Configura il routing diretto di Teams: la guida definitiva (2022)

Questo documento descrive come configurare il modello di hosting di routing diretto dei team e fa riferimento solo alla configurazione SBC di AudioCodes.

Instradamento diretto a 1 squadre

2 Codici audio Serie di prodotti SBC

3 Configurazione di AudioCodes SBC 3.1 Prerequisiti

3.1.1 Nome di dominio SBC nel tenant di un vettore

3.1.2 Nome di dominio SBC nel tenant di un cliente

3.2 Concetto di configurazione SBC

3.3 Configurare le interfacce IP LAN e WAN

3.3.1 Interfacce di rete nella topologia con SIP Trunk sulla LAN

3.3.2 Convalida della configurazione delle porte fisiche e dei gruppi Ethernet

3.3.3 Configurare LAN e WAN VLAN

3.3.4 Configurare le interfacce di rete

3.4 Configurazione del contesto TLS

3.4.1 Configurare l'indirizzo del server NTP

3.4.2 Creare un contesto TLS per il routing diretto di Teams

3.4.3 Generare una CSR e ottenere il certificato da una CA supportata

3.4.4 Distribuire l'SBC e i certificati radice/intermedi sull'SBC

3.5 Metodo di generazione e installazione del certificato jolly

3.6 Distribuire il certificato radice affidabile di Baltimora

3.7 Configurare i regni multimediali

3.8 Configurare le interfacce di segnalazione SIP

3.9 Configurare i set proxy

3.10 Configurare un indirizzo proxy

3.11 Configurare il piano di numerazione

3.12 Configurare le regole di configurazione delle chiamate

3.13 Configurare le regole di manipolazione dei messaggi

3.14 Configurare un gruppo di codificatori

3.15 Configurare un profilo IP

3.16 Configura gruppi IP

3.17 Configura SRTP

3.18 Configurare le regole delle condizioni dei messaggi

3.19 Configurare le regole di classificazione

3.20 Configurazione delle regole di instradamento delle chiamate da IP a IP

4 Configurare le impostazioni del firewall

5 Verificare l'associazione tra l'SBC e l'instradamento diretto

6 Effettuare una chiamata di prova

7 Script di fornitura del tenant

8 Requisiti di instradamento diretto proxy SIP

8.1 Meccanismo di failover

Instradamento diretto delle squadre

Teams Direct Routing consente di connettere un SBC fornito dal cliente al sistema telefonico Microsoft. L'SBC fornito dal cliente può essere collegato a quasi tutti i trunk di telefonia o connettersi con apparecchiature PSTN di terze parti.

La connessione consente:

• Utilizzando praticamente qualsiasi trunk PSTN con il sistema telefonico Microsoft
• Configurazione dell'interoperabilità tra apparecchiature di telefonia di proprietà del cliente, come PBX di terze parti, dispositivi analogici e sistema telefonico Microsoft

AudioCodes Serie di prodotti SBC

La famiglia di dispositivi SBC di AudioCodes consente connettività e sicurezza affidabili tra la rete VoIP dell'azienda e la rete VoIP del fornitore di servizi. L'SBC fornisce la difesa perimetrale come metodo per proteggere le aziende da attacchi VoIP dannosi; mediazione per consentire la connessione di qualsiasi PBX e/o IP-PBX a qualsiasi fornitore di servizi; e Service Assurance per la qualità e la gestibilità del servizio.

Progettato come un'appliance conveniente, l'SBC si basa su servizi VoIP e di rete collaudati sul campo con un processore host nativo, consentendo la creazione di appliance multiservizi appositamente costruite, fornendo una connettività fluida ai servizi cloud, con qualità del servizio integrata, SLA monitoraggio, sicurezza e gestibilità. L'implementazione nativa di SBC fornisce una serie di funzionalità aggiuntive che non sono possibili con dispositivi SBC standalone come mediazione VoIP, sopravvivenza dell'accesso PSTN e applicazioni di servizi a valore aggiunto di terze parti. Ciò consente alle aziende di sfruttare i vantaggi delle reti convergenti ed eliminare la necessità di dispositivi standalone.

SBC di AudioCodes è disponibile come soluzione integrata in esecuzione su piattaforme Mediant Media Gateway e Multi-Service Business Router collaudate sul campo, o come soluzione solo software per l'implementazione con hardware di terze parti. L'SBC può essere offerto come SBC virtualizzato, supportando le seguenti piattaforme: Hyper-V, AWS, AZURE, AWP, KVM e VMWare.

Configurazione dei codici audio SBC

Questa sezione illustra come configurare l'SBC di AudioCodes per l'internetworking con Teams Direct Routing. La figura seguente mostra un esempio della topologia di connessione per il modello di hosting. Nella figura sono mostrate più entità di connessione:

• Interfaccia di instradamento diretto dei sistemi telefonici di Teams sulla WAN.
• Trunk SIP del fornitore di servizi.

