什么是SBC
SBC即會話邊界控制器。S即Session,會話,先通過協商建立鏈接后再傳輸的業務。如:打電話、視頻通話、電話/視頻會議、視頻監控等...區別于非即時業務微信聊天、上網、下載等。B英文全穩稱:Border,邊界,部署在網絡邊緣。C英文全稱:Controller,中文:控制器,音視頻控制:安全、接入、路由、策略、信令、媒體、QoS...等。由些可以看出,S代表了應用場景,B說明了在voip組網的位置。C即為功能和作用。這就是SBC。會話邊界控制器可以為網絡服務商提供安全的運營商級的實時通信解決方案,協助服務商實現和提供新的業務產品,來快速創收和節約網絡成本。通過綜合的安全性、策略實施和會話管理功能,在IP網絡邊界為服務商提供更先進的功能、靈活性和更高的性能。
SBC作為運營商VoIP網絡邊界的互聯設備,可以實現通信和策略控制 SBC已經逐漸成為NGN和IMS網絡的標準配置產品
企業為什么需要SBC:
音視頻IP化遇到的挑戰:
1、音視頻互通困難子網各自為政多子網NAT穿越困難
2、音視頻融合困難不同時代/不同廠家設備無法融合
3、音視頻安全無保障互聯網攻擊,系統癱瘓數據截取,信息被透明
遇到上面問題如何解決?
互通問題:NAT導致媒體不通 A:為什么數據過NAT正常,音視頻就異常了?B:數據高層沒有IP,音視頻高層有IP
SBC解決互通性問題:Q:為什么數據過NAT正常,音視頻就異常了?A:數據高層沒有IP,音視頻高層有IP
多NAT情況用SBC做媒體代理
安全性問題:IP化后涌現各種攻擊:
SBC保障系統安全性
除了傳統的安全威脅,新型安全問題浮現——具會話智能的安全攻擊威脅: 惡意性的攻擊針對信令的(分布式)拒絕式服務攻擊(DoS/DDoS)您的服務器的CPU忙于處量超載的消息(在系統能夠丟棄消息之前分析消息已令CPU不勝負荷)或異形消息(導致軟件跨越邊界),以導致您的服務中斷甚至系統崩潰。針對媒體流的攻擊 媒體劫持(非法媒體端點搶占媒體服務端口)帶寬竊取(非協定格式或超協定量的媒體流)
TLS/IP Sec連接雪崩
惡意源侵占大量的連接排隊資源導致其它連接雪崩重起 非惡意的超載 某些嵌入式終端只具有有限的CPU處理能力,大量的垃圾消息或突發量消息將使其超載不同服務器的處理能力不均衡,導致局部范圍的服務器超載。局部系統恢復或電源恢復導致消息風暴(大量注冊消息在同一時間窗口到達)
會話邊界控制器(SBC)典型應用場景
1、 信令及媒體的 NAT 穿越:
A) 由于防火墻 DMZ/NAT 的引入,造成了內網的軟交換或者 SIP 終端攜帶的SIP 消息中的 VIA/FROM/TO/Contact/SDP 中的 c=/SDP 中的 m=/SDP 中RTCP 地址等字段地址和實際互通地址不一致。最終導致信令及媒體交互的地址錯誤或者端口失效,無法正確建立信令通信。SBC 解決方法:采用 NAT 防火墻串接或者并接的拓撲組網。轉發并重構SIP 信令消息,SIP 注冊消息保活,保證互通的正確性。
B) 由于一些廠家軟交換并不支持媒體中繼/媒體轉發,導致拓撲隔離的兩個網絡無法互相建立媒體流連接。SBC 解決方法:采用 NAT 防火墻串接或者并接的拓撲組網。轉發媒體,NAT 拓撲下的媒體路徑學習,P2P 媒體穿透等。
2、 信令及媒體的互聯互通
A) 由于不同廠家的設備遵循 SIP 規范標準的不一致,導致了業務互通兼容問題或者互通失敗。
SIP 信令方法不一致 用 SBC 的 B2BUA 來實現單側交互(例如IMS 的 PRACK/SessionTimer/REFER/UPDATE)
SIP 消息過大 用 SBC 過濾不必要的頭和 SDP 中的媒體資源(例如視頻會議的大 SDP)
SIP 字段爭議 用 SBC 定義刪除爭議字段或者重定義格式(例如IMS 中的 TEL URI)
B) 由于不同廠家的設備遵循媒體能力標準的不一致,導致了業務互通兼容問題或者互通失敗。編碼協商爭議 用 SBC 定義 SDP offer/SDP answer 的編碼協商列表的優先順序(例如一方媒體流不規范)媒體類型爭議 用 SBC 定義刪除爭議的媒體資源(例如視頻會議中 BFCP 流)編碼轉換 用 SBC 參與協商并轉換 UAS/UAC 的媒體流編碼(例如 IMS 與用戶 UC 的編碼不相容)
3、 安全威脅的防護
A) 內外網拓撲隔離 SBC 充當內外網絡的轉發節點。完全隔離拓撲并隱藏SIP 信令中的敏感信息。
B) 不可信源的掃描與盜打 – SBC 內置行為匹配和保護方法,四個級別的自動黑名單攔截保護
C) 不可信源的拒絕服務攻擊 SBC 可定義保護閥值,匹配條件攔截或黑名單
D) 可信源的資源濫用 SBC 可定義行為閥值,匹配條件攔截或灰名單
4、 可靠性的保障
A) 支持 SIP 路由冗余 SIP 路由失效倒換
B) 支持 SIP 注冊減壓 SBC 自動 cache 卸載核心軟交換的注冊刷新壓力
C) 支持 Syslog 日志告警 及時報告攔截信息、資源超載信息
D) 支持 SNMP 監控 – 監控內存、CPU、網絡流量、在線用戶數、并發通話
E) 支持網口冗余捆綁 多網口 bond 為虛擬網口,動態備份
F) 支持電源冗余 電源動態備份
