Arquitetura de referência 2: Resumo de portas para borda consolidada dimensionada (DNS com carga balanceada)
Tópico modificado em: 2012-11-02
A funcionalidade de Borda do Lync Server 2010 descrita nesta arquitetura de referência é muito semelhante à que foi introduzida no Office Communications Server 2007 R2, com as seguintes exceções:
A porta 8080 é usada para rotear o tráfego da interface interna do proxy reverso para o IP virtual (VIP) do pool. É opcional e pode ser usada por dispositivos móveis executando o Lync para localizar o Serviço de Descoberta Automática em situações em que modificar o certificado da regra de publicação do serviço web externo é indesejável (por exemplo, se houver um número grande de domínios SIP).
A porta 4443 é usada para rotear o tráfego da interface interna do proxy reverso para o IP virtual (VIP) do pool.
A porta 4443 é usada para rotear o tráfego do pool de Servidores Front End para a interface interna de Borda.
Existem várias opções para os intervalos de porta 50.000 – 59.999, mas a figura a seguir mostra a configuração comum para interoperabilidade com versões anteriores do Office Communications Server. Para detalhes sobre as opções de configuração deste intervalo de porta, consulte Determinando requisitos de porta e de firewall A/V externo.
Rede de perímetro corporativa para borda consolidada em escala
.jpg "Diagrama da Rede de perímetro de borda consolidada dimensionada")
Ao ler as tabelas a seguir, (in) refere-se ap tráfego indo de uma rede menos confiável para uma rede mais confiável, como Internet-para-perímetro ou perímetro-para-corporativa. Por exemplo, o tráfego da Internet para a interface externa de borda ou da interface interna de borda para o próximo pool do salto. (out) refere-se ao tráfego indo de uma rede mais confiável para uma rede menos confiável, como corporativa-para-perímetro ou perímetro-para-Internet. Por exemplo, o tráfego de um pool corporativo para a interface interna de borda ou da interface externa de borda Internet. E (in/out) refere-se ao tráfego em ambas as direções.
Tráfego de borda de entrada/saída
.jpg "Diagrama de entrada/saída de borda")
É recomendável abrir somente as portas necessárias para oferecer suporte à funcionalidade para a qual você está fornecendo acesso externo.
Para que o acesso remoto funcione para qualquer serviço de borda, é imprescindível que o tráfego SIP seja permitido bi-direcionalmente, conforme mostra a figura do tráfego de borda de entrada/saída. Declarado de outra forma, o serviço de Borda de Acesso está envolvido em sistemas de mensagens instantâneas (IM), presença, webconferências e áudio/vídeo (A/V).
Resumo do firewall para borda consolidada única/em escala com balanceamento de carga de DNS: interface externa
| Protocolo/porta | Usado para | ||
|---|---|---|---|
HTTP 80 (out) |
Verificar listas de certificados revogados |
||
DNS 53 (out) |
Consultas DNS externas |
||
SIP/TLS/443 (in) |
Tráfego SIP cliente-para-servidor para acesso de usuário remoto |
||
SIP/MTLS/5061 (in/out) |
Federação e conectividade com um serviço do Exchange hospedado |
||
PSOM/TLS/443 (in) |
Acesso de usuário remoto para conferências para usuários anônimos e federados |
||
RTP/TCP/intervalo 50K (in) |
Troca de mídia (para detalhes, consulte Determinando requisitos de porta e de firewall A/V externo) Necessário para interoperabilidade do Office Communications Server 2007 |
||
RTP/TCP/intervalo 50K (out) |
Troca de mídia (para detalhes, consulte Determinando requisitos de porta e de firewall A/V externo) Necessário para interoperabilidade do nm-ocs-13-2nd Necessário para compartilhamento de área de trabalho e federação do Office Communications Server 2007 R2 Necessário para compartilhamento de aplicativos do Lync Server 2010 e transferência de arquivos A/V com Windows Live Messenger
|
||
RTP/UDP/intervalo 50K (in) |
Troca de mídia (para detalhes, consulte Determinando requisitos de porta e de firewall A/V externo) Necessário para interoperabilidade do Office Communications Server 2007 |
||
RTP/UDP/intervalo 50K (out) |
Troca de mídia (para detalhes, consulte Determinando requisitos de porta e de firewall A/V externo) Necessário para interoperabilidade do Office Communications Server 2007 |
