Partager via


Service Edge d'accès

Dernière rubrique modifiée : 2009-03-09

Le service Edge d'accès fournit un point de connexion unique via lequel le trafic SIP entrant et sortant peut franchir les pare-feu, séparant les réseaux internes et externes pour le trafic de la fédération et des utilisateurs distants. En outre, tout le trafic de signalisation SIP nécessaire pour initialiser et mettre fin aux sessions multimédias et de conférence avec les utilisateurs externes transite par le service Edge d'accès.

Le service Edge d'accès est un proxy spécialement configuré qui a été conçu et testé pour fonctionner dans le réseau de périmètre. Il applique des règles de routage qui distinguent les périmètres externe et interne du réseau du périmètre, et fournit une plate-forme centrale pour la gestion et l'activation des stratégies interorganisation basées sur les domaines. Il s'agit d'une solution de routage IP, ce qui ne veut pas dire qu'un pare-feu physique n'est pas requis. L'utilisation d'un ou de plusieurs pare-feu physiques est fortement recommandée.

Le service Edge d'accès n'a pas besoin des services de domaine Active Directory, dans la mesure où il ne gère que les domaines SIP, et non les utilisateurs. Autrement dit, le service Edge d'accès n'authentifie pas les connexions client, mais il valide les en-têtes des messages entrants, authentifie les serveurs de fédération distants et autorise le trafic de fédération. À l'aide d'une adresse de tronçon suivant interne configurée, le service Edge d'accès achemine le trafic entrant non authentifié des utilisateurs distants vers le serveur SIP du tronçon suivant interne (en général, un directeur) à des fins d'authentification (dans la mesure où le trafic de fédération est authentifié par le domaine partenaire et autorisé au niveau du service Edge d'accès, le serveur interne ne requiert pas d'autre authentification). Il est également recommandé d'exécuter le service Edge d'accès dans un groupe de travail ou un domaine dédié ne faisant pas partie de l'espace de noms de l'entreprise.

Meilleures pratiques

  • Déployez le serveur de périphérie dans un réseau périphérique, avec des pare-feu configurés à la fois sur ses périmètres interne et externe.
  • Déployez le serveur de périphérie dans un groupe de travail séparé de votre domaine SIP interne.
  • Déployez un directeur pour l'authentification du trafic SIP entrant.