TEKNISK INFO TIL BRUG FOR DECENTRAL KONFERENCESERVER VIA VDX

Relaterede dokumenter
Nærmere om VDX v/ Per Abildgaard. 20. juni 2019

SDN temadag Video opkobling på/via Sundhedsdatanettet. Per Abildgaard

SDN temadag Video opkobling på/via Sundhedsdatanettet. Per Abildgaard

Produktspecifikationer Hosted Firewall Version 2.5

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

VDX VIDEOKNUDEPUNKTET. medcom

LUDUS Web Installations- og konfigurationsvejledning

-Krav til klinikkens udstyr (hardware/netværk mm.)

Mindstekrav til udstyr (fase 1) Løsningsbeskrivelse

Network Requirements - checklist SALTO proaccess space software SPACE ProAccess 3.0

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

OPSÆTNING AF VPN TIL KUNDER

HELLO INSTALLATIONS GUIDE - DANSK RACKPEOPLE

Netværksmålinger. - en introduktion! Netteknik. TCP - IP - Ethernet

UDP Server vejledning

Cisco ASA Vejledning. Opsætning af DMZ-zone

Sikring af netværkskommunikation

Netværksmålinger. - en introduktion! Netteknik

Sentinel (Dynamisk IP) til ZyWALL (Statisk IP) VPN Tunnel

H.323. Protocol suite. En ITU standard til VoIP

OS2faktor. Windows Credential Providers. Version: Date: Author: BSG


SIP. Session Initiation Protocol TDC IP telefoni Scale. SIP design mål

2017 Recordit.nu version 2. Call Recorder Kvikguide for Apresa Client

Det Danske Filminstitut byder velkommen til vores UDP Server. Pligtaflevering - Version 2.0

VDX i overskrifter. Peder Illum

Opsætning af Outlook til Hosted Exchange 2007

Fejlsøgning på Sundhedsdatanettet

EasyIQ ConnectAnywhere Release note

HELLO MANUAL DANSK VERSION RACKPEOPLE

Router U270 funktionsbeskrivelse

Connect Integration. MS Exchange Integration. Administratorvejledning

Datatekniker med infrastruktur som speciale

SSSystems.local. Netværk. Sikkerhed. Webserver

SIP. Session Initiation Protocol. TDC IP telefoni Scale

Call Recorder Apresa. Apresa Call Recording

Opbygning af firewall regler. Overvejelser med mere

beskrivelse af netværket på NOVI

FairSSL Fair priser fair support

TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE. Brugervejledning

3. Menuen Start -> Programs -> OpenVPN åbnes, og "My Certificate Wizard" vælges:

Support og fejlsøgning. Allan Dukat, UNI-C

FleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017)

Smartair 6.0. Installations guide

Cisco ASA Introduktion & vejledning. Opsætning af DMZ-zone

RECORDIT Voice Recording system

Projektopgave Operativsystemer I

MM Hul-Igennem-Test i Prod. Information til kunder

MobileStatus Server Installation og konfigurationsvejledning

Programmering af CS7050 TCP/IP modul

IPv6 Hvor er vi i dag? Erik Løth el@nworks.dk

TDCs Signaturserver. 11/05 - Version TDC Erhverv Sikkerhed og certifikater

Dette dokument omfatter teknisk specifikation og installationsvejledning for VAX Transfer som benyttes til overførsel af dokumenter til/fra VAX 360.

Tjekliste. Til brug ved anskaffelse af nye systemer og/eller programmer

FairSSL Fair priser fair support

Opsætning af Outlook til Hosted Exchange 2003

Jan Hansen, AMP CMDB Specialist

Bruger manual, SDN-aftalesystem

Produktspecifikationer Private Cloud Version 2.7

Understøttelse af LSS til NemID i organisationen

FIREWALL AUDIT. FORTROLIGT & PERSONLIGT Side 1 af 34

Om ONEBox... 2 Faciliteter i ONEBox... 2 Overordnet teknisk overblik... 2 Multiple servere... 3 Backup... 4 Sikkerhed... 5 Domæner... 6 Web...

