三匯SBC為企業(yè)VoIP通訊系統(tǒng)保駕護(hù)航——NAT穿透篇

　　在體業(yè)務(wù)的NAT穿越，如今越來越多的企業(yè)開始采用IP-PBX、軟交換、MCU等產(chǎn)品構(gòu)建內(nèi)部IP通信系統(tǒng)，并用基于IP網(wǎng)絡(luò)承載數(shù)據(jù)、企業(yè)VoIP通信系統(tǒng)建設(shè)的過程中，最重要的終端接入安全和VoIP多媒語音、視頻、消息等多種業(yè)務(wù)，以降低通信成本、實(shí)現(xiàn)靈活部署、提供新業(yè)務(wù)功能，提升企業(yè)內(nèi)外部溝通效率與核心競(jìng)爭(zhēng)力。

　　但在IP通信系統(tǒng)為用戶帶來諸多便利的同時(shí)，也造成了一些其他麻煩。其中在復(fù)雜網(wǎng)絡(luò)情況下的IP多媒體業(yè)務(wù)的AT穿越、終端用戶的安全接入是許多企業(yè)建設(shè)管理VoIP通信系統(tǒng)時(shí)非常困擾的問題。

　　用SBC實(shí)現(xiàn)IP多媒體業(yè)務(wù)NAT穿越

　　許多大中型企業(yè)對(duì)于信息安全對(duì)非常重視，數(shù)據(jù)網(wǎng)絡(luò)中部署了大量防火墻設(shè)備，同時(shí)由于安全及IP地址資源等因素，許多分支機(jī)構(gòu)和部門采用私網(wǎng)IP地址并在網(wǎng)絡(luò)出口處啟用NAT地址轉(zhuǎn)換。由于通常NAT/防火墻設(shè)備僅對(duì)IP和UDP/TCP報(bào)文頭的地址及端口號(hào)進(jìn)行轉(zhuǎn)換，并不對(duì)消息中的媒體連接信息進(jìn)行轉(zhuǎn)換，從而造成NAT/防火墻不支持SIP/H.323/H.248/MGCP等IP通信協(xié)議的有效傳輸。比如對(duì)于SIP協(xié)議，終端用戶注冊(cè)后呼叫控制設(shè)備上記錄的將是其私網(wǎng)地址，導(dǎo)致呼叫時(shí)信令不通。因此IP多媒體業(yè)務(wù)無法跨越普通的NAT設(shè)備。

　　SBC組網(wǎng)示意圖

　　NAT穿越的傳統(tǒng)解決方案是啟用防火墻ALG（（Application Level Gateway，應(yīng)用層網(wǎng)關(guān)）功能，ALG作為NAT的增強(qiáng)，在地址轉(zhuǎn)換時(shí)對(duì)IP報(bào)文頭中內(nèi)嵌的相應(yīng)地址信息字段（例如重寫SIP協(xié)議Register消息中的Contact字段）也進(jìn)行轉(zhuǎn)換。但如果全網(wǎng)規(guī)模部署IP多媒體業(yè)務(wù)，需對(duì)現(xiàn)網(wǎng)大量防火墻進(jìn)行ALG升級(jí)，成本高、實(shí)施繁瑣。

　　在現(xiàn)實(shí)應(yīng)用的場(chǎng)景中，終端將IP-PBX/軟交換等核心控制設(shè)備的地址設(shè)置為SBC Proxy的地址，終端注冊(cè)到核心設(shè)備時(shí)，SBC創(chuàng)建相應(yīng)的地址映射表項(xiàng)，當(dāng)終端開始呼叫時(shí)，SBC修改相應(yīng)的地址信息，將報(bào)文發(fā)送給真正的核心設(shè)備，所有的信令流、媒體流都可經(jīng)過SBC進(jìn)行轉(zhuǎn)發(fā)，另外也可設(shè)置媒體流旁路

　　由于SBC重新指定內(nèi)網(wǎng)/外網(wǎng)用戶信令/媒體流的接收地址和端口，可以方便地實(shí)現(xiàn)不同網(wǎng)絡(luò)域之間的地址轉(zhuǎn)換（包括公網(wǎng)/私網(wǎng)地址之間的轉(zhuǎn)換），為信令/媒體流穿越NAT提供了技術(shù)保障。

　　SBC最早是應(yīng)用于電信運(yùn)營(yíng)商N(yùn)GN領(lǐng)域的一種產(chǎn)品形態(tài)，定位在電信NGN網(wǎng)絡(luò)的IP業(yè)務(wù)網(wǎng)關(guān)，解決NGN業(yè)務(wù)部署中遇到的NAT/FW穿越、安全、互通、QoS等問題。SBC設(shè)備采用Full Proxy（全代理）方式定向傳輸信令/媒體流. 三匯SBC（Session Border Controller）作為企業(yè)融合通信整體解決方案中的重要部件，通常被部署在企業(yè)網(wǎng)絡(luò)的出口處，用于跨接不同IP域內(nèi)的IP語音話務(wù)，并提供網(wǎng)絡(luò)安全保障，在企業(yè)級(jí)VoIP通訊系統(tǒng)中發(fā)揮著重要的作用。

　　SBC500功能描述：

1. 實(shí)現(xiàn)Dos/DDos 防護(hù)
2. 可進(jìn)行QOS/ TOS/DSCP設(shè)置
3. 可信令加密（TLS/IPSec）和媒體加密（SRTP）
4. 可實(shí)現(xiàn)NAT穿透，SIP/H.323/H.248協(xié)議互通
5. 支持IPV4、IPV6及VPN
6. 具有負(fù)載均衡/流量策略/速率限制功能
7. 可實(shí)現(xiàn)媒體資源RTP編碼格式轉(zhuǎn)換
8. 電話盜打防護(hù)，可實(shí)現(xiàn)多機(jī)冗余

　　確保安全運(yùn)營(yíng)

　　SBC會(huì)話邊界控制器可以為企業(yè)通訊系統(tǒng)提供安全的運(yùn)營(yíng)級(jí)的實(shí)時(shí)通信解決方案，協(xié)助企業(yè)實(shí)現(xiàn)和提供新的業(yè)務(wù)產(chǎn)品。通過綜合的安全性、策略實(shí)施和會(huì)話管理功能，在IP網(wǎng)絡(luò)邊界為企業(yè)提供更先進(jìn)的功能、靈活性和更高的性能。

　　靈活呼叫控制

　　提供安全的連接與控制，以主動(dòng)精細(xì)管理網(wǎng)間互連的質(zhì)量、容量和可用性，支持雙邊和多邊的運(yùn)營(yíng)商互連，可以進(jìn)行國(guó)內(nèi)呼叫、國(guó)際長(zhǎng)途和本地PSTN落話路由。

　　通訊融合

　　無縫連接運(yùn)營(yíng)商和企業(yè)通訊網(wǎng)絡(luò)，完成流量合理化，提供了多種業(yè)務(wù)級(jí)別管理能力，支持SIP中繼、PBX/IP PBX 和H.323/SIP互通、呼叫中心和托管式VoIP應(yīng)用。

　　負(fù)載保護(hù)

　　對(duì)網(wǎng)絡(luò)邊緣的負(fù)載保護(hù)可以通過多級(jí)速率限制策略、登記遏制、用戶認(rèn)證和授權(quán)等方式，使提供高度差異化的語音和多媒體業(yè)務(wù)。