SBC

4、SBC(Session Border Controller) 

SBC是VoIP接入层设备。它通过在网络的边界处对会话进行控制来实现NAT/防火墙穿透功能。同一时候还能够进行带宽限制、会话管理、流量统计等。

其次。SBC还能够被看作支持VoIP的代理server，能够识别第五层和第七层的消息，而且还能够处理第五层以上的众多会话信令协议。改动数据包头的地址，从而实现SBC内外网地址变换。

SBC的穿透过程遵循一定的通信模型，在模型中可将会话分解成若干信道。

在信道层面，通过对信道进行建立、维护和删除等操作保证信道的可用性，在会话层面，将不同信道进行连接和释放等操作，能够实现整个会话穿透过程。SBC位于两个网络的边界，其架构一般包括两个主要的功能模块：Signaling Proxy 和Media Proxy。当中Signaling Proxy 负责处理SIP会话信令，而Media Proxy负责对媒体流进行控制。Signaling Proxy和Media Proxy之间使用特定的协议和接口（比如Megaco 协议）来交换信息。例如以下图 

–Signaling Proxy

Signaling Proxy是一个高性能的B2BUA（Back to Back User Agent）。负责对全部经过此节点的双向SIP会话信令进行必要的处理。在B2BUA中。当中一个作为UAS（User Agent Server）负责接收并处理主叫终端的会话请求，而另一个就作为UAC（User Agent Client）向下一跳发出会话请求。与代理server不同。B2BUA必须维护各个会话的状态。并參与到会话建立的信令交互过程中。

 

为了确保SIP会话信令通过SBC，能够改动域名server中相应于呼叫server（Call Server）的条目。将SBC的IP地址作为呼叫server的IP地址响应给进行DNS查询的终端，终端就会把发往呼叫server的信令都直接发到SBC。这些改动对终端用户是透明的，但SBC能够获得全部的呼叫信息，并能够參与到呼叫建立的过程中去详细实施控制。

其次，Signaling Proxy也必须对SIP会话信令中与信令和媒体有关的地址信息进行改动。

（1）SIP用户注冊消息处理。Signaling Proxy在截获SIP的用户注冊消息之后。将使用自己的IP地址和port号改写SIP头标中的Via和Contact域。然后再发往呼叫server（SIP注冊server），这样就能够把SIP用户的当前位置绑定在SBC上，当该SIP用户作为被叫的时候。信令都会首先发至SBC。

同一时候，由于NATserver会在比較短的间隔内清除地址/port映射表中的UDP无效表项，所以当终端使用UDP来传输SIP信令的时候。位于NATserver之后的终端必须周期性（大概几十秒）的向外部的呼叫server发送注冊消息。才干够使NATserver中相应于该终端的地址/port映射表项保持有效。

 

 

（2）SIP消息改写，为了确保Signaling Proxy始终位于信令通路上，Signaling Proxy必须使用本地的地址和port号来改写SIP消息中的Via和Contact域。

当使用内部地址的终端用户向呼叫server发送信令的时候。经过Firewall/NAT之后的IP分组将使用NATserver分配的源地址和源port。收到此信令的Signaling Proxy就会在本地建立一个映射关系，NATserver将为此终端分配的地址和port号。以及Signaling Proxy为此会话分配的地址和port号绑定在一起。这样。当反向信令到达Signaling Proxy的时候，Signaling Proxy将透过Firewall/NAT上正确的地址和port号将信令发送给终端。

 

（3）改动SDP，为了将Media Proxy增加到媒体通路中，SIP消息中的SDP部分也应当被改写。SDP中包括了终端准备用来收发媒体的地址和port信息。当终端位于Firewall/NAT之后的时候。这些信息假设原封不动的送达通信对端。就会导致通信对端发送媒体流失败。Signaling Proxy将通过Media Proxy分配本地的地址和port号。并使用本地的地址和port号改写这些信息，就能够保证双向媒体流的建立。

Signaling Proxy仅仅对特定SIP信令消息中的特定域进行改动，其它的消息和域都将维持不变。

–Media Proxy

Media Proxy接受Signaling Proxy的控制，是会话两方之间RTP/RTCP媒体流的转换点。由于全部的媒体流都要经过Media Proxy，所以应当具有控制媒体流的能力。对服务质量进行管理，获取计费信息及动态的网络地址/port转换等。

经过SBC信令和媒体流整个过程如图2所看到的。当主叫的用户代理（UA）发起呼叫的时候①，Signaling Proxy会在收到INVITE消息之后向Media Proxy申请分配本地的NAT地址和port（呼叫server側）②。并使用Media Proxy 返回的地址和port号③，改写信令消息中携带的SDP。然后再发往呼叫server④。终于由呼叫server送达被叫方⑤。

当反向信令到达Signaling Proxy的时候⑥⑦。Signaling Proxy会再次向Media Proxy申请分配本地的NAT地址和port（主叫用户側）⑧。并使用返回的地址和port号⑨改写反向信令中携带的SDP，然后再发往主叫的用户代理⑩。 

经过这样的信令处理之后，主叫和被叫都会将媒体流发往Media Proxy上指定地址和port，此时Media Proxy就能够通过读取媒体流的源地址和源port来确定位于NAT之后的主叫/被叫在其Firewall/NAT上所使用的全局地址和port。进而把通信对端的媒体流发往该地址/port。由于Firewall/NAT上已经存在了相应此全局地址/port的映射关系，Firewall/NAT会将此媒体流转发给内部的终端，至此双向的媒体连接建立成功。因此，SBC在不减少网络安全性的前提下，为Firewall/NAT后的用户提供了安全的双向通信。

 

（1）动态的网络地址/port转换（NAPT），Media Proxy所具备的NAPT功能不仅能够解决运营商网络或用户网络的IPv4地址短缺问题，还隐藏了运营商网络和用户网络的拓扑信息，增强了对拒绝服务（Denial of Service）攻击的防御能力，也保证了运营商网络拓扑的机密性。

 

（2）产生计费信息。Media Proxy 是媒体流的必经之处，因此能够对会话的时长、会话的类型（语音、视频等）以及双向的数据流量进行监视和统计。是产生CDR（Charge Detail Records）的合适位置。

 

（3）网间的QoS映射。IP头标中的ToS域（Type Of Service）/DS域（Differentiated Service）指示了分组所应获得的QoS（Quality of Service）级别。为了保证端到端的服务质量，必须在两个网络的边缘完毕QoS映射。

当会话的IP分组在经过Media Proxy的时候，都携带了来源网络所做的ToS/DS标记。Media Proxy能够依据事先配置好的映射规则改变这些标记。再送入目的网络中，从而保证该会话的QoS 在不同运营商的网络内保持一致，也就是保证其端到端的QoS。

（4）IPv4到IPv6的协议转换，当处在两个异种网络（IPv4/IPv6）边缘的时候，Media Proxy还能够提供这两种IP协议的转换。

Media Proxy由于其所处的特殊位置成为部署IPv4/IPv6协议转换的理想设备。