Ver. 19734. Guide. Nätverk



Relevanta dokument
LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Innehållsförteckning Introduktion Samtal Kvalitetsproblem Felsökning av terminal Fakturering Brandvägg

IT för personligt arbete F2

5 Internet, TCP/IP och Tillämpningar

============================================================================

ELMIA WLAN (INTERNET)

Krav på kundens LAN och gränssnitt DataNet

Installation av. Vitec Online

Krav på kundens LAN och gränssnitt ProLane

Introduktion Lync-/SfB-Infrastruktur Cellips infrastruktur Brandväggskrav Lync/SfB Server PSTN Gateway...

Internetdagarna Petter Claesson Systems Engineer introduktion. Ljudkvalitet

Instuderingsfrågor ETS052 Datorkommuniktion

Kapitel 1 Ansluta routern till Internet

Ethernet-anslutning. För mer information om skrivarens Ethernet-funktion klickar du på avsnittet nedan: Ethernet-lampor. nätverkskonfigurationssida

FIBER. Installationshandbok. Rev

Hur BitTorrent fungerar

Grundläggande nätverksteknik. F3: Kapitel 4 och 5

Konfigurera Xenta från Point

Linuxadministration I 1DV417 - Laboration 4 Nätverk, DHCP, säkerhetskopiering, processhantering, Samba och NFS

PUNKT TILL PUNKT-ANSLUTNING. Version 10/10. Att ansluta en PC till Controller 1

Hjälpprotokoll till IP

Övningar - Datorkommunikation

DI a/11g Dualband 108Mbps trådlös router

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

Installationsmanual för Tyfon ADSL

Guide för Google Cloud Print

Önskemål kring Studentstadens bredband och UpUnet-S

Handbok för nätverk. För säker och korrekt användning, läs igenom säkerhetsinformationen i "Handbok för kopiator" innan du använder maskinen.

Guide för Google Cloud Print

Startanvisning för Bornets Internet

Kapitel 1 Ansluta Router till Internet

Installationsanvisningar

Förebyggande Råd från Sveriges IT-incidentcentrum

1. Beskrivning av ingående komponenter

Svensk version. Inledning. Installation av maskinvara. Installation av Windows XP. LW057V2 Sweex trådlösa LAN PCI-kort 54 Mbps

1 Översikt. 1.1 Koncept 1 (19) Tomas Rook Dokument typ Rev. Manual

Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Inkopplingsguide till Halmstads stadsnät 5-portars tjänstefördelare

Installation av digitala enheter

IPv6 EN GOD BÖRJAN GER ETT GOTT SLUT. LÅT OSS BÖRJA.

2. Får jag bestämma var ni ska gräva? Ja, om det finns något känsligt i vägen vid grävning kan ni påverka var grävning ska ske.

TCP/IP och Internetadressering

Konfigurering av Intertex SurfinBird IX78 tillsammans med IP-växlar och Telia SIP-anslutning

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

MANUAL NETALERT FÖR IPHONE VERSION 1.0

Innehåll. 1 Om detta dokument. 1 Om detta dokument 1. 2 Kundnytta Introduktion till BACnet 2

Real-time requirements for online games

IP Från användare till användare Vägval DNS Jens A Andersson (Maria Kihl) Att skicka data över flera länkar. Nätprotokoll

Åtkomst och användarhandledning

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

Inkopplingsguide till Halmstads stadsnät. 5-portars tjänstefördelare för fiberanslutning

Netwise CMG Voice , Rev 1.0, CJ 1(16)

Att sätta upp en IPsec-förbindelse med mobil klient. Lisa Hallingström Paul Donald

Brandväggar och portöppningar. Manual

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

Bruksanvisning. Bestic software version Äthjälpmedel. Internet:

Användarhandbok. Linksys PLEK500. Powerline-nätverksadapter

Practical WLAN Security

Program för skrivarhantering

Inkopplingsguide till Halmstads stadsnät 5-portars tjänstefördelare för kopparanslutning

PCI ETHERNET CARD 100 MB

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

F2 Exchange EC Utbildning AB

Fjärruppkoppling med MRD Industriell 3G-Router KI00282A

ÅTVID.NET Startinstruktioner

SIZE CONNECT, TEKNISK BESKRIVNING

Nätverkslagret - Intro

Routerinställning. Denna guide tar dig genom de enkla steg som behövs för att ställa in routern så den fungerar trådlöst.

