什么是SBC
SBC即會話邊界控制器��。S即Session,會話����,先通過協(xié)商建立鏈接后再傳輸?shù)臉I(yè)務(wù)�����。如:打電話、視頻通話����、電話/視頻會議��、視頻監(jiān)控等...區(qū)別于非即時業(yè)務(wù)微信聊天�、上網(wǎng)�����、下載等�����。B英文全穩(wěn)稱:Border����,邊界��,部署在網(wǎng)絡(luò)邊緣���。C英文全稱:Controller,中文:控制器��,音視頻控制:安全、接入、路由��、策略、信令���、媒體��、QoS...等���。由些可以看出�����,S代表了應(yīng)用場景�����,B說明了在voip組網(wǎng)的位置���。C即為功能和作用。這就是SBC���。會話邊界控制器可以為網(wǎng)絡(luò)服務(wù)商提供安全的運營商級的實時通信解決方案����,協(xié)助服務(wù)商實現(xiàn)和提供新的業(yè)務(wù)產(chǎn)品�����,來快速創(chuàng)收和節(jié)約網(wǎng)絡(luò)成本���。通過綜合的安全性、策略實施和會話管理功能�����,在IP網(wǎng)絡(luò)邊界為服務(wù)商提供更先進的功能���、靈活性和更高的性能����。
SBC作為運營商VoIP網(wǎng)絡(luò)邊界的互聯(lián)設(shè)備�,可以實現(xiàn)通信和策略控制 SBC已經(jīng)逐漸成為NGN和IMS網(wǎng)絡(luò)的標準配置產(chǎn)品
企業(yè)為什么需要SBC:
音視頻IP化遇到的挑戰(zhàn):
1����、音視頻互通困難子網(wǎng)各自為政多子網(wǎng)NAT穿越困難
2、音視頻融合困難不同時代/不同廠家設(shè)備無法融合
3�����、音視頻安全無保障互聯(lián)網(wǎng)攻擊����,系統(tǒng)癱瘓數(shù)據(jù)截取,信息被透明
遇到上面問題如何解決���?
互通問題:NAT導致媒體不通 A:為什么數(shù)據(jù)過NAT正常�����,音視頻就異常了��?B:數(shù)據(jù)高層沒有IP�,音視頻高層有IP
SBC解決互通性問題:Q:為什么數(shù)據(jù)過NAT正常�����,音視頻就異常了��?A:數(shù)據(jù)高層沒有IP����,音視頻高層有IP
多NAT情況用SBC做媒體代理
安全性問題:IP化后涌現(xiàn)各種攻擊:
SBC保障系統(tǒng)安全性
除了傳統(tǒng)的安全威脅,新型安全問題浮現(xiàn)——具會話智能的安全攻擊威脅: 惡意性的攻擊針對信令的(分布式)拒絕式服務(wù)攻擊(DoS/DDoS)您的服務(wù)器的CPU忙于處量超載的消息(在系統(tǒng)能夠丟棄消息之前分析消息已令CPU不勝負荷)或異形消息(導致軟件跨越邊界)�����,以導致您的服務(wù)中斷甚至系統(tǒng)崩潰����。針對媒體流的攻擊 媒體劫持(非法媒體端點搶占媒體服務(wù)端口)帶寬竊取(非協(xié)定格式或超協(xié)定量的媒體流)
TLS/IP Sec連接雪崩
惡意源侵占大量的連接排隊資源導致其它連接雪崩重起 非惡意的超載 某些嵌入式終端只具有有限的CPU處理能力�,大量的垃圾消息或突發(fā)量消息將使其超載不同服務(wù)器的處理能力不均衡�,導致局部范圍的服務(wù)器超載。局部系統(tǒng)恢復或電源恢復導致消息風暴(大量注冊消息在同一時間窗口到達)
會話邊界控制器(SBC)典型應(yīng)用場景
1����、 信令及媒體的 NAT 穿越:
A) 由于防火墻 DMZ/NAT 的引入�,造成了內(nèi)網(wǎng)的軟交換或者 SIP 終端攜帶的SIP 消息中的 VIA/FROM/TO/Contact/SDP 中的 c=/SDP 中的 m=/SDP 中RTCP 地址等字段地址和實際互通地址不一致。最終導致信令及媒體交互的地址錯誤或者端口失效�����,無法正確建立信令通信��。SBC 解決方法:采用 NAT 防火墻串接或者并接的拓撲組網(wǎng)����。轉(zhuǎn)發(fā)并重構(gòu)SIP 信令消息��,SIP 注冊消息保活,保證互通的正確性�。
B) 由于一些廠家軟交換并不支持媒體中繼/媒體轉(zhuǎn)發(fā),導致拓撲隔離的兩個網(wǎng)絡(luò)無法互相建立媒體流連接����。SBC 解決方法:采用 NAT 防火墻串接或者并接的拓撲組網(wǎng)�。轉(zhuǎn)發(fā)媒體��,NAT 拓撲下的媒體路徑學習��,P2P 媒體穿透等���。
2、 信令及媒體的互聯(lián)互通
A) 由于不同廠家的設(shè)備遵循 SIP 規(guī)范標準的不一致����,導致了業(yè)務(wù)互通兼容問題或者互通失敗�����。
SIP 信令方法不一致 用 SBC 的 B2BUA 來實現(xiàn)單側(cè)交互(例如IMS 的 PRACK/SessionTimer/REFER/UPDATE)
SIP 消息過大 用 SBC 過濾不必要的頭和 SDP 中的媒體資源(例如視頻會議的大 SDP)
SIP 字段爭議 用 SBC 定義刪除爭議字段或者重定義格式(例如IMS 中的 TEL URI)
B) 由于不同廠家的設(shè)備遵循媒體能力標準的不一致�����,導致了業(yè)務(wù)互通兼容問題或者互通失敗。編碼協(xié)商爭議 用 SBC 定義 SDP offer/SDP answer 的編碼協(xié)商列表的優(yōu)先順序(例如一方媒體流不規(guī)范)媒體類型爭議 用 SBC 定義刪除爭議的媒體資源(例如視頻會議中 BFCP 流)編碼轉(zhuǎn)換 用 SBC 參與協(xié)商并轉(zhuǎn)換 UAS/UAC 的媒體流編碼(例如 IMS 與用戶 UC 的編碼不相容)
3����、 安全威脅的防護
A) 內(nèi)外網(wǎng)拓撲隔離 SBC 充當內(nèi)外網(wǎng)絡(luò)的轉(zhuǎn)發(fā)節(jié)點。完全隔離拓撲并隱藏SIP 信令中的敏感信息���。
B) 不可信源的掃描與盜打 – SBC 內(nèi)置行為匹配和保護方法���,四個級別的自動黑名單攔截保護
C) 不可信源的拒絕服務(wù)攻擊 SBC 可定義保護閥值,匹配條件攔截或黑名單
D) 可信源的資源濫用 SBC 可定義行為閥值����,匹配條件攔截或灰名單
4��、 可靠性的保障
A) 支持 SIP 路由冗余 SIP 路由失效倒換
B) 支持 SIP 注冊減壓 SBC 自動 cache 卸載核心軟交換的注冊刷新壓力
C) 支持 Syslog 日志告警 及時報告攔截信息�����、資源超載信息
D) 支持 SNMP 監(jiān)控 – 監(jiān)控內(nèi)存、CPU、網(wǎng)絡(luò)流量、在線用戶數(shù)��、并發(fā)通話
E) 支持網(wǎng)口冗余捆綁 多網(wǎng)口 bond 為虛擬網(wǎng)口�����,動態(tài)備份
F) 支持電源冗余 電源動態(tài)備份
