Сводка по портам — единая консолидированная пограничная топология с закрытыми IP-адресами и трансляцией сетевых адресов в Lync Server 2013
Последнее изменение раздела: 2013-04-03
Функциональные возможности Lync Server 2013, edge Server, описанные в этой архитектуре сценария, очень похожи на функции, реализованные в Lync Server 2010. Наиболее заметным дополнением является порт 5269 через запись TCP для расширяемого протокола обмена сообщениями и присутствия (XMPP). При необходимости Lync Server 2013 развертывает прокси-сервер XMPP на пограничном сервере или в пограничном пуле, а сервер шлюза XMPP — на сервере переднего плана или в пуле переднего плана.
В дополнение к протоколу IPv4 пограничный сервер теперь поддерживает протокол IPv6. Для ясности в сценариях используется только протокол IPv4.
Сетевой периметр для одного консолидированного пограничного сервера с частным IP-адресированием с помощью NAT
.jpg "f8c144c5-e5fb-498a-823e-eb39f26b6847")
Сведения о портах и протоколах
Рекомендуется открывать только порты, необходимые для поддержки функций, для которых предоставляется внешний доступ.
Для удаленного доступа к любой пограничной службе необходимо, чтобы трафик SIP был разрешен двунаправленно, как показано на рисунке входящего и исходящего пограничного трафика. Другой способ: обмен сообщениями SIP в службу Access Edge и из нее участвует в обмене мгновенными сообщениями, присутствии, веб-конференции, аудио- и видеосвязи (A/V) и федерации.
Сводка брандмауэра для одного консолидированного пограничного сервера с частными IP-адресами с помощью NAT: внешний интерфейс
| Role/Protocol/TCP, UDP/Port | IP-адрес источника | IP-адрес назначения | Примечания. |
|---|---|---|---|
XMPP/TCP/5269 |
Любой |
Служба прокси-сервера XMPP (предоставляет IP-адрес службе Access Edge) |
Прокси-служба XMPP принимает трафик от контактов XMPP в определенных федерациях XMPP. |
Access/HTTP/TCP/80 |
Пограничное пограничное управление доступом к серверу |
Любой |
Отзыв сертификата или проверка crl и извлечение |
Access/DNS/TCP/53 |
Пограничное пограничное управление доступом к серверу |
Любой |
Запрос DNS по протоколу TCP |
Access/DNS/UDP/53 |
Пограничное пограничное управление доступом к серверу |
Любой |
Запрос DNS по протоколу UDP |
Access/SIP(TLS)/TCP/443 |
Любой |
Пограничное пограничное управление доступом к серверу |
Трафик SIP между клиентами и серверами для доступа внешних пользователей |
Access/SIP(MTLS)/TCP/5061 |
Любой |
Пограничное пограничное управление доступом к серверу |
Для федеративного и общедоступного обмена мгновенными сообщениями с помощью SIP |
Access/SIP(MTLS)/TCP/5061 |
Пограничное пограничное управление доступом к серверу |
Любой |
Для федеративного и общедоступного обмена мгновенными сообщениями с помощью SIP |
Веб-конференции/PSOM(TLS)/TCP/443 |
Любой |
Edge Server Web Conferencing Edge service |
Носитель веб-конференций |
A/V/RTP/TCP/50,000-59,999 |
Пограничный сервер A/V пограничной службы |
Любой |
Требуется для федерации с партнерами, работающими под управлением Office Communications Server 2007, Office Communications Server 2007 R2, Lync Server 2010 и Lync Server 2013. |
A/V/RTP/UDP/50,000-59,999 |
Пограничный сервер A/V пограничной службы |
Любой |
Требуется только для федерации с партнерами, работающими под управлением Office Communications Server 2007. |
A/V/RTP/TCP/50,000-59,999 |
Любой |
Пограничный сервер A/V пограничной службы |
Требуется только для федерации с партнерами, работающими под управлением Office Communications Server 2007 |
A/V/RTP/UDP/50,000-59,999 |
Любой |
Пограничный сервер A/V пограничной службы |
Требуется только для федерации с партнерами, работающими под управлением Office Communications Server 2007 |
A/V/STUN,MSTURN/UDP/3478 |
Пограничный сервер A/V пограничной службы |
Любой |
Исходящий трафик 3478 используется для определения версии пограничного сервера, с которую взаимодействует Lync Server, а также для трафика мультимедиа с пограничного сервера на пограничный сервер. Требуется для федерации с Lync Server 2010, Windows Live Messenger и Office Communications Server 2007 R2, а также при развертывании нескольких пограничных пулов в компании. |
A/V/STUN,MSTURN/UDP/3478 |
Любой |
Пограничный сервер A/V пограничной службы |
Согласование кандидатов по протоколу STUN/TURN по протоколу UDP/3478 |
A/V/STUN,MSTURN/TCP/443 |
Любой |
Пограничный сервер A/V пограничной службы |
Согласование кандидатов по протоколу STUN/TURN по протоколу TCP/443 |
A/V/STUN,MSTURN/TCP/443 |
Пограничный сервер A/V пограничной службы |
Любой |
Согласование кандидатов по протоколу STUN/TURN по протоколу TCP/443 |
Сводка по брандмауэру для одного консолидированного пограничного сервера с частными IP-адресами с использованием NAT: внутренний интерфейс
| Протокол, TCP или UDP/порт | IP-адрес источника | IP-адрес назначения | Комментарии |
|---|---|---|---|
XMPP/MTLS/TCP/23456 |
Любой (может быть определен как IP-адрес сервера Standard Edition, IP-адрес сервера Standard Edition или IP-адрес пула под управлением службы шлюза XMPP). |
Внутренний интерфейс пограничного сервера |
Исходящий трафик XMPP из службы шлюза XMPP, работающей на сервере переднего плана или в пуле переднего плана |
SIP/MTLS/TCP/5061 |
Любой (может быть определен как "Директор", "IP-адрес пула директоров", "Сервер переднего плана" или "IP-адрес пула переднего плана"). |
Внутренний интерфейс пограничного сервера |
Исходящий трафик SIP (от каталога, IP-адреса пула директоров, интерфейсного сервера или интерфейсного пула) к внутреннему интерфейсу пограничного сервера |
SIP/MTLS/TCP/5061 |
Внутренний интерфейс пограничного сервера |
Любой (может быть определен как "Директор", "IP-адрес пула директоров", "Сервер переднего плана" или "IP-адрес пула переднего плана"). |
Входящий трафик SIP (к директору, IP-адресу пула директоров, серверу переднего плана или IP-адресу пула переднего плана) из внутреннего интерфейса пограничного сервера |
PSOM/MTLS/TCP/8057 |
Любой (может быть определен как IP-адрес сервера переднего плана или каждый IP-адрес переднего плана в пуле переднего плана) |
Внутренний интерфейс пограничного сервера |
Трафик веб-конференций с сервера переднего плана или каждого интерфейсного сервера, если он есть в пуле, на внутренний интерфейс пограничного сервера |
SIP/MTLS/TCP/5062 |
Любой (может быть определен как IP-адрес сервера переднего плана, IP-адрес пула переднего плана или любое устройство для обеспечения связи филиала или сервер филиала, использующий этот пограничный сервер). |
Внутренний интерфейс пограничного сервера |
Проверка подлинности пользователей A/V (служба проверки подлинности A/V) с IP-адреса интерфейсного сервера или пула переднего плана или любого устройства обеспечения связи филиала или сервера филиала с помощью этого пограничного сервера |
STUN/MSTURN/UDP/3478 |
Любой |
Внутренний интерфейс пограничного сервера |
Предпочтительный путь для передачи мультимедиа A/V между внутренними и внешними пользователями, устройством для обеспечения связи филиала или сервером ветвей связи |
STUN/MSTURN/TCP/443 |
Любой |
Внутренний интерфейс пограничного сервера |
Резервный путь для передачи мультимедиа A/V между внутренними и внешними пользователями, устройством обеспечения связи в филиале или сервером филиала, если не удается установить связь по протоколу UDP, протокол TCP используется для передачи файлов и общего доступа к рабочему столу. |
HTTPS/TCP/4443 |
Любой (может быть определен как IP-адрес сервера переднего плана или пул, содержащий центральное хранилище управления) |
