Direct Routing Preflight Check
Wenn Sie Direkt Routing einrichten wollen, dann ist es es ratsam schon vorab einmal über eine Checkliste sicher zu stellen, dass Sie nichts vergessen haben. Diese Liste kann natürlich keine seriöse Planung und Konzeption ersetzen aber soll ihnen bei der Planung etwas helfen und die Ansprechpartner identifizieren.
-
Checklisten
Eine Übersicht aller Checklisten der MSXFAQ
Thema | Verantwortliche Personen | Status |
---|---|---|
Office 365 TenantEs klingt nach einer Binsenweisheit aber ja, sie benötigen einen Office 365 Tenant im Teams mit Direct Routing einzurichten. Ich rate Firmen oft dazu, neben dem produktiven Tenant weitere Tenants für Test/Entwicklung und ggfls. noch für Qualitätsmanagement zu betreiben. |
|
|
LizenzenFolgende Lizenzen sine pro Benutzer mit Telefonie erforderlich
Für einen kurzen Test reicht vielleicht auch eine E5-Testversion, die aber sehr schnell doch wieder abgelaufen ist. Achtung: Nur E-Pläne können mit Phone System versehen werden. Die günstigeren Office 365 Business Pläne bis 200 Benutzer leider nicht. |
|
|
Session Border ControllerDer SIP-Trunk zu Teams muss über einen lokalen Session Border Controller geführt werden, der von Microsoft getestet und zertifiziert ist. Der SBC kann dazu virtuell oder physikalisch bereitgestellt werden.
Von Audiocodes gibt es z.B. einen kostenfreien virtuellen SBC mit zwei parallelen Sessions. Auch Anynode stellt Trial-Versionen bereit. Für erste Gehversuche kann dies eine Option sein. Auf Dauer kommen Sie damit aber nicht weiter.
|
|
|
SIP-Trunk zum PSTNEin klassischer SBC ist ein Back-to-Back-Useragent (B2BUA), der in der Mitte zwischen zwei SIP-Trunks steht. Für die Kopplung zum Telefonnetz muss der SBC natürlich eine Gegenstelle haben. Das kann ihre IP-Telefonanlage oder ein SIP-Trunk eines Providers sein. Diese Komponente ist eventuell mit Kosten verbunden und muss ebenfalls beantrag oder lizenziert werden. Denkbar ist aber auch eine Anbindung per ISDN, auch wenn es immer weniger Gegenstellen gibt. Sehr oft wird dieser Weg aber noch genutzt, weil die TK-Anlage noch kein VoIP kann oder inkompatibel ist |
|
|
Öffentlicher DNS-NameOffice 365 baut eine SIP-Verbindung zu ihrem SBC auf. Das geht nur über einen im Internet auflösbaren Namen. Überlegen Sie schon mal, wie der Host bekannt werden soll. teams-sbc.<firma.tld> könnte ein Beispiel sein. Microsoft prüft die Erreichbarkeit mittels SIP OPTIONS Ping per TLS. Der Name sollte auch nur auf die IP-Adresse von gültigen SBCs auflösen. und |
|
|
Öffentliches ZertifikatDa die Verbindung per TLS gesichert werden muss, benötigt ihr SBC auch ein Zertifikat, welches auf den öffentlichen Namen ausgestellt und auf dem SBC installiert wird. Das Zertifikat muss von einer PKI ausgestellt sein, die in Office 365 als "Trusted" geführt wird, da sich auch ihr SBC mit diesem Zertifikat gegenüber Office 365 authentifiziert.
|
|
|
Öffentliche IPv4-AdresseZum Namen und dem Zertifikat gehört natürlich eine öffentliche IPv4-Addresse, die auf den SBC direkt gebunden werden muss oder über eine geeignete Firewall per 1:1 NAT auf den SBC weiter geroutet wird. Beim Einsatz von NAT müssen Sie aber dem SBC die öffentlichen IP mitteilen, damit er diese als SDP-Kandidat verwendet. Verwendet werden auf der IP-Adresse nur zwei Portbereiche
|
|
|
ManagementDenken Sie dran, dass ein SBC natürlich für die Konfiguration erreichbar sein muss. Meist nutzen wir dazu ein eigenes "Management VLAN", um den Zugriff auf die Webconsole oder per TELNET oder SSH nicht aus dem allgemeinen Netzwerk erreichbar zu machen. Denkbar ist natürlich auch eine entsprechende Filterung in Firewalls oder Beschränkungen auf Quell-IPs Zudem sendet der SBC vielleicht Log-Informationen per SYSLOG, CDR-Records per SYSLOG und ihr Monitoring könnte per SNMP oder andere Schnittstellen die Funktion überwachen. Für diese Funktion müssen Sie die entsprechenden Gegenstellen, z.B. SYSLOGD aufbauen und erreichbar machen |
|
|
Firewall-FreischaltungenSchon mehrfach habe ich Firewalls erwähnt. Der SBC ist bezüglich der Sicherheit war eine Application Firewall für SIP und RTP aber dennoch haben die meisten Firmen ihr Netzwerk mit zusätzlichen Filtern versehen, die zwischen dem SBC und den Gegenstellen liegen. Mir fallen folgende Verbindungen direkt auf, die ggfls. zu erlauben sind:
|
|
|
StaffingMachen Sie sich bitte rechtzeitig Gedanken, wann wie welchen Mitarbeiter oder Dienstleister für die erforderlichen Konfigurationsschritte benötigen. Gerade SIP-Trunks bei TK-Anlagen bedürfen einer terminlichen Abstimmung und sind nicht mal eben eingerichtet. Das gilt auch für die Festlegung der Rufnummern und Normalisierungsregeln. Ich bevorzuge natürlich E.164 mit "Plus" aber nicht jeder SIP-Trunk kann das. Auch für die Einrichtung im Tenant brauchen Wie ggfls. einen Global Admin und auch die Firewall und Netzwerk-Gruppe muss bei der Umsetzung mit eingebunden werden um eine schnelle Fehlersuche zu ermöglichen. |
|
|
Test und ValidierungWenn die Konfiguration dann schon mal geschafft ist, sollten Sie unbedingt verschiedene Tests durchführen. Es bietet sich dabei an schon sehr früh die verschiedenen Testfälle und erwarteten Ergebnisse aufzuschreiben. Mit einem schnellen Anruf und Rückruf ist es nämlich nicht getan. Ein paar Demo-Benutzer mit Rufnummern sollten es schon sein um die verschiedenen Testfälle durchzuspielen. Hier eine Auswahl
Gehen Sie also schon davon aus, dass die Liste der Tests nicht mal auf eine DIN-A-4-Seite passt. Welche Tests für ihre Umgebung relevant sind, müssen Sie natürlich selbst definieren. Ideal ist, wenn die Funktionstests zumindest zum Teil automatisiert werden könnten und damit ein automatisches Monitoring möglich ist oder zumindest nach einer Konfigurationsänderung schnell der Erfolg bestätigt werden kann. |
|
|
Netzwerk ReadynessAudio und Video stellen besondere Herausforderungen an die Netzwerkkonfiguration. Nur nur die empfohlene Verwendung von UDP statt TCP/443 ist ein gewichtiger Unterschied. Auch die Paketanzahl und Anforderung an Laufzeit und Paketverlustraten sind gut dokumentiert. Sie sollten auf jeden Fall überlegen, wie sie diese Anforderungen nicht nur erfüllen, sondern auch deren Einhaltung überwachen. SNMP und NetFlow sind hier bei weitem nicht ausreichend. Aktive Tests sind anzuraten, die auch erkennen, wenn z.B. eine Firewall doch mal wieder UDP blocken sollte. Auch alle anderen Anforderungen an Office 365 Netzwerke (z.B. lokale Breakouts mit lokaler DNS-Auflösung, Umgehung von Proxy-Servern für Office 365 etc. sind hier zu beachten. |
|
|
Produktion ist nicht TestWenn in ihrem Test-Tenant dann alles funktioniert, wie es gefordert und versprochen wurden, dann beginnt ein Teil der Arbeit wieder von vorne. Die Einrichtung und Konfiguration im produktiven Tenant steht an |
|
|
Ich hoffe, diese Checkliste hilft ihnen die Einführung von Direct Routing etwas besser zu planen.
Unterstützung durch
Net at Work:
Ansonsten können Sie meine Kollegen oder
mich bei Net at Work gerne zur Unterstützung einkaufen.
Weitere Links
- Direct Routing - Telefonie mit eigener SIP-Anbindung
- Direct Routing Konfiguration
- Direct Routing und Media Bypass
-
Checklisten
Eine Übersicht aller Checklisten der MSXFAQ -
List of Session Border Controllers certified
for Direct Routing
https://docs.microsoft.com/en-us/microsoftteams/direct-routing-border-controllers -
Product Notice #0345: New License Key for
Microsoft Teams Support
https://blog.audiocodes.com/product-notice-0345-new-license-key-for-microsoft-teams-support