||
STUN/MSTURN/UDP/3478 (in/out) |
Acesso de usuário externo para sessões de A/V (UDP) |
||
STUN/MSTURN/TCP/443 (in) |
Acesso de usuário externo para sessões de A/V e mídia (TCP) |
Detalhes do firewall para borda consolidada única/em escala com balanceamento de carga de DNS: interface interna
| Protocolo/porta | Usado para |
|---|---|
SIP/MTLS/5061 (in/out) |
Tráfego SIP |
PSOM/MTLS/8057 (out) |
Tráfego de webconferências do pool-para-Borda |
SIP/MTLS/5062 (out) |
Autenticação de usuários de A/V (Serviço de Autenticação de A/V) |
STUN/MSTURN/UDP/3478 (out) |
Caminho preferencial para transferência de mídia entre usuários internos e externos (UDP) |
STUN/MSTURN/TCP/443 (out) |
Caminho alternativo para transferência de mídia entre usuários internos e externos (TCP) |
HTTPS 4443 (out) |
Aplicar atualizações do Repositório de Gerenciamento Central em Servidores de Borda |
Detalhes do firewall para o servidor de proxy reverso: interface externa
| Protocolo/Porta | Use para o |
|---|---|
HTTP 80 (in) |
(Opcional) Redirecionamento para HTTPS se o usuário acidentalmente inserir http://FQDNdoSitepublicado. Também necessário se você estiver usando o Serviço de Descoberta Automática para dispositivos móveis executando o Lync, em situações em que a organização não deseja modificar o certificado de regra de publicação dos serviços web externos. |
HTTPS 443 (in) |
Downloads do catálogo de endereços, serviço de consultas web no Catálogo de Endereços, atualizações do cliente, conteúdo de conferências atualizações do dispositivo, expansão de grupo, conferência discada e conferências. |
Detalhes do firewall para o servidor de proxy reverso: interface interna
| Protocolo/porta | Usado para |
|---|---|
HTTP 8080 (in) |
Necessário se estiver usando o Serviço de Descoberta Automática para dispositivos móveis executando o Lync em situações em que a organização não deseja modificar o certificado de regra de publicação dos serviços web externos. O tráfego enviado para a porta 80 na interface externa do proxy reverso é redirecionado para um pool na porta 8080 a partir da interface interna do proxy reverso, para que os Serviços Web do pool possam distingui-lo do tráfego web interno. |
HTTPS 4443 (in) |
O tráfego enviado para a porta 443 na interface externa do proxy reverso é redirecionado para um pool na porta 4443 a partir da interface interna do proxy reverso, para que os serviços web do pool possam distingui-lo do tráfego web interno |
.gif "note") Observação: |
|---|
| Ao ler as tabelas anteriores, (in) refere-se ao tráfego fluindo de uma rede menos confiável para uma rede mais confiável, como Internet-para-perímetro ou perímetro-para-corporativa. Por exemplo, o tráfego da Internet para a interface externa do proxy reverso ou da interface interna do proxy reverso para um pool Standard Edition ou o VIP do balanceador de carga do hardware associado a um pool de Front End. |
Configurações de portas externas requeridas para a topologia de borda consolidada em escala (com balanceamento de carga de DNS): Nó 1 da interface externa
| Função de borda | Endereço IP de origem | Porta de origem | Endereço IP de destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
Acesso |
10.45.16.10 |
Qualquer um |
Qualquer um |
80 |
TCP |
HTTP |
|
Acesso |
10.45.16.10 |
Qualquer um |
Qualquer um |
53 |
UDP |
DNS |
|
Acesso |
Qualquer um |
Qualquer um |
10.45.16.10 |
443 |
TCP |
SIP (TLS) |
Tráfego SIP do cliente para o servidor para acesso de usuário externo |
Acesso |
Qualquer um |
Qualquer um |
10.45.16.10 |
5061 |
TCP |
SIP (MTLS) |
Para conectividade federada e de IM público usando SIP |
Acesso |
10.45.16.10 |
Qualquer um |
Qualquer um |
5061 |
TCP |
SIP (MTLS) |
Para conectividade federada e de IM público usando SIP |
Webconferência |
Qualquer um |
Qualquer um |
10.45.16.20 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.30 |
50.000 – 59.999 |
Qualquer um |
Qualquer um |
TCP |
RTP |
Necessário somente para compartilhamento da área de trabalho com parceiros executando o Office Communications Server 2007 R2. Também necessário para compartilhamento de aplicativos ou transferência de arquivos com usuários federados do Lync Server 2010 e sessões de A/V com o Windows Live Messenger. |
A/V |
10.45.16.30 |
50.000 – 59.999 |
Qualquer um |
Qualquer um |
UDP |
RTP |
Necessário somente para federação com parceiros que estejam executando o Office Communications Server 2007. |
A/V |
Qualquer um |
Qualquer um |
10.45.16.30 |
50.000 – 59.999 |
TCP |
RTP |
Necessário somente para federação com parceiros que estejam executando o Office Communications Server 2007. |
A/V |
Qualquer um |
Qualquer um |
10.45.16.30 |
50.000 – 59.999 |
UDP |
RTP |
Necessário somente para federação com parceiros que estejam executando o Office Communications Server 2007. |
A/V |
10.45.16.30 |
3478 |
Qualquer um |
3478 |
UDP |
STUN/MSTURN |
A saída 3478 é usada para determinar a versão do Servidor de Borda com que o Lync Server 2010 está se comunicando e para tráfego de mídia de Servidor de Borda para Servidor de Borda. Necessário para federação com o Lync Server 2010, o Windows Live Messenger e o Office Communications Server 2007 R2 e também se vários pools de Borda estiverem implantados na empresa. |
A/V |
Qualquer um |
Qualquer um |
10.45.16.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualquer um |
Qualquer um |
10.45.16.30 |
443 |
TCP |
STUN/MSTURN |
Configurações de portas externas requeridas para a topologia de borda consolidada em escala (com balanceamento de carga de DNS): Nó 2 da interface externa
| Função de borda | Endereço IP de origem | Porta de origem | Endereço IP de destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
Acesso |
10.45.16.11 |
Qualquer um |
Qualquer um |
80 |
TCP |
HTTP |
|
Acesso |
10.45.16.11 |
Qualquer um |
Qualquer um |
53 |
UDP |
DNS |
|
Acesso |
Qualquer um |
Qualquer um |
10.45.16.11 |
443 |
TCP |
SIP (TLS) |
Tráfego SIP do cliente para o servidor para acesso de usuário externo |
Acesso |
Qualquer um |
Qualquer um |
10.45.16.11 |
5061 |
TCP |
SIP (MTLS) |
Para conectividade federada e de IM público usando SIP |
Acesso |
10.45.16.11 |
Qualquer um |
Qualquer um |
5061 |
TCP |
SIP (MTLS) |
Para conectividade federada e de IM público usando SIP |
Webconferência |
Qualquer um |
Qualquer um |
10.45.16.21 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.31 |
50.000 – 59.999 |
Qualquer um |
Qualquer um |
TCP |
RTP |
Necessário somente para compartilhamento da área de trabalho com parceiros executando o Office Communications Server 2007 R2. Também necessário para compartilhamento de aplicativos ou transferência de arquivos com usuários federados do Lync Server 2010 e sessões de A/V com o Windows Live Messenger. |
A/V |
10.45.16.31 |
50.000 – 59.999 |
Qualquer um |
Qualquer um |
UDP |
RTP |
Necessário somente para federação com parceiros que estejam executando o Office Communications Server 2007. |
A/V |
Qualquer um |
Qualquer um |
10.45.16.31 |
50.000 – 59.999 |
TCP |
RTP |
Necessário somente para federação com parceiros que estejam executando o Office Communications Server 2007. |
A/V |
Qualquer um |
Qualquer um |
10.45.16.31 |
50.000 – 59.999 |
UDP |
RTP |
Necessário somente para federação com parceiros que estejam executando o Office Communications Server 2007. |
A/V |
10.45.16.31 |
3478 |
Qualquer um |
3478 |
UDP |
STUN/MSTURN |
A saída 3478 é usada para determinar a versão do Servidor de Borda com que o Lync Server 2010 está se comunicando e para tráfego de mídia de Servidor de Borda para Servidor de Borda. Necessário para federação com o Lync Server 2010, o Windows Live Messenger e o Office Communications Server 2007 R2 e também se vários pools de Borda estiverem implantados na empresa. |
A/V |
Qualquer um |
Qualquer um |
10.45.16.31 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualquer um |
Qualquer um |
10.45.16.31 |
443 |
TCP |
STUN/MSTURN |
Configurações de portas externas requeridas para topologia de borda consolidada em escala (com balanceamento de carga de DNS): proxy reverso
| Função de borda | Endereço IP de origem | Porta de origem | Endereço IP de destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
Proxy reverso: N/A |
Qualquer um |
Qualquer um |
10.45.16.40 |
80 |
TCP |
SIP (TLS) |
(Opcional) Pode ser usado para redirecionar tráfego http para https. Também necessário se você estiver usando o Serviço de Descoberta Automática para dispositivos móveis executando o Lync, em situações em que a organização não deseja modificar o certificado de regra de publicação dos serviços web externos. |
Proxy reverso: N/A |
Qualquer um |
Qualquer um |
10.45.16.40 |
443 |
TCP |
HTTPS |
Configurações de portas do firewall interno requeridas para topologia de borda consolidada em escala (com balanceamento de carga de DNS): Nó 1 da interface interna
| Função de borda | Endereço IP de origem | Porta de origem | Endereço IP de destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
Acesso |
172.25.33.10 |
Qualquer um |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
O destino será o(s) próximo(s) servidore() do salto. No caso da arquitetura de referência, trata-se dos endereços IP dos dois Servidores Front End do pool. |
Acesso |
192.168.10.90 192.168.10.91 |
Qualquer um |
172.25.33.10 |
5061 |
TCP |
SIP (MTLS) |
A origem será o(s) próximo(s) servidore() do salto. No caso da arquitetura de referência, trata-se dos endereços IP dos dois Servidores Front End do pool. |
Acesso |
192.168.10.90 192.168.10.91 |
Qualquer um |
172.25.33.10 |
4443 |
TCP |
HTTPS |
Usado para replicação do Repositório de Gerenciamento Central, inclui todos os Servidores Front End. |
Webconferência |
Qualquer um |
Qualquer um |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 Qualquer Aparelho de Filial Persistente ou Servidor de Filial Persistente |
Qualquer um |
172.25.33.10 |
5062 |
TCP |
SIP (MTLS) |
Inclui todos os Servidores Front End usando este serviço de autenticação de A/V em particular. |
A/V |
Qualquer um |
Qualquer um |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualquer um |
Qualquer um |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
Configurações das portas do firewall interno requeridas para topologia de borda consolidada em escala (com balanceamento de carga de DNS): Nó 2 da interface interna
| Função de borda | Endereço IP de origem | Porta de origem | Endereço IP de destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
Acesso |
172.25.33.11 |
Qualquer um |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
O destino será o(s) próximo(s) servidore() do salto. No caso da arquitetura de referência, trata-se dos endereços IP dos dois Servidores Front End do pool. |
Acesso |
192.168.10.90 192.168.10.91 |
Qualquer um |
172.25.33.11 |
5061 |
TCP |
SIP (MTLS) |
A origem será o(s) próximo(s) servidore() do salto. No caso da arquitetura de referência, trata-se dos endereços IP dos dois Servidores Front End do pool. |
Acesso |
192.168.10.90 192.168.10.91 |
Qualquer um |
172.25.33.11 |
4443 |
TCP |
HTTPS |
Usado para replicação do Repositório de Gerenciamento Central, inclui todos os Servidores Front End. |
Webconferência |
Qualquer um |
Qualquer um |
172.25.33.11 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 Qualquer Aparelho de Filial Persistente ou Servidor de Filial Persistente |
Qualquer um |
172.25.33.11 |
5062 |
TCP |
SIP (MTLS) |
Inclui todos os Servidores Front End usando este serviço de autenticação de A/V em particular. |
A/V |
Qualquer um |
Qualquer um |
172.25.33.11 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualquer um |
Qualquer um |
172.25.33.11 |
443 |
TCP |
STUN/MSTURN |
Configurações das portas do firewall interno requeridas para topologia de borda consolidada em escala (com balanceamento de carga de DNS): proxy reverso
| Função de borda | Endereço IP de origem | Porta de origem | Endereço IP de destino | Porta de destino | Transporte | Aplicativo | Observações |
|---|---|---|---|---|---|---|---|
Proxy reverso: N/A |
172.25.33.40 |
Qualquer um |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(Opcional) Necessário se estiver usando o Serviço de Descoberta Automática para dispositivos móveis executando o Lync em situações em que aorganização não deseja mpdificar o certificado na regra de publicação dos serviços web externos. |
Proxy reverso: N/A |
172.25.33.40 |
Qualquer um |
192.168.10.190 |
4443 |
TCP |
HTTPS |