您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 咨询培训 > IMS BAC设备技术培训与交流1019
1IMSBAC设备技术培训与交流集团网络运行维护事业部交换网运行维护技术支撑中心2012年10月设备简介组网要求协议处理业务功能安全防护•BAC的引入•FW/NAT阻断业务的分析•FW/NAT穿越的实现原理•地址转换流程实例汇报提纲什么是BAC?WiKi百科定义:ASessionBorderControllerisadeviceusedinsomeVoIPnetworkstoexertcontroloverthesignalingandusuallyalsothemediastreamsinvolvedinsettingup,conducting,andtearingdowncalls.TISPAN:TISPAN架构中定义的核心网标准网元P-CSCF/C-BGF/I-BGF/IBCF(边缘接入和IP网间互通)即由BAC实现;各厂家实现中扩展由BAC实现更多边缘接入网元功能.BAC基本功能BAC的核心功能:为不同子网的IP语音(及视频等其它实时会话业务)信令和媒体提供控制功能;同时在网络边缘对所处理业务进行安全保障(防攻击、VPN隔离、防火墙等)和QoS控制(policing、marking、ratelimiting、CAC、SLA等)。网络位置:接入或汇聚点,互通的网络边缘。341.信令、媒体NAT/FW穿越问题,地址不够问题用户接入网络采用私网地址空间,传统NAT设备无法实现信令层的NAT穿越,实现内网用户与公网用户的通信;软交换核心网络采用私网地址空间,可有效节省IP地址空间,实现拓扑隐藏的安全,但无法实现和公网用户的通信;企业用户可能使用相同的私网地址空间,无法实现互通NATTerminal核心网IntranetTerminal核心网络采用私网地址空间用户驻地网采用私网地址空间IntranetFirewall2.核心网安全如何保障?黑客ZombieZombieZombie正常用户怎么我没法打电话了?我已经忙的喘不过气来啦软交换核心网元直接对终端IAD/SIP电话/软终端可见,IP报文可以直达软交换等核心设备,容易受到各种攻击;终端智能化倾向,终端的能力较强,软终端的使用导致在NGN网络中引入了许多IP网的固有安全问题,如DOS攻击等;传统的防火墙设备无法防止信令层如SIP协议的攻击;53.如何保证信令、媒体的QOS?Terminal核心网IntranetTerminal终端和业务的多样化,对带宽和QoS的不同需求;接入路由器设备无法区分信令和媒体,无法区分不同的NGN用户;传统的防火墙设备无法完成更多针对性的信令安全防范:如各种信令攻击、各种流量控制等;企业接入运营商接入老了,这些攻击我没法防了!业务多样化,需要区分信令、媒体和数据流量64.如何防止业务、带宽盗用?终端用户间可能不经过SoftSwitch直接进行互通:比如先通过SoftSwitch得到对方号码对应的IP地址,然后直接呼叫该地址;用户建立连接协商的带宽是64K,但实际可能使用超过这个带宽;城域网Internet用户IADIAD带宽盗用:没有带宽限制,可以多使用点带宽业务盗用:终端始终是连通的,没有呼叫,也能够通信。75.核心网如何互通,不同网络之间互通核心网一般都部署在私网,但不同核心网之间存在着互通的需求;不同核心网有相互拓扑隐藏的需求,避免潜在的攻击和风险;处于IPv4网络和IPv6网络边界;处于RTSP域和SIP域的边界;处于H.323域和SIP域的边界。IMS/软交换AIMS/软交换BNGN核心网A×NGN核心网B89•部署的BAC主要有以下两项作用:•用户防火墙(FW)和地址转换设备(NAT)穿越,保持端口映射存活和进行应用消息地址的转换;•对核心网络的安全防护功能BAC在网络中的位置BAC2BACBACBACFW/NAT阻断业务的分析10地址转换设备包含只进行地址转换的NAT和同时进行地址和端口转换的PNAT,基于SIP协议的流程,NAT后用户如果直接和软交换通信,将出现无法注册、注册后无法呼叫等问题,这是由用户应用消息地址不转换而引起的。•FW/NAT阻断业务的表现在用户驻地网络与城域网之间一般都会部署FW/NAT设备,以确保用户网络的安全,但FW/NAT的使用阻止用户使用软交换业务,使FW/NAT后的用户无法正常与软交换设备通讯。不进行地址转换的单纯防火墙对SIP业务的影响表现在当防火墙内用户一段时间没有通话后再发起呼叫或作为被叫时,软交换不能与用户通信,这是由端口映射过期而引起的。FW/NAT阻断业务的分析NAT设备在内部设备发送包后建立内部主机和外部地址的映射,映射的时间有限制,在一段时间没有检测到有包通过时,会拆除映射,之后外部主机发往这个内部主机的包会被丢弃,导致作为被叫的用户无法进行接续,直到内部主机再次主动建立和外部主机的联系后,外部主机才能通过新的映射和内部主机联系11防火墙终端软交换注册端口开启注册成功1分钟无消息端口关闭INVITEINVITEINVITE丢弃消息包防火墙终端软交换注册端口开启注册成功收到消息重设端口关闭计时INVITE问题的产生解决方案维持端口开启消息(OPTION或扩展消息)小于端口关闭时间IMS/软交换IMS/软交换•端口映射过期的阻断FW/NAT阻断业务的分析12用户发出的SIP消息:本端地址:10.1.1.1:5060对端地址:61.1.1.1:5060---------------------------------------------INVITEsip:87654321@a.comSIP/2.0Via:SIP/2.0/UDP10.1.1.1:5060;branch=z9hG4bKnTo:sip:87654321@a.comFrom:sip:22345678@a.com;tag=1928301774Call-ID:a84b4c@10.1.1.1CSeq:1INVITEMax-Forwards:70Date:Thu,21Feb200213:02:03GMTContact:sip:22345678@10.1.1.1Content-Type:application/sdpv=0o=a55INIP410.1.1.1s=phone-callt=00c=INIP410.1.1.1m=audio10200RTP/AVP01399a=rtpmap:0PCMU/8000NAT软交换地址:61.1.1.1地址影射10.1.1.1:5060--202.1.1.1:8000各消息参数中包含用户地址/端口未更换分别引出以下问题:oVia:软交换无法回复响应oContect:软交换无法发送后续请求消息oSDP/c:对端媒体无法到达该地址oSDP/m:对端媒体无法到达该端口软交换收到信令消息源地址202.1.1.1:8000IMS/软交换•消息地址不转换的阻断FW/NAT穿越的实现原理1.使用OPTIONS消息–BAC发送OPTIONS消息,需要终端回送200消息响应2.使用REGISTER消息–BAC修改软交换对用户REGISTER消息的200OK回应消息中过期时间要求,使得终端在较短的时间发送重注册消息,维持FW/NAT映射3.其他消息–BAC发送随意的UDP报文,发送内容为“hello”的UDP包,不要求用户响应13•保持FW/NAT映射存活为解决映射过期的问题,需要有Keepalive消息维持NAT端口的映射,该功能可以由终端完成也可以由BAC完成。目前BAC实现Keepalive消息时有三种方式:NGN和IMSBAC与终端心跳检测机制的区别NGN网络中的BAC的心跳检测机制采用BAC主动下发对终端的Option消息进行,该消息主要承担两大功能:–功能1:BAC对终端发送option消息检测终端是否在线;–功能2:BAC通过主动发送option消息对NAT下的终端用户的NAT路径进行刷新;功能1不区分NAT和非NAT用户,主要用于BAC的注册/呼叫数据区的防吊死等功能,删除已经不在线的终端,而对于功能2而言,实际上应该只有对NAT下的用户才有作用。正是由于功能1和功能2都由BAC主动发出,这会导致在实际运行中,由于部分NAT下的用户所需要较短的Option发送间隔来刷新路径NAT,结果却导致对大部分的非NAT用户也以同样较短的Option发送间隔来进行终端的在线检测。这就造成了对BAC性能的极大消耗。在各地的实际工程经验中,BAC的心跳option配置时长也是反复需要调整的。IMS-BAC的心跳检测机制在新版的中国电信的BAC技术规范中,其新的心跳检测机制采用终端主动发送Register消息,对于NAT下的用户其标准的expire时长为50秒,非NAT下用户其标准的expire时长为300秒,而在核心网侧的expire时长为900秒。IMS-BAC下的Option消息的作用在IMS技术体制下,BAC主动发送对终端的option消息仅仅是用于对终端(不需区分NAT和非NAT)的在线检测,用于释放异常掉线或其他原因造成的非在线终端的数据区资源14每小时发送注册消息BAC透传到核心网的注册消息纯NAT保活的注册消息NAT下终端3600/50=723600/900=472-4=68非NAT下终端3600//300=123600/900=412-4=8通过采用新的心跳机制,相比较NGN-BAC,其用于心跳的性能消耗将获得一定程度的减少且更为精确NGN-BAC的心跳检测机制FW/NAT穿越的实现原理15BACIMS/软交换1.网络1中的MG所有信令消息的目的地址都是BAC;2.BAC接收到信令消息后,如果是初始消息,根据信令的域名信息,建立信令地址映射表,然后使用BAC的软交换网络侧IP地址作为源地址,发送给软交换;如果不是初始消息,BAC根据信令消息中的域名,查找信令地址映射表,进行IP地址变换,将消息发给软交换;3.软交换将信令消息发送给BAC时,BAC根据信令消息中的域名信令,查找信令地址映射表,进行IP地址变换,然后将信令消息发送给MG;4.对于包含媒体信息的信令消息,BAC将建立媒体地址映射表,并使用BAC的软交换网络侧IP替换消息中IP地址,然后发送给软交换SS•信令地址的转换FW/NAT穿越的实现原理16BACIMS/软交换1.当收到包含媒体信息的信令消息,BAC将建立媒体地址和端口的映射表,在BAC处分配一个外部端口和内部端口以映射外网的终端的媒体流和软交换网络的媒体流之间的关系2.BAC将已经分配的端口替换SDP消息对RTP接收端口的描述,再转发给软交换。3.主叫SIP终端收到BAC设备发送过来含有远端SDP的信令消息后,根据SDP信息封装媒体包的目的IP地址和端口,以SIP终端的媒体地址和端口作为IP包的源地址,通过NAT进行源IP地址的转换后,根据目的IP地址最终路由到BAC。4.BAC设备根据已经建立的地址映射关系表进行查询,将源IP地址和端口更换BAC为被叫用户分配的地址和端口,并将被叫用户自己分配的媒体IP地址和端口作为目的地址和端口,通过目的地址的路由,最终将媒体包送到被叫用户。•媒体地址的转换17地址转换流程实例•用户注册的地址转换流程REGISTER136.2.7.1:5060contact:sip:user@10.0.0.1REGISTER136.2.7.1:5060contact:sip:user@10.0.0.1REGISTER10.1.1.1:5060contact:sip:user@10.1.7.10200OKcontact:sip:user@10.1.7.10200OKcontact:sip:user@10.0.0.1200OKcontact:sip:user@10.0.0.1BAC建立映射user实际信令地址和端口202.2.3.1:10000记录终端地址10.0.0.1:5060136.2.7.1/10.1.7.10公网地址202.2.3.110.1.1
本文标题:IMS BAC设备技术培训与交流1019
链接地址:https://www.777doc.com/doc-3510856 .html