★ SBC简介

会话边界控制器
Session Border Controller
会话边界控制器
SBC已经逐渐成为NGNIMS网络的标准配置产品(如同Lanswitch路由器)。
也被广泛称为BAC(边界接入控制器)
定位在IMS网络ABG (access border gateway)
解决NGN业务部署中遇到的NAT/FW穿越、安全、互通、QoS等问题。

会话边缘控制器(SBC,或会话控制器)VoIP呼叫控制产品
用于电话完全由VoIP传输而不需要网关的环境。

★ SBC应用

它使用全部三种VoIP协议——H.323关守SIP代理媒体网关控制协议(MGCP)
它会在未来的VoIP服务提供中发挥重要作用,
允许跨越多个IP网络
即使有防火墙要穿越,也能提供有质量保障的VoIP服务

因为没有标准解决方案或者部分解决方案不能完全满足网络管理者的要求,
很多现有的会话边缘控制器使用专门的解决方案。
IETF有关的工作组正在考虑是否要开发提供未来SBC功能新的标准,
还要决定怎样使用现有的标准机制提供这些功能。

SBC一般位于对等环境中两个业务提供商网络之间,
或者位于给居民和企业用户提供服务的接入网骨干网络之间。
尽管一些SBC只处理信令,但多数既处理信令也处理媒体。
这类SBC实现处理信令的组件和处理媒体流信令的组件间的通信,
在SBC内部进行。

一些人认为软交换最终会包含边缘控制器的功能。
软交换SBC的功能重心和核心技术明显不同,
而且网络结构的不同定位排除了将多数SBC功能“塞进”软交换的可能。

边缘会话控制器的主要厂商包括Acme PacketEdgewater NetworksSonus NetworksMetaswitch等。
北电网络西门子也开始考虑在这一领域怎样有所作为。
IP-IP网络边缘的SBC
IP-PSTN网络边缘的媒体网关以及软交换没有重叠,
有不同的角色,
需要配置专门的SBC
以及进一步提高和保障VoIP的话音质量。

★ SBC功能

SBC一般位于控制VoIP服务软交换公共Internet之间,
有如下功能:
1. 网络地址转换和穿越
由于用户侧存在复杂的网络环境,
比如防火墙NAT(Network Address Translation)
位于NAT后的用户可能无法正常地使用IMS网络多媒体会话业务,而SBC的部署可以为多网络环境下的用户提供业务的接入和互通功能。
2. 网络安全控制:用户行为是不可知的,
广大通过互联网接入IMS网络的用户行为是不可控的,
为防止对IMS网络的非法攻击,
需要在网络的周边部署必要的防护措施,
SBC网元在发起业务的同时会删除与路由相关的信息
从而完成网络拓扑隐藏的功能,
避免IMS核心网成为攻击目标;
3. 此外SBC还具有门控功能,即根据特定的条件,
允许或禁止某些用户通过其使用IMS网络业务;
4. 过载控制则是根据IMS网络的负荷,控制每秒钟的呼叫数量,
以避免网络负荷过重而引起的系统瘫痪。
5. QoS(Quality of Service)功能:即服务质量,
指某网络提供更好服务的能力。
IP网络QoS 用于确保重要的通话业务量不被延迟或丢弃,
SBC网元可以基于呼叫数量进行限制,
确保服务中的用户享受高质量的网络服务。


摘要:
本文针对企业IP通信系统建设实施的两大问题:
终端接入安全IP多媒体业务NAT穿越
介绍了基于SBC(Session Border Controller,会话边界控制器)的解决方案,
并提出了利用SBC辅助实现IP录音的一种新应用模式。

一、引言

伴随通信网络融合与ALL IP发展趋势,
越来越多的企业开始采用IP-PBX软交换MCU等产品技术
构建内部IP通信系统
基于IP网络承载数据、语音、视频、消息等多种业务,

  1. 降低通信成本
  2. 实现灵活部署
  3. 提供新业务功能
  4. 提升企业内外部沟通效率与核心竞争力

IP通信系统为用户带来诸多便利的同时,也造成了一些其他麻烦。
其中在复杂网络情况下的IP多媒体业务NAT穿越
终端用户的安全接入是许多企业建设管理IP通信系统时非常困扰的问题。

以下就采用SBC(Session Border Controller,会话边界控制器)解决上述问题的原理、功能和应用进行了探讨。

二、SBC实现IP多媒体业务NAT穿越

许多大中型企业对于信息安全非常重视,
数据网络中部署了大量防火墙设备
同时由于安全IP地址资源等因素,
许多分支机构和部门采用私网IP地址并在网络出口处启用NAT地址转换

由于通常NAT/防火墙设备仅对IPUDP/TCP报文头的地址及端口号进行转换,
并不对消息净荷中的媒体连接信息进行转换,
从而造成NAT/防火墙不支持SIP/H.323/H.248/MGCPIP通信协议的有效传输。

比如对于SIP协议
终端用户注册后, 呼叫控制设备上记录的将是其私网地址,
导致呼叫时信令不通。
因此IP多媒体业务无法跨越普通的NAT设备。

☆ 总结
企业对安全特别重视,就在数据网路中布置很多防火墙,这是第一个因素。
因为IP地址资源有限,分公司都采用私网IP,在网络出口进行NAT地址转换。
普通的NAT设备,比如说防火墙,是有很大缺陷的。
对IP,UDP,TCP报文头的IP+port进行转换。
对消息净荷的媒体连接信息不进行转换。
这里头,[消息净荷]指的是一个帧(包)中传输的用户数据部分。

1.NAT 防火墙: 转换报文头中的IP+port,不转换媒体连接信息
2.ALG 防火墙: 转换IP报文头内嵌字段
3.


☆ 第一个解决方案

NAT穿越的传统解决方案是启用防火墙ALG((Application Level Gateway,应用层网关)功能,
ALG作为NAT的增强
地址转换时对IP报文头净荷内嵌的相应地址信息字段
(例如重写SIP协议Register消息中的Contact字段)也进行转换。
但如果全网规模部署IP多媒体业务
需对现网大量防火墙进行ALG升级
成本高、实施繁琐。

☆ 第二个解决方案

◇ 啥是SBC

SBC最早是应用于电信运营商NGN领域的一种产品形态,
定位在电信NGN网络IP业务网关
解决NGN业务部署中遇到的NAT/FW穿越、安全、互通、QoS等问题。

◇ SBC

SBC设备采用Full Proxy(全代理)方式定向传输信令/媒体流: 
终端将IP-PBX/软交换等核心控制设备的地址设置为SBC Proxy的地址
终端注册到核心设备时,SBC创建相应的地址映射表项
当终端开始呼叫时,SBC修改相应的地址信息,将报文发送给真正的核心设备
所有的信令流媒体流都可经过SBC进行转发,
另外也可设置媒体流旁路

由于SBC重新指定内网/外网用户信令/媒体流接收地址和端口
可以方便地实现不同网络域之间的地址转换(包括公网/私网地址之间的转换),
信令/媒体流穿越NAT提供了技术保障。

!SBC组网示意图

部署SBC设备对已存在的网络拓扑结构没有任何影响,
无需升级以便支持交互式会话的NAT穿越。
同时SBC的组网位置没有限制,
可放置在IP可达的任意位置,
而且能够同时实现对于多个私网的代理。

针对多级NAT多个VPN等复杂网络情况,
业界一些主流厂商如华为公司SE2000系列SBC设备还支持多种NAT穿越形式
一级、多级NAT穿越及对称NAT的穿越;
多个经过NAT转换后的私网的接入,
并且各私网地址空间可以重叠;
经过NAT转换的终端和未经过NAT转换的终端之间的混合组网。

三、SBC提升IP通信系统安全性

企业建设IP通信系统的原因之一是其部署和业务开展的灵活性,
例如通过宽带网络实现远程接入移动办公
IP通信系统在具备灵活性和丰富业务的同时也带来了很大的安全隐患,
特别是通过外部Internet等非信任区域接入的IP软硬件电话终端
极可能成为病毒扩散DOS攻击非法用户仿冒的发起接入点
如何保障IP通信系统的安全性?

IP通信系统安全性是一个系统工程,
其实除了传统的VPN[Virtual Private Network ]防火墙IPS[ Intrusion Prevention System]IDS[Intrusion Detection Systems]等方式外,
利用SBC是进一步提升IP通信系统安全性的有效手段。
以华为公司SE2000系列SBC设备为例,可以提供以下的安全保障功能:

☆ 隐藏核心网络和内部网络的拓扑

SBC作为用户终端IP-PBX软交换等核心设备之间的代理
为实时会话提供安全保证。
外部终端设备通过SBC接入核心网络,核心网络的拓扑对终端不可见。
这样,就有效隐藏了核心网和企业内部网络的拓扑结构,
防止其受到攻击,提高了整个网络架构的安全性。

☆ 用户注册和IP地址绑定

SBC能够将用户信息(例如用户名、主叫号码和域名)和IP地址进行绑定,
从而在用户注册时根据绑定规则来判断是否允许该用户进行注册,
防止终端非法漫游。
也可以将用户注册地址交给核心控制设备,
由核心控制设备判断是否允许用户注册。

☆ 融合了防火墙的安全功能:

SBC提供基于会话层针孔式动态防火墙功能,
支持基于时间段的ACL[Access Control List],可以灵活配置ACL规则生效的时间。
同时还提供黑名单功能,即根据报文的源IP地址进行快速过滤,从而将命中黑名单表项的特定IP地址发送过来的报文屏蔽,防止非法入侵。

☆ 信令DoS攻击防范:

SBC提供防信令报文DoS[Denial of Service]攻击功能,
在发生信令报文DoS攻击时仍能够最大程度地保证正常用户的使用:
可以防范伪造源IP地址的信令报文DoS攻击;
可以防范IP地址固定的信令报文DoS攻击;
可以部分防范伪造已有用户的信令报文DoS攻击;
可以直接丢弃畸形的信令报文,减轻对软交换处理的压力。

☆ 媒体流攻击防范:

SBC可以记录合法媒体流的信息(IP五元组),
对于非法的媒体流可以直接丢弃,
从而可以防范媒体流DoS攻击。

☆ 其它DoS攻击防范:

SBC还可以防范其他IP网络常见的DoS攻击
包括:SYN Flooding攻击UDP Flooding攻击ICMP Flooding攻击超大ICMP报文攻击Ping-of-death攻击WinNuke攻击Fraggle攻击Land攻击等。

基于SBC的这些强大安全功能,
并配合防火墙VPNIPSIDS传统安全设备
可以有效保障IP通信系统的安全性。

四、SBC扩展应用:完善IP录音解决方案

在金融、能源、政府等行业,
由于业务特殊性,
往往要求对一些内部通话进行录音并集中存储管理以便后续查询。
目前业界的IP录音方案主要有两种:

方案一通过IP电话机直接录音,但该方案需要特殊终端支持,
而且只能实现单点分散录音,适合个人应用,
难以实现集中存储和管理。

方案二采用集中的录音服务器,通过从IP网络中抓取SIP/H.323协议包分析并转换为WAV文件实现录音。
该方案需在以太网交换机等网络设备上设置端口镜像功能
将所有IP电话机的流量镜像到集中录音服务器所连接端口。

方案二适合于局域网内的集中汇聚型IP语音应用,
但如果IP语音系统是分散组网,
用户分布在多个局点,
或部分网络设备不支持镜像功能,
则难以实现抓包和录音。
而且将所有IP电话端口都实现镜像对网络设备性能、带宽要求较高,
同时系统配置和管理维护繁琐,
难以满足实际应用需求。

利用SBC设备的媒体和信令流的代理功能,
可以将其扩展应用于IP录音解决方案:
无论IP承载网络拓扑如何,接入设备是否支持端口镜像,
只需在网络核心设备(如L3GSR)上连接一台SBC
就能将IP电话媒体和信令流经由SBC转发。
录音服务器只需与网络核心设备连接,
通过其把SBC的端口镜像到录音服务器。

采用该方式只要求核心设备支持镜像,
对网络中其他设备无特殊要求。
由于只需将IP语音的媒体和信令流通过SBC汇聚到录音服务器,
对正常的数据流并无影响,
也避免了纯镜像方式将所有端口流量均汇聚到核心而对网络性能和设备配置的影响。
对于不需录音的IP电话用户,
还可以设置不经过SBC代理,
或只代理信令流而旁路媒体流,
以减少媒体流汇聚转发造成的带宽浪费。

五、结束语

采用SBC(Session Border Controller,会话边界控制器)是低成本解决IP多媒体业务NAT穿越并保障IP通信系统终端接入安全的有效方式,
同时SBC还可以很好解决传统IP录音方案在分布式组网时存在的问题,
相信SBC将在企业IP通信系统建设中得到更为广泛的应用。