什么是会话边界控制器 (SBC)?

已发表: 2020-08-03

现代 VoIP 解决方案需要几个重要步骤来确保高质量的通话。 这包括执行禁用 SIP ALG 和购买针对互联网协议语音 (VoIP) 连接进行优化的路由器等任务。 您可以采取的另一个步骤是合并一个会话边界控制器,它为您通过电话系统进行的呼叫以及数据传输增加了额外的安全性。

什么是会话边界控制器?

会话边界控制器就像专门为 VoIP 设计的防火墙。 它是一种硬件设备或软件应用程序,用于控制边界网络拓扑的呼叫准入。 在这种情况下,边界是指专用网络与公共 Internet 相接的空间。 作为控制边界的一部分,系统过滤呼叫、管理带宽并防止恶意软件和病毒。

从本质上讲,您网络上的边界控制器将控制呼叫的开始、执行和终止方式——以及所有必要的媒体流和数据传输,以允许发生呼叫。 会话边界控制器将充当您的 VoIP 网络的防火墙,确保每个呼叫都正确发生并在到达目的地的途中受到保护。 这些系统通常与所有 SIP 网络一起部署。

在这种情况下,会话基本上是一个呼叫,但边界控制器还在会话启动协议调用期间管理其他实时视频或数据通信。 在某些方面,会话控制器不同于传统的防火墙。 它查看数据包并通过打开一个端口让数据通过或拒绝访问并删除数据包来授予它们进入专用 IP 网络的权限。

语音和媒体流量需要更多开放端口,这使得网络容易受到 VoIP 安全漏洞的影响 控制器监控流量以确保语音和其他重要流量通过,但恶意软件不会。 此外,虽然防火墙旨在管理较大的数据包,但 SBC 旨在保护更小的 VoIP 数据包的传输,因为传统防火墙有时会错过这些数据包。

会话边界控制器的工作原理

SBC 充当路由器或防火墙,设置在企业网络和服务提供商网络之间。 它可以针对大量用户进行配置,并且对于几乎每个企业来说都会有所不同,具体取决于被认为更重要的内容。

SBC图

1. 通话安全

在最基本的层面上,每个 SBC 都以类似的方式运行。 就像防火墙或路由器一样,控制器将充当网络的看门人。 位于“网络边界”的 SBC 将监控所有电话或会话。 除了监视每个连接之外,控制器还确定并仅允许发生授权的会话。 会话还包括其他媒体数据流,例如视频会议或网络研讨会。 使用这些互通系统之一,只有经过授权的信息才能通过网络连接和传输,以帮助阻止不需要的流量。

会话控制器还利用呼叫限制,以便通过活动连接限制流量。 当诈骗者在与开放端口的连接上生成欺诈性国际电话时,就会发生收费欺诈。 这些通常大量发生在“高级号码”中,并且连接的所有者支付账单。 这种欺诈行为正在增加,因此拥有限制可用带宽的系统将防止欺诈者使用甚至出售对您的中继线的访问控制。

这种缩小的端口可用性还可以防止未经授权的流量进行外部访问,从而减少拒绝服务 (DDOS) 和 IP 电话垃圾邮件 (SPIT) 攻击的机会。 自 2018 年以来, DOS 和其他恶意攻击增加了16% ,因此减少可供访问的端口数量至关重要。

2. 优先级和服务质量 (QoS) 管理

SBC 监控每个会话的服务质量状态,以确保呼叫无延迟或无抖动。 数据在没有任何中断或丢包情况下通过和传输,并优先考虑不同的服务和呼叫。 例如,网络上的紧急呼叫将获得比标准呼叫更高的优先级,以确保它们以最高的 QoS 完成。 这些有助于在您的网络元素上分配资源以及限制速率以防止带宽占用。

容错是另一个关键特性,由于冗余,可确保 99.999% 的网络正常运行时间。 控制器机箱内冗余允许单个单元具有多个内部实例,这样,当一个会话遇到故障时,其他实例可以弥补这一缺陷。 此外,单个单元与网络上的其他硬件或软件协同工作,以确保存在冗余。

3. 协议翻译和连接

SBC 可以帮助弥合不同服务提供商网络上的多个 VoIP 连接之间的差距。 如果您的企业不仅使用中继服务,还使用通用的基于 SIP 甚至传统 PSTN 系统,SBC 可以提供协议转换。 事实上,它甚至可以充当 SIP 到 WebRTC 网关。

这些允许网络地址转换器 (NAT) 横向和 Ipv4 到 Ipv6 的转换。 NAT 横向对于点对点文件共享和语音至关重要,因为它通过网络层在两个设备之间建立隧道。 NAT 旨在帮助网络克服有限数量的 IP 版本 4 专用地址。 现代会话发起协议连接倾向于忽略 NAT,因此需要 SBC 来创建连接。

SBC 还有助于跨网关或将 IP 协议版本 4 转换为版本 6 时保持连接。这很重要,因为与 IPv4 相比,版本 6 对 VoIP 更友好,并且提供无限数量的 IP 地址。 这使得路由器的连接工作变得更容易,而 SBC 用作通过 NAT 进行呼叫的接口。

如何部署 SBC

有几个不同的地方可以放置 SBC:

  • 在电信提供商和客户之间的边界。 这是你能找到的最常见的地方。
  • 在具有对等协议的两个不同提供商的边界上,称为网络到网络接口。
  • 在提供虚拟专用网络的提供商内。 SBC 负责每个 VPN 内的呼叫路由。
  • 在专用网络内。 如果两个高带宽站点通过低带宽主干连接,SBC 可确保主干不会被语音流量淹没。

会话边界控制器随着业务规模的增长而增长。 用于处理十几个呼叫的 SBC 的硬件可能在 2000 美元左右,但制造企业 SBC 可以处理数千个呼叫并花费数万美元。 毫无疑问,SBC 市场是一个竞争激烈的市场,硬件领域的主要公司都发布了关于标准和企业会话边界控制器重要性的白皮书

对于大多数企业,尤其是企业而言,网络安全通常是一个主要问题。 即使在部署云 PBX或 SIP 网络来处理您的实时通信时,安全性也是一个高度关注的问题,因为传输的语音数据可能会被未经授权的耳朵截获和听到。 使用统一通信工具传输文件或发送文本也是如此。

SIP 呼叫期间寻求保护您的网络时,硬件或软件网络防火墙应充当该网络的看门人。 最重要的是,边界控制器有助于锁定通过您的电话传递的所有信息。

了解会话边界控制器

在部署互联网语音解决方案时,您永远不必担心 SBC,尤其是托管部署。 这是因为一切都在提供商的后端处理,因此您的企业不会与网络、数据中心或任何类型的 SBC 硬件或软件有任何真正的联系。 但是,对于本地解决方案,请在企业网络的两端放置一个。

桑格玛路由器

对于任何有安全意识的企业,了解会话边界控制器如何保护您的 VoIP 呼叫以在寻找新解决方案时做出最佳决策是有益的。

解决 NAT 问题的方法

通常,企业会遇到网络地址转换或 NAT 的问题。 这是一种为多个连接重用 IP 地址的方法。 由于我们当前的 IPv4 的 IP 地址数量有限,因此需要 NAT 以允许单个设备充当本地网络和 Internet 之间的网守。

使用 NAT,整个计算机网络只需要一个 IP 地址。 当然,这只是 NAT 帮助提高网络安全性的一种用途。 在实践中,NAT 设置经常混淆网络,使来自公共互联网的连接无法到达最终用户。 但是,这些通常用于解决任何 NAT 穿越问题。

由于 SBC 充当该网络上用户的公共连接,连接将始终具有通过 SBC 与用户互连的路径。 这取代了使用整个网络的通用 IP 地址搜索特定用户的行为。

虚拟会话边界控制器

除了硬件设备之外的另一个选择是云托管和优化的虚拟边界控制器。 具有虚拟化功能的 SBC 安装在网络机器上,并提供与硬件对应物相同的功能。

虚拟 SBC 相对于本地硬件的优势与云部署解决方案的一般优势相呼应。 简而言之,因为一切都是托管的,因此由提供商在云的后端进行处理,因此不需要 IP 电话(VoIP 电话)和计算机之外的任何硬件设备。 由于它都在云中,因此保护具有很强的可扩展性。 事实上,它甚至可以设置为自动化功能。

您的网络应该使用 SBC 吗?

您的企业是否认为有必要将 SBC 纳入您的语音解决方案取决于多种因素。 不仅如此,您的业务优先级将有助于确定控制器是否已根据您的需要进行使用和配置。

如果您的提供商已经在使用边界控制器,那么最好也使用本地或虚拟化 SBC 来补充您的网络。 如果您希望避免额外的硬件问题和成本,虚拟 SBC 就足够了。 如果安全性被认为是您的业务高度关注的问题,那么会话边界控制器对于确保网络的最高安全级别至关重要。

想了解更多关于如何保护您宝贵的SIP 干线的信息 查看我们关于该主题的指南; 我们还会向您介绍一些顶级供应商,并告诉您每个供应商的优缺点。