Компоненты и топологии для распределения каналов SIP в Lync Server 2013

 

Последнее изменение раздела: 2012-09-21

На следующем рисунке показана топология магистрали SIP в Lync Server.

Топология магистрали SIP

Топология магистральной топологии SIP

Как показано на схеме, для подключений между корпоративной сетью и поставщиком услуг ТСОП используется виртуальная частная сеть VPN. Цель этой частной сети состоит в том, чтобы предоставить IP-подключение, повысить безопасность и (дополнительно) получить гарантированное качество обслуживания. В силу принципов работы VPN нет необходимости использовать протокол TLS для трафика передачи сигналов SIP или протокол SRTP для трафика мультимедиа. Таким образом, подключения между предприятием и поставщиком услуг представляют обычные TCP-соединения для SIP и обычные RTP-соединения (через UDP) для туннелирования мультимедиа через IP VPN. Убедитесь, что все брандмауэры между маршрутизаторами VPN имеют открытые порты, чтобы разрешить маршрутизаторам VPN взаимодействие, и что IP-адреса на внешних границах маршрутизаторов VPN маршрутизируемы общедоступным образом.

Важно

Обратитесь к своему поставщику услуг, чтобы узнать, обеспечивает ли он поддержку высокой доступности, включая отработку отказа. Если обеспечивает, то необходимо определить процедуры для ее настройки. Например, нужно ли настроить только один IP-адрес и одну магистраль SIP на каждом сервере-посреднике или настроить несколько магистралей SIP на каждом сервере-посреднике?
Если у вас несколько центральных сайтов, также спросите, может ли поставщик услуг включить подключения к другому центральному сайту и с него.

Примечание.

Для магистралей SIP настоятельно рекомендуется развернуть автономные серверы-посредники. Дополнительные сведения см. в разделе "Развертывание серверов-посредников и определение одноранговых элементов в Lync Server 2013 " документации по развертыванию.

Защита сервера-посредника для транкинга SIP

В целях безопасности необходимо настроить виртуальную локальную сеть (VLAN) для каждого соединения между двумя маршрутизаторами VPN. Фактический процесс настройки VLAN зависит от производителя маршрутизатора. Подробные сведения следует запросить у вашего поставщика маршрутизатора.

Рекомендуется придерживаться следующих правил.

  • Настройка виртуальной локальной сети (VLAN) между сервером-посредником и VPN-маршрутизатором в сети периметра (также известной как сеть периметра, демилитаризованная зона и экранируемая подсеть).

  • Не разрешать передачу широковещательных или многоадресных пакетов от маршрутизатора в VLAN.

  • Блокирование правил маршрутизации, которые направляют трафик от маршрутизатора в любое место, кроме сервера-посредника.

Если используется VPN-сервер, рекомендуется придерживаться следующих правил.

  • Настройка виртуальной ЛС между VPN-сервером и сервером-посредником.

  • Не разрешать передачу широковещательных или многоадресных пакетов от VPN-сервера в VLAN.

  • Блокирование любого правила маршрутизации, которое направляет трафик VPN-сервера в любое место, кроме сервера-посредника.

  • Шифровать данные в VPN с помощью протокола GRE (Generic Routing Encapsulation).