首頁 > 通信工程師 > 交換技術(shù)與網(wǎng)絡(luò)管控 > 軟交換網(wǎng)絡(luò)組網(wǎng)方案分析[5]

軟交換網(wǎng)絡(luò)組網(wǎng)方案分析[5]

交換技術(shù)與網(wǎng)絡(luò)管控責(zé)任編輯：dbqdbqdbqq 2010-03-10

摘要：BAC支持訪問控制列表（ACL）功能，能夠根據(jù)源、目的IP地址和端口號設(shè)置訪問控制規(guī)則進(jìn)行報文過濾；能夠針對特定控制協(xié)議進(jìn)行濾，阻擋非法設(shè)備及未經(jīng)允許的協(xié)議對軟交換設(shè)備的訪問；能進(jìn)行簡單的應(yīng)用層攻擊防護(hù)，實現(xiàn)部分代理服務(wù)型防火墻功能，具體包括：根據(jù)用戶注冊狀態(tài)進(jìn)行消息的處理，對未注冊用戶發(fā)送的非注冊消息進(jìn)行丟棄處理；對

BAC支持訪問控制列表（ACL）功能，能夠根據(jù)源、目的IP地址和端口號設(shè)置訪問控制規(guī)則進(jìn)行報文過濾；能夠針對特定控制協(xié)議進(jìn)行濾，阻擋非法設(shè)備及未經(jīng)允許的協(xié)議對軟交換設(shè)備的訪問；能進(jìn)行簡單的應(yīng)用層攻擊防護(hù)，實現(xiàn)部分代理服務(wù)型防火墻功能，具體包括：根據(jù)用戶注冊狀態(tài)進(jìn)行消息的處理，對未注冊用戶發(fā)送的非注冊消息進(jìn)行丟棄處理；對注冊鑒權(quán)失敗的用戶終端建立監(jiān)視列表，當(dāng)失敗的注冊嘗試達(dá)到一定的頻率則采取相應(yīng)措施；設(shè)置IP地址/端口允許的正常信令消息流量值，當(dāng)1分鐘內(nèi)收到同一源IP和端口的消息超過該值時，將該地址/端口列入黑名單并采取相應(yīng)措施。

具備根據(jù)業(yè)務(wù)需要、用戶安全需求和運(yùn)營需求屏蔽通信對方地址的能力。

為配合安全的軟交換網(wǎng)絡(luò)的實施，各設(shè)備需要進(jìn)行相應(yīng)的改進(jìn)，如支持多個網(wǎng)段，可以通過提供多個分離的物理端口或在一個物理端口上支持多個VLAN的方式實現(xiàn)；對媒體端口進(jìn)行動態(tài)開閉管理；能進(jìn)行最小化端口設(shè)置；面向用戶的服務(wù)可采取由Web或Portal面對用戶，進(jìn)行業(yè)務(wù)代理方式來降低風(fēng)險；設(shè)備需要專門的軟/硬件平臺設(shè)計等。

QoS問題的解決

目前的IP網(wǎng)絡(luò)技術(shù)還不能徹底地解決QoS問題，在現(xiàn)有的公共IP網(wǎng)絡(luò)上還不能為軟交換網(wǎng)絡(luò)提供大規(guī)模地有QoS保障的承載服務(wù)。本方案將采用專用網(wǎng)絡(luò)+BAC的信令媒體全代理功能對QoS問題進(jìn)行一定程度的解決。

專用網(wǎng)絡(luò)組網(wǎng)可以采用專線、專用IP網(wǎng)、MPLSVPN等方式，MPLSVPN方式要提供QoS保障，仍然需要全I(xiàn)P網(wǎng)絡(luò)設(shè)備的支持，而目前的IP網(wǎng)絡(luò)還不能全程全網(wǎng)地提供QoS。專線和專用IP網(wǎng)方式可以通過網(wǎng)絡(luò)流量預(yù)測和規(guī)劃，按軟交換業(yè)務(wù)需求組織網(wǎng)絡(luò)，由于專網(wǎng)專用，使用過程中容易掌握業(yè)務(wù)流量和流向的變化，可以及時調(diào)整網(wǎng)絡(luò)，通過與軟交換設(shè)備呼叫數(shù)控制功能結(jié)合，可以有效解決網(wǎng)絡(luò)擁塞控制問題。如新建專用網(wǎng)絡(luò)，還可以在引進(jìn)網(wǎng)絡(luò)設(shè)備時統(tǒng)一考慮設(shè)備QoS功能，區(qū)分對待不同業(yè)務(wù)等級的軟交換業(yè)務(wù)，設(shè)置為某些業(yè)務(wù)實現(xiàn)帶寬預(yù)留。

全代理設(shè)備可以根據(jù)不同用戶、不同業(yè)務(wù)分別對信令和媒體進(jìn)行QoS標(biāo)記，為后續(xù)IP網(wǎng)絡(luò)設(shè)備的QoS處理提供幫助。在今后的QoS解決方案中，該設(shè)備還可以接受軟交換設(shè)備或其他QoS控制設(shè)備的指令，在呼叫建立階段根據(jù)用戶QoS要求和網(wǎng)絡(luò)QoS狀況進(jìn)行不同的后續(xù)處理（如接續(xù)、拒絕、重定向、更改編碼方式等）。

防止非法業(yè)務(wù)旁路

通過在PC機(jī)上加載一定的SIP通信軟件的SIP軟終端用戶，可以通過Internet的通達(dá)性在世界各地接入運(yùn)營商的軟交換系統(tǒng)實現(xiàn)通信功能，當(dāng)用戶在異地使用軟終端呼叫用戶歸屬地其他用戶時，運(yùn)營商只能收到本地呼叫的費用，而無法收到國際或國內(nèi)長途呼叫收入。另外，某些終端軟件也可能在獲得SS返回的對端用戶地址信息，停止與SS之間的繼續(xù)交互，通過獲得的被叫地址采用其他IP電話軟件直接進(jìn)行通信，使得運(yùn)營商幫助其完成了用戶尋址后話務(wù)被旁路而無法獲得收益。

以上問題可以通過BAC在一定程度上得到改善。

對于第一個問題的做法是，終端只配軟交換域名，通過DNS解析至應(yīng)去所屬的SBC;SBC將本身及用戶的IP地址送給軟交換；軟交換進(jìn)行IP地址分析，判斷用戶的IP地址與使用的BAC的IP地址是否匹配，若相匹配則呼叫接續(xù)繼續(xù)，若不匹配則呼叫拒絕。當(dāng)然該解決辦法的前提是SS已經(jīng)了解IP地址與地域之間的分布對應(yīng)關(guān)系。

對于第二個問題的做法是，通過BAC設(shè)備從信令和媒體上屏蔽通信對端用戶的地址，可以有效防止業(yè)務(wù)旁路，并滿足某些業(yè)務(wù)（如匿名聊天）的特殊需求，該功能建議由邊緣業(yè)務(wù)接入設(shè)備完成。

結(jié)束語

本解決方案中的重要部件BAC已完成了企業(yè)設(shè)備規(guī)范制定，包括產(chǎn)品的功能、性能、相關(guān)的協(xié)議擴(kuò)展等，目前已在信息產(chǎn)業(yè)部通信標(biāo)準(zhǔn)協(xié)會申請立項。已有設(shè)備制造商意識到該設(shè)備的重要性，完成了該設(shè)備的研制。

[1] [2] [3] [4] [5]