Контроллер сеанса границы ( SBC ) является элементом сети развертывается для защиты SIP на основе передачи голоса по IP - протоколу сети (VoIP).
Ранние развертывания SBC были сосредоточены на границах между сетями двух поставщиков услуг в одноранговой среде. Эта роль теперь расширилась и теперь включает в себя значительные развертывания между сетью доступа поставщика услуг и магистральной сетью для предоставления услуг бытовым и / или корпоративным клиентам. [1]
Термин «сеанс» относится к связи между двумя сторонами - в контексте телефонии это будет звонок. Каждый вызов состоит из одного или нескольких обменов сообщениями сигнализации вызова, которые управляют вызовом, и одного или нескольких потоков мультимедиа вызова, которые несут аудио, видео или другие данные вызова вместе с информацией о статистике вызовов и качестве. Вместе эти потоки составляют сеанс. Задача пограничного контроллера сеанса - оказывать влияние на потоки данных сеансов.
Термин «граница» относится к точке разграничения между одной частью сети и другой. В качестве простого примера, на границе корпоративной сети брандмауэр отделяет локальную сеть (внутри корпорации) от остальной части Интернета (за пределами корпорации). Более сложным примером является крупная корпорация, где у разных отделов есть потребности в безопасности для каждого местоположения и, возможно, для каждого типа данных. В этом случае фильтрующие маршрутизаторы или другие сетевые элементы используются для управления потоком потоков данных. Задача пограничного контроллера сеанса - помогать администраторам политик в управлении потоком данных сеанса через эти границы.
Термин «контроллер» относится к влиянию, которое контроллеры границ сеанса оказывают на потоки данных, составляющие сеансы, поскольку они пересекают границы между одной частью сети и другой. Кроме того, пограничные контроллеры сеансов часто предоставляют средства измерения, контроля доступа и преобразования данных для вызовов, которые они контролируют.
Функции
SBC обычно поддерживают полное состояние сеанса и предлагают следующие функции:
- Безопасность - защитите сеть и другие устройства от:
- Вредоносные атаки, такие как атака отказа в обслуживании (DoS) или распределенная DoS
- Мошенничество с телефонной связью с использованием мошеннических медиа
- Защита от искаженных пакетов
- Шифрование сигнализации (через TLS и IPSec ) и медиа ( SRTP )
- Связь - позволяет различным частям сети обмениваться данными с помощью различных методов, таких как:
- Качество обслуживания - политику QoS сети и приоритизацию потоков обычно реализует SBC. Он может включать в себя такие функции, как:
- Нормативные требования - много раз ожидается, что SBC обеспечит поддержку нормативных требований, таких как:
- приоритезация экстренных вызовов и
- законный перехват
- Медиа-сервисы - многие из SBC нового поколения также имеют встроенные процессоры цифровых сигналов (DSP), позволяющие им предлагать пограничный контроль мультимедиа и такие услуги, как:
- Ретрансляция DTMF и взаимодействие
- Транскодирование медиа
- Тоны и объявления
- Взаимодействие данных и факсов
- Поддержка голосовых и видеозвонков
- Статистика и информация о выставлении счетов - поскольку все сеансы, которые проходят через границу сети, проходят через SBC, это естественный момент для сбора статистики и информации об использовании по этим сеансам.
С появлением WebRTC некоторые SBC также взяли на себя роль SIP в шлюз WebRTC и переводят SIP. Хотя спецификациями WebRTC не предписывается ни один протокол сигнализации, [2] SIP поверх WebSockets (RFC 7118) часто используется частично из-за применимости SIP к большинству предполагаемых сценариев связи, а также из-за наличия программного обеспечения с открытым исходным кодом, такого как JsSIP . В таком случае SBC действует как шлюз между приложениями WebRTC и конечными точками SIP.
Приложения
SBC вставляются в сигнальные и / или мультимедийные тракты между вызывающей и вызываемой сторонами в вызове VoIP, преимущественно те, которые используют протокол инициации сеанса (SIP), H.323 и протоколы сигнализации вызова MGCP .
Во многих случаях SBC скрывает топологию сети и защищает поставщика услуг или корпоративные пакетные сети. SBC завершает входящий вызов и инициирует второй этап вызова к стороне назначения. С технической точки зрения, при использовании с протоколом SIP это определяет двухсторонний пользовательский агент (B2BUA). Эффект такого поведения заключается в том, что SBC контролирует не только сигнальный трафик, но и медиа-трафик (голос, видео). В случаях, когда SBC не имеет возможности предоставлять мультимедийные услуги, SBC также могут перенаправлять мультимедийный трафик на другой элемент в другом месте сети для записи, создания музыки на удержании или других целей, связанных с мультимедиа. И наоборот, без SBC медиа-трафик проходит непосредственно между конечными точками, при этом внутрисетевые элементы сигнализации вызова не контролируют свой путь.
