Используемые порты и протоколы
IVA SBC автоматически открывает на серверах все необходимые для своей работы порты.
В зависимости от типа ролей, которые выполняет сервер проксирования, требования к открытию портов применяются для:
где:
-
ANY — любой диапазон сетей (0.0.0.0/0) или портов в зависимости от контекста (колонки)
-
APNS_IP — диапазон адресов службы push-уведомлений Apple (17.0.0.0/8)
-
GCM_IP — диапазон адресов службы push-уведомлений Google (ANY)
-
dst ip range — диапазон IP-адресов назначения
-
dst ports range — диапазон портов назначения
-
HTTP Reverse Proxy Servers — IP-адрес, по которому доступен сервер обратного проксирования
-
IVA_MCU_IP — IP-адрес головного сервера IVA MCU
-
SBC_CFG_IP — IP-адрес, по которому доступен сервер управления и конфигурации IVA SBC
-
SBC_PROXY_IP — IP-адрес, по которому доступен сервер проксирования IVA SBC
-
src ip range — диапазон исходящих IP-адресов
-
src ports range — диапазон исходящих портов
-
ZABBIX HOST — IP-адрес Zabbix-сервера
Сервер проксирования IVA SBC
SIP-порты
| Если для SIP-звонков настроено RTP-проксирование, то используются также сетевые порты и протоколы для проксирования RTP-трафика |
-
Входящие SIP-порты:
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
ANY |
ANY |
SBC_PROXY_IP |
5060 |
TCP |
SIP |
SIP-сигнализация (входящая): входящие SIP-звонки |
ANY |
ANY |
SBC_PROXY_IP |
5061 |
TLS / TCP |
SIP |
|
ANY |
ANY |
SBC_PROXY_IP |
5060 |
UDP |
SIP |
SIP-сигнализация (входящая): входящие / исходящие SIP-звонки |
ANY |
ANY |
SBC_PROXY_IP |
5061 |
DTLS / UDP |
SIP |
-
Исходящие SIP-порты (установленные TCP-соединения считаются действительными):
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
SBC_PROXY_IP |
ANY |
ANY |
5060 (возможен любой порт) |
TCP |
SIP |
SIP-сигнализация (исходящая): исходящие SIP-звонки |
SBC_PROXY_IP |
ANY |
ANY (для внутренней сети можно ограничить допустимые в рамках решения IP-адреса) |
5061 (возможен любой порт) |
TLS / TCP |
SIP |
|
SBC_PROXY_IP |
5060 |
ANY (для внутренней сети можно ограничить допустимые в рамках решения IP-адреса) |
5060 (возможен любой порт) |
UDP |
SIP |
SIP-сигнализация (исходящая): входящие / исходящие SIP-звонки |
SBC_PROXY_IP |
5061 |
ANY (для внутренней сети можно ограничить допустимые в рамках решения IP-адреса) |
5061 (возможен любой порт) |
DTLS / UDP |
SIP |
H.323-порты
| Если для H.323-звонков настроено RTP-проксирование, то используются также сетевые порты и протоколы для проксирования RTP-трафика |
-
Входящие H.323-порты:
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
IVA_MCU_IP |
ANY |
SBC_PROXY_IP |
1720 |
TCP |
H.323, H.245 |
H.323-сигнализация (входящая): входящие H.323-звонки со стороны IVA MCU |
ANY |
ANY |
SBC_PROXY_IP |
1720 |
TCP |
H.323 |
H.323-сигнализация (входящая): входящие H.323-звонки |
ANY |
ANY |
SBC_PROXY_IP |
30000-38000 |
TCP |
H.323 |
H.323-сигнализация (входящая): входящие H.323-звонки. H.245-канал. Необходимо открывать, если удалённый терминал не поддерживает H.245 внутри H.323 Tunneling |
ANY |
ANY |
SBC_PROXY_IP |
1719 |
UDP |
H.323 |
H.323 RAS-протокол (регистрация абонентов). Для внутренней сети могут быть ограничения в соответствии с решением |
ANY |
ANY |
SBC_PROXY_IP |
1718 |
UDP |
H.323 |
H.323 RAS multicast (для работы с H.323 Neiborhood). Для внутренней сети могут быть ограничения в соответствии с решением |
-
Исходящие H.323-порты (установленные TCP-соединения считаются действительными):
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
SBC_PROXY_IP |
ANY |
IVA_MCU_IP |
1720 |
TCP |
H.323, H.245 |
H.323-сигнализация (исходящая): исходящие H.323-звонки в сторону IVA MCU |
SBC_PROXY_IP |
ANY |
ANY |
1720 (возможен любой порт) |
TCP |
H.323 |
H.323-сигнализация (исходящая): исходящие H.323-звонки |
SBC_PROXY_IP |
ANY |
ANY |
ANY (для создания H.245-канала, если удалённый терминал не поддерживает H.323) |
TCP |
H.323 |
H.323-сигнализация (исходящая): исходящие H.323-звонки. H.245 канал. Необходимо открывать, если удалённый терминал не поддерживает H.245 внутри H.323 |
