參考架構 3:調整式合併邊緣的連接埠摘要 (硬體負載平衡)
上次修改主題的時間: 2012-11-02
除了以下各項要點之外,本參考架構描述的 Lync Server 2010 Edge Server 功能與先前在 Office Communications Server 2007 R2 中介紹的功能相似:
連接埠 8080 為選用,可供執行 Lync 的行動裝置在不適合修改外部 Web 服務發行規則憑證的情況下 (例如具有大量 SIP 網域時),用來尋找自動探索服務。
連接埠 4443 用於將反向 Proxy 內部介面的流量路由傳送至集區虛擬 IP (VIP)。
連接埠 4443 用於將集區前端伺服器的流量路由傳送至 Edge 內部介面。
目前有數個適用於 50,000 – 59,999 連接埠範圍的選項,不過<參考架構 3:調整式合併邊緣 (硬體負載平衡)>中的經過調整再合併的 Edge 拓撲 (硬體負載已平衡) 圖表顯示與舊版 Office Communications Server 互通性的一般設定。如需設定此連接埠範圍的選項詳細資訊,請參閱<決定外部 A/V 防火牆和連接埠需求>。
調整式合併邊緣搭配硬體負載平衡的企業周邊網路
.jpg "調整式合併 Edge HLB 周邊網路")
在閱讀上述表格時,請將「(輸入)」 解讀為從較不受信任的網路流向較受信任網路的流量,例如「網際網路到周邊網路」或「周邊網路到公司網路」。例如,從網際網路到 Edge 外部介面的流量,或是從 Edge 內部介面到下一個躍點集區的流量,皆屬此類流量。「(輸出)」 則是指從較受信任的網路流向較不受信任網路的流量,例如「公司網路到周邊網路」或「周邊網路到網際網路」。例如,從公司集區到 Edge 內部介面的流量,或是從 Edge 外部介面到網際網路的流量,皆屬此類流量。而「(輸入/輸出)」 則是指雙向流動的流量。
輸入/輸出 Edge 流量
.jpg "Edge 輸入/輸出圖表")
我們建議您僅針對要提供給外部存取的功能,開啟支援所需的連接埠。
若要使任何邊緣服務的遠端存取能正常運作,您必須使 SIP 流量得以雙向流動,如「調整式合併邊緣拓撲 (硬體負載平衡)」圖表所示。換句話說,Access Edge Service 會涉及立即訊息 (IM)、顯示狀態、Web 會議與音訊/視訊 (A/V) 等功能。
調整式合併邊緣搭配硬體負載平衡的防火牆摘要:外部介面
| 通訊協定/連接埠 | 用途 | ||
|---|---|---|---|
HTTP 80 (輸出) |
下載憑證撤銷清單 |
||
DNS 53 (輸出) |
外部 DNS 查詢 |
||
SIP/TLS/443 (輸入) |
遠端使用者存取的用戶端到伺服器 SIP 流量 (僅開放 Access Edge 外部 VIP,不開放個別的 Edge 集區伺服器) |
||
SIP/MTLS/5061 (輸入) |
使用裝載 Exchange 服務的同盟和連線。僅開放 Access Edge 外部 VIP (不開放個別的 Edge 集區伺服器)。 |
||
PSOM/TLS/443 (輸入) |
匿名和同盟使用者加入 Web 會議的遠端使用者存取。僅開放 Web Conferencing Edge 外部 VIP (不開放個別的 Edge 集區伺服器)。 |
||
RTP/TCP/50K 範圍 (輸入) |
媒體交換 (如需詳細資訊,請參閱決定外部 A/V 防火牆和連接埠需求) 進行 Office Communications Server 2007 的交互操作必須使用 |
||
RTP/TCP/50K 範圍 (輸出) |
媒體交換 (如需詳細資訊,請參閱決定外部 A/V 防火牆和連接埠需求) 進行 Office Communications Server 2007 的交互操作必須使用 進行 Office Communications Server 2007 R2 桌面共用與同盟時必須使用 進行 Lync Server 2010 應用程式共用和檔案傳輸時必須使用。 Windows Live Messenger 的 A/V
|
||
RTP/UDP/50K 範圍 (輸入) |
媒體交換 (如需詳細資料,請參閱〈決定外部 A/V 防火牆和連接埠需求〉) 進行 Office Communications Server 2007 的交互操作必須使用 |
||
RTP/UDP/50K 範圍 (輸出) |
媒體交換 (如需詳細資訊,請參閱〈決定外部 A/V 防火牆和連接埠需求〉) 進行 Office Communications Server 2007 的交互操作必須使用 |
||
STUN/MSTURN/UDP/3478 (輸入/輸出) |
外部使用者存取 A/V 工作階段 (UDP) (開放 A/V Edge 外部 VIP 和個別的 Edge Server) |
||
STUN/MSTURN/TCP/443 (輸入) |
外部使用者存取 A/V 工作階段和媒體 (TCP) (開放 A/V Edge 外部 VIP 和個別的 Edge Server) |
調整式合併邊緣搭配硬體負載平衡的防火牆摘要:內部介面
| 通訊協定/連接埠 | 用途 |
