啥是SBC_sbc是什么意思的缩写
★ SBC簡介
會話邊界控制器
Session Border Controller,
即會話邊界控制器
SBC已經逐漸成為NGN和IMS網絡的標準配置產品(如同Lanswitch和路由器)。
也被廣泛稱為BAC(邊界接入控制器),
定位在IMS網絡的ABG (access border gateway) ,
解決NGN業務部署中遇到的NAT/FW穿越、安全、互通、QoS等問題。
會話邊緣控制器(SBC,或會話控制器)是VoIP呼叫控制產品,
用于電話完全由VoIP傳輸而不需要網關的環境。
★ SBC應用
它使用全部三種VoIP協議——H.323關守、SIP代理和媒體網關控制協議(MGCP)。
它會在未來的VoIP服務提供中發揮重要作用,
允許跨越多個IP網絡,
即使有防火墻要穿越,也能提供有質量保障的VoIP服務。
因為沒有標準解決方案或者部分解決方案不能完全滿足網絡管理者的要求,
很多現有的會話邊緣控制器使用專門的解決方案。
IETF有關的工作組正在考慮是否要開發提供未來SBC功能新的標準,
還要決定怎樣使用現有的標準機制提供這些功能。
SBC一般位于對等環境中兩個業務提供商網絡之間,
或者位于給居民和企業用戶提供服務的接入網和骨干網絡之間。
盡管一些SBC只處理信令,但多數既處理信令也處理媒體。
這類SBC實現處理信令的組件和處理媒體流信令的組件間的通信,
在SBC內部進行。
一些人認為軟交換最終會包含邊緣控制器的功能。
但軟交換和SBC的功能重心和核心技術明顯不同,
而且網絡結構的不同定位排除了將多數SBC功能“塞進”軟交換的可能。
邊緣會話控制器的主要廠商包括Acme Packet、Edgewater Networks、Sonus Networks、Metaswitch等。
北電網絡、西門子也開始考慮在這一領域怎樣有所作為。
IP-IP網絡邊緣的SBC
IP-PSTN網絡邊緣的媒體網關以及軟交換沒有重疊,
有不同的角色,
需要配置專門的SBC,
以及進一步提高和保障VoIP的話音質量。
★ SBC功能
SBC一般位于控制VoIP服務的軟交換和公共Internet之間,
有如下功能:
1. 網絡地址轉換和穿越:
由于用戶側存在復雜的網絡環境,
比如防火墻、NAT(Network Address Translation),
位于NAT后的用戶可能無法正常地使用IMS網絡的多媒體會話業務,而SBC的部署可以為多網絡環境下的用戶提供業務的接入和互通功能。
2. 網絡安全控制:用戶行為是不可知的,
廣大通過互聯網接入IMS網絡的用戶行為是不可控的,
為防止對IMS網絡的非法攻擊,
需要在網絡的周邊部署必要的防護措施,
SBC網元在發起業務的同時會刪除與路由相關的信息,
從而完成網絡拓撲隱藏的功能,
避免IMS核心網成為攻擊目標;
3. 此外SBC還具有門控功能,即根據特定的條件,
允許或禁止某些用戶通過其使用IMS網絡業務;
4. 過載控制則是根據IMS網絡的負荷,控制每秒鐘的呼叫數量,
以避免網絡負荷過重而引起的系統癱瘓。
5. QoS(Quality of Service)功能:即服務質量,
指某網絡提供更好服務的能力。
在IP網絡中QoS 用于確保重要的通話業務量不被延遲或丟棄,
SBC網元可以基于呼叫數量進行限制,
確保服務中的用戶享受高質量的網絡服務。
摘要:
本文針對企業IP通信系統建設實施的兩大問題:
終端接入安全和IP多媒體業務NAT穿越,
介紹了基于SBC(Session Border Controller,會話邊界控制器)的解決方案,
并提出了利用SBC輔助實現IP錄音的一種新應用模式。
一、引言
伴隨通信網絡融合與ALL IP發展趨勢,
越來越多的企業開始采用IP-PBX、軟交換、MCU等產品技術
構建內部IP通信系統,
基于IP網絡承載數據、語音、視頻、消息等多種業務,
- 降低通信成本
- 實現靈活部署
- 提供新業務功能
- 提升企業內外部溝通效率與核心競爭力
