三汇发布SBC产品,为企业VoIP通讯系统保驾护航——NAT穿透篇

在企业VoIP通信系统建设的过程中,最重要的终端接入安全和VoIP多媒体业务的NAT穿越,如今越来越多的企业开始采用IP-PBX、软交换、MCU等产品构建内部IP通信系统,并用基于IP网络承载数据、语音、视频、消息等多种业务,以降低通信成本、实现灵活部署、提供新业务功能,提升企业内外部沟通效率与核心竞争力。

security-protection-anti-virus-software-60504.jpeg


但在IP通信系统为用户带来诸多便利的同时,也造成了一些其他麻烦。其中在复杂网络情况下的IP多媒体业务的AT穿越、终端用户的安全接入是许多企业建设管理VoIP通信系统时非常困扰的问题。


用SBC实现IP多媒体业务NAT穿越


许多大中型企业对于信息安全对非常重视,数据网络中部署了大量防火墙设备,同时由于安全及IP地址资源等因素,许多分支机构和部门采用私网IP地址并在网络出口处启用NAT地址转换。由于通常NAT/防火墙设备仅对IP和UDP/TCP报文头的地址及端口号进行转换,并不对消息中的媒体连接信息进行转换,从而造成NAT/防火墙不支持SIP/H.323/H.248/MGCP等IP通信协议的有效传输。比如对于SIP协议,终端用户注册后呼叫控制设备上记录的将是其私网地址,导致呼叫时信令不通。因此IP多媒体业务无法跨越普通的NAT设备。  


QQ图片20170714133618.png


SBC组网示意图

NAT穿越的传统解决方案是启用防火墙ALG((Application Level Gateway,应用层网关)功能,ALG作为NAT的增强,在地址转换时对IP报文头中内嵌的相应地址信息字段(例如重写SIP协议Register消息中的Contact字段)也进行转换。但如果全网规模部署IP多媒体业务,需对现网大量防火墙进行ALG升级,成本高、实施繁琐。

在现实应用的场景中,终端将IP-PBX/软交换等核心控制设备的地址设置为SBC Proxy的地址,终端注册到核心设备时,SBC创建相应的地址映射表项,当终端开始呼叫时,SBC修改相应的地址信息,将报文发送给真正的核心设备,所有的信令流、媒体流都可经过SBC进行转发,另外也可设置媒体流旁路

network-cable-ethernet-computer-159304.jpeg

由于SBC重新指定内网/外网用户信令/媒体流的接收地址和端口,可以方便地实现不同网络域之间的地址转换(包括公网/私网地址之间的转换),为信令/媒体流穿越NAT提供了技术保障。

SBC最早是应用于电信运营商NGN领域的一种产品形态,定位在电信NGN网络的IP业务网关,解决NGN业务部署中遇到的NAT/FW穿越、安全、互通、QoS等问题。SBC设备采用Full Proxy(全代理)方式定向传输信令/媒体流. 三汇SBC(Session Border Controller)作为企业融合通信整体解决方案中的重要部件,通常被部署在企业网络的出口处,用于跨接不同IP域内的IP语音话务,并提供网络安全保障,在企业级VoIP通讯系统中发挥着重要的作用。

QQ截图20170714133800.png

SBC500功能描述:

  1. 实现Dos/DDos 防护

  2. 可进行QOS/ TOS/DSCP设置

  3. 可信令加密(TLS/IPSec)和媒体加密(SRTP)

  4. 可实现NAT穿透,SIP/H.323/H.248协议互通

  5. 支持IPV4、IPV6及VPN

  6. 具有负载均衡/流量策略/速率限制功能

  7. 可实现媒体资源RTP编码格式转换

  8. 电话盗打防护,可实现多机冗余

创意思维灯泡和铅笔矢量素材 [转换]-01_副本.jpg

确保安全运营

SBC会话边界控制器可以为企业通讯系统提供安全的运营级的实时通信解决方案,协助企业实现和提供新的业务产品。通过综合的安全性、策略实施和会话管理功能,在IP网络边界为企业提供更先进的功能、灵活性和更高的性能。

灵活呼叫控制

提供安全的连接与控制,以主动精细管理网间互连的质量、容量和可用性,支持双边和多边的运营商互连,可以进行国内呼叫、国际长途和本地PSTN落话路由。

通讯融合

无缝连接运营商和企业通讯网络,完成流量合理化,提供了多种业务级别管理能力,支持SIP中继、PBX/IP PBX 和H.323/SIP互通、呼叫中心和托管式VoIP应用。

负载保护

对网络边缘的负载保护可以通过多级速率限制策略、登记遏制、用户认证和授权等方式,使提供高度差异化的语音和多媒体业务。