Datatal Gateway. F Datatal Gateway 2019

IT-arbetsplats med distansåtkomst

Transport Layer. Transport Layer. F9 Meddelandesändning med UDP EDA095 Nätverksprogrammering. Java och UDP TCP/UDP

Datakommunika,on på Internet

The Pirate Bay-rättegången, dag 6 Fritt nedtecknat

Manual för version V2

Elektroniskt informationsutbyte mellan arbetsgivare och Försäkringskassan. Information om filöverföring

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

5 Internet, TCP/IP och Applikationer

Så här gör du för att lägga till nytt e-postkonto i Windows 8. Öppna E-post från startskärmen.

MANUAL NETALERT FÖR ANDROID VERSION 3.3

Webbteknik II. Föreläsning 4. Watching the river flow. John Häggerud, 2011

ANVÄNDARMANUAL. handdatorer i ängs- och betesmarksinventeringen. för

BiPAC 7402R2. ADSL2+ VPN Firewall Router. Snabbstartsguide

VIKTIG INFO GÄLLANDE OMKOPPLINGEN TILL DET ÖPPNA NÄTET

Internet. Internet hur kom det till? Internets framväxt. Ett hierarkiskt uppbyggt telenät Kretskopplat/circuit switching

DIG IN TO Nätverksteknologier

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

Innehåll. 1 Dokumentbeskrivning 3. 2 Användarinformation 3. 3 Installations anvisning Starta upp enheten 5

IP routinghierarkier. Robert Löfman Institutionen för informationsbehandling Åbo Akademi, FIN Åbo, Finland e post: robert.lofman@abo.nospam.

ANVÄNDARMANUAL. handdatorer i ängs- och betesmarksinventeringen. för

Grundläggande datavetenskap, 4p

Guide för AirPrint. Denna bruksanvisning gäller följande modeller:

LC Sweex trådlös bredbandsrouter 11g

Olika slags datornätverk. Föreläsning 5 Internet ARPANET, Internet började med ARPANET

Lathund. Skolverkets behörighetssystem för e-tjänster. Rollen huvudman

Systemkrav och tekniska förutsättningar

Beskrivning av hur du ansluter en E-terminal från Beijer Electronics till HC900 via Ethernet så att denna kan visa och manipulera data i HC900.

Produktspecifikation Bitstream FTTx

Skärmbilden i Netscape Navigator

Komma igång med Eventor

Transkript:

Ver. 19734 Guide Nätverk

Innehållsförteckning 1. Introduktion 1 2. Protokoll 1 2.1 FTP 1 2.2 DNS 1 2.3 HTTP 2 2.4 HTTPS 2 2.5 TFTP 2 2.6 SNTP/NTP 2 2.7 SIP 2 2.8 RTP 2 2.9 RTCP 2 3. Nät 3 4. Brandvägg och NAT 3 4.1 Vad är NAT 3 4.2 SIP och NAT 3 4.2.1 Gör en portmappning för varje anknytning i brandväggen 3 4.2.2 Sätt ner registreringsintervallet på din terminal 3 4.2.3 Aktivera NAT-keepalive 3 5. Provisionering 4 5.1 Staging 4 6. sip.telavox.se 4 7. Rekommendationer 6 7.1 Quality of Service 6 7.2 Brandvägg 7 7.3 Trafikbegränsningar 7 7.4 Portmappningar 7 7.5 VLAN 7 7.6 WLAN 8 7.7 IP-adressering 8 7.8 DNS namnupplösning 8 8. Fyra sätt att bygga ditt nätverk med IP-telefoni 8 8.1 En brandvägg med SIP-Stöd 8 8.2 Fysiskt separerade nätverk 8 8.3 Virtuellt separerade nätverk 9 8.4 Brandvägg UTAN SIP-stöd 9 9. Vanliga frågor 10

1 Introduktion Denna guide syftar till att ge en koncis överblick av de krav, kommunikationsprotokoll, rutiner och best-practices som används i samband med Telavox IP-telefonitjänster. Även om strävan är att guiden ska vara så utförlig och korrekt som möjligt, är det svårt att på ett begränsat utrymme täcka in samtliga aspekter av tjänsterna. Guiden riktar sig till nätverkstekniker utan tidigare erfarenheter kring IP-telefoni, men med goda kunskaper i allmänna nätverkstekniker, därmed förutsätts förkunskaper inom områdena IP, NAT, DNS, UDP, TCP, QoS och routing. En del beskrivningar utelämnar detaljer till förmån för överskådligheten, t.ex. visar inte IP-kommunikationsexemplen samtliga paket i samband med respektive procedur utan bara de mest relevanta för att åskådliggöra proceduren. I en företagsbrandvägg som används för många olika tjänster, utgör de krav som telefonin ställer på brandväggen bara en del av helhetsbilden i de krav och specifikationer en brandvägg behöver uppfylla för att fungera tillfredsställande. Vi tar tacksamt emot synpunkter på hur dokumentet kan förbättras ytterligare! 2 Protokoll Nedan återfinns de protokoll som används av utrustning som levereras av Telavox, samt en beskrivning av deras funktion. Olika terminaltyper använder olika protokoll, t.ex. föredras HTTPS för hämtning av mjukvara framför t.ex. TFTP och HTTP, men i de fallen då terminalen inte stödjer HTTPS används något av de andra. Telavox rekommenderar inte att man blockerar trafik till och från terminaler baserat på portar och/eller protokoll, utan snarare väljer att lita på samtlig trafik till och från Telavox nät, beskrivet i kapitlet 3 Nät. Telavox förbinder sig inte heller att för all framtid använda enbart protokollen nedan, varför en begränsning av tillåten trafik genom brandväggar baserat på nedanstående riskerar att påverka levererade tjänster i det fallet specifikationen nedan ändras. Notera att portarna som anges i samtliga fall är mottagarportar, som regel snarare än undantag använder utrustningen slumpvis valda avsändarportar. 2.1 FTP File Transfer Protocol, RFC959, TCP port 21 och 20. Används för att hämta terminalkonfiguration och mjukvara. 2.2 DNS Domain Name Server, RFC1035, TCP/UDP port 53. DNS funktionalitet är en del av ett fungerande IP-nät och de terminaler som levereras av Telavox fungerar inte om de inte har tillgång till en fungerande DNS. Vilken DNS-adress som används, och huruvida denna är placerad i kundens lokala nät eller i en leverantörs nät, skiljer sig från fall till annat. I det fallet då DNS:en finns placerad utanför brandväggen, måste brandväggen tillåta terminalerna att göra uppslag mot denna. Telavox rekommenderar starkt att man i de fallen då kunds utrustning/terminaler konfigureras manuellt, använder sig av domännamn snarare än IP-adresser. Det går inte att garantera tillgängligheten av specifika tjänster på specifika IP-adresser, däremot kommer tjänsterna via funktionsnamn (så som sip14.telavox.se) alltid finnas tillgängliga. Konkret innebär det att Telavox inte ger några garantier att funktionen sip14 alltid kommer att återfinnas på dess nuvarande IP 80.83.208.7, däremot kommer den alltid att finnas tillgänglig på sip14.telavox.se som i sin tur upplöser mot IP-adressen som funktionen finns på för tillfället. Sida 1

2.3 HTTP Hyper Text Transfer Protocol, RFC2616, TCP port 80. Används för att hämta terminalkonfiguration och mjukvara. Det krävs normalt ingen specifik konfiguration för att HTTP ska fungerar tillfredställande då detta är ett av de vanligast använda protokollen på Internet. 2.4 HTTPS Hyper Text Transfer Protocol over Secure Socket Layer, RFC2818, TCP port 443. Används för att hämta terminalkonfiguration och mjukvara. 2.5 TFTP Trivial File Transfer Protocol, RFC1350, UDP port 69 samt dynamiskt allokerade portar för dataöverföring. Används för att hämta terminalkonfiguration och mjukvara. Notera att ett uttryckligt stöd för just TFTP ofta är nödvändigt för att TFTP-klient bakom en brandvägg ska fungera, detta då dataöverföringsportarna förhandlas under sessionens gång och kräver att brandväggen dynamiskt allokerar dessa. 2.6 SNTP/NTP (Simple) Network Time Protocol, RFC1305/RFC1361, UDP port 123. Används för att sätta tid/klocka i terminalen. 2.7 SIP Session Initiation Protocol, RFC3261, UDP port 5060. SIP används som kontrollprotokoll mellan SIP-proxyn ( växeln ) och terminalen ( telefonen ). SIP används för att skicka de kommandon mellan SIP-proxyn och terminalen som används för samtalskontroll. 2.8 RTP Real Time Transfer Protocol, RFC1889, UDP port 1024-65535 (Telavox använder UDP port 10 000-20 000) Ljudströmmen mellan terminalen och telefonen under ett samtal strömmar som RTP. Vilken port som används slumpas fram i samband med att ett samtal initieras. Samtliga av Telavox levererade terminaler använder symmetrisk RTP vilket innebär att mottagar- och avsändarport för RTP-strömmen är samma för både inkommande och utgående ljudström. Detta medför att ljudströmmen som går från terminalen till proxyn öppnar sessionen i brandväggen för att även tillåta inkommande talström över samma session. Konkret gör det att man i de fallen då man inte explicit begränsar vilken trafik man tillåter initieras från insidan, implicit tillåter RTP-trafiken från utsidan och in. 2.9 RTCP Real Time Control Protocol, RFC3550, UDP port 1024-65535. En del terminaler genererar RTCP-paket som används i kommunikationen mellan RTP-ändpunkter för att förmedla lokal statistik och samtalsdata såsom information om jitter och eventuella paketförluster. Denna väljs som RTP-porten+1, dvs. om RTP-strömmen går över porten 12480, kommer RTCP att använda UDP port 12481. Sida 2

3 Nät Telavox rekommenderar att man tillåter samtlig trafik till och från Telavox nätrymd, som utgörs av 80.83.208.0/20. Enbart utrustning som ägs och administreras av Telavox finns i detta nätet varför samtlig trafik som har sitt ursprung i detta nätet kan betraktas som betrodd. 4 Brandvägg och NAT 4.1 Vad är NAT NAT (Network Address Translation) är en teknik som används av i stort sett alla routrar och brandväggar avsedda för både hem- och företagsbruk. I de flesta Internetabonnemang för privatpersoner ingår endast en IP-adress, vilket blir ett problem om man vill ansluta mer än en apparat mot Internet. All utrustning som du ansluter mot Internet behöver en unik IP-adress för att kunna kommunicera med omvärlden. I fallet då man använder en NAT-brandvägg delar denna (oftast) ut unika, icke-publika IP-adresser till utrustningen på insidan. Brandväggen själv tar då den enda publika IP-adressen och visar denna utåt. Vilka IP-adresser som ska användas i icke-publika nät finns specificerat i RFC1918, dessa varken kan eller får routas på Internet. 4.2 SIP och NAT Det är vanligt att SIP och NAT inte fungerar som tänkt då brandväggens sessionstimer stänger sessionen som skapades i samband med registreringen efter en tid (normalt två-tre minuter) som normalt är mycket kortare än SIP-klientens omregistreringsintervall (normalt 60 minuter). Detta gör att inringande samtal till en terminal bakom en brandvägg droppas i brandväggen eftersom det vid det inringande tillfället inte längre finns någon aktiv session som matchar porten växeln försöker nå terminalen på. 4.2.1 Gör en portmappning för varje anknytning i brandväggen Terminalen använder sig som standard av port 5060 för att skicka och ta emot SIP-meddelanden. Om du har fler terminaler behöver de vars en unik port, först terminalen på 5060, andra på 5061 osv. 4.2.2 Sätt ner registreringsintervallet på din terminal Om terminalen registrerar sig med ett intervall som är tillräckligt kort för att hålla brandväggens sessionstimer aktiv, kommer inkommande samtal att fungera trots att ingen specifik portmappning är gjord. Denna lösning är snarare att betrakta som en workaround och rekommenderas inte eftersom den ofta inte ger en helt tillförlitlig tjänst, framförallt då flera SIP-klienter förekommer bakom en och samma brandvägg. Kortaste registreringsintervall som idag tillåts av Telavox är 120 sekunder, men kommer i framtiden förmodligen bli längre vilket gör att denna lösning knappast är framtidssäkrad. 4.2.3 Aktivera NAT-keepalive Denna funktion finns aktiverad i utrustning som levereras av Telavox. SIP-klienter med stöd för denna funktion skickar med jämna intervall (Telavox använder 90 sekunder) ett tomt SIP-paket med samma avsändar/mottagar-port/ip som de riktiga SIP-paketen. På så sätt belastas både SIP-proxy, SIP-klient och bandbredd avsevärt mindre då mängden data och beräkningar som krävs för varje paket är mindre än i exemplet ovan med kortare registreringsintervall. Effekten är dock densamma. Sida 3

5 Provisionering Samtliga SIP-klienter som levereras av Telavox hämtar sin konfiguration från Telavox servrar med jämna intervall (normalt en gång i timmen och vid omstart). Detta sätt att underhålla en terminals konfiguration och mjukvara kallas provisionering. Detta innebär att inställningar som görs lokalt t.ex. i en terminals webbkonfigurationsgränssnitt eller menysystem, normalt fungerar fram till att terminalen uppdaterar sin konfiguration från Telavox eller startas om. 5.1 Staging Merparten av de terminaler som levereras av Telavox kontaktar tillverkaren av utrustningen första gången den ansluts till Internet. Därefter omdirigeras den till Telavox provisioneringsserver som beskrivs i kapitlet ovan. För att detta ska fungera krävs att den brandvägg/router som terminalen nyttjar vid första inkopplingstillfället tillåter utgående trafik till alla mottagare. En terminal som fabriksåterställs behöver upprepa denna proceduren. När terminalen är konfigurerad och fungerar som den ska kommer regelbunden kommunikation enbart att ske mot servrar i Telavox nätrymd som beskrivs i kapitel 3. 6 sip.telavox.se För att uppnå bättre tillgänglighet och ett förenklat kommunikationsflöde mellan en SIP-terminal och Telavox plattform är det möjligt för terminalen att nyttja DNS SRV poster för att lokalisera Telavox servrar. I vanliga fall används DNS A poster för att hitta vilken IP-adress en server har. En A post returnerar i normalfallet en enskild IP-adress som adresserar en specifik server. Detta utgör en single point of failure då terminalen t.ex. i händelse av att servern havererar, inte känner till några alternativa servrar att kommunicera med. Två möjliga åtgärder för att återställa kommunikationen kan vara att flytta IP-adressen till en annan server eller att terminalen istället börjar kommunicera med en annan, fungerande, server. Bägge alternativ kräver potentiellt tidsödande felsökning och åtgärder för att återställa funktionen. Förenklat kan sägas att en DNS SRV post innehåller en lista över en eller flera för tillfället tillgängliga DNS A poster som kan hantera kommunikation av ett visst slag. Samtalssignalleringen mellan en terminal och Telavox plattform utgörs av SIP över UDP, en terminal som konfigurerats att använda DNS SRV poster för SIP över UDP gör därför ett DNS SRV uppslag mot adressen _sip._udp.sip.telavox.se. Som svar på den förfrågan returnerar Telavox DNS:er under normala omständigheter två eller flera DNS A poster som i sin tur motsvarar IP-adresser i specifika servrar som kan hantera kommunikation med Telavox plattform. Terminalen väljer en av dessa att kommunicera med och kommer i händelse av att kommunikationen fallerar (t.ex. på grund av ett serverhaveri eller kommunikationsproblem med ett specifikt nätsegment i Telavox nät) att välja att kommunicera med någon av de andra tillgängliga servrarna. I händelse av att kommunikationen internt i Telavox nät fallerar är det möjligt att vidta åtgärder för att åtgärda detta på ett sätt som inte påverkar kundens terminal eller tjänst. Terminaler som använder DNS SRV poster kan dessutom i många fall fungera som normalt även under planjobb i Telavox plattform. Utöver den förbättrade tillgängligheten enl. ovan förenklas trafikflödena för signalleringen (SIP-trafiken) mellan terminalen och Telavox plattform genom att samtlig signallering - både samtals-kontroll och presence - hanteras mellan terminalen och den sip.telavox.se-nod som terminalen valt från listan över tillgängliga servrar. Se Figur 1 för trafikfallet då en terminal nyttjar DNS SRV poster och Figur 2 för fallet då DNS A poster nyttjas. Sida 4

DNS SRV poster används ofta i sammanhang där det ställs höga krav på tillgänglighet. Exempel på tillämpningar, utöver IP-telefoni/SIP, där det används är t.ex. katalog- och autenticeringstjänster som LDAP/kerberos och Instant Messaging/XMPP. Hur DNS SRV poster används finns specificerat i RFC2782, det finns också mycket relaterad information att hitta på Internet, t.ex. http://www.voip-info.org/wiki/view/dns+srv Samtliga terminaler * som levererats sedan 20120601 och provisioneras av Telavox använder DNS SRV poster för att göra namnupplösning mot sip.telavox.se. Figur 1 Figur 2 * Gäller EJ Pingcom NPA201E Sida 5

7 Rekommendationer 7.1 Quality of Service Om man vill använda sig av trafikprioritering är Telavox rekommendation att prioritera samtlig UDP-trafik till Telavox nätrymd (se kap. 3 Nät). QoS kan i många fall vara svårt att konfigurera och verifiera att man har en konfiguration som fungerar önskvärt. Ju enklare prioriteringsmodell man tillämpar, desto enklare är det att konstatera huruvida den fungerar som tänkt eller inte. Felaktigt konfigurerade QoS-parametrar ställer ofta till mer skada än nytta och det rekommenderas därför att man först utvärderar telefonin utan att ha konfigurerat QoS i brandväggen och i det fallet då kvaliteten inte är tillfredsställande, konfigurerar QoS. 7.2 Brandvägg I stort sett vilken brandvägg som helst går att konfigurera för att fungera väl tillsammans med IP-telefoni. Telavox rekommenderar Ciscos ASA5500-serie med firmware versioner 8.0(3) eller senare. För ytterligare information se guide för Cisco ASA5505. Telavox erbjuder inte någon support på denna eller någon annan brandvägg. Utöver den allmänna konfigurationen som krävs, såsom IP-adressuppgifter, konfiguration av ev. DHCP-server, behövs inga ytterligare inställningar för att SIP-trafik ska fungera. Brandväggen spårar SIP-registreringarna och håller på så sätt ett register över vilka inkommande samtal och övriga SIP-dialoger som tillåts. Brandväggar som saknar denna eller motsvarande typ av funktionalitet behöver konfigureras med statiska portmappningar för varje SIP-klient i LAN:et. 7.3 Trafikbegränsningar I det fallet då man t.ex. av säkerhetsskäl vill begränsa vilken trafik man tillåter till- och från SIP-klienter på ett LAN rekommenderar Telavox att man enbart baserar begränsningarna på IP-adresser och inte på protokoll och/eller portar. Eftersom de protokoll/portar som används i kommunikationen mellan SIP-klienter och SIP-proxies kan komma att förändras med tiden, riskerar man att påverka funktionaliteten negativt i de fall då man baserar tillåtna trafiktyper på de protokoll/portar som nyttjas just nu. Det ger dessutom en mer omfattande konfiguration, som är svårare att överblicka, och därmed medför en större risk för fel som en följd av detta. 7.4 Portmappningar För att göra en portmappning i en brandvägg för en SIP-klient på LAN:et krävs följande information SIP-klientens IP adress SIP-klientens avsändar-port Eventuellt även SIP-klientens MAC-adress Det generella tillvägagångssättet följer nedan. 1. I DHCP-serverns konfiguration, associera SIP-klientens MAC-adress till en specifik IPadress, detta säkerställer att SIP-klienten får samma IP-adress även då DHCP-servern t.ex. startas om. 2. I brandväggen, skapa en portmappning för SIP-klientens IP-adress och avsändarport, det är denna som ser till att hålla en statisk session för att brandväggen ska kunna skicka inkommande trafik till SIP-klienten rätt. 3. Kontrollera att SIP-klienten kommer ut från rätt port i brandväggen. För att portmappningen i föregående steg ska vara till någon nytta är det den som måste vara avsändarport för telefonens registrering. Sida 6

Telavox kan inte hjälpa dig med att lägga upp portmappningar, titta i din brandväggs manual och läs mer på t.ex. http://www.portforward.com för information om hur det fungerar med din specifika modell av brandvägg. 7.5 VLAN I de allra flesta fall krävs inte att man separerar telefontrafiken i ett eget VLAN. Dock kan det i vissa fall t.ex. beroende på att man vill underlätta överskådlighet och accountability i nätet, vara en bra idé. 7.6 WLAN De parametrar som påverkar talkvaliteten och tillförlitligheten i IP-telefonitjänsten i högst utsträckning är jitter och paketförluster, båda dessa parametrar påverkas påtagligt negativt då data överförs trådlöst. Telavox avråder från att man använder trådlös överföring av telefontrafiken då det är lokala, på förhand omöjliga att bedöma, parametrar som avgör i vilken utsträckning paketförluster och jitter introduceras över den trådlösa förbindelsen. 7.7 IP-adressering Telavox rekommenderar att man i samtliga fall använder en DHCP-server för IP-adressering av klienter i det lokala nätverket. I det fallet då man på grund av t.ex. portmappningar enligt ovan, önskar fasta adresser i den bemärkelsen att samma terminal under alla omständigheter får samma IP-adress, rekommenderas det att man i DHCP-servern associerar IP-adressen med terminalens MAC-adress. I och med detta får terminalen alltid samma IP-adress utan att man behöver konfigurera någon inställning i terminalen. Detta underlättar överskådligheten och minskar drastiskt mängden arbete som krävs i samband med installation. 7.8 DNS namnupplösning Telavox rekommenderar att man alltid använder DNS SRV poster för adressuppslagning mot sip.telavox.se framför nyttjande av DNS A poster för uppslag mot en specifik sipproxy. På grund av att trafikflödena mellan terminalen och Telavox plattform ser annorlunda ut jämfört med när man använder sig av DNS A poster, är det starkt rekommenderat att man validerar terminal- och brandväggskonfigurationer för användande av DNS SRV poster som ett diskret testfall, skiljt från valideringen av installationer som använder DNS A poster. Sida 7

