Resumen de puerto - Servidor perimetral consolidado ampliado con equilibradores de carga de hardware en Lync Server 2013
Última modificación del tema: 2015-04-27
La funcionalidad de Lync Server 2013 y servidor perimetral descrita en esta arquitectura de escenario es muy similar a la que se implementó en Lync Server 2010. La adición más notable es el puerto 5269 sobre la entrada TCP para el protocolo de mensajería extensible y presencia (XMPP). Lync Server 2013 implementa opcionalmente un proxy XMPP en el servidor perimetral o grupo perimetral y el servidor de puerta de enlace XMPP en el servidor front-end o el grupo de servidores front-end.
Además de IPv4, el servidor perimetral ahora admite IPv6. Por motivos de claridad, solo se usa IPv4 en los escenarios.
Edge consolidado escalado con equilibrio de carga de hardware
.jpg "perimetral")
de red perimetral de perímetro de servidor
Detalles de protocolo y puerto
Se recomienda que abra solo los puertos necesarios para admitir la funcionalidad para la que está proporcionando acceso externo.
Para que el acceso remoto funcione para cualquier servicio perimetral, es obligatorio que el tráfico SIP pueda fluir bidireccionalmente como se muestra en la figura de tráfico perimetral de entrada y salida. Dicho de otro modo, la mensajería SIP hacia y desde el servicio perimetral de acceso está relacionada con la mensajería instantánea (MI), la presencia, las conferencias web, el audio/vídeo (A/V) y la federación.
Resumen del firewall para el perímetro consolidado escalado, carga de hardware equilibrada: interfaz externa – nodo 1 y nodo 2 (ejemplo)
| Rol/Protocolo/TCP o UDP/Puerto | Dirección IP de origen | Dirección IP de destino | Notas |
|---|---|---|---|
Access/HTTP/TCP/80 |
Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Cualquiera |
Revocación de certificados/comprobación y recuperación de CRL |
Access/DNS/TCP/53 |
Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Cualquiera |
Consulta DNS a través de TCP |
Access/DNS/UDP/53 |
Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Cualquiera |
Consulta DNS sobre UDP |
A/V/RTP/TCP/50,000-59,999 |
Dirección IP del servicio perimetral A/V del servidor perimetral |
Cualquiera |
Necesario para la federación con asociados que ejecutan Office Communications Server 2007, Office Communications Server 2007 R2, Lync Server 2010 y Lync Server 2013. |
A/V/RTP/UDP/50.000-59.999 |
Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Cualquiera |
Solo es necesario para la federación con partners que ejecutan Office Communications Server 2007. |
A/V/RTP/TCP/50,000-59,999 |
Cualquiera |
Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Solo es necesario para la federación con partners que ejecutan Office Communications Server 2007 |
A/V/RTP/UDP/50.000-59.999 |
Cualquiera |
Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Solo es necesario para la federación con partners que ejecutan Office Communications Server 2007 |
A/V/STUN,MSTURN/UDP/3478 |
Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Cualquiera |
3478 saliente se usa para determinar la versión del servidor perimetral con el que se comunica Lync Server, así como para el tráfico multimedia de servidor perimetral a servidor perimetral. Necesario para la federación con Lync Server 2010, Windows Live Messenger y Office Communications Server 2007 R2, así como si se implementan varios grupos perimetrales en una empresa. |
A/V/STUN,MSTURN/UDP/3478 |
Cualquiera |
Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Negociación de STUN/TURN de los candidatos sobre UDP/3478 |
A/V/STUN,MSTURN/TCP/443 |
Cualquiera |
Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Negociación STUN/TURN de candidatos sobre TCP/443 |
A/V/STUN,MSTURN/TCP/443 |
Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Cualquiera |
Negociación STUN/TURN de candidatos sobre TCP/443 |
Resumen del firewall para el perímetro consolidado escalado, carga de hardware equilibrada: nodo de interfaz interna 1 y nodo 2
| Rol/Protocolo/TCP o UDP/Puerto | Dirección IP de origen | Dirección IP de destino | Notas |
|---|---|---|---|
XMPP/MTLS/TCP/23456 |
Cualquiera (puede definirse como dirección del servidor front-end o dirección IP virtual del grupo de servidores front-end que ejecuta el servicio xmpp gateway) |
Interfaz interna del servidor perimetral |
Tráfico XMPP saliente de un servicio de puerta de enlace XMPP que se ejecuta en el servidor front-end o el grupo de servidores front-end |
HTTPS/TCP/4443 |
Cualquiera (puede definirse como la IP del servidor front-end server o el grupo que contiene el almacén de administración central) |
Interfaz interna del servidor perimetral |
Replicación de cambios desde el almacén de Administración central al servidor perimetral |
PSOM/MTLS/TCP/8057 |
Cualquiera (puede definirse como Dirección IP, IP del servidor front-end o IP virtual de grupo) |
Interfaz interna del servidor perimetral |
Tráfico de conferencias web desde la implementación interna a la interfaz del servidor perimetral interno |
STUN/MSTURN/UDP/3478 |
Cualquiera (puede definirse como Dirección IP, IP del servidor front-end o IP virtual de grupo) |
Interfaz interna del servidor perimetral |
Ruta de acceso preferida para la transferencia de medios A/V entre usuarios internos y externos, Aplicación de rama con funciones de supervivencia o Servidor de sucursal con funciones de supervivencia |
STUN/MSTURN/TCP/443 |
Cualquiera (puede definirse como Dirección IP, IP del servidor front-end o IP virtual de grupo) |
Interfaz interna del servidor perimetral |
Ruta de acceso de reserva para la transferencia de medios A/V entre usuarios internos y externos, Aplicación de rama con funciones de supervivencia o Servidor de sucursal con funciones de supervivencia si no se puede establecer la comunicación UDP, se usa TCP para la transferencia de archivos y el uso compartido de escritorio |
MTLS/TCP/50001 |
Cualquiera |
Interfaz interna del servidor perimetral |
Controlador del servicio de registro centralizado mediante el Shell de administración de Lync Server y los cmdlets del servicio de registro centralizado, comandos de la línea de comandos (ClsController.exe) o agente (ClsAgent.exe) de ClsController y la recopilación de registros |
MTLS/TCP/50002 |
Cualquiera |
Interfaz interna del servidor perimetral |
Controlador del servicio de registro centralizado mediante el Shell de administración de Lync Server y los cmdlets del servicio de registro centralizado, comandos de la línea de comandos (ClsController.exe) o agente (ClsAgent.exe) de ClsController y la recopilación de registros |
MTLS/TCP/50003 |
Cualquiera |
Interfaz interna del servidor perimetral |
Controlador del servicio de registro centralizado mediante el Shell de administración de Lync Server y los cmdlets del servicio de registro centralizado, comandos de la línea de comandos (ClsController.exe) o agente (ClsAgent.exe) de ClsController y la recopilación de registros |
Los equilibradores de carga de hardware tienen requisitos específicos cuando se implementan para proporcionar disponibilidad y equilibrio de carga para Lync Server. Los requisitos se definen en la siguiente ilustración y tablas. Los proveedores de terceros pueden usar terminología diferente para los requisitos que se definen aquí. Será necesario asignar los requisitos de Lync Server a las características y opciones de configuración proporcionadas por el proveedor del equilibrador de carga de hardware.
Al configurar equilibradores de carga de hardware, tenga en cuenta los siguientes requisitos:
La traducción de direcciones de red de origen (SNAT) se puede configurar en el equilibrador de carga de hardware (HLB) para el servicio perimetral de acceso y el servicio perimetral de conferencia web
SNAT no se puede configurar en el servicio perimetral A/V: el servicio perimetral A/V debe responder con la dirección del servidor real, no con la IP virtual (VIP) de HLB, para que el cruce simple de UDP sobre NAT (STUN)/transversal use NAT de retransmisión (TURN)/federation TURN (FTURN) para que funcione correctamente
Si el cliente envía una solicitud a la HLB, la respuesta debe regresar de la VIP HLB
Si el cliente envía una solicitud al perímetro, la respuesta debe volver desde la DIRECCIÓN IP de Edge.
Las direcciones IP públicas se utilizan en cada interfaz del servidor y en las VIP de la HLB, y los requisitos de la dirección IP pública son N+1, donde hay una dirección IP pública para cada interfaz del servidor real y una para cada VIP de HLB. Donde tiene 2 servidores perimetrales en el grupo, esto da como resultado 9 direcciones IP públicas, donde 3 se usan para las VIP de HLB y una para cada interfaz del servidor perimetral (un total de seis para los servidores)
Para el servicio perimetral de acceso y el servicio perimetral de conferencia web ( y el uso de NAT en el HLB) el cliente se pone en contacto con la VIP, la VIP cambia la dirección IP de origen del cliente a su propia dirección IP. La interfaz del servidor dirige la dirección de devolución al VIP, el VIP cambia la dirección de origen de la dirección IP de la interfaz del servidor y envía el paquete al cliente
Para el servicio perimetral A/V, la VIP NO debe cambiar la dirección IP de origen y la dirección del servidor real se devuelve directamente al cliente: no se puede configurar NAT en el HLB para el tráfico AV
Si el cliente envía una solicitud a la VIP HLB, la respuesta debe regresar de la VIP HLB
Si el cliente envía una solicitud a la DIRECCIÓN IP de Edge, la respuesta debe volver desde la DIRECCIÓN IP de Edge.
Para AV, el firewall externo conservará la dirección IP pública del servidor real para todos los paquetes
Una vez establecido, la comunicación del servicio de cliente a A/V es para el servidor real, no para la HLB
El borde interno a los clientes y servidores internos debe redirigirse, y las rutas persistentes se establecen para todas las redes internas que hospedan servidores o clientes
La VIP del servicio perimetral de acceso de HLB actuará como puerta de enlace predeterminada para cada interfaz del servidor perimetral
Nota
Para obtener más información sobre la planeación y la funcionalidad de NAT, consulte Requisitos del equilibrador de carga de hardware para Lync Server 2013.
