中国移动IMS项目SBC基础培训-20120305

1、HUAWEI TECHNOLOGIES CO., LTDHUAWEI Confidential Security Level: Confidential中国移动IMS SBC 基础培训2012-3-5HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第1章章 什么什么SBC，以及，以及SBC在在IMS网络中的作用网络中的作用第第2章章 SBC产品介绍产品介绍第第3章章 SBC典型配置典型配置HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 1.1 什么是什么是SBC？1.2 为什么需要为什么需要S

2、BC?1.3 SBC的典型使用场景？的典型使用场景？HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 4Whats SBC?lSBC（Session Border Controller）lSE2600作为A-SBC主要提供呼叫接入控制、NAT穿越、QoS、接入安全、媒体防火墙、媒体代理、媒体编解码转换和计费功能。lSE2600作为I-SBC主要提供协议互通、网络间安全、QoS、路由、计费和呼叫接入控制功能lSBC基本功能 SBC的核心功能：为不同子网的IP语音（及视频等其它实时会话业务）信令和媒体提供控制功能； 同时在网络边缘对所处理业

3、务进行安全保障（防攻击、VPN隔离、防火墙等）和QoS控制（policing、marking、rate limiting、CAC、SLA等）。l网络位置：接入或汇聚点, 互通的网络边缘 。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 为什么要使用SBCVoIP部署中遇到的1st问题 信令的NAT/FW穿越uVoIP用户在各自私网（且地址可能重叠）；uNAT/FW不支持VoIP信令（SIP/H323/H248/MGCP/etc.）的ALG，普通的NAT只会修改报文IP层的地址信息（右图中蓝色部分）；u对SIP而言，VoIP用户注册后，核心网上记

4、录的将是其私网地址（右图中红色部分），导致呼叫时信令不通；uNAT/Firewall 通道保活问题，VoIP终端注册完成后长时间不触发业务，NAT/Firewall会将其通道关闭，导致终端做不了被叫业务。NATTerminal核心网核心网TerminalFirewall企业网私网企业网私网HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential VoIP部署中遇到的1st问题 信令的NAT/FW穿越u 解决VoIP信令的NAT/FW穿越的办法通常有以下几个：u升级或替换企业网出口的NAT/FW，使之支持各VoIP信令的ALG企业不愿意买单，VoIP协议升

5、级需要同步升级防火墙u运营商网络中部署特殊设备，实现VOIP的NAT穿越部署方便，能实现大范围接入u因此必须有SBC设备，采用SBC 的叠加方案，不用改造现网设备，无论企业网NAT/FW是否支持ALG，均能将用户顺利接入运营商的VoIP网络。uSBC应用的技术叫Full Proxy，即是全代理。实际上也是即是合设架构的SBC。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential VoIP部署中遇到的2nd问题 安全l终端智能化倾向：终端的能力较强，可以执行攻击程序；l引入软终端：软终端的使用导致在核心网网络中引入了许多IP网的固有安全问题，如DOS攻

6、击等；l核心网设备安全能力：核心网的设备（CSCF/Softswitch）关注信令以及业务处理，不适合做防攻击处理；l资源不受控：比如一个语音终端可以使用超过128Kbps的流量；l平面组网结构：大部分网络架构是终端/AG等设备直接接入，软交换直接对终端可见，报文可以直达软交换等设备。软交换等设备容易受攻击，一台软交换往往负责几万乃至几十万用户的电话接续，如果被攻陷，后果就是灾难性的。；能力越强，责任越大HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential VoIP部署中遇到的2nd问题 安全u 因此需要有某款设备能够部署在核心网周围，为其搭建一个抵

7、御各类攻击的屏障，包括：u普通DoS、DDoS攻击u各类VoIP信令的攻击即便核心网躲在运营商VPN内，也很难抵御此类攻击哦”u 同时需要SBC提供拓扑隐藏功能，屏蔽互通双方的真实IP，从而有效实现安全隔离。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential SBC的典型使用场景Core network A-SBCxDSL/LAN2G/3G PSWiFiDSLAMHOME GWGGSN/PDSNPeer network I-SBCPeer network I-SBC： 部署在两个核心网之间 ；做协议转换，寻址，安全A-SBC： 部署在接入网以及核心

8、网之间；作为代理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential SBC的基本组网A-SBCP-CSCFSIPSIPAccess network信令媒体IMS CNS-CSCFA-SBC3rd party CPRTPBRASHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第1章章 什么什么SBC，以及，以及SBC在在IMS网络中的作用网络中的作用第第2章章 SBC产品介绍产品介绍第第3章章 SBC典型配置典型配置HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confid

9、ential SE2300和SE2600对比概况产品型号SE2300SE2600硬件平台NE20（集中式）NE40E软件平台VRPVRPPGP备份方式双机 设备级备份单板级备份满配容量注册数：50K呼叫数：7K吞吐量：2.5Gbps注册数：600K呼叫数：60K吞吐量：20Gbps应用模式1、NGN：代理、互通网关2、IMS：既可以提供标准Ia接口实现，又可以作全代理1、IMS：A-SBC、I-SBC2、NGN：代理、互通网关HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 13SE2300项目SE2300注册用户数注册用户数50,00

10、0（全代理）；（全代理）；100,000（Midcom）并发呼叫数并发呼叫数7,000转发能力转发能力2.5Gbps媒体流时延媒体流时延50usSBC 2300采用以上固定配置。板卡如面板图所示HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential SE2600lSE2600有三中配置方式： 最小配置： 2块SPU板 支持最大 20万注册用户 配置2： 4块SPU板 支持最大 40万注册用户 最大配置： 6块SPU板 支持 最大60万注册用户SRU（Switching Route Unit），为系统管理、报文交换 SFU（Switching Fabric Unit），数据的交换 SPU（Service Processing Unit），业务处理功能LPU（Line Processing Unit），物理接口。 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidenti