规划直接路由

直接路由允许将受支持的客户提供的会话边界控制器 (SBC) 连接到Microsoft Teams 电话。 使用此功能,可以配置本地公用电话交换网络 (PSTN) 与 Teams 的连接,如下图所示:

显示本地 PSTN 连接的配置的关系图。

规划直接路由的部署是成功实现的关键。 本文介绍基础结构和许可要求,并提供有关 SBC 连接的信息。 在开始配置之前,请务必阅读本文,如 配置直接路由中所述。

使用直接路由,可以将 SBC 连接到几乎任何电话中继或与第三方 PSTN 设备互连。 使用直接路由可以:

  • 将几乎任何 PSTN 中继与 Teams 电话配合使用。

  • 配置客户拥有的电话设备之间的互操作性,例如第三方专用分支交换 (PBX) 、模拟设备和 Teams。

Microsoft还提供全云语音解决方案,例如Microsoft通话套餐。 但是,在以下的情况下,直接路由可能最适合组织:

  • Microsoft通话套餐在你的国家/地区不可用。

  • 你的组织需要连接到第三方模拟设备、呼叫中心等。

  • 你的组织与 PSTN 运营商签订了现有合同。

有关语音解决方案的详细信息,请参阅 规划 Teams 语音解决方案

使用直接路由时,当用户参加计划的会议时,拨入号码由Microsoft音频会议服务提供,这需要适当的许可。 拨出时,音频会议使用在线呼叫功能发出呼叫,这需要适当的许可。 如果用户没有Microsoft音频会议许可证,呼叫将通过直接路由进行路由。 有关详细信息,请参阅 使用音频会议直接路由

直接路由还支持具有其他Microsoft通话套餐许可证的用户。 有关详细信息,请参阅 使用呼叫计划和操作员连接进行直接路由

基础结构要求

下表列出了部署直接路由时支持的 SBC、域和其他网络连接要求的基础结构要求:

基础结构要求 你需要以下项
会话边界控制器 (SBC) 支持的 SBC。 有关详细信息,请参阅 支持的 SBC
连接到 SBC 的电话中继 连接到 SBC 的一个或多个电话中继。 在一端,SBC 通过直接路由连接到 Teams 电话。 SBC 还可以连接到第三方电话实体,例如 PBX、模拟电话适配器等。 连接到 SBC 的任何 PSTN 连接选项都将正常工作。 (有关配置 SBC 的 PSTN 中继,请参阅 SBC 供应商或中继提供商。)
Microsoft 365 组织 Microsoft 365 组织,用于托管Microsoft Teams 用户,以及配置和连接到 SBC。
用户注册机构 用户必须驻留在 Microsoft 365 中。
如果公司具有与 Microsoft 365 混合连接的本地Skype商业环境,则无法在 Teams 中为本地用户启用语音。

若要检查用户的注册机构,请使用以下 Teams PowerShell cmdlet:
Get-CsOnlineUser -Identity <user> | fl HostingProvider

cmdlet 的输出应显示:
HostingProvider : sipfed.online.lync.com
添加到 Microsoft 365 或 Office 365 组织的一个或多个域。

不能使用为租户自动创建的默认域 *.onmicrosoft.com。

若要查看域,可以使用以下 Teams PowerShell cmdlet:
Get-CsTenant | fl Domains

有关域和Microsoft 365 或 Office 365 组织的详细信息,请参阅 域常见问题解答
SBC 的公共 IP 地址 可用于连接到 SBC 的公共 IP 地址。 根据 SBC 的类型,SBC 可以使用 NAT。
SBC 的完全限定域名 (FQDN) SBC 的 FQDN,其中 FQDN 的域部分是 Microsoft 365 或 Office 365 组织中的已注册域之一。 有关详细信息,请参阅 SBC 域名
SBC 的公共 DNS 条目 将 SBC FQDN 映射到公共 IP 地址的公共 DNS 条目。
SBC 的公共受信任证书 SBC 的证书,用于与直接路由的所有通信。 有关详细信息,请参阅 SBC 的公共受信任证书
直接路由的连接点 直接路由的连接点为以下三个 FQDN:

sip.pstnhub.microsoft.com – 必须首先尝试全局 FQDN。
sip2.pstnhub.microsoft.com – 辅助 FQDN,在地理上映射到第二个优先区域。
sip3.pstnhub.microsoft.com – 第三级 FQDN,在地理上映射到第三优先区域。

