邊緣接入控制解決 VoIP 兩大問題
作為新一代VoIP的基礎(chǔ),軟交換技術(shù)仍然存在一些問題,制約了各種VoIP業(yè)務(wù)的的發(fā)展,問題主要集中在兩個方面:如何解決網(wǎng)絡(luò)節(jié)點、用戶信息和業(yè)務(wù)的安全;如何提供具有QoS保證的端到端實時業(yè)務(wù)。為了解決以上問題,并考慮到IP網(wǎng)自身要徹底解決安全及QoS問題尚需時日的現(xiàn)狀,一些運營商已經(jīng)開始考慮在現(xiàn)有軟交換網(wǎng)絡(luò)的基礎(chǔ)上引入了新的網(wǎng)元設(shè)備,并提出了新的組網(wǎng)思路。
集中用戶數(shù)據(jù)庫HLR和集中路由服務(wù)器RS技術(shù),可以更好地解決軟交換組網(wǎng)問題,通過將原來存放的各軟交換設(shè)備(SS)中的用戶數(shù)據(jù)及路由數(shù)據(jù)分離出來,集中存放在HLR及RS之中,而SS只保留與網(wǎng)關(guān)資源相關(guān)的信息,如中繼網(wǎng)關(guān)的E1資源的空閑情況等。
為了能夠更好解決網(wǎng)絡(luò)、業(yè)務(wù)的安全及QoS問題,可以在傳送層引入了具有一定安全及QoS保證的(軟交換業(yè)務(wù))專用承載網(wǎng)絡(luò)及軟交換業(yè)務(wù)邊緣接入控制設(shè)備(B AC ) 。軟交換設(shè)備、媒體網(wǎng)關(guān)、信令網(wǎng)關(guān)(SG)、重要客戶使用的IAD、媒體服務(wù)器(MS)、BAC等設(shè)備基于專用網(wǎng)絡(luò)布放。對于非重要客戶使用的IAD及SIP軟、硬終端等設(shè)備,設(shè)備數(shù)量多、分布廣,將通過各種接入方式快速收斂于BAC設(shè)備,通過BAC設(shè)備實現(xiàn)與專用網(wǎng)絡(luò)中其他設(shè)備的互通,此時BAC提供信令及媒體的代理功能及安全檢測及隔離功能。目前,BAC已完成了企業(yè)設(shè)備規(guī)范制定,包括產(chǎn)品的功能、性能、相關(guān)的協(xié)議擴展等,并且已有設(shè)備制造商意識到該設(shè)備的重要性,完成了該設(shè)備的研制。
解決安全問題
首先,軟交換、中繼媒體網(wǎng)關(guān)、綜合接入媒體網(wǎng)關(guān)、媒體服務(wù)器等設(shè)備基于專用網(wǎng)絡(luò)布放,該網(wǎng)絡(luò)可以是新建的專用網(wǎng)或采用 MPLS VPN 等技術(shù)的虛擬專用網(wǎng),能通過各種手段來實現(xiàn)軟交換設(shè)備間的相互通信及軟交換設(shè)備和非軟交換設(shè)備間的消息隔離,大量的軟交換散戶及其他非軟交換網(wǎng)絡(luò)的設(shè)備難以直接訪問到這些軟交換網(wǎng)絡(luò)設(shè)備,大大減小了受互聯(lián)網(wǎng)用戶攻擊的可能。由于軟交換專用網(wǎng)絡(luò)中的設(shè)備可信任度高,通過信令協(xié)議保障(如認證)、設(shè)備管理等手段,基本可以避免專用網(wǎng)絡(luò)內(nèi)用戶攻擊。
對于非重要客戶使用的IAD及SIP軟、硬終端等設(shè)備,設(shè)備數(shù)量多、分布廣,將通過各種接入方式快速收斂于BAC設(shè)備,通過BAC設(shè)備實現(xiàn)與專用網(wǎng)絡(luò)中其他設(shè)備的互通,此時BAC提供信令及媒體的代理功能及安全檢測及隔離功能。由于IAD及SIP終端分布于用戶側(cè),對軟交換核心設(shè)備的安全存在極大的威脅,因此在本方案中,運營商對于IAD或SIP終端應(yīng)采用用戶零配置方案,運營商應(yīng)負責所有網(wǎng)絡(luò)及用戶數(shù)據(jù)的配置及后續(xù)的更新及修改,用戶無法自行修改數(shù)據(jù)。
