軟交換網(wǎng)絡(luò)組網(wǎng)方案分析
2004/07/22
軟交換概念自1997年首次提出,很快便得到了業(yè)界的廣泛重視和認(rèn)同。幾年中,在眾多制造商和運(yùn)營(yíng)商的共同推動(dòng)下,軟交換產(chǎn)品逐步趨于成熟,功能日益豐富,性能逐漸穩(wěn)定,標(biāo)準(zhǔn)化工作正穩(wěn)步推進(jìn),軟交換技術(shù)正走向市場(chǎng)。
迄今為止,全球范圍內(nèi)已有多家電信運(yùn)營(yíng)商積極開(kāi)展了在軟交換方面的實(shí)驗(yàn)和商用部署。在北美,地方運(yùn)營(yíng)公司中有67%的運(yùn)營(yíng)商已經(jīng)有軟交換部署,有43%的長(zhǎng)途交換運(yùn)營(yíng)商也部署了軟交換系統(tǒng)。在歐洲,運(yùn)營(yíng)商對(duì)軟交換的發(fā)展和應(yīng)用采用了比較謹(jǐn)慎的態(tài)度,但隨著軟交換技術(shù)的逐漸成熟,歐洲運(yùn)營(yíng)商也加快了軟交換實(shí)施步伐;在亞太地區(qū),香港、新西蘭、澳大利亞、日本、韓國(guó)等國(guó)的運(yùn)營(yíng)商在軟交換應(yīng)用領(lǐng)域走在前列。2000年至今,中國(guó)的電信行業(yè)對(duì)軟交換網(wǎng)絡(luò)技術(shù)也給予了極大的關(guān)注,中國(guó)電信、中國(guó)網(wǎng)通、中國(guó)聯(lián)通、中國(guó)鐵通、中國(guó)衛(wèi)通和中國(guó)移動(dòng)都已全面啟動(dòng)對(duì)軟交換的應(yīng)用嘗試及商用部署。
各運(yùn)營(yíng)商軟交換網(wǎng)絡(luò)的技術(shù)測(cè)試和實(shí)際商用證明軟交換體系在功能和性能上已經(jīng)基本成熟,目前問(wèn)題主要集中在以下方面:
隨著軟交換網(wǎng)絡(luò)對(duì)PSTN網(wǎng)絡(luò)的逐步取代,系統(tǒng)應(yīng)采用何種模式進(jìn)行大規(guī)模組網(wǎng)
如何回避IP網(wǎng)用戶(hù)的高度自主性,實(shí)現(xiàn)電信運(yùn)營(yíng)商對(duì)業(yè)務(wù)的可管理性
相對(duì)于封閉、使用專(zhuān)用系統(tǒng)的電路交換網(wǎng),架構(gòu)于IP網(wǎng)之上的軟交換網(wǎng)絡(luò)易受到外來(lái)的入侵,面臨安全性的挑戰(zhàn)。如何才能解決網(wǎng)絡(luò)節(jié)點(diǎn)、用戶(hù)信息和業(yè)務(wù)的安全
如何提供具有QoS保證的端到端實(shí)時(shí)業(yè)務(wù)
對(duì)于處于企業(yè)私網(wǎng)內(nèi)的用戶(hù),如何實(shí)現(xiàn)業(yè)務(wù)的企業(yè)NAT設(shè)備和防火墻的穿越
為了解決以上問(wèn)題,并考慮到IP網(wǎng)自身要徹底解決安全及QoS問(wèn)題尚需時(shí)日的現(xiàn)狀,本文在現(xiàn)有軟交換網(wǎng)絡(luò)的基礎(chǔ)上引入了新的網(wǎng)元設(shè)備,并提出了新的組網(wǎng)思路,該組網(wǎng)方案有助于軟交換網(wǎng)絡(luò)向商用化目標(biāo)推進(jìn)一步,有利于傳統(tǒng)運(yùn)營(yíng)商近期內(nèi)軟交換網(wǎng)絡(luò)的商業(yè)部署。
組網(wǎng)方案介紹
1. 網(wǎng)絡(luò)結(jié)構(gòu)
網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示:
為了更好解決軟交換組網(wǎng)問(wèn)題,本方案引入了集中用戶(hù)數(shù)據(jù)庫(kù)HLR和集中路由服務(wù)器RS,將原來(lái)存放的各軟交換設(shè)備(SS)中的用戶(hù)數(shù)據(jù)及路由數(shù)據(jù)分離出來(lái),集中存放在HLR及RS之中,而SS只保留與網(wǎng)關(guān)資源相關(guān)的信息,如中繼網(wǎng)關(guān)的E1資源的空閑情況等。
為了能夠更好解決網(wǎng)絡(luò)、業(yè)務(wù)的安全及QoS問(wèn)題,本解決方案在傳送層引入了具有一定安全及QoS保證的(軟交換業(yè)務(wù))專(zhuān)用承載網(wǎng)絡(luò)及軟交換業(yè)務(wù)邊緣接入控制設(shè)備(BAC)。軟交換設(shè)備、中繼媒體網(wǎng)關(guān)(TG)、綜合接入媒體網(wǎng)關(guān)(AG)、信令網(wǎng)關(guān)(SG)、重要客戶(hù)使用的IAD、媒體服務(wù)器(MS)、BAC等設(shè)備基于專(zhuān)用網(wǎng)絡(luò)部署,該專(zhuān)用網(wǎng)絡(luò)可以是新建的專(zhuān)用網(wǎng)或采用MPLSVPN等技術(shù)的虛擬專(zhuān)用網(wǎng),能通過(guò)各種手段來(lái)實(shí)現(xiàn)軟交換設(shè)備間的相互通信及軟交換設(shè)備和非軟交換設(shè)備間的消息隔離。對(duì)于非重要客戶(hù)使用的IAD及SIP軟、硬終端等設(shè)備,由于設(shè)備數(shù)量多、分布廣,將通過(guò)各種接入方式快速收斂于BAC設(shè)備,通過(guò)BAC設(shè)備實(shí)現(xiàn)與專(zhuān)用網(wǎng)絡(luò)中其他設(shè)備的互通,此時(shí)BAC提供信令及媒體的代理功能及安全檢測(cè)及隔離功能。
對(duì)于通過(guò)公共Internet接入軟交換網(wǎng)絡(luò)的IAD及SIP用戶(hù) 當(dāng)用戶(hù)發(fā)起業(yè)務(wù)請(qǐng)求時(shí),終端首先會(huì)去軟交換網(wǎng)絡(luò)的DNS進(jìn)行SS的域名解析,得到根據(jù)用戶(hù)所在位置或IP地址段所分配的BAC的IP地址,終端將呼叫請(qǐng)求送至該BAC,BAC去查詢(xún)?cè)撚脩?hù)是否在已通過(guò)安全注冊(cè)的用戶(hù)列表中,若是則對(duì)其進(jìn)行用戶(hù)和軟交換間的信令代理(BAC在用戶(hù)來(lái)看相當(dāng)于軟交換,在軟交換看相當(dāng)于用戶(hù))。BAC根據(jù)預(yù)設(shè)原則將呼叫請(qǐng)求送至相應(yīng)SS進(jìn)行處理。
對(duì)于部署在專(zhuān)網(wǎng)上的TG及AG/部分IAD設(shè)備 當(dāng)用戶(hù)發(fā)起業(yè)務(wù)請(qǐng)求時(shí),網(wǎng)關(guān)設(shè)備將根據(jù)預(yù)設(shè)的SS IP地址將呼叫送至相應(yīng)的SS。
主叫SS首先會(huì)去HLR查詢(xún)用戶(hù)的業(yè)務(wù)相關(guān)信息,判別用戶(hù)該業(yè)務(wù)是否有權(quán),是否符合預(yù)設(shè)的業(yè)務(wù)觸發(fā)條件,然后根據(jù)查詢(xún)結(jié)果去訪問(wèn)RS獲得本次呼叫的路由信息,將呼叫接續(xù)至下一跳SS或業(yè)務(wù)平臺(tái)。被叫SS收到呼叫請(qǐng)求將去查詢(xún)HLR,獲得目前用戶(hù)指定終端的IP地址,接至終端。