FairSSL Fair priser fair support

Projekt: VAX NemHandel 4.0

Opsætning af FTP- og webserver 22. januar 2007

Transkript:

TEKNISK INFO TIL BRUG FOR DECENTRAL KONFERENCESERVER VIA VDX Indhold 1. Indledning... 1 2. Applianceserver, virtualiseringsplatform og hypervisor... 2 3. Mere om krav til hypervisor (fysisk server) og OVA... 2 4. Netforbindelse og netværk... 3 5. Nødvendige netværkskonfigurationer, firewalltilpasninger... 3 6. Certifikat... 9 7. DNS... 9 8. Management og Booking... 9 9. Branding af møderum... 10 10. Support... 10 11. Har du spørgsmål?... 10 1. Indledning Som del af videoknudepunktet tilbyder MedCom samarbejde om drift af en decentral videokonferenceserver, hvor MedCom bl.a. leverer applianceserver, mens I og jeres organisation (kommune, region, stat) skal etablere: Server til hypervisor og den decentrale konferenceserver Hypervisor Netforbindelse til serveren De nødvendige netværkskonfigurationer, firewalltilpasninger Certifikat til den virtuelle server Du kan i indeværende finde beskrivelse af teknisk set-up og krav, der skal opfyldes. Læs evt. mere om samarbejdsaftalen om decentral konferenceserver her: https://www.medcom.dk/systemforvaltning/videoknudepunktet-vdx/startpakke 1

2. Applianceserver, virtualiseringsplatform og hypervisor MedCom bygger og sender en virtuel applianceserver til den virtualiseringsplatform, der er aftalt, og som skal afvikles på en hypervisor hos jer. Følgende hypervisorer er supporterede: VMware Hyper-V ZEN KVM Det er vores erfaring, at VMware giver den bedste performance. 3. Mere om krav til hypervisor (fysisk server) og OVA Kapaciteten i applianceserveren skaleres ud fra de ressourcer, den får stillet til rådighed af hypervisoren. Der bruges som tommelfingerregel en vcpu for hver 2 HD-porte og 1 Gb ram pr. vcpu. Det vil sige, at ved kapacitet på f.eks. 16 samtidige porte, skal der skaleres ud fra nedenstående: 8 vcpu (2,3Ghz eller mere) 8Gb ram 50Gb Hdd Skaleringen skal ske på baggrund af, hvor mange samtidige porte, der skal bruges. Der kan til enhver tid opskaleres eller nedskaleres ved at ændre CPU- og ram-ressourcer på applianceserveren. Den hypervisor, som I anvender, skal overholde nedenstående krav. VIGTIGT: Disse krav kan ikke omgås, da det vil give ustabilitet i miljøet: CPU og ram: Skal være dedikeret og NON-Shared vcpu: Må ikke spanne over flere fysiske CPU er, er det nødvendigt med flere porte end den aktuelle cpu kan levere skal der oprettes en applianceserver mere. Eksempelvis vil en server med 2x12 cores CPU er og 64Gb RAM kunne levere 2 applianceservere med hver 12 vcpu er og en teoretisk kapacitet på ca. 24 HD porte, i alt 48 HD porte. Det er ikke tilladt at lave en enkelt applianceserver på 24vCPU er da det giver ustabilitet i video kvaliteteten EMemory: Der skal være samme mængde hukommelse i hver socket, og alle sockets skal være udfyldt (alle slots i en channel behøver ikke at være fyldt ud, det er tilstrækkeligt med en DIMM pr. channel). Se nedenstående eksempel 2

Pic.1 4. Netforbindelse og netværk Der skal bruges en public IP for hver konference node, firewallet i en DMZ. Der må ikke benyttes NAT - heller ikke static NAT. Se pic2-3 5. Nødvendige netværkskonfigurationer, firewalltilpasninger For at kunne kommunikere både med managementserveren og andre konferenceservere i VDX samt eventuelt andre videosystemer, skal der åbnes for en række porte i jeres organisations firewall. På de næste sider er lister over de indgående og udgående porte. ESP/UDP 500 skal åbnes indgående og udgående. Det er ikke muligt for jeres konferenceserver at kommunikere med andet, end de konferenceservere der er konfigureret via management noden. Derfor er der ikke er nogen risiko ved denne portåbning, men den er obligatorisk. Der benyttes følgende metode til denne funktion: 256-bit AES-CBC til kryptering af trafikken SHA 512 hashing til integritetstjek 4096-bit Diffie-Hellman modul til nøgleudveksling Ikke andre ciphers, hashes eller moduler er tilladt (Se pic 2-3). For de resterende er det mest praktisk at lave det som en generel åbning for ikke at skulle vedligeholde accesslisten. Hvis dette ikke ønskes er der to andre modeller. Model 1: Ved kommunikation udelukkende med VDX kan I begrænse jeres portåbninger (med undtagelse af ovenstående) til følgende IP-adresser. Med denne løsning kan der kun laves videokonference mod disse servere: 77.243.51.135, 77.243.51.136, 77.243.51.138, 77.243.51.140, 77.243.51.141, 77.243.51.142 80.197.59.34, 80.197.59.35, 80.197.59.36, 80.197.59.37, 80.197.59.40 Model X: Kommenterede [TGJ1]: Valg af model(ler) drøftes i brugergruppen 3

