02 SE1000 V300R002C10 A-SBC基本特性介绍和应用

SE1000V300R002C101.0焦红旭/1613512015.11.16陈美玲/224892优化吴凤伟/3262992015.10.08薛永革/151603优化SE1000A-SBC基本特性介绍和应用本课程主要介绍了SE1000作为A-SBC的基本工作原理。包括SIP注册和呼叫原理，SIP保活与流量控制，及相关配置。学完本课程后，您将能够：熟悉SE1000作为A-SBC的基本特性。了解A-SBC特性的原理、流程。熟悉A-SBC的特性配置和验证。A-SBC基础概述SIP注册原理SIP呼叫原理数据规划配置指南A-SBC增强特性A-SBC概述SE1000有两种工作模式：A-SBC和I-SBC。当SE1000部署在企业网络边缘，用于实现终端接入时的注册、呼叫、隐藏拓扑等功能时，需要配置SE1000作为A-SBC。SE1000作为A-SBC进行应用，需要进行基础业务数据规划，及安全数据规划。A-SBC基础概述SIP注册原理SIP呼叫原理数据规划配置指南A-SBC增强特性SIP注册场景信令流SIP初始注册和重注册SIP用户通过SBC接入时，注册业务包括如下场景：初始注册流程该流程由用户终端UE发起。初始注册成功后，用户就拥有了呼叫权限。重注册流程该流程由UE发起。初始注册成功后，用户的归属网络会登记用户的注册时长Expires1。当用户的已注册时长接近Expires1时（一般是在Expires1的一半时），UE需要向网络侧发起新的注册请求，即重注册。用户发起的重注册流程与初始注册流程类似，差异是SBC不再为UE重新分配核心侧信令IP地址/端口，而是使用初始注册时为其分配的信令IP地址/端口。SIP注销和注册缓存注销流程该流程由UE发起。主要应用于用户注册超时，并且未发起新的注册请求，或者用户销户。注销流程需要将SBC上用户的注册状态从“已注册”变为“未注册”。用户发起的注销流程与初始注册流程类似，差异是在注销流程中，REGISTER消息的Expires头域携带的注册时长为0。详细流程描述和关键消息内容请参见初始注册流程。注册缓存流程SBC通过修改报文中的注册刷新时间间隔（Contact头域的“expires”参数值和Expires头域值），改变SIP用户发起重注册请求的频率及转发SIP用户的重注册请求的频率。SIP初始注册流程图Page10发起注册(1)1.UE发起注册，注册报文的源地址/端口和联系地址/端口均为UE的私网地址/端口。消息样例如下：2.

NAT设备分配一个公网地址/端口，将注册报文头部的源地址修改为NAT设备分配的公网地址，并转发该报文给SBC。IP报文头部样例如下：

发起注册(2)3.SBC接收到注册报文后，分配核心侧信令地址/端口，将消息中的源IP地址/端口修改为SBC核心侧信令IP地址/端口，将Contact头域地址修改为SBC核心侧信令IP地址，然后向配置的核心网设备发起注册请求。消息样例如下：

注册响应(1)4.核心网给SBC回401响应，表明要求对SBC进行鉴权认证。消息样例如下：

注册响应(2)5.

SBC接收到401响应报文后，将消息中的源IP地址/端口修改为SBC接入侧信令IP地址/端口，将目的IP地址/端口修改为UE经过NAT设备的公网地址/端口，并向NAT设备转发该响应报文。消息样例如下：6.NAT设备接收到401响应报文后，将该报文中的目的IP地址修改为UE的地址，并转发该报文给UE。IP报文头部样例如下：

携带鉴权信息注册7.

UE收到401响应后，根据本地的密钥对核心网进行认证，认证通过则表明401消息来源于用户真实的归属网络。再基于密钥计算出RES（Response），重新构造REGISTER消息，携带RES，按照初始注册请求的路径发给NAT设备。消息样例如下：

鉴权通过(1)8.

NAT设备接收到注册请求报文，将注册报文头部的源地址修改为NAT设备分配的公网地址，并转发该报文给SBC。9.

SBC接收到注册报文后，将消息中的源IP地址/端口修改为SBC核心侧信令IP地址/端口，将Contact头域地址修改为SBC核心侧信令IP地址，然后向配置的核心网设备发起注册请求。10.核心网对UE身份认证通过后，向SBC发送200OK响应报文，消息样例如下：

鉴权通过(2)11.

SBC接收到200OK响应后，将消息中的源IP地址/端口修改为SBC接入侧信令IP地址/端口，将目的IP地址/端口修改为NAT设备的公网地址/端口，将Contact头域地址/端口修改为UE的源IP地址/端口，并转发该响应给NAT设备。消息样例如下：

12.

NAT设备接收到200OK响应报文后，将该报文中的目的IP地址修改为UE的地址，并转发该报文给UE，完成初始注册过程。

SIP注册缓存流程图在缓存时限内，SBC终结重注册消息。超过缓存时限，SBC转发重注册消息，并刷新注册时间。SBC为什么需要开启注册缓存功能？（）节省SBC信令开销节省核心侧信令开销提高用户重注册效率提高安全性用户注销流程与注册流程的区别是什么？（）消息类型不同消息参数类型不同消息参数值不同

A-SBC基础概述SIP注册原理SIP呼叫原理数据规划配置指南A-SBC增强特性SIP呼叫SIP呼叫是指使用SIP协议来创建、修改和终结多媒体会话，并通过与SDP协议配合实现会话属性的动态调整和修改，如会话带宽要求、传输的媒体类型（语音、视频和数据等）、媒体的编解码格式。Page21SIP主叫呼叫流程ABCF与BGF是SBC内部的两个处理实体。在开局阶段规划SBC作为A-SBC使用时，需要增加ABCF实体。ABCF实体实现SBC的信令代理功能。ABCF负责完成控制协议接入和安全等功能，支持SIP协议接入，以及支持控制BGF完成媒体接入、音频编解码转换等功能。在开局阶段规划SBC作为BGF使用时，需要增加BGF实体。BGF实体实现SBC的媒体代理功能。BGF负责完成媒体面消息的处理，支持RTP、RTCP、MSRP等协议接入功能。Page22主叫INVITE请求处理Page23主叫183响应及Prack处理

主叫Update更新媒体

主叫180放音及200接通流程

Page26主叫挂机流程

Page27SIP被叫呼叫流程Page28被叫INVITE请求处理Page29被叫183及Prack处理Page30被叫180放音及摘机接通流程Page31主叫挂机，被叫侧释放流程Page32SBC在A-SBC场景呼叫流程包括哪些实体？（）EATFABCFBGFATCFSIP呼叫通过什么信息进行能力协商？（）SIP消息首行SIP消息头域SDPBody体

A-SBC基础概述SIP注册原理SIP呼叫原理数据规划配置指南A-SBC增强特性A-SBC组网连线图A-SBC典型应用场景SBC代理用户AIPSBC代理用户BIP用户BIP防火墙IP用户AIPA-SBC数据规划对接数据规划端口和端口IP规划业务IP规划（可选）公网地址和私网地址转换规划软交换IP地址和端口规划（可选）IP静态路由规划（可选）高级参数规划A-SBC数据规划对接数据规划对接数据端口和端口IP规划接口名称和接口IP参数取值样例说明接入网名称SIPAN_A本端规划。规划多个时，该参数必须不同。（可选）终端IPv4地址网段0本端规划。规划多个时，该参数必须不同。共同确定接入网允许接入的终端子网网段。（可选）终端IPv4地址掩码核心网名称ASIPTG_001本端规划。规划多个时，该参数必须不同。SE1000路由器/防火墙物理端口接口IP接口IPPORT1/24管理网络PORT2-预留-PORT3/24外网PORT4/24内网A-SBC数据规划业务IP规划

接入侧信令IP、媒体IP和接入侧接口IP相同，不需要重复申请；核心侧信令IP、媒体IP和核心侧接口IP相同，也不需要重复申请。业务IP业务端口接入侧（外网侧）核心侧（软交换侧）接入侧信令+媒体地址、掩码接入侧信令媒体地址合一核心侧信令+媒体地址、掩码核心侧信令媒体地址合一/24勾选/24勾选接入侧（外网侧）核心侧（软交换侧）信令端口媒体端口范围信令端口范围媒体端口范围5060（默认）不支持配置，在10004～61000间动态分配不支持配置：信令媒体合一时，在10000～29999间动态分配。信令媒体不合一时，在10000～60000间动态分配。不支持配置：信令媒体合一时，在30000～61000间动态分配。信令媒体不合一时，在10004～61000间动态分配。A-SBC数据规划（可选）公网地址和私网地址转换规划

私网地址是SE1000的接入侧业务IP，公网地址是近端防火墙的外网侧IP。公网地址和私网地址软交换IP地址和端口规划

服务器IP地址和端口需要从对端获取。

在Web界面上，对应“对端信令地址”参数。对端信令地址私网地址（接入侧业务地址）公网地址（近端防火墙地址）对端信令地址（服务器IP）对端信令端口（服务器Port）（可选）局向优先级05070100A-SBC数据规划（可选）IP静态路由规划

SE1000与对端设备通过二层交换机互连时，不需要配置到对端设备的IP静态路由。接入侧路由数据核心侧路由数据参数取值样例(to_eSight)取值样例（to_外网UE）网络目标0（默认）网络掩码（默认）网关参数取值样例(to_eSight)取值样例(to_企业内网服务器)网络目标0网络掩码网关A-SBC数据规划（可选）高级参数规划

参数取值样例说明传输层协议（外网）UDP：5060TCP：5060默认已配置UDP、TCP协议，端口号为5060。SE1000与终端或核心侧之间采用TLS协议对SIP信令报文进行加密传输，以保证信令报文在传输过程中的安全性时，可配置TLS，端口默认为5061。配置TLS协议时，按如下配置参数上传证书。

启用SRTP去勾选当传输层协议配置为TLS时，显示该参数。当需要对非信任网络中传输的媒体报文使用SRTP协议加密，以确保通信内容的安全性时，可勾选该参数。媒体流旁路勾选为了节省网络带宽资源，可以在SBC上开启媒体流旁路功能，使同一SBC下的用户之间通话时媒体流不经过SBC设备，直接在主被叫用户间进行传递。启用音频编解码转换勾选当SE1000两侧主被叫的媒体格式不一致时，为实现媒体互通，满足基本会话要求，需要SE1000进行编解码转换。启用心跳检测去勾选SE1000与对端企业内网设备间进行OPTIONS探测，用于检测内网对端设备是否故障场景时，勾选该参数。本端检测端口5060“启用心跳检测”勾选时，显示该参数。A-SBC基础概述SIP注册原理SIP呼叫原理数据规划配置指南A-SBC增强特性A-SBC配置-eSBC使用管理员帐户登录华为eSBC操作维护系统。配置A-SBC基础业务。加载License。（可选）配置安全数据。登录eSBC操作维护系统配置A-SBC基础业务在导航栏中选择“业务配置>A-SBC基础业务”。单击“添加”，按数据规划，依次输入或选择各项参数。单击“确定”，完成A-SBC基础业务配置。加载License在导航栏中选择“业务配置>License管理”。单击，弹出提示对话框。单击“Ctrl+C”，将提示对话框中的ESN号拷贝并保存到本地。单击“License激活”栏中的，选择需要上载的License文件。单击“激活”，激活License文件。License控制项说明License名称SE1000-E300SE1000-E600SE1000-SW基本软件(每呼叫)√√√加密功能(每呼叫)√√√双机热备(每呼叫)×√√音频编解码转换(每呼叫)×√√（可选）配置安全数据(1)配置项目操作描述操作结果IP安全策略缺省支持如下为IP安全：防御Smurf攻击、防御WinNuke攻击、防御Fraggle攻击、丢弃Tracert报文建议使用默认配置，如果缺省配置已经满足网络安全的需要，不需要修改IP安全参数。业务安全输入接入侧或核心侧的最大允许的IP报文长度。根据实际组网情况，选择是否勾选“防止媒体带宽盗用”和“丢弃非法媒体报文”。SE1000收到长度超过设定阈值的最大IP报文，则将其丢弃。ACL规则表单击“添加”，设置ACL规则组参数。单击“确定”，完成添加ACL规则组。单击“添加”，设置ACL安全数据。单击“确定”完成。通过ACL规则和流量策略，可以开放设备维护和业务运行中必须使用的地址和端口，关闭不使用的端口，防止这些端口受到攻击。默认显示10条ACL规则表或流量策略信息，可设置显示25、50或100条。流量策略信息单击“接口”右侧的下拉框，选择需要配置的接口。单击“添加”，设置流量策略信息。单击“确定”完成。（配置图示见右侧“添加流量策略信息”。）（可选）配置安全数据(2)配置项目操作描述操作结果白名单单击“添加”，设置白名单参数。单击“确定”完成。通过配置白名单/黑名单，可以提升SE1000安全防护的灵活性和安全性。黑名单单击“添加”，设置黑名单参数。单击“确定”完成。SIP注册关键配置(LMT)ADDSIPAN当SE1000处于SIP网络，使用ABCF功能时，需要使用该命令配置接入网信息，如网络接入方式、媒体归属域、限制终端的网络、地址掩码等。SE1000根据终端用户的IP地址和该命令的参数“终端IP地址网段”、“终端IP子网掩码”进行匹配以确定用户来自哪个接入网。命令参数的索引关系如右图所示。

SIP注册关键参数(LMT)ADDSIPANADDSIPAN时将“注册缓存策略”修改为强制支持，则需要同时配置“接入侧注册缓存时间(秒)”、“核心侧注册缓存时间(秒)”。参数标识参数名称参数实例BUFREGPLY注册缓存策略FSUP(强制支持)ABUFREGT接入侧注册缓存时间(秒)20CBUFREGT核心侧注册缓存时间(秒)30SIP呼叫ABCF关键配置(LMT)ADDABCF该命令用于在OMU数据库中增加一条ABCF实体记录。一个网元下只能配置一个ABCF实体。使用实例如下。ADDABCF时，需要指定“实体名称”、“域名”、“主机名”配置。参数标识参数名称参数实例EN实体名称entity1DN域名HN主机名SIP呼叫BGF关键配置及参数(LMT)ADDBGF命令一个网元下只能配置一个BGF实体。使用实例如下。ADDBGF时，需要指定“实体名称”、“域名”、“主机名”配置。参数标识参数名称参数实例EN实体名称entity1DN域名HN主机名A-SBC基础A-SBC增强特性SIP保活和NAT穿越流量控制SIP保活和NAT穿越SIP保活SBC定期向NAT设备发送UDP保活报文，刷新NAT上的地址映射表项的老化时间以维持信令通道和NAT上的地址映射表项。NAT穿越SIP应用的地址是在应用层，SBC通过为终端的信令或媒体流重新指定接收地址和端口，实现NAT设备穿越。信令NAT穿越(上行)信令NAT穿越：网络层IP和传输层端口替换示意图（上行）终端发送初始注册报文过程中，REGISTER报文经过NAT设备时网络层IP和传输层端口的替换示意如下图所示。NAT设备根据接收和发送报文的蓝色源IP和源Port建立NAT表项（1/19200—>4/42261）；SBC根据接收报文的蓝色部分识别终端通过NAT与其连接。Page57信令NAT穿越(下行)信令NAT穿越：网络层IP和传输层端口替换示意图（下行）核心网设备及SBC响应终端的初始注册报文过程中，200OK报文的网络层IP和传输层端口的替换示意如下图所示。SBC将网络层IP及传输层端口替换成NAT后的IP地址及端口后，将200OK报文发送给NAT，NAT设备根据终端发送初始REGISTER报文时建立的NAT表项（1/19200—>4/42261），将200OK报文发送给终端。Page58信令NAT保活信令NAT保活SIP保活和NAT穿越，包括如下几种保活方式：Hello报文保活、PING/PONG报文保活和重注册报文保活。Page59保活方式消息发送方向应用场景和限制对系统的影响Hello报文保活SBC->UE该保活方式适用于A-SBC的SIPoverUDP场景。终端的发送端口与接收端口必须一致。对系统性能影响较小，可忽略不计。PING/PONG报文保活UE->SBC该保活方式适用于A-SBC的SIPoverTCP场景对系统性能影响较小，可忽略不计。重注册报文保活UE->SBC该保活方式适用于A-SBC场景，对传输层协议没有要求。终端重注册间隔越短，SE1000每秒需要处理的注册报文会增多，对系统的影响越大。媒体NAT穿越媒体锁定前媒体锁定媒体锁定后媒体锁定前Page61

媒体锁定前媒体锁定媒体锁定后媒体锁定Page62媒体锁定前媒体锁定媒体锁定后媒体锁定后Page63媒体锁定前媒体锁定媒体锁定后SIP保活及NAT穿越关键配置(LMT)ADDSIGPLC当用户需要对信令自定义特殊的处理方式时，用户可以根据自己的业务与组网来增加信令策略记录。对于ABCF，在操作员执行命令ADDABCF后，系统将自动添加一条默认的承载控制策略，其名称为“DEFAULTABCFBCPLC”。信令策略表可容纳的最大记录数为6000个，超过6000后就不能添加。对于ABCF的“DEFAULTABCFSIGPLC”的参数项均有初始设置，在无特殊要求时可不进行相关配置。SIP保活及NAT穿越关键参数(LMT)ADDSIGPLCADDSIGPLC时，可以修改“信令NAT策略”及“信令NAT保活方式”配置。Page65参数标识参数名称参数实例SIGNAT信令NAT策略NAT(经过NAT)KEEPLIVE信令NAT保活方式UDPPKG(UDP报文)SIP保活及NAT穿越关键参数(LMT)ADDABCFADDABCF时，可以修改“UDP报文保活NAT的周期(秒)”及“UDP保活报文”配置。Page66参数标识参数名称参数实例HALIVECYCUDP报文保活NAT的周期(秒)40UKAPKGUDP保活报文helloSIP保活和NAT穿越，有哪几种保活方式？（）Hello报文保活PING/PONG报文保活重注册报文保活媒体NAT穿越包括哪几个阶段？（）媒体锁定前媒体锁定媒体锁定后

A-SBC基础A-SBC增强特性SIP保活和NAT穿越流量控制流量控制注册风暴和呼叫风暴是网络中常见的业务场景，在此类业务风暴场景下，大量的业务报文同时到达SBC，导致业务流量超过设备的处理能力，可能造成设备对业务的处理成功率下降甚至瘫痪。同时，业务的成功率下降，可能进一步加剧业务风暴，形成恶性循环，使业务长时间无法恢复。流量控制（简称流控）特性通过解析业务报文类型、队列加权调度和快速响应等功能，在确保系统稳定的前提下，保证紧急业务等高优先级的业务成功率，同时尽量提升普通优先级业务的成功率，减少系统的无效开销，使业务风暴快速收敛。相关概念首消息在一个独立的业务流程中的第一个SIP消息。后续消息在一个独立的业务流程中的除首消息外的所有其他消息为后续消息。丢弃后续消息会导致系统资源的浪费，降低业务成功率。WAL呼叫接入限制WAL（WindowAccessLimit）表示系统在一秒钟内能够处理的业务总量。SBC能够根据CPU占用率的变化动态调整WAL，实现流量控制。Page70优先级队列调度SBC会对接收到的消息进行解析，根据消息类型将消息划分到不同的优先级队列中等待调度，各优先级队列的描述如下：Page71队列编号队列名称队列功能描述队列调度方式1中间消息队列缓存响应消息和对话内的请求消息。高优先级2心跳消息队列缓存用户的重注册请求消息和设备间的OPTIONS探测消息。高优先级3注册间消息队列暂时未使用。高优先级4紧急呼叫消息队列缓存紧急呼叫的INVITE消息。高优先级5白名单消息队列缓存白名单用户的请求消息。高优先级6被叫消息队列在A-SBC场景下，缓存核心侧发送的INVITE消息。普通优先级，加权调度7中继呼叫消息队列在I-SBC场景下，缓存INVITE消息。普通优先级，加权调度