SBC在企业IP通信系统中的应用

刘航 2008/05/04

   摘要:本文针对企业IP通信系统建设实施的两大问题:终端接入安全和IP多媒体业务NAT穿越,介绍了基于SBC(Session Border Controller,会话边界控制器)的解决方案,并提出了利用SBC辅助实现IP录音的一种新应用模式。

   关键词:IP通信、SBC、NAT穿越、安全、IP录音

一、引言

  伴随通信网络融合与ALL IP发展趋势,越来越多的企业开始采用IP-PBX、软交换、MCU等产品技术构建内部IP通信系统,基于IP网络承载数据、语音、视频、消息等多种业务,以降低通信成本、实现灵活部署、提供新业务功能,提升企业内外部沟通效率与核心竞争力。

  IP通信系统为用户带来诸多便利的同时,也造成了一些其他麻烦。其中在复杂网络情况下的IP多媒体业务NAT穿越、终端用户的安全接入是许多企业建设管理IP通信系统时非常困扰的问题。以下就采用SBC(Session Border Controller,会话边界控制器)解决上述问题的原理、功能和应用进行了探讨。

二、SBC实现IP多媒体业务NAT穿越

  许多大中型企业对于信息安全非常重视,数据网络中部署了大量防火墙设备,同时由于安全及IP地址资源等因素,许多分支机构和部门采用私网IP地址并在网络出口处启用NAT地址转换。

  由于通常NAT/防火墙设备仅对IP和UDP/TCP报文头的地址及端口号进行转换,并不对消息净荷中的媒体连接信息进行转换,从而造成NAT/防火墙不支持SIP/H.323/H.248/MGCP等IP通信协议的有效传输。比如对于SIP协议,终端用户注册后呼叫控制设备上记录的将是其私网地址,导致呼叫时信令不通。因此IP多媒体业务无法跨越普通的NAT设备。

  NAT穿越的传统解决方案是启用防火墙ALG((Application Level Gateway,应用层网关)功能,ALG作为NAT的增强,在地址转换时对IP报文头净荷中内嵌的相应地址信息字段(例如重写SIP协议Register消息中的Contact字段)也进行转换。但如果全网规模部署IP多媒体业务,需对现网大量防火墙进行ALG升级,成本高、实施繁琐。

  SBC最早是应用于电信运营商NGN领域的一种产品形态,定位在电信NGN网络的IP业务网关,解决NGN业务部署中遇到的NAT/FW穿越、安全、互通、QoS等问题。SBC设备采用Full Proxy(全代理)方式定向传输信令/媒体流: 

  • 终端将IP-PBX/软交换等核心控制设备的地址设置为SBC Proxy的地址
  • 终端注册到核心设备时,SBC创建相应的地址映射表项
  • 当终端开始呼叫时,SBC修改相应的地址信息,将报文发送给真正的核心设备
  • 所有的信令流、媒体流都可经过SBC进行转发,另外也可设置媒体流旁路

  由于SBC重新指定内网/外网用户信令/媒体流的接收地址和端口,可以方便地实现不同网络域之间的地址转换(包括公网/私网地址之间的转换),为信令/媒体流穿越NAT提供了技术保障。

SBC组网示意图

  部署SBC设备对已存在的网络拓扑结构没有任何影响,无需升级以便支持交互式会话的NAT穿越。同时SBC的组网位置没有限制,可放置在IP可达的任意位置,而且能够同时实现对于多个私网的代理。

  针对多级NAT、多个VPN等复杂网络情况,业界一些主流厂商如华为公司的SE2000系列SBC设备还支持多种NAT穿越形式:一级、多级NAT穿越及对称NAT的穿越;多个经过NAT转换后的私网的接入,并且各私网地址空间可以重叠;经过NAT转换的终端和未经过NAT转换的终端之间的混合组网。

三、SBC提升IP通信系统安全性

  企业建设IP通信系统的原因之一是其部署和业务开展的灵活性,例如通过宽带网络实现远程接入和移动办公。但IP通信系统在具备灵活性和丰富业务的同时也带来了很大的安全隐患,特别是通过外部Internet等非信任区域接入的IP软硬件电话终端,极可能成为病毒扩散、DOS攻击、非法用户仿冒的发起和接入点,如何保障IP通信系统的安全性?

  IP通信系统安全性是一个系统工程,其实除了传统的VPN、防火墙、IPS、IDS等方式外,利用SBC是进一步提升IP通信系统安全性的有效手段。以华为公司SE2000系列SBC设备为例,可以提供以下的安全保障功能:

  隐藏核心网络和内部网络的拓扑

  SBC作为用户终端和IP-PBX、软交换等核心设备之间的代理,为实时会话提供安全保证。外部终端设备通过SBC接入核心网络,核心网络的拓扑对终端不可见。这样,就有效隐藏了核心网和企业内部网络的拓扑结构,防止其受到攻击,提高了整个网络架构的安全性。

  用户注册和IP地址绑定

  SBC能够将用户信息(例如用户名、主叫号码和域名)和IP地址进行绑定,从而在用户注册时根据绑定规则来判断是否允许该用户进行注册,防止终端非法漫游。也可以将用户注册地址交给核心控制设备,由核心控制设备判断是否允许用户注册。

  融合了防火墙的安全功能

  SBC提供基于会话层的针孔式动态防火墙功能,支持基于时间段的ACL,可以灵活配置ACL规则生效的时间。同时还提供黑名单功能,即根据报文的源IP地址进行快速过滤,从而将命中黑名单表项的特定IP地址发送过来的报文屏蔽,防止非法入侵。

  信令DoS攻击防范

  SBC提供防信令报文DoS攻击功能,在发生信令报文DoS攻击时仍能够最大程度地保证正常用户的使用:可以防范伪造源IP地址的信令报文DoS攻击;可以防范IP地址固定的信令报文DoS攻击;可以部分防范伪造已有用户的信令报文DoS攻击;可以直接丢弃畸形的信令报文,减轻对软交换处理的压力。

  媒体流攻击防范

  SBC可以记录合法媒体流的信息(IP五元组),对于非法的媒体流可以直接丢弃,从而可以防范媒体流DoS攻击。

  其它DoS攻击防范

  SBC还可以防范其他IP网络常见的DoS攻击,包括:SYN Flooding攻击、UDP Flooding攻击、ICMP Flooding攻击、超大ICMP报文攻击、Ping-of-death攻击、WinNuke攻击、Fraggle攻击、Land攻击等。

  基于SBC的这些强大安全功能,并配合防火墙、VPN、IPS、IDS等传统安全设备,可以有效保障IP通信系统的安全性。

四、SBC扩展应用:完善IP录音解决方案

  在金融、能源、政府等行业,由于业务特殊性,往往要求对一些内部通话进行录音并集中存储管理以便后续查询。目前业界的IP录音方案主要有两种:

  方案一通过IP电话机直接录音,但该方案需要特殊终端支持,而且只能实现单点分散录音,适合个人应用,难以实现集中存储和管理。

  方案二采用集中的录音服务器,通过从IP网络中抓取SIP/H.323等协议包分析并转换为WAV文件实现录音。该方案需在以太网交换机等网络设备上设置端口镜像功能,将所有IP电话机的流量镜像到集中录音服务器所连接端口。

  方案二适合于局域网内的集中汇聚型IP语音应用,但如果IP语音系统是分散组网,用户分布在多个局点,或部分网络设备不支持镜像功能,则难以实现抓包和录音。而且将所有IP电话端口都实现镜像对网络设备性能、带宽要求较高,同时系统配置和管理维护繁琐,难以满足实际应用需求。

  利用SBC设备的媒体和信令流的代理功能,可以将其扩展应用于IP录音解决方案:无论IP承载网络拓扑如何,接入设备是否支持端口镜像,只需在网络核心设备(如L3或GSR)上连接一台SBC,就能将IP电话媒体和信令流经由SBC转发。录音服务器只需与网络核心设备连接,通过其把SBC的端口镜像到录音服务器。

  采用该方式只要求核心设备支持镜像,对网络中其他设备无特殊要求。由于只需将IP语音的媒体和信令流通过SBC汇聚到录音服务器,对正常的数据流并无影响,也避免了纯镜像方式将所有端口流量均汇聚到核心而对网络性能和设备配置的影响。对于不需录音的IP电话用户,还可以设置不经过SBC代理,或只代理信令流而旁路媒体流,以减少媒体流汇聚转发造成的带宽浪费。

五、结束语

  采用SBC(Session Border Controller,会话边界控制器)是低成本解决IP多媒体业务NAT穿越并保障IP通信系统终端接入安全的有效方式,同时SBC还可以很好解决传统IP录音方案在分布式组网时存在的问题,相信SBC将在企业IP通信系统建设中得到更为广泛的应用。

SBC在企业IP通信系统中的应用相关推荐

  1. tcp/ip协议中消息传输对帧消息的操作

    2019独角兽企业重金招聘Python工程师标准>>> 接口:Framer.java: package com.tcpip;import java.io.IOException; i ...

  2. [转载]无线通信系统中的调制解调基础(一):AM和FM

    原文地址:无线通信系统中的调制解调基础(一):AM和FM作者:逝者如云 第一部分解释了调幅(AM)和调频(FM)的基础,并阐述了优点和缺点.第二部分解析了频移键控(PSK)和正交幅度调制(QAM).第 ...

  3. 【笔记-node】《imooc-nodejs入门到企业web开发中的应用》

    目录 课程名 备注 入门必学 nodejs入门到企业web开发中的应用 框架与工具 node.js+koa2+mysql打造前后端分离精品项目<旧岛> 项目实战 20190317-2020 ...

  4. slotformatcombinations_用于确定无线通信系统中的时隙配置的方法和设备与流程

    相关申请的交叉引用本申请要求2018年5月11日提交的第62/670,553号美国临时专利申请的权益,所述临时专利申请的全部公开内容全文以引用的方式并入本文中.本公开大体上涉及无线通信网络,且更具体地 ...

  5. 成也IP败也IP,中日美盲盒经济背后不变的商业逻辑

    2020年泡泡玛特传出要上市的消息,这也将盲盒经济推向风口. 除了泡泡玛特,今年刚上市的零售"新贵"名创优品就在近日推出品牌TOPTOY,正式进军潮玩市场.更不用说聚集了大量Z时代 ...

  6. 天猫淘宝企业服务为中小微企业打造供应链智能协同网络,让采购不再将就!丨爱分析报告

    编者按:近日天猫淘宝企业服务&爱分析联合发布<2023中小微企业电商采购白皮书>,为中小微企业采购数字化带来红利. 某水泵企业:线上客户主要是中小微企业,线上业绩遇到瓶颈,如何突破 ...

  7. 计算机控制系统在地铁应用,浅谈计算机技术在地铁通信系统中的应用

    摘 要:随着社会经济的快速发展,地铁已经在各大中型城市普遍建设中,而地铁通信系统对于地铁来说又是特别重要的部分,本文着重介绍了计算机技术在地铁通信系统中的应用. 关键词:地铁:通信系统:计算机技术 1 ...

  8. 在tcp/ip协议中以BigEndian方式的编码与解码

    2019独角兽企业重金招聘Python工程师标准>>> package com.tcpip;/*** 在tcp/ip协议中以BigEndian方式的编码与解码* @author ** ...

  9. 计算机通信中应用的调制解调与无线电通信,[转载]无线通信系统中的调制解调基础(一):AM和FM...

    调制方法多种多样,简单的一般有幅度调制,频率调制和相位调制,尽管调频和调相本质上是相同的.每种调制方法都有其有缺点.了解每种调制方法的基础是很重要的,尽管大家更为关注的是移动通信系统的调制方法.复习这 ...

  10. 企业IP地址应如何规划

    随着这些年网络的发展,越来越多的企业都组建了内部局域网,来实现自动化无纸办公等高效率.低成本的运营和管理.很多新成立的中小企业以及一些以前没有组 网的老企业,现在也都纷纷组建企业局域网,企业中&quo ...

最新文章

  1. Java SHAA加密
  2. Bug整理——$(window).height()获取到$(document).height()的问题
  3. 浅析Faiss在推荐系统中的应用及原理
  4. 信号的高级特性-核心转储文件
  5. OpenCV视网膜和现实世界的视野
  6. 反思Code Review的注意点与目的
  7. 美国oracle球场,美国体育馆考察——美国体育产业是如何盈利的?
  8. arduino 蓝牙示例_Arduino简单实例之八_蓝牙模块
  9. 5月份,我居然发了这么多文章?我果然无聊.
  10. linux sed保存,linux sed
  11. 学习MySQL,怎么能不会数据类型和schema优化!
  12. 手写哈希(实现简单的加数、查询)
  13. 修改OpenJDK字体渲染,无可见改进
  14. 信息系统项目管理师考试大纲(第2版)
  15. 互联网时代架构师的职责与思考
  16. hdu 1419 最大独立集
  17. oracle灾备同步_浅析Oracle数据库的三种灾备技术
  18. Ubuntu+Windows双系统,默认从Windows启动
  19. 区块与共识(一):解决竞选记账权的问题
  20. 不需要邮箱 修改Gitlab账号密码(亲测可用)

热门文章

  1. 借助 Lucene.Net 构建站内搜索引擎(下)
  2. 【论文笔记】covid-19肺部感染区域分割基准
  3. GATK-HaplotypeCaller 变异检测详解
  4. vue中遇到使用iframe出现的页面崩溃问题
  5. 夜深人静写算法(八)- 朴素贝叶斯分类
  6. oracle 按汉字拼音顺序排序
  7. C#中汉字按照首字拼音排序
  8. mysql数据库题库和答案2016_哪位大侠可以提供一些mysql数据库的题库,一定要带答案的!将感激不尽!!...
  9. php网站挂马,网页挂马详细教程
  10. python为在线漫画网站自制非官方API(未完待续)