通過“專用網(wǎng)絡(luò)+BAC全代理”的接入層組網(wǎng)模式��,可以在很大程度上解決軟交換網(wǎng)絡(luò)的用戶安全管理��、私網(wǎng)地址穿越以及防止用戶非法旁路軟交換設(shè)備等問題�,也可以在一定程度上解決QoS保障問題�����,這是目前提出的一種實(shí)用化的解決方案。
一����、QoS問題解決方式
IP網(wǎng)絡(luò)技術(shù)目前還不能徹底解決QoS問題,在現(xiàn)有的公共IP網(wǎng)絡(luò)上還不能為軟交換網(wǎng)絡(luò)提供大規(guī)模的有QoS保障的承載服務(wù)�����,采用“專用網(wǎng)絡(luò)+BAC全代理”方式能夠在一定程度上解決軟交換網(wǎng)絡(luò)的QoS問題����。專用網(wǎng)絡(luò)主要應(yīng)用于軟交換核心網(wǎng)�,可以采用專線、專用IP網(wǎng)�、MPLSVPN等方式組網(wǎng)。通過MPLSVPN提供QoS保障��,仍然需要IP網(wǎng)絡(luò)全網(wǎng)的傳輸和交換設(shè)備都支持MPLS能力�����,因此短期內(nèi)還無法在全網(wǎng)范圍內(nèi)實(shí)現(xiàn)�����,但可以首先在骨干城域網(wǎng)上部分實(shí)行。專線和專用IP網(wǎng)方式可以通過網(wǎng)絡(luò)流量預(yù)測和規(guī)劃���,按軟交換業(yè)務(wù)需求組織網(wǎng)絡(luò)�����。由于專網(wǎng)專用��,使用過程中容易掌握業(yè)務(wù)流量和流向的變化����,可以及時(shí)調(diào)整網(wǎng)絡(luò)����,通過與軟交換設(shè)備呼叫控制功能結(jié)合,可以有效解決網(wǎng)絡(luò)擁塞控制問題�����。如果新建專用網(wǎng)絡(luò)�����,還可以在引進(jìn)網(wǎng)絡(luò)設(shè)備時(shí)統(tǒng)一考慮設(shè)備的QoS功能,區(qū)分對(duì)待不同業(yè)務(wù)等級(jí)的軟交換業(yè)務(wù)���,為某些業(yè)務(wù)實(shí)現(xiàn)帶寬預(yù)留��。
BAC設(shè)備則可以根據(jù)不同用戶����、不同業(yè)務(wù)分別對(duì)信令和媒體進(jìn)行QoS標(biāo)記��,為后續(xù)IP網(wǎng)絡(luò)設(shè)備的QoS處理提供幫助�。在今后的QoS解決方案中,該設(shè)備還可以將QoS參數(shù)統(tǒng)計(jì)結(jié)果實(shí)時(shí)上報(bào)軟交換設(shè)備或其他指定QoS設(shè)備����,并接受后者的控制,在呼叫建立階段根據(jù)用戶QoS要求和網(wǎng)絡(luò)QoS狀況進(jìn)行不同的后續(xù)處理(如接續(xù)�����、拒絕��、重定向�����、更改編碼方式等)���。
二�����、 安全問題解決方式
對(duì)于部署在專網(wǎng)內(nèi)的信令網(wǎng)關(guān)��、中繼網(wǎng)關(guān)�、大容量接入網(wǎng)關(guān)���、重要客戶使用的IAD設(shè)備等��,由于是基于新建的專用網(wǎng)或采用MPLSVPN等技術(shù)構(gòu)建的虛擬專用網(wǎng)����,因此能通過各種手段實(shí)現(xiàn)與外界的隔離�����,大大減小了受互聯(lián)網(wǎng)用戶攻擊的可能����。另一方面�,軟交換核心網(wǎng)絡(luò)中部署的是可信任度高的設(shè)備���,數(shù)量相對(duì)較少����,通過信令協(xié)議保障�����、嚴(yán)格設(shè)備管理等手段��,基本可以避免受到核心網(wǎng)絡(luò)內(nèi)的用戶攻擊����。
