中國電信集團廣州研發中心 林俐
軟交換概念自1997年首次提出,很快便得到了業界的廣泛重視和認同。幾年中,在眾多制造商和運營商的共同推動下,軟交換產品逐步趨于成熟,功能日益豐富,性能逐漸穩定,標準化工作正穩步推進,軟交換技術正走向市場。
迄今為止,全球范圍內已有多家電信運營商積極開展了在軟交換方面的實驗和商用部署。在北美,地方運營公司中有67%的運營商已經有軟交換部署,有43%的長途交換運營商也部署了軟交換系統。在歐洲,運營商對軟交換的發展和應用采用了比較謹慎的態度,但隨著軟交換技術的逐漸成熟,歐洲運營商也加快了軟交換實施步伐;在亞太地區,香港、新西蘭、澳大利亞、日本、韓國等國的運營商在軟交換應用領域走在前列。2000年至今,中國的電信行業對軟交換網絡技術也給予了極大的關注,中國電信、中國網通、中國聯通、中國鐵通、中國衛通和中國移動都已全面啟動對軟交換的應用嘗試及商用部署。
各運營商軟交換網絡的技術測試和實際商用證明軟交換體系在功能和性能上已經基本成熟,目前問題主要集中在以下方面:
隨著軟交換網絡對PSTN網絡的逐步取代,系統應采用何種模式進行大規模組網
如何回避IP網用戶的高度自主性,實現電信運營商對業務的可管理性
相對于封閉、使用專用系統的電路交換網,架構于IP網之上的軟交換網絡易受到外來的入侵,面臨安全性的挑戰。如何才能解決網絡節點、用戶信息和業務的安全
如何提供具有QoS保證的端到端實時業務
對于處于企業私網內的用戶,如何實現業務的企業NAT設備和防火墻的穿越
為了解決以上問題,并考慮到IP網自身要徹底解決安全及QoS問題尚需時日的現狀,本文在現有軟交換網絡的基礎上引入了新的網元設備,并提出了新的組網思路,該組網方案有助于軟交換網絡向商用化目標推進一步,有利于傳統運營商近期內軟交換網絡的商業部署。
組網方案介紹
1. 網絡結構
網絡結構如下圖所示:
為了更好解決軟交換組網問題,本方案引入了集中用戶數據庫HLR和集中路由服務器RS,將原來存放的各軟交換設備(SS)中的用戶數據及路由數據分離出來,集中存放在HLR及RS之中,而SS只保留與網關資源相關的信息,如中繼網關的E1資源的空閑情況等。
為了能夠更好解決網絡、業務的安全及QoS問題,本解決方案在傳送層引入了具有一定安全及QoS保證的(軟交換業務)專用承載網絡及軟交換業務邊緣接入控制設備(BAC)。軟交換設備、中繼媒體網關(TG)、綜合接入媒體網關(AG)、信令網關(SG)、重要客戶使用的IAD、媒體服務器(MS)、BAC等設備基于專用網絡部署,該專用網絡可以是新建的專用網或采用MPLSVPN等技術的虛擬專用網,能通過各種手段來實現軟交換設備間的相互通信及軟交換設備和非軟交換設備間的消息隔離。對于非重要客戶使用的IAD及SIP軟、硬終端等設備,由于設備數量多、分布廣,將通過各種接入方式快速收斂于BAC設備,通過BAC設備實現與專用網絡中其他設備的互通,此時BAC提供信令及媒體的代理功能及安全檢測及隔離功能。
對于通過公共Internet接入軟交換網絡的IAD及SIP用戶 當用戶發起業務請求時,終端首先會去軟交換網絡的DNS進行SS的域名解析,得到根據用戶所在位置或IP地址段所分配的BAC的IP地址,終端將呼叫請求送至該BAC,BAC去查詢該用戶是否在已通過安全注冊的用戶列表中,若是則對其進行用戶和軟交換間的信令代理(BAC在用戶來看相當于軟交換,在軟交換看相當于用戶)。BAC根據預設原則將呼叫請求送至相應SS進行處理。
對于部署在專網上的TG及AG/部分IAD設備 當用戶發起業務請求時,網關設備將根據預設的SS IP地址將呼叫送至相應的SS。
主叫SS首先會去HLR查詢用戶的業務相關信息,判別用戶該業務是否有權,是否符合預設的業務觸發條件,然后根據查詢結果去訪問RS獲得本次呼叫的路由信息,將呼叫接續至下一跳SS或業務平臺。被叫SS收到呼叫請求將去查詢HLR,獲得目前用戶指定終端的IP地址,接至終端。
2.設備說明
關于RS
在網絡發展初期,軟交換設備之間不分級,彼此之間為邏輯網狀網結構,網絡中任一軟交換設備均存有全網的路由信息,可直接定位另一軟交換設備。同一運營商網絡內部軟交換之間不分級,當與其他運營商網絡互通將設置網間接口SS及網間接口中繼網關。
隨著網絡規模的擴大,軟交換設備數量的增多,將引入位置服務器設備實現軟交換之間的路由查詢。路由服務器接受主叫端SS的尋址請求,通過數據查詢或向其他的路由服務器發出尋址請求,得到并向主叫端SS返回被叫的SS地址,不做呼叫控制信號的傳遞。
初期RS可以不分級,隨著網絡規模的擴大可以采用分級的結構。當SS路由數據發生變化時,應主動將變化更新到RS,RS之間能夠實現路由數據動態自動更新。其他RS轄區內SS路由數據的變動,無須對該區域SS進行路由數據更改,而僅調整路由服務器中的路由數據。
RS中將存放被叫號碼所映射的路由信息,可以是下一條SS的IP地址、或是下一跳RS的IP地址、或是寬帶用戶帳號下所登記多個終端的地址信息、串并振順序等。
關于HLR
眾所周知,移動網的智能程度高于PSTN網絡,其中HLR的功勞是無法忽視的。對于軟交換這樣一個新型的網絡更應當借鑒其他網絡的成功之處,在網絡中引入集中的用戶數據庫,進行用戶數據的集中管理,內部可存放所管區域內寬窄帶用戶的業務屬性(如業務權限、業務用戶屬性觸發條件等)等。由于HLR的存在,使得被叫側業務可以在主叫側進行觸發;使得用戶數據可以集中存放于一地,解決了采用分離用戶數據庫時軟交換異地相互備份時無法將用戶修改的業務數據實時同步到備份軟交換的問題。
HLR采用多機備份方式提高自身可靠性。
關于BAC設備
軟交換業務邊緣接入控制(BAC)設備是為了解決網絡的安全、QoS、私網穿越等問題而引入的。主要功能包括:
(1)業務穿越功能
設備支持軟交換用戶和軟交換設備一方處于私網或雙方處于不同私網時用戶業務的穿越。
設備支持用戶的注冊流程的穿越,不改變用戶的注冊流程,用戶的認證鑒權由軟交換執行。
設備支持所有軟交換提供業務的業務穿越,不改變業務流程,不引入業務安全隱患。
(2)安全保護功能
設備能對終端用戶屏蔽軟交換設備、中繼媒體網關、綜合接入媒體網關、媒體服務器等設備的地址,保護重要網元設備。
設備具備包過濾型防火墻的功能,隔離網絡層攻擊。
設備能阻斷未經允許的協議對軟交換設備的訪問。
設備能進行簡單的應用層攻擊防護,實現部分代理服務型防火墻功能。
設備能根據業務需要、用戶安全需求和運營需求屏蔽通信對方地址的能力。
(3)業務質量保障(QoS)功能
設備能對進出設備消息的ToS/CoS的識別、標記和重標記功能,能根據標記優先級進行業務QOS處理。
設備可支持鏈路QoS參數探測功能,將QoS參數統計結果實時上報軟交換或其他制定設備。
(4)業務控制管理功能
能配合軟交換進行業務和呼叫控制,能協助收集、上報軟交換進行呼叫處理需要的用戶參數。
支持對媒體流的控制管理,可以實現對媒體的轉接控制、統計、分析、監視、過濾、帶寬控制等功能。
(5)用戶管理功能
設備可與終端配合進行用戶存活狀態檢測,并將檢測結果上報軟交換處理。
在網絡組織上,BAC設備根據用戶量大小可放置在城域網匯聚層或接入層,多個BAC設備間相互備份,當一個設備受攻擊停止服務時,可以通過DNS解析到網絡上的其他BAC接替提供服務,備份不受BAC所處網絡位置的限制。
3. 解決的問題
實現網絡擁塞控制
對于新建的專用網絡,可以進行帶寬規劃,配合以SS的呼叫數控制功能可實現網絡呼叫擁塞控制功能。
首先預先規劃好兩地之間軟交換業務可用的數據總帶寬;根據總帶寬、業務類型計算出可支持業務的同時連接總數S;當呼叫請求來到SS,SS首先判斷S當前是否為0,若S=0,則拒絕此次新呼叫,若S>0則繼續處理;當SS完成一個業務接續則S=S-1。
若兩地之間數據帶寬發生變化,則應通知SS進行連接總數S的修正。
關于SS可靠性
對于承擔窄帶域呼叫控制功能的SS來說,采用主備用雙機工作方式。對于所控制用戶的用戶數據將集中存放在HLR中,路由數據集中存放在RS中,主機及備用機激活后都可訪問這部分數據,至于SS所使用的網關資源相關數據則必須預先在備用機中保留備份。該種方式是采用資源閑置冗余的方式獲得SS的可靠性。
對于承擔寬帶域呼叫控制功能的SS來說,可以采用前述的主備用雙機工作方式,但處于更高的設備使用效率考慮,還可以采用多機負荷分擔的工作方式。每個BAC負責n個SS設備(如同一省內采用SS進行寬帶域業務的負荷分擔處理)的控制信息分發,當其收到SIP用戶發來的呼叫請求后,會根據預先設定的話務分配原則(如輪詢等),每個SS具有自己的IP地址,但只對BAC公布。這些SS的功能完全相同,處理BAC送來的呼叫請求,查詢統一的HLR獲得用戶業務屬性信息及用戶狀態、查詢RS獲得用戶IP地址進行路由或下一跳SS或業務平臺,以實現業務接續及控制。當某一SS出現故障將影響本次呼叫處理,下一次序新的呼叫請求將會由其他的SS進行處理,網絡業務處理能力將損失1/n,但不用空置部分SS資源。
BAC實現至SS的呼叫控制信息動態分發功能,具有協議解析功能,能夠根據應用協議的參數識別哪些消息屬于同一呼叫,將其分發至同一SS進行呼叫處理。BAC自身的可靠性將通過多機備份得到保證。
對于部署在專網內的信令網關、中繼網關、大容量用戶綜合接入網關、重要客戶使用的IAD/小容量用戶綜合接入網關等設備,應支持在本機上設置備用SS地址的功能,當主用SS故障退出服務后應能夠將后續新的呼叫請求送到備用SS進行處理。
對于部署在公共Internet之上的各類SIP用戶及IAD終端,在用戶側只寫入需訪問的軟交換設備或各類管理及應用服務器(如IAD網管系統、文件服務器等)的域名而非IP地址,通過軟交換網絡的域名解析器DNS解析后返回相應的BAC設備的地址。BAC收到呼叫請求后將首先判別用戶類型(采用協議類型或是否帶有主機名進行判別),對于IAD用戶的呼叫請求,BAC將根據預設值將呼叫指向主用SS;對于SIP用戶的呼叫請求,BAC將根據預設原則(如輪詢等)將呼叫均勻指向一組SS中的一個。
安全問題的解決
首先,軟交換、中繼媒體網關、綜合接入媒體網關、媒體服務器等設備基于專用網絡部署,該網絡可以是新建的專用網或采用MPLSVPN等技術的虛擬專用網,能通過各種手段來實現軟交換設備間的相互通信及軟交換設備和非軟交換設備間的消息隔離,大量的軟交換散戶及其他非軟交換網絡的設備難以直接訪問到這些軟交換網絡設備,大大減小了受互聯網用戶攻擊的可能。由于軟交換專用網絡中的設備可信任度高,通過信令協議保障(如認證)、設備管理等手段,基本可以避免專用網絡內用戶攻擊。
對于非重要客戶使用的IAD及SIP軟、硬終端等設備,由于設備數量多、分布廣,將通過各種接入方式快速收斂于BAC設備,通過BAC設備實現與專用網絡中其他設備的互通,此時BAC提供信令及媒體的代理功能及安全檢測及隔離功能。由于IAD及SIP終端分布于用戶側,對軟交換核心設備的安全存在極大的威脅,因此在本方案中,運營商對于IAD或SIP終端應采用用戶零配置方案,運營商應負責所有網絡及用戶數據的配置及后續的更新及修改,用戶無法自行修改數據。在用戶側只寫入需訪問的軟交換設備或各類管理及應用服務器(如IAD網管系統、文件服務器等)的域名而非IP地址,避免SS暴露IP地址易受到非法攻擊。
在信令協議中啟動加密和鑒權機制,SS定期檢測用戶身份合法性,保證SS對網關及用戶的控制權,防止非法用戶對業務的盜用或干擾。
通過域名解析機制及BAC設備的信令及媒體的全代理功能,對基于公共Internet接入的用戶屏蔽軟交換、中繼媒體網關、綜合接入媒體網關、媒體服務器等設備的地址,保護重要的軟交換網絡設備。
BAC支持訪問控制列表(ACL)功能,能夠根據源、目的IP地址和端口號設置訪問控制規則進行報文過濾;能夠針對特定控制協議進行包過濾,阻擋非法設備及未經允許的協議對軟交換設備的訪問;能進行簡單的應用層攻擊防護,實現部分代理服務型防火墻功能,具體包括:根據用戶注冊狀態進行消息的處理,對未注冊用戶發送的非注冊消息進行丟棄處理;對注冊鑒權失敗的用戶終端建立監視列表,當失敗的注冊嘗試達到一定的頻率則采取相應措施;設置IP地址/端口允許的正常信令消息流量值,當1分鐘內收到同一源IP和端口的消息超過該值時,將該地址/端口列入黑名單并采取相應措施。
具備根據業務需要、用戶安全需求和運營需求屏蔽通信對方地址的能力。
為配合安全的軟交換網絡的實施,各設備需要進行相應的改進,如支持多個網段,可以通過提供多個分離的物理端口或在一個物理端口上支持多個VLAN的方式實現;對媒體端口進行動態開閉管理;能進行最小化端口設置;面向用戶的服務可采取由Web或Portal面對用戶,進行業務代理方式來降低風險;設備需要專門的軟/硬件平臺設計等。
QoS問題的解決
目前的IP網絡技術還不能徹底地解決QoS問題,在現有的公共IP網絡上還不能為軟交換網絡提供大規模地有QoS保障的承載服務。本方案將采用專用網絡+BAC的信令媒體全代理功能對QoS問題進行一定程度的解決。
專用網絡組網可以采用專線、專用IP網、MPLSVPN等方式,MPLSVPN方式要提供QoS保障,仍然需要全IP網絡設備的支持,而目前的IP網絡還不能全程全網地提供QoS。專線和專用IP網方式可以通過網絡流量預測和規劃,按軟交換業務需求組織網絡,由于專網專用,使用過程中容易掌握業務流量和流向的變化,可以及時調整網絡,通過與軟交換設備呼叫數控制功能結合,可以有效解決網絡擁塞控制問題。如新建專用網絡,還可以在引進網絡設備時統一考慮設備QoS功能,區分對待不同業務等級的軟交換業務,設置為某些業務實現帶寬預留。
全代理設備可以根據不同用戶、不同業務分別對信令和媒體進行QoS標記,為后續IP網絡設備的QoS處理提供幫助。在今后的QoS解決方案中,該設備還可以接受軟交換設備或其他QoS控制設備的指令,在呼叫建立階段根據用戶QoS要求和網絡QoS狀況進行不同的后續處理(如接續、拒絕、重定向、更改編碼方式等)。
防止非法業務旁路
通過在PC機上加載一定的SIP通信軟件的SIP軟終端用戶,可以通過Internet的通達性在世界各地接入運營商的軟交換系統實現通信功能,當用戶在異地使用軟終端呼叫用戶歸屬地其他用戶時,運營商只能收到本地呼叫的費用,而無法收到國際或國內長途呼叫收入。另外,某些終端軟件也可能在獲得SS返回的對端用戶地址信息,停止與SS之間的繼續交互,通過獲得的被叫地址采用其他IP電話軟件直接進行通信,使得運營商幫助其完成了用戶尋址后話務被旁路而無法獲得收益。
以上問題可以通過BAC在一定程度上得到改善。
對于第一個問題的做法是,終端只配軟交換域名,通過DNS解析至應去所屬的SBC;SBC將本身及用戶的IP地址送給軟交換;軟交換進行IP地址分析,判斷用戶的IP地址與使用的BAC的IP地址是否匹配,若相匹配則呼叫接續繼續,若不匹配則呼叫拒絕。當然該解決辦法的前提是SS已經了解IP地址與地域之間的分布對應關系。
對于第二個問題的做法是,通過BAC設備從信令和媒體上屏蔽通信對端用戶的地址,可以有效防止業務旁路,并滿足某些業務(如匿名聊天)的特殊需求,該功能建議由邊緣業務接入設備完成。
結束語
本解決方案中的重要部件BAC已完成了企業設備規范制定,包括產品的功能、性能、相關的協議擴展等,目前已在信息產業部通信標準協會申請立項。已有設備制造商意識到該設備的重要性,完成了該設備的研制。