2.設(shè)備說(shuō)明
關(guān)于RS
在網(wǎng)絡(luò)發(fā)展初期,軟交換設(shè)備之間不分級(jí),彼此之間為邏輯網(wǎng)狀網(wǎng)結(jié)構(gòu),網(wǎng)絡(luò)中任一軟交換設(shè)備均存有全網(wǎng)的路由信息,可直接定位另一軟交換設(shè)備。同一運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)部軟交換之間不分級(jí),當(dāng)與其他運(yùn)營(yíng)商網(wǎng)絡(luò)互通將設(shè)置網(wǎng)間接口SS及網(wǎng)間接口中繼網(wǎng)關(guān)。
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大,軟交換設(shè)備數(shù)量的增多,將引入位置服務(wù)器設(shè)備實(shí)現(xiàn)軟交換之間的路由查詢(xún)。路由服務(wù)器接受主叫端SS的尋址請(qǐng)求,通過(guò)數(shù)據(jù)查詢(xún)或向其他的路由服務(wù)器發(fā)出尋址請(qǐng)求,得到并向主叫端SS返回被叫的SS地址,不做呼叫控制信號(hào)的傳遞。
初期RS可以不分級(jí),隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大可以采用分級(jí)的結(jié)構(gòu)。當(dāng)SS路由數(shù)據(jù)發(fā)生變化時(shí),應(yīng)主動(dòng)將變化更新到RS,RS之間能夠?qū)崿F(xiàn)路由數(shù)據(jù)動(dòng)態(tài)自動(dòng)更新。其他RS轄區(qū)內(nèi)SS路由數(shù)據(jù)的變動(dòng),無(wú)須對(duì)該區(qū)域SS進(jìn)行路由數(shù)據(jù)更改,而僅調(diào)整路由服務(wù)器中的路由數(shù)據(jù)。
RS中將存放被叫號(hào)碼所映射的路由信息,可以是下一條SS的IP地址、或是下一跳RS的IP地址、或是寬帶用戶(hù)帳號(hào)下所登記多個(gè)終端的地址信息、串并振順序等。
關(guān)于HLR
眾所周知,移動(dòng)網(wǎng)的智能程度高于PSTN網(wǎng)絡(luò),其中HLR的功勞是無(wú)法忽視的。對(duì)于軟交換這樣一個(gè)新型的網(wǎng)絡(luò)更應(yīng)當(dāng)借鑒其他網(wǎng)絡(luò)的成功之處,在網(wǎng)絡(luò)中引入集中的用戶(hù)數(shù)據(jù)庫(kù),進(jìn)行用戶(hù)數(shù)據(jù)的集中管理,內(nèi)部可存放所管區(qū)域內(nèi)寬窄帶用戶(hù)的業(yè)務(wù)屬性(如業(yè)務(wù)權(quán)限、業(yè)務(wù)用戶(hù)屬性觸發(fā)條件等)等。由于HLR的存在,使得被叫側(cè)業(yè)務(wù)可以在主叫側(cè)進(jìn)行觸發(fā);使得用戶(hù)數(shù)據(jù)可以集中存放于一地,解決了采用分離用戶(hù)數(shù)據(jù)庫(kù)時(shí)軟交換異地相互備份時(shí)無(wú)法將用戶(hù)修改的業(yè)務(wù)數(shù)據(jù)實(shí)時(shí)同步到備份軟交換的問(wèn)題。