IP通信系統為用戶帶來諸多便利的同時,也造成了一些其他麻煩。
其中在復雜網絡情況下的IP多媒體業務NAT穿越、
終端用戶的安全接入是許多企業建設管理IP通信系統時非常困擾的問題。
以下就采用SBC(Session Border Controller,會話邊界控制器)解決上述問題的原理、功能和應用進行了探討。
二、SBC實現IP多媒體業務NAT穿越
許多大中型企業對于信息安全非常重視,
數據網絡中部署了大量防火墻設備,
同時由于安全及IP地址資源等因素,
許多分支機構和部門采用私網IP地址并在網絡出口處啟用NAT地址轉換。
由于通常NAT/防火墻設備僅對IP和UDP/TCP報文頭的地址及端口號進行轉換,
并不對消息凈荷中的媒體連接信息進行轉換,
從而造成NAT/防火墻不支持SIP/H.323/H.248/MGCP等IP通信協議的有效傳輸。
比如對于SIP協議,
終端用戶注冊后, 呼叫控制設備上記錄的將是其私網地址,
導致呼叫時信令不通。
因此IP多媒體業務無法跨越普通的NAT設備。
☆ 總結
企業對安全特別重視,就在數據網路中布置很多防火墻,這是第一個因素。
因為IP地址資源有限,分公司都采用私網IP,在網絡出口進行NAT地址轉換。
普通的NAT設備,比如說防火墻,是有很大缺陷的。
對IP,UDP,TCP報文頭的IP+port進行轉換。
對消息凈荷的媒體連接信息不進行轉換。
這里頭,[消息凈荷]指的是一個幀(包)中傳輸的用戶數據部分。
1.NAT 防火墻: 轉換報文頭中的IP+port,不轉換媒體連接信息
2.ALG 防火墻: 轉換IP報文頭內嵌字段
3.
☆ 第一個解決方案
NAT穿越的傳統解決方案是啟用防火墻ALG((Application Level Gateway,應用層網關)功能,
ALG作為NAT的增強,
在地址轉換時對IP報文頭凈荷中內嵌的相應地址信息字段
(例如重寫SIP協議Register消息中的Contact字段)也進行轉換。
但如果全網規模部署IP多媒體業務,
需對現網大量防火墻進行ALG升級,
成本高、實施繁瑣。
☆ 第二個解決方案
◇ 啥是SBC
SBC最早是應用于電信運營商NGN領域的一種產品形態,
定位在電信NGN網絡的IP業務網關,
解決NGN業務部署中遇到的NAT/FW穿越、安全、互通、QoS等問題。
◇ SBC
SBC設備采用Full Proxy(全代理)方式定向傳輸信令/媒體流: ?
終端將IP-PBX/軟交換等核心控制設備的地址設置為SBC Proxy的地址
終端注冊到核心設備時,SBC創建相應的地址映射表項
當終端開始呼叫時,SBC修改相應的地址信息,將報文發送給真正的核心設備
所有的信令流、媒體流都可經過SBC進行轉發,
另外也可設置媒體流旁路
由于SBC重新指定內網/外網用戶信令/媒體流的接收地址和端口,
可以方便地實現不同網絡域之間的地址轉換(包括公網/私網地址之間的轉換),
為信令/媒體流穿越NAT提供了技術保障。
!SBC組網示意圖
部署SBC設備對已存在的網絡拓撲結構沒有任何影響,
無需升級以便支持交互式會話的NAT穿越。
同時SBC的組網位置沒有限制,
可放置在IP可達的任意位置,
而且能夠同時實現對于多個私網的代理。
針對多級NAT、多個VPN等復雜網絡情況,
業界一些主流廠商如華為公司的SE2000系列SBC設備還支持多種NAT穿越形式:
一級、多級NAT穿越及對稱NAT的穿越;
多個經過NAT轉換后的私網的接入,
并且各私網地址空間可以重疊;
經過NAT轉換的終端和未經過NAT轉換的終端之間的混合組網。
三、SBC提升IP通信系統安全性
企業建設IP通信系統的原因之一是其部署和業務開展的靈活性,
例如通過寬帶網絡實現遠程接入和移動辦公。
但IP通信系統在具備靈活性和豐富業務的同時也帶來了很大的安全隱患,
特別是通過外部Internet等非信任區域接入的IP軟硬件電話終端,
極可能成為病毒擴散、DOS攻擊、非法用戶仿冒的發起和接入點,
如何保障IP通信系統的安全性?
IP通信系統安全性是一個系統工程,
其實除了傳統的VPN[Virtual Private Network ]、防火墻、IPS[ Intrusion Prevention System]、IDS[Intrusion Detection Systems]等方式外,
利用SBC是進一步提升IP通信系統安全性的有效手段。
以華為公司SE2000系列SBC設備為例,可以提供以下的安全保障功能:
☆ 隱藏核心網絡和內部網絡的拓撲
SBC作為用戶終端和IP-PBX、軟交換等核心設備之間的代理,
為實時會話提供安全保證。
外部終端設備通過SBC接入核心網絡,核心網絡的拓撲對終端不可見。
這樣,就有效隱藏了核心網和企業內部網絡的拓撲結構,
防止其受到攻擊,提高了整個網絡架構的安全性。
☆ 用戶注冊和IP地址綁定
SBC能夠將用戶信息(例如用戶名、主叫號碼和域名)和IP地址進行綁定,
從而在用戶注冊時根據綁定規則來判斷是否允許該用戶進行注冊,
防止終端非法漫游。
也可以將用戶注冊地址交給核心控制設備,
由核心控制設備判斷是否允許用戶注冊。
☆ 融合了防火墻的安全功能:
SBC提供基于會話層的針孔式動態防火墻功能,
支持基于時間段的ACL[Access Control List],可以靈活配置ACL規則生效的時間。
同時還提供黑名單功能,即根據報文的源IP地址進行快速過濾,從而將命中黑名單表項的特定IP地址發送過來的報文屏蔽,防止非法入侵。
☆ 信令DoS攻擊防范:
SBC提供防信令報文DoS[Denial of Service]攻擊功能,
在發生信令報文DoS攻擊時仍能夠最大程度地保證正常用戶的使用:
可以防范偽造源IP地址的信令報文DoS攻擊;
可以防范IP地址固定的信令報文DoS攻擊;
可以部分防范偽造已有用戶的信令報文DoS攻擊;
可以直接丟棄畸形的信令報文,減輕對軟交換處理的壓力。
☆ 媒體流攻擊防范:
SBC可以記錄合法媒體流的信息(IP五元組),
對于非法的媒體流可以直接丟棄,
從而可以防范媒體流DoS攻擊。
☆ 其它DoS攻擊防范:
SBC還可以防范其他IP網絡常見的DoS攻擊,
包括:SYN Flooding攻擊、UDP Flooding攻擊、ICMP Flooding攻擊、超大ICMP報文攻擊、Ping-of-death攻擊、WinNuke攻擊、Fraggle攻擊、Land攻擊等。
基于SBC的這些強大安全功能,
并配合防火墻、VPN、IPS、IDS等傳統安全設備,
可以有效保障IP通信系統的安全性。
四、SBC擴展應用:完善IP錄音解決方案
在金融、能源、政府等行業,
由于業務特殊性,
往往要求對一些內部通話進行錄音并集中存儲管理以便后續查詢。
目前業界的IP錄音方案主要有兩種:
方案一通過IP電話機直接錄音,但該方案需要特殊終端支持,
而且只能實現單點分散錄音,適合個人應用,
難以實現集中存儲和管理。
方案二采用集中的錄音服務器,通過從IP網絡中抓取SIP/H.323等協議包分析并轉換為WAV文件實現錄音。
該方案需在以太網交換機等網絡設備上設置端口鏡像功能,
將所有IP電話機的流量鏡像到集中錄音服務器所連接端口。
方案二適合于局域網內的集中匯聚型IP語音應用,
但如果IP語音系統是分散組網,
用戶分布在多個局點,
或部分網絡設備不支持鏡像功能,
則難以實現抓包和錄音。
而且將所有IP電話端口都實現鏡像對網絡設備性能、帶寬要求較高,
同時系統配置和管理維護繁瑣,
難以滿足實際應用需求。
利用SBC設備的媒體和信令流的代理功能,
可以將其擴展應用于IP錄音解決方案:
無論IP承載網絡拓撲如何,接入設備是否支持端口鏡像,
只需在網絡核心設備(如L3或GSR)上連接一臺SBC,
就能將IP電話媒體和信令流經由SBC轉發。
錄音服務器只需與網絡核心設備連接,
通過其把SBC的端口鏡像到錄音服務器。
采用該方式只要求核心設備支持鏡像,
對網絡中其他設備無特殊要求。
由于只需將IP語音的媒體和信令流通過SBC匯聚到錄音服務器,
對正常的數據流并無影響,
也避免了純鏡像方式將所有端口流量均匯聚到核心而對網絡性能和設備配置的影響。
對于不需錄音的IP電話用戶,
還可以設置不經過SBC代理,
或只代理信令流而旁路媒體流,
以減少媒體流匯聚轉發造成的帶寬浪費。
五、結束語
采用SBC(Session Border Controller,會話邊界控制器)是低成本解決IP多媒體業務NAT穿越并保障IP通信系統終端接入安全的有效方式,
同時SBC還可以很好解決傳統IP錄音方案在分布式組網時存在的問題,
相信SBC將在企業IP通信系統建設中得到更為廣泛的應用。
總結
以上是生活随笔為你收集整理的啥是SBC_sbc是什么意思的缩写的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SAP Spartacus使用cxCom
- 下一篇: SAP Spartacus里使用defe