Struttura del dominio degli inquilini:

Prerequisiti

Prima di iniziare la configurazione, assicurati di avere questi per ogni SBC di hosting che desideri accoppiare:

• Indirizzo IP pubblico.
• Nome FQDN corrispondente agli indirizzi SIP degli utenti.
• Certificato pubblico, emesso da una delle CA supportate.

Nome di dominio SBC nel tenant di un vettore

Il nome di dominio SBC deve provenire da uno dei nomi registrati in "Domini" dell'inquilino. Non è possibile utilizzare il tenant *.onmicrosoft.com per il nome di dominio.

Nomi DNS registrati da un amministratore per il tenant di un vettore:

Esempio di nomi DNS registrati:

Per l'attivazione del dominio, l'Hosting Provider deve aggiungere almeno un utente del dominio SIP registrato per il tenant. Ad esempio, puoi fornire agli utenti [email protected] il dominio FQDN Customers.aceducation.info se questo nome è registrato per questo tenant. Devi creare almeno un utente con licenza appartenente al dominio SBC che hai aggiunto come descritto sopra.

Esempio di utente appartenente al dominio del vettore SBC:

Nome di dominio SBC nel tenant di un cliente

Per ogni tenant del cliente, devi aggiungere un dominio appartenente a un operatore che punta a un tenant del cliente.

Esempio di utente per Carrier SBC nel dominio del cliente:

Il seguente indirizzo IP e FQDN vengono utilizzati come esempi in questa guida:

Ogni cliente deve aggiungere almeno un utente dal dominio SIP del vettore registrato per il tenant. Ad esempio, puoi fornire agli utenti [email protected] l'FQDN del dominio sbc2.Customers.aceducation.info purché questo nome sia registrato per questo tenant. Devi creare almeno un utente con licenza appartenente al tuo dominio SBC che hai aggiunto nel passaggio precedente.

Concetto di configurazione SBC

La figura seguente illustra il concetto alla base della configurazione del dispositivo SBC di AudioCodes.

L'instradamento dal trunk SIP all'instradamento diretto dipende dal metodo di instradamento dello switch di Classe 4. La decisione di instradamento può essere basata su:

• Gamma DID cliente
• Contesto trunk (TGRP)
• Interfaccia IP
• Interfaccia SIP (porta UDP/TCP)
• Nome host

La configurazione mostrata in questo documento si basa sull'intervallo DID del cliente utilizzando il piano di numerazione.

Configura le interfacce IP LAN e WAN

Questa sezione descrive come configurare le interfacce di rete IP dell'SBC. Esistono diversi modi per distribuire l'SBC. SBC si interfaccia con le seguenti entità IP:

• Teams Direct Routing, situato sulla WAN.
• SIP Trunk: situato sulla LAN.
• SBC si connette alla WAN attraverso una rete DMZ.
• Connessione fisica: il tipo di connessione fisica dipende dal metodo utilizzato per connettersi alla rete aziendale. Nella topologia del test di interoperabilità, SBC si connette alla LAN e alla DMZ utilizzando porte Ethernet dedicate (vengono utilizzate due porte e due cavi di rete). SBC utilizza anche due interfacce di rete logiche: LAN (VLAN ID 1) e DMZ (VLAN ID 2). ).

Interfacce di rete nella topologia con SIP Trunk sulla LAN

Convalida la configurazione delle porte fisiche e dei gruppi Ethernet

Le porte fisiche vengono rilevate automaticamente dall'SBC. Anche i gruppi Ethernet vengono assegnati automaticamente alle porte. In questo passaggio è necessaria solo la convalida dei parametri.

Per convalidare le porte fisiche:

• Aprire la tabella Porte fisiche (menu Configurazione > scheda Rete IP > cartella Entità principali > Porte fisiche).
• Verifica di avere almeno due porte fisiche rilevate dall'SBC, una per LAN e l'altra per WAN. Assicurati che entrambe le porte siano in modalità Abilitata.

Per convalidare i gruppi Ethernet:

• Aprire la tabella Gruppi Ethernet (menu Configurazione > scheda Rete IP > cartella Entità principali > Gruppi Ethernet).
• Verifica di avere almeno due gruppi Ethernet rilevati dall'SBC, uno per LAN e l'altro per WAN.

