...
Architettura
Il seguente schema illustra l’architettura da adottare per permettere agli operatori di accedere a ContaCT Highway 7 da internet, senza quindi utilizzare MPLS o VPN.
Nello schema sono illustrate 3 server applicativi:
NGNIX: utilizzato per inoltrare il traffico web http/s
SIPProxy: (Chiamata anche osips), utilizzata per il traffico SIP, ha lo scopo di risolvere le problematiche relative al NAT. Deve disporre di 2 indirizzi IP, detti di seguito EXT e INT
RTPProxy: utilizzata per il traffico RTP. Ha lo scopo di risolvere le problematiche relative al NAT. Deve disporre di 2 indirizzi IP, detti di seguito EXT e INT.
Gli strati applicativi che caratterizzano le macchine SIPProxy e RTPProxy possono coesistere anche sullo stesso server per ottimizzare le risorse, condividendo gli stessi IP EXT e IP INT.
Matrice connettività
Sorgente | Tipologia traffico | IP Destinazione | Porta Destinazione | Note |
|---|---|---|---|---|
Internet | HTTPS | IP Pubblico | TCP/443 | NAT verso NGINX |
Internet | SIP | IP Pubblico | UDP+TCP/5060, TCP/5061 | NAT verso IP EXT di SIPProxy (osips) |
Internet | RTP | IP Pubblico | UDP/10000-30000 | NAT verso IP EXT RTPProxy |
NGINX | HTTP | BAL | TCP/80 | |
SIPProxy (ip int) | SIP | CTI1 | UDP+TCP/5060 | |
RTPProxy (ip int) | RTP | MSA | UDP/4000-9999 | |
CTI | SIP | SIPProxy (ip int) | UDP+TCP/5060 | |
MSA | RTP | RTPProxy (IP int) | UDP/10000-30000 |
Note
Non è necessario configurare esplicitamente delle aperture dalla DMZ verso internet, in quanto sia il traffico HTTPS, che SIP e RTP è sempre traffico in risposta (quindi utilizzando come porta di destinazione la porta sorgente della richiesta) a richieste provenienti da internet.
Doppio indirizzo IP
Le macchine SIPProxy e RTPProxy devono essere dotate di 2 indirizzi IP (EXT e INT). Quello EXT viene utilizzato come destinazione del traffico proveniente da internet tramite il NAT implementato dal firewall perimetrale, e come IP sorgente per il traffico diretto verso internet.
IP Int, viene utilizzato come IP sorgente per il traffico diretto verso la DMZ e come ip di destinazione del traffico proveniente dalla DMZ.
I due IP, EXT e INT, possono risiedere sulla stessa subnet, ma non è necessario, possono appartenere anche a subnet che non comunicano tra di loro, in quanto è compito degli applicativi (opensips e rtpproxy) effettuare il bridge dei pacchetti da un IP all’altro.