SBC在企业IP通信系统中的应用
刘航 2008/05/04
摘要:本文针对企业IP通信系统建设实施的两大问题:终端接入安全和IP多媒体业务NAT穿越,介绍了基于SBC(Session Border Controller,会话边界控制器)的解决方案,并提出了利用SBC辅助实现IP录音的一种新应用模式。关键词:IP通信、SBC、NAT穿越、安全、IP录音
一、引言
伴随通信网络融合与ALL IP发展趋势,越来越多的企业开始采用IP-PBX、软交换、MCU等产品技术构建内部IP通信系统,基于IP网络承载数据、语音、视频、消息等多种业务,以降低通信成本、实现灵活部署、提供新业务功能,提升企业内外部沟通效率与核心竞争力。
IP通信系统为用户带来诸多便利的同时,也造成了一些其他麻烦。其中在复杂网络情况下的IP多媒体业务NAT穿越、终端用户的安全接入是许多企业建设管理IP通信系统时非常困扰的问题。以下就采用SBC(Session Border Controller,会话边界控制器)解决上述问题的原理、功能和应用进行了探讨。
二、SBC实现IP多媒体业务NAT穿越
许多大中型企业对于信息安全非常重视,数据网络中部署了大量防火墙设备,同时由于安全及IP地址资源等因素,许多分支机构和部门采用私网IP地址并在网络出口处启用NAT地址转换。
由于通常NAT/防火墙设备仅对IP和UDP/TCP报文头的地址及端口号进行转换,并不对消息净荷中的媒体连接信息进行转换,从而造成NAT/防火墙不支持SIP/H.323/H.248/MGCP等IP通信协议的有效传输。比如对于SIP协议,终端用户注册后呼叫控制设备上记录的将是其私网地址,导致呼叫时信令不通。因此IP多媒体业务无法跨越普通的NAT设备。
NAT穿越的传统解决方案是启用防火墙ALG((Application Level Gateway,应用层网关)功能,ALG作为NAT的增强,在地址转换时对IP报文头净荷中内嵌的相应地址信息字段(例如重写SIP协议Register消息中的Contact字段)也进行转换。但如果全网规模部署IP多媒体业务,需对现网大量防火墙进行ALG升级,成本高、实施繁琐。
SBC最早是应用于电信运营商NGN领域的一种产品形态,定位在电信NGN网络的IP业务网关,解决NGN业务部署中遇到的NAT/FW穿越、安全、互通、QoS等问题。SBC设备采用Full Proxy(全代理)方式定向传输信令/媒体流:
- 终端将IP-PBX/软交换等核心控制设备的地址设置为SBC Proxy的地址
- 终端注册到核心设备时,SBC创建相应的地址映射表项
- 当终端开始呼叫时,SBC修改相应的地址信息,将报文发送给真正的核心设备
- 所有的信令流、媒体流都可经过SBC进行转发,另外也可设置媒体流旁路
SBC组网示意图
部署SBC设备对已存在的网络拓扑结构没有任何影响,无需升级以便支持交互式会话的NAT穿越。同时SBC的组网位置没有限制,可放置在IP可达的任意位置,而且能够同时实现对于多个私网的代理。
针对多级NAT、多个VPN等复杂网络情况,业界一些主流厂商如华为公司的SE2000系列SBC设备还支持多种NAT穿越形式:一级、多级NAT穿越及对称NAT的穿越;多个经过NAT转换后的私网的接入,并且各私网地址空间可以重叠;经过NAT转换的终端和未经过NAT转换的终端之间的混合组网。
三、SBC提升IP通信系统安全性
企业建设IP通信系统的原因之一是其部署和业务开展的灵活性,例如通过宽带网络实现远程接入和移动办公。但IP通信系统在具备灵活性和丰富业务的同时也带来了很大的安全隐患,特别是通过外部Internet等非信任区域接入的IP软硬件电话终端,极可能成为病毒扩散、DOS攻击、非法用户仿冒的发起和接入点,如何保障IP通信系统的安全性?
IP通信系统安全性是一个系统工程,其实除了传统的VPN、防火墙、IPS、IDS等方式外,利用SBC是进一步提升IP通信系统安全性的有效手段。以华为公司SE2000系列SBC设备为例,可以提供以下的安全保障功能:
隐藏核心网络和内部网络的拓扑:
SBC作为用户终端和IP-PBX、软交换等核心设备之间的代理,为实时会话提供安全保证。外部终端设备通过SBC接入核心网络,核心网络的拓扑对终端不可见。这样,就有效隐藏了核心网和企业内部网络的拓扑结构,防止其受到攻击,提高了整个网络架构的安全性。
用户注册和IP地址绑定:
SBC能够将用户信息(例如用户名、主叫号码和域名)和IP地址进行绑定,从而在用户注册时根据绑定规则来判断是否允许该用户进行注册,防止终端非法漫游。也可以将用户注册地址交给核心控制设备,由核心控制设备判断是否允许用户注册。
融合了防火墙的安全功能:
SBC提供基于会话层的针孔式动态防火墙功能,支持基于时间段的ACL,可以灵活配置ACL规则生效的时间。同时还提供黑名单功能,即根据报文的源IP地址进行快速过滤,从而将命中黑名单表项的特定IP地址发送过来的报文屏蔽,防止非法入侵。
信令DoS攻击防范:
SBC提供防信令报文DoS攻击功能,在发生信令报文DoS攻击时仍能够最大程度地保证正常用户的使用:可以防范伪造源IP地址的信令报文DoS攻击;可以防范IP地址固定的信令报文DoS攻击;可以部分防范伪造已有用户的信令报文DoS攻击;可以直接丢弃畸形的信令报文,减轻对软交换处理的压力。
媒体流攻击防范:
SBC可以记录合法媒体流的信息(IP五元组),对于非法的媒体流可以直接丢弃,从而可以防范媒体流DoS攻击。
其它DoS攻击防范:
SBC还可以防范其他IP网络常见的DoS攻击,包括:SYN Flooding攻击、UDP Flooding攻击、ICMP Flooding攻击、超大ICMP报文攻击、Ping-of-death攻击、WinNuke攻击、Fraggle攻击、Land攻击等。
基于SBC的这些强大安全功能,并配合防火墙、VPN、IPS、IDS等传统安全设备,可以有效保障IP通信系统的安全性。
四、SBC扩展应用:完善IP录音解决方案
在金融、能源、政府等行业,由于业务特殊性,往往要求对一些内部通话进行录音并集中存储管理以便后续查询。目前业界的IP录音方案主要有两种:
方案一通过IP电话机直接录音,但该方案需要特殊终端支持,而且只能实现单点分散录音,适合个人应用,难以实现集中存储和管理。
方案二采用集中的录音服务器,通过从IP网络中抓取SIP/H.323等协议包分析并转换为WAV文件实现录音。该方案需在以太网交换机等网络设备上设置端口镜像功能,将所有IP电话机的流量镜像到集中录音服务器所连接端口。
方案二适合于局域网内的集中汇聚型IP语音应用,但如果IP语音系统是分散组网,用户分布在多个局点,或部分网络设备不支持镜像功能,则难以实现抓包和录音。而且将所有IP电话端口都实现镜像对网络设备性能、带宽要求较高,同时系统配置和管理维护繁琐,难以满足实际应用需求。
利用SBC设备的媒体和信令流的代理功能,可以将其扩展应用于IP录音解决方案:无论IP承载网络拓扑如何,接入设备是否支持端口镜像,只需在网络核心设备(如L3或GSR)上连接一台SBC,就能将IP电话媒体和信令流经由SBC转发。录音服务器只需与网络核心设备连接,通过其把SBC的端口镜像到录音服务器。
采用该方式只要求核心设备支持镜像,对网络中其他设备无特殊要求。由于只需将IP语音的媒体和信令流通过SBC汇聚到录音服务器,对正常的数据流并无影响,也避免了纯镜像方式将所有端口流量均汇聚到核心而对网络性能和设备配置的影响。对于不需录音的IP电话用户,还可以设置不经过SBC代理,或只代理信令流而旁路媒体流,以减少媒体流汇聚转发造成的带宽浪费。
五、结束语
采用SBC(Session Border Controller,会话边界控制器)是低成本解决IP多媒体业务NAT穿越并保障IP通信系统终端接入安全的有效方式,同时SBC还可以很好解决传统IP录音方案在分布式组网时存在的问题,相信SBC将在企业IP通信系统建设中得到更为广泛的应用。