会话边界控制器
Session Border Controller
,
即会话边界控制器
SBC
已经逐渐成为NGN
和IMS网络
的标准配置产品(如同Lanswitch
和路由器
)。
也被广泛称为BAC(边界接入控制器)
,
定位在IMS网络
的ABG (access border gateway)
,
解决NGN业务
部署中遇到的NAT/FW
穿越、安全、互通、QoS
等问题。
会话边缘控制器(SBC,或会话控制器)
是VoIP呼叫控制产品
,
用于电话完全由VoIP
传输而不需要网关的环境。
它使用全部三种VoIP协议
——H.323关守
、SIP代理
和媒体网关控制协议(MGCP)
。
它会在未来的VoIP服务
提供中发挥重要作用,
允许跨越多个IP网络
,
即使有防火墙要穿越,也能提供有质量保障的VoIP服务
。
因为没有标准解决方案或者部分解决方案不能完全满足网络管理者的要求,
很多现有的会话边缘控制器
使用专门的解决方案。
IETF
有关的工作组正在考虑是否要开发提供未来SBC功能新的标准,
还要决定怎样使用现有的标准机制提供这些功能。
SBC
一般位于对等环境中两个业务提供商
网络之间,
或者位于给居民和企业用户提供服务的接入网
和骨干网络
之间。
尽管一些SBC
只处理信令
,但多数既处理信令也处理媒体。
这类SBC
实现处理信令的组件
和处理媒体流信令的组件
间的通信,
在SBC内部进行。
一些人认为软交换
最终会包含边缘控制器
的功能。
但软交换
和SBC
的功能重心和核心技术明显不同,
而且网络结构的不同定位排除了将多数SBC功能“塞进”软交换
的可能。
边缘会话控制器
的主要厂商包括Acme Packet
、Edgewater Networks
、Sonus Networks
、Metaswitch
等。
北电网络
、西门子
也开始考虑在这一领域怎样有所作为。
IP-IP网络
边缘的SBC
IP-PSTN网络
边缘的媒体网关
以及软交换
没有重叠,
有不同的角色,
需要配置专门的SBC
,
以及进一步提高和保障VoIP
的话音质量。
SBC
一般位于控制VoIP服务
的软交换
和公共Internet
之间,
有如下功能:
1. 网络地址转换和穿越
:
由于用户侧存在复杂的网络环境,
比如防火墙
、NAT(Network Address Translation)
,
位于NAT后的用户可能无法正常地使用IMS网络
的多媒体会话业务
,而SBC
的部署可以为多网络环境下的用户提供业务的接入和互通功能。
2. 网络安全控制
:用户行为是不可知的,
广大通过互联网接入IMS网络
的用户行为是不可控的,
为防止对IMS网络
的非法攻击,
需要在网络的周边部署必要的防护措施,
SBC网元
在发起业务的同时会删除与路由相关的信息
,
从而完成网络拓扑隐藏
的功能,
避免IMS核心网
成为攻击目标;
3. 此外SBC还具有门控功能
,即根据特定的条件,
允许或禁止某些用户通过其使用IMS网络业务;
4. 过载控制
则是根据IMS网络
的负荷,控制每秒钟的呼叫数量,
以避免网络负荷过重而引起的系统瘫痪。
5. QoS(Quality of Service)功能
:即服务质量,
指某网络提供更好服务的能力。
在IP网络
中QoS
用于确保重要的通话业务量不被延迟或丢弃,
SBC网元
可以基于呼叫数量进行限制,
确保服务中的用户享受高质量的网络服务。
摘要:
本文针对企业IP通信系统
建设实施的两大问题:
终端接入安全
和IP多媒体业务NAT穿越
,
介绍了基于SBC(Session Border Controller,会话边界控制器)
的解决方案,
并提出了利用SBC辅助实现IP录音
的一种新应用模式。
伴随通信网络融合与ALL IP
发展趋势,
越来越多的企业开始采用IP-PBX
、软交换
、MCU
等产品技术
构建内部IP通信系统
,
基于IP网络
承载数据、语音、视频、消息
等多种业务,
IP通信系统
为用户带来诸多便利的同时,也造成了一些其他麻烦。
