集中用户数据库HLR和集中路由服务器RS技术,可以更好地解决软交换组网问题,通过将原来存放的各软交换设备(SS)中的用户数据及路由数据分离出来,集中存放在HLR及RS之中,而SS只保留与网关资源相关的信息,如中继网关的E1资源的空闲情况等。
为了能够更好解决网络、业务的安全及QoS问题,可以在传送层引入了具有一定安全及QoS保证的(软交换业务)专用承载网络及软交换业务边缘接入控制设备(B AC ) 。软交换设备、媒体网关、信令网关(SG)、重要客户使用的IAD、媒体服务器(MS)、BAC等设备基于专用网络布放。对于非重要客户使用的IAD及SIP软、硬终端等设备,设备数量多、分布广,将通过各种接入方式快速收敛于BAC设备,通过BAC设备实现与专用网络中其他设备的互通,此时BAC提供信令及媒体的代理功能及安全检测及隔离功能。目前,BAC已完成了企业设备规范制定,包括产品的功能、性能、相关的协议扩展等,并且已有设备制造商意识到该设备的重要性,完成了该设备的研制。
解决安全问题
首先,软交换、中继媒体网关、综合接入媒体网关、媒体服务器等设备基于专用网络布放,该网络可以是新建的专用网或采用 MPLS VPN 等技术的虚拟专用网,能通过各种手段来实现软交换设备间的相互通信及软交换设备和非软交换设备间的消息隔离,大量的软交换散户及其他非软交换网络的设备难以直接访问到这些软交换网络设备,大大减小了受互联网用户攻击的可能。由于软交换专用网络中的设备可信任度高,通过信令协议保障(如认证)、设备管理等手段,基本可以避免专用网络内用户攻击。
对于非重要客户使用的IAD及SIP软、硬终端等设备,设备数量多、分布广,将通过各种接入方式快速收敛于BAC设备,通过BAC设备实现与专用网络中其他设备的互通,此时BAC提供信令及媒体的代理功能及安全检测及隔离功能。由于IAD及SIP终端分布于用户侧,对软交换核心设备的安全存在极大的威胁,因此在本方案中,运营商对于IAD或SIP终端应采用用户零配置方案,运营商应负责所有网络及用户数据的配置及后续的更新及修改,用户无法自行修改数据。
在信令协议中启动加密和鉴权机制,SS定期检测用户身份合法性,保证SS对网关及用户的控制权,防止非法用户对业务的盗用或干扰。
通过域名解析机制及BAC设备的信令及媒体的全代理功能,对基于公共 In ternet 接入的用户屏蔽软交换、中继媒体网关、综合接入媒体网关、媒体服务器等设备的地址,保护重要的软交换网络设备。
BAC设备在实现包过滤型防火墙的功能,利用访问控制列表(A CL ) 功能隔离网络层攻击的同时,还实现对SIP、MGCP和 H.248 等软交换应用层消息攻击的防护,比如对未注册用户发送的非注册消息进行丢弃处理等。通过BAC对异常消息、异常流量等高风险行为进行识别并产生实时告警,使维护人员能对软交换网络安全事件及时响应。
为配合安全的软交换网络的实施,各设备需要提供相应的支持,如支持多个网段,可以通过提供多个分离的物理端口或在一个物理端口上支持多个VLAN的方式实现;对媒体端口进行动态开闭管理;能进行最小化端口设置;面向用户的服务可采取由Web或 Portal 面对用户,进行业务代理方式来降低风险等。
解决QoS问题
目前的IP网络技术还不能彻底地解决QoS问题。用专用网络+BAC可以对QoS问题进行一定程度的解决。
专用网络组网可以采用专线、专用IP网、 MPLS VPN 等方式, MPLS VPN 方式要提供QoS保障,仍然需要全IP网络设备的支持,而目前的IP网络还不能全程全网地提供QoS。专线和专用IP网方式可以通过网络流量预测和规划,按软交换业务需求组织网络,由于专网专用,使用过程中容易掌握业务流量和流向的变化,可以及时调整网络,通过与软交换设备呼叫数控制功能结合,可以有效解决网络拥塞控制问题。如新建专用网络,还可以在引进网络设备时统一考虑设备QoS功能,区分对待不同业务等级的软交换业务,设置为某些业务实现带宽预留。
BAC可以对信令和媒体进行QoS标记,为后续
IP网络设备的QoS处理提供帮助。在今后的QoS解决方案中,该设备还可以接受软交换设备或其他QoS控制设备的指令,在呼叫建立阶段根据用户QoS要求和网络QoS状况进行不同的后续处理,如接续、拒绝、重定向、更改编码方式等。
转载地址:http://www.netsp.com.cn/Article/netspecial/VOIP/200609/20060913115715.html