HLR采用多機(jī)備份方式提高自身可靠性。
關(guān)于BAC設(shè)備
軟交換業(yè)務(wù)邊緣接入控制(BAC)設(shè)備是為了解決網(wǎng)絡(luò)的安全、QoS、私網(wǎng)穿越等問(wèn)題而引入的。主要功能包括:
(1)業(yè)務(wù)穿越功能
設(shè)備支持軟交換用戶(hù)和軟交換設(shè)備一方處于私網(wǎng)或雙方處于不同私網(wǎng)時(shí)用戶(hù)業(yè)務(wù)的穿越。
設(shè)備支持用戶(hù)的注冊(cè)流程的穿越,不改變用戶(hù)的注冊(cè)流程,用戶(hù)的認(rèn)證鑒權(quán)由軟交換執(zhí)行。
設(shè)備支持所有軟交換提供業(yè)務(wù)的業(yè)務(wù)穿越,不改變業(yè)務(wù)流程,不引入業(yè)務(wù)安全隱患。
(2)安全保護(hù)功能
設(shè)備能對(duì)終端用戶(hù)屏蔽軟交換設(shè)備、中繼媒體網(wǎng)關(guān)、綜合接入媒體網(wǎng)關(guān)、媒體服務(wù)器等設(shè)備的地址,保護(hù)重要網(wǎng)元設(shè)備。
設(shè)備具備包過(guò)濾型防火墻的功能,隔離網(wǎng)絡(luò)層攻擊。
設(shè)備能阻斷未經(jīng)允許的協(xié)議對(duì)軟交換設(shè)備的訪問(wèn)。
設(shè)備能進(jìn)行簡(jiǎn)單的應(yīng)用層攻擊防護(hù),實(shí)現(xiàn)部分代理服務(wù)型防火墻功能。
設(shè)備能根據(jù)業(yè)務(wù)需要、用戶(hù)安全需求和運(yùn)營(yíng)需求屏蔽通信對(duì)方地址的能力。
(3)業(yè)務(wù)質(zhì)量保障(QoS)功能
設(shè)備能對(duì)進(jìn)出設(shè)備消息的ToS/CoS的識(shí)別、標(biāo)記和重標(biāo)記功能,能根據(jù)標(biāo)記優(yōu)先級(jí)進(jìn)行業(yè)務(wù)QOS處理。
設(shè)備可支持鏈路Q(chēng)oS參數(shù)探測(cè)功能,將QoS參數(shù)統(tǒng)計(jì)結(jié)果實(shí)時(shí)上報(bào)軟交換或其他制定設(shè)備。
(4)業(yè)務(wù)控制管理功能
能配合軟交換進(jìn)行業(yè)務(wù)和呼叫控制,能協(xié)助收集、上報(bào)軟交換進(jìn)行呼叫處理需要的用戶(hù)參數(shù)。
支持對(duì)媒體流的控制管理,可以實(shí)現(xiàn)對(duì)媒體的轉(zhuǎn)接控制、統(tǒng)計(jì)、分析、監(jiān)視、過(guò)濾、帶寬控制等功能。
(5)用戶(hù)管理功能
設(shè)備可與終端配合進(jìn)行用戶(hù)存活狀態(tài)檢測(cè),并將檢測(cè)結(jié)果上報(bào)軟交換處理。
在網(wǎng)絡(luò)組織上,BAC設(shè)備根據(jù)用戶(hù)量大小可放置在城域網(wǎng)匯聚層或接入層,多個(gè)BAC設(shè)備間相互備份,當(dāng)一個(gè)設(shè)備受攻擊停止服務(wù)時(shí),可以通過(guò)DNS解析到網(wǎng)絡(luò)上的其他BAC接替提供服務(wù),備份不受BAC所處網(wǎng)絡(luò)位置的限制。
3. 解決的問(wèn)題
實(shí)現(xiàn)網(wǎng)絡(luò)擁塞控制
對(duì)于新建的專(zhuān)用網(wǎng)絡(luò),可以進(jìn)行帶寬規(guī)劃,配合以SS的呼叫數(shù)控制功能可實(shí)現(xiàn)網(wǎng)絡(luò)呼叫擁塞控制功能。
首先預(yù)先規(guī)劃好兩地之間軟交換業(yè)務(wù)可用的數(shù)據(jù)總帶寬;根據(jù)總帶寬、業(yè)務(wù)類(lèi)型計(jì)算出可支持業(yè)務(wù)的同時(shí)連接總數(shù)S;當(dāng)呼叫請(qǐng)求來(lái)到SS,SS首先判斷S當(dāng)前是否為0,若S=0,則拒絕此次新呼叫,若S>0則繼續(xù)處理;當(dāng)SS完成一個(gè)業(yè)務(wù)接續(xù)則S=S-1。
若兩地之間數(shù)據(jù)帶寬發(fā)生變化,則應(yīng)通知SS進(jìn)行連接總數(shù)S的修正。
關(guān)于SS可靠性
對(duì)于承擔(dān)窄帶域呼叫控制功能的SS來(lái)說(shuō),采用主備用雙機(jī)工作方式。對(duì)于所控制用戶(hù)的用戶(hù)數(shù)據(jù)將集中存放在HLR中,路由數(shù)據(jù)集中存放在RS中,主機(jī)及備用機(jī)激活后都可訪問(wèn)這部分?jǐn)?shù)據(jù),至于SS所使用的網(wǎng)關(guān)資源相關(guān)數(shù)據(jù)則必須預(yù)先在備用機(jī)中保留備份。該種方式是采用資源閑置冗余的方式獲得SS的可靠性。
對(duì)于承擔(dān)寬帶域呼叫控制功能的SS來(lái)說(shuō),可以采用前述的主備用雙機(jī)工作方式,但處于更高的設(shè)備使用效率考慮,還可以采用多機(jī)負(fù)荷分擔(dān)的工作方式。每個(gè)BAC負(fù)責(zé)n個(gè)SS設(shè)備(如同一省內(nèi)采用SS進(jìn)行寬帶域業(yè)務(wù)的負(fù)荷分擔(dān)處理)的控制信息分發(fā),當(dāng)其收到SIP用戶(hù)發(fā)來(lái)的呼叫請(qǐng)求后,會(huì)根據(jù)預(yù)先設(shè)定的話(huà)務(wù)分配原則(如輪詢(xún)等),每個(gè)SS具有自己的IP地址,但只對(duì)BAC公布。這些SS的功能完全相同,處理BAC送來(lái)的呼叫請(qǐng)求,查詢(xún)統(tǒng)一的HLR獲得用戶(hù)業(yè)務(wù)屬性信息及用戶(hù)狀態(tài)、查詢(xún)RS獲得用戶(hù)IP地址進(jìn)行路由或下一跳SS或業(yè)務(wù)平臺(tái),以實(shí)現(xiàn)業(yè)務(wù)接續(xù)及控制。當(dāng)某一SS出現(xiàn)故障將影響本次呼叫處理,下一次序新的呼叫請(qǐng)求將會(huì)由其他的SS進(jìn)行處理,網(wǎng)絡(luò)業(yè)務(wù)處理能力將損失1/n,但不用空置部分SS資源。
BAC實(shí)現(xiàn)至SS的呼叫控制信息動(dòng)態(tài)分發(fā)功能,具有協(xié)議解析功能,能夠根據(jù)應(yīng)用協(xié)議的參數(shù)識(shí)別哪些消息屬于同一呼叫,將其分發(fā)至同一SS進(jìn)行呼叫處理。BAC自身的可靠性將通過(guò)多機(jī)備份得到保證。
對(duì)于部署在專(zhuān)網(wǎng)內(nèi)的信令網(wǎng)關(guān)、中繼網(wǎng)關(guān)、大容量用戶(hù)綜合接入網(wǎng)關(guān)、重要客戶(hù)使用的IAD/小容量用戶(hù)綜合接入網(wǎng)關(guān)等設(shè)備,應(yīng)支持在本機(jī)上設(shè)置備用SS地址的功能,當(dāng)主用SS故障退出服務(wù)后應(yīng)能夠?qū)⒑罄m(xù)新的呼叫請(qǐng)求送到備用SS進(jìn)行處理。
對(duì)于部署在公共Internet之上的各類(lèi)SIP用戶(hù)及IAD終端,在用戶(hù)側(cè)只寫(xiě)入需訪問(wèn)的軟交換設(shè)備或各類(lèi)管理及應(yīng)用服務(wù)器(如IAD網(wǎng)管系統(tǒng)、文件服務(wù)器等)的域名而非IP地址,通過(guò)軟交換網(wǎng)絡(luò)的域名解析器DNS解析后返回相應(yīng)的BAC設(shè)備的地址。BAC收到呼叫請(qǐng)求后將首先判別用戶(hù)類(lèi)型(采用協(xié)議類(lèi)型或是否帶有主機(jī)名進(jìn)行判別),對(duì)于IAD用戶(hù)的呼叫請(qǐng)求,BAC將根據(jù)預(yù)設(shè)值將呼叫指向主用SS;對(duì)于SIP用戶(hù)的呼叫請(qǐng)求,BAC將根據(jù)預(yù)設(shè)原則(如輪詢(xún)等)將呼叫均勻指向一組SS中的一個(gè)。
安全問(wèn)題的解決
首先,軟交換、中繼媒體網(wǎng)關(guān)、綜合接入媒體網(wǎng)關(guān)、媒體服務(wù)器等設(shè)備基于專(zhuān)用網(wǎng)絡(luò)部署,該網(wǎng)絡(luò)可以是新建的專(zhuān)用網(wǎng)或采用MPLSVPN等技術(shù)的虛擬專(zhuān)用網(wǎng),能通過(guò)各種手段來(lái)實(shí)現(xiàn)軟交換設(shè)備間的相互通信及軟交換設(shè)備和非軟交換設(shè)備間的消息隔離,大量的軟交換散戶(hù)及其他非軟交換網(wǎng)絡(luò)的設(shè)備難以直接訪問(wèn)到這些軟交換網(wǎng)絡(luò)設(shè)備,大大減小了受互聯(lián)網(wǎng)用戶(hù)攻擊的可能。由于軟交換專(zhuān)用網(wǎng)絡(luò)中的設(shè)備可信任度高,通過(guò)信令協(xié)議保障(如認(rèn)證)、設(shè)備管理等手段,基本可以避免專(zhuān)用網(wǎng)絡(luò)內(nèi)用戶(hù)攻擊。
對(duì)于非重要客戶(hù)使用的IAD及SIP軟、硬終端等設(shè)備,由于設(shè)備數(shù)量多、分布廣,將通過(guò)各種接入方式快速收斂于BAC設(shè)備,通過(guò)BAC設(shè)備實(shí)現(xiàn)與專(zhuān)用網(wǎng)絡(luò)中其他設(shè)備的互通,此時(shí)BAC提供信令及媒體的代理功能及安全檢測(cè)及隔離功能。由于IAD及SIP終端分布于用戶(hù)側(cè),對(duì)軟交換核心設(shè)備的安全存在極大的威脅,因此在本方案中,運(yùn)營(yíng)商對(duì)于IAD或SIP終端應(yīng)采用用戶(hù)零配置方案,運(yùn)營(yíng)商應(yīng)負(fù)責(zé)所有網(wǎng)絡(luò)及用戶(hù)數(shù)據(jù)的配置及后續(xù)的更新及修改,用戶(hù)無(wú)法自行修改數(shù)據(jù)。在用戶(hù)側(cè)只寫(xiě)入需訪問(wèn)的軟交換設(shè)備或各類(lèi)管理及應(yīng)用服務(wù)器(如IAD網(wǎng)管系統(tǒng)、文件服務(wù)器等)的域名而非IP地址,避免SS暴露IP地址易受到非法攻擊。
在信令協(xié)議中啟動(dòng)加密和鑒權(quán)機(jī)制,SS定期檢測(cè)用戶(hù)身份合法性,保證SS對(duì)網(wǎng)關(guān)及用戶(hù)的控制權(quán),防止非法用戶(hù)對(duì)業(yè)務(wù)的盜用或干擾。
通過(guò)域名解析機(jī)制及BAC設(shè)備的信令及媒體的全代理功能,對(duì)基于公共Internet接入的用戶(hù)屏蔽軟交換、中繼媒體網(wǎng)關(guān)、綜合接入媒體網(wǎng)關(guān)、媒體服務(wù)器等設(shè)備的地址,保護(hù)重要的軟交換網(wǎng)絡(luò)設(shè)備。
BAC支持訪問(wèn)控制列表(ACL)功能,能夠根據(jù)源、目的IP地址和端口號(hào)設(shè)置訪問(wèn)控制規(guī)則進(jìn)行報(bào)文過(guò)濾;能夠針對(duì)特定控制協(xié)議進(jìn)行包過(guò)濾,阻擋非法設(shè)備及未經(jīng)允許的協(xié)議對(duì)軟交換設(shè)備的訪問(wèn);能進(jìn)行簡(jiǎn)單的應(yīng)用層攻擊防護(hù),實(shí)現(xiàn)部分代理服務(wù)型防火墻功能,具體包括:根據(jù)用戶(hù)注冊(cè)狀態(tài)進(jìn)行消息的處理,對(duì)未注冊(cè)用戶(hù)發(fā)送的非注冊(cè)消息進(jìn)行丟棄處理;對(duì)注冊(cè)鑒權(quán)失敗的用戶(hù)終端建立監(jiān)視列表,當(dāng)失敗的注冊(cè)嘗試達(dá)到一定的頻率則采取相應(yīng)措施;設(shè)置IP地址/端口允許的正常信令消息流量值,當(dāng)1分鐘內(nèi)收到同一源IP和端口的消息超過(guò)該值時(shí),將該地址/端口列入黑名單并采取相應(yīng)措施。
具備根據(jù)業(yè)務(wù)需要、用戶(hù)安全需求和運(yùn)營(yíng)需求屏蔽通信對(duì)方地址的能力。
為配合安全的軟交換網(wǎng)絡(luò)的實(shí)施,各設(shè)備需要進(jìn)行相應(yīng)的改進(jìn),如支持多個(gè)網(wǎng)段,可以通過(guò)提供多個(gè)分離的物理端口或在一個(gè)物理端口上支持多個(gè)VLAN的方式實(shí)現(xiàn);對(duì)媒體端口進(jìn)行動(dòng)態(tài)開(kāi)閉管理;能進(jìn)行最小化端口設(shè)置;面向用戶(hù)的服務(wù)可采取由Web或Portal面對(duì)用戶(hù),進(jìn)行業(yè)務(wù)代理方式來(lái)降低風(fēng)險(xiǎn);設(shè)備需要專(zhuān)門(mén)的軟/硬件平臺(tái)設(shè)計(jì)等。
QoS問(wèn)題的解決
目前的IP網(wǎng)絡(luò)技術(shù)還不能徹底地解決QoS問(wèn)題,在現(xiàn)有的公共IP網(wǎng)絡(luò)上還不能為軟交換網(wǎng)絡(luò)提供大規(guī)模地有QoS保障的承載服務(wù)。本方案將采用專(zhuān)用網(wǎng)絡(luò)+BAC的信令媒體全代理功能對(duì)QoS問(wèn)題進(jìn)行一定程度的解決。
專(zhuān)用網(wǎng)絡(luò)組網(wǎng)可以采用專(zhuān)線(xiàn)、專(zhuān)用IP網(wǎng)、MPLSVPN等方式,MPLSVPN方式要提供QoS保障,仍然需要全I(xiàn)P網(wǎng)絡(luò)設(shè)備的支持,而目前的IP網(wǎng)絡(luò)還不能全程全網(wǎng)地提供QoS。專(zhuān)線(xiàn)和專(zhuān)用IP網(wǎng)方式可以通過(guò)網(wǎng)絡(luò)流量預(yù)測(cè)和規(guī)劃,按軟交換業(yè)務(wù)需求組織網(wǎng)絡(luò),由于專(zhuān)網(wǎng)專(zhuān)用,使用過(guò)程中容易掌握業(yè)務(wù)流量和流向的變化,可以及時(shí)調(diào)整網(wǎng)絡(luò),通過(guò)與軟交換設(shè)備呼叫數(shù)控制功能結(jié)合,可以有效解決網(wǎng)絡(luò)擁塞控制問(wèn)題。如新建專(zhuān)用網(wǎng)絡(luò),還可以在引進(jìn)網(wǎng)絡(luò)設(shè)備時(shí)統(tǒng)一考慮設(shè)備QoS功能,區(qū)分對(duì)待不同業(yè)務(wù)等級(jí)的軟交換業(yè)務(wù),設(shè)置為某些業(yè)務(wù)實(shí)現(xiàn)帶寬預(yù)留。
全代理設(shè)備可以根據(jù)不同用戶(hù)、不同業(yè)務(wù)分別對(duì)信令和媒體進(jìn)行QoS標(biāo)記,為后續(xù)IP網(wǎng)絡(luò)設(shè)備的QoS處理提供幫助。在今后的QoS解決方案中,該設(shè)備還可以接受軟交換設(shè)備或其他QoS控制設(shè)備的指令,在呼叫建立階段根據(jù)用戶(hù)QoS要求和網(wǎng)絡(luò)QoS狀況進(jìn)行不同的后續(xù)處理(如接續(xù)、拒絕、重定向、更改編碼方式等)。
防止非法業(yè)務(wù)旁路
通過(guò)在PC機(jī)上加載一定的SIP通信軟件的SIP軟終端用戶(hù),可以通過(guò)Internet的通達(dá)性在世界各地接入運(yùn)營(yíng)商的軟交換系統(tǒng)實(shí)現(xiàn)通信功能,當(dāng)用戶(hù)在異地使用軟終端呼叫用戶(hù)歸屬地其他用戶(hù)時(shí),運(yùn)營(yíng)商只能收到本地呼叫的費(fèi)用,而無(wú)法收到國(guó)際或國(guó)內(nèi)長(zhǎng)途呼叫收入。另外,某些終端軟件也可能在獲得SS返回的對(duì)端用戶(hù)地址信息,停止與SS之間的繼續(xù)交互,通過(guò)獲得的被叫地址采用其他IP電話(huà)軟件直接進(jìn)行通信,使得運(yùn)營(yíng)商幫助其完成了用戶(hù)尋址后話(huà)務(wù)被旁路而無(wú)法獲得收益。
以上問(wèn)題可以通過(guò)BAC在一定程度上得到改善。
對(duì)于第一個(gè)問(wèn)題的做法是,終端只配軟交換域名,通過(guò)DNS解析至應(yīng)去所屬的SBC;SBC將本身及用戶(hù)的IP地址送給軟交換;軟交換進(jìn)行IP地址分析,判斷用戶(hù)的IP地址與使用的BAC的IP地址是否匹配,若相匹配則呼叫接續(xù)繼續(xù),若不匹配則呼叫拒絕。當(dāng)然該解決辦法的前提是SS已經(jīng)了解IP地址與地域之間的分布對(duì)應(yīng)關(guān)系。
對(duì)于第二個(gè)問(wèn)題的做法是,通過(guò)BAC設(shè)備從信令和媒體上屏蔽通信對(duì)端用戶(hù)的地址,可以有效防止業(yè)務(wù)旁路,并滿(mǎn)足某些業(yè)務(wù)(如匿名聊天)的特殊需求,該功能建議由邊緣業(yè)務(wù)接入設(shè)備完成。
結(jié)束語(yǔ)
本解決方案中的重要部件BAC已完成了企業(yè)設(shè)備規(guī)范制定,包括產(chǎn)品的功能、性能、相關(guān)的協(xié)議擴(kuò)展等,目前已在信息產(chǎn)業(yè)部通信標(biāo)準(zhǔn)協(xié)會(huì)申請(qǐng)立項(xiàng)。已有設(shè)備制造商意識(shí)到該設(shè)備的重要性,完成了該設(shè)備的研制。
通信世界(www.cww.net.cn)
相關(guān)鏈接: