Настройка прямой маршрутизации Teams: полное руководство (2022 г.)

В этом документе описывается, как настроить модель размещения с прямой маршрутизацией групп, и он относится только к конфигурации AudioCodes SBC.

1 Прямая маршрутизация команд

2 Серия продуктов AudioCodes SBC

3 Настройка AudioCodes SBC 3.1 Предварительные требования

3.1.1 Доменное имя SBC в арендаторе оператора связи

3.1.2 Доменное имя SBC в арендаторе клиента

3.2 Концепция конфигурации SBC

3.3 Настройка IP-интерфейсов LAN и WAN

3.3.1 Сетевые интерфейсы в топологии с SIP-транком в локальной сети

3.3.2 Проверка конфигурации физических портов и групп Ethernet

3.3.3 Настройка LAN и WAN VLAN

3.3.4 Настройка сетевых интерфейсов

3.4 Настройка контекста TLS

3.4.1 Настройка адреса NTP-сервера

3.4.2 Создание контекста TLS для прямой маршрутизации Teams

3.4.3 Создание CSR и получение сертификата от поддерживаемого ЦС

3.4.4 Развертывание SBC и корневых/промежуточных сертификатов на SBC

3.5 Способ создания и установки группового сертификата

3.6 Развертывание доверенного корневого сертификата Baltimore

3.7 Настройка медиа-пространств

3.8 Настройка сигнальных интерфейсов SIP

3.9 Настройка наборов прокси

3.10 Настройка прокси-адреса

3.11 Настройка плана нумерации

3.12 Настройка правил настройки вызова

3.13 Настройка правил обработки сообщений

3.14 Настройка группы кодеров

3.15 Настройка IP-профиля

3.16 Настройка IP-групп

3.17 Настройка SRTP

3.18 Настройка правил условий сообщения

3.19 Настройка правил классификации

3.20 Настройка правил маршрутизации вызовов IP-IP

4 Настройте параметры брандмауэра

5 Проверьте сопряжение между SBC и прямой маршрутизацией

6 Сделайте тестовый звонок

7 Сценарий инициализации арендатора

8 Требования к прямой маршрутизации SIP-прокси

8.1 Механизм аварийного переключения

Прямая маршрутизация команд

Teams Direct Routing позволяет подключить предоставленный клиентом SBC к телефонной системе Microsoft. Предоставляемый заказчиком SBC можно подключить практически к любой телефонной магистрали или к стороннему оборудованию PSTN.

Подключение позволяет:

• Использование практически любой магистрали PSTN с Microsoft Phone System
• Настройка взаимодействия между телефонным оборудованием, принадлежащим клиентам, например сторонними АТС, аналоговыми устройствами и телефонной системой Microsoft.

Серия продуктов AudioCodes SBC

Семейство устройств SBC компании AudioCodes обеспечивает надежную связь и безопасность между корпоративной сетью VoIP и сетью VoIP поставщика услуг. SBC обеспечивает защиту периметра как способ защиты предприятий от вредоносных атак VoIP; посредничество в разрешении подключения любой АТС и/или IP-АТС к любому поставщику услуг; и Service Assurance для качества обслуживания и управляемости.

Разработанный как экономичное устройство, SBC основан на проверенных на практике VoIP и сетевых службах с собственным хост-процессором, что позволяет создавать специализированные мультисервисные устройства, обеспечивающие беспрепятственное подключение к облачным службам с интегрированным качеством обслуживания, соглашением об уровне обслуживания. мониторинг, безопасность и управляемость. Собственная реализация SBC предоставляет множество дополнительных возможностей, недоступных для автономных устройств SBC, таких как посредничество VoIP, отказоустойчивость доступа к ТСОП и сторонние приложения с дополнительными услугами. Это позволяет предприятиям использовать преимущества конвергентных сетей и устраняет необходимость в автономных устройствах.

SBC от AudioCodes доступен как интегрированное решение, работающее поверх проверенных на практике платформ Mediant Media Gateway и Multi-Service Business Router, или как чисто программное решение для развертывания на стороннем оборудовании. SBC может предлагаться как виртуализированный SBC, поддерживающий следующие платформы: Hyper-V, AWS, AZURE, AWP, KVM и VMWare.

Настройка AudioCodes SBC

В этом разделе показано, как настроить SBC AudioCodes для межсетевого взаимодействия с помощью Teams Direct Routing. На рисунке ниже показан пример топологии подключения для модели хостинга. На рисунке показано несколько объектов соединения:

• Интерфейс прямой маршрутизации телефонных систем Teams в глобальной сети.
• SIP-транк поставщика услуг.

Структура домена арендаторов:

Предпосылки

Прежде чем приступить к настройке, убедитесь, что у вас есть это для каждого хостинга SBC, который вы хотите связать:

• Общедоступный IP-адрес.
• Имя FQDN, совпадающее с SIP-адресами пользователей.
• Открытый сертификат, выданный одним из поддерживаемых ЦС.

Доменное имя SBC в арендаторе оператора связи

Доменное имя SBC должно происходить от одного из имен, зарегистрированных в разделе «Домены» арендатора. Вы не можете использовать клиент *.onmicrosoft.com для имени домена.

DNS-имена, зарегистрированные администратором для арендатора оператора связи:

Пример зарегистрированных DNS-имен:

Для активации домена хостинг-провайдеру необходимо добавить хотя бы одного пользователя из SIP-домена, зарегистрированного на арендатора. Например, вы можете предоставить пользователям [email protected] полное доменное имя домена Customers.aceducation.info, если это имя зарегистрировано для этого арендатора. Вы должны создать хотя бы одного лицензированного пользователя, принадлежащего домену SBC, который вы добавили, как описано выше.

Пример пользователя, принадлежащего домену SBC Carrier:

Доменное имя SBC в арендаторе клиента

Для каждого арендатора клиента необходимо добавить домен, принадлежащий оператору связи, который указывает на арендатора клиента.

Пример пользователя для Carrier SBC в домене клиента:

В качестве примеров в этом руководстве используются следующие IP-адреса и полные доменные имена:

Каждому клиенту необходимо добавить хотя бы одного пользователя из SIP-домена оператора связи, зарегистрированного для арендатора. Например, вы можете предоставить пользователям [email protected] полное доменное имя домена sbc2.Customers.aceducation.info, если это имя зарегистрировано для этого арендатора. Вы должны создать хотя бы одного лицензированного пользователя, принадлежащего к вашему домену SBC, который вы добавили на шаге выше.

Концепция конфигурации SBC

На рисунке ниже показана концепция конфигурации устройства AudioCodes SBC.

Маршрутизация от магистрали SIP к прямой маршрутизации зависит от метода маршрутизации коммутатора класса 4. Решение о маршрутизации может быть основано на:

• Диапазон DID клиента
• Магистральный контекст (TGRP)
• IP-интерфейс
• SIP-интерфейс (UDP/TCP-порт)
• Имя хоста

Конфигурация, показанная в этом документе, основана на диапазоне DID клиента с использованием плана нумерации.

Настройка IP-интерфейсов LAN и WAN

В этом разделе описывается, как настроить сетевые IP-интерфейсы SBC. Существует несколько способов развертывания SBC. SBC взаимодействует со следующими IP-объектами:

• Прямая маршрутизация Teams, расположенная в глобальной сети.
• SIP Trunk – находится в локальной сети.
• SBC подключается к глобальной сети через сеть DMZ.
• Физическое подключение. Тип физического подключения зависит от метода, используемого для подключения к сети предприятия. В топологии тестирования совместимости SBC подключается к локальной сети и DMZ с помощью выделенных портов Ethernet (т. е. используются два порта и два сетевых кабеля). SBC также использует два логических сетевых интерфейса: LAN (VLAN ID 1) и DMZ (VLAN ID 2). ).

Сетевые интерфейсы в топологии с SIP-транком в локальной сети

Проверка конфигурации физических портов и групп Ethernet

Физические порты автоматически обнаруживаются SBC. Группы Ethernet также автоматически назначаются портам. На этом этапе необходима только проверка параметров.

Чтобы проверить физические порты:

• Откройте таблицу «Физические порты» (меню «Настройка» > вкладка «IP-сеть» > папка «Основные объекты» > «Физические порты»).
• Убедитесь, что у вас есть по крайней мере два физических порта, обнаруженных SBC, один для локальной сети, а другой для глобальной сети. Убедитесь, что оба порта находятся в режиме Enabled.

Для проверки групп Ethernet:

• Откройте таблицу «Группы Ethernet» (меню «Настройка» > вкладка «IP-сеть» > папка «Основные объекты» > «Группы Ethernet»).
• Убедитесь, что у вас есть по крайней мере две группы Ethernet, обнаруженные SBC, одна для локальной сети, а другая для глобальной сети.

Настройка LAN и WAN VLAN

В этом разделе описывается, как определить VLAN для каждого из следующих интерфейсов:

• Интерфейс LAN (присвоено имя «LAN_IF»)
• Интерфейс WAN (присвоено имя «WAN_IF»)

Чтобы настроить VLAN:

• Откройте таблицу устройств Ethernet (меню «Настройка» > вкладка «IP-сеть» > папка «Основные объекты» > «Устройства Ethernet»).
• Будет одна существующая строка для VLAN ID 1 и базового интерфейса GROUP_1.
• Добавьте еще один идентификатор VLAN ID 2 для стороны WAN.

Настройка сетевых интерфейсов

В этом разделе описывается, как настроить сетевые IP-интерфейсы для каждого из следующих интерфейсов:

• Интерфейс LAN (присвоено имя «LAN_IF»)
• Интерфейс WAN (присвоено имя «WAN_IF»)

Чтобы настроить сетевые параметры для интерфейсов LAN и WAN:

• Откройте таблицу IP-интерфейсов (меню «Настройка» > вкладка «IP-сеть» > папка «Основные объекты» > «IP-интерфейсы»).
• Настройте IP-интерфейсы следующим образом (параметры вашей сети могут отличаться)

Сконфигурированные сетевые IP-интерфейсы показаны ниже.

Настройка контекста TLS

Инструкции по настройке в этом разделе основаны на следующей структуре домена, которая должна быть реализована как часть сертификата, загружаемого в хост SBC:

CN: customers.ACeducation.info
SAN: *.customers.ACeducation.info

Этот модуль сертификата основан на собственном сертификате TLS поставщика услуг.

Интерфейс прямой маршрутизации Teams разрешает только подключения TLS от устройств SBC для трафика SIP с сертификатом, подписанным одним из доверенных центров сертификации. Поддерживаемые в настоящее время центры сертификации можно найти на веб-сайте Microsoft .

Настройте адрес NTP-сервера

В этом разделе описывается, как настроить IP-адрес NTP-сервера. Рекомендуется внедрить сервер NTP (сервер Microsoft NTP или другой глобальный сервер), чтобы убедиться, что SBC получает текущую дату и время. Это необходимо для проверки сертификатов удаленных сторон. Важно, чтобы NTP-сервер располагался на IP-интерфейсе OAMP (в нашем случае LAN_IF) или был доступен через него.

Чтобы настроить адрес NTP-сервера:

• Откройте страницу «Время и дата» (меню «Настройка» > вкладка «Администрирование» > «Время и дата»).
• В поле «Адрес основного NTP-сервера» введите IP-адрес NTP-сервера (например, 10.15.28.1).

• Нажмите Применить

Создание контекста TLS для прямой маршрутизации Teams

В разделе ниже описано, как запросить сертификат для интерфейса SBC WAN и настроить его на примере DigiCert Global Root CA. Сертификат используется SBC для проверки подлинности соединения с Teams Direct Routing. Процедура включает в себя следующие основные этапы:

• Создайте контекст TLS для прямой маршрутизации Teams.
• Создайте запрос на подпись сертификата (CSR) и получите сертификат от поддерживаемого центра сертификации.
• Разверните SBC и корневой/промежуточный сертификаты на SBC.

Чтобы создать контекст TLS для прямой маршрутизации Teams:

• Open the TLS Contexts page (Setup menu > IP Network tab > Security folder > TLS Contexts).
• Create a new TLS Context by clicking +New, and then configure the parameters using the table below as reference.

Note: The table above exemplifies configuration focusing on interconnecting SIP and media. You might want to configure additional parameters according to your company’s policies. For example, you might want to configure Online Certificate Status Protocol (OCSP) to check if SBC certificates presented in the online server are still valid or revoked.

• Click Apply. You should see the new TLS Context and option to manage the certificates at the bottom of ‘TLS Context’ table.

Generate a CSR and Obtain the Certificate from a Supported CA

This section shows on how to generate a Certificate Signing Request (CSR) and obtain the certificate from a supported Certification Authority.

To generate a Certificate Signing Request (CSR) and obtain the certificate from a supported Certification Authority:

• Open the TLS Contexts page (Setup menu > IP Network tab > Security folder > TLS Contexts).
• In the TLS Contexts page, select the Teams TLS Context index row, and then click the Change Certificate link located below the table; the Context Certificates page appears.

Under the Certificate Signing Request group, do the following:

• In the ‘Common Name [CN]’ field, enter the SBC FQDN name (based on example above, customers.ACeducation.info).
• In the ‘1st Subject Alternative Name [SAN]’ field, change the type to ‘DNS’ and enter the wildcard FQDN name (based on example above, *.customers.ACeducation.info).
• Change the ‘Private Key Size’ based on the requirements of your Certification Authority. Many CAs do not support private key of size 1024. In this case, you must change the key size to 2048.
• To change the key size on TLS Context, go to: Generate New Private Key and Self-Signed Certificate, change the ‘Private Key Size’ to 2048 and then click Generate Private-Key. To use 1024 as a Private Key Size value, you can click Generate Private-Key without changing the default key size value.
• Fill in the rest of the request fields according to your security provider’s instructions.
• Click the Create CSR button; a textual certificate signing request is displayed in the area below the button.

• Copy the CSR from the line “—-BEGIN CERTIFICATE” to “END CERTIFICATE REQUEST—-” to a text file (such as Notepad), and then save it to a folder on your computer with the file name, for example certreq.txt.
• Send certreq.txt file to the Certified Authority Administrator for signing.

Deploy the SBC and Root / Intermediate Certificates on the SBC

After obtaining the SBC signed and Trusted Root/Intermediate Certificate from the CA, install the following:

• SBC certificate
• Root / Intermediate certificates

To install the SBC certificate:

• In the TLS Contexts page, select the required TLS Context index row, and then click the Change Certificate link located below the table; the Context Certificates page appears.
• Scroll down to the Upload certificates files from your computer group.
• Click the Choose File button corresponding to the ‘Send Device Certificate…’ field, navigate to the certificate file obtained from the CA, and then click Load File to upload the certificate to the SBC.

• Validate that the certificate was uploaded correctly. A message indicating that the certificate was uploaded successfully is displayed in blue in the lower part of the page:

• In the SBC’s Web interface, return to the TLS Contexts page, select the required TLS Context index row, and then click the Certificate Information link, located at the bottom of the TLS. Then validate the Key size, certificate status and Subject Name:

• In the SBC’s Web interface, return to the TLS Contexts page.
• In the TLS Contexts page, select the required TLS Context index row, and then click the Trusted Root Certificates link, located at the bottom of the TLS Contexts page; the Trusted Certificates page appears.
• Click the Import button, and then select all Root/Intermediate Certificates obtained from your Certification Authority to load.
• Click OK; the certificate is loaded to the device and listed in the Trusted Certificates store.

The above method creates a signed certificate for an explicit device, on which a Certificate Sign Request was generated (and signed with private key). To be able to use the same wildcard certificate on multiple devices, use following methods.

Method of Generating and Installing the Wildcard Certificate

To use the same certificate on multiple devices, you may prefer using 3rd party application (e.g., DigiCert Certificate Utility for Windows) to process the certificate request from your Certificate Authority on another machine, with this utility installed.
After you’ve processed the certificate request and response using the DigiCert utility, test the certificate private key and chain and then export the certificate with private key and assign a password.

To install the certificate:

• Open the TLS Contexts page (Setup menu > IP Network tab > Security folder > TLS Contexts).
• In the TLS Contexts page, select the required TLS Context index row, and then click the Change Certificate link located below the table; the Context Certificates page appears.
• Scroll down to the Upload certificates files from your computer group and do the following:
  Enter the password assigned during export with the DigiCert utility in the ‘Private key pass-phrase’ field.
  Click the Choose File button corresponding to the ‘Send Private Key…’ field and then select the SBC certificate file exported from the DigiCert utility.

Deploy Baltimore Trusted Root Certificate

Loading Baltimore Trusted Root Certificates to AudioCodes’ SBC is mandatory for implementing an MTLS connection with the Microsoft Teams network.

The DNS name of the Teams Direct Routing interface is sip.pstnhub.microsoft.com. In this interface, a certificate is presented which is signed by Baltimore Cyber Baltimore CyberTrust Root with Serial Number: 02 00 00 b9 and SHA fingerprint: d4:de:20:d0:5e:66:fc: 53:fe:1a:50:88:2c:78:db:28:52:ca:e4:74. To trust this certificate, your SBC must have the certificate in Trusted Certificates storage. Download the certificate from and follow the steps above to import the certificate to the Trusted Root storage.

Before importing the Baltimore root certificate into AudioCodes’ SBC, make sure it’s in .PEM or .PFX format. If it isn’t, you need to convert it to .PEM or .PFX format, otherwise the ‘Failed to load new certificate’ error message is displayed. To convert to PEM format, use Windows local store on any Windows OS and then export it as ‘Base-64 encoded X.509 (.CER) certificate’.

Configure Media Realms

Media Realms allow dividing the UDP port ranges for use on different interfaces. In the example below, two Media Realms are configured:

• One for the LAN interface, with the UDP port starting at 6000 and the number of media session legs 100 (you need to calculate number of media session legs based on your usage)
• One for the WAN interface, with the UDP port range starting at 7000 and the number of media session legs 100

To configure Media Realms:

• Open the Media Realms table (Setup menu > Signaling & Media tab > Core Entities folder > Media Realms).
• Configure Media Realms as follows (you can use the default Media Realm – Index 0 – but modify it):

The configured Media Realms are shown in the figure below.

Configure SIP Signaling Interfaces

This section shows on how to configure a SIP Signaling Interfaces. A SIP Interface defines a listening port and type (UDP, TCP, or TLS) for SIP signaling traffic on a specific logical IP network interface (configured in the Interface Table above) and Media Realm.

Note that the configuration of a SIP interface for the SIP Trunk shows as an example and your configuration might be different. For specific configuration of interfaces pointing to SIP trunks and/or a third-party PSTN environment connected to the SBC, see the trunk / environment vendor documentation.

AudioCodes also offers a comprehensive suite of documents covering the interconnection between different trunks and equipment.

To configure a SIP interfaces:

• Open the SIP Interface table (Setup menu > Signaling & Media tab > Core Entities folder > SIP Interfaces).
• Configure SIP Interfaces. You can use the default SIP Interface (Index 0), but modify it as shown in the table below. The table below shows an example of the configuration. You can change some parameters according to your requirements.

The configured SIP Interfaces are shown in the figure below.

Configure Proxy Sets

The Proxy Set and Proxy Address defines TLS parameters, IP interfaces, FQDN and the remote entity’s port. Proxy Sets can also be used to configure load balancing between multiple servers. The example below covers configuration of a Proxy Sets for Teams Direct Routing and SIP Trunk. Note that the configuration of a Proxy Set for the SIP Trunk shows as an example and your configuration might be different.

For specific configuration of interfaces pointing to SIP trunks and/or the third-party PSTN environment connected to the SBC. AudioCodes also offers a comprehensive suite of documents covering the interconnection between different trunks and the equipment.

The Proxy Sets will later be applied to the VoIP network by assigning them to IP Groups.

To configure a Proxy Sets:

• Open the Proxy Sets table (Setup menu > Signaling & Media tab > Core Entities folder > Proxy Sets).
• Configure Proxy Sets as shown in the table below.

• The configured Proxy Sets are shown in the figure below.

Configure a Proxy Address

This section shows on how to configure a Proxy Address.

To configure a Proxy Address for SIP Trunk:

• Open the Proxy Sets table (Setup menu > Signaling & Media tab > Core Entities folder > Proxy Sets) and then click the Proxy Set SIPTrunk, and then click the Proxy Address link located below the table; the Proxy Address table opens.
• Click +New; the following dialog box appears.

• Configure the address of the Proxy Set according to the parameters described in the table below.

• Click Apply.

To configure a Proxy Address for Teams:

• Open the Proxy Sets table (Setup menu > Signaling & Media tab > Core Entities folder > Proxy Sets) and then click the Proxy Set Teams, and then click the Proxy Address link located below the table; the Proxy Address table opens.
• Click +New; the following dialog box appears.

• Configure the address of the Proxy Set according to the parameters described in the table below.

• Click Apply.

Configure the Dial Plan

For deployments requiring hundreds of routing rules (which may exceed the maximum number of rules that can be configured in the IP-to-IP Routing table), you can employ tags to represent the many different calling (source URI user name) and called (destination URI user name) prefix numbers in your routing rules.

Tags are typically implemented when you have users of many different called and/or calling numbers that need to be routed to the same destination (e.g., IP Group or IP address). In such a scenario, instead of configuring many routing rules to match all the required prefix numbers, you need only to configure a single routing rule using the tag to represent all the possible prefix numbers.

The Dial Plan (e.g., TeamsTenants) will be configured with a customer tenant FQDN tag per prefix.

To configure Dial Plans:

• Open the Dial Plan table (Setup menu > Signaling & Media tab > SIP Definitions folder > Dial Plan).
• Click New and then configure a Dial Plan name (e.g., TeamsTenants) according to the parameters described in the table below.
• Click Apply.
• In the Dial Plan table, select the row for which you want to configure dial plan rules and then click the Dial Plan Rule link located below the table; the Dial Plan Rule table appears.
• Click New; the following dialog box appears.

• Configure a dial plan rule according to the parameters described in the table below.

• Click Apply and then save your settings to flash memory

Configure Call Setup Rules

This section describes on how to configure Call Setup Rules based on customer DID range (Dial Plan). Call Setup rules define various sequences that are run upon receipt of an incoming call (dialog) at call setup, before the device routes the call to its destination.
Configured Call Setup Rules need be assigned to specific IP Group.

To configure a Call Setup Rules based on customer DID range (Dial Plan):

• Open the Call Setup Rules table (Setup menu > Signaling & Media tab > SIP Definitions folder > Call Setup Rules).
• Click New; the following dialog box appears.

• Configure a Call Setup rule according to the parameters described in the table below.

• Click Apply and then save your settings to flash memory.

Configure Message Manipulation Rules

This section describes on how to configure SIP message manipulation rules. SIP message manipulation rules can include insertion, removal, and/or modification of SIP headers. Manipulation rules are grouped into Manipulation Sets, enabling you to apply multiple rules to the same SIP message (IP entity).
Once you have configured the SIP message manipulation rules, you need to assign them to the relevant IP Group (in the IP Group table) and determine whether they must be applied to inbound or outbound messages.

To configure SIP message manipulation rule for Teams:

• Open the Message Manipulations page (Setup menu > Signaling & Media tab > Message Manipulation folder > Message Manipulations).
• Configure a new manipulation rule (Manipulation Set 4) for Teams IP Group. This rule applies to messages sent to the Teams IP Group. This replaces the host part of the SIP Contact Header with the value saved in the session variable ‘TenantFQDN’ during execution of the Call Setup Rule.

• Configuring SIP Message Manipulation Rule 0 (for Teams IP Group)

Configure a Coder Group

This section describes on how to configure coders (termed Coder Groups). As Teams Direct Routing supports the SILK and OPUS coders while the network connection to the SIP Trunk may restrict operation with a dedicated coders list, you need to add a Coder Group with the supported coders for each leg, the Teams Direct Routing and the SIP Trunk.

Note that the Coder Group ID for this entity will be assigned to its corresponding IP Profile in the next section.

To configure a Coder Group:

• Open the Coder Groups table (Setup menu > Signaling & Media tab > Coders & Profiles folder > Coder Groups).
• From the ‘Coder Group Name’ dropdown, select 1:Does Not Exist and add the required codecs as shown in the figure below.

• Click Apply and confirm the configuration change in the prompt that pops up.

Configure an IP Profile

This section describes on how to configure IP Profiles. An IP Profile is a set of parameters with user-defined settings related to signaling (e.g., SIP message terminations such as REFER) and media (e.g., coder type). An IP Profile need be assigned to specific IP Group.

To configure an IP Profile:

• Open the Proxy Sets table (Setup menu > Signaling & Media tab > Coders & Profiles folder > IP Profiles).
• Click +New to add the IP Profile for the Direct Routing interface. Configure the parameters using the table below as reference.

• Click Apply, and then save your settings to flash memory.
• Click +New to add the IP Profile for the SIP Trunk. Configure the parameters using the table below as reference.

• Click Apply and then save your settings to flash memory.

Configure IP Groups

This section describes on how to configure IP Groups. The IP Group represents an IP entity on the network with which the SBC communicates. This can be a server (e.g., IP-PBX or SIP Trunk) or it can be a group of users (e.g., LAN IP phones). For servers, the IP Group is typically used to define the server’s IP address by associating it with a Proxy Set. Once IP Groups are configured, they are used to configure IP-to-IP routing rules for denoting source and destination of the call.

To configure an IP Groups:

• Open the IP Groups table (Setup menu > Signaling & Media tab > Core Entities folder > IP Groups).
• Configure IP Group for the SIP Trunk.

• Configure IP Group for the Teams Direct Routing.

• The configured IP Groups are shown in the figure below.

Configure SRTP

This section describes on how to configure media security. The Direct Routing Interface needs to use of SRTP only, so you need to configure the SBC to operate in the same manner. By default, SRTP is disabled.

To enable SRTP:

• Open the Media Security page (Setup menu > Signaling & Media tab > Media folder > Media Security).
• From the ‘Media Security’ drop-down list, select Enable to enable SRTP.

• Click Apply

Configure Message Condition Rules

В этом разделе описывается, как настроить правила условий сообщений. Условие сообщения определяет специальные условия (предварительные условия) для входящих сообщений SIP. Эти правила можно использовать в качестве дополнительных критериев соответствия для правил маршрутизации IP-IP в таблице маршрутизации IP-IP.

Чтобы настроить правило условия сообщения:

• Откройте таблицу «Условия сообщения» (меню «Настройка» > вкладка «Сигнализация и мультимедиа» > папка «Обработка сообщений» > «Условия сообщения»).
• Нажмите «Создать», а затем настройте параметры следующим образом.

• Настройка таблицы условий

• Нажмите Применить

Настройка правил классификации

В этом разделе описывается, как настроить правила классификации. Правило классификации относит входящие запросы, инициирующие диалог SIP (например, сообщения INVITE), к «исходной» IP-группе. Исходная IP-группа — это объект SIP, отправивший диалоговый запрос SIP. После классификации устройство использует IP-группу для обработки вызова (манипулирование и маршрутизация).
Вы также можете использовать таблицу классификации для управления доступом на уровне SIP для успешно классифицированных вызовов, настроив правила классификации с параметрами белого и черного списков. Если правило классификации настроено как белый список («Разрешить»), устройство принимает диалоговое окно SIP и обрабатывает вызов. Если правило классификации настроено как черный список («Запретить»), устройство отклоняет диалоговое окно SIP.

Чтобы настроить правило классификации:

• Откройте таблицу классификации (меню «Настройка» > вкладка «Сигнализация и носитель» > папка SBC > таблица классификации).
• Нажмите «Создать», а затем настройте параметры следующим образом.

• Настройка правила классификации

• Нажмите Применить.

Настройка правил маршрутизации вызовов IP-to-IP

В этом разделе описывается, как настроить правила маршрутизации вызовов IP-to-IP. Эти правила определяют маршруты для пересылки сообщений SIP (например, INVITE), полученных от одного объекта IP к другому. SBC выбирает правило, чьи настроенные входные характеристики (например, IP-группа) соответствуют характеристикам входящего SIP-сообщения. Если входные характеристики не соответствуют первому правилу в таблице, они сравниваются со вторым правилом и так далее, пока не будет найдено соответствующее правило. Если ни одно правило не соответствует, сообщение отклоняется. Показанный ниже пример охватывает только маршрутизацию IP-IP, хотя вы можете перенаправлять вызовы из магистрали SIP в Teams и наоборот.

Будут определены следующие правила маршрутизации IP-IP:

• Завершить сообщения SIP OPTIONS на SBC
• Завершить сообщения REFER для прямой маршрутизации Teams
• Звонки из Teams Direct Routing в SIP Trunk
• Звонки из магистрали SIP в Teams Direct Routing

Чтобы настроить правила маршрутизации IP-to-IP:

• Откройте таблицу «Маршрутизация IP-IP» (меню «Настройка» > вкладка «Сигнализация и мультимедиа» > папка SBC > «Маршрутизация» > «Маршрутизация IP-IP»).
• Настройте правила маршрутизации, как показано в таблице ниже.

• Настроенные правила маршрутизации показаны на рисунке ниже.

Примечание . Конфигурация маршрутизации может меняться в зависимости от конкретной топологии развертывания.

Настройка параметров брандмауэра

В качестве дополнительной безопасности есть возможность настроить правила фильтрации трафика (список доступа) для входящего трафика на AudioCodes SBC. Для каждого пакета, полученного на настроенном сетевом интерфейсе, SBC просматривает таблицу сверху вниз, пока не будет найдено первое соответствующее правило. Соответствующее правило может разрешать (разрешать) или запрещать (блокировать) пакет. Как только правило в таблице найдено, последующие правила ниже по таблице игнорируются. Если конец таблицы достигнут без совпадения, пакет принимается. Обратите внимание, что брандмауэр не имеет состояния. Правила блокировки будут применяться ко всем входящим пакетам, включая ответы UDP или TCP.

Чтобы настроить правило брандмауэра:

• Откройте таблицу «Брандмауэр» (меню «Настройка» > вкладка «IP-сеть» > папка «Безопасность» > «Брандмауэр»).
• Настройте следующие правила списка доступа для IP-интерфейса Teams Direct Rout.

Примечание . Имейте в виду, что если в вашей конфигурации подключение к магистрали SIP (или другим объектам) выполняется через тот же IP-интерфейс, что и Teams (WAN_IF в нашем примере), вы должны добавить правила, разрешающие трафик от этих объектов.

Проверьте сопряжение между SBC и прямой маршрутизацией

После сопряжения SBC с прямой маршрутизацией с помощью команды PowerShell New-CsOnlinePSTNGateway убедитесь, что SBC может успешно обмениваться параметрами OPTION с прямой маршрутизацией.

Чтобы подтвердить сопряжение с помощью параметров SIP:

• Откройте страницу «Статус набора прокси» («Монитор» > «Статус VOIP» > «Статус набора прокси»).
• Найдите прямое подключение SIP и убедитесь, что «Статус» находится в сети. Если вы видите сбой, вам необходимо сначала устранить неполадки с подключением, прежде чем настраивать голосовую маршрутизацию.

Сделать тестовый звонок

После завершения установки можно запустить тестовый звонок из SBC зарегистрированному пользователю, а также в обратном направлении. Запуск тестового звонка поможет выполнить диагностику и проверить подключение для будущих звонков в службу поддержки или автоматизации настройки.
Тестовые вызовы можно выполнять с помощью агента тестирования, встроенного в SBC AudioCodes. Test Agent дает вам возможность удаленно проверять подключение, качество голоса и поток SIP-сообщений между SIP UA.

На SBC можно настроить смоделированную конечную точку для проверки SIP-сигнализации вызовов между SBC и удаленным пунктом назначения. Эта функция полезна, поскольку позволяет удаленно проверять поток сообщений SIP, не привлекая удаленный конец к процессу отладки. Тестовый вызов SIP имитирует процесс передачи сигналов SIP: установка вызова, ответы SIP 1xx и завершение транзакции SIP с подтверждением 200 OK.

Тестовый вызов отправляет сообщения Syslog на сервер Syslog, показывая поток сообщений SIP, тональные сигналы (например, DTMF), причины завершения, а также статистику качества голоса и пороговые значения (например, MOS).

Чтобы настроить тестовый агент:

• Откройте таблицу «Правила тестового вызова» (меню «Устранение неполадок» > вкладка «Устранение неполадок» > «Тестовый вызов» > «Правила тестового вызова»).
• Настройте тестовый звонок в соответствии с параметрами вашей сети. Подробное описание см. в Руководстве пользователя AudioCodes.

Чтобы начать, остановить и перезапустить тестовый вызов:

• В таблице «Правила тестового вызова» выберите требуемую запись тестового вызова.
• В раскрывающемся списке Действие выберите нужную команду.
  Набрать : запуск тестового вызова (применимо только в том случае, если абонентом является вызывающий абонент).
  Сбросить вызов : останавливает тестовый вызов.
  Перезапуск : завершает все установленные вызовы, а затем снова запускает сеанс тестового вызова.

Скрипт инициализации арендатора

Приведенный ниже сценарий powershell реализует арендатора с прямой маршрутизацией на основе этой конфигурации.

Сценарий основан на предположении, что постоянная конфигурация, не уникальная для конкретного арендатора прямой маршрутизации, уже настроена (например, таблица наборов прокси-серверов, таблица условий, маршрутизация IP-IP и т. д.).
Красный = переменные, которые должны быть установлены/изменены для каждого арендатора.
Зеленый = константы, уникальные для этой конфигурации

Получите доступ к powershell, используя учетные данные администратора Telnet.

Следующий сценарий должен выполняться, если клиент использует услугу прямого входящего набора номера (DID).

Требования к прямой маршрутизации SIP-прокси

Teams Direct Routing имеет три полных доменных имени:

sip.pstnhub.microsoft.com [Глобальное полное доменное имя. SBC пытается использовать его в качестве региона первого приоритета. Когда SBC отправляет запрос на разрешение этого имени, DNS-сервер Microsoft Azure возвращает IP-адрес, указывающий на основной центр обработки данных Azure, назначенный SBC. Назначение основано на показателях производительности центров обработки данных и географической близости к SBC. Возвращенный IP-адрес соответствует основному полному доменному имени.]
sip2.pstnhub.microsoft.com [Вторичное полное доменное имя. Географически соответствует региону второго приоритета.]
sip3.pstnhub.microsoft.com [Третичное полное доменное имя. Географически соответствует третьему приоритетному региону.]

Эти три полных доменных имени должны быть размещены в указанном выше порядке, чтобы обеспечить оптимальное качество взаимодействия (менее загруженное и ближайшее к центру обработки данных SBC, назначенному путем запроса первого полного доменного имени). Три полных доменных имени обеспечивают отработку отказа, если из SBC устанавливается подключение к центру обработки данных, в котором возникла временная проблема.

Отказоустойчивый механизм

• SBC запрашивает DNS-сервер для разрешения sip.pstnhub.microsoft.com . Основной центр обработки данных выбирается на основе географической близости и показателей производительности центров обработки данных.
• Если во время подключения в основном центре обработки данных возникает проблема, SBC попытается использовать адрес sip2.pstnhub.microsoft.com , который разрешается во второй назначенный центр обработки данных, а в редких случаях, если центры обработки данных в двух регионах недоступны, SBC повторно попытается ввести последнее полное доменное имя ( sip3 .pstnhub.microsoft.com ), который предоставляет IP-адрес третичного центра обработки данных.
• SBC должен отправлять SIP OPTIONS на все IP-адреса, которые разрешаются из трех полных доменных имен, то есть sip.pstnhub.microsoft.com, sip2.pstnhub.microsoft.com и sip3.pstnhub.microsoft.com.

Теперь твоя очередь:

Вот как работает прямая маршрутизация для команд configure.

Какой вывод из сегодняшнего отчета показался вам наиболее интересным? Или, может быть, у вас есть вопрос о чем-то, что я рассмотрел.

В любом случае, я хотел бы услышать от вас. Так что продолжайте и оставьте комментарий ниже.