在信令協(xié)議中啟動加密和鑒權(quán)機制,SS定期檢測用戶身份合法性,保證SS對網(wǎng)關(guān)及用戶的控制權(quán),防止非法用戶對業(yè)務(wù)的盜用或干擾。
通過域名解析機制及BAC設(shè)備的信令及媒體的全代理功能,對基于公共 In ternet 接入的用戶屏蔽軟交換、中繼媒體網(wǎng)關(guān)、綜合接入媒體網(wǎng)關(guān)、媒體服務(wù)器等設(shè)備的地址,保護重要的軟交換網(wǎng)絡(luò)設(shè)備。
BAC設(shè)備在實現(xiàn)包過濾型防火墻的功能,利用訪問控制列表(A CL ) 功能隔離網(wǎng)絡(luò)層攻擊的同時,還實現(xiàn)對SIP、MGCP和 H.248 等軟交換應(yīng)用層消息攻擊的防護,比如對未注冊用戶發(fā)送的非注冊消息進行丟棄處理等。通過BAC對異常消息、異常流量等高風(fēng)險行為進行識別并產(chǎn)生實時告警,使維護人員能對軟交換網(wǎng)絡(luò)安全事件及時響應(yīng)。
為配合安全的軟交換網(wǎng)絡(luò)的實施,各設(shè)備需要提供相應(yīng)的支持,如支持多個網(wǎng)段,可以通過提供多個分離的物理端口或在一個物理端口上支持多個VLAN的方式實現(xiàn);對媒體端口進行動態(tài)開閉管理;能進行最小化端口設(shè)置;面向用戶的服務(wù)可采取由Web或 Portal 面對用戶,進行業(yè)務(wù)代理方式來降低風(fēng)險等。
解決QoS問題
目前的IP網(wǎng)絡(luò)技術(shù)還不能徹底地解決QoS問題。用專用網(wǎng)絡(luò)+BAC可以對QoS問題進行一定程度的解決。
專用網(wǎng)絡(luò)組網(wǎng)可以采用專線、專用IP網(wǎng)、 MPLS VPN 等方式, MPLS VPN 方式要提供QoS保障,仍然需要全IP網(wǎng)絡(luò)設(shè)備的支持,而目前的IP網(wǎng)絡(luò)還不能全程全網(wǎng)地提供QoS。專線和專用IP網(wǎng)方式可以通過網(wǎng)絡(luò)流量預(yù)測和規(guī)劃,按軟交換業(yè)務(wù)需求組織網(wǎng)絡(luò),由于專網(wǎng)專用,使用過程中容易掌握業(yè)務(wù)流量和流向的變化,可以及時調(diào)整網(wǎng)絡(luò),通過與軟交換設(shè)備呼叫數(shù)控制功能結(jié)合,可以有效解決網(wǎng)絡(luò)擁塞控制問題。如新建專用網(wǎng)絡(luò),還可以在引進網(wǎng)絡(luò)設(shè)備時統(tǒng)一考慮設(shè)備QoS功能,區(qū)分對待不同業(yè)務(wù)等級的軟交換業(yè)務(wù),設(shè)置為某些業(yè)務(wù)實現(xiàn)帶寬預(yù)留。
BAC可以對信令和媒體進行QoS標記,為后續(xù)
IP網(wǎng)絡(luò)設(shè)備的QoS處理提供幫助。在今后的QoS解決方案中,該設(shè)備還可以接受軟交換設(shè)備或其他QoS控制設(shè)備的指令,在呼叫建立階段根據(jù)用戶QoS要求和網(wǎng)絡(luò)QoS狀況進行不同的后續(xù)處理,如接續(xù)、拒絕、重定向、更改編碼方式等。
京公網(wǎng)安備 11010502049343號