Configurer le routage direct des équipes : le guide définitif (2022)

Ce document décrit comment configurer le modèle d'hébergement de routage direct des équipes et se réfère uniquement à la configuration AudioCodes SBC.

1 Routage direct des équipes

2 Série de produits AudioCodes SBC

3 Configuration des AudioCodes SBC 3.1 Prérequis

3.1.1 Nom de domaine SBC chez le locataire d'un opérateur

3.1.2 Nom de domaine SBC dans le locataire d'un client

3.2 Concept de configuration SBC

3.3 Configurer les interfaces IP LAN et WAN

3.3.1 Interfaces réseau dans la topologie avec tronc SIP sur le LAN

3.3.2 Valider la configuration des ports physiques et des groupes Ethernet

3.3.3 Configurer les VLAN LAN et WAN

3.3.4 Configurer les interfaces réseau

3.4 Configurer le contexte TLS

3.4.1 Configurer l'adresse du serveur NTP

3.4.2 Créer un contexte TLS pour le routage direct Teams

3.4.3 Générer un CSR et obtenir le certificat d'une autorité de certification prise en charge

3.4.4 Déployer le SBC et les certificats racine/intermédiaire sur le SBC

3.5 Méthode de génération et d'installation du certificat Wildcard

3.6 Déployer le certificat racine de confiance Baltimore

3.7 Configurer les domaines multimédias

3.8 Configurer les interfaces de signalisation SIP

3.9 Configurer les ensembles de proxy

3.10 Configurer une adresse proxy

3.11 Configurer le plan de numérotation

3.12 Configurer les règles de configuration d'appel

3.13 Configurer les règles de manipulation des messages

3.14 Configurer un groupe de codeurs

3.15 Configurer un profil IP

3.16 Configurer les groupes IP

3.17 Configurer SRTP

3.18 Configurer les règles de condition de message

3.19 Configurer les règles de classification

3.20 Configurer les règles de routage des appels IP à IP

4 Configurer les paramètres du pare-feu

5 Vérifiez le couplage entre le SBC et le routage direct

6 Passer un appel test

7 Script de provisionnement de locataire

8 Exigences de routage direct proxy SIP

8.1 Mécanisme de basculement

Routage direct des équipes

Teams Direct Routing permet de connecter un SBC fourni par le client au système téléphonique Microsoft. Le SBC fourni par le client peut être connecté à presque toutes les liaisons téléphoniques ou se connecter à un équipement PSTN tiers.

La connexion permet :

• Utilisation de pratiquement n'importe quel tronc PSTN avec Microsoft Phone System
• Configuration de l'interopérabilité entre les équipements de téléphonie appartenant au client, tels que les PBX tiers, les appareils analogiques et le système téléphonique Microsoft

Série de produits AudioCodes SBC

La famille d'appareils SBC d'AudioCodes permet une connectivité et une sécurité fiables entre le réseau VoIP de l'entreprise et le réseau VoIP du fournisseur de services. Le SBC fournit une défense de périmètre comme moyen de protéger les entreprises contre les attaques VoIP malveillantes ; médiation pour permettre la connexion de tout PBX et/ou IP-PBX à tout fournisseur de services ; et l'assurance de service pour la qualité et la gérabilité du service.

Conçu comme une appliance rentable, le SBC est basé sur des services VoIP et réseau éprouvés sur le terrain avec un processeur hôte natif, permettant la création d'appliances multiservices spécialement conçues, offrant une connectivité fluide aux services cloud, avec qualité de service intégrée, SLA surveillance, sécurité et gérabilité. L'implémentation native de SBC offre une foule de fonctionnalités supplémentaires qui ne sont pas possibles avec les appliances SBC autonomes telles que la médiation VoIP, la capacité de survie de l'accès PSTN et les applications de services à valeur ajoutée tierces. Cela permet aux entreprises d'utiliser les avantages des réseaux convergés et d'éliminer le besoin d'appliances autonomes.

Le SBC d'AudioCodes est disponible en tant que solution intégrée s'exécutant au-dessus de ses plates-formes éprouvées Mediant Media Gateway et Multi-Service Business Router, ou en tant que solution logicielle uniquement pour le déploiement avec du matériel tiers. Le SBC peut être proposé en tant que SBC virtualisé, prenant en charge les plateformes suivantes : Hyper-V, AWS, AZURE, AWP, KVM et VMWare.

Configuration des codes audio SBC

Cette section explique comment configurer le SBC d'AudioCodes pour l'interconnexion de réseaux avec Teams Direct Routing. La figure ci-dessous montre un exemple de topologie de connexion pour le modèle d'hébergement. Plusieurs entités de connexion sont affichées dans la figure :

• Interface de routage direct des systèmes téléphoniques Teams sur le WAN.
• Trunk SIP du fournisseur de services.