В других случаях SBC просто изменяет поток данных управления вызовом (сигнализации), задействованный в каждом вызове, возможно, ограничивая виды вызовов, которые могут выполняться, изменяя выбор кодеков и т. Д. В конечном итоге SBC позволяют операторам сети управлять вызовами, которые совершаются в их сетях, исправлять или изменять протоколы и синтаксис протокола для достижения совместимости, а также преодолевать некоторые проблемы, которые брандмауэры и трансляторы сетевых адресов (NAT) представляют для вызовов VoIP.
Чтобы показать работу SBC, можно сравнить простую последовательность установления вызова с последовательностью установления вызова с SBC. [3] В простейшей последовательности установления сеанса только с одним прокси между пользовательскими агентами задача прокси состоит в том, чтобы идентифицировать местоположение вызываемого и пересылать ему запрос. Прокси-сервер также добавляет заголовок Via со своим собственным адресом, чтобы указать путь, по которому должен пройти ответ. Прокси-сервер не изменяет никакую идентификационную информацию диалога, присутствующую в сообщении, такую как тег в заголовке From, Call-Id или Cseq. Прокси-серверы также не изменяют никакой информации в теле сообщений SIP. Обратите внимание, что во время фазы инициации сеанса пользовательские агенты обмениваются сообщениями SIP с телами SDP, которые включают адреса, по которым агенты ожидают медиа-трафик. После успешного завершения фазы инициации сеанса пользовательские агенты могут обмениваться медиа-трафиком напрямую между собой без участия прокси.
SBC предназначены для множества приложений и используются операторами и предприятиями для достижения различных целей. Даже одна и та же реализация SBC может действовать по-разному в зависимости от ее конфигурации и варианта использования. Следовательно, нелегко описать точное поведение SBC, которое применимо ко всем реализациям SBC. В общем, можно определить определенные функции, которые являются общими для SBC. Например, большинство SBC реализованы как последовательные пользовательские агенты. B2BUA - это прокси-сервер, который разделяет транзакцию SIP на две ветви вызова: на стороне, обращенной к клиенту пользовательского агента (UAC), он действует как сервер, на стороне, обращенной к серверу пользовательского агента (UAS), он действует как клиент. . В то время как прокси-сервер обычно хранит только информацию о состоянии, относящуюся к активным транзакциям, B2BUA хранят информацию о состоянии активных диалогов, например, вызовов. То есть, как только прокси получит запрос SIP, он сохранит некоторую информацию о состоянии. После завершения транзакции, например, после получения ответа, информация о состоянии будет вскоре удалена. B2BUA будет поддерживать информацию о состоянии для активных вызовов и удалять эту информацию только после завершения вызова.
Когда SBC включен в путь вызова, SBC действует как B2BUA, который ведет себя как сервер пользовательского агента по отношению к вызывающему и как клиент пользовательского агента по отношению к вызываемому. В этом смысле SBC фактически завершает вызов, сгенерированный вызывающей стороной, и начинает новый вызов вызываемой стороне. Сообщение INVITE, отправленное SBC, больше не содержит четкой ссылки на вызывающего абонента. Сообщение INVITE, отправленное SBC на прокси-сервер, включает заголовки Via и Contact, которые указывают на сам SBC, а не на вызывающего абонента. SBC часто также манипулируют идентификационной информацией диалога, указанной в тегах Call-Id и From. Кроме того, если SBC сконфигурирован для управления медиа-трафиком, то SBC также изменяет информацию об адресации медиа, включенную в строки c и m тела SDP. Таким образом, через SBC будут проходить не только все сообщения SIP, но и все аудио- и видеопакеты. Поскольку сообщение INVITE, отправленное SBC, устанавливает новый диалог, SBC также управляет порядковым номером сообщения (CSeq), а также значением Max-Forwards. Обратите внимание, что список манипуляций с заголовками, перечисленный здесь, является лишь подмножеством возможных изменений, которые SBC может внести в сообщение SIP. Кроме того, некоторые ИПК могут не выполнять все перечисленные манипуляции. Если ожидается, что SBC не будет управлять медиа-трафиком, то, возможно, нет необходимости изменять что-либо в заголовке SDP. Некоторые SBC не изменяют информацию идентификации диалогового окна, а другие могут даже не изменять информацию адресации.