Configura le VLAN LAN e WAN

Questa sezione descrive come definire le VLAN per ciascuna delle seguenti interfacce:

• Interfaccia LAN (assegnata il nome “LAN_IF”)
• Interfaccia WAN (a cui è stato assegnato il nome "WAN_IF")

Per configurare le VLAN:

• Aprire la tabella Dispositivo Ethernet (menu Configurazione > scheda Rete IP > cartella Entità principali > Dispositivi Ethernet).
• Ci sarà una riga esistente per l'ID VLAN 1 e l'interfaccia sottostante GROUP_1.
• Aggiungi un altro ID VLAN 2 per il lato WAN.

Configura le interfacce di rete

Questa sezione descrive come configurare le interfacce di rete IP per ciascuna delle seguenti interfacce:

• Interfaccia LAN (assegnata il nome “LAN_IF”)
• Interfaccia WAN (a cui è stato assegnato il nome "WAN_IF")

Per configurare i parametri di rete per le interfacce LAN e WAN:

• Aprire la tabella Interfacce IP (menu Configurazione > scheda Rete IP > cartella Entità principali > Interfacce IP).
• Configura le interfacce IP come segue (i tuoi parametri di rete potrebbero essere diversi)

Le interfacce di rete IP configurate sono mostrate di seguito.

Configura il contesto TLS

Le istruzioni di configurazione in questa sezione si basano sulla seguente struttura di dominio che deve essere implementata come parte del certificato che deve essere caricato sull'SBC host:

CN: clienti.ACeducation.info
SAN: *.clienti.ACeducation.info

Questo modulo di certificato si basa sul certificato TLS del fornitore di servizi.

L'interfaccia di instradamento diretto di Teams consente solo connessioni TLS da dispositivi SBC per il traffico SIP con un certificato firmato da una delle autorità di certificazione attendibili. Le autorità di certificazione attualmente supportate sono disponibili sul sito Web Microsoft .

Configurare l'indirizzo del server NTP

Questa sezione descrive come configurare l'indirizzo IP del server NTP. Si consiglia di implementare un server NTP (server Microsoft NTP o un altro server globale) per garantire che SBC riceva la data e l'ora correnti. Ciò è necessario per convalidare i certificati di parti remote. È importante che il server NTP si trovi sull'interfaccia IP OAMP (LAN_IF nel nostro caso) o sia accessibile attraverso di essa.

Per configurare l'indirizzo del server NTP:

• Aprire la pagina Ora e data (menu Impostazioni > scheda Amministrazione > Ora e data).
• Nel campo 'Indirizzo server NTP primario', inserire l'indirizzo IP del server NTP (ad es. 15.10.28.1).

• Fare clic su Applica

Crea un contesto TLS per il routing diretto di Teams

La sezione seguente descrive come richiedere un certificato per l'interfaccia WAN SBC e configurarla, sulla base dell'esempio di DigiCert Global Root CA. Il certificato viene utilizzato da SBC per autenticare la connessione con Teams Direct Routing. La procedura prevede i seguenti passaggi principali:

• Crea un contesto TLS per il routing diretto di Teams.
• Genera una richiesta di firma del certificato (CSR) e ottieni il certificato da un'autorità di certificazione supportata.
• Distribuire i certificati SBC e radice/intermedio sull'SBC.

Per creare un contesto TLS per il routing diretto di Teams:

• Open the TLS Contexts page (Setup menu > IP Network tab > Security folder > TLS Contexts).
• Create a new TLS Context by clicking +New, and then configure the parameters using the table below as reference.

Note: The table above exemplifies configuration focusing on interconnecting SIP and media. You might want to configure additional parameters according to your company’s policies. For example, you might want to configure Online Certificate Status Protocol (OCSP) to check if SBC certificates presented in the online server are still valid or revoked.

• Click Apply. You should see the new TLS Context and option to manage the certificates at the bottom of ‘TLS Context’ table.

Generate a CSR and Obtain the Certificate from a Supported CA

This section shows on how to generate a Certificate Signing Request (CSR) and obtain the certificate from a supported Certification Authority.

To generate a Certificate Signing Request (CSR) and obtain the certificate from a supported Certification Authority:

• Open the TLS Contexts page (Setup menu > IP Network tab > Security folder > TLS Contexts).
• In the TLS Contexts page, select the Teams TLS Context index row, and then click the Change Certificate link located below the table; the Context Certificates page appears.

Under the Certificate Signing Request group, do the following:

• In the ‘Common Name [CN]’ field, enter the SBC FQDN name (based on example above, customers.ACeducation.info).
• In the ‘1st Subject Alternative Name [SAN]’ field, change the type to ‘DNS’ and enter the wildcard FQDN name (based on example above, *.customers.ACeducation.info).
• Change the ‘Private Key Size’ based on the requirements of your Certification Authority. Many CAs do not support private key of size 1024. In this case, you must change the key size to 2048.
• To change the key size on TLS Context, go to: Generate New Private Key and Self-Signed Certificate, change the ‘Private Key Size’ to 2048 and then click Generate Private-Key. To use 1024 as a Private Key Size value, you can click Generate Private-Key without changing the default key size value.
• Fill in the rest of the request fields according to your security provider’s instructions.
• Click the Create CSR button; a textual certificate signing request is displayed in the area below the button.

• Copy the CSR from the line “—-BEGIN CERTIFICATE” to “END CERTIFICATE REQUEST—-” to a text file (such as Notepad), and then save it to a folder on your computer with the file name, for example certreq.txt.
• Send certreq.txt file to the Certified Authority Administrator for signing.

Deploy the SBC and Root / Intermediate Certificates on the SBC

After obtaining the SBC signed and Trusted Root/Intermediate Certificate from the CA, install the following:

• SBC certificate
• Root / Intermediate certificates

To install the SBC certificate:

• In the TLS Contexts page, select the required TLS Context index row, and then click the Change Certificate link located below the table; the Context Certificates page appears.
• Scroll down to the Upload certificates files from your computer group.
• Click the Choose File button corresponding to the ‘Send Device Certificate…’ field, navigate to the certificate file obtained from the CA, and then click Load File to upload the certificate to the SBC.

• Validate that the certificate was uploaded correctly. A message indicating that the certificate was uploaded successfully is displayed in blue in the lower part of the page:

• In the SBC’s Web interface, return to the TLS Contexts page, select the required TLS Context index row, and then click the Certificate Information link, located at the bottom of the TLS. Then validate the Key size, certificate status and Subject Name:

• In the SBC’s Web interface, return to the TLS Contexts page.
• In the TLS Contexts page, select the required TLS Context index row, and then click the Trusted Root Certificates link, located at the bottom of the TLS Contexts page; the Trusted Certificates page appears.
• Click the Import button, and then select all Root/Intermediate Certificates obtained from your Certification Authority to load.
• Click OK; the certificate is loaded to the device and listed in the Trusted Certificates store.

The above method creates a signed certificate for an explicit device, on which a Certificate Sign Request was generated (and signed with private key). To be able to use the same wildcard certificate on multiple devices, use following methods.

Method of Generating and Installing the Wildcard Certificate

To use the same certificate on multiple devices, you may prefer using 3rd party application (e.g., DigiCert Certificate Utility for Windows) to process the certificate request from your Certificate Authority on another machine, with this utility installed.
After you’ve processed the certificate request and response using the DigiCert utility, test the certificate private key and chain and then export the certificate with private key and assign a password.

To install the certificate:

• Open the TLS Contexts page (Setup menu > IP Network tab > Security folder > TLS Contexts).
• In the TLS Contexts page, select the required TLS Context index row, and then click the Change Certificate link located below the table; the Context Certificates page appears.
• Scroll down to the Upload certificates files from your computer group and do the following:
  Enter the password assigned during export with the DigiCert utility in the ‘Private key pass-phrase’ field.
  Click the Choose File button corresponding to the ‘Send Private Key…’ field and then select the SBC certificate file exported from the DigiCert utility.

Deploy Baltimore Trusted Root Certificate

Loading Baltimore Trusted Root Certificates to AudioCodes’ SBC is mandatory for implementing an MTLS connection with the Microsoft Teams network.

The DNS name of the Teams Direct Routing interface is sip.pstnhub.microsoft.com. In this interface, a certificate is presented which is signed by Baltimore Cyber Baltimore CyberTrust Root with Serial Number: 02 00 00 b9 and SHA fingerprint: d4:de:20:d0:5e:66:fc: 53:fe:1a:50:88:2c:78:db:28:52:ca:e4:74. To trust this certificate, your SBC must have the certificate in Trusted Certificates storage. Download the certificate from and follow the steps above to import the certificate to the Trusted Root storage.

Before importing the Baltimore root certificate into AudioCodes’ SBC, make sure it’s in .PEM or .PFX format. If it isn’t, you need to convert it to .PEM or .PFX format, otherwise the ‘Failed to load new certificate’ error message is displayed. To convert to PEM format, use Windows local store on any Windows OS and then export it as ‘Base-64 encoded X.509 (.CER) certificate’.

Configure Media Realms

Media Realms allow dividing the UDP port ranges for use on different interfaces. In the example below, two Media Realms are configured:

• One for the LAN interface, with the UDP port starting at 6000 and the number of media session legs 100 (you need to calculate number of media session legs based on your usage)
• One for the WAN interface, with the UDP port range starting at 7000 and the number of media session legs 100

To configure Media Realms:

• Open the Media Realms table (Setup menu > Signaling & Media tab > Core Entities folder > Media Realms).
• Configure Media Realms as follows (you can use the default Media Realm – Index 0 – but modify it):

The configured Media Realms are shown in the figure below.

Configure SIP Signaling Interfaces

This section shows on how to configure a SIP Signaling Interfaces. A SIP Interface defines a listening port and type (UDP, TCP, or TLS) for SIP signaling traffic on a specific logical IP network interface (configured in the Interface Table above) and Media Realm.

Note that the configuration of a SIP interface for the SIP Trunk shows as an example and your configuration might be different. For specific configuration of interfaces pointing to SIP trunks and/or a third-party PSTN environment connected to the SBC, see the trunk / environment vendor documentation.

AudioCodes also offers a comprehensive suite of documents covering the interconnection between different trunks and equipment.

To configure a SIP interfaces:

• Open the SIP Interface table (Setup menu > Signaling & Media tab > Core Entities folder > SIP Interfaces).
• Configure SIP Interfaces. You can use the default SIP Interface (Index 0), but modify it as shown in the table below. The table below shows an example of the configuration. You can change some parameters according to your requirements.

The configured SIP Interfaces are shown in the figure below.

Configure Proxy Sets

The Proxy Set and Proxy Address defines TLS parameters, IP interfaces, FQDN and the remote entity’s port. Proxy Sets can also be used to configure load balancing between multiple servers. The example below covers configuration of a Proxy Sets for Teams Direct Routing and SIP Trunk. Note that the configuration of a Proxy Set for the SIP Trunk shows as an example and your configuration might be different.

For specific configuration of interfaces pointing to SIP trunks and/or the third-party PSTN environment connected to the SBC. AudioCodes also offers a comprehensive suite of documents covering the interconnection between different trunks and the equipment.

The Proxy Sets will later be applied to the VoIP network by assigning them to IP Groups.

To configure a Proxy Sets:

• Open the Proxy Sets table (Setup menu > Signaling & Media tab > Core Entities folder > Proxy Sets).
• Configure Proxy Sets as shown in the table below.

• The configured Proxy Sets are shown in the figure below.

Configure a Proxy Address

This section shows on how to configure a Proxy Address.

To configure a Proxy Address for SIP Trunk:

• Open the Proxy Sets table (Setup menu > Signaling & Media tab > Core Entities folder > Proxy Sets) and then click the Proxy Set SIPTrunk, and then click the Proxy Address link located below the table; the Proxy Address table opens.
• Click +New; the following dialog box appears.

• Configure the address of the Proxy Set according to the parameters described in the table below.

• Click Apply.

To configure a Proxy Address for Teams:

• Open the Proxy Sets table (Setup menu > Signaling & Media tab > Core Entities folder > Proxy Sets) and then click the Proxy Set Teams, and then click the Proxy Address link located below the table; the Proxy Address table opens.
• Click +New; the following dialog box appears.

• Configure the address of the Proxy Set according to the parameters described in the table below.

• Click Apply.

Configure the Dial Plan

For deployments requiring hundreds of routing rules (which may exceed the maximum number of rules that can be configured in the IP-to-IP Routing table), you can employ tags to represent the many different calling (source URI user name) and called (destination URI user name) prefix numbers in your routing rules.

Tags are typically implemented when you have users of many different called and/or calling numbers that need to be routed to the same destination (e.g., IP Group or IP address). In such a scenario, instead of configuring many routing rules to match all the required prefix numbers, you need only to configure a single routing rule using the tag to represent all the possible prefix numbers.

The Dial Plan (e.g., TeamsTenants) will be configured with a customer tenant FQDN tag per prefix.

To configure Dial Plans:

• Open the Dial Plan table (Setup menu > Signaling & Media tab > SIP Definitions folder > Dial Plan).
• Click New and then configure a Dial Plan name (e.g., TeamsTenants) according to the parameters described in the table below.
• Click Apply.
• In the Dial Plan table, select the row for which you want to configure dial plan rules and then click the Dial Plan Rule link located below the table; the Dial Plan Rule table appears.
• Click New; the following dialog box appears.

• Configure a dial plan rule according to the parameters described in the table below.

• Click Apply and then save your settings to flash memory

Configure Call Setup Rules

This section describes on how to configure Call Setup Rules based on customer DID range (Dial Plan). Call Setup rules define various sequences that are run upon receipt of an incoming call (dialog) at call setup, before the device routes the call to its destination.
Configured Call Setup Rules need be assigned to specific IP Group.

To configure a Call Setup Rules based on customer DID range (Dial Plan):

• Open the Call Setup Rules table (Setup menu > Signaling & Media tab > SIP Definitions folder > Call Setup Rules).
• Click New; the following dialog box appears.

• Configure a Call Setup rule according to the parameters described in the table below.

• Click Apply and then save your settings to flash memory.

Configure Message Manipulation Rules

This section describes on how to configure SIP message manipulation rules. SIP message manipulation rules can include insertion, removal, and/or modification of SIP headers. Manipulation rules are grouped into Manipulation Sets, enabling you to apply multiple rules to the same SIP message (IP entity).
Once you have configured the SIP message manipulation rules, you need to assign them to the relevant IP Group (in the IP Group table) and determine whether they must be applied to inbound or outbound messages.

To configure SIP message manipulation rule for Teams:

• Open the Message Manipulations page (Setup menu > Signaling & Media tab > Message Manipulation folder > Message Manipulations).
• Configure a new manipulation rule (Manipulation Set 4) for Teams IP Group. This rule applies to messages sent to the Teams IP Group. This replaces the host part of the SIP Contact Header with the value saved in the session variable ‘TenantFQDN’ during execution of the Call Setup Rule.

• Configuring SIP Message Manipulation Rule 0 (for Teams IP Group)

Configure a Coder Group

This section describes on how to configure coders (termed Coder Groups). As Teams Direct Routing supports the SILK and OPUS coders while the network connection to the SIP Trunk may restrict operation with a dedicated coders list, you need to add a Coder Group with the supported coders for each leg, the Teams Direct Routing and the SIP Trunk.

Note that the Coder Group ID for this entity will be assigned to its corresponding IP Profile in the next section.

To configure a Coder Group:

• Open the Coder Groups table (Setup menu > Signaling & Media tab > Coders & Profiles folder > Coder Groups).
• From the ‘Coder Group Name’ dropdown, select 1:Does Not Exist and add the required codecs as shown in the figure below.

• Click Apply and confirm the configuration change in the prompt that pops up.

Configure an IP Profile

This section describes on how to configure IP Profiles. An IP Profile is a set of parameters with user-defined settings related to signaling (e.g., SIP message terminations such as REFER) and media (e.g., coder type). An IP Profile need be assigned to specific IP Group.

To configure an IP Profile:

• Open the Proxy Sets table (Setup menu > Signaling & Media tab > Coders & Profiles folder > IP Profiles).
• Click +New to add the IP Profile for the Direct Routing interface. Configure the parameters using the table below as reference.

• Click Apply, and then save your settings to flash memory.
• Click +New to add the IP Profile for the SIP Trunk. Configure the parameters using the table below as reference.

• Click Apply and then save your settings to flash memory.

Configure IP Groups

This section describes on how to configure IP Groups. The IP Group represents an IP entity on the network with which the SBC communicates. This can be a server (e.g., IP-PBX or SIP Trunk) or it can be a group of users (e.g., LAN IP phones). For servers, the IP Group is typically used to define the server’s IP address by associating it with a Proxy Set. Once IP Groups are configured, they are used to configure IP-to-IP routing rules for denoting source and destination of the call.

To configure an IP Groups:

• Open the IP Groups table (Setup menu > Signaling & Media tab > Core Entities folder > IP Groups).
• Configure IP Group for the SIP Trunk.

• Configure IP Group for the Teams Direct Routing.

• The configured IP Groups are shown in the figure below.

Configure SRTP

This section describes on how to configure media security. The Direct Routing Interface needs to use of SRTP only, so you need to configure the SBC to operate in the same manner. By default, SRTP is disabled.

To enable SRTP:

• Open the Media Security page (Setup menu > Signaling & Media tab > Media folder > Media Security).
• From the ‘Media Security’ drop-down list, select Enable to enable SRTP.

• Click Apply

Configure Message Condition Rules

Questa sezione descrive come configurare le regole delle condizioni dei messaggi. Una condizione del messaggio definisce condizioni speciali (prerequisiti) per i messaggi SIP in entrata. Queste regole possono essere utilizzate come criteri di corrispondenza aggiuntivi per le regole di instradamento da IP a IP nella tabella di instradamento da IP a IP.

Per configurare una regola per la condizione del messaggio:

• Aprire la tabella Condizioni dei messaggi (menu Impostazioni > scheda Segnalazione e media > cartella Manipolazione messaggi > Condizioni dei messaggi).
• Fare clic su Nuovo, quindi configurare i parametri come segue.

• Configurazione della tabella delle condizioni

• Fare clic su Applica

Configura le regole di classificazione

Questa sezione descrive come configurare le regole di classificazione. Una regola di classificazione classifica le richieste di avvio della finestra di dialogo SIP in entrata (ad es. messaggi INVITE) in un gruppo IP di "origine". Il gruppo IP di origine è l'entità SIP che ha inviato la richiesta di dialogo SIP. Una volta classificato, il dispositivo utilizza il gruppo IP per elaborare la chiamata (manipolazione e instradamento).
È inoltre possibile utilizzare la tabella di classificazione per utilizzare il controllo di accesso a livello SIP per le chiamate classificate correttamente, configurando le regole di classificazione con le impostazioni di whitelist e blacklist. Se una regola di classificazione è configurata come whitelist ("Consenti"), il dispositivo accetta la finestra di dialogo SIP ed elabora la chiamata. Se la regola di classificazione è configurata come una lista nera ("Nega"), il dispositivo rifiuta la finestra di dialogo SIP.

Per configurare una regola di classificazione:

• Aprire la tabella di classificazione (menu Impostazioni > scheda Segnalazione e media > cartella SBC > Tabella di classificazione).
• Fare clic su Nuovo, quindi configurare i parametri come segue.

• Configurazione della regola di classificazione

• Fare clic su Applica.

Configura le regole di instradamento delle chiamate da IP a IP

Questa sezione descrive come configurare le regole di instradamento delle chiamate da IP a IP. Queste regole definiscono i percorsi per l'inoltro dei messaggi SIP (ad es. INVITE) ricevuti da un'entità IP a un'altra. L'SBC seleziona la regola le cui caratteristiche di ingresso configurate (ad es. Gruppo IP) corrispondono a quelle del messaggio SIP in entrata. Se le caratteristiche di input non corrispondono alla prima regola nella tabella, vengono confrontate con la seconda regola e così via, finché non viene individuata una regola di corrispondenza. Se nessuna regola viene soddisfatta, il messaggio viene rifiutato. L'esempio mostrato di seguito copre solo il routing da IP a IP, sebbene sia possibile instradare le chiamate da SIP Trunk a Teams e viceversa.

Saranno definite le seguenti regole di routing da IP a IP:

• Termina i messaggi SIP OPTIONS sull'SBC
• Termina i messaggi REFER a Teams Direct Routing
• Chiamate da Teams Direct Routing a SIP Trunk
• Chiamate da SIP Trunk a Teams Direct Routing

Per configurare le regole di instradamento da IP a IP:

• Aprire la tabella di routing da IP a IP (menu Configurazione > scheda Segnalazione e media > cartella SBC > Routing > Routing da IP a IP).
• Configura le regole di instradamento come mostrato nella tabella seguente.

• Le regole di instradamento configurate sono mostrate nella figura seguente.

Nota : la configurazione dell'instradamento può cambiare in base alla topologia di distribuzione specifica.

Configura le impostazioni del firewall

Come ulteriore sicurezza, è disponibile un'opzione per configurare le regole di filtraggio del traffico (elenco di accesso) per il traffico in entrata su AudioCodes SBC. Per ogni pacchetto ricevuto sull'interfaccia di rete configurata, l'SBC ricerca la tabella dall'alto verso il basso fino a trovare la prima regola corrispondente. La regola abbinata può consentire (consentire) o negare (bloccare) il pacchetto. Una volta individuata una regola nella tabella, le regole successive nella parte inferiore della tabella vengono ignorate. Se la fine della tabella viene raggiunta senza corrispondenza, il pacchetto viene accettato. Tieni presente che il firewall è stateless. Le regole di blocco si applicheranno a tutti i pacchetti in arrivo, comprese le risposte UDP o TCP.

Per configurare una regola del firewall:

• Aprire la tabella Firewall (menu Configurazione > scheda Rete IP > cartella Sicurezza > Firewall).
• Configurare le seguenti regole dell'elenco di accesso per l'interfaccia IP di Teams Direct Rout.

Nota : tieni presente che se nella tua configurazione, la connettività a SIP Trunk (o altre entità) viene eseguita tramite la stessa interfaccia IP di Teams (WAN_IF nel nostro esempio), devi aggiungere regole per consentire il traffico da queste entità.

Verificare l'abbinamento tra SBC e Direct Routing

Dopo aver accoppiato SBC con il routing diretto usando il comando PowerShell New-CsOnlinePSTNGateway, verificare che SBC possa scambiare correttamente le OPZIONI con il routing diretto.

Per convalidare l'associazione utilizzando le opzioni SIP:

• Aprire la pagina Stato set proxy (Monitor > Stato VOIP > Stato set proxy).
• Trova la connessione SIP diretta e verifica che "Stato" sia online. Se vedi un errore, devi prima risolvere i problemi di connessione, prima di configurare il routing vocale.

Fai una chiamata di prova

Al termine dell'installazione, è possibile eseguire una chiamata di prova dall'SBC a un utente registrato e anche nell'altra direzione. L'esecuzione di una chiamata di prova consentirà di eseguire la diagnostica e di controllare la connettività per future chiamate di supporto o l'automazione della configurazione.
Le chiamate di prova possono essere eseguite utilizzando l'agente di prova, integrato nell'SBC di AudioCodes. Il Test Agent offre la possibilità di verificare in remoto la connettività, la qualità della voce e il flusso di messaggi SIP tra UA SIP.

Un endpoint simulato può essere configurato sull'SBC per testare la segnalazione SIP delle chiamate tra l'SBC e una destinazione remota. Questa funzionalità è utile perché può verificare in remoto il flusso di messaggi SIP senza coinvolgere l'estremità remota nel processo di debug. La chiamata di prova SIP simula il processo di segnalazione SIP: configurazione della chiamata, risposte SIP 1xx, fino al completamento della transazione SIP con 200 OK.

La chiamata di prova invia i messaggi Syslog a un server Syslog, mostrando il flusso dei messaggi SIP, i segnali di tono (ad es. DTMF), i motivi della terminazione, nonché le statistiche e le soglie della qualità della voce (ad es. MOS).

Per configurare l'agente di test:

• Aprire la tabella Regole di chiamata di prova (menu Risoluzione dei problemi > scheda Risoluzione dei problemi > Chiamata di prova > Regole di chiamata di prova).
• Configura una chiamata di prova in base ai parametri della tua rete. Per una descrizione dettagliata, fare riferimento ai documenti del Manuale dell'utente di AudioCodes.

Per avviare, interrompere e riavviare una chiamata di prova:

• Nella tabella Regole della chiamata di prova, selezionare la voce della chiamata di prova richiesta.
• Dall'elenco a discesa Azione, scegliere il comando richiesto.
  Componi : avvia la chiamata di prova (applicabile solo se l'interlocutore della chiamata di prova è il chiamante).
  Drop Call : interrompe la chiamata di prova.
  Riavvia : termina tutte le chiamate stabilite e quindi riavvia la sessione di chiamata di prova.

Script di fornitura del tenant

Lo script PowerShell riportato di seguito implementa un tenant di routing diretto basato su questa configurazione.

Lo script si basa sul presupposto che una configurazione permanente, non univoca per uno specifico tenant di routing diretto, sia già configurata (ad esempio, tabella degli insiemi di proxy, tabella delle condizioni, routing da IP a IP e così via).
Rosso = variabili che devono essere impostate/modificate per ogni tenant.
Verde = costanti univoche per questa configurazione

Accedi a PowerShell utilizzando le credenziali di un amministratore Telnet.

Lo script seguente deve essere eseguito se il cliente utilizza un servizio DID (Direct Inward Dialing).

Requisiti di instradamento diretto proxy SIP

Teams Direct Routing ha tre FQDN:

sip.pstnhub.microsoft.com [FQDN globale. L'SBC tenta di utilizzarlo come prima regione prioritaria. Quando l'SBC invia una richiesta per risolvere questo nome, il server DNS di Microsoft Azure restituisce un indirizzo IP che punta al data center di Azure primario assegnato all'SBC. L'assegnazione si basa sulle metriche delle prestazioni dei datacenter e sulla vicinanza geografica all'SBC. L'indirizzo IP restituito corrisponde all'FQDN primario.]
sip2.pstnhub.microsoft.com [FQDN secondario. Mappa geograficamente alla seconda area di priorità.]
sip3.pstnhub.microsoft.com [FQDN terziario. Mappa geograficamente la terza regione prioritaria.]

Questi tre FQDN devono essere inseriti nell'ordine mostrato sopra per fornire una qualità ottimale dell'esperienza (meno caricati e più vicini al datacenter SBC assegnato interrogando il primo FQDN). I tre FQDN forniscono un failover se viene stabilita una connessione da un SBC a un data center che presenta un problema temporaneo.

Meccanismo di failover

• SBC interroga il server DNS per risolvere sip.pstnhub.microsoft.com . Il data center principale viene selezionato in base alla vicinanza geografica e alle metriche delle prestazioni dei data center.
• Se durante la connessione si verifica un problema nel data center primario, l'SBC tenterà sip2.pstnhub.microsoft.com che risolve il secondo data center assegnato e, in rari casi, se i data center in due aree non sono disponibili, l'SBC ritenta l'ultimo FQDN ( sip3 .pstnhub.microsoft.com ) che fornisce l'indirizzo IP del data center terziario.
• SBC deve inviare OPZIONI SIP a tutti gli indirizzi IP risolti dai tre FQDN, ovvero sip.pstnhub.microsoft.com, sip2.pstnhub.microsoft.com e sip3.pstnhub.microsoft.com.

Ora è il tuo turno:

Ecco come funziona il routing diretto dei team di configurazione.

Quale risultato del rapporto di oggi hai trovato più interessante? O forse hai una domanda su qualcosa che ho trattato.

Ad ogni modo, mi piacerebbe avere tue notizie. Quindi vai avanti e lascia un commento qui sotto.