Пограничный контроллер сеанса - Session border controller

А пограничный контроллер сеанса (SBC) - сетевой элемент, развернутый для защиты ГЛОТОК основан передача голоса по интернет-протоколу (VoIP) сети.

Раннее развертывание SBC было сосредоточено на границах между сетями двух поставщиков услуг в одноранговой среде. Эта роль теперь расширилась и теперь включает в себя значительные развертывания между сетью доступа поставщика услуг и магистральной сетью для предоставления услуг бытовым и / или корпоративным клиентам.[1]

Термин «сеанс» относится к связи между двумя сторонами - в контексте телефонии это был бы звонок. Каждый вызов состоит из одного или нескольких обменов сообщениями сигнализации вызова, которые управляют вызовом, и одного или нескольких потоков мультимедиа вызова, которые несут аудио, видео или другие данные вызова вместе с информацией о статистике вызовов и качестве. Вместе эти потоки составляют сеанс. Задача пограничного контроллера сеанса - оказывать влияние на потоки данных сеансов.

Термин «граница» относится к точке разграничения между одной частью сети и другой. В качестве простого примера, на границе корпоративной сети брандмауэр отделяет локальную сеть (внутри корпорации) от остальной части Интернета (за пределами корпорации). Более сложным примером является крупная корпорация, где у разных отделов есть потребности в безопасности для каждого местоположения и, возможно, для каждого типа данных. В этом случае фильтрующие маршрутизаторы или другие сетевые элементы используются для управления потоком потоков данных. Задача пограничного контроллера сеанса - помочь администраторам политик управлять потоком данных сеанса через эти границы.

Термин «контроллер» относится к влиянию, которое контроллеры границ сеанса оказывают на потоки данных, составляющие сеансы, поскольку они пересекают границы между одной частью сети и другой. Кроме того, пограничные контроллеры сеансов часто предоставляют средства измерения, контроля доступа и преобразования данных для вызовов, которые они контролируют.

Функции

SBC обычно поддерживают полное состояние сеанса и предлагают следующие функции:

  • Безопасность - защитить сеть и другие устройства от:
  • Связь - позволяет различным частям сети обмениваться данными с помощью различных методов, таких как:
    • Обход NAT
    • Нормализация SIP через SIP-сообщение и манипулирование заголовком
    • Взаимодействие IPv4 с IPv6
    • VPN-подключение
    • Перевод протоколов между ГЛОТОК, SIP-I, H.323
  • Качество обслуживания - политика QoS сети и приоритезация потоков обычно реализуется SBC. Он может включать в себя такие функции как:
  • Нормативно-правовая база - много раз ожидается, что SBC обеспечит поддержку нормативных требований, таких как:
  • Медиа-сервисы - многие SBC нового поколения также имеют встроенные процессоры цифровых сигналов (DSP), позволяющие им предлагать пограничный контроль мультимедиа и такие услуги, как:
    • Ретрансляция DTMF и взаимодействие
    • Транскодирование медиа
    • Тоны и объявления
    • Взаимодействие данных и факсов
    • Поддержка голосовых и видеозвонков
  • Статистика и информация о выставлении счетов - поскольку все сеансы, которые проходят через границу сети, проходят через SBC, это естественный момент для сбора статистики и информации об использовании этих сеансов.

С появлением WebRTC некоторые SBC также взяли на себя роль SIP для WebRTC шлюз и переведи SIP. Хотя спецификациями WebRTC не предписывается ни один протокол сигнализации,[2] ГЛОТОК над WebSockets (RFC 7118 ) часто используется частично из-за применимости SIP к большинству предполагаемых сценариев связи, а также доступности программного обеспечения с открытым исходным кодом, такого как JsSIP. В таком случае SBC действует как шлюз между приложениями WebRTC и конечными точками SIP.

Приложения

SBC вставляются в сигнальные и / или мультимедийные пути между вызывающей и вызываемой сторонами в вызове VoIP, преимущественно теми, которые используют Протокол инициирования сеанса (ГЛОТОК), H.323, и MGCP протоколы вызова-сигнализации.

Во многих случаях SBC скрывает топологию сети и защищает поставщика услуг или корпоративные пакетные сети. SBC завершает входящий вызов и инициирует второй этап вызова к стороне назначения. С технической точки зрения, при использовании с протоколом SIP это определяет последовательный пользовательский агент (B2BUA). Эффект такого поведения заключается в том, что не только сигнальный трафик, но и медиа-трафик (голос, видео) контролируются SBC. В случаях, когда SBC не имеет возможности предоставлять мультимедийные услуги, SBC также могут перенаправлять мультимедийный трафик на другой элемент в другом месте сети для записи, создания музыки на удержании или других целей, связанных с мультимедиа. И наоборот, без SBC медиа-трафик проходит непосредственно между конечными точками, а внутрисетевые элементы сигнализации вызова не контролируют свой путь.

В других случаях SBC просто изменяет поток данных управления вызовом (сигнализации), участвующих в каждом вызове, возможно, ограничивая типы вызовов, которые могут быть выполнены, изменяя кодек варианты и так далее. В конечном итоге SBC позволяют операторам сети управлять вызовами, которые совершаются в их сетях, исправлять или изменять протоколы и синтаксис протокола для достижения совместимости, а также преодолевать некоторые проблемы, которые брандмауэры и трансляторы сетевых адресов (NAT) присутствует для вызовов VoIP.

Чтобы показать работу SBC, можно сравнить простую последовательность установления вызова с последовательностью установления вызова с SBC.[3] В простейшей последовательности установления сеанса только с одним прокси между пользовательскими агентами задача прокси состоит в том, чтобы идентифицировать местоположение вызываемого и пересылать ему запрос. Прокси-сервер также добавляет заголовок Via со своим собственным адресом, чтобы указать путь, по которому должен пройти ответ. Прокси-сервер не изменяет никакую идентификационную информацию диалога, присутствующую в сообщении, такую ​​как тег в заголовке From, Call-Id или Cseq. Прокси-серверы также не изменяют никакой информации в теле сообщений SIP. Обратите внимание, что во время фазы инициирования сеанса пользовательские агенты обмениваются сообщениями SIP с телами SDP, которые включают адреса, по которым агенты ожидают медиа-трафик. После успешного завершения фазы инициации сеанса пользовательские агенты могут обмениваться медиа-трафиком напрямую между собой без участия прокси.

SBC предназначены для множества приложений и используются операторами и предприятиями для достижения различных целей. Даже одна и та же реализация SBC может действовать по-разному в зависимости от ее конфигурации и варианта использования. Следовательно, нелегко описать точное поведение SBC, которое применимо ко всем реализациям SBC. Как правило, можно выделить определенные функции, общие для SBC. Например, большинство SBC реализованы как последовательный пользовательский агент. B2BUA - это прокси-сервер, который разделяет транзакцию SIP на две ветви вызова: на стороне, обращенной к клиенту пользовательского агента (UAC), он действует как сервер, на стороне, обращенной к серверу пользовательского агента (UAS), он действует как клиент. . В то время как прокси-сервер обычно хранит только информацию о состоянии, относящуюся к активным транзакциям, B2BUA хранят информацию о состоянии активных диалогов, например, вызовов. То есть, как только прокси получает запрос SIP, он сохраняет некоторую информацию о состоянии. После завершения транзакции, например, после получения ответа, информация о состоянии будет вскоре удалена. B2BUA будет поддерживать информацию о состоянии для активных вызовов и удалять эту информацию только после завершения вызова.

Когда SBC включен в путь вызова, SBC действует как B2BUA, который ведет себя как сервер пользовательского агента по отношению к вызывающему и как клиент пользовательского агента по отношению к вызываемому. В этом смысле SBC фактически завершает тот вызов, который был сгенерирован вызывающим, и начинает новый вызов вызываемому. Сообщение INVITE, отправленное SBC, больше не содержит четкой ссылки на вызывающего абонента. Сообщение INVITE, отправленное SBC на прокси, включает заголовки Via и Contact, которые указывают на сам SBC, а не на вызывающего абонента. SBC часто также манипулируют идентификационной информацией диалога, указанной в тегах Call-Id и From. Кроме того, в случае, если SBC настроен также для управления медиа-трафиком, SBC также изменяет информацию об адресации медиа, включенную в строки c и m тела SDP. Таким образом, через SBC будут проходить не только все сообщения SIP, но также все аудио и видео пакеты. Поскольку сообщение INVITE, отправленное SBC, устанавливает новый диалог, SBC также управляет порядковым номером сообщения (CSeq), а также значением Max-Forwards. Обратите внимание, что список манипуляций с заголовками, перечисленный здесь, является лишь подмножеством возможных изменений, которые SBC может внести в сообщение SIP. Кроме того, некоторые ИПК могут не выполнять все перечисленные манипуляции. Если ожидается, что SBC не будет управлять медиа-трафиком, то, возможно, нет необходимости изменять что-либо в заголовке SDP. Некоторые SBC не изменяют информацию идентификации диалога, а другие могут даже не изменять информацию адресации.

