Сентябрь 25, 2018

Пограничный контроллер сессий SBC

Одним из аппаратно-программных решений сетей следующего поколения, появившихся в последнее время, является пограничный контроллер сессий SBC (Session Border Controller), который предназначен для решения задач сопряжения разнородных VoIP сетей, обеспечивая совместную работу терминалов с различными протоколами сигнализации и наборами используемых кодеков. Кроме того, за счет функциональности Firewall, NAT и проксирования сигнального и медиа трафика он защищает корпоративную сеть от атак и скрывает ее внутреннюю структуру. SBC всегда устанавливается на границе корпоративной или операторской VoIP сети и выполняет те функции, которые не целесообразно возлагать на гибкий коммутатор (softswitch). Задачи Softswitch направлены на управление медиа-шлюзами и маршрутизацию вызовов между ТфОП и IP-сетью или внутри IP-сети. SBC ориентирован на гораздо большее количество услуг реального времени (видео, мультимедиа, Instant Messaging), реализуемых в IP-сети. Трафику, пропускаемому через SBC, обеспечивается управление качеством обслуживания, безопасностью, полосой пропускания, но SBC не выполняет функции маршрутизации. Поэтому для взаимодействия сетей необходимо одновременное использование обоих видов оборудования - Softswitch и SBC.

Следует учитывать, что SBC работает с такими сетевыми устройствами, как гибкий коммутатор (softswitch), межсетевой экран (Firewall), устройство преобразования сетевых адресов NAT, но не замещает их. Оборудование SBC является одним из компонентов NGN, не обеспечивающим услуг или сервисов непосредственно, но служащим для надежной работы сети. Часть производителей обеспечивает возможности по встраиванию SBC в другие продукты, не относящиеся напрямую к защите, такие, как гибкие коммутаторы или устройства доступа. Тем не менее, общепринятый подход использования SBC как отдельного компонента, предоставляет удобства в виде четкого разграничения функциональности, зон безопасности и ответственности.

Основные функции SBC:
- фильтрации трафика на сетевом уровне (третий уровень модели OSI);
- трансляции адресов NAT (Network Address Translation).

Дополнительные функции SBC:
- контроль сигнального трафика;
- нормализации и согласования различных версий протоколов;
- ограничения объемов (rate limiting) трафика для защиты инфраструктурного оборудования от DoS-атак (в том числе распределенных);
- помощь клиентам для преодоления NAT устройств (NAT traversal).

Таким образом, SBC берет на себя обеспечение взаимодействия сетей:
- межпротокольное (двусторонняя трансляция сообщений сигнальных протоколов SIP и H.323);
- внутрипротокольное (преобразование разных версий стеков протоколов);
- межоператорское;
- межвендорное (включая передачу факсов по протоколу T.38);
- контроль за установлением соединений CAC (Call Admission Control);
- регулирование качества голоса путем ограничения числа одновременно активных вызовов;
- безопасность (включая функции RTP proxy для сокрытия внутренней структуры сети);
- возможность работы через устройство преобразования сетевых адресов NAT (Network Address Translation) и межсетевые экраны Firewall (обеспечение прохождения трафика);
- обеспечение функций системы оперативно-розыскных мероприятий СОРМ.

Условно функциональность SBC показана на рис. 1.9.


Типичные применения SBC:
- защита подключений для обмена трафиком и подключений корпоративных клиентов (межоператорский SBC);
- защита узла предоставления VoIP-услуг для конечных пользователей от несанкционированного Интернет-доступа (SBC на доступ);
- защита корпоративного офиса;
- обеспечение функции СОРМ.

Применение SBC обеспечивает следующие преимущества:
- решение проблем взаимодействия разных сетей;
- увеличение гибкости сети;
- увеличение общего качества предоставляемых сервисов;
- повышение уровня защиты.

Схема включения SBC аналогична включению межсетевого экрана – в разрыв между внешней сетью и защищаемыми ресурсами. В целях резервирования два устройства включаются параллельно по схеме «горячего» резерва (одно устройство в активном режиме, другое – в режиме ожидания). Устройства SBC подключаются стандартными интерфейсами Fast Ethernet или Gigabit Ethernet. Выбор решения зависит от необходимой мощности (количество одновременных сессий, объем трафика) и от выполняемых задач, таких, как контроль разных версий и протоколов сигнализаций, необходимость простой передачи медиатрафика или транскодирования и т. д.

На практике применяют два основных варианта включения SBС (рис. 1.10).


1. Включение SBC на границе сетей разных операторов:
- снимает необходимость в шлюзах, соединенных встык через сеть TDM;
- улучшает качество передачи голоса;
- контроллер может быть реализован на том же пограничном маршрутизаторе для передачи голоса, видео, данных;
- обеспечивает функции NAT/NAPT, контроль за сетевыми ресурсами, безопасность, биллинг и т.д.

2. Включение SBC на границе сети оператора и корпоративных сетей:
- обеспечивает сквозной тракт VoIP;
- снимает необходимость в присоединении корпоративных сетей предприятий по сети TDM;
- обеспечивает взаимодействие и преобразование протоколов VoIP, прохождение через NAT/FW, контроль за сетевыми ресурсами, безопасность, стык VPN, биллинг и т.д.

______________________________________
Материалы, представленные в данном разделе, взяты из книги "Мультисервисные платформы сетей следующего поколения NGN" под ред. А.В. Рослякова