Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border...

download Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border Controller: Architektur- und Design-Konzepte Dominik Zöller, zoeller@comconsult.com

If you can't read please download the document

  • date post

    07-Feb-2018
  • Category

    Documents

  • view

    222
  • download

    1

Embed Size (px)

Transcript of Session Border Controller: Architektur- und Design-Konzepte · PDF fileSession Border...

  • Session Border Controller: Architektur- und Design-Konzepte

    Dominik Zller, [email protected]

  • 1

    Zentral vs. dezentral Referenzarchitekturen fr SBCs

    SBCs als zentrale Routing-Instanz - Anschaltung von

    herstellereigenen Lsungen und Third-Party-Produkten?

    Firewall Bypass vs. Firewall Traversal

    Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

    bersicht

  • 2

    Zentral vs. dezentral Referenzarchitekturen fr SBCs

    SBCs als zentrale Routing-Instanz - Anschaltung von

    herstellereigenen Lsungen und Third-Party-Produkten?

    Firewall Bypass vs. Firewall Traversal

    Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

    bersicht

  • 3

    Amtsanbindung mit ISDN und SIP

    ITSPOrganisationsinternes Netz

    IP-Netz

    VoIP ISDN

    PSTNIP-PBX SBC GatewaySBC

    Internet bzw.

    Provider

    IP-Netz

    Organisationsinternes Netz

    IP-Netz

    VoIP ISDN

    PSTNIP-PBX Gateway

  • 4

    Standort

    WAN-Router

    PC-Client

    Standort

    WAN-Router

    PC-Client

    Standort

    WAN-Router

    PC-Client

    PSTN(ISDN)

    WAN

    PC-Client

    RZ 1

    Anwendungs-Server

    WAN-Router

    RZ 2

    Anwendungs-Server

    WAN-Router

    Branch-Appliance

    Branch-Appliance

    Branch-Appliance

    IP-Phone

    IP-Phone

    IP-Phone

    ISDN-IP-GW

    ISDN-IP-GW

    TK-Server

    TK-Server

    IP-Phone

    SBC-Architektur verbreitete Ausgangssituation auf ISDN-Basis

  • 5

    Standort

    WAN-Router

    PC-Client

    Standort

    WAN-Router

    PC-Client

    Standort

    WAN-Router

    PC-Client

    PTN(SIP)

    WAN

    PC-Client

    RZ 1

    Anwendungs-Server

    WAN-Router

    RZ 2

    Anwendungs-Server

    WAN-Router

    Branch-Appliance /

    SBC

    IP-Phone

    IP-Phone

    IP-Phone

    SBC

    SBC

    UC-Server

    UC-Server

    IP-Phone

    Branch-Appliance /

    SBC

    Branch-Appliance /

    SBC

    Grundsatzfrage SIP-Trunking Zentrale oder dezentrale Breakouts?

  • 6

    Standort

    WAN-Router

    PC-Client

    Standort

    WAN-Router

    PC-Client

    Standort

    WAN-Router

    PC-Client

    PTN(SIP)

    WANPC-Client

    RZ 1

    Anwendungs-Server

    WAN-Router

    RZ 2

    Anwendungs-Server

    WAN-Router

    IP-Phone

    IP-Phone

    IP-Phone

    UC-Server

    UC-Server

    IP-Phone

    SBC

    SBC

    SBC

    SBC

    SBC

    Grundsatzfrage SIP-Trunking Zentrale oder dezentrale Breakouts?

  • 7

    ISDN SIP zentral SIP dezentral

    Architektur Dezentral, inKombination mit IP

    Survivability mglich

    Zentraler Amtsbergang Dezentrale Amtsbergnge

    Anbindung Lokale S0/S2M-Anbindung

    ber existierenden WAN-

    Link, ber

    Internetanbindung oder

    ber sep. Physik

    ber dezentrale

    Internetanbindung oder ber

    sep. Physik

    WAN-Traffic Nur intern bzw. zum zentralen Breakout

    VoIP-Traffic immer ber

    Zentrale (Stern)

    Nur interner Traffic ber das

    WAN (any-to-any)

    SBC N/A Zentraler Cluster Dezentrale SBC je Standort (+ Zentrale)

    Schutzniveau Mittel (standortbergreifender

    Traffic unverschlsselt,

    mittlere Verfgbarkeit)

    Hoch (interner Traffic

    vollst. verschlsselt, hohe

    Verfgbarkeit preiswert

    realisierbar)

    Sehr hoch (interner Traffic

    vollst. verschlsselt, hohe

    Verfgbarkeit unabh. Von

    Zentrale realisierbar,

    Topology Hiding je Standort)

    Komplexitt Mittel Mittel Hoch

    Kosten Hoch (IP-ISDN-Gateways, Ggf. WAN-

    Kosten fr intern)

    Moderat (Zentraler SBC-

    Cluster, erhhte WAN-

    Kosten fr

    Zentralanbindung)

    Sehr hoch (Dezentrale SBC,

    zus. Standortanbindung,

    Ggf. WAN-Kosten fr intern)

    Zentraler Breakout vs. dezentraler Breakout

  • 8

    Konzept mit rein dezentralen Breakouts bedarf der Abwrtsskalierung

    Problem: die meisten SBC-Hersteller (und UC-Hersteller) favorisieren

    leistungsstarke SBCs kleine Skalierungseinheiten sind komplett out-of-Scope

    Wie viele Standorte haben Sie mit weniger als 3 Primrmultiplexern?

    Lsungsansatz: in Branch Appliances integrierte SBC-Funktionalitt?!

    Dezentrale Breakouts ein Skalierungsproblem!

    Hersteller Produkt

    Registrierte

    SIP/TLS

    Endpoints

    Signaled

    Sessions Media Sessions

    SRTP

    StreamsTranscoding

    1100 5.000 360 360 180 360

    3820 48.000 8.000 10.000 7.200

    4500 100.000 40.000 16.000 10.000 7.200

    4600 175.000 80.000 32.000 16.000 15.000

    6000 Serie 200.000 120000 - 200000 80.000 32.000 60.000

    500 800 250 250 180 -

    800 800 250 250 180 57

    1000 600 150 150 120 96

    2600 8.000 600 600 600 600

    3000 3000-5000 1.008 1.008 882 1.008

    4000 20.000 5.000 5.000 3.000 2.400

    4000B 20.000 5.000 5.000 3.000 5.000

    9000 120.000 32.000 24.000 16.000 -

    Virtual Edition 30.000 6.000 60.000 4.000

    Q10 40.000 25.000 9.000 6.000 -

    Q20 200.000 160.000 18.000 7.320

    Q21 200.000 160.000 70.000 7.320

    Oracle

    (Acme Packet)

    AudioCodes

    GENBAND

  • 9

    Zentral vs. dezentral Referenzarchitekturen fr SBCs

    SBCs als zentrale Routing-Instanz - Anschaltung von

    herstellereigenen Lsungen und Third-Party-Produkten?

    Firewall Bypass vs. Firewall Traversal

    Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

    bersicht

  • 10

    SBC als zentrale Routing-Instanz Klassische Vorgehensweise IP-Migration

    RZ B RZ A

    UC-System

    S2M S2M

    S2M S2M

    Bestandssystem Bestandssystem

    IP-ISDN-GWIP-ISDN-GW

    Sanfte Migration des ISDN-basierten Bestandssystems

  • 11

    SBC als zentrale Routing-Instanz Vorgehensweise All-IP-Migration (1)

    Sanfte Migration zu IP-basiertem Anlagenanschluss

  • 12

    RZ B RZ A

    UC-System

    S2M S2M

    Bestandssystem Bestandssystem

    IP-ISDN-GWIP-ISDN-GWSBCSBC

    SIP SIP

    SBC als zentrale Routing-Instanz Vorgehensweise All-IP-Migration (2)

    Sanfte Migration zu IP-basiertem Anlagenanschluss

  • 13

    RZ B RZ A

    UC-System

    SIP SIP

    Bestandssystem Bestandssystem

    SBCSBC

    SIP SIP

    SBC als zentrale Routing-Instanz Vorgehensweise All-IP-Migration (3)

    Sanfte Migration zu IP-basiertem Anlagenanschluss

  • 14

    SBC als zentrale Routing-Instanz Normalisierung in Multivendor-Szenarien

    Legacy

    UC-System

    Bestandssystem

    IP-ISDN-GW

    SIP SIP

    Routing Layer

    SBCSBC

    PSTN / NGN Multivendor

    IP-PBX A

    IP-PBX B

  • 15

    Legacy

    Bestandssystem

    IP-GW

    SIP SIP

    PSTN / NGNAccess Layer

    SBCSBC

    Routing Layer

    SIP

    UC-System UC-System UC-System

    UC-System

    prop.

    Alternative herstellerspezifisches Routing-Layer SBC als reiner Amtsabschluss

  • 16

    Herstellerspezifisches

    Routing-Layer (z.B. Cisco

    UCM SME, Unify OSV, etc.)

    Session Border Controller als

    zentrales Routing Layer

    Architektur Zentrales Routing-Layer, separates SBC-Layer fr Amtsanbindung

    Zentrale Routing-Instanz,

    gleichzeitig Amtsabschluss

    Herstellerneutral Nein Ja

    Flexibilitt Mittel (einfache Hinzunahme von Standorten, flexibles Routing,

    Eingeschrnkte Auswahl von CODECs

    und Protokollen)

    Hoch (einfache Hinzunahme von

    Standorten, flexibles Routing, breite

    Untersttzung von CODECs und

    Protokollen)

    Kosten Moderat Moderat

    Interoperabilitt Gering Sehr hoch

    Funktionalitt Hoch (innerhalb Hersteller-kosystem) Niedrig (wenige bergreifende Leistungsmerkmale)

    Management Ja (meistens) Nein (separates Management)

    RNP-Verwaltung Einheitlich, zentral Dezentral

    PTN-Breakout Zentral oder dezentral Vorzugsweise zentral

    Empfohlen bei Groe und sehr groe Single-Vendor-Szenarien

    Mittlere bis sehr groe Multivendor-

    Szenarien

    Zentrales Routing Layer herstellerspezifische vs. herstellerneutrale SBC

  • 17

    Zentral vs. dezentral Referenzarchitekturen fr SBCs

    SBCs als zentrale Routing-Instanz - Anschaltung von

    herstellereigenen Lsungen und Third-Party-Produkten?

    Firewall Bypass vs. Firewall Traversal

    Wie sieht ein SBC-Design nach BSI TLSTK 2.0 aus?

    bersicht

  • 18

    Welche Deployment-Varianten gibt es?

    Je nach erfordertem Schutzniveau gibt es Varianten ohne oder mit einer/zwei Firewalls

    Gehrtete SBC knnen direkt mit dem Internet/unsicheren Netz verbunden werden

    Alle vorgestellten Varianten haben jeweils Vor- und Nachteile in Bezug auf

    Sicherheit

    Flexibilitt

    Performance

    Kosten

    SBC-Architektur Firewall Bypass vs. Firewall Traversal

  • 19

    Eigenschaften:

    SBC befindet sich in der DMZ der Firewall

    Ist nur ber ein Interface mit Firewall verbunden

    Firewall bentigt mindestens drei Netzwerkanschlsse (WAN, LAN, DMZ / SBC)

    Alle SIP-Funktionen der Firewall mssen deaktiviert sein

    SIP- RTP-Pakete mssen direkt zum SBC weitergeleitet werden

    Traffic auf Port 5060 (SIP)/5061 (TLS) und RTP

    Vorteil(e):

    Sicher, da die Daten durch die

    Firewall und den SBC gehen

    Flexibel, weil so alle Netzwerke,

    die mit der Firewall verbunden sind,

    SIP-enable