其中在复杂网络情况下的IP多媒体业务NAT穿越
、
终端用户的安全接入
是许多企业建设管理IP通信系统
时非常困扰的问题。
以下就采用SBC(Session Border Controller,会话边界控制器)
解决上述问题的原理、功能和应用进行了探讨。
许多大中型企业对于信息安全非常重视,
数据网络中部署了大量防火墙设备
,
同时由于安全
及IP地址资源
等因素,
许多分支机构和部门采用私网IP地址
并在网络出口处启用NAT地址转换
。
由于通常NAT/防火墙设备
仅对IP
和UDP/TCP
报文头的地址及端口号
进行转换,
并不对消息净荷
中的媒体连接信息
进行转换,
从而造成NAT/防火墙
不支持SIP/H.323/H.248/MGCP
等IP通信协议
的有效传输。
比如对于SIP协议
,
终端用户注册后, 呼叫控制设备
上记录的将是其私网地址,
导致呼叫时信令不通。
因此IP多媒体业务无法跨越普通的NAT设备。
☆ 总结
企业对安全特别重视,就在数据网路中布置很多防火墙,这是第一个因素。
因为IP地址资源有限,分公司都采用私网IP,在网络出口进行NAT地址转换。
普通的NAT设备,比如说防火墙,是有很大缺陷的。
对IP,UDP,TCP报文头的IP+port进行转换。
对消息净荷的媒体连接信息
不进行转换。
这里头,[消息净荷]指的是一个帧(包)中传输的用户数据部分。
1.NAT 防火墙: 转换报文头中的IP+port,不转换媒体连接信息
2.ALG 防火墙: 转换IP报文头内嵌字段
3.
☆ 第一个解决方案
NAT穿越
的传统解决方案是启用防火墙ALG
((Application Level Gateway,应用层网关)功能,
ALG
作为NAT的增强
,
在地址转换
时对IP报文头净荷
中内嵌
的相应地址信息字段
(例如重写SIP协议Register
消息中的Contact
字段)也进行转换。
但如果全网规模部署IP多媒体业务
,
需对现网大量防火墙进行ALG升级
,
成本高、实施繁琐。
☆ 第二个解决方案
◇ 啥是SBC
SBC
最早是应用于电信运营商NGN领域
的一种产品形态,
定位在电信NGN网络
的IP业务网关
,
解决NGN业务部署
中遇到的NAT/FW
穿越、安全、互通、QoS等问题。
◇ SBC
SBC
设备采用Full Proxy(全代理)
方式定向传输信令/媒体流
:
终端将IP-PBX/软交换
等核心控制设备的地址设置为SBC Proxy
的地址
终端注册到核心设备
时,SBC
创建相应的地址映射表项
当终端开始呼叫时,SBC
修改相应的地址信息,将报文发送给真正的核心设备
所有的信令流
、媒体流
都可经过SBC进行转发,
另外也可设置媒体流旁路
由于SBC重新指定内网/外网用户信令/媒体流
的接收地址和端口
,
可以方便地实现不同网络域
之间的地址转换(包括公网/私网地址之间的转换),
为信令/媒体流
穿越NAT提供了技术保障。
!SBC组网示意图
部署SBC设备对已存在的网络拓扑结构没有任何影响,
无需升级以便支持交互式会话的NAT穿越。
同时SBC的组网位置没有限制,
可放置在IP可达的任意位置,
而且能够同时实现对于多个私网的代理。
针对多级NAT
、多个VPN
等复杂网络情况,
业界一些主流厂商如华为公司
的SE2000
系列SBC设备
还支持多种NAT穿越形式
:
一级、多级NAT穿越及对称NAT的穿越;
多个经过NAT转换后的私网的接入,
并且各私网地址空间可以重叠;
经过NAT转换的终端和未经过NAT转换的终端之间的混合组网。
企业建设IP通信系统
的原因之一是其部署和业务开展的灵活性,
例如通过宽带网络
实现远程接入
和移动办公
。
但IP通信系统
在具备灵活性和丰富业务的同时也带来了很大的安全隐患,
特别是通过外部Internet等非信任区域接入的IP软硬件电话终端
,
极可能成为病毒扩散
、DOS攻击
、非法用户仿冒的发起
和接入点
,
如何保障IP通信系统的安全性?
