通過“專用網絡+BAC全代理”的接入層組網模式，可以在很大程度上解決軟交換網絡的用戶安全管理、私網地址穿越以及防止用戶非法旁路軟交換設備等問題，也可以在一定程度上解決QoS保障問題，這是目前提出的一種實用化的解決方案。

一、QoS問題解決方式

IP網絡技術目前還不能徹底解決QoS問題，在現有的公共IP網絡上還不能為軟交換網絡提供大規模的有QoS保障的承載服務，采用“專用網絡+BAC全代理”方式能夠在一定程度上解決軟交換網絡的QoS問題。專用網絡主要應用于軟交換核心網，可以采用專線、專用IP網、MPLSVPN等方式組網。通過MPLSVPN提供QoS保障，仍然需要IP網絡全網的傳輸和交換設備都支持MPLS能力，因此短期內還無法在全網范圍內實現，但可以首先在骨干城域網上部分實行。專線和專用IP網方式可以通過網絡流量預測和規劃，按軟交換業務需求組織網絡。由于專網專用，使用過程中容易掌握業務流量和流向的變化，可以及時調整網絡，通過與軟交換設備呼叫控制功能結合，可以有效解決網絡擁塞控制問題。如果新建專用網絡，還可以在引進網絡設備時統一考慮設備的QoS功能，區分對待不同業務等級的軟交換業務，為某些業務實現帶寬預留。

BAC設備則可以根據不同用戶、不同業務分別對信令和媒體進行QoS標記，為后續IP網絡設備的QoS處理提供幫助。在今后的QoS解決方案中，該設備還可以將QoS參數統計結果實時上報軟交換設備或其他指定QoS設備，并接受后者的控制，在呼叫建立階段根據用戶QoS要求和網絡QoS狀況進行不同的后續處理（如接續、拒絕、重定向、更改編碼方式等）。

二、 安全問題解決方式

對于部署在專網內的信令網關、中繼網關、大容量接入網關、重要客戶使用的IAD設備等，由于是基于新建的專用網或采用MPLSVPN等技術構建的虛擬專用網，因此能通過各種手段實現與外界的隔離，大大減小了受互聯網用戶攻擊的可能。另一方面，軟交換核心網絡中部署的是可信任度高的設備，數量相對較少，通過信令協議保障、嚴格設備管理等手段，基本可以避免受到核心網絡內的用戶攻擊。

而對于部署在業務接入網（如互聯網）內的各類IP智能終端及IAD設備等，由于分布于非信任的用戶側，對軟交換網絡核心設備的安全存在極大的威脅。因此對于這些終端應快速收斂于BAC設備，通過BAC設備實現與專用網絡中其他設備的互通。BAC設備提供用戶信令及媒體的代理功能及安全檢測和隔離功能，采用用戶零配置方案，使用戶無法自行修改數據，軟交換設備定期檢測用戶身份合法性，保證對網關及用戶終端的控制權，防止非法用戶對業務的盜用或干擾。同時，在用戶側只能配置軟交換設備或各類管理及應用服務器（如IAD網管系統、文件服務器等）的域名而非IP地址，通過域名解析機制及BAC設備的信令及媒體全代理功能，對用戶屏蔽軟交換設備、中繼網關、綜合接人網關、媒體服務器等核心網設備的地址，避免因暴露軟交換設備的IP地址而導致非法攻擊。

BAC作為安全控制的重要環節，需要支持訪問控制列表(ACL)功能，能夠根據源、目的IP地址和端口號設置訪問控制規則進行報文過濾；能夠針對特定控制協議進行分組過濾，阻擋非法設備及未經允許的協議訪問軟交換設備；能進行簡單的應用層攻擊防護，實現部分代理服務型防火墻功能，具體包括：根據用戶注冊狀態進行消息的處理、對未注冊用戶發送的非注冊消息進行丟棄處理；對注冊鑒權失敗的用戶終端建立監視列表，當失敗的注冊嘗試達到一定的頻率則采取相應措施；設置IP地址／端口允許的正常信令消息流鼠值，當1分鐘內收到同一源IP和端口的消息超過該值時，將該地址／端口列入黑名單并采取相應措施。BAC還應具備根據業務需要、用戶安全需求和運營需求屏蔽通信雙方地址的能力。

為配合軟交換網絡的安全實施，各設備也需要進行相應的改進（如支持多個網段，可以通過提供多個分離的物理端口或在一個物理端口上支持多個VLAN的方式實現）；對媒體端口進行動態開、閉管理；能進行最小化端口設置；面向用戶的服務可采取由Web或Portal面對用戶進行業務代理方式來降低風險；設備采用專門的軟／硬件平臺設計等。

