Arquitectura de referencia 2: Resumen de puertos para topologías perimetrales consolidadas escaladas (carga de DNS equilibrada)
Última modificación del tema: 2012-11-02
Las funciones de servidor perimetral de Lync Server 2010 descritas en esta arquitectura de referencia son muy similares a las introducidas por primera vez en Office Communications Server 2007 R2, con las excepciones siguientes:
El puerto 8080 se usa para enrutar el tráfico de la interfaz interna del proxy inverso a la IP virtual (VIP) del grupo de servidores. Es opcional, y los dispositivos móviles que ejecutan Lync pueden usarlo para localizar el servicio Detección automática en situaciones en que no es deseable modificar el certificado de la regla de publicación web externa (por ejemplo, si tiene un gran número de dominios SIP).
El puerto 4443 se usa para enrutar el tráfico de la interfaz interna del proxy inverso a la IP virtual (VIP) del grupo de servidores.
El puerto 4443 se usa para enrutar el tráfico de los servidores front-end del grupo de servidores a la interfaz interna perimetral.
Existen varias opciones para los intervalos de puertos de 50.000 – 59.999, pero en la figura siguiente se muestra la configuración común para la interoperatividad con versiones anteriores de Office Communications Server. Para obtener más información sobre las opciones para configurar este intervalo de puertos, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos.
Red perimetral de empresa para perímetro consolidado escalado
.jpg "Diagrama de red perimetral para perímetro consolidado escalado")
En las tablas anteriores, (entrada) se refiere a tráfico que va de una red de menos confianza a una red de más confianza, como, por ejemplo, de Internet a perimetral o de perimetral a corporativa). Por ejemplo, tráfico de Internet a la interfaz perimetral externa o de la interfaz perimetral interna al grupo de servidores del próximo salto. (salida) se refiere a tráfico que va de una red de más confianza a una red de menos confianza, como, por ejemplo, de corporativa a perimetral o de perimetral a Internet). Por ejemplo, tráfico de un conjunto de servidores corporativos a la interfaz perimetral interna o de la interfaz perimetral externa a Internet. Y, por último, (entrada/salida) se refiere a tráfico que va en ambas direcciones.
Tráfico perimetral entrante/saliente
.jpg "Diagrama de perímetro entrante/saliente")
Se recomienda abrir solamente los puertos necesarios para admitir la funcionalidad para la que proporcione acceso externo.
Para que el acceso remoto funcione para cualquier servicio perimetral, es obligatorio que el tráfico SIP pueda fluir de forma bidireccional, tal y como se muestra en la figura Tráfico perimetral entrante/saliente. Dicho de otra forma, el servicio perimetral de acceso interviene en mensajería instantánea, presencia, conferencia web y audio y vídeo (A/V).
Resumen de firewalls para topología perimetral consolidada de un solo equipo/escalada con equilibrio de carga de DNS: Interfaz externa
| Protocolo/puerto | Se usa para |
|---|---|
HTTP 80 (salida) |
Consulta de listas de revocación de certificados |
DNS 53 (salida) |
Consultas de DNS externo |
SIP/TLS/443 (entrada) |
Tráfico SIP de cliente a servidor para el acceso remoto de usuarios |
SIP/MTLS/5061 (entrada/salida) |
Federación y conectividad con un servicio de Exchange hospedado |
PSOM/TLS/443 (entrada) |
Acceso de usuarios remotos a conferencias para usuarios anónimos y federados |
RTP/TCP/intervalo de 50 K (entrada) |
Intercambio de medios (para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos) Necesario para la interoperabilidad de Office Communications Server 2007 |
RTP/TCP/intervalo de 50 K (salida) |
Intercambio de medios (para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos) Necesario para la interoperabilidad Necesario para uso compartido y federación de Office Communications Server 2007 R2 Necesario para la transferencia de archivos y el uso compartido de aplicaciones en Lync Server 2010 A/V con Windows Live Messenger Nota Si UDP 3478 está bloqueado debido a los requisitos del firewall perimetral o debido a restricciones del cliente de UDP 3478, se usará el intervalo de puertos 50k a través de UDP 3478 |
RTP/UDP/intervalo de 50 K (entrada) |
Intercambio de medios (para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos) Necesario para interoperatividad con Office Communications Server 2007 |
RTP/UDP/intervalo de 50 K (salida) |
Intercambio de medios (para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos) Necesario para la interoperabilidad de Office Communications Server 2007 |
STUN/MSTURN/UDP/3478 (entrada/salida) |
Acceso de usuarios externos a sesiones A/V (UDP) |
STUN/MSTURN/TCP/443 (entrada) |
Acceso de usuarios externos a medios y sesiones A/V (TCP) |
Detalles de firewalls para topología perimetral consolidada de un solo equipo/escalada con equilibrio de carga de DNS: Interfaz interna
| Protocolo/puerto | Se usa para |
|---|---|
SIP/MTLS/5061 (entrada/salida) |
Tráfico SIP |
PSOM/MTLS/8057 (salida) |
Tráfico de conferencias web de grupo de servidores a perímetro |
SIP/MTLS/5062 (salida) |
Autenticación de usuarios A/V (servicio de autenticación A/V) |
STUN/MSTURN/UDP/3478 (salida) |
Ruta de acceso preferida para la transferencia multimedia entre usuarios internos y externos (UDP) |
STUN/MSTURN/TCP/443 (salida) |
Ruta de acceso alternativa para la transferencia multimedia entre usuarios internos y externos (TCP) |
HTTPS 4443 (salida) |
Inserción de actualizaciones del Almacén de administración central en servidores perimetrales |
Detalles de firewalls para servidor proxy inverso: Interfaz externa
| Protocolo/puerto | Se usa para |
|---|---|
HTTP 80 (entrada) |
(Opcional) Redirección a HTTPS si el usuario introduce accidentalmente http://FQDNSitioPublicado. Requerido también si usa el servicio Detección automática para dispositivos móviles que ejecutan Lync en situaciones en que la organización no desea modificar el certificado de la regla de publicación de servicios web externos. |
HTTPS 443 (entrante) |
Descargas de la libreta de direcciones, servicio de consulta web de la libreta de direcciones, actualizaciones de clientes, contenido de conferencias, actualizaciones de dispositivos, expansión de grupos, conferencias de acceso telefónico local y conferencias. |
Detalles de firewalls para servidor proxy inverso: Interfaz interna
| Protocolo/puerto | Se usa para |
|---|---|
HTTP 8080 (entrada) |
Requerido si usa el servicio Detección automática para dispositivos móviles que ejecutan Lync en situaciones en que la organización no desea modificar el certificado de la regla de publicación de servicios web externos. El tráfico enviado al puerto 80 de la interfaz externa del proxy inverso se redirige a un grupo de servidores del puerto 8080 desde la interfaz interna del proxy inverso para que los servicios web del grupo de servidores puedan distinguirlo del tráfico web interno. |
HTTPS 4443 (entrante) |
El tráfico enviado al puerto 443 de la interfaz externa del proxy inverso se redirige a un conjunto de servidores del puerto 4443 desde la interfaz interna del proxy inverso para que los servicios web del grupo de servidores puedan distinguirlo del tráfico web interno. |
Nota
En las tablas anteriores, (entrada) se refiere a tráfico que va de una red de menos confianza a una red de más confianza, como, por ejemplo, de Internet a perimetral o de perimetral a corporativa). Por ejemplo, el tráfico de Internet a la interfaz externa del proxy inverso o de la interfaz interna del proxy inverso a un grupo de servidores Standard Edition o a una dirección VIP de equilibrador de carga de hardware asociada a un grupo de servidores front-end.
Configuración de puertos externos necesaria para la topología perimetral consolidada escalada (con equilibrio de carga de DNS): Nodo de interfaz externa 1
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Acceso |
10.45.16.10 |
cualquiera |
cualquiera |
80 |
TCP |
HTTP |
|
Acceso |
10.45.16.10 |
cualquiera |
cualquiera |
53 |
UDP |
DNS |
|
Acceso |
cualquiera |
cualquiera |
10.45.16.10 |
443 |
TCP |
SIP (TLS) |
Tráfico SIP de cliente a servidor para acceso de usuarios externos |
Acceso |
cualquiera |
cualquiera |
10.45.16.10 |
5061 |
TCP |
SIP (MTLS) |
Para conectividad de mensajería instantánea pública y federada mediante SIP |
Acceso |
10.45.16.10 |
cualquiera |
cualquiera |
5061 |
TCP |
SIP (MTLS) |
Para conectividad de mensajería instantánea pública y federada mediante SIP |
Conferencia web |
cualquiera |
cualquiera |
10.45.16.20 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.30 |
50,000 – 59,999 |
cualquiera |
cualquiera |
TCP |
RTP |
Necesario solo para compartir escritorio con socios que ejecuten Office Communications Server 2007 R2. También se necesita para uso compartido de aplicaciones o transferencia de archivos con usuarios federados y sesiones A/V con Windows Live Messenger en Lync Server 2010. |
A/V |
10.45.16.30 |
50,000 – 59,999 |
cualquiera |
cualquiera |
UDP |
RTP |
Solo se necesita para federación con socios que ejecuten Office Communications Server 2007. |
A/V |
cualquiera |
cualquiera |
10.45.16.30 |
50,000 – 59,999 |
TCP |
RTP |
Solo se necesita para federación con socios que ejecuten Office Communications Server 2007. |
A/V |
cualquiera |
cualquiera |
10.45.16.30 |
50,000 – 59,999 |
UDP |
RTP |
Solo se necesita para federación con socios que ejecuten Office Communications Server 2007. |
A/V |
10.45.16.30 |
3478 |
cualquiera |
3478 |
UDP |
STUN/MSTURN |
El puerto 3478 saliente se usa para determinar la versión del servidor perimetral con la que se está comunicando Lync Server 2010, así como para el tráfico de medios de servidor perimetral a servidor perimetral. Se necesita para federación con Lync Server 2010, Windows Live Messenger y Office Communications Server 2007 R2, así como cuando se implementan varios conjuntos de servidores perimetrales en una compañía. |
A/V |
cualquiera |
cualquiera |
10.45.16.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
cualquiera |
cualquiera |
10.45.16.30 |
443 |
TCP |
STUN/MSTURN |
Configuración de puertos externos necesaria para la topología perimetral consolidada escalada (con equilibrio de carga de DNS): Nodo de interfaz externa 2
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Acceso |
10.45.16.11 |
cualquiera |
cualquiera |
80 |
TCP |
HTTP |
|
Acceso |
10.45.16.11 |
cualquiera |
cualquiera |
53 |
UDP |
DNS |
|
Acceso |
cualquiera |
cualquiera |
10.45.16.11 |
443 |
TCP |
SIP (TLS) |
Tráfico SIP de cliente a servidor para acceso de usuarios externos |
Acceso |
cualquiera |
cualquiera |
10.45.16.11 |
5061 |
TCP |
SIP (MTLS) |
Para conectividad de mensajería instantánea pública y federada mediante SIP |
Acceso |
10.45.16.11 |
cualquiera |
cualquiera |
5061 |
TCP |
SIP (MTLS) |
Para conectividad de mensajería instantánea pública y federada mediante SIP |
Conferencia web |
cualquiera |
cualquiera |
10.45.16.21 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.31 |
50,000 – 59,999 |
cualquiera |
cualquiera |
TCP |
RTP |
Solo se necesita para el uso compartido de escritorio con socios que ejecuten Office Communications Server 2007 R2. También se necesita para uso compartido de aplicaciones o transferencia de archivos con usuarios federados y sesiones A/V con Windows Live Messenger en Lync Server 2010. |
A/V |
10.45.16.31 |
50,000 – 59,999 |
cualquiera |
cualquiera |
UDP |
RTP |
Solo se necesita para federación con socios que ejecuten Office Communications Server 2007. |
A/V |
cualquiera |
cualquiera |
10.45.16.31 |
50,000 – 59,999 |
TCP |
RTP |
Solo se necesita para federación con socios que ejecuten Office Communications Server 2007. |
A/V |
cualquiera |
cualquiera |
10.45.16.31 |
50.000 – 59.999 |
UDP |
RTP |
Solo se necesita para federación con socios que ejecuten Office Communications Server 2007. |
A/V |
10.45.16.31 |
3478 |
cualquiera |
3478 |
UDP |
STUN/MSTURN |
El puerto 3478 saliente se usa para determinar la versión del servidor perimetral con la que se está comunicando Lync Server 2010, así como para el tráfico de medios de servidor perimetral a servidor perimetral. Se necesita para federación con Lync Server 2010, Windows Live Messenger y Office Communications Server 2007 R2, así como cuando se implementan varios conjuntos de servidores perimetrales en una compañía. |
A/V |
cualquiera |
cualquiera |
10.45.16.31 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
cualquiera |
cualquiera |
10.45.16.31 |
443 |
TCP |
STUN/MSTURN |
Configuración de puertos externos necesaria para la topología perimetral consolidada escalada (con equilibrio de carga de DNS): Proxy inverso
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Proxy inverso: N/D |
cualquiera |
cualquiera |
10.45.16.40 |
80 |
TCP |
SIP (TLS) |
(Opcional) Se puede usar para redirigir el tráfico http a https. Requerido también si usa el servicio Detección automática para dispositivos móviles que ejecutan Lync en situaciones en que la organización no desea modificar el certificado de la regla de publicación de servicios web externos. |
Proxy inverso: N/D |
cualquiera |
cualquiera |
10.45.16.40 |
443 |
TCP |
HTTPS |
Configuración de puertos de firewall internos necesaria para la topología perimetral consolidada escalada (con equilibrio de carga de DNS): Nodo de interfaz interna 1
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Acceso |
172.25.33.10 |
cualquiera |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
El destino será los servidores del próximo salto. En el caso de la arquitectura de referencia, corresponde a las direcciones IP de los dos servidores front-end del grupo de servidores. |
Acceso |
192.168.10.90 192.168.10.91 |
cualquiera |
172.25.33.10 |
5061 |
TCP |
SIP (MTLS) |
El origen será los servidores del próximo salto. En el caso de la arquitectura de referencia, corresponde a las direcciones IP de los dos servidores front-end del grupo de servidores. |
Acceso |
192.168.10.90 192.168.10.91 |
cualquiera |
172.25.33.10 |
4443 |
TCP |
HTTPS |
Se usa para la replicación de Almacén de administración central, incluye todos los servidores front-end. |
Conferencia web |
cualquiera |
cualquiera |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 Todos los Aplicaciones de sucursal con funciones de supervivencia o Servidores de sucursal con funciones de supervivencia |
cualquiera |
172.25.33.10 |
5062 |
TCP |
SIP (MTLS) |
Incluya todos los servidores front-end que usen este servicio de autenticación A/V. |
A/V |
cualquiera |
cualquiera |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
cualquiera |
cualquiera |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
Configuración de puertos de firewall internos necesaria para la topología perimetral consolidada escalada (con equilibrio de carga de DNS): Nodo de interfaz interna 2
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Acceso |
172.25.33.11 |
cualquiera |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
El destino será los servidores del próximo salto. En el caso de la arquitectura de referencia, corresponde a las direcciones IP de los dos servidores front-end del grupo de servidores. |
Acceso |
192.168.10.90 192.168.10.91 |
cualquiera |
172.25.33.11 |
5061 |
TCP |
SIP (MTLS) |
El origen será los servidores del próximo salto. En el caso de la arquitectura de referencia, corresponde a las direcciones IP de los dos servidores front-end del grupo de servidores. |
Acceso |
192.168.10.90 192.168.10.91 |
cualquiera |
172.25.33.11 |
4443 |
TCP |
HTTPS |
Se usa para la replicación de Almacén de administración central, incluye todos los servidores front-end. |
Conferencia web |
cualquiera |
cualquiera |
172.25.33.11 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 Todos los Aplicaciones de sucursal con funciones de supervivencia o Servidores de sucursal con funciones de supervivencia |
cualquiera |
172.25.33.11 |
5062 |
TCP |
SIP (MTLS) |
Incluya todos los servidores front-end que usen este servicio de autenticación A/V. |
A/V |
cualquiera |
cualquiera |
172.25.33.11 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
cualquiera |
cualquiera |
172.25.33.11 |
443 |
TCP |
STUN/MSTURN |
Configuración de puertos de firewall internos necesaria para la topología perimetral consolidada escalada (con equilibrio de carga de DNS): Proxy inverso
| Rol de servidor perimetral | Dirección IP de origen | Puerto de origen | Dirección IP de destino | Puerto de destino | Transporte | Aplicación | Notas |
|---|---|---|---|---|---|---|---|
Proxy inverso: N/D |
172.25.33.40 |
cualquiera |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(Opcional) Requerido si usa el servicio Detección automática para dispositivos móviles que ejecutan Lync en situaciones en que la organización no desea modificar el certificado de la regla de publicación de servicios web externos. |
Proxy inverso: N/D |
172.25.33.40 |
Cualquiera |
192.168.10.190 |
4443 |
TCP |
HTTPS |