有关配置要求的信息,请参阅 SIP 信令:FQDN
直接路由媒体的防火墙 IP 地址和端口 SBC 与云中的以下服务通信:

- SIP 代理,用于处理信号
- 媒体处理器,处理媒体 -除非媒体旁路处于打开状态

这两个服务在 Microsoft Cloud 中具有单独的 IP 地址,本文档稍后将对此进行介绍。

有关详细信息,请参阅 URL 和 IP 地址范围中的 Microsoft Teams 部分
媒体传输配置文件 TCP/RTP/SAVP
UDP/RTP/SAVP

许可和其他要求

直接路由用户必须在 Microsoft 365 中分配以下许可证:

  • Teams 电话
  • Microsoft Teams

有关何时需要音频会议许可证的信息,请参阅 使用音频会议直接路由

直接路由还支持获得Microsoft通话套餐许可的用户。 有关详细信息,请参阅 使用呼叫计划和操作员连接进行直接路由

有关许可的详细信息,请参阅 Microsoft Teams 许可Microsoft Teams 附加许可

注意:岛模式不支持直接路由。

使用音频会议进行直接路由

本部分介绍使用直接路由和音频会议时的要求和注意事项。

  • 对于 GCC High 和 DoD G5 用户,Microsoft建议在配置直接路由之前禁用 G5 中包含的音频会议组件,并将音频会议号码添加到组织的租户。

  • 对于 GCC High 和 DoD G3 用户,Microsoft建议在配置直接路由并将音频会议号码添加到组织的租户之前,不要分配音频会议许可证加载项。

有关详细信息,请参阅 使用适用于 GCC High 和 DoD 的直接路由的音频会议

计划外呼叫升级和音频会议许可证

Teams 用户可以启动一对一的 Teams 到 PSTN 或 Teams 到 Teams 呼叫,并向其添加 PSTN 参与者。 呼叫采用的路径取决于升级呼叫的用户是否分配了Microsoft音频会议许可证:

  • 如果升级呼叫的 Teams 用户分配了Microsoft音频会议许可证,则升级将通过Microsoft音频会议服务进行。 受邀参加现有呼叫的远程 PSTN 参与者会收到有关传入呼叫的通知,并看到分配给发起升级的 Teams 用户的Microsoft网桥号码。

  • 如果升级呼叫的 Teams 用户未分配Microsoft音频会议许可证,则升级通过连接到直接路由接口的会话边界控制器进行。 受邀参加呼叫的远程 PSTN 参与者会收到有关传入呼叫的通知,并查看发起升级的 Teams 用户的号码。 用于升级的特定 SBC 由用户的路由策略定义。

必须确保以下各项:

  • CsOnlineVoiceRoutingPolicy 分配给用户。

  • 在租户级别为 Microsoft Teams 启用“允许专用呼叫”。

使用通话套餐和运营商连接进行直接路由

直接路由还支持获得Microsoft通话套餐许可或分配有运营商连接电话号码的用户。 已启用通话套餐或运营商连接功能的 Teams 电话用户可以使用直接路由接口路由某些呼叫。

为同一用户混合通话套餐或运营商连接和直接路由连接是可选的,但可能很有用。 例如,向用户分配了Microsoft通话套餐或运营商连接号码,但想要使用 SBC 路由某些呼叫时。

最常见的方案之一是调用第三方 PBX。 使用此配置时,使用直接路由路由对连接到第三方 PBX 的电话的呼叫,因此会保留在企业网络中,而不是遍历 PSTN。 同时,所有其他呼叫都根据用户分配的 PSTN 连接方法路由到 PSTN:Microsoft通话套餐或操作员连接。

有关 Teams 电话许可的详细信息,请参阅 Microsoft Teams 附加许可

支持的终结点

可以使用以下内容作为终结点:

SBC 域名

SBC 域名必须来自租户的“域”中注册的名称之一。

下表显示了为租户注册的 DNS 名称的示例、该名称是否可以用作 SBC 的 FQDN 以及有效 FQDN 名称的示例。 请注意,不能将 *.onmicrosoft.com 租户用于 SBC 的 FQDN 名称。

DNS 名称 可用于 SBC FQDN FQDN 名称的示例
contoso.com 有效名称:
sbc1.contoso.com
ssbcs15.contoso.com
europe.contoso.com
contoso.onmicrosoft.com SBC 名称不支持使用 *.onmicrosoft.com 域

假设要使用新的域名。 例如,租户 contoso.com 为在租户中注册的域名,并且你希望使用 sbc1.sip.contoso.com。

在将 SBC 与名称 sbc1.sip.contoso.com 配对之前,必须在租户的“域”中注册域名 sip.contoso.com。 如果在注册域名之前尝试将 SBC 与 sbc1.sip.contoso.com 配对,将收到以下错误:“无法使用”sbc1.sip.contoso.com“域,因为它未为此租户配置。

添加域名后,需要使用 UPN user@sip.contoso.com 创建用户并分配 Teams 许可证。 将域名添加到租户的“域”后,最多可能需要 24 小时才能完全预配域名、创建具有新名称的用户,以及向用户分配许可证。

一家公司可能在一个租户中有多个 SIP 地址空间。 例如,公司可能将 contoso.com 作为 SIP 地址空间,fabrikam.com 作为第二个 SIP 地址空间。 一些用户具有地址 user@contoso.com ,一些用户具有地址 user@fabrikam.com。

SBC 只需要一个 FQDN,并且可以从配对租户中的任何地址空间为用户提供服务。 例如,名称为 sbc1.contoso.com 的 SBC 可以接收和发送具有地址 user@contoso.com 的用户的 PSTN 流量, user@fabrikam.com 前提是这些 SIP 地址空间在同一租户中注册。

注意

Azure 通信服务直接路由中的 SBC FQDN 必须与 Teams 直接路由中的 SBC FQDN 不同。

SBC 的公共受信任证书

Microsoft建议通过 (CSR) 生成证书签名请求来请求 SBC 的证书。 有关为 SBC 生成 CSR 的具体说明,请参阅 SBC 供应商提供的互连说明或文档。

注意

大多数证书颁发机构 (CA) 要求私钥大小至少为 2048。 生成 CSR 时,请记住这一点。

证书需要将 SBC FQDN 用作 CN) (公用名,或将使用者可选名称 (SAN) 字段。

或者,直接路由支持 CN 和/或 SAN 中的通配符,并且通配符需要符合标准 RFC HTTP Over TLS

例如,使用 *.contoso.com,它与 SBC FQDN sbc.contoso.com 匹配,但与 sbc.test.contoso.com 不匹配。

直接路由 SIP 接口将仅信任证书颁发机构 (CA) 签名的证书,这些 CA 是Microsoft受信任的根证书计划的一部分。 确保作为程序一部分的 CA 对 SBC 证书进行签名。 此外,请确保证书的扩展密钥用法 (EKU) 扩展包括服务器身份验证和客户端身份验证。

有关详细信息,请参阅计划要求 - Microsoft受信任的根程序和包含的 CA 证书列表

注意

2023 年 8 月底,Microsoft 365 将更新其服务,以使用新 CA“DigiCert 全局根 G2”颁发的 TLS 证书。 若要避免可能影响服务的错误,必须更新 SBC 的证书根存储以包含新的根 CA。 有关详细信息,请参阅 SIP 证书到 MSPKI 证书颁发机构的更改

对于 Office 365 GCCH 和 DoD 环境中的直接路由,以下根证书颁发机构之一需要生成证书:

  • DigiCert 全局根 CA
  • DigiCert 高保障 EV 根 CA

注意

如果为 SBC 上的 Teams 连接启用了相互 TLS (MTLS) 支持,则必须在 Teams TLS 上下文的 SBC 受信任根存储中安装 Baltimore CyberTrust Root 和 DigiCert 全局根 G2 证书。 (这是因为Microsoft服务证书使用这两个根证书之一。) 若要下载这些根证书,请参阅 Microsoft 365 加密链。 有关详细信息,请参阅 Office TLS 证书更改

若要验证 MTLS 连接是否源自 Teams 基础结构,应将 SBC 配置为对 Teams 服务器端证书实施以下检查:

SIP 信号:FQDN、端口、故障转移机制

直接路由在以下环境中提供:

  • Microsoft 365 或 Office 365
  • Office 365 GCC
  • Office 365 GCC High
  • Office 365 DoD

有关政府环境(如 GCC、GCC High 和 DoD)的详细信息,请参阅 Office 365 和美国政府环境

以下部分介绍有关 FQDN、端口和故障转移机制的信息。

SIP 信号:FQDN

以下部分介绍各种Microsoft云环境的 FQDN 连接点。

Microsoft 365、Office 365 和 Office 365 GCC 环境

在这些环境中,直接路由的连接点为以下三个 FQDN:

  • 必须 首先尝试 sip.pstnhub.microsoft.com 全局 FQDN。 当 SBC 发送解析此名称的请求时,Microsoft Azure DNS 服务器将返回指向分配给 SBC 的主 Azure 数据中心的 IP 地址。 分配基于数据中心的性能指标和与 SBC 的地理邻近度。 返回的 IP 地址对应于主 FQDN。

  • sip2.pstnhub.microsoft.com – 辅助 FQDN – 在地理上映射到第二个优先区域。

  • sip3.pstnhub.microsoft.com - 第三级 FQDN - 在地理上映射到第三个优先区域。

按顺序放置这三个 FQDN 需要:

  • 通过查询第一个 FQDN) , (负载较低且最接近分配的 SBC 数据中心提供最佳体验。

  • 从 SBC 建立到遇到临时问题的数据中心的连接时,提供故障转移。 有关详细信息,请参阅 故障转移机制

FQDN sip.pstnhub.microsoft.com、sip2.pstnhub.microsoft.com 和 sip3.pstnhub.microsoft.com 解析为以下子网中的 IP 地址:

  • 52.112.0.0/14
  • 52.122.0.0/15

需要在防火墙中为所有这些 IP 地址范围打开端口,以允许传入和传出地址的传入和传出流量,以便发出信号。

注意:从 Teams SIP 终结点发往 SBC 的入站 SIP 流量可能源自这些子网中的任何 IP,而不仅仅是来自从前面提到的 FQDN 解析的 IP。 有关如何设置 SIP 对等互连的详细信息,请参阅 SBC 文档。

Office GCC DoD 环境

在 Office GCC DoD 环境中,直接路由的连接点为以下 FQDN:

sip.pstnhub.dod.teams.microsoft.us – 全局 FQDN。 由于 Office 365 DoD 环境仅存在于美国数据中心,因此没有二级和第三级 FQDN。

FQDN sip.pstnhub.dod.teams.microsoft.us 解析为以下子网中的 IP 地址:52.127.64.0/21

若要允许传入和传出地址的传入和传出流量以发出信号,需要在防火墙中为所有这些 IP 地址打开端口。

Office 365 GCC High 环境

在 Office 365 GCC High 环境中,直接路由的连接点为以下 FQDN:

sip.pstnhub.gov.teams.microsoft.us – 全局 FQDN。 由于 GCC High 环境仅存在于美国数据中心,因此没有二级和三级 FQDN。

FQDN sip.pstnhub.gov.teams.microsoft.us 解析为以下子网中的 IP 地址:52.127.88.0/21

若要允许传入和传出地址的传入和传出流量以发出信号,需要在防火墙中为所有这些 IP 地址打开端口。

SIP 信号:端口

对于提供直接路由的 Microsoft 365 或 Office 365 环境,必须使用以下端口:

交通 源端口 目标端口
SIP/TLS SIP 代理 SBC 1024 – 65535 在 SBC (上定义的 Office 365 GCC High/DoD 只能使用端口 5061)
SIP/TLS SBC SIP 代理 在 SBC 上定义 5061

SIP 信号:故障转移机制

为了解决 sip.pstnhub.microsoft.com,SBC 会进行 DNS 查询。 根据 SBC 位置和数据中心性能指标,选择主数据中心。

如果主数据中心遇到问题,SBC 会尝试 sip2.pstnhub.microsoft.com,这会解决到第二个分配的数据中心。 在两个区域中的数据中心不可用的极少数情况下,SBC 会重试最后一个 FQDN (sip3.pstnhub.microsoft.com) ,该 FQDN 提供第三级数据中心 IP。

下表汇总了主要数据中心、辅助数据中心和三级数据中心之间的关系:

如果主数据中心为 EMEA NOAM 亚洲
辅助数据中心 (sip2.pstnhub.microsoft.com) 我们 欧盟 我们
三级数据中心 (sip3.pstnhub.microsoft.com) 亚洲 亚洲 欧盟

媒体流量:端口范围、媒体处理器、CODECS

媒体流量:端口范围

如果要在没有媒体旁路的情况下部署直接路由,则以下要求适用。 有关媒体旁路的防火墙要求,请参阅 使用直接路由规划媒体旁路

媒体流量流入和流出Microsoft云中的单独服务。 媒体流量的 IP 地址范围如下所示。

注意

本文档中介绍的 IP 范围特定于直接路由,可能与 Teams 客户端建议的 IP 范围不同。

Microsoft 365、Office 365 和 Office 365 GCC 环境

在 Microsoft 365、Office 365 和 Office 365 GCC 环境中,IP 地址范围包括:

  • 52.112.0.0/14 (IP 地址从 52.112.0.0 到 52.115.255.255)
  • 52.120.0.0/14 (IP 地址从 52.120.0.0 到 52.123.255.255)

Office 365 DoD 环境

在 Office 365 DoD 环境中,IP 地址范围是:

  • 52.127.64.0/21

Office 365 GCC High 环境

在 Office 365 GCC High 环境中,IP 地址范围包括:

  • 52.127.88.0/21

所有环境

下表显示了媒体处理器的端口范围:

交通 源端口 目标端口
UDP/SRTP 媒体处理器 SBC 3478-3481 和 49152 – 53247 在 SBC 上定义
UDP/SRTP SBC 媒体处理器 在 SBC 上定义 3478-3481 和 49152 – 53247

注意

Microsoft建议 SBC 上每个并发调用至少两个端口。

媒体流量:处理器地理位置

媒体流量流经称为媒体处理器的组件。 媒体处理器与 SIP 代理放置在同一数据中心,如下所示:

  • NOAM (美国中南部,两个位于美国西部和美国东部数据中心)
  • 欧洲 (英国南部、法国中部、阿姆斯特丹和都柏林数据中心)
  • 亚洲 (新加坡数据中心)
  • 日本 (JP 东部和西部数据中心)
  • 澳大利亚 (AU 东部和东南部数据中心)
  • 拉丁美洲 (巴西南部)

媒体流量:编解码器

以下部分介绍媒体流量的编解码器。

SBC 与云媒体处理器或 Microsoft Teams 客户端之间的段

适用于媒体旁路案例和非旁路案例。

会话边界控制器和云媒体处理器之间的直接路由接口 (没有媒体旁路) ,或者 Teams 客户端与 SBC 之间的直接路由接口 (如果启用了媒体旁路,) 可以使用以下编解码器:

  • 非媒体旁路 (SBC 到云媒体处理器) :SILK、G.711、G.722、G.729
  • 媒体旁路 (SBC 到 Teams 客户端) :SILK、G.711、G.722、G.729

可以通过从产品/服务中排除不需要的编解码器来强制在会话边界控制器上使用特定编解码器。

Microsoft Teams 客户端和云媒体处理器之间的距离

仅适用于非媒体旁路情况。 使用媒体旁路,媒体直接在 Teams 客户端和 SBC 之间流动。

在云媒体处理器和 Teams 客户端之间的一端,使用 SILK 或 G.722。 此段上的编解码器选择基于Microsoft算法,这些算法考虑了多个参数。

注意

不支持媒体重新定位。 在通话期间,如果直接路由 SBC SIP 重新邀请 (套餐) 包含新的媒体 IP 地址、端口或传输,则不会将媒体从 PSTN 中心发送到新目标。 根据 RFC 3264 8.3.1,媒体重新定位支持是可选的, (不需要) 。

支持的会话边界控制器 (SBC)

Microsoft仅支持经过认证的 SBC 与直接路由配对。 由于企业语音对于企业至关重要,因此Microsoft对所选 SBC 运行密集测试,并与 SBC 供应商合作,确保这两个系统兼容。

经过验证的设备列为“Teams 直接路由认证”。 经过认证的设备保证适用于所有方案。

有关支持的 SBC 的详细信息,请参阅 认证为直接路由的会话边界控制器

支持边界

Microsoft仅支持与认证设备一起使用时具有直接路由的 Teams 电话。 如果出现问题,必须先联系 SBC 供应商的客户支持。 如果需要,SBC 供应商会通过内部渠道将问题上报到Microsoft。 Microsoft保留拒绝未认证的设备通过直接路由连接到 Teams 电话的支持案例的权利。 如果Microsoft确定客户的直接路由问题与供应商的 SBC 设备有关,则客户需要重新与 SBC 供应商联系以获取支持。

另请参阅