PORTFORKLARING INDGÅENDE PORTE: Protokol Source-Port Dest-Port Beskrivelse Enhed TCP <any> 22 SSH* SSH klient TCP <any> 80 HTTP Web browser/api interface/s4b/lync (Konference avatar) TCP <any> 443 HTTPS Web browser/api interface/mobil Pexip klient TCP <any> 1720 H.323 (H.225 signalering) Endepunkt/Kalds control TCP <any> 5060 SIP Endepunkt/Kalds control TCP <any> 5061 SIP/TLS Endepunkt/Kalds control TCP <any> 33000-39999 H.323(Q931/H245 signalering) Endepunkt/Kalds ctrl. TCP/UDP <any> 40000-49999 RTP/RTCP/RDP/DTLS/RTMP/STUN/TURN Endepunkt/Kalds ctrl./s4b/pexip klient UDP <any> 161 SNMP** SNMP server UDP 500 500 ISAKMP(IPsec) Management-node/Konferencenode UDP <any> 1719 H.323(RAS signalering) Endepunkt/Kalds control ESP n/a n/a IPsec/IP protokol 50 Management-node/Konferencenode UDGÅENDE PORTE TCP/UDP 55000-65535 53 DNS DNS server TCP 55000-65535 443 HTTPS Fejl rapportering til Pexip TCP 33000-39999 1720 H.323(H225 signalering) Endepunkt/Kalds control TCP/UDP 33000-39999 5060 SIP Endepunkt/Kalds control TCP 33000-39999 5061 SIP/TLS Endepunkt/Kalds control TCP 33000-39999 <any> H.323(Q.931/H.245 signalering) Endepunkt/Kalds control TCP/UDP 40000-49999 <any> RTP/RTCP/RDP/DTLS/RTMP/STUN/TURN Endepunkt/Kalds ctrl./s4b/pexip klient TCP 40000-49999 1935 RTMP RTMP streaming server TCP (TLS) 55000-6535 443/8057 PSOM(Powerpoint præsentaion fra S4B) S4B/Lync web konference service TCP (TLS) 55000-65535 443 HTTPS(Powerpoint præsentaion fra S4B) S4B/Lync Front End Server/ Edge Server UDP 123,55000-65535 123 NTP NTP Server UDP <any> 161 SNMP** SNMP NMS UDP 500 500 ISAKMP(IPsec) Management-node/Konferencenode UDP 55000-65535 514 Syslog** Syslog Server UDP 33000-39999 1719 H.323(RAS signalering) Endepunkt/Kalds control UDP 40000-49999 3478 STUN/TURN STUN/TURN server ESP n/a n/a IPsec/IP protokol 50 Management-node/Konferencenode * Krævet for konsol adgang til serveren ** Kan udelades hvis servicen ikke benyttes STATISTIK For statistisk opsamling skal der åbnes for port 22 og 443 mod 77.243.48.172 og SSH mod 77.243.51.142 4

BESKRIVELSE AF PORTE Indgående porte: Konferenceservere 500 /UDP ESP / IP Protokol 50 (vpn tunnel mellem samtlige konferenceservere i VDX) SIP-endepunkter: 5060/TCP SIP 5061/TCP SIP Secure (TLS) 40000-49999 UDP - Medie RTP/RTCP Browser/WebRTC 80/TCP Standard web, redirect til https 443/TCP SIP Secure (TLS) 40000-49999 UDP - Medie RTP/RTCP (Pexip) For Skype 4 Business og Lync: 80/TCP Konference Avatar 5061 TCP - SIP secure (TLS) 40000-49999 UDP - Medie RTP/RTCP (Lync/S4B (Edge)) 40000-49999 TCP - Medie RDP/RTMP (Lync/S4B (Edge)) H.323-systemer: 1719/UDP H.323 RAS signalering 1720/TCP H.323 H225 signalering 33000-39999 TCP / H323 Q931/H245 Signalering 40000-49999/UDP Medie (RTP/RTCP) Andre (kan udelades) 80 & 443 / TCP Klient API 443 /TCP Outlook klient (endnu ikke understøttet af VDX) 22 / TCP ( SSH) Administrator adgang 161 / UDP SNMP 5

Pic.2 6

UDGÅENDE PORTE: Konferenceservere 500 /UDP ESP / IP Protokol 50 (VPN-tunnel mellem samtlige konferenceservere i VDX) Endepunkter og klienter: 1719/UDP H.323 RAS signalering 1720/TCP H.323 H225 signalering 5060/TCP - SIP 5061/TCP SIP Secure (TLS) <Any> / TCP H.323 Q.931/H.254 Signalering <Any> / TCP & UDP Medie (RTP/RTCP/RDP/DTLS/RTMP/STUN/TURN) Andre: 3478 / UDP STUN / TURN 53 / TCP & UDP DNS 514 / UDP Syslog ( kan udelades ) 161 / UDP SNMP ( kan udelades ) 443 / TCP Fejl rapportering 1935 / TCP RTMP Streaming 443 / 8057 / TCP Lync/S4B Web konferencer 443 / TCP (HTTPS) Lync/S4B server 7

Pic.3 8

6. Certifikat Der kan benyttes SAN eller Single certifikat på serveren. Ved flere servere anbefales det at benyttes SAN, se eksempel: CN = sip.dit.domæne.dk SAN= server1.dit.domæne.dk SAN= server2.dit.domæne.dk CSR: Kan genereres direkte på serveren via openssl, brug evt. dette værktøj: https://www.digicert.com/easy-csr/openssl.htm Certifikat, private key og intermediate sendes til vdx@medcom.dk, hvorefter det uploades til din server. Dette kan ikke gøres lokalt. 7. DNS Følgende service records skal være tilstede. (Nedenstående er et eksempel på to servere). Ved egen Lync/S4B skal der benyttes et sub-domæne, da SRV-recorden _sipfederationtls._tcp.dit.domæne.dk kun kan eksistere en gang på hvert domæne. _h323.cs._tcp.dit.domæne.dk - 1720 server1.dit.domæne.dk 123.123.123.123 _h323.ls._udp.dit.domæne.dk 1719 server1.dit.domæne.dk 123.123.123.123 _sip._tcp.dit.domæne.dk 5060 server1.dit.domæne.dk 123.123.123.123 _sips._tcp.dit.domæne.dk - 5061 server1.dit.domæne.dk 123.123.123.123 _sipfederationtls._tcp.dit.domæne.dk 5061 sip.dit.domæne.dk 123.123.123.123 _pexapp._tcp.dit.domæne.dk - 443 dit.domæne.dk 123.123.123.123 Du kan teste dit DNS-setup på denne adresse: https://cdn.pexip.com/dns/prøv evt. at teste domænet rooms.vconf.dk 8. Management og Booking For at kunne oprette brugere, møderum m.m. samt benytte booking-platformen skal I have adgang til SDN (Sundhedsdatanettet) og oprette en aftale mod servicen, Service ID:2677, Navn Synergy. Spørgsmål om SDN kan rettes til sdn@medcom.dk. 9

9. Branding af møderum Med egen decentral konferenceserver er det muligt at tilpasse udseendet på ens møderum, så de afspejler organisationens eget logo, farver og lyd: Layout for møderum: Selve møderummet består af en række billeder, der kan ændres efter behov. På MedComs hjemmeside finder I eksempler på MedCom-møderum. Opløsningen på billederne må ikke ændres. Grafisk stilles der ikke krav. Lyd i møderum: I eksemplerne er der også lydfiler på engelsk. Ved behov er det muligt at lave nye lydfiler. Layout og webklient: Hvis organisationen ønsker at tilpasse udseendet på webklienten (dvs. hvor video tilgås via ens browser), skal der laves en separat branding af klienten. Vær opmærksom på, at det også vil kræve en reverse proxyserver. Link til MedComs branding: https://www.medcom.dk/media/8487/medcom_tema.zip Læs evt. mere om webklienten her: https://www.medcom.dk/systemforvaltning/videoknudepunktet-vdx/vejledninger-oginstallationsfiler/tekniske-vejledninger-og-installationsfiler 10. Support Du kan på MedComs hjemmeside læse om VDX-support: https://www.medcom.dk/opslag/support/videoknudepunktetvdx Serviceleverandøren for VDX overvåger den decentrale konferenceserver. I tilfælde af incidents sender serviceleverandøren besked til organisationen jf. samarbejdsaftalen. 11. Har du spørgsmål?. er du velkommen til at kontakte MedCom ved at skrive til vdx@medcom.dk 10

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback