Angels_DUP
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bsl2k
-C - private addr, Jabber Guest Sever (JGS) - private addr, -E внешний - белый, -E внутренний - private addr
1. -C
1.1 -C/-E - UC Traversal Zone по именам, как в режиме MRA. Имя -E резолвится со стороны -C в private addr.
1.2. -C резолвит JG Server по имени.
1.3 CUCM Neighbor Zone - зона в сторону CUCM
1.4 Search Rules для CUCM Neighbor Zone
2. -E
2.1. -E/-C - UC Traversal Zone по именам, как в режиме MRA. Имя -C резолвится со стороны -E в private addr.
2.2. -E/JGS - Neighbor Zone, JGS резолвится в private addr
2.3 -E Search Rules для маршрутизируемых в CUCM номеров, цель - UC Traversal Zone в сторону -E.
У меня например split domain юзается, то есть voice domain и внешний разные. Работает через per-domain DNS на VCS.
С сертификатами - у меня на -С, CUCM, JGS - внутренние серты (MS CA, но это не принципиально, можно и openssl), на -E серт GoDaddy (чтобы клиенты не визжали).
В сертах внимательно следить за именами. Или все внутренние можно одним SAN накрыть например от внутреннего CA. Ну и по началу можно везде на -E/-C TLS Verify вырубить.
Имейте в виду если JGS не последний - с VCS 8.7/8.8 может не работать из-за малой длины эфемеральных ключей DH (в логах будет видно)
Между -E и -C/JGS лучше держать именно межсетевой экран, а не нат. Например разные секьюрити зоны на asa + permit acl. |
Всего записей: 21 | Зарегистр. 29-03-2016 | Отправлено: 11:06 05-07-2016 | Исправлено: Angels_DUP, 11:10 05-07-2016 |
|
