传统观念认为,缺乏安全以及端到端保障的IP网永远只能是一个非赢利网,它终究无法完成高质量、实时交互式语音及视频业务的传送。这种数据业务已经占据了约一半的网络带宽,但70%~80%的电信业务收入却仍然来自语音业务。面对这种严峻的形势,业务提供商不得不在降低CAPEX/OPEX的同时寻求网络融合的途径。边界会话控制器(SBC,Session Border Controllers)的出现无疑为正愁云密布的业务提供商注入了一支强心剂,它很好地解决了IP网传送语音、视频以及多媒体等交互式通信业务时所存在的问题,为业务商开辟新的利润增长点扫清了路障。
SBC:新型智能化网络边缘设备
不断提供创新业务以吸引更多的用户是广大业务提供商孜孜不倦的追求,为此而进行的网络融合大潮正席卷全球。但融合过程中所出现的一系列问题却是全新的,单就连接两个IP网(业务提供商与用户之间或是两个业务提供商之间)的网络边缘而言,就存在如何保障网络安全、业务性能等问题。这些新的问题将今天的VoIP网分离为一个个独立的“孤岛”,严重影响到业务提供商获取更多的利润。而现有的一些技术在解决这些问题上也显得力不从心,于是一种新型智能化网络边缘设备SBC应运而生。单从S、B、C这三个缩写字头上恐怕不足以了解SBC的真正含义:Session(会话)指任何实时的、交互式的语音、视频或者多媒体通信业务,它们是基于L5(会话层)的IP会话信令协议(比如会话发起协议SIP、H.323、MGCP、Megaco/H.248等)来传送的;Border(边界)是指任何IP-IP网的边界,如业务提供商与用户之间或者是两个提供商之间的边缘网络;Control(控制)包含一系列功能的提供,如业务提供商和用户设备的安全保证,SLA的业务性能保障以及最大化收益和最小化成本等。从物理位置上看,SBC位于提供商网络的边缘,用以协助现有的路由器完成一些附加功能。它融合了会话信号和媒体控制的功能,充当着SIP背对背用户代理,MGCP代理/NAT或 H.323背对背网关/关口等职能。这也就意味着对于所有进出提供商网络的信号信息和媒体流来说,SBC既是目的地,也是发源地。以下我们分别来看一下SBC是如何满足保障网络安全、业务性能等方面的需求的。
网络安全
IP公网上的安全问题一直是大家所关注的焦点,尤其是对于交互式电信业务的提供商和其终端的用户。目前大多数商务用户和不断增长的小区用户采用带有NAT功能的防火墙来保护他们的IP网络不受外界攻击。防火墙的功能是为网络内部的所有PC机和电话机提供一个对外的全球唯一的IP地址,并只允许经请求的外部信号进入网络。这种工作模式非常适合于网站浏览、email、IM以及其它一些类似业务,但对于一些语音、视频或其它点对点通信业务的呼入却是极大的障碍。针对这些问题,SBC提供了主机NAT遍历功能,它不需任何其它硬件或软件的协助,不需改变防火墙的设置,也不需要更改现有的安全防护措施。实际上,所有进入网络中的信令信息和媒体流都要经过SBC,然后,SBC通过它自己维护的防火墙内部网络IP地址/端口与防火墙后的用户信息的对应关系建立相应的呼叫连接。也就是说,防火墙只要配置成仅接受来自SBC IP地址的业务流量即可安枕无忧。
对于业务提供商来说,允许授权用户接入的同时,还必须保护其内部网络不受外界攻击。可问题是,这些内部设备实在是太多了,比如有用于会话授权和进行路由选择的呼叫控制器(软交换模块、SIP代理、H.232网守或MGCP代理)、用于统一信息的应用服务器和媒体服务器,用于连接到PSTN的媒体网关等等。而且这些设备地理上的分散分布更使得这一问题复杂化。同时,业务提供商还要求隐藏一些有价值的路由信息不被终端用户或者其他的竞争对手知晓。我们来看SBC是怎样做的。它通过L5的信令信息而不是防火墙或路由器所利用的L3的IP地址信息来进行网络接入控制,从而可根据不同的授权业务灵活开、关防火墙的端口。另外,SBC可以完成对所有的信号和媒体包乃至信号和错误信息中所包括的IP地址进行NAPT(网络地址和端口解析),但仅仅是L3的NAPT还不足以完全隐藏网络内部拓扑结构。SBC还可以完成路由信息与信号和媒体流的分离。从而达到完全隐藏网络拓扑以及提供商信息。
对于网络内部基础设备的超负荷运作,SBC可以通过智能控制进入网络的信令信息来控制。
