Parte III: Microsoft Teams DR en Azure – Configuración básica del SBC
DESPLIEGUE DE AUDIOCODES SBC VE EN AZURE
En esta 3ª entrega vamos a ver la configuración básica del SBC, en este articulo vamos a explicar:
- Prerrequisitos de la implementación
- Configuración básica de Seguridad
- Configuración TLS
Prerrequisitos de la implementación
¿Qué necesitamos para la configuración?
- Certificado Publico con al menos un SAN, no hace falta que sea multi SAN.
- Dar de alta en el DNS publico el FQDN del SBC
- Diseño de puertos y protocolos.
To SIPTrunk | Proxy Set | 5061 |
Señalización | UDP – TCP 5060 | |
Media | 6000 – 6500 | |
To TEAMS | Proxy Set | 5061 |
Señalización | TLS – 5067 | |
Media | 7000 – 7500 |
- Direccionamiento IP de Teams
52.114.148.0 | 52.114.132.46 | 52.114.75.24 | 52.114.76.76 | 52.114.7.24 | 52.114.14.70
sip.pstnhub.microsoft.com | sip2.pstnhub.microsoft.com | sip3.pstnhub.microsoft.com
Diseño de puertos y protocolos
En el diseño final quedaría de la siguiente manera.
Por un lado, tenemos la parte de Direct Routing, que conecta el SBC con Teams, para ello nos registraremos con el Proxy Set 5061, la señalización es SIP/TLS por el puerto 5076 y el trafico de MEDIA es el rango 7000 – 7500. En el caso de la PSTN, Tenemos la IP del SipTrunk contra el que nos registramos por el puerto 5061, pero en este caso la señalización es SIP/UDP_TCP 5060 y la media el rango 6000 – 6500
Configuración Básica de Seguridad
Antes de entrar en la configuración básica del SBC sera necesario que veamos en AZURE que la configuración del Firewall permitirá el tráfico entre los puertos y direcciones que necesitamos. Para ello haremos lo siguiente:
- Entramos en portal.azure.com
- Vamos al “Grupo de Recursos” donde tenemos el SBC desplegado
- Seleccionamos la interfaz de red “eth 0”
- Dentro del menú de propiedades seleccionamos “Reglas de Seguridad Vigentes”
- Ahora nos aparecen todas las reglas de Seguridad de Firewall, tanto de entrada como de salida
Desde aquí podemos comprobar según los datos que tenemos previos si la configuración de seguridad nos permitirá el trafico por los puertos y con los protocolos que hemos definido en el diseño, este es un paso importante que nos ahorrara muchos quebraderos de cabeza a la hora de registrar el SBC tanto en Teams como con nuestro Operador de SipTrunk.
En este apartado podemos limitar más la comunicación y seguridad, las reglas por defecto son genéricas, pero podemos tanto modificando el Firewall de Azure, como el propio que trae el SBC para añadir solo las direcciones IP necesarias en la comunicación y que el resto se descarte. Para ello realizare un artículo especifico de Seguridad.
A continuación, veremos la configuración Básica de seguridad en el SBC:
- Entramos en el sbc emeasbc.zertia.es
- Vamos al menú, Setup / Administration / Web & CLI y seleccionamos CLI Settings
- Dentro de la configuración deshabilitamos “Embedded Telnet Server”
NOTA: Cada cambio de configuración nos pedirá hacer un “Save” después d realizar, esto es necesario para terminar de aplicar el cambio
- Ahora vamos al menú Setup / Signaling & Media / Core Entities y seleccionamos SRDs
- Seleccionamos el SRDs por defcto, y en Registration ponemos:
Configuración NTP
Ahora vamos a ver cómo podemos configurar correctamente el NTP, este apartado es importante, es necesario que el SBC tenga correctamente la fecha y hora para el registro del Enrutamiento directo de Teams.
Para configurar el NTP vamos a:
- Seleccionar SETUP / ADMINISTRATION y entrar en TIME & DATE
- Habilitar el NTP y poner la dirección IP, en mi caso como el SBC tiene salida a Internet he puesto el NTP del Ejercito, en el caso de que el SBC lo tengamos en un entorno On-prem, podremos poner el NTP local que suele ser un controlador de dominio, en este caso habrá que asegurarse de que los puertos y protocolo NTP este abierto y haya comunicación con el mismo.
- Comprobaremos que la configuración es correcta viendo en Time Zone que la hora y fecha está bien.
- En el mismo apartado podemos habilitar “Daylight Saving Time” donde podremos configurar el cambio de horario de verano e invierno
NOTA: Antes y después de cualquier cambio de configuración se recomienda guardar una copia del Fichero de configuración *.ini