你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 直接路由基础结构要求

在规划 Azure 直接路由部署时，本文描述了您需要牢记的基础结构、许可和会话边界控制器（SBC）连接的详细信息。

基础结构要求

下表列出了部署 Azure 直接路由时支持的 SBC、域和其他网络连接要求的基础结构要求：

基础结构要求	需要满足以下条件
会话边界控制器 (SBC)	受支持的 SBC。有关详细信息，请参阅受支持的 SBC。
连接到 SBC 的电话服务中继	连接到 SBC 的一个或多个电话服务中继。在一端，SBC 通过直接路由连接到 Azure 通信服务。 SBC 还可以连接到第三方电话实体，例如 PBX、模拟电话适配器。连接到 SBC 的任何公共交换机电话网络（PSTN）连接选项都有效。（对于 SBC 的 PSTN 中继配置，请咨询 SBC 供应商或中继提供商。）
Azure 订阅	用于创建通信服务资源的 Azure 订阅，以及针对 SBC 的配置和连接。
通信服务访问令牌	若要进行调用，需要具有 `voip` 作用域的有效访问令牌。请参阅访问令牌
用于 SBC 的公共 IP 地址	可用于连接到 SBC 的公共 IP 地址。基于 SBC 的类型，SBC 可以使用 NAT。
用于 SBC 的完全限定的域名 (FQDN)	有关详细信息，请参阅 SBC 证书和域名。
SBC 的公共 DNS 条目	将 SBC FQDN 映射到公共 IP 地址的公共 DNS 条目。
用于 SBC 的受信任公共证书	用于所有与 Azure 直接路由通信的 SBC 证书。有关详细信息，请参阅 SBC 证书和域名。
SIP 信号和媒体的防火墙 IP 地址和端口	SBC 与云中的以下服务进行通信： SIP 代理，用于处理信号处理媒体的媒体处理器这两个服务在 Microsoft 云中有单独的 IP 地址，本文档稍后将对此进行介绍。

SBC 证书和域名

Microsoft建议您通过证书签名请求（CSR）来申请 SBC 的证书。有关如何为 SBC 生成 CSR 的具体说明，请参阅 SBC 供应商提供的互连说明或文档。

注释

大多数证书颁发机构 (CA) 要求私钥大小至少为 2048。生成 CSR 时请记住这一点。

证书必须将 SBC FQDN 作为公用名 (CN) 或使用者可选名称 (SAN) 字段。证书应直接由认证机构颁发，而不是由中间提供者。

或者，通信服务直接路由支持 CN 和/或 SAN 中的通配符，通配符必须符合标准 RFC HTTP Over TLS。

已使用 Office 365 且已在 Microsoft 365 管理中心注册域的客户可以使用同一域中的 SBC FQDN。

例如，使用 *.contoso.com 的示例与 SBC FQDN sbc.contoso.com 匹配，但不与 sbc.test.contoso.com 匹配。

注释

Azure 通信服务直接路由中的 SBC FQDN 必须不同于 Teams 直接路由中的 SBC FQDN。

通信服务仅信任证书颁发机构（CA）签名的证书，这些证书是Microsoft受信任的根证书计划的一部分。确保 SBC 证书由作为计划的一部分的 CA 签名，并且证书的扩展密钥用法（EKU）扩展包括服务器身份验证。了解详细信息：

项目要求 - Microsoft受信任根证书项目

包含的 CA 证书列表

重要

Azure 通信服务直接路由仅支持 TLS 1.2。若要避免任何服务影响，请确保 SBC 配置为支持 TLS1.2，并且可以使用以下密码套件之一进行 SIP 信号连接：

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 即 ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 即 ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 即 ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 即 ECDHE-RSA-AES128-SHA256

仅支持 SRTP 媒体AES_CM_128_HMAC_SHA1_80。

SBC 配对适用于通信服务资源级别。这意味着可以将许多 SBC 与单个通信服务资源配对。不过，不能将单个 SBC 与多个通信服务资源配对。与不同资源进行配对需要具有唯一的 SBC FQDN。