.jpg)
Configuración de puerto externo necesaria para el perímetro consolidado escalado y la carga de hardware equilibrada: IP virtuales de interfaz externa
| Rol/Protocolo/TCP o UDP/Puerto | Dirección IP de origen | Dirección IP de destino | Notas |
|---|---|---|---|
XMPP/TCP/5269 |
Cualquiera |
Servicio proxy XMPP (comparte la dirección IP con el servicio perimetral de acceso) |
El servicio proxy XMPP acepta el tráfico de contactos XMPP en federaciones XMPP definidas |
XMPP/TCP/5269 |
Servicio proxy XMPP (comparte la dirección IP con el servicio perimetral de acceso) |
Cualquiera |
El servicio proxy XMPP envía tráfico a los contactos de XMPP en las federaciones XMPP definidas |
Acceso/SIP(TLS)/TCP/443 |
Cualquiera |
Dirección VIP pública del servicio Perimetral de acceso |
Tráfico SIP de cliente a servidor para el acceso de usuarios externos |
Acceso/SIP(MTLS)/TCP/5061 |
Cualquiera |
Dirección VIP pública del servicio Perimetral de acceso |
Señalización SIP, conectividad de mensajería instantánea federada y pública mediante SIP |
Acceso/SIP(MTLS)/TCP/5061 |
Dirección VIP pública del servicio Perimetral de acceso |
Partner federado |
Señalización SIP, conectividad de mensajería instantánea federada y pública mediante SIP |
Conferencia web/PSOM(TLS)/TCP/443 |
Cualquiera |
Dirección VIP pública del servicio perimetral de conferencia web del servidor perimetral |
Medios de conferencia web |
A/V/STUN,MSTURN/UDP/3478 |
Cualquiera |
Dirección VIP pública del servicio perimetral A/V del servidor perimetral |
Negociación de STUN/TURN de los candidatos sobre UDP/3478 |
A/V/STUN,MSTURN/TCP/443 |
Cualquiera |
Dirección VIP pública del servicio perimetral A/V del servidor perimetral |
Negociación STUN/TURN de candidatos sobre TCP/443 |
Resumen del firewall para el perímetro consolidado escalado, carga de hardware equilibrada: IP virtuales de interfaz interna
| Rol/Protocolo/TCP o UDP/Puerto | Dirección IP de origen | Dirección IP de destino | Notas |
|---|---|---|---|
Acceso/SIP(MTLS)/TCP/5061 |
Cualquiera (puede definirse como director, dirección IP virtual del grupo de directores, servidor front-end o dirección IP virtual del grupo de servidores front-end) |
Interfaz VIP interna del servidor perimetral |
Tráfico SIP saliente (desde director, dirección IP virtual del grupo de directores, servidor front-end o dirección IP virtual del grupo de servidores front-end) a VIP del borde interno |
Acceso/SIP(MTLS)/TCP/5061 |
Interfaz VIP interna del servidor perimetral |
Cualquiera (puede definirse como director, dirección IP virtual del grupo de directores, servidor front-end o dirección IP virtual del grupo de servidores front-end) |
Tráfico SIP entrante (a Director, dirección IP virtual del grupo de directores, front-end server o dirección IP virtual del grupo de servidores front-end) desde la interfaz interna del servidor perimetral |
SIP/MTLS/TCP/5062 |
Cualquiera (puede definirse como dirección IP del servidor front-end, dirección IP del grupo de servidores front-end o cualquier dispositivo de rama con funciones de supervivencia o servidor de sucursal con funciones de supervivencia con este servidor perimetral) |
Interfaz VIP interna del servidor perimetral |
Autenticación de usuarios de A/V (servicio de autenticación A/V) desde el servidor front-end o la dirección IP del grupo de servidores front-end o cualquier dispositivo de rama con funciones de supervivencia o un servidor de sucursal con funciones de supervivencia con este servidor perimetral |
STUN/MSTURN/UDP/3478 |
Cualquiera |
Interfaz VIP interna del servidor perimetral |
Ruta de acceso preferida para la transferencia de medios A/V entre usuarios internos y externos |
STUN/MSTURN/TCP/443 |
Cualquiera |
Interfaz VIP interna del servidor perimetral |
Ruta de reserva para la transferencia de medios A/V entre usuarios internos y externos si no se puede establecer la comunicación UDP, se usa TCP para la transferencia de archivos y el uso compartido de escritorio |
STUN/MSTURN/TCP/443 |
Interfaz VIP interna del servidor perimetral |
Cualquiera |
Ruta de reserva para la transferencia de medios A/V entre usuarios internos y externos si no se puede establecer la comunicación UDP, se usa TCP para la transferencia de archivos y el uso compartido de escritorio |