choisir sur quel réseau le flux TCP que nous avons configuré est attendu. Dans notre cas, le "listener" sera sur l'interface que nous avons appelée "External" comme indiqué ci-dessous.

 
 

Synthèse des règles sur le Server ISA

Règle de publication pour le flux à destination du serveur de médiation

Cette règle de publication va permettre au flux media d'accéder au serveur de médiation. Le processus est donc très similaire à celui qui a été réalisé à l'étape précédente à la différence que nous travaillons sur le protocole UDP au lieu de TCP.

 
 

Lors de la première configuration du serveur ISA (comme cela a été le cas pour le protocole TCP/5060) il est nécessaire de créer la définition du protocole "UDP 60000 – 64000" en cliquant sur le bouton "new".

Encore une fois, nous avons créé un objet représentant le SBC (Session Border Controler) de chez Interoute One et nous n'autorisons que le flux en provenance de cette source à destination du serveur de médiation comme indiqué dans l'onglet "TO" ci-dessous.

 
 

Pour terminer, il reste à sélectionner l'IP sur laquelle le "listener" va écouter.

 
 

Maintenant, l'opérateur du SIP Tunk peut contacter le serveur de médiation de notre infrastructure OCS R2.

L'étape suivante consiste à procéder à l'opération inverse pour autoriser les communications sortantes, c’est-à-dire laisser le serveur de médiation accéder au SBC de chez Interoute One. Ceci se fait en créant une règle d'accès dans ISA (si cela est nécessaire).

Synthèse des règles sur le Server ISA

Règle d'accès pour le serveur de médiation de OCS 2007 R2

Dans notre configuration, les serveurs ne sont pas autorisés à sortir sur Internet par défaut. Il faut donc autoriser les deux flux (signalisation et media) en provenance du serveur de médiation à destination du SBC de Interoute One.

La première règle d'accès consiste à laisser passer le flux de signalisation sur TCP à destination du port 5060 comme indiqué sur la capture d'écran ci-dessous.

La définition de protocole appelée "TCP 5060 Outbound" peut être configurée lors de l'accès à cette page ou au préalable dans la console d'administration de ISA Server.

 
 

Une règle similaire doit être crée pour le flux media reposant sur le protocole UDP à destination des ports allant de 60 000 à 64 000 (d'après la documentation de Interoute One). Si vous souhaitez minimiser le nombre de règles, il est envisageable de cumuler les deux protocoles dans la même règle d'accès.
<< Précédent Suivant >>