如果在 SBC 上为直接路由连接启用了相互 TLS（MTLS）支持，则必须在直接路由 TLS 上下文的 SBC 受信任根存储中安装 Baltimore CyberTrust Root 和 DigiCert 全局根 G2 证书。（这是因为Microsoft服务证书使用这两个根证书之一。若要下载这些根证书，请参阅 Office 365 加密链。有关详细信息，请参阅 Office TLS 证书更改。

SIP 信号：FQDN

通信服务直接路由的连接点为以下三个 FQDN：

应首先尝试 sip.pstnhub.microsoft.com 的公网 FQDN。当 SBC 发送解析此名称的请求时，Microsoft Azure DNS 服务器返回一个 IP 地址，该地址指向分配给 SBC 的主 Azure 数据中心。该分配基于数据中心的性能指标以及与 SBC 的地理邻近度。返回的 IP 地址对应于主要 FQDN。
sip2.pstnhub.microsoft.com （次要 FQDN）地理位置映射到优先级为第二的区域。
sip3.pstnhub.microsoft.com （第三级 FQDN）地理上与第三优先级区域对应。

为了实现以下目标，这三个 FQDN 都是必需的：

提供最佳体验（通过查询第一个 FQDN 来减少负载并且最接近分配的 SBC 数据中心）。
当从 SBC 建立到遇到临时问题的数据中心的连接时，提供故障转移。有关详细信息，请参阅故障转移机制。

FQDN（sip.pstnhub.microsoft.com、sip2.pstnhub.microsoft.com 和 sip3.pstnhub.microsoft.com）解析为以下 IP 地址之一：

52.112.0.0/14 (IP addresses from 52.112.0.0 to 52.115.255.255)
52.122.0.0/15 (IP addresses from 52.122.0.0 to 52.123.255.255)

为所有这些 IP 地址范围打开防火墙端口，以允许流量传入和传出用于发送信号的地址。

SIP 信号：端口

使用以下端口进行通信服务 Azure 直接路由：

交通	源	目标	源端口	目标端口
SIP/TLS	SIP 代理	SBC	1024–65535	在 SBC 上定义
SIP/TLS	SBC	SIP 代理	在 SBC 上定义	5061

SIP 信号的故障转移机制

SBC 发出 DNS 查询来解析 sip.pstnhub.microsoft.com。系统将根据 SBC 位置和数据中心性能指标选择主数据中心。如果主数据中心遇到问题，SBC 将尝试 sip2.pstnhub.microsoft.com，它将解析为分配的第二个数据中心，在两个区域的数据中心均不可用的罕见情况下，SBC 将重试最后一个 FQDN (sip3.pstnhub.microsoft.com)，该 FQDN 提供第三个数据中心 IP。

媒体流量：IP 和端口范围

媒体流量流入和流出一个名为“媒体处理器”的独立服务。媒体流量的 IP 地址范围与发出信号的 IP 地址范围相同：

52.112.0.0/14 (IP addresses from 52.112.0.0 to 52.115.255.255)
52.120.0.0/14 (IP addresses from 52.120.0.0 to 52.123.255.255)

端口范围

下表显示了媒体处理器的端口范围：

交通	源	目标	源端口	目标端口
UDP/SRTP	媒体处理器	SBC	49152–53247	在 SBC 上定义
UDP/SRTP	SBC	媒体处理器	在 SBC 上定义	49152–53247

注释

Microsoft 建议 SBC 上的每次并发调用至少有两个端口。

媒体流量：媒体处理器地理位置

媒体处理器放置在与 SIP 代理相同的数据中心：

NOAM（美国中南部，两个位于美国西部和美国东部数据中心）
欧洲（欧盟西部、欧盟北部、瑞典、法国中部）
亚洲（新加坡数据中心）
日本（日本东部和西部数据中心）
澳大利亚（澳大利亚东部和东南部数据中心）
拉丁美洲（巴西南部）
非洲（南非北部）

媒体流量：编解码器

SBC 和云媒体处理器之间的分支。

会话边界控制器和云媒体处理器之间的分支上的 Azure 直接路由接口可以使用以下编解码器：

SILK、G.711、G.722、G.729

通过从产品/服务中排除不需要的编解码器，可以强制在会话边框控制器上使用特定编解码器。

通信服务调用 SDK 应用与云媒体处理器之间的分支

在云媒体处理器与通信服务调用 SDK 应用之间的分支上，使用 G.722。目前正在此支线上添加更多编解码器。