При внедрении Microsoft Teams Direct Routing необходимо понять, каким образом будет идти голосовой трафик от клиента Microsoft Teams до Пограничного Контроллера Сессий (SBC) и соответственно корректно открыть доступ для SBC в сторону публичного интернета. В данной статье будет описаны различные варианты внедрения SBC, в зависимости от требований заказчика по прохождению голосового трафика от Teams клиента до SBC.
Для начала разберем, какие порты необходимы для работы сигнализации между SBC и внешними системами. Данные порты необходимы при любом варианте внедрения Microsoft Teams Direct Routing:
— Так как Teams Direct Routing работает по протоколу TLS, то это влечет за собой то, что всё работает по доменным именам. В связи с этим, необходимо, чтобы внешний интерфейс SBC имел доступ к DNS серверу. DNS сервер может быть как внутренний, так и внешний, например: «8.8.8.8»
— Для работы по протоколу SIP требуется открыть доступ к серверам Microsoft Teams. На данный момент это 10 серверов. Актуальный список серверов есть в документации AudioCodes – connecting AudioCodes SBC to Microsoft Teams Direct Routing в разделе Configure Firewall Settings. Но, так как компания Microsoft периодически добавляет сервера Direct Routing, то Microsoft с недавнего времени рекомендует определять не конкретные адреса, а весь пул адресов, где потенциально может появится новый сервер сигнализации Teams Direct Routing. А это следующие подсети:
- 112.0.0/14
- 120.0.0/14
Cо стороны серверов Microsoft Teams используется порт 5061. Со стороны SBC рекомендуется так же использовать порт 5061. При необходимости, на стороне SBC можно использовать порт отличный от 5061.
Остается вопрос с голосовым трафиком. И тут бывают различные варианты, которые зависят от возможностей и бизнес-требований заказчика. При этом не стоит забывать, что голосовой трафик – это трафик наиболее критичный к различным проблемам на сети. Так, например, несколько процентов потери пакетов могут привести к тому, что целое предложение не будет понятно удаленному собеседнику. Ниже приведены примеры сценариев настройки прохождения голосового трафика, в зависимости от требований к качеству голоса и возможностей корпоративной информационной безопасности. Данные схемы предусматривают централизованную схему, когда есть единый SBC для подключения всей корпоративной телефонии к Microsoft Teams Direct Routing. Если требуется распределенная инфраструктура, то требуется более детальное внедрение технологии – Local Media Optimization.
Ниже приведены примеры различных вариантов внедрения прохождения голосового трафика для Teams Direct Routing:
- Без-MediaByPass
Первый и самый простой вариант прохождение голосового трафика (без MediaByPass) – это когда весь голосовой трафик проходит через облако Microsoft Azure. Пример такого прохождения вызова представлен ниже:
При данном сценарии вызова, весь голосовой трафик гарантировано будет приходить со стороны облака Microsoft Azure. Этот метод позволяет упростить вопрос безопасности и совместимости между SBC и Microsoft Teams. Но при этом не стоит забывать, что весь голосовой трафик пойдет через дата центр Microsoft Azure, что может сказаться на качестве данного трафика. При таком сценарии потребуется открыть доступ от SBC для голосового трафика, на те же подсети, что и для сигнализации:
- 112.0.0/14
- 120.0.0/14
Со стороны SBC используются UDP порты 6000 – 65531. Со стороны Microsoft Teams используются порты 3478-3481 и 49152 – 53247. На стороне SBC данную область портов можно настроить. Тут указаны стандартные порты, которые создаются на SBC AudioCodes автоматически.
2. MediaByPass
Данный сценарий внедрения Microsoft Teams позволяет улучшить качество связи Microsoft Teams клиентов с внешней системой. При включении Media ByPass, весь голосовой трафик идёт от клиента Microsoft Teams напрямую на внешний интерфейс SBC, что позволяет избежать прохождение трафика через дополнительную петлю, тем самым увеличив качество связи. Пример такого вызова показан ниже:
В данном случае, сигнализация будет также приходить со стороны серверов Microsoft Teams, в то время как голос может приходить с любого IP адреса сети Интернет. Для этого потребуется открывать UDP порты 3478-3481 и 49152 – 53247 для всей сети Интернет. При этом со стороны SBC, порты по умолчанию будут такие же, как и со схемой без Media ByPass с возможностью настройки области данных портов.
3. Local Media Optimization
Одной из основных проблем при внедрении технологии Media ByPass является то, что может возникнуть ситуация, когда пользователь, находясь внутри периметра IP сети компании должен иметь доступ к внешнему интерфейсу SBC. При этом, сам SBC обычно находится не в публичной сети Интернет, а в сети DMZ и получается так, что пользователь должен иметь доступ из внутренней IP сети в сеть DMZ через Интернет, что во многих компаниях запрещено.
В этом случае SBC работает по-разному, в зависимости от того, где находится сотрудник в данный момент:
В случае, если сотрудник находится вне корпоративной сети, то голосовой трафик будет идти по схеме Media ByPass, описанной выше:
Если пользователь находится внутри периметра сети, то вызов пойдет на прямую между пользователем Microsoft Teams и внутренним интерфейсом SBC:
Данная схема позволит с одной стороны улучшить качество связи для пользователей Microsoft Teams, а с другой стороны обеспечить дополнительную защиту информационной безопасности и решить вопрос с прохождением трафика из внутренней сети во внешнюю сеть DMZ.
При таком варианте внедрения, на SBC должны быть открыты те же самые порты, что и при сценарии Media ByPass, а так же дополнительно должны быть открыты порты из внутренней сети на SBC для всех сетей, где могут находиться клиенты Microsoft Teams, включая Teams оборудование. Порты по умолчанию со стороны SBC UDP 6000 – 65531, со стороны Teams пользователей: 3478-3481 и 49152 – 53247.
Microsoft Teams позволяет достаточно детально определить, в каком случае пользователь будет использовать внутренний интерфейс SBC или внешний, включая настройки прохождения голосового трафика отдельно для пользователей, которые подключены к корпоративной сети с использованием VPN. Это позволяет настроить систему под требования информационной безопасности, сохранив максимальное качество связи.
Технология Local Media Optimization позволяет обеспечить оптимизацию голосового трафика при построении распределенной инфраструктуры и сделать региональные подключения без стыка с сетью Интернет, что обеспечивает высокое качество связи и дополнительную безопасность. Данная технология в данной статье не рассматривается.
Ниже приведена таблица портов по умолчанию для разных сценариев прохождения звонков. Все порты по умолчанию со стороны SBC указываются для SBC AudioCodes.
Без MediaByPass
Назначение | Адрес источника | Порт источника | Адрес назначение | Порт назначения |
DNS UDP | Внешний IP SBC | UDP: 53 | DNS Server | UDP: 53 |
DNS TCP | Внешний IP SBC | TCP | DNS Server | TCP:53 |
SIP Direct Routing | Внешний IP SBC | TCP (TLS) | 52.112.0.0/14 52.120.0.0/14 |
TCP(TLS): 5061 |
SIP Direct Routing | 52.112.0.0/14 52.120.0.0/14 |
TCP (TLS) | Внешний IP | TCP(TLS): 5061 |
Media outbound | Внешний IP SBC | UDP: 6000-65531 |
52.112.0.0/14 52.120.0.0/14 |
UDP:
3478-3481 |
Media inbound | 52.112.0.0/14 52.120.0.0/14 |
UDP:
3478-3481 |
Внешний IP SBC | UDP: 6000-65531 |
MediaByPass
Назначение | Адрес источника | Порт источника | Адрес назначение | Порт назначения |
DNS UDP | Внешний IP SBC | UDP: 53 | DNS Server | UDP: 53 |
DNS TCP | Внешний IP SBC | TCP | DNS Server | TCP:53 |
SIP Direct Routing | Внешний IP SBC | TCP (TLS) | 52.112.0.0/14 52.120.0.0/14 |
TCP(TLS): 5061 |
SIP Direct Routing | 52.112.0.0/14 52.120.0.0/14 |
TCP (TLS) | Внешний IP | TCP(TLS): 5061 |
Media outbound | Внешний IP SBC | UDP: 6000-65531 |
Public Internet | UDP:
3478-3481 |
Media inbound | Public Internet | UDP:
3478-3481 |
Внешний IP SBC | UDP: 6000-65531 |
Local Media Optimization
Назначение | Адрес источника | Порт источника | Адрес назначение | Порт назначения |
DNS UDP | Внешний IP SBC | UDP: 53 | DNS Server | UDP: 53 |
DNS TCP | Внешний IP SBC | TCP | DNS Server | TCP:53 |
SIP Direct Routing | Внешний IP SBC | TCP (TLS) | 52.112.0.0/14 52.120.0.0/14 |
TCP(TLS): 5061 |
SIP Direct Routing | 52.112.0.0/14 52.120.0.0/14 |
TCP (TLS) | Внешний IP | TCP(TLS): 5061 |
External
Media outbound |
Внешний IP SBC | UDP: 6000-65531 |
Public Internet | UDP:
3478-3481 |
External
Media inbound |
Public Internet | UDP:
3478-3481 |
Внешний IP SBC | UDP: 6000-65531 |
Internal
Media outbound |
Внутренний IP SBC | UDP: 6000-65531 |
Внутренняя IP сеть компании | UDP:
3478-3481 |
Internal
Media inbound |
Внутренняя IP сеть компании | UDP:
3478-3481 |
Внутренний IP SBC | UDP: 6000-65531 |