Structure du domaine des locataires :

Conditions préalables

Avant de commencer la configuration, assurez-vous de disposer de ces éléments pour chaque SBC d'hébergement que vous souhaitez associer :

• Adresse IP publique.
• Nom FQDN correspondant aux adresses SIP des utilisateurs.
• Certificat public, émis par l'une des autorités de certification prises en charge.

Nom de domaine SBC dans le locataire d'un opérateur

Le nom de domaine SBC doit provenir d'un des noms enregistrés dans 'Domaines' du locataire. Vous ne pouvez pas utiliser le locataire *.onmicrosoft.com pour le nom de domaine.

Noms DNS enregistrés par un administrateur pour le locataire d'un opérateur :

Exemple de noms DNS enregistrés :

Pour activer le domaine, le fournisseur d'hébergement doit ajouter au moins un utilisateur du domaine SIP enregistré pour le locataire. Par exemple, vous pouvez fournir aux utilisateurs [email protected] le domaine FQDN Customers.aceducation.info si ce nom est enregistré pour ce locataire. Vous devez créer au moins un utilisateur sous licence appartenant au domaine SBC que vous avez ajouté comme décrit ci-dessus.

Exemple d'utilisateur appartenant au domaine SBC Carrier :

Nom de domaine SBC dans le locataire d'un client

Pour le locataire de chaque client, vous devez ajouter un domaine appartenant à un opérateur qui pointe vers un locataire client.

Exemple d'utilisateur pour Carrier SBC dans le domaine client :

L'adresse IP et le nom de domaine complet suivants sont utilisés comme exemples dans ce guide :

Chaque client doit ajouter au moins un utilisateur du domaine SIP de l'opérateur enregistré pour le locataire. Par exemple, vous pouvez fournir aux utilisateurs [email protected] le domaine FQDN sbc2.Customers.aceducation.info tant que ce nom est enregistré pour ce locataire. Vous devez créer au moins un utilisateur sous licence appartenant à votre domaine SBC que vous avez ajouté à l'étape ci-dessus.

Concept de configuration SBC

La figure ci-dessous illustre le concept derrière la configuration du dispositif SBC d'AudioCodes.

Le routage du tronc SIP vers le routage direct dépend de la méthode de routage du commutateur de classe 4. La décision de routage peut être basée sur :

• Plage SDA client
• Contexte de jonction (TGRP)
• Interface IP
• Interface SIP (port UDP/TCP)
• Nom d'hôte

La configuration affichée dans ce document est basée sur la plage SDA du client à l'aide du plan de numérotation.

Configurer les interfaces IP LAN et WAN

Cette section décrit comment configurer les interfaces réseau IP du SBC. Il existe plusieurs façons de déployer le SBC. SBC s'interface avec les entités IP suivantes :

• Teams Direct Routing, situé sur le WAN.
• Trunk SIP – situé sur le LAN.
• SBC se connecte au WAN via un réseau DMZ.
• Connexion physique : Le type de connexion physique dépend de la méthode utilisée pour se connecter au réseau de l'entreprise. Dans la topologie de test d'interopérabilité, SBC se connecte au LAN et à la DMZ à l'aide de ports Ethernet dédiés (c'est-à-dire que deux ports et deux câbles réseau sont utilisés). SBC utilise également deux interfaces réseau logiques : LAN (VLAN ID 1) et DMZ (VLAN ID 2 ).

Interfaces réseau dans la topologie avec tronc SIP sur le réseau local

Valider la configuration des ports physiques et des groupes Ethernet

Les ports physiques sont automatiquement détectés par le SBC. Les groupes Ethernet sont également automatiquement affectés aux ports. Dans cette étape, seule la validation des paramètres est nécessaire.

Pour valider les ports physiques :

• Ouvrez le tableau des ports physiques (menu Configuration > onglet Réseau IP > dossier Entités centrales > Ports physiques).
• Vérifiez que vous avez au moins deux ports physiques détectés par le SBC, un pour LAN et l'autre pour WAN. Assurez-vous que les deux ports sont en mode activé.

Pour valider les groupes Ethernet :

• Ouvrez le tableau Groupes Ethernet (menu Configuration > onglet Réseau IP > dossier Entités principales > Groupes Ethernet).
• Vérifiez que vous avez au moins deux groupes Ethernet détectés par le SBC, un pour LAN et l'autre pour WAN.

Configurer les VLAN LAN et WAN

Cette section décrit comment définir des VLAN pour chacune des interfaces suivantes :

• Interface LAN (attribuée au nom "LAN_IF")
• Interface WAN (attribuée au nom "WAN_IF")

Pour configurer les VLAN :

• Ouvrez le tableau Ethernet Device (menu Configuration > onglet Réseau IP > dossier Core Entities > Ethernet Devices).
• Il y aura une ligne existante pour l'ID de VLAN 1 et l'interface sous-jacente GROUP_1.
• Ajoutez un autre ID VLAN 2 pour le côté WAN.

Configurer les interfaces réseau

Cette section décrit comment configurer les interfaces réseau IP pour chacune des interfaces suivantes :

• Interface LAN (attribuée au nom "LAN_IF")
• Interface WAN (attribuée au nom "WAN_IF")

Pour configurer les paramètres réseau des interfaces LAN et WAN :

• Ouvrez le tableau Interfaces IP (menu Configuration > onglet Réseau IP > dossier Entités principales > Interfaces IP).
• Configurez les interfaces IP comme suit (vos paramètres réseau peuvent être différents)

Les interfaces réseau IP configurées sont présentées ci-dessous.

Configurer le contexte TLS

Les instructions de configuration de cette section sont basées sur la structure de domaine suivante qui doit être implémentée dans le cadre du certificat qui doit être chargé sur le SBC hôte :

CN : clients.ACeducation.info
SAN : *.clients.ACeducation.info

Ce module de certificat est basé sur le propre certificat TLS du fournisseur de services.

L'interface de routage direct Teams autorise uniquement les connexions TLS à partir d'appareils SBC pour le trafic SIP avec un certificat signé par l'une des autorités de certification de confiance. Les autorités de certification actuellement prises en charge sont disponibles sur le site Web de Microsoft .

Configurer l'adresse du serveur NTP

Cette section décrit comment configurer l'adresse IP du serveur NTP. Il est recommandé d'implémenter un serveur NTP (serveur Microsoft NTP ou un autre serveur global) pour s'assurer que le SBC reçoit la date et l'heure actuelles. Ceci est nécessaire pour valider les certificats des parties distantes. Il est important que le serveur NTP soit situé sur l'interface IP OAMP (LAN_IF dans notre cas) ou soit accessible via celle-ci.

Pour configurer l'adresse du serveur NTP :

• Open the Time & Date page (Setup menu > Administration tab > Time & Date).
• In the ‘Primary NTP Server Address’ field, enter the IP address of the NTP server (e.g., 10.15.28.1).

• Click Apply

Create a TLS Context for Teams Direct Routing

The section below describes on how to request a certificate for the SBC WAN interface and configure it, based on the example of DigiCert Global Root CA. The certificate is used by the SBC to authenticate the connection with Teams Direct Routing. The procedure involves the following main steps:

• Create a TLS Context for Teams Direct Routing.
• Generate a Certificate Signing Request (CSR) and obtain the certificate from a supported Certification Authority.
• Deploy the SBC and Root / Intermediate certificates on the SBC.

To create a TLS Context for Teams Direct Routing:

• Open the TLS Contexts page (Setup menu > IP Network tab > Security folder > TLS Contexts).
• Create a new TLS Context by clicking +New, and then configure the parameters using the table below as reference.

Note: The table above exemplifies configuration focusing on interconnecting SIP and media. You might want to configure additional parameters according to your company’s policies. For example, you might want to configure Online Certificate Status Protocol (OCSP) to check if SBC certificates presented in the online server are still valid or revoked.

• Click Apply. You should see the new TLS Context and option to manage the certificates at the bottom of ‘TLS Context’ table.

Generate a CSR and Obtain the Certificate from a Supported CA

This section shows on how to generate a Certificate Signing Request (CSR) and obtain the certificate from a supported Certification Authority.

To generate a Certificate Signing Request (CSR) and obtain the certificate from a supported Certification Authority:

• Open the TLS Contexts page (Setup menu > IP Network tab > Security folder > TLS Contexts).
• In the TLS Contexts page, select the Teams TLS Context index row, and then click the Change Certificate link located below the table; the Context Certificates page appears.

Under the Certificate Signing Request group, do the following:

• In the ‘Common Name [CN]’ field, enter the SBC FQDN name (based on example above, customers.ACeducation.info).
• In the ‘1st Subject Alternative Name [SAN]’ field, change the type to ‘DNS’ and enter the wildcard FQDN name (based on example above, *.customers.ACeducation.info).
• Change the ‘Private Key Size’ based on the requirements of your Certification Authority. Many CAs do not support private key of size 1024. In this case, you must change the key size to 2048.
• To change the key size on TLS Context, go to: Generate New Private Key and Self-Signed Certificate, change the ‘Private Key Size’ to 2048 and then click Generate Private-Key. To use 1024 as a Private Key Size value, you can click Generate Private-Key without changing the default key size value.
• Fill in the rest of the request fields according to your security provider’s instructions.
• Click the Create CSR button; a textual certificate signing request is displayed in the area below the button.

