图-1 SBC
SBC,是英文Session Border Controller的简称,在IP化网络通信时代,特别是在5G全IP网络化通信时代,该设备通信组网结构中,承担着重要功能。
图-2SBC设备通信
SBC的核心功能:为不同子网的IP语音(及视频等其它实时会话业务)信令和媒体提供控制功能;同时在网络边缘对所处理业务进行安全保障(防攻击、VPN隔离、防火墙等)和QoS控制(policing、marking、rate limiting、CAC、SLA等)。其在网络位置:接入或汇聚点, 互通的网络边缘 。
图-3 SBC的两面角色
在IMS中,SBC设备有A-SBC和I-SBC两面角色。SBC作为A-SBC主要提供呼叫接入控制、NAT穿越、QoS、接入安全、媒体防火墙、媒体代理、媒体编解码转换和计费功能。SBC作为I-SBC主要提供协议互通、网络间安全、QoS、路由、计费和呼叫接入控制功能。
图-4 SBC设备基本组网
SBC设备可以解决信令的NAT/FW穿越问题
图-5 NAT问题
在VOIP部署通信中,对于NAT问题,经常遇该现象:
VoIP用户在各自私网(且地址可能重叠);
NAT/FW不支持VoIP信令(SIP/H323/H248/MGCP/etc.)的ALG,普通的NAT只会修改报文IP层的地址信息(右图中蓝色部分);
对SIP而言,VoIP用户注册后,核心网上记录的将是其私网地址(右图中红色部分),导致呼叫时信令不通;
NAT/Firewall 通道保活问题,VoIP终端注册完成后长时间不触发业务,NAT/Firewall会将其通道关闭,导致终端做不了被叫业务。
对于VoIP部署中遇到的信令的NAT/FW穿越问题 ,在解决的方法上,通常有以下几种方法:
升级或替换企业网出口的NAT/FW,使之支持各VoIP信令的ALG,通常面对企业不愿意买单,VoIP协议升级需要同步升级防火墙
运营商网络中部署特殊设备,实现VOIP的NAT穿越,部署方便,能实现大范围接入。
因此必须有SBC设备,采用SBC 的叠加方案,不用改造现网设备,无论企业网NAT/FW是否支持ALG,均能将用户顺利接入运营商的VoIP网络。SBC应用的技术叫Full Proxy,即是全代理。实际上也是即是合设架构的SBC。
SBC设备可以解决VoIP安全问题
在VoIP部署中,经常有这样的现象:
终端智能化倾向:终端的能力较强,可以执行攻击程序;
引入软终端:软终端的使用导致在核心网网络中引入了许多IP网的固有安全问题,如DOS攻击等;
核心网设备安全能力:核心网的设备(CSCF/Softswitch)关注信令以及业务处理,不适合做防攻击处理;
资源不受控:比如一个语音终端可以使用超过128Kbps的流量;
平面组网结构:大部分网络架构是终端/AG等设备直接接入,软交换直接对终端可见,报文可以直达软交换等设备。软交换等设备容易受攻击,一台软交换往往负责几万乃至几十万用户的电话接续,如果被攻陷,后果就是灾难性的。
而解决安全问题,需要有某款设备能够部署在核心网周围,为其搭建一个抵御各类攻击的屏障,包括:
普通DoS、DDoS攻击
各类VoIP信令的攻击——即便核心网躲在运营商VPN内,也很难抵御此类攻击。
同时需要SBC提供拓扑隐藏功能,屏蔽互通双方的真实IP,从而有效实现安全隔离。
SBC设备典型组网场景
图-5 SBC使用场景
SBC解决NAT问题的实现机制
SBC在解决NAT的问题,其实现即机制如下所述:
(1) 信令面建立起之后,UE1知道UE2 NAT转换后的IP地址A2,UE2知道了UE1 NAT转换后的IP地址A3,SBC,SPDF,PCSCF知道了(A1,A2),(A3,A4)对。
(2)发起媒体流的时候,UE1将A2作为目的地址发往SBC,SBC收到消息后,SBC会根据映射关系(A1,A2)(A3,A4),根据映射关系根据(A1,A2)找到(A3,A4),并将A3作为原地址,将A4作为目的地址,将媒体流消息发往UE2。
(3)UE2回送媒体流,根据A3的IP地址,发往SBC,SBC会根据映射关系(A1,A2)(A3,A4),根据映射关系根据(A3,A4)找到(A1,A2),并将A1作为目的地址,A2作为原地址。将消息发往UE1。媒体流的交互是并行双向多次的。根据RTP包(比如0.03秒构成语音帧将RTP包发出),这样变可达到通信的目的。