IP通信系统安全性是一个系统工程,
其实除了传统的VPN[Virtual Private Network ]
、防火墙
、IPS[ Intrusion Prevention System]
、IDS[Intrusion Detection Systems]
等方式外,
利用SBC
是进一步提升IP通信系统安全性
的有效手段。
以华为公司SE2000
系列SBC设备为例,可以提供以下的安全保障功能:
SBC
作为用户终端
和IP-PBX
、软交换
等核心设备之间的代理
,
为实时会话提供安全保证。
外部终端设备通过SBC接入核心网络,核心网络的拓扑对终端不可见。
这样,就有效隐藏了核心网和企业内部网络的拓扑结构,
防止其受到攻击,提高了整个网络架构的安全性。
SBC
能够将用户信息
(例如用户名、主叫号码和域名)和IP地址
进行绑定,
从而在用户注册时根据绑定规则
来判断是否允许该用户进行注册,
防止终端非法漫游。
也可以将用户注册地址交给核心控制设备,
由核心控制设备判断是否允许用户注册。
SBC
提供基于会话层
的针孔式动态防火墙
功能,
支持基于时间段的ACL[Access Control List]
,可以灵活配置ACL规则
生效的时间。
同时还提供黑名单功能
,即根据报文的源IP地址进行快速过滤,从而将命中黑名单表项的特定IP地址
发送过来的报文屏蔽,防止非法入侵。
SBC
提供防信令报文DoS[Denial of Service]攻击
功能,
在发生信令报文DoS攻击时仍能够最大程度地保证正常用户的使用:
可以防范伪造源IP地址的信令报文DoS攻击;
可以防范IP地址固定的信令报文DoS攻击;
可以部分防范伪造已有用户的信令报文DoS攻击;
可以直接丢弃畸形的信令报文,减轻对软交换处理的压力。
SBC
可以记录合法媒体流的信息(IP五元组
),
对于非法的媒体流可以直接丢弃,
从而可以防范媒体流DoS攻击。
SBC
还可以防范其他IP网络常见的DoS攻击
,
包括:SYN Flooding攻击
、UDP Flooding攻击
、ICMP Flooding攻击
、超大ICMP报文攻击
、Ping-of-death攻击
、WinNuke攻击
、Fraggle攻击
、Land攻击
等。
基于SBC
的这些强大安全功能,
并配合防火墙
、VPN
、IPS
、IDS
等传统安全设备
,
可以有效保障IP通信系统的安全性。
在金融、能源、政府等行业,
由于业务特殊性,
往往要求对一些内部通话进行录音并集中存储管理以便后续查询。
目前业界的IP录音方案主要有两种:
方案一通过IP电话机
直接录音,但该方案需要特殊终端
支持,
而且只能实现单点分散录音
,适合个人应用,
难以实现集中存储和管理。
方案二采用集中的录音服务器
,通过从IP网络
中抓取SIP/H.323
等协议包
分析并转换为WAV
文件实现录音。
该方案需在以太网交换机
等网络设备上设置端口镜像功能
,
将所有IP电话机的流量镜像
到集中录音服务器所连接端口。
方案二适合于局域网内的集中汇聚型IP语音应用,
但如果IP语音系统是分散组网,
用户分布在多个局点,
或部分网络设备不支持镜像功能,
则难以实现抓包和录音。
而且将所有IP电话端口都实现镜像对网络设备性能、带宽要求较高,
同时系统配置和管理维护繁琐,
难以满足实际应用需求。
利用SBC设备的媒体和信令流的代理功能,
可以将其扩展应用于IP录音解决方案:
无论IP承载网络拓扑如何,接入设备是否支持端口镜像,
只需在网络核心设备(如L3
或GSR
)上连接一台SBC
,
就能将IP电话媒体和信令流经由SBC转发。
录音服务器只需与网络核心设备连接,
通过其把SBC的端口镜像到录音服务器。
采用该方式只要求核心设备支持镜像,
对网络中其他设备无特殊要求。
由于只需将IP语音的媒体和信令流通过SBC汇聚到录音服务器,
对正常的数据流并无影响,
也避免了纯镜像方式将所有端口流量均汇聚到核心而对网络性能和设备配置的影响。
对于不需录音的IP电话用户,
还可以设置不经过SBC代理,
或只代理信令流而旁路媒体流,
以减少媒体流汇聚转发造成的带宽浪费。
采用SBC(Session Border Controller,会话边界控制器)
是低成本解决IP多媒体业务NAT穿越并保障IP通信系统终端接入安全的有效方式,
同时SBC
还可以很好解决传统IP录音方案在分布式组网时存在的问题,
相信SBC
将在企业IP通信系统
建设中得到更为广泛的应用。