售前電話
135-3656-7657
售前電話 : 135-3656-7657
通過(guò)“專(zhuān)用網(wǎng)絡(luò)+BAC全代理”的接入層組網(wǎng)模式,可以在很大程度上解決軟交換網(wǎng)絡(luò)的用戶(hù)安全管理、私網(wǎng)地址穿越以及防止用戶(hù)非法旁路軟交換設(shè)備等問(wèn)題,也可以在一定程度上解決QoS保障問(wèn)題,這是目前提出的一種實(shí)用化的解決方案。
一、QoS問(wèn)題解決方式
IP網(wǎng)絡(luò)技術(shù)目前還不能徹底解決QoS問(wèn)題,在現(xiàn)有的公共IP網(wǎng)絡(luò)上還不能為軟交換網(wǎng)絡(luò)提供大規(guī)模的有QoS保障的承載服務(wù),采用“專(zhuān)用網(wǎng)絡(luò)+BAC全代理”方式能夠在一定程度上解決軟交換網(wǎng)絡(luò)的QoS問(wèn)題。專(zhuān)用網(wǎng)絡(luò)主要應(yīng)用于軟交換核心網(wǎng),可以采用專(zhuān)線、專(zhuān)用IP網(wǎng)、MPLSVPN等方式組網(wǎng)。通過(guò)MPLSVPN提供QoS保障,仍然需要IP網(wǎng)絡(luò)全網(wǎng)的傳輸和交換設(shè)備都支持MPLS能力,因此短期內(nèi)還無(wú)法在全網(wǎng)范圍內(nèi)實(shí)現(xiàn),但可以首先在骨干城域網(wǎng)上部分實(shí)行。專(zhuān)線和專(zhuān)用IP網(wǎng)方式可以通過(guò)網(wǎng)絡(luò)流量預(yù)測(cè)和規(guī)劃,按軟交換業(yè)務(wù)需求組織網(wǎng)絡(luò)。由于專(zhuān)網(wǎng)專(zhuān)用,使用過(guò)程中容易掌握業(yè)務(wù)流量和流向的變化,可以及時(shí)調(diào)整網(wǎng)絡(luò),通過(guò)與軟交換設(shè)備呼叫控制功能結(jié)合,可以有效解決網(wǎng)絡(luò)擁塞控制問(wèn)題。如果新建專(zhuān)用網(wǎng)絡(luò),還可以在引進(jìn)網(wǎng)絡(luò)設(shè)備時(shí)統(tǒng)一考慮設(shè)備的QoS功能,區(qū)分對(duì)待不同業(yè)務(wù)等級(jí)的軟交換業(yè)務(wù),為某些業(yè)務(wù)實(shí)現(xiàn)帶寬預(yù)留。
BAC設(shè)備則可以根據(jù)不同用戶(hù)、不同業(yè)務(wù)分別對(duì)信令和媒體進(jìn)行QoS標(biāo)記,為后續(xù)IP網(wǎng)絡(luò)設(shè)備的QoS處理提供幫助。在今后的QoS解決方案中,該設(shè)備還可以將QoS參數(shù)統(tǒng)計(jì)結(jié)果實(shí)時(shí)上報(bào)軟交換設(shè)備或其他指定QoS設(shè)備,并接受后者的控制,在呼叫建立階段根據(jù)用戶(hù)QoS要求和網(wǎng)絡(luò)QoS狀況進(jìn)行不同的后續(xù)處理(如接續(xù)、拒絕、重定向、更改編碼方式等)。
二、安全問(wèn)題解決方式
對(duì)于部署在專(zhuān)網(wǎng)內(nèi)的信令網(wǎng)關(guān)、中繼網(wǎng)關(guān)、大容量接入網(wǎng)關(guān)、重要客戶(hù)使用的IAD設(shè)備等,由于是基于新建的專(zhuān)用網(wǎng)或采用MPLSVPN等技術(shù)構(gòu)建的虛擬專(zhuān)用網(wǎng),因此能通過(guò)各種手段實(shí)現(xiàn)與外界的隔離,大大減小了受互聯(lián)網(wǎng)用戶(hù)攻擊的可能。另一方面,軟交換核心網(wǎng)絡(luò)中部署的是可信任度高的設(shè)備,數(shù)量相對(duì)較少,通過(guò)信令協(xié)議保障、嚴(yán)格設(shè)備管理等手段,基本可以避免受到核心網(wǎng)絡(luò)內(nèi)的用戶(hù)攻擊。
而對(duì)于部署在業(yè)務(wù)接入網(wǎng)(如互聯(lián)網(wǎng))內(nèi)的各類(lèi)IP智能終端及IAD設(shè)備等,由于分布于非信任的用戶(hù)側(cè),對(duì)軟交換網(wǎng)絡(luò)核心設(shè)備的安全存在極大的威脅。因此對(duì)于這些終端應(yīng)快速收斂于BAC設(shè)備,通過(guò)BAC設(shè)備實(shí)現(xiàn)與專(zhuān)用網(wǎng)絡(luò)中其他設(shè)備的互通。BAC設(shè)備提供用戶(hù)信令及媒體的代理功能及安全檢測(cè)和隔離功能,采用用戶(hù)零配置方案,使用戶(hù)無(wú)法自行修改數(shù)據(jù),軟交換設(shè)備定期檢測(cè)用戶(hù)身份合法性,保證對(duì)網(wǎng)關(guān)及用戶(hù)終端的控制權(quán),防止非法用戶(hù)對(duì)業(yè)務(wù)的盜用或干擾。同時(shí),在用戶(hù)側(cè)只能配置軟交換設(shè)備或各類(lèi)管理及應(yīng)用服務(wù)器(如IAD網(wǎng)管系統(tǒng)、文件服務(wù)器等)的域名而非IP地址,通過(guò)域名解析機(jī)制及BAC設(shè)備的信令及媒體全代理功能,對(duì)用戶(hù)屏蔽軟交換設(shè)備、中繼網(wǎng)關(guān)、綜合接人網(wǎng)關(guān)、媒體服務(wù)器等核心網(wǎng)設(shè)備的地址,避免因暴露軟交換設(shè)備的IP地址而導(dǎo)致非法攻擊。
BAC作為安全控制的重要環(huán)節(jié),需要支持訪問(wèn)控制列表(ACL)功能,能夠根據(jù)源、目的IP地址和端口號(hào)設(shè)置訪問(wèn)控制規(guī)則進(jìn)行報(bào)文過(guò)濾;能夠針對(duì)特定控制協(xié)議進(jìn)行分組過(guò)濾,阻擋非法設(shè)備及未經(jīng)允許的協(xié)議訪問(wèn)軟交換設(shè)備;能進(jìn)行簡(jiǎn)單的應(yīng)用層攻擊防護(hù),實(shí)現(xiàn)部分代理服務(wù)型防火墻功能,具體包括:根據(jù)用戶(hù)注冊(cè)狀態(tài)進(jìn)行消息的處理、對(duì)未注冊(cè)用戶(hù)發(fā)送的非注冊(cè)消息進(jìn)行丟棄處理;對(duì)注冊(cè)鑒權(quán)失敗的用戶(hù)終端建立監(jiān)視列表,當(dāng)失敗的注冊(cè)嘗試達(dá)到一定的頻率則采取相應(yīng)措施;設(shè)置IP地址/端口允許的正常信令消息流鼠值,當(dāng)1分鐘內(nèi)收到同一源IP和端口的消息超過(guò)該值時(shí),將該地址/端口列入黑名單并采取相應(yīng)措施。BAC還應(yīng)具備根據(jù)業(yè)務(wù)需要、用戶(hù)安全需求和運(yùn)營(yíng)需求屏蔽通信雙方地址的能力。
為配合軟交換網(wǎng)絡(luò)的安全實(shí)施,各設(shè)備也需要進(jìn)行相應(yīng)的改進(jìn)(如支持多個(gè)網(wǎng)段,可以通過(guò)提供多個(gè)分離的物理端口或在一個(gè)物理端口上支持多個(gè)VLAN的方式實(shí)現(xiàn));對(duì)媒體端口進(jìn)行動(dòng)態(tài)開(kāi)、閉管理;能進(jìn)行最小化端口設(shè)置;面向用戶(hù)的服務(wù)可采取由Web或Portal面對(duì)用戶(hù)進(jìn)行業(yè)務(wù)代理方式來(lái)降低風(fēng)險(xiǎn);設(shè)備采用專(zhuān)門(mén)的軟/硬件平臺(tái)設(shè)計(jì)等。
三、私網(wǎng)穿越問(wèn)題解決方式
現(xiàn)有IP網(wǎng)絡(luò)由于1Pv4存在著地址資源不足的問(wèn)題,包含了很多采用私網(wǎng)地址的專(zhuān)用網(wǎng)絡(luò)(如企業(yè)網(wǎng)、園區(qū)網(wǎng)等),并通過(guò)NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)設(shè)備進(jìn)行公、私有地址之間的轉(zhuǎn)換,實(shí)現(xiàn)私網(wǎng)設(shè)備與公網(wǎng)設(shè)備的互聯(lián)。因此,雖然在軟交換組網(wǎng)中核心網(wǎng)內(nèi)的設(shè)備可統(tǒng)一規(guī)劃IP地址,但是處于業(yè)務(wù)接入網(wǎng)內(nèi)的各種用戶(hù)端設(shè)備的IP地址分配則受限于所處的網(wǎng)絡(luò),很難進(jìn)行統(tǒng)一,在接入軟交換網(wǎng)絡(luò)時(shí)通常會(huì)面臨NAT/FW穿越的問(wèn)題。
1、解決私網(wǎng)穿越的常用技術(shù)