而對(duì)于部署在業(yè)務(wù)接入網(wǎng)(如互聯(lián)網(wǎng))內(nèi)的各類IP智能終端及IAD設(shè)備等,由于分布于非信任的用戶側(cè)�����,對(duì)軟交換網(wǎng)絡(luò)核心設(shè)備的安全存在極大的威脅��。因此對(duì)于這些終端應(yīng)快速收斂于BAC設(shè)備��,通過BAC設(shè)備實(shí)現(xiàn)與專用網(wǎng)絡(luò)中其他設(shè)備的互通��。BAC設(shè)備提供用戶信令及媒體的代理功能及安全檢測和隔離功能����,采用用戶零配置方案,使用戶無法自行修改數(shù)據(jù)���,軟交換設(shè)備定期檢測用戶身份合法性���,保證對(duì)網(wǎng)關(guān)及用戶終端的控制權(quán),防止非法用戶對(duì)業(yè)務(wù)的盜用或干擾�����。同時(shí)����,在用戶側(cè)只能配置軟交換設(shè)備或各類管理及應(yīng)用服務(wù)器(如IAD網(wǎng)管系統(tǒng)、文件服務(wù)器等)的域名而非IP地址����,通過域名解析機(jī)制及BAC設(shè)備的信令及媒體全代理功能,對(duì)用戶屏蔽軟交換設(shè)備�����、中繼網(wǎng)關(guān)、綜合接人網(wǎng)關(guān)���、媒體服務(wù)器等核心網(wǎng)設(shè)備的地址����,避免因暴露軟交換設(shè)備的IP地址而導(dǎo)致非法攻擊����。
BAC作為安全控制的重要環(huán)節(jié),需要支持訪問控制列表(ACL)功能��,能夠根據(jù)源���、目的IP地址和端口號(hào)設(shè)置訪問控制規(guī)則進(jìn)行報(bào)文過濾���;能夠針對(duì)特定控制協(xié)議進(jìn)行分組過濾,阻擋非法設(shè)備及未經(jīng)允許的協(xié)議訪問軟交換設(shè)備�;能進(jìn)行簡單的應(yīng)用層攻擊防護(hù),實(shí)現(xiàn)部分代理服務(wù)型防火墻功能��,具體包括:根據(jù)用戶注冊(cè)狀態(tài)進(jìn)行消息的處理�����、對(duì)未注冊(cè)用戶發(fā)送的非注冊(cè)消息進(jìn)行丟棄處理����;對(duì)注冊(cè)鑒權(quán)失敗的用戶終端建立監(jiān)視列表,當(dāng)失敗的注冊(cè)嘗試達(dá)到一定的頻率則采取相應(yīng)措施�;設(shè)置IP地址/端口允許的正常信令消息流鼠值,當(dāng)1分鐘內(nèi)收到同一源IP和端口的消息超過該值時(shí)�����,將該地址/端口列入黑名單并采取相應(yīng)措施����。BAC還應(yīng)具備根據(jù)業(yè)務(wù)需要、用戶安全需求和運(yùn)營需求屏蔽通信雙方地址的能力���。
為配合軟交換網(wǎng)絡(luò)的安全實(shí)施��,各設(shè)備也需要進(jìn)行相應(yīng)的改進(jìn)(如支持多個(gè)網(wǎng)段�����,可以通過提供多個(gè)分離的物理端口或在一個(gè)物理端口上支持多個(gè)VLAN的方式實(shí)現(xiàn))��;對(duì)媒體端口進(jìn)行動(dòng)態(tài)開�����、閉管理�����;能進(jìn)行最小化端口設(shè)置��;面向用戶的服務(wù)可采取由Web或Portal面對(duì)用戶進(jìn)行業(yè)務(wù)代理方式來降低風(fēng)險(xiǎn)����;設(shè)備采用專門的軟/硬件平臺(tái)設(shè)計(jì)等。
三���、私網(wǎng)穿越問題解決方式
現(xiàn)有IP網(wǎng)絡(luò)由于1Pv4存在著地址資源不足的問題�����,包含了很多采用私網(wǎng)地址的專用網(wǎng)絡(luò)(如企業(yè)網(wǎng)�、園區(qū)網(wǎng)等)��,并通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)設(shè)備進(jìn)行公����、私有地址之間的轉(zhuǎn)換���,實(shí)現(xiàn)私網(wǎng)設(shè)備與公網(wǎng)設(shè)備的互聯(lián)。因此����,雖然在軟交換組網(wǎng)中核心網(wǎng)內(nèi)的設(shè)備可統(tǒng)一規(guī)劃IP地址����,但是處于業(yè)務(wù)接入網(wǎng)內(nèi)的各種用戶端設(shè)備的IP地址分配則受限于所處的網(wǎng)絡(luò),很難進(jìn)行統(tǒng)一���,在接入軟交換網(wǎng)絡(luò)時(shí)通常會(huì)面臨NAT/FW穿越的問題�。