8 Fyra sätt att bygga ditt nätverk med IP-telefoni 8.1 En brandvägg med SIP-Stöd En brandvägg med SIP-stöd håller reda på vilka anknytningar som finns registrerade på insidan och skickar därför inkommande samtal till rätt terminal. Hur detta fungerar i praktiken skiljer sig åt mellan olika tillverkare. Det är dessutom många implementationer som inte fungerar som avsett varför det absolut rekommenderas att man inte blint litar på utlovad funktionalitet utan att testa först. Telavox rekommenderar i första hand att man bygger sitt nätverk med en brandvägg som stödjer protokollet SIP (Session Initiation Protocol). Detta möjliggör att datorer och telefoner kan dela samma nätverk. Kräver brandvägg med stöd för SIP 8.2 Fysiskt separerade nätverk En bra lösning för kunder med en avancerad befintlig brandvägg och gott om Nätverksuttag. Används generellt vid större installationer. En kvalitetssäker installation som i vissa fall kan vara kostsam. Genom att separera näten säkerställer man både säkerheten i datanätverket samt kvalitén för IP-telefonin. Kräver en SIP-brandvägg Kräver en Internetaccess med flera IP-adresser Kräver 2st nätverksuttag per arbetsplats Sida 8

8.3 Virtuellt separerade nätverk För företag vars befintliga brandvägg inte stödjer SIP och inte har möjlighet att byta brandvägg. Genom att placera två brandväggar i nätverken kan man låta IP-telefonin gå ut genom en SIP-brandvägg (telefonerna använder denna som standard gateway ). Samtidigt som datortrafiken hanteras som tidigare genom den befintliga brandväggen. Att styra trafiken till de olika gateways görs lämpligast genom att konfigurera olika DHCP-klasser. 8.4 Brandvägg UTAN SIP-stöd Framförallt till företag med avancerad brandvägg och Internetaccess med bara en IP-adress. Företag 1. vars befintliga brandvägg inte stödjer SIP 2. som inte har möjlighet att byta brandvägg 3. som inte kan placera en parallell SIP-brandvägg finns lösningen att behålla tidigare lösning och med hjälp av portmappningar låta SIP trafiken passera. Kräver brandvägg med stöd för portmappningar Kräver god kunskap om brandväggen Sida 9

9 Vanliga frågor Varför kan jag ringa ut men inte in? Det är vanligt att all trafik som initieras från insidan (LAN-sidan) på brandväggen tillåts passera på väg ut. Utgående samtal kan jämföras med en vanlig WWW-siduppslagning vad avser trafikflödena. Ett inkommande samtal kräver däremot att det finns en session i brandväggen som kan dirigera trafiken till rätt enhet på insidan. Varför fungerar det ibland? Din terminal registrerar sig mot sitt routing-home med jämna mellanrum, din brandvägg håller då en session med de associerade portarna/ip-adresserna aktiv under en tid, vanligen kring två-tre minuter. Om du ringer in till din terminal strax efter att den skickat trafik kommer det att finnas en aktiv session som ser till att ditt samtal släpps in till rätt telefon. Varför fungerar det att ringa in precis efter att jag ringt ut? En session i NAT-brandväggen hålls aktiv eftersom den nyss öppnats inifrån, se ovan. Kan Telavox konfigurera min brandvägg för IP-telefoni? Nej, eftersom Telavox inte levererat din brandvägg kan vi inte heller lämna någon support på dess funktion och/eller konfiguration. Det är ditt eget ansvar att se till att din brandvägg fungerar med de tjänster du har för avsikt att nyttja den för. Sida 10

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss