1、HUAWEI TECHNOLOGIES CO., LTDHUAWEI Confidential Security Level: Confidential中國移動IMS SBC 基礎培訓2012-3-5HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第1章章 什么什么SBC，以及，以及SBC在在IMS網絡中的作用網絡中的作用第第2章章 SBC產品介紹產品介紹第第3章章 SBC典型配置典型配置HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 1.1 什么是什么是SBC？1.2 為什么需要為什么需要S

2、BC?1.3 SBC的典型使用場景？的典型使用場景？HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 4Whats SBC?lSBC（Session Border Controller）lSE2600作為A-SBC主要提供呼叫接入控制、NAT穿越、QoS、接入安全、媒體防火墻、媒體代理、媒體編解碼轉換和計費功能。lSE2600作為I-SBC主要提供協議互通、網絡間安全、QoS、路由、計費和呼叫接入控制功能lSBC基本功能 SBC的核心功能：為不同子網的IP語音（及視頻等其它實時會話業務）信令和媒體提供控制功能； 同時在網絡邊緣對所處理業

3、務進行安全保障（防攻擊、VPN隔離、防火墻等）和QoS控制（policing、marking、rate limiting、CAC、SLA等）。l網絡位置：接入或匯聚點, 互通的網絡邊緣 。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 為什么要使用SBCVoIP部署中遇到的1st問題 信令的NAT/FW穿越uVoIP用戶在各自私網（且地址可能重疊）；uNAT/FW不支持VoIP信令（SIP/H323/H248/MGCP/etc.）的ALG，普通的NAT只會修改報文IP層的地址信息（右圖中藍色部分）；u對SIP而言，VoIP用戶注冊后，核心網上記

4、錄的將是其私網地址（右圖中紅色部分），導致呼叫時信令不通；uNAT/Firewall 通道?；顔栴}，VoIP終端注冊完成后長時間不觸發業務，NAT/Firewall會將其通道關閉，導致終端做不了被叫業務。NATTerminal核心網核心網TerminalFirewall企業網私網企業網私網HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential VoIP部署中遇到的1st問題 信令的NAT/FW穿越u 解決VoIP信令的NAT/FW穿越的辦法通常有以下幾個：u升級或替換企業網出口的NAT/FW，使之支持各VoIP信令的ALG企業不愿意買單，VoIP協議升

5、級需要同步升級防火墻u運營商網絡中部署特殊設備，實現VOIP的NAT穿越部署方便，能實現大范圍接入u因此必須有SBC設備，采用SBC 的疊加方案，不用改造現網設備，無論企業網NAT/FW是否支持ALG，均能將用戶順利接入運營商的VoIP網絡。uSBC應用的技術叫Full Proxy，即是全代理。實際上也是即是合設架構的SBC。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential VoIP部署中遇到的2nd問題 安全l終端智能化傾向：終端的能力較強，可以執行攻擊程序；l引入軟終端：軟終端的使用導致在核心網網絡中引入了許多IP網的固有安全問題，如DOS攻

6、擊等；l核心網設備安全能力：核心網的設備（CSCF/Softswitch）關注信令以及業務處理，不適合做防攻擊處理；l資源不受控：比如一個語音終端可以使用超過128Kbps的流量；l平面組網結構：大部分網絡架構是終端/AG等設備直接接入，軟交換直接對終端可見，報文可以直達軟交換等設備。軟交換等設備容易受攻擊，一臺軟交換往往負責幾萬乃至幾十萬用戶的電話接續，如果被攻陷，后果就是災難性的。；能力越強，責任越大HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential VoIP部署中遇到的2nd問題 安全u 因此需要有某款設備能夠部署在核心網周圍，為其搭建一個抵

7、御各類攻擊的屏障，包括：u普通DoS、DDoS攻擊u各類VoIP信令的攻擊即便核心網躲在運營商VPN內，也很難抵御此類攻擊哦”u 同時需要SBC提供拓撲隱藏功能，屏蔽互通雙方的真實IP，從而有效實現安全隔離。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential SBC的典型使用場景Core network A-SBCxDSL/LAN2G/3G PSWiFiDSLAMHOME GWGGSN/PDSNPeer network I-SBCPeer network I-SBC： 部署在兩個核心網之間 ；做協議轉換，尋址，安全A-SBC： 部署在接入網以及核心

8、網之間；作為代理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential SBC的基本組網A-SBCP-CSCFSIPSIPAccess network信令媒體IMS CNS-CSCFA-SBC3rd party CPRTPBRASHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第1章章 什么什么SBC，以及，以及SBC在在IMS網絡中的作用網絡中的作用第第2章章 SBC產品介紹產品介紹第第3章章 SBC典型配置典型配置HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confid

9、ential SE2300和SE2600對比概況產品型號SE2300SE2600硬件平臺NE20（集中式）NE40E軟件平臺VRPVRPPGP備份方式雙機 設備級備份單板級備份滿配容量注冊數：50K呼叫數：7K吞吐量：2.5Gbps注冊數：600K呼叫數：60K吞吐量：20Gbps應用模式1、NGN：代理、互通網關2、IMS：既可以提供標準Ia接口實現，又可以作全代理1、IMS：A-SBC、I-SBC2、NGN：代理、互通網關HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 13SE2300項目SE2300注冊用戶數注冊用戶數50,00

10、0（全代理）；（全代理）；100,000（Midcom）并發呼叫數并發呼叫數7,000轉發能力轉發能力2.5Gbps媒體流時延媒體流時延50usSBC 2300采用以上固定配置。板卡如面板圖所示HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential SE2600lSE2600有三中配置方式： 最小配置： 2塊SPU板 支持最大 20萬注冊用戶 配置2： 4塊SPU板 支持最大 40萬注冊用戶 最大配置： 6塊SPU板 支持 最大60萬注冊用戶SRU（Switching Route Unit），為系統管理、報文交換 SFU（Switching Fabric Unit），數據的交換 SPU（Service Processing Unit），業務處理功能LPU（Line Processing Unit），物理接口。 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidenti