Arquitectura de referencia 3: Resumen de puertos para topologías perimetrales consolidadas escaladas (carga de hardware equilibrada)
Última modificación del tema: 2012-11-02
La funcionalidad del servidor perimetral de Lync Server 2010 descrita en esta arquitectura de referencia es muy similar a la que se presentó en primer lugar en Office Communications Server 2007 R2, con las siguientes excepciones:
El puerto 8080 es opcional y pueden usarlo los dispositivos móviles que ejecutan Lync para localizar el servicio Detección automática en situaciones en que no es deseable modificar el certificado de la regla de publicación de servicios web externos (por ejemplo, si tiene un gran número de dominios SIP).
El puerto 4443 se usa para enrutar el tráfico de la interfaz interna del proxy inverso a la IP virtual (VIP) del grupo de servidores.
El puerto 4443 se usa para enrutar el tráfico de los servidores front-end del grupo de servidores a la interfaz perimetral interna.
Existen varias opciones para los intervalos de puertos entre 50.000 y 59.999, pero la figura de topología perimetral consolidada escalada (carga equilibrada con hardware) de Arquitectura de referencia 3: Topología perimetral consolidada escalada (carga de hardware equilibrada) muestra la configuración más común para la interoperabilidad con versiones anteriores de Office Communications Server. Para ver más detalles acerca de las opciones para configurar este intervalo de puertos, consulte la sección correspondiente de Determinación de los requisitos de los puertos y el firewall de A/V externos.
Red perimetral empresarial para un perímetro consolidado escalado con equilibrio de carga de hardware
.jpg "Red perimetral de equilibradores de carga de hardware para perímetro consolidado escalado")
Al leer las tablas anteriores, (entrada) se refiere a tráfico que va de una red de menos confianza a una red de más confianza, como, por ejemplo, de Internet a perimetral o de perimetral a corporativa). Por ejemplo, tráfico de Internet a la interfaz perimetral externa o de la interfaz perimetral interna al grupo de servidores del próximo salto. (salida) se refiere a tráfico que va de una red de más confianza a una red de menos confianza, como, por ejemplo, de corporativa a perimetral o de perimetral a Internet). Por ejemplo, tráfico de un conjunto de servidores corporativos a la interfaz perimetral interna o de la interfaz perimetral externa a Internet. Y, por último, (entrada/salida) se refiere a tráfico que va en ambas direcciones.
Tráfico perimetral entrante/saliente
.jpg "Diagrama de perímetro entrante/saliente")
Se recomienda abrir solamente los puertos necesarios para admitir la funcionalidad para la que proporcione acceso externo.
Para que el acceso remoto funcione con cualquier servidor perimetral, es obligatorio que el tráfico SIP tenga permiso para fluir en ambos sentidos, como se muestra en la ilustración de Topología perimetral consolidada escalada (carga equilibrada con hardware). Dicho de otra forma, el servicio perimetral de acceso interviene en mensajería instantánea, presencia, conferencia web y audio y vídeo (A/V).
Resumen del firewall para un perímetro consolidado escalado con equilibrio de carga de hardware: Interfaz externa
| Protocolo y puerto | Se usa para |
|---|---|
HTTP 80 (salida) |
Descarga de listas de revocación de certificados |
DNS 53 (salida) |
Consultas de DNS externo |
SIP/TLS/443 (entrada) |
Tráfico SIP de cliente a servidor para el acceso de usuarios remotos (abierto solo a VIP externa del servidor perimetral de acceso, no a servidores individuales del grupo de servidores perimetrales) |
SIP/MTLS/5061 (entrada) |
Federación y conectividad con un servicio de Exchange hospedado. Abierto solo a VIP externa del servidor perimetral de acceso (no a servidores individuales del grupo de servidores perimetrales) |
PSOM/TLS/443 (entrada) |
Acceso de usuarios remotos a conferencias web para usuarios federados y anónimos. Abierto solo a VIP externa del servidor de conferencia web (no a servidores individuales del grupo de servidores perimetrales) |
RTP/TCP/intervalo de 50 K (entrada) |
Intercambio de medios (para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos) Necesario para interoperatividad con Office Communications Server 2007 |
RTP/TCP/intervalo de 50 K (salida) |
