Architettura

Il seguente schema illustra l’architettura da adottare per permettere agli operatori di accedere a ContaCT Highway 7 da internet, senza quindi utilizzare MPLS o VPN.

Nello schema sono illustrate 3 server applicativi:

NGNIX: utilizzato per inoltrare il traffico web http/s

SIPProxy: (Chiamata anche osips), utilizzata per il traffico SIP, ha lo scopo di risolvere le problematiche relative al NAT. Deve disporre di 2 indirizzi IP, detti di seguito EXT e INT

RTPProxy: utilizzata per il traffico RTP. Ha lo scopo di risolvere le problematiche relative al NAT. Deve disporre di 2 indirizzi IP, detti di seguito EXT e INT.

Gli strati applicativi che caratterizzano le macchine SIPProxy e RTPProxy possono coesistere anche sullo stesso server per ottimizzare le risorse, condividendo gli stessi IP EXT e IP INT.

Open

Matrice connettività

Note

Non è necessario configurare esplicitamente delle aperture dalla DMZ verso internet, in quanto sia il traffico HTTPS, che SIP e RTP è sempre traffico in risposta (quindi utilizzando come porta di destinazione la porta sorgente della richiesta) a richieste provenienti da internet.

Doppio indirizzo IP

Le macchine SIPProxy e RTPProxy devono essere dotate di 2 indirizzi IP (EXT e INT). Quello EXT viene utilizzato come destinazione del traffico proveniente da internet tramite il NAT implementato dal firewall perimetrale, e come IP sorgente per il traffico diretto verso internet.

IP Int, viene utilizzato come IP sorgente per il traffico diretto verso la DMZ e come ip di destinazione del traffico proveniente dalla DMZ.

I due IP, EXT e INT, possono risiedere sulla stessa subnet, ma non è necessario, possono appartenere anche a subnet che non comunicano tra di loro, in quanto è compito degli applicativi (opensips e rtpproxy) effettuare il bridge dei pacchetti da un IP all’altro.