|---|---|
SIP/MTLS/5061 (輸入/輸出) |
SIP 流量。開放 Edge 內部 VIP 和個別的 Edge 集區伺服器。 |
PSOM/MTLS/8057 (輸出) |
集區到 Edge 的 Web 會議流量 (僅開放個別的 Edge Server)。 |
SIP/MTLS/5062 (輸出) |
驗證 A/V 使用者 (即 A/V 驗證服務) (開放 Edge 內部 VIP 和個別的 Edge Server) |
STUN/MSTURN/UDP/3478 (輸出) |
內部使用者和外部使用者之間的慣用媒體傳輸路徑 (UDP) (開放 Edge 內部 VIP 和個別的 Edge Server) |
STUN/MSTURN/TCP/443 (輸出) |
內部使用者和外部使用者之間的替代媒體傳輸路徑 (TCP) (開放 Edge 內部 VIP 和個別的 Edge Server) |
HTTPS 4443 (輸出) |
將 CMS 資料庫更新推送至 Edge 節點 (僅開放個別的 Edge Server) |
反向 Proxy 伺服器的防火牆詳細資料:外部介面
| 通訊協定/連接埠 | 用途 |
|---|---|
HTTP 80 (輸入) |
(選擇性) 在使用者不慎輸入 http://<發佈的網站 FQDN> 時重新導向至 HTTPS。 在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,會需要此項目。 |
HTTPS 443 (輸入) |
通訊錄下載、通訊錄 Web 查詢服務、用戶端更新、會議內容、裝置更新、群組擴充、電話撥入式會議及會議。 |
反向 Proxy 伺服器的防火牆詳細資料:內部介面
| 通訊協定/連接埠 | 用途 |
|---|---|
HTTP 8080 (輸入) |
如果在客戶不想修改外部 Web 服務發行規則憑證的情況下,針對執行 Lync 的行動裝置使用自動探索服務,則需要此連接埠。 傳送至反向 Proxy 外部介面之連接埠 80 的流量,會從反向 Proxy 內部介面重新導向至連接埠 8080 上的集區,讓集區 Web 服務能夠區分此類流量與內部 Web 流量。 |
HTTPS 4443 (輸入) |
傳送至反向 Proxy 外部介面之連接埠 443 的流量,會從反向 Proxy 內部介面重新導向至連接埠 4443 上的集區,讓集區 Web 服務能夠區分此類流量與內部 Web 流量。 |
.gif "note") 附註: |
|---|
| 在閱讀上文中的表格時,(輸入) 表示從較不受信任之網路進入較受信任之網路的流量。例如從網際網路至周邊網路,或從周邊網路至公司網路。例如,從網際網路進入反向 Proxy 外部介面,抑或是從反向 Proxy 內部介面進入 Standard Edition 集區或與 Enterprise Edition 集區相關聯之硬體負載平衡器 VIP 的流量。 |
調整式合併邊緣拓撲 (硬體負載平衡) 的必要外部連接埠設定:外部介面虛擬 IP
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
存取 |
任何一個 |
任何一個 |
131.107.155.110 |
443 |
TCP |
SIP (TLS) |
外部使用者存取的用戶端至伺服器 SIP 流量 |
存取 |
任何一個 |
任何一個 |
131.107.155.110 |
5061 |
TCP |
SIP (MTLS) |
適用於使用 SIP (輸入) 的同盟和公用 IM 連線 |
Web 會議 |
任何一個 |
任何一個 |
131.107.155.120 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
任何一個 |
任何一個 |
131.107.155.130 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
任何一個 |
任何一個 |
131.107.155.130 |
443 |
TCP |
STUN/MSTURN |
調整式合併邊緣拓撲 (硬體負載平衡) 的必要外部連接埠設定:外部介面節點 1
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
存取 |
131.107.155.10 |
任何一個 |
任何一個 |
80 |
TCP |
HTTP |
|
存取 |
131.107.155.10 |
任何一個 |
任何一個 |
53 |
UDP |
DNS |
|
存取 |
131.107.155.10 |
任何一個 |
任何一個 |
5061 |
TCP |
SIP (MTLS) |
適用於使用 SIP (輸出) 的同盟和公用 IM 連線 |
A/V |
131.107.155.30 |
50,000 – 59,999 |
任何一個 |
任何一個 |
TCP |
RTP |