Внутренний интерфейс пограничного сервера |
Репликация изменений из центрального хранилища управления на пограничный сервер |
MTLS/TCP/50001 |
Любой |
Внутренний интерфейс пограничного сервера |
Централизованный контроллер службы ведения журнала с помощью командной консоли Lync Server и командлетов централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и сбора журналов |
MTLS/TCP/50002 |
Любой |
Внутренний интерфейс пограничного сервера |
Централизованный контроллер службы ведения журнала с помощью командной консоли Lync Server и командлетов централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и сбора журналов |
MTLS/TCP/50003 |
Любой |
Внутренний интерфейс пограничного сервера |
Централизованный контроллер службы ведения журнала с помощью командной консоли Lync Server и командлетов централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и сбора журналов |
Сводка по брандмауэру для федерации
| Role/Protocol/TCP, UDP/Port | IP-адрес источника | IP-адрес назначения | Примечания. |
|---|---|---|---|
Access/SIP(MTLS)/TCP/5061 |
Общедоступный IP-адрес службы Access Edge |
Любой |
Для федеративного и общедоступного обмена мгновенными сообщениями с помощью SIP |
Сводка по брандмауэру — подключение к общедоступному обмену мгновенными сообщениями
| Role/Protocol/TCP, UDP/Port | IP-адрес источника | IP-адрес назначения | Примечания. |
|---|---|---|---|
Access/SIP(MTLS)/TCP/5061 |
Партнеры по подключению к общедоступному обмену мгновенными сообщениями |
Пограничное пограничное управление доступом к серверу |
Для федеративного и общедоступного обмена мгновенными сообщениями с помощью SIP |
Access/SIP(MTLS)/TCP/5061 |
Пограничное пограничное управление доступом к серверу |
Партнеры по подключению к общедоступному обмену мгновенными сообщениями |
Для федеративного и общедоступного обмена мгновенными сообщениями с помощью SIP |
Access/SIP(TLS)/TCP/443 |
Клиенты |
Пограничное пограничное управление доступом к серверу |
Трафик SIP между клиентами и серверами для доступа внешних пользователей |
A/V/RTP/TCP/50,000-59,999 |
Пограничный сервер A/V пограничной службы |
Клиенты Live Messenger |
Используется для сеансов A/V с Windows Live Messenger, если настроено общедоступное подключение для обмена мгновенными сообщениями. |
A/V/STUN,MSTURN/UDP/3478 |
Пограничный сервер A/V пограничной службы |
Клиенты Live Messenger |
Требуется для подключения к общедоступному обмену мгновенными сообщениями с Windows Live Messenger |
A/V/STUN,MSTURN/UDP/3478 |
Клиенты Live Messenger |
Пограничный сервер A/V пограничной службы |
Требуется для подключения к общедоступному обмену мгновенными сообщениями с Windows Live Messenger |
Сводка по брандмауэру для расширяемого протокола обмена сообщениями и присутствия
| Протокол, TCP или UDP/порт | Источник (IP-адрес) | Назначение (IP-адрес) | Комментарии |
|---|---|---|---|
XMPP/TCP/5269 |
Любой |
IP-адрес интерфейса пограничного интерфейса пограничной службы для доступа к пограничному серверу |
Стандартный порт связи между серверами для XMPP. Разрешает обмен данными с прокси-сервером XMPP пограничного сервера от федеративных партнеров XMPP |
XMPP/TCP/5269 |
IP-адрес интерфейса пограничного интерфейса пограничной службы для доступа к пограничному серверу |
Любой |
Стандартный порт связи между серверами для XMPP. Разрешает обмен данными с прокси-сервера XMPP пограничного сервера с федеративными партнерами XMPP. |
XMPP/MTLS/TCP/23456 |
Любой |
Каждый внутренний IP-адрес интерфейса пограничного сервера |
Внутренний трафик XMPP из шлюза XMPP на сервере переднего плана или пуле переднего плана на внутренний IP-адрес пограничного сервера или внутренний IP-адрес каждого участника пограничного пула |