最近有点忙,所以更新的速度就慢了一些,真是非常抱歉。相信很多朋友都在等今天的边缘访问内容。在前面的文章里,我们已经完成了Lync Server 2010企业版的部署,已经能够实现组织内部的Lync功能。但对于很多企业来说这还远远不够,因为除了在组织内部使用,可能还需要在组织网络外部访问和使用Lync,以及召开一下包含来宾的会议、手机登录Lync、推送Lync消息等功能。而这些功能并不包含在我们之前部署的内容中的,而是需要进行单独的部署。因为要保证企业内部网络的安全,又要实现外部用户的访问并非是一件简单的事情,相比Exchange Server的边缘传输服务器,Lync Server的边缘服务器更加的复杂和严谨,所以这里我准备在稍后专门写一个新的系列形式进行边缘服务器相关文章的命名,为的是能够把边缘给大家讲清楚。今天我们先来看下大家非常关心的一个问题,Lync Server到底需要多少个公网IP地址?如何在保证Lync Server服务器安全的前提下节省公网IP地址?这就是今天我们要讲解的内容。
在Lync Server企业版搭建最初,我们已经做了一些基础准备,比如搭建边缘服务器、TMG的虚机等,但真正的准备工作在现在才算是开始。在开始做边缘之前,我们必须理解为什么需要边缘,并且需要如何搭建边缘。我们先来看一张图片,这是最标准的做法。
我们简单的来看下,首先是上面的反向代理,我们可以看到从最左侧的Internet进来的时候走SIP/TLS协议是80端口、HTTPS是443端口。但由于考虑到安全问题,在标准环境中我们的前端服务器是把内部Web服务URL和外部Web服务URL是分开成两个虚拟服务器,内部进来访问是内部Web服务URL,端口走的是默认的SIP/TLS协议即80端口,但外部进来访问时是访问外部Web服务URL,SIP/TLS是走8080端口(非默认端口);内部进来访问HTTPS加密传输走的是默认的SSL端口443,而外部进来的则是访问的是4443(非默认端口)。但又要让用户在内外部获得同样的体验,就必须在从外部进来的时候采取一个方法,来将进来的80端口重定向到8080去,将443端口重定向到4443端口去。并且在出去的时候也进行反向的重定向,把从8080端口出去的数据重定向到80端口,把4443端口出去的数据重定向到443端口。而这个方法的提供者就是我们的反向代理。
如果说反向代理是用来解决外部访问前端Web服务、下载通讯簿之类的问题的话,那么边缘服务器就是用来解决外部用户使用Lync的各种功能,包括PPT共享、远程控制、音视频服务等。而边缘服务器和前端服务都需要443端口,如果我们只有一个公网IP就会出现问题,
但应该不能发现以上的拓扑对于大多数企业来说都不可能做到那样的标准,并且如果我们要按照这样的拓扑进行搭建可能就有点偏离我们的主题了。所以我们来看一个简化的环境,也是我们来测试Lync边缘的拓扑图。
由于我们的环境和资源非常的有限,要完整的使用WAN-LAN的形式来测试外部访问可能比较困难。而上面的拓扑,是用我们的局域网来模拟WAN,配合我们之前搭建的封闭虚机网络LAN,来实现对Lync边缘的评估。上图中左侧的“模拟外部网络”是指我们物理环境真实的局域网,而右侧的“组织网络”是虚机内部网络。中间通过我们的TMG、反向代理来访问“WAN”。那么按照这样的思路,我们需要几个公网IP地址呢?
那么Lync发布到公网到底需要几个公网IP?
我想这是很多朋友都在关注的问题。在进行公网发布之前,我们必须明确的理解一点,边缘服务器是用于外部访问的,而在不部署边缘服务器的情况下,我们的Lync Server是无法从公网访问的。可能大家觉得我说的是废话,我们仔细的理解一下这句话的意思就会明白这句话还有一个意思,那就是在没有部署外部访问时我们任意的Lync Server服务器都不需要连接到公网,无论是通过NAT、防火墙IP映射还是直接分配静态公网IP。具体的我们可以来看一下上面的拓扑图,在有侧下方是我们的内部网络,其中有前端、后端及目录服务器,在没有部署外部访问的时候他们根本不需要连接到组织网络的外围。
我们下面具体的来看一下部署了外部访问之后,我们的外围网络是什么样的一个拓扑。这里简化了其他角色,只保留了Lync Server角色,拓扑包括整个Lync Server内部网络、一个内部、和一个边缘防火墙、反向代理及边缘服务器。当然这里是一个最标准的企业拓扑图,在组织内部将网络进行了VLAN划分,其中Lync Server内部网络是在192.168.10.0,外围网络是10.45.16.1。我们可以看见在边缘防火墙的左侧是Internet网络,看到这里我们的答案就揭晓了。在标准的企业网里需要4个IP地址,分别是反向代理所需要一个IP地址,边缘访问、边缘web会议、边缘音视频服务各需要一个。
到这里可能很多朋友就纳闷了,现在公网IP这么难搞,一个Lync Server就要使用4个公网IP,简直太不可思议了,这是绝对不被允许的。是的,这确实在当下IPv4资源稀缺的情况下,是不被允许的。所以我们再来看下面一张拓扑图。可能看到下面这张拓扑图,大家就没那么愁了,因为到这里Lync Server就只需要两个公网IP了。
什么?为什么一下子就少了两个,少了两个公网IP需求是因为我们可以在部署边缘的时候,选择让边缘服务器上的边缘服务使用相同的外部FQDN和外部IP地址,但使用不同端口。
前面一句很好理解,即下面这张拓扑的左下角所表示的,从上面的边缘访问、边缘web、边缘音视频服务各需一个IP和FQDN,变成了同一个IP和FQDN。这时朋友就在想了,能用一个公网IP搞定的事情谁会傻着去用三个公网IP,我们部署时直接参考下面这种拓扑不就行了吗!这里就需要我们理解刚才那句话的后半部分了,使用不同端口!我们来看下一张图,这也是在部署时我们定义边缘时需要设置的内容,可以看到由于我们上面选择了使用相同FQDN和IP地址,所以这里的SIP访问、Web会议、音频视频都使用的是相同的FQDN,但端口可以看见并不是规范端口,比如442、444端口。
而在使用不同的FQDN和IP地址时,我们需要单独的配置每个FQDN(需要公网A记录),但端口则都是规范的443端口。
但为了减少对公网IP的需求,我们在大多数时候还是会选择让边缘服务器的边缘访问服务使用相同的外部FQDN和IP地址,但使用不同端口。可能细心的朋友会发现,这里我们三个端口都没有使用规范端口,是为什么呢?按理说我们可以设置一个FQDN为规范端口,然后只需要设置两个非规范端口即可。其实很简单,这些端口我们在设置之后,我们从各种客户端登录之后会自动通过这些端口来访问,在这个过程中我们不会感觉到任何的异样。所以这里我们两个或者三个端口设置成非规范端口是一样的,但我们这里如果三个端口都设置成非规范端口,这样我们就可以再次的省下一个公网IP,即只需要一个公网IP地址。因为这里设置三个非规范端口后,我们就可以把443端口留给Web服务URL。
为什么一定要刻意的把443端口留给Web服务URL,是因为这些端口是我们在客户端中看得见的,也是使用得到的。比如,我们在访问meet的时候,如果使用非规范端口,就需要访问http://meet.contoso.com:441,而不能直接通过https://meet.contoso.com。这是一个最简单的例子,还有诸如我们的前端池、通讯簿下载等都需要使用这个端口,所以把这个端口留给Web服务URL意义非常重大。
但这里需要注意的是,我们并不是直接把443端口留给前端,而是留给反向代理,通过反向代理来保障前端的安全,而非直接把前端丢出去,还有一个原因就是用来节约一个公网IP地址。所以,Lync Server的部署其实是非常灵活的,在最苛刻的情况下Lync Server可以只是用一个公网IP来实现所有功能,包括外部访问、也不需要直接把前端服务器或边缘服务器放在防火墙前面。后面我会详细的给大家讲解如何部署这种只需要一个公网IP,但所有的Lync Server服务器又能够得到防火墙的保护,今天就先讲到这里。
本文转自 reinxu 51CTO博客,原文链接:http://blog.51cto.com/reinember/824599,如需转载请自行联系原作者