什么是SBC
SBC即会话边界控制器。S即Session,会话,先通过协商建立链接后再传输的业务。如:打电话、视频通话、电话/视频会议、视频监控等...区别于非即时业务微信聊天、上网、下载等。B英文全稳称:Border,边界,部署在网络边缘。C英文全称:Controller,中文:控制器,音视频控制:安全、接入、路由、策略、信令、媒体、QoS...等。由些可以看出,S代表了应用场景,B说明了在voip组网的位置。C即为功能和作用。这就是SBC。会话边界控制器可以为网络服务商提供安全的运营商级的实时通信解决方案,协助服务商实现和提供新的业务产品,来快速创收和节约网络成本。通过综合的安全性、策略实施和会话管理功能,在IP网络边界为服务商提供更先进的功能、灵活性和更高的性能。
SBC作为运营商VoIP网络边界的互联设备,可以实现通信和策略控制 SBC已经逐渐成为NGN和IMS网络的标准配置产品
企业为什么需要SBC:
音视频IP化遇到的挑战:
1、音视频互通困难子网各自为政多子网NAT穿越困难
2、音视频融合困难不同时代/不同厂家设备无法融合
3、音视频安全无保障互联网攻击,系统瘫痪数据截取,信息被透明
遇到上面问题如何解决?
互通问题:NAT导致媒体不通 A:为什么数据过NAT正常,音视频就异常了?B:数据高层没有IP,音视频高层有IP
SBC解决互通性问题:Q:为什么数据过NAT正常,音视频就异常了?A:数据高层没有IP,音视频高层有IP
多NAT情况用SBC做媒体代理
安全性问题:IP化后涌现各种攻击:
SBC保障系统安全性
除了传统的安全威胁,新型安全问题浮现——具会话智能的安全攻击威胁: 恶意性的攻击针对信令的(分布式)拒绝式服务攻击(DoS/DDoS)您的服务器的CPU忙于处量超载的消息(在系统能够丢弃消息之前分析消息已令CPU不胜负荷)或异形消息(导致软件跨越边界),以导致您的服务中断甚至系统崩溃。针对媒体流的攻击 媒体劫持(非法媒体端点抢占媒体服务端口)带宽窃取(非协定格式或超协定量的媒体流)
TLS/IP Sec连接雪崩
恶意源侵占大量的连接排队资源导致其它连接雪崩重起 非恶意的超载 某些嵌入式终端只具有有限的CPU处理能力,大量的垃圾消息或突发量消息将使其超载不同服务器的处理能力不均衡,导致局部范围的服务器超载。局部系统恢复或电源恢复导致消息风暴(大量注册消息在同一时间窗口到达)
会话边界控制器(SBC)典型应用场景
1、 信令及媒体的 NAT 穿越:
A) 由于防火墙 DMZ/NAT 的引入,造成了内网的软交换或者 SIP 终端携带的SIP 消息中的 VIA/FROM/TO/Contact/SDP 中的 c=/SDP 中的 m=/SDP 中RTCP 地址等字段地址和实际互通地址不一致。最终导致信令及媒体交互的地址错误或者端口失效,无法正确建立信令通信。SBC 解决方法:采用 NAT 防火墙串接或者并接的拓扑组网。转发并重构SIP 信令消息,SIP 注册消息保活,保证互通的正确性。
B) 由于一些厂家软交换并不支持媒体中继/媒体转发,导致拓扑隔离的两个网络无法互相建立媒体流连接。SBC 解决方法:采用 NAT 防火墙串接或者并接的拓扑组网。转发媒体,NAT 拓扑下的媒体路径学习,P2P 媒体穿透等。
2、 信令及媒体的互联互通
A) 由于不同厂家的设备遵循 SIP 规范标准的不一致,导致了业务互通兼容问题或者互通失败。
SIP 信令方法不一致 用 SBC 的 B2BUA 来实现单侧交互(例如IMS 的 PRACK/SessionTimer/REFER/UPDATE)
SIP 消息过大 用 SBC 过滤不必要的头和 SDP 中的媒体资源(例如视频会议的大 SDP)
SIP 字段争议 用 SBC 定义删除争议字段或者重定义格式(例如IMS 中的 TEL URI)
B) 由于不同厂家的设备遵循媒体能力标准的不一致,导致了业务互通兼容问题或者互通失败。编码协商争议 用 SBC 定义 SDP offer/SDP answer 的编码协商列表的优先顺序(例如一方媒体流不规范)媒体类型争议 用 SBC 定义删除争议的媒体资源(例如视频会议中 BFCP 流)编码转换 用 SBC 参与协商并转换 UAS/UAC 的媒体流编码(例如 IMS 与用户 UC 的编码不相容)
3、 安全威胁的防护
A) 内外网拓扑隔离 SBC 充当内外网络的转发节点。完全隔离拓扑并隐藏SIP 信令中的敏感信息。
B) 不可信源的扫描与盗打 – SBC 内置行为匹配和保护方法,四个级别的自动黑名单拦截保护
C) 不可信源的拒绝服务攻击 SBC 可定义保护阀值,匹配条件拦截或黑名单
D) 可信源的资源滥用 SBC 可定义行为阀值,匹配条件拦截或灰名单
4、 可靠性的保障
A) 支持 SIP 路由冗余 SIP 路由失效倒换
B) 支持 SIP 注册减压 SBC 自动 cache 卸载核心软交换的注册刷新压力
C) 支持 Syslog 日志告警 及时报告拦截信息、资源超载信息
D) 支持 SNMP 监控 – 监控内存、CPU、网络流量、在线用户数、并发通话
E) 支持网口冗余捆绑 多网口 bond 为虚拟网口,动态备份
F) 支持电源冗余 电源动态备份