SBC часто используются корпорациями вместе с брандмауэры и системы предотвращения вторжений (IPS) для включения вызовов VoIP в защищенную корпоративную сеть и из нее. Поставщики услуг VoIP используют SBC, чтобы разрешить использование протоколов VoIP из частных сетей с Интернет подключений с использованием NAT, а также для реализации строгих мер безопасности, необходимых для поддержания высокого качества обслуживания. SBC также заменяют функцию шлюзы уровня приложений.[4] На более крупных предприятиях SBC также могут использоваться в сочетании с магистралями SIP для управления вызовами и принятия решений по маршрутизации / политике в отношении того, как вызовы маршрутизируются через LAN / WAN. Зачастую существует огромная экономия средств, связанная с маршрутизацией трафика через внутренние IP-сети предприятия, а не с маршрутизацией вызовов через традиционную телефонную сеть с коммутацией каналов.

Кроме того, некоторые SBC могут позволять устанавливать вызовы VoIP между двумя телефонами с использованием разных протоколов передачи сигналов VoIP (например, SIP, H.323, Мегако / MGCP), а также выполнение транскодирования медиапотока при использовании разных кодеков. Большинство SBC также предоставляют функции брандмауэра для трафика VoIP (отказ в обслуживании защита, фильтрация вызовов, управление полосой пропускания). Нормализация протокола и манипуляция заголовком также обычно обеспечивается SBC, что обеспечивает связь между различными поставщиками и сетями.

Из Подсистема IP-мультимедиа (IMS) или 3GPP (Партнерский проект третьего поколения ) с точки зрения архитектуры, SBC - это интеграция P-CSCF и IMS-ALG в плоскости сигнализации и шлюз доступа IMS на медиаплоскости на стороне доступа. На стороне межсоединения SBC сопоставляется с IBCF, IWF на сигнальном самолете и TrGW (Переходный шлюз) на медиаплоскости.

Из IMS /ТИСПАН с точки зрения архитектуры, SBC - это интеграция P-CSCF и C-BGF функции на стороне доступа, а также IBCF, IWF, Бедра, и I-BGF функции на стороне пиринга. Некоторые SBC могут быть «разложены», то есть функции сигнализации могут быть расположены на отдельной аппаратной платформе, нежели функции ретрансляции мультимедиа - другими словами, P-CSCF может быть отделен от C-BGF, или IBCF / IWF могут быть отделены из I-BGF функционирует физически. Протокол на основе стандартов, такой как профиль H.248 Ia, может использоваться платформой сигнализации для управления мультимедийным протоколом, в то время как некоторые SBC используют проприетарные протоколы.

Полемика

В период зарождения концепция SBC вызывала споры среди сторонников концы с концами системы и пиринговый сети, потому что:

  • SBC могут значительно увеличить длину пути мультимедиа (путь передачи пакетов мультимедиа по сети). Длинный путь передачи данных нежелателен, поскольку увеличивает задержку голосовых пакетов и вероятность потери пакетов. Оба эффекта ухудшают качество голоса / видео. Однако во многих случаях существуют препятствия для связи, такие как межсетевые экраны между сторонами вызова, и в этих случаях SBC предлагают эффективный метод направления медиапотоков по приемлемому пути между вызывающим и вызываемым абонентами; без SBC мультимедиа вызова была бы заблокирована. Некоторые SBC могут определять, находятся ли стороны вызова в одном подсеть и освободить контроль над медиа, позволяя ему течь напрямую между клиентами, это анти-тромбонинг или пресс-релиз. Кроме того, некоторые SBC могут создавать медиа-тракт, в котором ни один из них не мог бы существовать в противном случае (в силу различных межсетевых экранов и других устройств безопасности между двумя конечными точками). Наконец, для определенных моделей сетей VoIP, где поставщик услуг владеет сетью, SBC могут фактически уменьшить путь мультимедиа с помощью подходов к сокращенной маршрутизации. Например, поставщик услуг, предоставляющий услуги транкинга нескольким предприятиям, обычно выделяет каждому предприятию VPN. Часто бывает желательно иметь возможность соединять VPN через SBC. SBC с поддержкой VPN может выполнять эту функцию на границе сети VPN, а не отправлять весь трафик в ядро.
  • SBC могут ограничивать поток информации между оконечными точками вызова, ограничивая сквозную прозрачность. Телефоны VoIP могут не иметь возможности использовать новые функции протокола, если они не будут поняты SBC. Однако SBC обычно могут справиться с большинством новых и неожиданных функций протокола.
  • Иногда сквозное шифрование не может использоваться, если SBC не имеет ключа, хотя некоторые части информационного потока в зашифрованном вызове не зашифрованы, и эти части могут использоваться и зависеть от SBC. Однако новые поколения SBC, вооруженные достаточной вычислительной мощностью, могут разгрузить эту функцию шифрования от других элементов в сети, завершив SIP-TLS, IPsec, и / или SRTP. Кроме того, SBC могут фактически совершать звонки и работать с другими сценариями SIP, когда они не могли этого делать раньше, путем выполнения «нормализации» или «исправления» определенного протокола.
  • В большинстве случаев удаленная или размещенная Обход NAT можно обойтись без SBC, если телефоны VoIP поддерживают такие протоколы, как СТУН, ПОВЕРНУТЬ, ЛЕД, или же Универсальный Plug and Play (UPnP).

Большая часть разногласий вокруг SBC касается того, должно ли управление вызовом оставаться исключительно с двумя конечными точками в вызове (на службе их владельцев) или должно использоваться совместно с другими сетевыми элементами, принадлежащими организациям, управляющим различными сетями, участвующими в соединении двух вызовите конечные точки. Например, если управление вызовом останется с Алиса и Боб (два вызывающих абонента), либо управление вызовом должно быть совместным с операторами всех IP-сетей, участвующих в соединении VoIP-телефонов Алисы и Боба вместе. Споры по этому поводу носили энергичный, почти религиозный характер. Те, кто хотел неограниченный контроль только на конечных точках, также были сильно разочарованы различными реалиями современных сетей, такими как межсетевые экраны и фильтрация / регулирование. С другой стороны, операторы сетей обычно озабочены общей производительностью, совместимостью и качеством сети и хотят обеспечить ее безопасность.

Законный перехват и КАЛЕЯ

SBC может предоставлять носители сеанса (обычно RTP ) и сигнализация (часто SIP) прослушка сервисы, которые могут использоваться провайдерами для обеспечения выполнения запросов на законный перехват сетевых сессий. Стандарты перехвата таких услуг предоставлены ATIS, TIA, CableLabs и ETSI, среди прочего.

История и рынок

По словам Джонатана Розенберга, автора книги RFC 3261 (SIP) и множество других связанных RFC, Dynamicsoft разработала первый рабочий SBC совместно с Aravox, но продукт так и не получил должной доли рынка.[нужна цитата ] .Newport Networks была первой компанией, которая провела IPO на AIM Лондонской фондовой биржи в мае 2004 г. (NNG), в то время как Cisco публично торгуется с 1990 г. Acme Packet, вслед за которой в октябре 2006 г. разместилась на NASDAQ. После того, как сфера деятельности сузилась в результате приобретения, NexTone объединилась с Reefpoint, превратившись в Nextpoint, которая впоследствии была приобретена в 2008 г. Genband. В то же время появился «интегрированный» SBC, в котором функция пограничного контроля была интегрирована в другое пограничное устройство. В 2009 году межсетевой экран Ingate Systems стал первым SBC, получившим сертификат ICSA Labs, что стало важной вехой в сертификации возможностей безопасности VoIP SBC.

Продолжающийся рост сетей VoIP продвигает SBC все дальше и дальше, требуя адаптации по емкости и сложности. По мере роста сети VoIP и увеличения объема трафика через SBC проходит все больше и больше сеансов. Поставщики удовлетворяют эти новые требования к масштабу различными способами. Некоторые разработали отдельные системы балансировки нагрузки, которые размещаются перед кластерами SBC. Другие разработали новые архитектуры с использованием наборов микросхем последнего поколения, предлагающих более производительные SBC и масштабируемость с помощью сервисных карт.

Смотрите также

Рекомендации

  1. ^ Hautakorpi, J .; Camarillo, G .; Penfield, R .; Гаврилишен, А .; Бхатия, М. (апрель 2010 г.). Требования к развертыванию пограничного контроля сеанса SIP (Session Initiation Protocol). IETF. Дои:10.17487 / RFC5853. RFC 5853.
  2. ^ Как WebRTC революционизирует телефонию. Blogs.trilogy-lte.com (21.02.2014). Проверено 11 апреля 2014.
  3. ^ "Понимание пограничных контроллеров сеанса" (PDF). FRAFOS GmbH.
  4. ^ Синнрайх, Генри; Джонстон, Алан Б. (2001), Интернет-связь с использованием SIP, Wiley, стр. 180, ISBN  978-0-471-77657-4