僅與執行 Office Communications Server 2007 R2 之協力廠商進行桌面共用時必須使用。 此外,與 Lync Server 2010 同盟使用者進行應用程式共用或檔案傳輸,以及透過 Windows Live Messenger 執行 A/V 工作階段時,也必須使用。 |
A/V |
131.107.155.30 |
50,000 – 59,999 |
任何一個 |
任何一個 |
UDP |
RTP |
僅與執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
任何一個 |
任何一個 |
131.107.155.30 |
50,000 – 59,999 |
TCP |
RTP |
僅與執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
任何一個 |
任何一個 |
131.107.155.30 |
50,000 – 59,999 |
UDP |
RTP |
僅與執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
131.107.155.30 |
任何一個 |
任何一個 |
3478 |
UDP |
STUN/MSTURN |
3478 輸出可用來判斷與 Lync Server 2010 通訊中的 Edge Server 版本,以及用於從 Edge Server 至 Edge Server 間的媒體流量。 在與 Lync Server 2010 進行同盟、使用 Windows Live Messenger 與 Office Communications Server 2007 R2 時,以及在公司中部署了多個 Edge 集區時,必須要使用。 |
A/V |
任何一個 |
任何一個 |
131.107.155.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
任何一個 |
任何一個 |
131.107.155.30 |
443 |
TCP |
STUN/MSTURN |
調整式合併邊緣拓撲 (硬體負載平衡) 的必要外部連接埠設定:外部介面節點 2
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
存取 |
131.107.155.11 |
任何一個 |
任何一個 |
80 |
TCP |
HTTP |
|
存取 |
131.107.155.11 |
任何一個 |
任何一個 |
53 |
UDP |
DNS |
|
存取 |
131.107.155.11 |
任何一個 |
任何一個 |
5061 |
TCP |
SIP (MTLS) |
適用於使用 SIP (輸出) 的同盟和公用 IM 連線 |
A/V |
131.107.155.31 |
50,000 – 59,999 |
任何一個 |
任何一個 |
TCP |
RTP |
僅與執行 Office Communications Server 2007 R2 之協力廠商進行桌面共用時必須使用。 此外,與 Lync Server 2010 同盟使用者進行應用程式共用或檔案傳輸,以及透過 Windows Live Messenger 執行 A/V 工作階段時,也必須使用。 |
A/V |
131.107.155.31 |
50,000 – 59,999 |
任何一個 |
任何一個 |
UDP |
RTP |
僅與執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
任何一個 |
任何一個 |
131.107.155.31 |
50,000 – 59,999 |
TCP |
RTP |
僅與執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
任何一個 |
任何一個 |
131.107.155.31 |
50,000 – 59,999 |
UDP |
RTP |
僅與執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
131.107.155.31 |
任何一個 |
任何一個 |
3478 |
UDP |
STUN/MSTURN |
3478 輸出可用來判斷與 Lync Server 2010 通訊中的 Edge Server 版本,以及用於從 Edge Server 至 Edge Server 間的媒體流量。 在與 Lync Server 2010 進行同盟、使用 Windows Live Messenger 與 Office Communications Server 2007 R2 時,以及在公司中部署了多個 Edge 集區時,必須要使用。 |
A/V |
任何一個 |
任何一個 |
131.107.155.31 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
任何一個 |
任何一個 |
131.107.155.31 |
443 |
TCP |
STUN/MSTURN |
調整式合併邊緣拓撲 (硬體負載平衡) 的必要外部連接埠設定:反向 Proxy
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
不適用 |
任何一個 |
任何一個 |
10.45.16.40 |
80 |
TCP |
SIP (TLS) |
(選擇性) 用於將 http 流量重新導向 https。 在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,會需要此項目。 |
不適用 |
任何一個 |
任何一個 |
10.45.16.40 |
443 |
TCP |
HTTPS |
調整式合併邊緣拓撲 (硬體負載平衡) 的必要內部連接埠設定:內部介面虛擬 IP
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
存取 |
192.168.10.90 192.168.10.91 |
任何一個 |
172.25.33.110 |
5061 |
TCP |
SIP (MTLS) |
|
A/V |
任何一個 |
任何一個 |
172.25.33.110 |
5062 |
TCP |
SIP (MTLS) |
包括使用這項特殊 A/V 驗證服務的所有前端伺服器以及任何 Survivable Branch Appliance 或 Survivable Branch 伺服器。 |
A/V |
任何一個 |
任何一個 |
172.25.33.110 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
任何一個 |
任何一個 |
172.25.33.110 |
443 |
TCP |
STUN/MSTURN |
調整式合併邊緣拓撲 (硬體負載平衡) 的必要內部連接埠設定:內部介面節點 1
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
存取 |
172.25.33.10 |
任何一個 |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
目的地將是下一個躍點伺服器。在參考架構的案例中,此為兩個集區前端伺服器的 IP 位址。 |
存取 |
192.168.10.90 192.168.10.91 |
任何一個 |
172.25.33.10 |
4443 |
TCP |
HTTPS |
用於複寫中央管理存放區,包括所有前端伺服器。 |
Web 會議 |
任何一個 |
任何一個 |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 |
任何一個 |
172.25.33.10 |
5062 |
TCP |
SIP(MTLS) |
媒體轉送驗證 |
A/V |
任何一個 |
任何一個 |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
任何一個 |
任何一個 |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
調整式合併邊緣拓撲 (硬體負載平衡) 的必要內部連接埠設定:內部介面節點 2
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
存取 |
172.25.33.11 |
任何一個 |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
目的地將是下一個躍點伺服器。在參考架構的案例中,此為兩個集區前端伺服器的 IP 位址。 |
存取 |
192.168.10.90 192.168.10.91 |
任何一個 |
172.25.33.11 |
4443 |
TCP |
HTTPS |
用於複寫中央管理存放區,包括所有前端伺服器。 |
Web 會議 |
任何一個 |
任何一個 |
172.25.33.11 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 |
任何一個 |
172.25.33.11 |
5062 |
TCP |
SIP(MTLS) |
媒體轉送驗證 |
A/V |
任何一個 |
任何一個 |
172.25.33.11 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
任何一個 |
任何一個 |
172.25.33.11 |
443 |
TCP |
STUN/MSTURN |
調整式合併邊緣拓撲 (硬體負載平衡) 的必要內部連接埠設定:反向 Proxy
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
不適用 |
172.25.33.40 |
任何一個 |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(選擇性) 在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,會需要此項目。 |
不適用 |
172.25.33.40 |
任何一個 |
192.168.10.190 |
4443 |
TCP |
HTTPS |