SBC_PROXY_IP |
1719 |
ANY |
ANY |
UDP |
H.323 |
H.323 RAS-протокол (регистрация абонентов) |
RTP-порты (используются в случае, если применяется проксирование RTP-трафика для VVoIP (SIP и H.323)
-
Входящие сетевые порты и протоколы:
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
ANY |
ANY |
SBC_PROXY_IP |
30000-39999 |
UDP |
RTP ICE BFCP-UDP |
Входящие пакеты RTP-трафика для VVoIP-звонков |
ANY |
ANY |
SBC_PROXY_IP |
38000-39999 |
TCP |
BFCP-TCP |
Протокол BFCP-TCP для SIP-соединений |
-
Исходящие сетевые порты и протоколы (установленные TCP-соединения считаются действительными):
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
SBC_PROXY_IP |
30000-39999 |
ANY |
ANY |
UDP |
RTP ICE BFCP-UDP |
Исходящие RTP-пакеты для VVoIP-звонков |
SBC_PROXY_IP |
ANY |
ANY |
ANY |
TCP |
BFCP-TCP |
Протокол BFCP-TCP для SIP-соединений с поддержкой TCP-BFCP |
TURN-порты (необходимы в случае, если применяется TURN Proxy для WebRTC)
-
Входящие TURN-порты:
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
ANY |
ANY |
SBC_PROXY_IP |
3478 5349 |
UDP |
TURN ICE-STUN |
TURN-соединение для WebRTC-подключений. Если внутренние пользователи не могут использовать TURN, то данные порты можно закрыть для внутренней сети |
ANY |
ANY |
SBC_PROXY_IP |
3478 5349 |
TCP |
TURN ICE-STUN |
|
ANY |
ANY |
SBC_PROXY_IP |
50000-60000 |
UDP |
RTP |
Назначение зависит от списка добавленных разрешённых IP-адресов в администрировании |
-
Исходящие TURN-порты (установленные TCP-соединения считаются действительными):
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
SBC_PROXY_IP |
3478 5349 |
ANY |
ANY |
UDP |
TURN |
TURN-соединение для WebRTC-подключений. Доступ можно ограничить только портами, разрешенными в рамках решения (например, к определенным внутренним приемникам RTP) |
SBC_PROXY_IP |
50000-60000 |
ANY |
ANY |
UDP |
RTP |
Назначение зависит от списка добавленных разрешённых IP-адресов в администрировании |
HTTP Reverse-порты
-
Входящие порты HTTP Reverse:
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
ANY |
ANY |
SBC_PROXY_IP |
443 |
TCP |
HTTPS |
HTTPS-подключения из внешней сети к внутреннему серверу |
-
Исходящие порты HTTP Reverse (установленные TCP-соединения считаются действительными):
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
SBC_PROXY_IP |
ANY |
HTTP Reverse Proxy Servers |
HTTP Reverse Proxy Servers Ports |
TCP |
HTTPS |
HTTPS-подключение к внешнему серверу. Можно ограничить только тем сервером, к которому должен быть доступ |
HTTP Proxy-порты
-
Входящие порты HTTP Proxy:
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
IVA_MCU_IP |
ANY |
SBC_PROXY_IP |
3128 |
TCP |
HTTP, HTTPS |
Подключение к HTTP Proxy для выполнения запросов в Интернет из внутренней сети (например, отправка push-уведомлений на внешние сервера) |
-
Исходящие порты HTTP Proxy (установленные TCP-соединения считаются действительными):
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
SBC_PROXY_IP |
ANY |
Зависит от назначения. Например: APNS_IP GCM_IP |
Зависит от назначения. Например: 443 2197 |
TCP |
HTTP, HTTPS |
Подключение к HTTP Proxy для выполнения запросов в Интернет из внутренней сети (например, отправка push-уведомлений на внешние сервера) |
FLV-порты
-
Входящие порты FLV:
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
ANY |
ANY |
SBC_PROXY_IP |
8443 (можно настраивать) |
TCP |
FLV |
FLV-проксирование вебинаров. Порт можно настраивать |
-
Исходящие порты FLV:
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
SBC_PROXY_IP |
ANY |
IVA_MCU_IP |
1935 (можно настраивать) |
TCP |
RTMP |
Исходящие запросы к RTMP-серверу. Порт можно настраивать |
Межсервисное общение сервера проксирования IVA SBC с сервером управления и конфигурации
-
Межсервисные входящие порты:
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
SBC_CFG_IP |
ANY |
SBC_PROXY_IP |
11600 |
TCP |
REST API |
Доступ к сервису monitoring от сервера управления и конфигурации |
SBC_CFG_IP |
ANY |
SBC_PROXY_IP |
11612 |
TCP |
REST API |
Доступ к сервису monitoring от сервера управления и конфигурации |
SBC_CFG_IP |
ANY |
SBC_PROXY_IP |
11900 |
TCP |
Internal |
Управляющие команды от сервера управления и конфигурации к серверу проксирования |
SBC_PROXY_IP |
ANY |
SBC_PROXY_IP2 |
11600 |
TCP |
Internal |
Доступ к проверке ping от одного сервера проксирования до другого (не обязательно) |
SBC_PROXY_IP |
ANY |
SBC_PROXY_IP2 |
11901 |
TCP |
Internal |
Доступ к возможности обработки команд, если локальный SBC контроллер VVoIP не отвечает |
-
Межсервисные исходящие порты (установленные TCP-соединения считаются действительными):
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
SBC_PROXY_IP |
ANY |
SBC_CFG_IP |
11950 |
TCP |
Internal |
Запрос конфигурации сервера и отправка различных trap-сообщений |
SBC_PROXY_IP |
ANY |
SBC_CFG_IP |
11100 |
TCP |
Internal |
Работа с системой Zookeeper |
SBC_PROXY_IP |
ANY |
SBC_CFG_IP |
11954 |
TCP |
Internal |
Информирование сервера управления и конфигурации о системных событиях |
SBC_PROXY_IP |
ANY |
SBC_CFG_IP |
11600 |
TCP |
Internal |
Доступ к проверке ping от одного сервера проксирования до другого (не обязательно) |
SBC_PROXY_IP |
ANY |
SBC_PROXY_IP2 |
11600 |
TCP |
Internal |
Доступ к проверке ping от одного сервера проксирования до другого (не обязательно) |
SBC_PROXY_IP |
ANY |
SBC_PROXY_IP2 |
11901 |
TCP |
Internal |
Доступ к возможности обработки команд, если локальный SBC контроллер VVoIP не отвечает (не обязательно) |
Межсервисное общение сервера управления и конфигурации c сервером проксирования IVA SBC
-
Межсервисные входящие порты:
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
SBC_PROXY_IP |
ANY |
SBC_CFG_IP |
11100 |
TCP |
Internal |
Регистрация сервера проксирования в системе Zookeeper |
SBC_PROXY_IP |
ANY |
SBC_CFG_IP |
11950 |
TCP |
Internal |
Запрос конфигурации сервера проксирования и приём различных trap-сообщений |
SBC_PROXY_IP |
ANY |
SBC_CFG_IP |
11600 |
TCP |
Internal |
Доступ к проверке ping от сервера проксирования (не обязательно) |
SBC_PROXY_IP |
ANY |
SBC_CFG_IP |
11954 |
TCP |
Internal |
Monitoring callback от сервера проксирования для загрузки серверных настроек:
|
-
Межсервисные исходящие порты:
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
SBC_CFG_IP |
ANY |
SBC_PROXY_IP |
11900 |
TCP |
Internal |
Отправка управляющих команд на сервер проксирования |
Межсервисное общение между серверами проксирования IVA SBC
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L3 protocol(s) | Примечания |
|---|---|---|---|---|---|
SBC_PROXY_IP (1) |
ANY |
SBC_PROXY_IP (N) |
ANY |
VRRP |
Поддержка плавающего IP-адреса отказоустойчивого кластера на основе сервиса keepalived. Связность обеспечивается только между серверами одной группы кластера |
Входящие порты вспомогательных программ
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
ANY |
ANY |
SBC_PROXY_IP |
10050 |
TCP |
zabbix-agent |
Пассивный агент Zabbix |
192.168.0.0/16 172.16.0.0/12 10.0.0.0/8 |
ANY |
SBC_PROXY_IP |
161 |
UDP |
SNMP |
Доступ для внешних систем мониторинга по протоколу SNMP |
Входящие порты для всех серверов IVA SBC
| src_ip_range | src_ports_range | dst_ip_range | dst_ports_range | L4 protocol(s) | L7 protocol(s) | Примечания |
|---|---|---|---|---|---|---|
192.168.0.0/16 172.16.0.0/12 10.0.0.0/8 |
ANY |
SBC_PROXY_IP SBC_CFG_IP |
161 |
UDP |
SNMP |
SNMP-управление |
ANY |
ANY |
SBC_PROXY_IP SBC_CFG_IP |
22 |
TCP |
SSH |
Доступ к консоли сервера управления и конфигурации. Ограничивается для безопасности и открывается только для хостов, использование которых является необходимым |
ZABBIX HOST |
ANY |
SBC_PROXY_IP SBC_CFG_IP |
10050 |
TCP |
zabbix-agent |
Доступ для внешней системы мониторинга Zabbix (если используется) |
ANY |
ANY |
SBC_PROXY_IP SBC_CFG_IP |
ANY |
ANY |
ICMP |
Передача сообщений об ошибках и т. д. при передаче данных |
ANY |
ANY |
SBC_PROXY_IP SBC_CFG_IP |
11650 |
TCP |
HTTP |
Доступ к метрикам Victoria Metrics. Нужен внешним сервисам мониторинга |