三匯SBC為企業(yè)VoIP通訊系統保駕護航——NAT穿透篇

　　在體業(yè)務(wù)的NAT穿越，如今越來(lái)越多的企業(yè)開(kāi)始采用IP-PBX、軟交換、MCU等產(chǎn)品構建內部IP通信系統，并用基于IP網(wǎng)絡(luò )承載數據、企業(yè)VoIP通信系統建設的過(guò)程中，最重要的終端接入安全和VoIP多媒語(yǔ)音、視頻、消息等多種業(yè)務(wù)，以降低通信成本、實(shí)現靈活部署、提供新業(yè)務(wù)功能，提升企業(yè)內外部溝通效率與核心競爭力。

　　但在IP通信系統為用戶(hù)帶來(lái)諸多便利的同時(shí)，也造成了一些其他麻煩。其中在復雜網(wǎng)絡(luò )情況下的IP多媒體業(yè)務(wù)的AT穿越、終端用戶(hù)的安全接入是許多企業(yè)建設管理VoIP通信系統時(shí)非常困擾的問(wèn)題。

　　用SBC實(shí)現IP多媒體業(yè)務(wù)NAT穿越

　　許多大中型企業(yè)對于信息安全對非常重視，數據網(wǎng)絡(luò )中部署了大量防火墻設備，同時(shí)由于安全及IP地址資源等因素，許多分支機構和部門(mén)采用私網(wǎng)IP地址并在網(wǎng)絡(luò )出口處啟用NAT地址轉換。由于通常NAT/防火墻設備僅對IP和UDP/TCP報文頭的地址及端口號進(jìn)行轉換，并不對消息中的媒體連接信息進(jìn)行轉換，從而造成NAT/防火墻不支持SIP/H.323/H.248/MGCP等IP通信協(xié)議的有效傳輸。比如對于SIP協(xié)議，終端用戶(hù)注冊后呼叫控制設備上記錄的將是其私網(wǎng)地址，導致呼叫時(shí)信令不通。因此IP多媒體業(yè)務(wù)無(wú)法跨越普通的NAT設備。

　　SBC組網(wǎng)示意圖

　　NAT穿越的傳統解決方案是啟用防火墻ALG（（Application Level Gateway，應用層網(wǎng)關(guān)）功能，ALG作為NAT的增強，在地址轉換時(shí)對IP報文頭中內嵌的相應地址信息字段（例如重寫(xiě)SIP協(xié)議Register消息中的Contact字段）也進(jìn)行轉換。但如果全網(wǎng)規模部署IP多媒體業(yè)務(wù)，需對現網(wǎng)大量防火墻進(jìn)行ALG升級，成本高、實(shí)施繁瑣。

　　在現實(shí)應用的場(chǎng)景中，終端將IP-PBX/軟交換等核心控制設備的地址設置為SBC Proxy的地址，終端注冊到核心設備時(shí)，SBC創(chuàng )建相應的地址映射表項，當終端開(kāi)始呼叫時(shí)，SBC修改相應的地址信息，將報文發(fā)送給真正的核心設備，所有的信令流、媒體流都可經(jīng)過(guò)SBC進(jìn)行轉發(fā)，另外也可設置媒體流旁路

　　由于SBC重新指定內網(wǎng)/外網(wǎng)用戶(hù)信令/媒體流的接收地址和端口，可以方便地實(shí)現不同網(wǎng)絡(luò )域之間的地址轉換（包括公網(wǎng)/私網(wǎng)地址之間的轉換），為信令/媒體流穿越NAT提供了技術(shù)保障。

　　SBC最早是應用于電信運營(yíng)商NGN領(lǐng)域的一種產(chǎn)品形態(tài)，定位在電信NGN網(wǎng)絡(luò )的IP業(yè)務(wù)網(wǎng)關(guān)，解決NGN業(yè)務(wù)部署中遇到的NAT/FW穿越、安全、互通、QoS等問(wèn)題。SBC設備采用Full Proxy（全代理）方式定向傳輸信令/媒體流. 三匯SBC（Session Border Controller）作為企業(yè)融合通信整體解決方案中的重要部件，通常被部署在企業(yè)網(wǎng)絡(luò )的出口處，用于跨接不同IP域內的IP語(yǔ)音話(huà)務(wù)，并提供網(wǎng)絡(luò )安全保障，在企業(yè)級VoIP通訊系統中發(fā)揮著(zhù)重要的作用。

　　SBC500功能描述：

1. 實(shí)現Dos/DDos 防護
2. 可進(jìn)行QOS/ TOS/DSCP設置
3. 可信令加密（TLS/IPSec）和媒體加密（SRTP）
4. 可實(shí)現NAT穿透，SIP/H.323/H.248協(xié)議互通
5. 支持IPV4、IPV6及VPN
6. 具有負載均衡/流量策略/速率限制功能
7. 可實(shí)現媒體資源RTP編碼格式轉換
8. 電話(huà)盜打防護，可實(shí)現多機冗余

　　確保安全運營(yíng)

　　SBC會(huì )話(huà)邊界控制器可以為企業(yè)通訊系統提供安全的運營(yíng)級的實(shí)時(shí)通信解決方案，協(xié)助企業(yè)實(shí)現和提供新的業(yè)務(wù)產(chǎn)品。通過(guò)綜合的安全性、策略實(shí)施和會(huì )話(huà)管理功能，在IP網(wǎng)絡(luò )邊界為企業(yè)提供更先進(jìn)的功能、靈活性和更高的性能。

　　靈活呼叫控制

　　提供安全的連接與控制，以主動(dòng)精細管理網(wǎng)間互連的質(zhì)量、容量和可用性，支持雙邊和多邊的運營(yíng)商互連，可以進(jìn)行國內呼叫、國際長(cháng)途和本地PSTN落話(huà)路由。

　　通訊融合

　　無(wú)縫連接運營(yíng)商和企業(yè)通訊網(wǎng)絡(luò )，完成流量合理化，提供了多種業(yè)務(wù)級別管理能力，支持SIP中繼、PBX/IP PBX 和H.323/SIP互通、呼叫中心和托管式VoIP應用。

　　負載保護

　　對網(wǎng)絡(luò )邊緣的負載保護可以通過(guò)多級速率限制策略、登記遏制、用戶(hù)認證和授權等方式，使提供高度差異化的語(yǔ)音和多媒體業(yè)務(wù)。