1����、解決私網(wǎng)穿越的常用技術(shù)
目前,業(yè)界對(duì)NAT穿透問題非常關(guān)注���,也提出了各種解決方案��,主要包括ALG(Ap?plicationLevelGateway)��、STUN(SimpleTraversalofUDPthroughNAT)����、MIDCOM(MiddleboxCommunication)、FullProxy(全代理)等��,這些解決方案各有其應(yīng)用場合����。
(1)、ALG方案
ALG是一種應(yīng)用層的解決方案�,目前主要應(yīng)用于SIP協(xié)議。它的基本原理是在IP網(wǎng)絡(luò)中采用支持SIP協(xié)議的ALG防火墻和NAT設(shè)備����,使得NAT設(shè)備可以分析SIP協(xié)議,在轉(zhuǎn)換時(shí)可以像處理IP包頭那樣轉(zhuǎn)換協(xié)議中內(nèi)嵌的相應(yīng)地址信息字段(如重寫Register請(qǐng)求中的Contact字段)����,但由于剛推出不久,現(xiàn)有的NAT設(shè)備多數(shù)不支持該方案���。
(2)����、STUN方案
STUN方案需要升級(jí)終端以支持STUN協(xié)議,要求終端以及運(yùn)營商網(wǎng)絡(luò)側(cè)服務(wù)器支待NAT擴(kuò)展�����,且運(yùn)營商網(wǎng)絡(luò)側(cè)需部署STUN服務(wù)器�。優(yōu)點(diǎn)是不針對(duì)NAT進(jìn)行升級(jí)就可實(shí)現(xiàn)通信,因此具有可實(shí)施性���,缺點(diǎn)是需要對(duì)終端和服務(wù)器進(jìn)行擴(kuò)展�����。運(yùn)營商需要根據(jù)自己的需求,對(duì)協(xié)議作標(biāo)準(zhǔn)化定義����,以避免終端和服務(wù)器不兼容的情形,并且此方案還處于草案階段��,目前沒有標(biāo)準(zhǔn)�����。
(3)�����、MIDCOM方案
MIDCOM方案需升級(jí)NAT設(shè)備/防火墻以支持MIDCOM工作組開發(fā)的防火墻控制協(xié)議,且運(yùn)營商網(wǎng)絡(luò)側(cè)需部署MIDCOM控制代理����。MIDCOM控制代理可控制NAT設(shè)備/防火墻打開/關(guān)閉透傳端口。此方案的優(yōu)點(diǎn)是可將NAT設(shè)備和應(yīng)用分離�,應(yīng)用可以與NAT設(shè)備/防火墻存在不同的控制關(guān)系,因此擴(kuò)展性強(qiáng)�����。但同樣存在的問題是現(xiàn)有的防火墻和NAT設(shè)備多數(shù)不支持這種方案����。
(4)、FullProxy方案
ALG�、STUN及MIDCOM等私網(wǎng)穿越解決方案都需要對(duì)現(xiàn)網(wǎng)NAT設(shè)備或用戶接入/終端設(shè)備進(jìn)行一定程度的改造,因此在適用范圍上都存在限制�����。FullProxy方案通過對(duì)私網(wǎng)內(nèi)的用戶信息流進(jìn)行代理中繼(Relay)來實(shí)現(xiàn)出口NAT/FW的穿越����。這種方案的特點(diǎn)是不需要對(duì)用戶接入/終端設(shè)備以及現(xiàn)網(wǎng)NAT設(shè)備進(jìn)行任何改造:基本上不存在適用范圍限制����。
2��、基于BAC設(shè)備的私網(wǎng)穿越方式
根據(jù)對(duì)上述NAT/FW穿越方案的分析�����,顯然FullProxy方案更適合于軟交換組網(wǎng)應(yīng)用�。FullProxy組網(wǎng)模型的關(guān)鍵點(diǎn)在于它同時(shí)完成對(duì)終端呼叫信令的代理轉(zhuǎn)發(fā)以及媒體流的中繼。當(dāng)私網(wǎng)終端呼叫信令到達(dá)代理服務(wù)器時(shí)�����,代理服務(wù)器對(duì)呼叫信令協(xié)議進(jìn)行解析���,對(duì)協(xié)議中攜帶的RTP/RTCP信息進(jìn)行解析和處理,在記錄下用戶私網(wǎng)內(nèi)RTP/RTCP地址和端口號(hào)的同時(shí)���,修改RTP/RTCP私網(wǎng)地址信息為代理服務(wù)器本身對(duì)外的公網(wǎng)IP地址����,同時(shí)修改媒體流端口為代理服務(wù)器上分配的外部端口���,然后將呼叫信令發(fā)送到軟交換或?qū)Χ?���。這樣呼叫信令和媒體流就可以通過代理服務(wù)器在主被叫之間進(jìn)行中轉(zhuǎn)。由于代理服務(wù)器可以配置多個(gè)IP地址(如一個(gè)私網(wǎng)IP地址和一個(gè)公網(wǎng)IP地址)�����,因此通過代理服務(wù)器進(jìn)行中繼�,NGN業(yè)務(wù)可順利通過NAT/FW。
在基于BAC設(shè)備的軟交換網(wǎng)絡(luò)接入層組網(wǎng)方案中���,外圍網(wǎng)關(guān)及用戶設(shè)備將收斂于BAC設(shè)備��,通過BAC設(shè)備提供信令及媒體的全代理功能�,進(jìn)而實(shí)現(xiàn)FW/NAT穿越��。下面簡要描述基于BAC設(shè)備實(shí)現(xiàn)接入網(wǎng)用戶與核心網(wǎng)用戶通信以及位于兩個(gè)私網(wǎng)內(nèi)的接入網(wǎng)用戶之間通信的穿越流程����。
(1)、接入網(wǎng)用戶至核心網(wǎng)用戶的通信過程
位于接入網(wǎng)內(nèi)的軟交換用戶(假設(shè)該用戶位于企業(yè)私網(wǎng))與位于核心網(wǎng)的軟交換用戶通信時(shí)����,其信令及媒體穿越過程如圖,所示���。
上圖中信令流的路徑是1AI).---+BAc- ttx *- AGo在BAC中預(yù)分配雙方的媒體端口,并在SDP中改寫IAD和AG發(fā)送的地址和端口�。媒體流的路徑是IAO------BAC- AG。BAC實(shí)現(xiàn)雙向媒體轉(zhuǎn)接��。
(2)��、接入網(wǎng)用戶至接入網(wǎng)用戶的通信過程
位于兩個(gè)私網(wǎng)(比如企業(yè)網(wǎng)和園區(qū)網(wǎng))內(nèi)的軟交換接入網(wǎng)用戶進(jìn)行通信時(shí)�����,其信令及媒體流的穿越流程如圖所示����。
上圖中信令流的路徑是:用戶A- BAC+-----+軟交換設(shè)備七-BAC-- 用戶B。BAC預(yù)分配雙方的媒體端口���,在SDP中改寫用戶A和用戶B發(fā)送的地址和端口。媒體流的路徑是:用戶A- 醞BAC- 用戶B�����。BAC實(shí)現(xiàn)雙向媒體轉(zhuǎn)接。
四����、防止用戶業(yè)務(wù)非法旁路
在軟交換網(wǎng)絡(luò)中,由于用戶標(biāo)識(shí)與位置的無關(guān)性�,智能終端可以通過IP網(wǎng)的通達(dá)性接入運(yùn)營商各地的軟交換設(shè)備。(1)如果對(duì)用戶位置不加以區(qū)分�,當(dāng)用戶在異地使用智能終端呼叫其歸屬地的其他用戶時(shí)�,運(yùn)營商只能收到本地呼叫的費(fèi)用,而無法收到國際或國內(nèi)長途呼叫的收入����。(2)某些終端軟件也可能在獲得軟交換設(shè)備返回的對(duì)端用戶地址信息后����,停止與軟交換設(shè)備之間的繼續(xù)交互,通過獲得的被叫地址直接進(jìn)行通信��,導(dǎo)致運(yùn)營商雖然幫助用戶完成了通信尋址�,話務(wù)卻被旁路而無法獲得收益。上述問題也可以通過BAC設(shè)備的應(yīng)用在一定程度上得到改善��。
對(duì)于第一個(gè)問題的解決方式是:終端只配置軟交換域名��,通過DNS解析后得到的是其當(dāng)前對(duì)應(yīng)的BAC設(shè)備的地址而不是軟交換設(shè)備的地址��;BAC設(shè)備將自己的及用戶的IP地址送給軟交換設(shè)備進(jìn)行IP地址分析����,判斷用戶當(dāng)前的IP地址與BAC設(shè)備的IP地址匹配關(guān)系�����,以決定是否準(zhǔn)入�����,可在一定程度上解決用戶終端的漫游問題。當(dāng)然該解決辦法的前提是軟交換設(shè)備巳經(jīng)了解IP地址與地域之間的分布對(duì)應(yīng)關(guān)系�。
對(duì)于第二個(gè)問題的解決方式是:通過BAC設(shè)備從信令和媒體上屏蔽通信對(duì)端用戶的地址(在全代理模式下���,BAC設(shè)備只將其自身的IP地址和端口號(hào)返回給通信雙方)���,可以有效防止業(yè)務(wù)旁路��,并滿足某些業(yè)務(wù)(如匿名聊天)的特殊需求�。
五�、 用戶終端的管理方式
軟交換系統(tǒng)的網(wǎng)管功能需要管理用戶接入/終端設(shè)備�����。由于這些設(shè)備具有數(shù)量多�����、分布廣�、管理功能簡單的特點(diǎn),如果由集中網(wǎng)管系統(tǒng)直接管理����,將導(dǎo)致真正有用的信息被大量瑣碎的信息所淹沒�����,嚴(yán)重影響網(wǎng)管系統(tǒng)的功能,必須加以避免����。為此����,在軟交換綜合網(wǎng)管系統(tǒng)的前端設(shè)置代理性質(zhì)的管理設(shè)備(如IADManagementServer�、TerminalManage?mentAgent等)對(duì)用戶接入/終端設(shè)備進(jìn)行分域管理。這些終端管理設(shè)備可以單獨(dú)設(shè)立����,或者與BAC合設(shè)�,作為BAC功能的一部分���。
以IAD管理為例����。IAD管理器一方面完成對(duì)所管轄用戶接入/終端設(shè)備的自動(dòng)配置���、自動(dòng)版本升級(jí)�、故障分析、安全管理等功能��,另一方面作為一個(gè)網(wǎng)元(SNMPAgent)接受綜合網(wǎng)管系統(tǒng)管理��。IAD管理器對(duì)用戶接入/終端設(shè)備的管理信息進(jìn)行過濾��,只將確實(shí)需要上報(bào)的信息報(bào)告給綜合網(wǎng)管系統(tǒng)處理,這樣可以大大減輕綜合網(wǎng)管系統(tǒng)的運(yùn)行負(fù)荷���,實(shí)現(xiàn)對(duì)終端設(shè)備的有效管理,如圖所示�。
上圖中,IAD管理器通過SNMP接口進(jìn)行IAD遠(yuǎn)程維護(hù)���。這不同于通過本地Console接口����、Web網(wǎng)頁和Telnet方式對(duì)IAD進(jìn)行配置�,它要求IAD設(shè)備中應(yīng)實(shí)現(xiàn)SNMP代理模塊,并能接受IAD管理器的遠(yuǎn)程管理���。從方便運(yùn)營維護(hù)的角度���,終端管理系統(tǒng)應(yīng)提供以下能力:
? "零接觸“配置;
? 實(shí)時(shí)監(jiān)聽和診斷��;
? 大網(wǎng)業(yè)務(wù)的啟動(dòng)����。
“零接觸“配置功能���,意味著在用戶側(cè)安裝的IAD或IP電話設(shè)備能由IAD管理器自動(dòng)配置和啟動(dòng)�����。配置功能包括新版本軟件下載����,因此它也可以使用IAD管理器引導(dǎo)的軟件為IAD和IP電話進(jìn)行升級(jí)�。
“實(shí)時(shí)監(jiān)聽和診斷”是指IAD管理器可以實(shí)時(shí)地對(duì)用戶接入/終端設(shè)備進(jìn)行監(jiān)控和自動(dòng)告警,但與用戶接入/終端設(shè)備的種類沒有聯(lián)系�。遠(yuǎn)端診斷可以由用戶在線報(bào)告問題時(shí)手動(dòng)啟動(dòng)或由IAD管理器自動(dòng)啟動(dòng)。
“大網(wǎng)業(yè)務(wù)的啟動(dòng)”是指IAD管理器通過建立關(guān)系數(shù)據(jù)庫�����,實(shí)現(xiàn)大批矗數(shù)據(jù)配置的解決方案,從而可以一次配置批瘟的用戶接入/終端設(shè)備�����。同時(shí)����,IAD管理器可以管理數(shù)據(jù)的儲(chǔ)存、組織���、處理和分發(fā)配置參數(shù)���,所有的參數(shù)存放在業(yè)務(wù)配置文件中���。