Intercambio de medios (para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos) Necesario para interoperatividad con Office Communications Server 2007 Necesario para uso compartido y federación de Office Communications Server 2007 R2 Necesario para la transferencia de archivos y el uso compartido de aplicaciones en Lync Server 2010. A/V con Windows Live Messenger Nota Si UDP 3478 está bloqueado debido a los requisitos del firewall perimetral o debido a restricciones del cliente de UDP 3478, se usará el intervalo de puertos 50k a través de UDP 3478 |
RTP/UDP/intervalo de 50 K (entrada) |
Intercambio de medios (para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos) Necesario para interoperatividad con Office Communications Server 2007 |
RTP/UDP/intervalo de 50 K (salida) |
Intercambio de medios (para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos) Necesario para interoperatividad con Office Communications Server 2007 |
STUN/MSTURN/UDP/3478 (entrada/salida) |
Acceso de usuarios externos a sesiones de A/V (UDP) (abierto a VIP externa perimetral de A/V y servidores perimetrales individuales) |
STUN/MSTURN/TCP/443 (entrada) |
Acceso de usuarios externos a medios y sesiones de A/V (TCP) (abierto a VIP externa perimetral de A/V y servidores perimetrales individuales) |
Resumen del firewall para un perímetro consolidado escalado con equilibrio de carga de hardware: Interfaz interna
| Protocolo y puerto | Se usa para |
|---|---|
SIP/MTLS/5061 (entrada/salida) |
Tráfico SIP. Abierto a VIP perimetral interna y servidores individuales del grupo de servidores perimetrales. |
PSOM/MTLS/8057 (salida) |
Tráfico de conferencia web del grupo de servidores al perímetro (abierto solo a servidores perimetrales individuales) |
SIP/MTLS/5062 (salida) |
Autenticación de usuarios de A/V (es decir, servicio de autenticación A/V) (abierto solo a VIP perimetral interna y a servidores perimetrales individuales) |
STUN/MSTURN/UDP/3478 (salida) |
Ruta de acceso preferida para la transferencia de medios entre usuarios internos y externos (UDP) (abierto a VIP perimetral interna y servidores perimetrales individuales) |
STUN/MSTURN/TCP/443 (salida) |
Ruta de acceso alternativa para la transferencia de medios entre usuarios internos y externos (TCP) (abierto a VIP perimetral interna y servidores perimetrales individuales) |
HTTPS 4443 (salida) |
Publicación de actualizaciones de la base de datos CMS en nodos perimetrales (abierto solo a servidores perimetrales individuales) |
Detalles de firewalls para servidor proxy inverso: Interfaz externa
| Protocolo y puerto | Se usa para |
|---|---|
HTTP 80 (entrada) |
(Opcional) Redirección a HTTPS si el usuario entra por casualidad a http://<FQDNdelsitiopublicado>. Requerido también si usa el servicio Detección automática para dispositivos móviles que ejecutan Lync en situaciones en que la organización no desea modificar el certificado en la regla de publicación de servicios web externos. |
HTTPS 443 (entrante) |
Descargas de libretas de direcciones, servicio de consultas web de la libreta de direcciones, actualizaciones de clientes, contenido de reuniones, actualizaciones de dispositivos, expansión de grupos, conferencias de acceso telefónico local y conferencias. |
Detalles de firewalls para servidor proxy inverso: Interfaz interna
| Protocolo y puerto | Se usa para |
|---|---|
HTTP 8080 (entrada) |
Requerido si usa el servicio Detección automática para dispositivos móviles que ejecutan Lync en situaciones donde el cliente no desea modificar el certificado en la regla de publicación de servicios web externos. El tráfico que se envía al puerto 80 en la interfaz externa del proxy inverso se redirige a un grupo de servidores del puerto 8080 desde la interfaz interna del proxy inverso, para que los servicios web del grupo de servidores puedan distinguirlo del tráfico web interno. |
HTTPS 4443 (entrada) |
El tráfico que se envía al puerto 443 en la interfaz externa del proxy inverso se redirige a un grupo de servidores del puerto 4443 desde la interfaz interna del proxy inverso, para que los servicios web del grupo de servidores puedan distinguirlo del tráfico web interno. |
Nota
En las tablas anteriores, (in) se refiere al tráfico que va de una red de menor confianza a otra red de mayor confianza como, por ejemplo, de Internet al perímetro o del perímetro a la empresa. Por ejemplo, el tráfico de Internet a la interfaz externa del proxy inverso, o de la interfaz interna del proxy inverso a un grupo de servidores Standard Edition o una VIP de equilibrador de carga de hardware asociada a un grupo de servidores Enterprise Edition.
Configuración de puertos externos necesaria para la Topología perimetral consolidada escalada (carga equilibrada con hardware): IP virtuales de la interfaz externa
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Applicación | Notas |
|---|---|---|---|---|---|---|---|
Acceso |
Cualquiera |
Cualquiera |
131.107.155.110 |
443 |
TCP |
SIP (TLS) |
Tráfico SIP de cliente a servidor para el acceso de usuarios externos |
Acceso |
Cualquiera |
Cualquiera |
131.107.155.110 |
5061 |
TCP |
SIP (MTLS) |
Para la conectividad de MI pública y federada mediante SIP (entrante) |
Conferencia web |
Cualquiera |
Cualquiera |
131.107.155.120 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
Cualquiera |
Cualquiera |
131.107.155.130 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Cualquiera |
Cualquiera |
131.107.155.130 |
443 |
TCP |
STUN/MSTURN |
Configuración de puertos externos necesaria para la Topología perimetral consolidada escalada (carga equilibrada con hardware): Nodo de interfaz externa 1
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Acceso |
131.107.155.10 |
Cualquiera |
Cualquiera |
80 |
TCP |
HTTP |
|
Acceso |
131.107.155.10 |
Cualquiera |
Cualquiera |
53 |
UDP |
DNS |
|
Acceso |
131.107.155.10 |
Cualquiera |
Cualquiera |
5061 |
TCP |
SIP (MTLS) |
Para la conectividad de MI pública y federada mediante SIP (saliente) |
A/V |
131.107.155.30 |
50,000 – 59,999 |
Cualquiera |
Cualquiera |
TCP |
RTP |
Necesario solo para compartir escritorio con socios que ejecuten Office Communications Server 2007 R2. También se necesita para uso compartido de aplicaciones o transferencia de archivos con usuarios federados y sesiones A/V con Windows Live Messenger en Lync Server 2010. |
A/V |
131.107.155.30 |
50,000 – 59,999 |
Cualquiera |
Cualquiera |
UDP |
RTP |
Solo se necesita para federación con socios que ejecuten Office Communications Server 2007. |
A/V |
Cualquiera |
Cualquiera |
131.107.155.30 |
50,000 – 59,999 |
TCP |
RTP |
Solo se necesita para federación con socios que ejecuten Office Communications Server 2007. |
A/V |
Cualquiera |
Cualquiera |
131.107.155.30 |
50,000 – 59,999 |
UDP |
RTP |
Solo se necesita para federación con socios que ejecuten Office Communications Server 2007. |
A/V |
131.107.155.30 |
Cualquiera |
Cualquiera |
3478 |
UDP |
STUN/MSTURN |
3478 saliente se usa para averiguar la versión del servidor perimetral con el que se está comunicando Lync Server 2010, y también para el tráfico de medios de un servidor perimetral a otro. Se necesita para federación con Lync Server 2010, Windows Live Messenger y Office Communications Server 2007 R2, así como cuando se implementan varios conjuntos de servidores perimetrales en una compañía. |
A/V |
Cualquiera |
Cualquiera |
131.107.155.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Cualquiera |
Cualquiera |
131.107.155.30 |
443 |
TCP |
STUN/MSTURN |
Configuración de puertos externos necesaria para la Topología perimetral consolidada escalada (carga equilibrada con hardware): Nodo de interfaz externa 2
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Acceso |
131.107.155.11 |
Cualquiera |
Cualquiera |
80 |
TCP |
HTTP |
|
Acceso |
131.107.155.11 |
Cualquiera |
Cualquiera |
53 |
UDP |
DNS |
|
Acceso |
131.107.155.11 |
Cualquiera |
Cualquiera |
5061 |
TCP |
SIP (MTLS) |
Para la conectividad de MI pública y federada mediante SIP (saliente) |
A/V |
131.107.155.31 |
50,000 – 59,999 |
Cualquiera |
Cualquiera |
TCP |
RTP |
Solo se necesita para el uso compartido de escritorio con socios que ejecuten Office Communications Server 2007 R2. También se necesita para uso compartido de aplicaciones o transferencia de archivos con usuarios federados y sesiones A/V con Windows Live Messenger en Lync Server 2010. |
A/V |
131.107.155.31 |
50,000 – 59,999 |
Cualquiera |
Cualquiera |
UDP |
RTP |
Solo se necesita para federación con socios que ejecuten Office Communications Server 2007. |
A/V |
Cualquiera |
Cualquiera |
131.107.155.31 |
50,000 – 59,999 |
TCP |
RTP |
Solo se necesita para federación con socios que ejecuten Office Communications Server 2007. |
A/V |
Cualquiera |
Cualquiera |
131.107.155.31 |
50,000 – 59,999 |
UDP |
RTP |
Solo se necesita para federación con socios que ejecuten Office Communications Server 2007. |
A/V |
131.107.155.31 |
Cualquiera |
Cualquiera |
3478 |
UDP |
STUN/MSTURN |
3478 saliente se usa para averiguar la versión del servidor perimetral con el que se está comunicando Lync Server 2010, y también para el tráfico de medios de un servidor perimetral a otro. Se necesita para federación con Lync Server 2010, Windows Live Messenger y Office Communications Server 2007 R2, así como cuando se implementan varios conjuntos de servidores perimetrales en una compañía. |
A/V |
Cualquiera |
Cualquiera |
131.107.155.31 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Cualquiera |
Cualquiera |
131.107.155.31 |
443 |
TCP |
STUN/MSTURN |
Configuración de puertos externos necesaria para la Topología perimetral consolidada escalada (carga equilibrada con hardware): Proxy inverso
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
No aplicable |
Cualquiera |
Cualquiera |
10.45.16.40 |
80 |
TCP |
SIP (TLS) |
(Opcional) Se usa para redirigir el tráfico http a https. Requerido también si usa el servicio Detección automática para dispositivos móviles que ejecutan Lync en situaciones en que la organización no desea modificar el certificado en la regla de publicación de servicios web externos. |
No aplicable |
Cualquiera |
Cualquiera |
10.45.16.40 |
443 |
TCP |
HTTPS |
Configuración de puertos del firewall interno necesaria para la Topología perimetral consolidada escalada (carga equilibrada con hardware): IP virtuales de la interfaz interna
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Acceso |
192.168.10.90 192.168.10.91 |
Cualquiera |
172.25.33.110 |
5061 |
TCP |
SIP (MTLS) |
|
A/V |
Cualquiera |
Cualquiera |
172.25.33.110 |
5062 |
TCP |
SIP (MTLS) |
Incluye todos los servidores front-end y todos los Aplicaciones de sucursal con funciones de supervivencia o Servidores de sucursal con funciones de supervivencia que usan este servicio de autenticación A/V en particular. |
A/V |
Cualquiera |
Cualquiera |
172.25.33.110 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Cualquiera |
Cualquiera |
172.25.33.110 |
443 |
TCP |
STUN/MSTURN |
Configuración de puertos del firewall interno necesaria para la Topología perimetral consolidada escalada (carga equilibrada con hardware): Nodo de interfaz interna 1
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Acceso |
172.25.33.10 |
Cualquiera |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
El destino será los servidores del próximo salto. En el caso de la arquitectura de referencia, corresponde a las direcciones IP de los dos servidores front-end del grupo de servidores. |
Acceso |
192.168.10.90 192.168.10.91 |
Cualquiera |
172.25.33.10 |
4443 |
TCP |
HTTPS |
Se usa para la replicación de Almacén de administración central, incluye todos los servidores front-end. |
Conferencia web |
Cualquiera |
Cualquiera |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 |
Cualquiera |
172.25.33.10 |
5062 |
TCP |
SIP(MTLS) |
Autenticación de transmisión de medios |
Audio y vídeo |
Cualquiera |
Cualquiera |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Cualquiera |
Cualquiera |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
Configuración de puertos del firewall interno necesaria para la Topología perimetral consolidada escalada (carga equilibrada con hardware): Nodo de interfaz interna 2
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Acceso |
172.25.33.11 |
Cualquiera |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
El destino será los servidores del próximo salto. En el caso de la arquitectura de referencia, corresponde a las direcciones IP de los dos servidores front-end del grupo de servidores. |
Acceso |
192.168.10.90 192.168.10.91 |
Cualquiera |
172.25.33.11 |
4443 |
TCP |
HTTPS |
Se usa para la replicación de Almacén de administración central, incluye todos los servidores front-end. |
Conferencia web |
Cualquiera |
Cualquiera |
172.25.33.11 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 |
Cualquiera |
172.25.33.11 |
5062 |
TCP |
SIP(MTLS) |
Autenticación de transmisión de medios |
Audio y vídeo |
Cualquiera |
Cualquiera |
172.25.33.11 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Cualquiera |
Cualquiera |
172.25.33.11 |
443 |
TCP |
STUN/MSTURN |
Configuración de puertos del firewall interno necesaria para la Topología perimetral consolidada escalada (carga equilibrada con hardware): Proxy inverso
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
No aplicable |
172.25.33.40 |
Cualquiera |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(Opcional) Requerido si usa el servicio Detección automática para dispositivos móviles que ejecutan Lync en situaciones en que la organización no desea modificar el certificado en la regla de publicación de servicios web externos. |
No aplicable |
172.25.33.40 |
Cualquiera |
192.168.10.190 |
4443 |
TCP |
HTTPS |