专注SIP通讯产品与方案

SBC的功能与部署方案

• SBC的功能
SBC是IMS网络边缘用于实现IP接入、互通和安全保护的网元,存在于接入网络与IMS网络之间或不同IMS网络之间,是用户接入IMS的入口点。SBC作为B2BUA将用户和IMS核心网进行隔离。
SBC的主要功能包括:
1)注册管理功能
2)NAT穿越功能
3)信令防火墙功能
4)媒体资源管理
5)QoS策略控制
6)IP安全功能
由于SBC需要实现信令防火墙和QoS策略控制等功能,因此需要具备应用层网关(ALG)和SIP信令处理能力。
• SBC的部署方案
SBC的部署有两种方案:一是SBC与P-CSCF独立设置;而是SBC和P-CSCF合设。
在SBC与P-CSCF独立设置方案中,存在两个问题:
1)由于SIP信令压缩和IPSec会导致SBC无法识别SIP信令,从而影响SBC对信令的处理能力。这导致了IMS网络无法支持SIP信令压缩和IPSec功能,影响用户接入IMS网络的安全和效率。
2)由于P-CSCF也具备ALG和SIP信令处理能力,因此SBC和P-CSCF在功能上存在重复。
在IMS部署的初期,SBC和P-CSCF无法合设,因此为了保证网络的安全,要求SBC必须为全代理模式,即信令和媒体均通过SBC。
对于全代理SBC部署方式而言,每个地、市通过SBC作为代理将IMS会话统一接入到省中心或者区域中心的P-CSCF中。
SBC将与P-CSCF合设
在IMS部署的后期,SBC将与P-CSCF合设,其又包括两种方案:
1)集成式SBC:P-CSCF功能、SBC信令控制部分和SBC媒体处理部分均集成在一个物理设备中。
在集成式SBC部署方式下,SBC和P-CSCF进行了合设,合设的SBC/P-CSCF部署在各个地市,省中心或区域中心不再为各地市集中设置P-CSCF,IMS会话由各地市的SBC/P-CSCF统一接入到省中心或区域中心的I/S/E-CSCF中。
集中设置P-CSCF
2)分离式SBC:P-CSCF集成SBC信令控制部分,SBC媒体处理部分独立设置,并由P-CSCF通过H.248协议进行控制。
在分离式SBC部署方式下,分离式SBC的信令控制功能和P-CSCF合设,集中设置在省中心或区域中心(可以与I/S-CSCF合设)。BGW是SBC中的媒体处理部分,BGW设置在省中的各个地市。
媒体处理部分

会话边界控制器(SBC)典型应用场景
1、 信令及媒体的 NAT 穿越:
A) 由于防火墙 DMZ/NAT 的引入,造成了内网的软交换或者 SIP 终端携带的SIP 消息中的 VIA/FROM/TO/Contact/SDP 中的 c=/SDP 中的 m=/SDP 中RTCP 地址等字段地址和实际互通地址不一致。最终导致信令及媒体交互的地址错误或者端口失效,无法正确建立信令通信。
SBC 解决方法:采用 NAT 防火墙串接或者并接的拓扑组网。转发并重构SIP 信令消息,SIP 注册消息保活,保证互通的正确性。
B) 由于一些厂家软交换并不支持媒体中继/媒体转发,导致拓扑隔离的两个网络无法互相建立媒体流连接。
SBC 解决方法:采用 NAT 防火墙串接或者并接的拓扑组网。转发媒体,NAT 拓扑下的媒体路径学习,P2P 媒体穿透等。
2、 信令及媒体的互联互通
A) 由于不同厂家的设备遵循 SIP 规范标准的不一致,导致了业务互通兼容问题或者互通失败。
SIP 信令方法不一致 用 SBC 的 B2BUA 来实现单侧交互(例如IMS 的 PRACK/SessionTimer/REFER/UPDATE)
SIP 消息过大 用 SBC 过滤不必要的头和 SDP 中的媒体资源(例如视频会议的大 SDP)
SIP 字段争议 用 SBC 定义删除争议字段或者重定义格式(例如IMS 中的 TEL URI)
B) 由于不同厂家的设备遵循媒体能力标准的不一致,导致了业务互通兼容问题或者互通失败。
编码协商争议 用 SBC 定义 SDP offer/SDP answer 的编码协商列表的优先顺序(例如一方媒体流不规范)
媒体类型争议 用 SBC 定义删除争议的媒体资源(例如视频会议中 BFCP 流)编码转换 用 SBC 参与协商并转换 UAS/UAC 的媒体流编码(例如 IMS 与用户 UC 的编码不相容)
3、 安全威胁的防护
A) 内外网拓扑隔离 SBC 充当内外网络的转发节点。完全隔离拓扑并隐藏SIP 信令中的敏感信息。
B) 不可信源的扫描与盗打 – SBC 内置行为匹配和保护方法,四个级别的自动黑名单拦截保护
C) 不可信源的拒绝服务攻击 SBC 可定义保护阀值,匹配条件拦截或黑名单
D) 可信源的资源滥用 SBC 可定义行为阀值,匹配条件拦截或灰名单
4、 可靠性的保障
A) 支持 SIP 路由冗余 SIP 路由失效倒换
B) 支持 SIP 注册减压 SBC 自动 cache 卸载核心软交换的注册刷新压力
C) 支持 Syslog 日志告警 及时报告拦截信息、资源超载信息
D) 支持 SNMP 监控 – 监控内存、CPU、网络流量、在线用户数、并发通话
E) 支持网口冗余捆绑 多网口 bond 为虚拟网口,动态备份
F) 支持电源冗余 电源动态备份