Session Border Controller: Architektur- und Design-Konzepte

Dominik Zller, zoeller@comconsult.com

1

Zentral vs. dezentral Referenzarchitekturen fr SBCs

SBCs als zentrale Routing-Instanz - Anschaltung von

herstellereigenen Lsungen und Third-Party-Produkten?

Firewall Bypass vs. Firewall Traversal

Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

bersicht

2

Zentral vs. dezentral Referenzarchitekturen fr SBCs

SBCs als zentrale Routing-Instanz - Anschaltung von

herstellereigenen Lsungen und Third-Party-Produkten?

Firewall Bypass vs. Firewall Traversal

Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

bersicht

3

Amtsanbindung mit ISDN und SIP

ITSPOrganisationsinternes Netz

IP-Netz

VoIP ISDN

PSTNIP-PBX SBC GatewaySBC

Internet bzw.

Provider

IP-Netz

Organisationsinternes Netz

IP-Netz

VoIP ISDN

PSTNIP-PBX Gateway

4

Standort

WAN-Router

PC-Client

Standort

WAN-Router

PC-Client

Standort

WAN-Router

PC-Client

PSTN(ISDN)

WAN

PC-Client

RZ 1

Anwendungs-Server

WAN-Router

RZ 2

Anwendungs-Server

WAN-Router

Branch-Appliance

Branch-Appliance

Branch-Appliance

IP-Phone

IP-Phone

IP-Phone

ISDN-IP-GW

ISDN-IP-GW

TK-Server

TK-Server

IP-Phone

SBC-Architektur verbreitete Ausgangssituation auf ISDN-Basis

5

Standort

WAN-Router

PC-Client

Standort

WAN-Router

PC-Client

Standort

WAN-Router

PC-Client

PTN(SIP)

WAN

PC-Client

RZ 1

Anwendungs-Server

WAN-Router

RZ 2

Anwendungs-Server

WAN-Router

Branch-Appliance /

SBC

IP-Phone

IP-Phone

IP-Phone

SBC

SBC

UC-Server

UC-Server

IP-Phone

Branch-Appliance /

SBC

Branch-Appliance /

SBC

Grundsatzfrage SIP-Trunking Zentrale oder dezentrale Breakouts?

6

Standort

WAN-Router

PC-Client

Standort

WAN-Router

PC-Client

Standort

WAN-Router

PC-Client

PTN(SIP)

WANPC-Client

RZ 1

Anwendungs-Server

WAN-Router

RZ 2

Anwendungs-Server

WAN-Router

IP-Phone

IP-Phone

IP-Phone

UC-Server

UC-Server

IP-Phone

SBC

SBC

SBC

SBC

SBC

Grundsatzfrage SIP-Trunking Zentrale oder dezentrale Breakouts?

7

ISDN SIP zentral SIP dezentral

Architektur Dezentral, inKombination mit IP

Survivability mglich

Zentraler Amtsbergang Dezentrale Amtsbergnge

Anbindung Lokale S0/S2M-Anbindung

ber existierenden WAN-

Link, ber

Internetanbindung oder

ber sep. Physik

ber dezentrale

Internetanbindung oder ber

sep. Physik

WAN-Traffic Nur intern bzw. zum zentralen Breakout

VoIP-Traffic immer ber

Zentrale (Stern)

Nur interner Traffic ber das

WAN (any-to-any)

SBC N/A Zentraler Cluster Dezentrale SBC je Standort (+ Zentrale)

Schutzniveau Mittel (standortbergreifender

Traffic unverschlsselt,

mittlere Verfgbarkeit)

Hoch (interner Traffic

vollst. verschlsselt, hohe

Verfgbarkeit preiswert

realisierbar)

Sehr hoch (interner Traffic

vollst. verschlsselt, hohe

Verfgbarkeit unabh. Von

Zentrale realisierbar,

Topology Hiding je Standort)

Komplexitt Mittel Mittel Hoch

Kosten Hoch (IP-ISDN-Gateways, Ggf. WAN-

Kosten fr intern)

Moderat (Zentraler SBC-

Cluster, erhhte WAN-

Kosten fr

Zentralanbindung)

Sehr hoch (Dezentrale SBC,

zus. Standortanbindung,

Ggf. WAN-Kosten fr intern)

Zentraler Breakout vs. dezentraler Breakout

8

Konzept mit rein dezentralen Breakouts bedarf der Abwrtsskalierung

Problem: die meisten SBC-Hersteller (und UC-Hersteller) favorisieren

leistungsstarke SBCs kleine Skalierungseinheiten sind komplett out-of-Scope

Wie viele Standorte haben Sie mit weniger als 3 Primrmultiplexern?

Lsungsansatz: in Branch Appliances integrierte SBC-Funktionalitt?!

Dezentrale Breakouts ein Skalierungsproblem!

Hersteller Produkt

Registrierte

SIP/TLS

Endpoints

Signaled

Sessions Media Sessions

SRTP

StreamsTranscoding

1100 5.000 360 360 180 360

3820 48.000 8.000 10.000 7.200

4500 100.000 40.000 16.000 10.000 7.200

4600 175.000 80.000 32.000 16.000 15.000

6000 Serie 200.000 120000 - 200000 80.000 32.000 60.000

500 800 250 250 180 -

800 800 250 250 180 57

1000 600 150 150 120 96

2600 8.000 600 600 600 600

3000 3000-5000 1.008 1.008 882 1.008

4000 20.000 5.000 5.000 3.000 2.400

4000B 20.000 5.000 5.000 3.000 5.000

9000 120.000 32.000 24.000 16.000 -

Virtual Edition 30.000 6.000 60.000 4.000

Q10 40.000 25.000 9.000 6.000 -

Q20 200.000 160.000 18.000 7.320

Q21 200.000 160.000 70.000 7.320

Oracle

(Acme Packet)

AudioCodes

GENBAND

9

Zentral vs. dezentral Referenzarchitekturen fr SBCs

SBCs als zentrale Routing-Instanz - Anschaltung von

herstellereigenen Lsungen und Third-Party-Produkten?

Firewall Bypass vs. Firewall Traversal

Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

bersicht

10

SBC als zentrale Routing-Instanz Klassische Vorgehensweise IP-Migration

RZ B RZ A

UC-System

S2M S2M

S2M S2M

Bestandssystem Bestandssystem

IP-ISDN-GWIP-ISDN-GW

Sanfte Migration des ISDN-basierten Bestandssystems

11

SBC als zentrale Routing-Instanz Vorgehensweise All-IP-Migration (1)

Sanfte Migration zu IP-basiertem Anlagenanschluss

12

RZ B RZ A

UC-System

S2M S2M

Bestandssystem Bestandssystem

IP-ISDN-GWIP-ISDN-GWSBCSBC

SIP SIP

SBC als zentrale Routing-Instanz Vorgehensweise All-IP-Migration (2)

Sanfte Migration zu IP-basiertem Anlagenanschluss

13

RZ B RZ A

UC-System

SIP SIP

Bestandssystem Bestandssystem

SBCSBC

SIP SIP

SBC als zentrale Routing-Instanz Vorgehensweise All-IP-Migration (3)

Sanfte Migration zu IP-basiertem Anlagenanschluss

14

SBC als zentrale Routing-Instanz Normalisierung in Multivendor-Szenarien

Legacy

UC-System

Bestandssystem

IP-ISDN-GW

SIP SIP

Routing Layer

SBCSBC

PSTN / NGN Multivendor

IP-PBX A

IP-PBX B

15

Legacy

Bestandssystem

IP-GW

SIP SIP

PSTN / NGNAccess Layer

SBCSBC

Routing Layer

SIP

UC-System UC-System UC-System

UC-System

prop.

Alternative herstellerspezifisches Routing-Layer SBC als reiner Amtsabschluss

16

Herstellerspezifisches

Routing-Layer (z.B. Cisco

UCM SME, Unify OSV, etc.)

Session Border Controller als

zentrales Routing Layer

Architektur Zentrales Routing-Layer, separates SBC-Layer fr Amtsanbindung

Zentrale Routing-Instanz,

gleichzeitig Amtsabschluss

Herstellerneutral Nein Ja

Flexibilitt Mittel (einfache Hinzunahme von Standorten, flexibles Routing,

Eingeschrnkte Auswahl von CODECs

und Protokollen)

Hoch (einfache Hinzunahme von

Standorten, flexibles Routing, breite

Untersttzung von CODECs und

Protokollen)

Kosten Moderat Moderat

Interoperabilitt Gering Sehr hoch

Funktionalitt Hoch (innerhalb Hersteller-kosystem) Niedrig (wenige bergreifende Leistungsmerkmale)

Management Ja (meistens) Nein (separates Management)

RNP-Verwaltung Einheitlich, zentral Dezentral

PTN-Breakout Zentral oder dezentral Vorzugsweise zentral

Empfohlen bei Groe und sehr groe Single-Vendor-Szenarien

Mittlere bis sehr groe Multivendor-

Szenarien

Zentrales Routing Layer herstellerspezifische vs. herstellerneutrale SBC

17

Zentral vs. dezentral Referenzarchitekturen fr SBCs

SBCs als zentrale Routing-Instanz - Anschaltung von

herstellereigenen Lsungen und Third-Party-Produkten?

Firewall Bypass vs. Firewall Traversal

Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

bersicht

18

Welche Deployment-Varianten gibt es?

Je nach erfordertem Schutzniveau gibt es Varianten ohne oder mit einer/zwei Firewalls

Gehrtete SBC knnen direkt mit dem Internet/unsicheren Netz verbunden werden

Alle vorgestellten Varianten haben jeweils Vor- und Nachteile in Bezug auf

Sicherheit

Flexibilitt

Performance

Kosten

SBC-Architektur Firewall Bypass vs. Firewall Traversal

19

Eigenschaften:

SBC befindet sich in der DMZ der Firewall

Ist nur ber ein Interface mit Firewall verbunden

Firewall bentigt mindestens drei Netzwerkanschlsse (WAN, LAN, DMZ / SBC)

Alle SIP-Funktionen der Firewall mssen deaktiviert sein

SIP- RTP-Pakete mssen direkt zum SBC weitergeleitet werden

Traffic auf Port 5060 (SIP)/5061 (TLS) und RTP

Vorteil(e):

Sicher, da die Daten durch die

Firewall und den SBC gehen

Flexibel, weil so alle Netzwerke,

die mit der Firewall verbunden sind,

SIP-enable