Servicio perimetral de acceso
Última modificación del tema: 2011-05-06
El servicio perimetral de acceso ofrece un único punto de conexión por el que el tráfico SIP tanto entrante como saliente puede atravesar firewalls y separa las redes interna y externa de cara a la federación y el tráfico de acceso de usuarios remotos. Además, el servicio perimetral de acceso también lo atraviesa todo el tráfico de señalización de SIP necesario para configurar y anular sesiones multimedia y de conferencia.
El servicio perimetral de acceso es un proxy con una configuración especial que se ha diseñado y comprobado para funcionar en la red perimetral. Este servicio implanta reglas de enrutamiento que separan el perímetro exterior de la red del interior, al tiempo que ofrece una plataforma central para administrar y habilitar directivas basadas en dominio en toda la organización. Se trata de una solución de enrutamiento basado en IP que no conlleva el uso obligatorio de un firewall físico. En este sentido, se recomienda encarecidamente usar uno o más firewalls físicos.
El servicio perimetral de acceso no precisa de Servicios de dominio de Active Directory, ya que solo administra dominios SIP, no usuarios. Dicho de otro modo, este servicio no autentica conexiones de cliente, sino que valida los encabezados de los mensajes entrantes y autoriza tanto los servidores de federación remotos como el tráfico de federación. El servicio perimetral de acceso usa una dirección de próximo salto interna configurada para pasar el tráfico entrante de usuarios remotos sin desafío a un servidor SIP de próximo salto interno (que suele ser un director) para autenticarlo (como el tráfico de federación se autentica en el dominio de socio y se autoriza en el servicio perimetral de acceso, el servidor interno no lleva a cabo más autenticaciones). Conviene también que el servicio perimetral de acceso se ejecute en un grupo de trabajo o dominio dedicado que no forme parte del espacio de nombres de la empresa.
Procedimientos recomendados
Implemente el servidor perimetral en una red periférica que tenga firewalls configurados en los perímetros interno y externo.
Implemente el servidor perimetral en un dominio o grupo de trabajo que no forme parte del dominio interno de Active Directory.
Implemente un director para autenticar el tráfico SIP.