三、私網穿越問題解決方式

現有IP網絡由于1Pv4存在著地址資源不足的問題，包含了很多采用私網地址的專用網絡（如企業網、園區網等），并通過NAT(網絡地址轉換）設備進行公、私有地址之間的轉換，實現私網設備與公網設備的互聯。因此，雖然在軟交換組網中核心網內的設備可統一規劃IP地址，但是處于業務接入網內的各種用戶端設備的IP地址分配則受限于所處的網絡，很難進行統一，在接入軟交換網絡時通常會面臨NAT/FW穿越的問題。

1、解決私網穿越的常用技術

目前，業界對NAT穿透問題非常關注，也提出了各種解決方案，主要包括ALG(Ap?plicationLevelGateway)、STUN(SimpleTraversalofUDPthroughNAT)、MIDCOM(MiddleboxCommunication)、FullProxy(全代理）等，這些解決方案各有其應用場合。

（1）、ALG方案

ALG是一種應用層的解決方案，目前主要應用于SIP協議。它的基本原理是在IP網絡中采用支持SIP協議的ALG防火墻和NAT設備，使得NAT設備可以分析SIP協議，在轉換時可以像處理IP包頭那樣轉換協議中內嵌的相應地址信息字段（如重寫Register請求中的Contact字段），但由于剛推出不久，現有的NAT設備多數不支持該方案。

（2）、STUN方案

STUN方案需要升級終端以支持STUN協議，要求終端以及運營商網絡側服務器支待NAT擴展，且運營商網絡側需部署STUN服務器。優點是不針對NAT進行升級就可實現通信，因此具有可實施性，缺點是需要對終端和服務器進行擴展。運營商需要根據自己的需求，對協議作標準化定義，以避免終端和服務器不兼容的情形，并且此方案還處于草案階段，目前沒有標準。

（3）、MIDCOM方案

MIDCOM方案需升級NAT設備／防火墻以支持MIDCOM工作組開發的防火墻控制協議，且運營商網絡側需部署MIDCOM控制代理。MIDCOM控制代理可控制NAT設備／防火墻打開／關閉透傳端口。此方案的優點是可將NAT設備和應用分離，應用可以與NAT設備／防火墻存在不同的控制關系，因此擴展性強。但同樣存在的問題是現有的防火墻和NAT設備多數不支持這種方案。

（4）、FullProxy方案

ALG、STUN及MIDCOM等私網穿越解決方案都需要對現網NAT設備或用戶接入／終端設備進行一定程度的改造，因此在適用范圍上都存在限制。FullProxy方案通過對私網內的用戶信息流進行代理中繼(Relay)來實現出口NAT/FW的穿越。這種方案的特點是不需要對用戶接入／終端設備以及現網NAT設備進行任何改造：基本上不存在適用范圍限制。

2、基于BAC設備的私網穿越方式

根據對上述NAT/FW穿越方案的分析，顯然FullProxy方案更適合于軟交換組網應用。FullProxy組網模型的關鍵點在于它同時完成對終端呼叫信令的代理轉發以及媒體流的中繼。當私網終端呼叫信令到達代理服務器時，代理服務器對呼叫信令協議進行解析，對協議中攜帶的RTP/RTCP信息進行解析和處理，在記錄下用戶私網內RTP/RTCP地址和端口號的同時，修改RTP/RTCP私網地址信息為代理服務器本身對外的公網IP地址，同時修改媒體流端口為代理服務器上分配的外部端口，然后將呼叫信令發送到軟交換或對端。這樣呼叫信令和媒體流就可以通過代理服務器在主被叫之間進行中轉。由于代理服務器可以配置多個IP地址（如一個私網IP地址和一個公網IP地址），因此通過代理服務器進行中繼，NGN業務可順利通過NAT/FW。

在基于BAC設備的軟交換網絡接入層組網方案中，外圍網關及用戶設備將收斂于BAC設備，通過BAC設備提供信令及媒體的全代理功能，進而實現FW/NAT穿越。下面簡要描述基于BAC設備實現接入網用戶與核心網用戶通信以及位于兩個私網內的接入網用戶之間通信的穿越流程。

（1）、接入網用戶至核心網用戶的通信過程

位于接入網內的軟交換用戶（假設該用戶位于企業私網）與位于核心網的軟交換用戶通信時，其信令及媒體穿越過程如圖,所示。

上圖中信令流的路徑是1AI).---+BAc- ttx *- AGo在BAC中預分配雙方的媒體端口，并在SDP中改寫IAD和AG發送的地址和端口。媒體流的路徑是IAO------BAC- AG。BAC實現雙向媒體轉接。 （2）、接入網用戶至接入網用戶的通信過程 位于兩個私網（比如企業網和園區網）內的軟交換接入網用戶進行通信時，其信令及媒體流的穿越流程如圖所示。

上圖中信令流的路徑是：用戶A- BAC+-----+軟交換設備七-BAC-- 用戶B。BAC預分配雙方的媒體端口，在SDP中改寫用戶A和用戶B發送的地址和端口。媒體流的路徑是：用戶A- 醞BAC- 用戶B。BAC實現雙向媒體轉接。

四、防止用戶業務非法旁路

在軟交換網絡中，由于用戶標識與位置的無關性，智能終端可以通過IP網的通達性接入運營商各地的軟交換設備。(1)如果對用戶位置不加以區分，當用戶在異地使用智能終端呼叫其歸屬地的其他用戶時，運營商只能收到本地呼叫的費用，而無法收到國際或國內長途呼叫的收入。(2)某些終端軟件也可能在獲得軟交換設備返回的對端用戶地址信息后，停止與軟交換設備之間的繼續交互，通過獲得的被叫地址直接進行通信，導致運營商雖然幫助用戶完成了通信尋址，話務卻被旁路而無法獲得收益。上述問題也可以通過BAC設備的應用在一定程度上得到改善。

對于第一個問題的解決方式是：終端只配置軟交換域名，通過DNS解析后得到的是其當前對應的BAC設備的地址而不是軟交換設備的地址；BAC設備將自己的及用戶的IP地址送給軟交換設備進行IP地址分析，判斷用戶當前的IP地址與BAC設備的IP地址匹配關系，以決定是否準入，可在一定程度上解決用戶終端的漫游問題。當然該解決辦法的前提是軟交換設備巳經了解IP地址與地域之間的分布對應關系。

對于第二個問題的解決方式是：通過BAC設備從信令和媒體上屏蔽通信對端用戶的地址（在全代理模式下，BAC設備只將其自身的IP地址和端口號返回給通信雙方），可以有效防止業務旁路，并滿足某些業務（如匿名聊天）的特殊需求。

五、 用戶終端的管理方式

軟交換系統的網管功能需要管理用戶接入／終端設備。由于這些設備具有數量多、分布廣、管理功能簡單的特點，如果由集中網管系統直接管理，將導致真正有用的信息被大量瑣碎的信息所淹沒，嚴重影響網管系統的功能，必須加以避免。為此，在軟交換綜合網管系統的前端設置代理性質的管理設備（如IADManagementServer、TerminalManage?mentAgent等）對用戶接入／終端設備進行分域管理。這些終端管理設備可以單獨設立，或者與BAC合設，作為BAC功能的一部分。

以IAD管理為例。IAD管理器一方面完成對所管轄用戶接入／終端設備的自動配置、自動版本升級、故障分析、安全管理等功能，另一方面作為一個網元(SNMPAgent)接受綜合網管系統管理。IAD管理器對用戶接入／終端設備的管理信息進行過濾，只將確實需要上報的信息報告給綜合網管系統處理，這樣可以大大減輕綜合網管系統的運行負荷，實現對終端設備的有效管理，如圖所示。

上圖中，IAD管理器通過SNMP接口進行IAD遠程維護。這不同于通過本地Console接口、Web網頁和Telnet方式對IAD進行配置，它要求IAD設備中應實現SNMP代理模塊，并能接受IAD管理器的遠程管理。從方便運營維護的角度，終端管理系統應提供以下能力：

? "零接觸“配置；

? 實時監聽和診斷；

? 大網業務的啟動。

“零接觸“配置功能，意味著在用戶側安裝的IAD或IP電話設備能由IAD管理器自動配置和啟動。配置功能包括新版本軟件下載，因此它也可以使用IAD管理器引導的軟件為IAD和IP電話進行升級。

“實時監聽和診斷”是指IAD管理器可以實時地對用戶接入／終端設備進行監控和自動告警，但與用戶接入／終端設備的種類沒有聯系。遠端診斷可以由用戶在線報告問題時手動啟動或由IAD管理器自動啟動。

“大網業務的啟動”是指IAD管理器通過建立關系數據庫，實現大批矗數據配置的解決方案，從而可以一次配置批瘟的用戶接入／終端設備。同時，IAD管理器可以管理數據的儲存、組織、處理和分發配置參數，所有的參數存放在業務配置文件中。