SBC часто используются корпорациями вместе с межсетевыми экранами и системами предотвращения вторжений (IPS) для обеспечения возможности вызовов VoIP в защищенную корпоративную сеть и из нее . Поставщики услуг VoIP используют SBC, чтобы разрешить использование протоколов VoIP из частных сетей с подключениями к Интернету с использованием NAT, а также для реализации строгих мер безопасности, необходимых для поддержания высокого качества обслуживания. SBC также заменяют функцию шлюзов на уровне приложений . [4] На крупных предприятиях SBC также могут использоваться в сочетании с магистральными линиями SIP для управления вызовами и принятия решений по маршрутизации / политике в отношении того, как вызовы маршрутизируются через LAN / WAN. Часто существует огромная экономия средств, связанная с маршрутизацией трафика через внутренние IP-сети предприятия, а не с маршрутизацией вызовов через традиционную телефонную сеть с коммутацией каналов.
Кроме того, некоторые SBC могут позволять устанавливать вызовы VoIP между двумя телефонами с использованием разных протоколов сигнализации VoIP (например, SIP, H.323, Megaco / MGCP), а также выполнять транскодирование медиапотока при использовании разных кодеков. Большинство SBC также предоставляют функции межсетевого экрана для трафика VoIP ( защита от отказа в обслуживании , фильтрация вызовов, управление полосой пропускания). Нормализация протокола и манипуляции с заголовками также обычно предоставляются SBC, обеспечивая связь между различными поставщиками и сетями.
С точки зрения архитектуры подсистемы IP-мультимедиа (IMS) или 3GPP ( проект партнерства третьего поколения ), SBC представляет собой интеграцию P-CSCF и IMS- ALG в плоскости сигнализации и шлюза доступа IMS в плоскости передачи данных на стороне доступа. . На стороне межсоединения SBC сопоставляется с IBCF, IWF на плоскости сигнализации и TrGW (переходным шлюзом) на медиаплоскости .
С точки зрения архитектуры IMS / TISPAN , SBC представляет собой интеграцию функций P- CSCF и C-BGF на стороне доступа и функций IBCF, IWF, THIG и I-BGF на стороне пиринга. Некоторые SBC могут быть «разложены», то есть функции сигнализации могут быть расположены на отдельной аппаратной платформе, чем функции ретрансляции мультимедиа - другими словами, P-CSCF может быть отделен от C-BGF, или IBCF / IWF могут быть отделены из I-BGF функционирует физически. Протокол на основе стандартов, такой как профиль H.248 Ia, может использоваться платформой сигнализации для управления мультимедийным протоколом, в то время как некоторые SBC используют проприетарные протоколы.
Полемика
Во время своего детства, концепция SBC была противоречивой сторонникам конца в конец системы и равный-равному сети , потому что:
- SBC могут значительно увеличить длину пути мультимедиа (путь передачи пакетов мультимедиа по сети). Длинный путь передачи данных нежелателен, так как увеличивает задержку голосовых пакетов и вероятность потери пакетов. Оба эффекта ухудшают качество голоса / видео. Однако во многих случаях существуют препятствия для связи, такие как межсетевые экраны между сторонами вызова, и в этих случаях SBC предлагают эффективный метод направления медиапотоков по приемлемому пути между вызывающим и вызываемым абонентами; без SBC мультимедиа вызова была бы заблокирована. Некоторые SBC могут определять, находятся ли концы вызова в одной подсети, и отдавать управление мультимедиа, позволяя ему передаваться напрямую между клиентами, это анти-тромбон или освобождение мультимедиа. Кроме того, некоторые SBC могут создавать мультимедийный путь, в котором ни один из них не мог бы существовать в противном случае (в силу различных межсетевых экранов и других устройств безопасности между двумя конечными точками). Наконец, для определенных моделей сетей VoIP, в которых поставщик услуг владеет сетью, SBC могут фактически уменьшить путь мультимедиа с помощью подходов к сокращенной маршрутизации. Например, поставщик услуг, который предоставляет услуги транкинга нескольким предприятиям, обычно выделяет каждому предприятию VPN. Часто желательно иметь возможность соединять VPN через SBC. SBC с поддержкой VPN может выполнять эту функцию на границе сети VPN, а не отправлять весь трафик в ядро.
- SBC могут ограничивать поток информации между оконечными точками вызова, ограничивая сквозную прозрачность. Телефоны VoIP могут быть не в состоянии использовать новые функции протокола, если они не будут поняты SBC. Однако SBC обычно способны справиться с большинством новых и неожиданных функций протокола.
- Иногда сквозное шифрование невозможно использовать, если SBC не имеет ключа, хотя некоторые части информационного потока в зашифрованном вызове не зашифрованы, и эти части могут использоваться и зависеть от SBC. Однако новые поколения SBC, вооруженные достаточной вычислительной мощностью, могут разгрузить эту функцию шифрования от других элементов в сети, завершив SIP- TLS , IPsec и / или SRTP . Кроме того, SBC могут фактически совершать звонки и работать с другими сценариями SIP, когда они не могли этого делать раньше, путем выполнения «нормализации» или «исправления» определенного протокола.
- В большинстве случаев обход удаленного или размещенного NAT может выполняться без SBC, если телефоны VoIP поддерживают такие протоколы, как STUN , TURN , ICE или Universal Plug and Play (UPnP).
Большая часть разногласий вокруг SBC относится к тому, должно ли управление вызовами оставаться исключительно с двумя конечными точками в вызове (на службе их владельцев) или должно использоваться совместно с другими сетевыми элементами, принадлежащими организациям, управляющим различными сетями, участвующими в соединении двух вызовите конечные точки. Например, если управление вызовом остается за Алисой и Бобом (двумя вызывающими абонентами), или если управление вызовом должно быть передано операторам всех IP-сетей, участвующих в соединении VoIP-телефонов Алисы и Боба вместе. Споры по этому поводу носили яростный, почти религиозный характер. Те, кто хотел неограниченный контроль только на конечных точках, также были сильно разочарованы различными реалиями современных сетей, такими как межсетевые экраны и фильтрация / регулирование. С другой стороны, операторы сети обычно озабочены общей производительностью, совместимостью и качеством сети и хотят обеспечить ее безопасность.
Законный перехват и CALEA
SBC может предоставлять услуги прослушивания сеансового носителя (обычно RTP ) и сигнализации (часто SIP) , которые могут использоваться провайдерами для обеспечения выполнения запросов на законный перехват сетевых сеансов. Стандарты для перехвата таких услуг , среди прочих , предоставляют ATIS , TIA , CableLabs и ETSI .
История и рынок
По словам Джонатана Розенберга, автора RFC 3261 (SIP) и множества других связанных RFC, Dynamicsoft разработала первый рабочий SBC совместно с Aravox, но продукт так и не получил должной доли рынка. [ необходима цитата ] . Newport Networks была первой компанией, которая провела IPO на AIM Лондонской фондовой биржи в мае 2004 г. (NNG), в то время как акции Cisco публично торгуются с 1990 г. Acme Packet, за которым в октябре 2006 г. разместился на NASDAQ. С сужением области в результате приобретения, NexTone объединилась с Reefpoint, превратившись в Nextpoint, которая впоследствии была приобретена Genband в 2008 году . В то же время появился «интегрированный» SBC, в котором функция пограничного контроля была интегрирована в другое пограничное устройство. В 2009 году межсетевой экран Ingate Systems стал первым SBC, получившим сертификат ICSA Labs, что стало важной вехой в сертификации возможностей безопасности VoIP SBC.
Продолжающийся рост сетей VoIP продвигает SBC все дальше и дальше, требуя адаптации по емкости и сложности. По мере роста сети VoIP и увеличения объема трафика через SBC проходит все больше и больше сеансов. Поставщики удовлетворяют эти новые требования к масштабированию по-разному. Некоторые разработали отдельные системы балансировки нагрузки, которые размещаются перед кластерами SBC. Другие разработали новые архитектуры с использованием наборов микросхем последнего поколения, предлагающих более производительные SBC и масштабируемость с помощью сервисных карт.
Смотрите также
- Брандмауэр (вычисления)
- Подсистема IP-мультимедиа (IMS)
- 3GPP Долгосрочное развитие (LTE)
- Протокол инициации сеанса (SIP)
- Универсальная система мобильной связи (UMTS)
- SIP-транкинг
Рекомендации
- ^ Hautakorpi, J .; Camarillo, G .; Penfield, R .; Гаврилишен, А .; Бхатия, М. (апрель 2010 г.). Требования к развертыванию пограничного контроля сеанса SIP (Session Initiation Protocol) . IETF . DOI : 10,17487 / RFC5853 . RFC 5853 .
- ^ Как WebRTC революционизирует телефонию . Blogs.trilogy-lte.com (21.02.2014). Проверено 11 апреля 2014.
- ^ «Понимание пограничных контроллеров сессий» (PDF) . FRAFOS GmbH .
- ^ Синнрайх, Генри; Джонстон, Алан Б. (2001), Интернет-коммуникация с использованием SIP , Wiley, стр. 180, ISBN 978-0-471-77657-4