• Copy the CSR from the line “—-BEGIN CERTIFICATE” to “END CERTIFICATE REQUEST—-” to a text file (such as Notepad), and then save it to a folder on your computer with the file name, for example certreq.txt.
• Send certreq.txt file to the Certified Authority Administrator for signing.

Deploy the SBC and Root / Intermediate Certificates on the SBC

After obtaining the SBC signed and Trusted Root/Intermediate Certificate from the CA, install the following:

• SBC certificate
• Root / Intermediate certificates

To install the SBC certificate:

• In the TLS Contexts page, select the required TLS Context index row, and then click the Change Certificate link located below the table; the Context Certificates page appears.
• Scroll down to the Upload certificates files from your computer group.
• Click the Choose File button corresponding to the ‘Send Device Certificate…’ field, navigate to the certificate file obtained from the CA, and then click Load File to upload the certificate to the SBC.

• Validate that the certificate was uploaded correctly. A message indicating that the certificate was uploaded successfully is displayed in blue in the lower part of the page:

• In the SBC’s Web interface, return to the TLS Contexts page, select the required TLS Context index row, and then click the Certificate Information link, located at the bottom of the TLS. Then validate the Key size, certificate status and Subject Name:

• In the SBC’s Web interface, return to the TLS Contexts page.
• In the TLS Contexts page, select the required TLS Context index row, and then click the Trusted Root Certificates link, located at the bottom of the TLS Contexts page; the Trusted Certificates page appears.
• Click the Import button, and then select all Root/Intermediate Certificates obtained from your Certification Authority to load.
• Click OK; the certificate is loaded to the device and listed in the Trusted Certificates store.

The above method creates a signed certificate for an explicit device, on which a Certificate Sign Request was generated (and signed with private key). To be able to use the same wildcard certificate on multiple devices, use following methods.

Method of Generating and Installing the Wildcard Certificate

To use the same certificate on multiple devices, you may prefer using 3rd party application (e.g., DigiCert Certificate Utility for Windows) to process the certificate request from your Certificate Authority on another machine, with this utility installed.
After you’ve processed the certificate request and response using the DigiCert utility, test the certificate private key and chain and then export the certificate with private key and assign a password.

To install the certificate:

• Open the TLS Contexts page (Setup menu > IP Network tab > Security folder > TLS Contexts).
• In the TLS Contexts page, select the required TLS Context index row, and then click the Change Certificate link located below the table; the Context Certificates page appears.
• Scroll down to the Upload certificates files from your computer group and do the following:
  Enter the password assigned during export with the DigiCert utility in the ‘Private key pass-phrase’ field.
  Click the Choose File button corresponding to the ‘Send Private Key…’ field and then select the SBC certificate file exported from the DigiCert utility.

Deploy Baltimore Trusted Root Certificate

Loading Baltimore Trusted Root Certificates to AudioCodes’ SBC is mandatory for implementing an MTLS connection with the Microsoft Teams network.

The DNS name of the Teams Direct Routing interface is sip.pstnhub.microsoft.com. In this interface, a certificate is presented which is signed by Baltimore Cyber Baltimore CyberTrust Root with Serial Number: 02 00 00 b9 and SHA fingerprint: d4:de:20:d0:5e:66:fc: 53:fe:1a:50:88:2c:78:db:28:52:ca:e4:74. To trust this certificate, your SBC must have the certificate in Trusted Certificates storage. Download the certificate from and follow the steps above to import the certificate to the Trusted Root storage.

Before importing the Baltimore root certificate into AudioCodes’ SBC, make sure it’s in .PEM or .PFX format. If it isn’t, you need to convert it to .PEM or .PFX format, otherwise the ‘Failed to load new certificate’ error message is displayed. To convert to PEM format, use Windows local store on any Windows OS and then export it as ‘Base-64 encoded X.509 (.CER) certificate’.

Configure Media Realms

Media Realms allow dividing the UDP port ranges for use on different interfaces. In the example below, two Media Realms are configured:

• One for the LAN interface, with the UDP port starting at 6000 and the number of media session legs 100 (you need to calculate number of media session legs based on your usage)
• One for the WAN interface, with the UDP port range starting at 7000 and the number of media session legs 100

To configure Media Realms:

• Open the Media Realms table (Setup menu > Signaling & Media tab > Core Entities folder > Media Realms).
• Configure Media Realms as follows (you can use the default Media Realm – Index 0 – but modify it):

The configured Media Realms are shown in the figure below.

Configure SIP Signaling Interfaces

This section shows on how to configure a SIP Signaling Interfaces. A SIP Interface defines a listening port and type (UDP, TCP, or TLS) for SIP signaling traffic on a specific logical IP network interface (configured in the Interface Table above) and Media Realm.

Note that the configuration of a SIP interface for the SIP Trunk shows as an example and your configuration might be different. For specific configuration of interfaces pointing to SIP trunks and/or a third-party PSTN environment connected to the SBC, see the trunk / environment vendor documentation.

AudioCodes also offers a comprehensive suite of documents covering the interconnection between different trunks and equipment.

To configure a SIP interfaces:

• Open the SIP Interface table (Setup menu > Signaling & Media tab > Core Entities folder > SIP Interfaces).
• Configure SIP Interfaces. You can use the default SIP Interface (Index 0), but modify it as shown in the table below. The table below shows an example of the configuration. You can change some parameters according to your requirements.

The configured SIP Interfaces are shown in the figure below.

Configure Proxy Sets

The Proxy Set and Proxy Address defines TLS parameters, IP interfaces, FQDN and the remote entity’s port. Proxy Sets can also be used to configure load balancing between multiple servers. The example below covers configuration of a Proxy Sets for Teams Direct Routing and SIP Trunk. Note that the configuration of a Proxy Set for the SIP Trunk shows as an example and your configuration might be different.

For specific configuration of interfaces pointing to SIP trunks and/or the third-party PSTN environment connected to the SBC. AudioCodes also offers a comprehensive suite of documents covering the interconnection between different trunks and the equipment.

The Proxy Sets will later be applied to the VoIP network by assigning them to IP Groups.

To configure a Proxy Sets:

• Open the Proxy Sets table (Setup menu > Signaling & Media tab > Core Entities folder > Proxy Sets).
• Configure Proxy Sets as shown in the table below.

• The configured Proxy Sets are shown in the figure below.

Configure a Proxy Address

This section shows on how to configure a Proxy Address.

To configure a Proxy Address for SIP Trunk:

• Open the Proxy Sets table (Setup menu > Signaling & Media tab > Core Entities folder > Proxy Sets) and then click the Proxy Set SIPTrunk, and then click the Proxy Address link located below the table; the Proxy Address table opens.
• Click +New; the following dialog box appears.

• Configure the address of the Proxy Set according to the parameters described in the table below.

• Click Apply.

To configure a Proxy Address for Teams:

• Open the Proxy Sets table (Setup menu > Signaling & Media tab > Core Entities folder > Proxy Sets) and then click the Proxy Set Teams, and then click the Proxy Address link located below the table; the Proxy Address table opens.
• Click +New; the following dialog box appears.

• Configure the address of the Proxy Set according to the parameters described in the table below.

• Click Apply.

Configure the Dial Plan

For deployments requiring hundreds of routing rules (which may exceed the maximum number of rules that can be configured in the IP-to-IP Routing table), you can employ tags to represent the many different calling (source URI user name) and called (destination URI user name) prefix numbers in your routing rules.

Tags are typically implemented when you have users of many different called and/or calling numbers that need to be routed to the same destination (e.g., IP Group or IP address). In such a scenario, instead of configuring many routing rules to match all the required prefix numbers, you need only to configure a single routing rule using the tag to represent all the possible prefix numbers.

The Dial Plan (e.g., TeamsTenants) will be configured with a customer tenant FQDN tag per prefix.

To configure Dial Plans:

• Open the Dial Plan table (Setup menu > Signaling & Media tab > SIP Definitions folder > Dial Plan).
• Click New and then configure a Dial Plan name (e.g., TeamsTenants) according to the parameters described in the table below.
• Click Apply.
• In the Dial Plan table, select the row for which you want to configure dial plan rules and then click the Dial Plan Rule link located below the table; the Dial Plan Rule table appears.
• Click New; the following dialog box appears.

• Configure a dial plan rule according to the parameters described in the table below.

• Click Apply and then save your settings to flash memory

Configure Call Setup Rules

This section describes on how to configure Call Setup Rules based on customer DID range (Dial Plan). Call Setup rules define various sequences that are run upon receipt of an incoming call (dialog) at call setup, before the device routes the call to its destination.
Configured Call Setup Rules need be assigned to specific IP Group.

To configure a Call Setup Rules based on customer DID range (Dial Plan):

• Open the Call Setup Rules table (Setup menu > Signaling & Media tab > SIP Definitions folder > Call Setup Rules).
• Click New; the following dialog box appears.

• Configure a Call Setup rule according to the parameters described in the table below.

• Click Apply and then save your settings to flash memory.

Configure Message Manipulation Rules

This section describes on how to configure SIP message manipulation rules. SIP message manipulation rules can include insertion, removal, and/or modification of SIP headers. Manipulation rules are grouped into Manipulation Sets, enabling you to apply multiple rules to the same SIP message (IP entity).
Once you have configured the SIP message manipulation rules, you need to assign them to the relevant IP Group (in the IP Group table) and determine whether they must be applied to inbound or outbound messages.

To configure SIP message manipulation rule for Teams:

• Open the Message Manipulations page (Setup menu > Signaling & Media tab > Message Manipulation folder > Message Manipulations).
• Configure a new manipulation rule (Manipulation Set 4) for Teams IP Group. This rule applies to messages sent to the Teams IP Group. This replaces the host part of the SIP Contact Header with the value saved in the session variable ‘TenantFQDN’ during execution of the Call Setup Rule.

• Configuring SIP Message Manipulation Rule 0 (for Teams IP Group)

Configure a Coder Group

This section describes on how to configure coders (termed Coder Groups). As Teams Direct Routing supports the SILK and OPUS coders while the network connection to the SIP Trunk may restrict operation with a dedicated coders list, you need to add a Coder Group with the supported coders for each leg, the Teams Direct Routing and the SIP Trunk.

Note that the Coder Group ID for this entity will be assigned to its corresponding IP Profile in the next section.

To configure a Coder Group:

• Open the Coder Groups table (Setup menu > Signaling & Media tab > Coders & Profiles folder > Coder Groups).
• From the ‘Coder Group Name’ dropdown, select 1:Does Not Exist and add the required codecs as shown in the figure below.

• Click Apply and confirm the configuration change in the prompt that pops up.

Configure an IP Profile

This section describes on how to configure IP Profiles. An IP Profile is a set of parameters with user-defined settings related to signaling (e.g., SIP message terminations such as REFER) and media (e.g., coder type). An IP Profile need be assigned to specific IP Group.

To configure an IP Profile:

• Open the Proxy Sets table (Setup menu > Signaling & Media tab > Coders & Profiles folder > IP Profiles).
• Click +New to add the IP Profile for the Direct Routing interface. Configure the parameters using the table below as reference.

• Click Apply, and then save your settings to flash memory.
• Click +New to add the IP Profile for the SIP Trunk. Configure the parameters using the table below as reference.

• Click Apply and then save your settings to flash memory.

Configure IP Groups

This section describes on how to configure IP Groups. The IP Group represents an IP entity on the network with which the SBC communicates. This can be a server (e.g., IP-PBX or SIP Trunk) or it can be a group of users (e.g., LAN IP phones). For servers, the IP Group is typically used to define the server’s IP address by associating it with a Proxy Set. Once IP Groups are configured, they are used to configure IP-to-IP routing rules for denoting source and destination of the call.

To configure an IP Groups:

• Open the IP Groups table (Setup menu > Signaling & Media tab > Core Entities folder > IP Groups).
• Configure IP Group for the SIP Trunk.

• Configure IP Group for the Teams Direct Routing.

• The configured IP Groups are shown in the figure below.

Configure SRTP

This section describes on how to configure media security. The Direct Routing Interface needs to use of SRTP only, so you need to configure the SBC to operate in the same manner. By default, SRTP is disabled.

To enable SRTP:

• Open the Media Security page (Setup menu > Signaling & Media tab > Media folder > Media Security).
• From the ‘Media Security’ drop-down list, select Enable to enable SRTP.

• Click Apply

Configure Message Condition Rules

Cette section décrit comment configurer les règles de condition de message. Une condition de message définit des conditions spéciales (prérequis) pour les messages SIP entrants. Ces règles peuvent être utilisées comme critères de correspondance supplémentaires pour les règles de routage IP à IP dans la table de routage IP à IP.

Pour configurer une règle de condition de message :

• Ouvrez le tableau Conditions de message (menu Configuration > onglet Signalisation et média > dossier Manipulation de message > Conditions de message).
• Cliquez sur Nouveau, puis configurez les paramètres comme suit.

• Configuration de la table des conditions

• Cliquez sur Appliquer

Configurer les règles de classification

Cette section décrit comment configurer les règles de classification. Une règle de classification classe les demandes de lancement de dialogue SIP entrantes (par exemple, les messages INVITE) dans un groupe IP « source ». Le groupe IP source est l'entité SIP qui a envoyé la demande de dialogue SIP. Une fois classé, l'appareil utilise le groupe IP pour traiter l'appel (manipulation et routage).
Vous pouvez également utiliser le tableau de classification pour utiliser le contrôle d'accès au niveau SIP pour les appels classés avec succès, en configurant des règles de classification avec des paramètres de liste blanche et de liste noire. Si une règle de classification est configurée en tant que liste blanche ("Autoriser"), l'appareil accepte la boîte de dialogue SIP et traite l'appel. Si la règle de classification est configurée comme une liste noire ("Deny"), l'appareil rejette la boîte de dialogue SIP.

Pour configurer une règle de classification :

• Ouvrez la table de classification (menu Configuration > onglet Signalisation & Média > dossier SBC > Table de classification).
• Cliquez sur Nouveau, puis configurez les paramètres comme suit.

• Configuration de la règle de classification

• Cliquez sur Appliquer.

Configurer les règles de routage des appels IP à IP

Cette section décrit comment configurer les règles de routage des appels IP à IP. Ces règles définissent les routes pour transmettre les messages SIP (par exemple, INVITE) reçus d'une entité IP à une autre. Le SBC sélectionne la règle dont les caractéristiques d'entrée configurées (par exemple, groupe IP) correspondent à celles du message SIP entrant. Si les caractéristiques d'entrée ne correspondent pas à la première règle de la table, elles sont comparées à la deuxième règle, et ainsi de suite, jusqu'à ce qu'une règle correspondante soit localisée. Si aucune règle ne correspond, le message est rejeté. L'exemple ci-dessous ne couvre que le routage IP à IP, bien que vous puissiez acheminer les appels du tronc SIP vers Teams et vice versa.

Les règles de routage IP à IP suivantes seront définies :

• Terminer les messages SIP OPTIONS sur le SBC
• Terminer les messages REFER à Teams Direct Routing
• Appels des équipes Routage direct vers le tronc SIP
• Appels du tronc SIP vers le routage direct des équipes

Pour configurer les règles de routage IP vers IP :

• Ouvrez le tableau Routage IP vers IP (menu Configuration > onglet Signalisation & Média > dossier SBC > Routage > Routage IP vers IP).
• Configurez les règles de routage comme indiqué dans le tableau ci-dessous.

• Les règles de routage configurées sont présentées dans la figure ci-dessous.

Remarque : La configuration de routage peut changer en fonction de votre topologie de déploiement spécifique.

Configurer les paramètres du pare-feu

Comme sécurité supplémentaire, il existe une option pour configurer les règles de filtrage du trafic (liste d'accès) pour le trafic entrant sur AudioCodes SBC. Pour chaque paquet reçu sur l'interface réseau configurée, le SBC parcourt le tableau de haut en bas jusqu'à ce que la première règle correspondante soit trouvée. La règle correspondante peut autoriser (autoriser) ou refuser (bloquer) le paquet. Une fois qu'une règle dans le tableau est localisée, les règles suivantes plus bas dans le tableau sont ignorées. Si la fin de la table est atteinte sans correspondance, le paquet est accepté. Veuillez noter que le pare-feu est sans état. Les règles de blocage s'appliqueront à tous les paquets entrants, y compris les réponses UDP ou TCP.

Pour configurer une règle de pare-feu :

• Ouvrez le tableau Pare-feu (menu Configuration > onglet Réseau IP > dossier Sécurité > Pare-feu).
• Configurez les règles de liste d'accès suivantes pour l'interface IP de routage direct Teams.

Note : Sachez que si dans votre configuration, la connectivité au SIP Trunk (ou à d'autres entités) est effectuée via la même interface IP que Teams (WAN_IF dans notre exemple), vous devez ajouter des règles pour autoriser le trafic de ces entités.

Vérifier le couplage entre le SBC et le routage direct

Après avoir couplé le SBC avec le routage direct à l'aide de la commande PowerShell New-CsOnlinePSTNGateway, vérifiez que le SBC peut échanger avec succès des OPTIONS avec le routage direct.

Pour valider l'appairage à l'aide des options SIP :

• Ouvrez la page Statut du Proxy Set (Monitor > VOIP Status > Proxy Set Status).
• Trouvez la connexion SIP directe et vérifiez que le « Statut » est en ligne. Si vous voyez un échec, vous devez d'abord dépanner la connexion, avant de configurer le routage vocal.

Passer un appel d'essai

Une fois l'installation terminée, vous pouvez exécuter un appel test du SBC vers un utilisateur enregistré, ainsi que dans l'autre sens. L'exécution d'un appel test aidera à effectuer des diagnostics et à vérifier la connectivité pour les futurs appels d'assistance ou l'automatisation de la configuration.
Les appels de test peuvent être effectués à l'aide de l'agent de test, intégré au SBC d'AudioCodes. L'agent de test vous permet de vérifier à distance la connectivité, la qualité de la voix et le flux de messages SIP entre les UA SIP.

Un point de terminaison simulé peut être configuré sur le SBC pour tester la signalisation SIP des appels entre le SBC et une destination distante. Cette fonctionnalité est utile car elle peut vérifier à distance le flux de messages SIP sans impliquer l'extrémité distante dans le processus de débogage. L'appel de test SIP simule le processus de signalisation SIP : configuration de l'appel, réponses SIP 1xx, jusqu'à l'achèvement de la transaction SIP avec un 200 OK.

L'appel de test envoie des messages Syslog à un serveur Syslog, indiquant le flux de messages SIP, les signaux de tonalité (par exemple, DTMF), les raisons de la terminaison, ainsi que les statistiques et les seuils de qualité vocale (par exemple, MOS).

Pour configurer l'agent de test :

• Ouvrez le tableau Règles d'appel test (menu Dépannage > onglet Dépannage > Appel test > Règles d'appel test).
• Configurez un appel test en fonction des paramètres de votre réseau. Pour une description détaillée, reportez-vous aux documents du manuel d'utilisation d'AudioCodes.

Pour démarrer, arrêter et redémarrer un appel test :

• Dans le tableau Règles d'appel test, sélectionnez l'entrée d'appel test requise.
• Dans la liste déroulante Action, choisissez la commande requise.
  Composer : Démarre l'appel de test (applicable uniquement si l'interlocuteur de l'appel de test est l'appelant).
  Drop Call : Arrête l'appel de test.
  Redémarrer : met fin à tous les appels établis, puis redémarre la session d'appel de test.

Script de provisionnement de locataire

Le script powershell ci-dessous implémente un locataire de routage direct basé sur cette configuration.

Le script est basé sur l'hypothèse qu'une configuration permanente, non unique à un locataire de routage direct spécifique, est déjà configurée (par exemple, la table des ensembles de proxy, la table des conditions, le routage IP à IP, etc.).
Rouge = variables qui doivent être définies/modifiées pour chaque locataire.
Vert = constantes uniques à cette configuration

Accédez au PowerShell à l'aide d'informations d'identification d'administrateur Telnet.

Le script suivant doit être exécuté si le client utilise un service de numérotation directe à l'arrivée (DID).

Exigences de routage direct proxy SIP

Teams Direct Routing a trois noms de domaine complets :

sip.pstnhub.microsoft.com [FQDN mondial. Le SBC tente de l'utiliser comme première région prioritaire. Lorsque le SBC envoie une requête pour résoudre ce nom, le serveur DNS Microsoft Azure renvoie une adresse IP pointant vers le centre de données Azure principal attribué au SBC. L'attribution est basée sur les mesures de performance des centres de données et la proximité géographique du SBC. L'adresse IP renvoyée correspond au FQDN principal.]
sip2.pstnhub.microsoft.com [FQDN secondaire. Mappe géographiquement vers la deuxième région prioritaire.]
sip3.pstnhub.microsoft.com [FQDN tertiaire. Cartographie géographiquement la troisième région prioritaire.]

Ces trois FQDN doivent être placés dans l'ordre indiqué ci-dessus pour fournir une qualité d'expérience optimale (moins chargé et le plus proche du centre de données SBC attribué en interrogeant le premier FQDN). Les trois FQDN fournissent un basculement si une connexion est établie à partir d'un SBC vers un centre de données qui rencontre un problème temporaire.

Mécanisme de basculement

• Le SBC interroge le serveur DNS pour résoudre sip.pstnhub.microsoft.com . Le centre de données principal est sélectionné en fonction de la proximité géographique et des mesures de performance des centres de données.
• Si, au cours de la connexion, le centre de données principal rencontre un problème, le SBC tentera sip2.pstnhub.microsoft.com qui résout le deuxième centre de données attribué, et dans de rares cas si les centres de données dans deux régions ne sont pas disponibles, le SBC réessaie le dernier FQDN ( sip3 .pstnhub.microsoft.com ) qui fournit l'adresse IP du centre de données tertiaire.
• Le SBC doit envoyer des OPTIONS SIP à toutes les adresses IP qui sont résolues à partir des trois FQDN, c'est-à-dire sip.pstnhub.microsoft.com, sip2.pstnhub.microsoft.com et sip3.pstnhub.microsoft.com.

Maintenant c'est ton tour:

C'est ainsi que fonctionne la configuration du routage direct des équipes.

Quelle conclusion du rapport d'aujourd'hui avez-vous trouvé la plus intéressante ? Ou peut-être avez-vous une question sur quelque chose que j'ai couvert.

Quoi qu'il en soit, j'aimerais vous entendre. Alors allez-y et laissez un commentaire ci-dessous.