SBC(Session Border Controller),即会话边界控制器,是一种部署在网络边界,用来控制SIP会话的设备或软件。Session表示会话,Border表示网络边界,Controller表示控制器。 
SBC网络设备的架构
硬件组成
SBC网络设备的硬件架构主要包括以下几个关键组件:
- 双电源供应 :提高系统的可靠性
- 四个网络接口 :支持连接多个不同的IP域
- SD卡插槽 :用于存储和数据备份
- RST复位按钮 :允许快速恢复到出厂默认配置
这种设计充分考虑了SBC在网络边界控制和资源管理方面的需求,为其高效运行提供了必要的硬件支持。例如,双电源设计确保了在单个电源故障时系统的连续运行,而四个网络接口则允许SBC同时连接到不同的网络区域,实现跨域通信。
软件模块
SBC网络设备的软件架构是其功能实现的核心。典型的SBC软件模块主要包括 信令处理模块 、 媒体处理模块 和 安全管理模块 。这些模块协同工作,共同实现了SBC的各种关键功能。
信令处理模块 :负责处理SIP信令消息,实现B2BUA功能。该模块的主要职责包括:
- 信令代理 :转发SIP消息并在必要时修改消息内容
- NAT穿越 :修改SIP消息中的地址信息,确保跨NAT的通信
- 协议转换 :处理SIP与其他协议(如H.323或WebRTC)之间的转换
媒体处理模块: 则专注于处理实时媒体流。它的主要功能包括:
- 媒体代理 :在需要时转发媒体流
- 编解码转换 :实现不同编解码格式之间的转换
- 媒体加密 :提供SRTP等加密机制
安全管理模块
安全管理模块 :是SBC软件架构中的另一个关键组成部分,负责保护网络免受各种威胁。它的主要功能包括:
- 接入控制 :通过ACL和动态黑名单防止未授权访问
- 媒体保护 :根据SIP信令实时控制媒体端口的开关
- DDoS防御 :检测并缓解分布式拒绝服务攻击
这些软件模块之间存在紧密的协作关系。例如,信令处理模块和媒体处理模块通过B2BUA功能紧密相连,共同完成会话的建立和维护。同时,安全管理模块贯穿整个系统,为各个模块提供安全保障。
值得注意的是,SBC软件架构的设计往往采用 模块化和层次化 的方式。这种方法提高了系统的灵活性和可扩展性,使得SBC能够更好地适应不断变化的网络环境和业务需求。例如,一些厂商提供的SBC产品支持在现场安装额外的DSP卡,以增加系统的处理能力
这种模块化设计不仅便于系统的维护和升级,还能根据实际需求灵活配置功能模块,实现资源的有效利用。通过这种方式,SBC能够更好地满足不同类型客户的需求,无论是大型运营商还是中小企业都能找到适合自己的解决方案。
SBC网络设备的部署
部署位置
部署SBC设备对已存在的网络拓扑结构没有任何影响,无需升级以便支持交互式会话的NAT穿越。同时SBC的组网位置没有限制,可放置在IP可达的任意位置,而且能够同时实现对于多个私网的代理。
负载平衡与高可用性
- 负载平衡技术:可扩展性方面,可以轻松添加更多服务器以适应增加的流量负载。最佳SBC负载平衡技术包括循环(在所有可用服务器上均匀分配传入流量)、最少连接(将流量路由到具有最少活动连接数的服务器)、加权负载平衡(根据容量和性能分配服务器的权重)等。
- 高可用性(HA)配置和SBC故障切换:高可用性配置通常包括部署冗余SBC,以便在发生故障时接管服务。例如主动 - 被动配置(一个SBC处于活动状态,而另一个SBC处于待命状态,准备在活动SBC发生故障时接管,需要冗余硬件和故障转移机制)、双活配置(两个SBC都处于活动状态并共享负载,从而提供即时SBC故障转移功能,需要负载共享和同步)、心跳监控(定期检查SBC的状态,如果检测到问题则触发SBC故障转移,需要健康检查和自动故障转移机制)等。
部署最佳实践
- 网络评估:评估网络以确定潜在的瓶颈并确保足够的带宽,包括流量分析和冗余规划。
- 安全注意事项:实施强有力的安全措施来防范DoS攻击和欺诈等威胁,如加密VoIP流量以防止窃听、实施访问控制以限制对SBC的未经授权的访问。
- 可扩展性规划:确保SBC部署能够随着流量负载的增加而轻松扩展,采用模块化架构和进行容量规划。
- 定期监测:持续监控SBC性能,以便及时发现和解决问题。
SBC网络设备的功能
NAT穿越
- 传统的NAT解决方案如启用防火墙ALG功能,在全网规模部署IP多媒体业务时,需对大量防火墙进行ALG升级,成本高、实施繁琐。而SBC采用Full Proxy(全代理)方式定向传输信令/媒体流,终端将IP - PBX/软交换等核心控制设备的地址设置为SBC Proxy的地址,终端注册到核心设备时,SBC创建相应的地址映射表项,当终端开始呼叫时,SBC修改相应的地址信息,将报文发送给真正的核心设备,所有的信令流、媒体流都可经过SBC进行转发,另外也可设置媒体流旁路。由于SBC重新指定内网/外网用户信令/媒体流的接收地址和端口,可以方便地实现不同网络域之间的地址转换(包括公网/私网地址之间的转换),为信令/媒体流穿越NAT提供了技术保障。
- 像华为公司的SE2000系列SBC设备还支持多种NAT穿越形式,如一级、多级NAT穿越及对称NAT的穿越;多个经过NAT转换后的私网的接入,并且各私网地址空间可以重叠;经过NAT转换的终端和未经过NAT转换的终端之间的混合组网。
安全保障
- SBC监控流量并维护安全性,可用于防范拒绝服务攻击和分布式DoS(DDoS)攻击,还可以提供其他安全措施,例如媒体和信令加密。
- 在VoIP网络中,SBC支持了多种安全策略,可以解决VoIP设备设置在公网或者私网时遇到的网络攻击、恶意注册、IP地址欺骗、电话盗打等安全问题。
协议转换
SBC允许在彼此之间转换不同的协议,例如,SIP、H.323和SIP与封装的集成业务数字网络用户部分或SIP - I之间的协议转换是可能的。QoS(Quality of Service)保障
为了提供QoS,SBC强制实施呼叫允许控制策略和速率限制。连接功能
SBC可与IPv4和IPv6互联、虚拟专用网络和网络地址转换配合使用。媒体服务
SBC提供数字信号处理器,可实现基于边界的媒体控制服务,如媒体转码、数据互通和双音多频中继互通。SBC网络设备的应用场景
运营商网络
在运营商网络中,SBC网络设备扮演着关键角色,尤其是在 IMS (IP Multimedia Subsystem) 架构 中。SBC作为IMS网络边缘的核心网元,主要负责实现 IP接入、互通和安全保护
SBC在运营商网络中的典型应用包括:
-
VoLTE/VoNR服务 :SBC作为B2BUA (Back-to-Back User Agent),将用户和IMS核心网进行隔离,实现信令和媒体的代理功能
。在4G/LTE VOLTE和5G VONR语音网络中,SBC插入到VoIP呼叫的主叫方和被叫方之间的信令和/或媒体路径中,使用SIP、H.323和MGCP等呼叫信令协议 。 -
网络拓扑隐藏 :SBC的一个重要功能是隐藏网络拓扑并保护服务提供商的网络分组。它终止入站呼叫,并向目标方发起第二个呼叫支路,当与SIP协议一起使用时,它定义了一个B2BUA
。这意味着不仅信令流量,而且媒体流量(语音、视频)都由SBC控制 。 -
安全防护 :SBC在网络边界处执行NAT穿越功能,同时作为信令防火墙,提供IP安全机制
。它能够隐藏内部网络拓扑,防止敏感信息泄露,并执行接入控制,防止未经授权的访问 。 -
QoS保障 :SBC通过执行QoS策略控制,确保关键业务的服务质量
。它能够识别和优先处理语音和视频等实时流量,优化网络资源分配。
在实际部署中,SBC的架构设计直接影响其在网络中的应用效果。常见的部署方案包括:
-
SBC与P-CSCF独立设置 :每个地、市通过SBC作为代理将IMS会话统一接入到省中心或者区域中心的P-CSCF中
。 -
SBC与P-CSCF合设 :SBC和P-CSCF进行了合设,合设的SBC/P-CSCF部署在各个地市,IMS会话由各地市的SBC/P-CSCF统一接入到省中心或区域中心的I/S/E-CSCF中
。
这种灵活的部署方式使得运营商能够根据不同地区的网络需求和容量要求,选择最适合的SBC部署方案,从而优化网络性能和服务质量。
企业通信
在企业通信领域,SBC网络设备的应用广泛而多样。SBC作为企业通信网络的关键组件,主要承担跨地域通信和网络安全防护的重任。具体应用如下:
-
跨地域通信 :SBC能够实现企业总部与分支机构之间的稳定语音通话和数据共享,有效解决跨地域通信难题
。通过SBC的支持,企业可以构建一个统一的通信平台,无论员工身在何处,都能享受到高质量的通信体验。 - 网络安全防护 :SBC在网络边界处执行NAT穿越和接入控制功能,有效防止未经授权的访问,保护企业通信安全。这不仅提高了通信质量,还增强了网络的整体安全性。
-
此外,SBC在企业通信中还扮演着 协议转换 的角色,确保不同品牌和型号的通信设备能够顺利互通
。这种灵活性使得企业在选择通信设备时有了更大的自由度,不必担心兼容性问题。
云服务
在云服务领域,SBC网络设备扮演着关键角色,尤其在云通信平台和统一通信即服务 (UCaaS) 方面表现突出。SBC作为云服务提供商和企业客户之间的桥梁,确保了跨网络域的安全互连和协议标准化
一个典型案例是 Microsoft Teams ,它利用SBC实现了与企业现有通信基础设施的无缝集成,支持大规模的企业级通信需求
