Session Border Controller: Funktionalität und Einsatz ... · PDF fileSBC als UNI Border /...

UBNUnternehmensberatung

Netzwerke


Netzwerke

© UBN Petra Borowka-Gatzweiler Session Border Controller - Seite 1

Dipl.-Inform. Petra Borowka-Gatzweiler

Pascalstraße 25, 52076 Aachen

Tel.: 02408 / 955-500

[email protected]

Session Border Controller: Funktionalität und Einsatz-

Szenarien


Netzwerke


Inhalt

1. Warum SBC's?

2. SBC Einsatzszenarien

3. Der Session Border Controller: Funktions-Elemente

4. Leistungsmerkmale von SBCs

5. Fazit


Netzwerke


Warum SBC's? Früher

Endgeräte: autorisierte Telefone

Netzwerk: privates Netzwerk des Telko

Providers

Voice-only

Leitungsvermittlung

PSTN, privates Providernetz

autorisiertes Endgerät

PCM-

Codec


PCM-

Codec


PCM-

Codec


PCM-

Codec


Netzwerke


Warum SBC's? Heute

GW Media/PSTN Gateway

mit Survivability

Standort S2

IP Netzwerk

GW

GSM Handy (einfach!)

Media

Gateways

SBC

ITSP

PSTN USA

GWGW

PSTN Australien

PSTN Asien

GW

. . .

HA TK

Applikationen

voip76c.vsd

S0,

S2M

S0,

S2M

PSTN

DECT

IP Netzwerk

HA TK Server

Endgeräte: beliebig

Netzwerk: ein bis mehrere öffentliche Netzwerke

Multimedia

Paketvermittlung

Außen-

standort

2

3

4

2

11

12

3

2

3

1

GV2

EV2

Priorisierung

Etagen-

verteiler

EV1

Gebäude-

verteiler

GV1

RZ-Verteiler

Priorisierung

FIFO

2 33

Voice

Daten

Priorisierung

PriorisierungFIFO

3

1

2 3

2

Softclient

IP fähige TK Endgeräte


Netzwerke


Vertrautheit der Unternehmen mit SBC-FunktionalitätQ

ue

lle: 2

01

5 U

C,

SIP

an

dS

BC

Pla

ns a

nd

Prio

ritie

s; W

eb

torials

12

/20

14

0%

5%

10%

15%

20%

25%

30%

35%

14%

31%

34%

21%

25%

31%

28%

16%

extrem ziemlich teils/teils nicht viel/gar nicht

2012 2014


Netzwerke


Einsatz-Szenarien für SBCs

SBCs kommen an den Grenzpunkten von IP Netzen zum Einsatz

Enterprise – Service Provider (E-SBC)

Außenstandorte –Service Provider

Access Netze –Service Provider (FMC)

SBC = Quelle und Ziel aller Signalisierungs-Nachrichten und Media Streams

"parallel" zu Daten-Firewalls

sbc0

1.v

sd

Service Provider 1 Service Provider 2

Internet

Festnetz und Mobilfunk

Enterprise

SBC SBC SBC SBC

SBC

IP PBX


Netzwerke


Unterschiedliche SBC-Typen für Enterprise, UNI und NNI

Abhängig vom Einsatzfall sind

SBCs mit unterschiedlichen

Feature Sets ausgestattet

Enterprise – Provider (E-SBC)

Provider 1 – Provider 2 (NNI)

Provider – Subscriber (UNI)

sbc0

2.v

sd

Service Provider 2

SIP Provider 1

UC

IP / SIP PBXSIP Endpunkte

Enterprise

SBC

NNI SBC

NNI SBCUNI SBC

UNI SBC

SIP Endpunkte

(Subscriber)

l l l

Enterprise LAN

Internet


Netzwerke


SBC als UNI Border / Netzübergang im Providerenetz

Typischerweise steht der

SBC in der DMZ zur

Abschottung zwischen

Service Provider und

Kunde

Er agiert als ALG Ersatz

für den SP und stellt auch

CAC bereit

Für Calls in Netze

anderer (PSTN) Provider

entfernt der SBC die

Routing Header zum

Kundennetz vor

Übergabe der Pakete an

andere Provider

(Verhinderung des

direkten Kundenzugangs

zum Mitbewerb !)

sb

c0

3.v

sd

Service Provider

PSTN

UCIP/SIP

PBX

l l l

SBC

SBC /

FW

SBC

Applikations-

Server

Enterprise LAN

Außenstelle LAN

SIP Endpunkte

ISDN Telefone

PSTN Gateway

SIP

Endpunkte


Netzwerke


SBC als NNI Border / Netzübergang

Insbesondere bei

gegenseitigen

Durchleitungs-

Vereinbarungen und

unterschiedlichen

Dienstangeboten

nutzen Provider NNI

SBCs zur

gegenseitigen

Abschottung

Beispiel: SP1 ist

ASP, hat aber keinen

PSTN-Zugang, SP2

hat den PSTN-

Zugang, aber keine

Applikationen

Internet

SIP Endpunkte

SBC

VoIP

Service Provider

sbc04.vsd

Application Service

Provider

SP1

SP2

SIP Endpunkte

PSTN

Gateway

Provider LANSBC

TK AppUC

l l l

IP / SIP

PBX

Kunde von

Service Provider 1

PSTN

Kunde von

Service Provider 2

ISDN Telefone

PE Router

PE Router SBC

SBC


Netzwerke


sbc0

8b

.vsd

Service

Provider 1

Data Center 1

Data Center 2

Standort 1

Standort N

SBC Router

Service

Provider 2

SBC Router

E-SBC

E-SBC

Router Router

Router Router

UC Suite

UC Suite

MPLS/

Internet

SIP

Trunks

Router

Router

Manage-

ment

Manage-

ment

Redundanz: Ultra High Availability Szenario für E-SBCs

UHA: Nutzung

von

2 SIP Trunks

2 Carrier

2 Data Center

SBC ist

Demarkations-

Punkt

zwischen

Enterprise und

Service

Provider


Netzwerke


SBC Grundfunktionalität

Basis-Funktionen, die jeder Enterprise SBC implementiert

B2BUA

Signalisierung

Media

NAT Traversal


Netzwerke


Enterprise SBC

Konventionelle Router, Firewalls und Traffic Shaper sind nicht wirklich gut für

Echtzeit-Verkehr geeignet oder auf dessen spezielle Sicherheitsbedarfe fokussiert

E-SBCs stehen üblicherweise in der DMZ und operieren auf der Session Schicht

von Echtzeit Protokollen insbesondere SIP, RTP/SRTP und RTCP

Insbesondere terminieren sie jede eingehende Session und setzen diese am

Ausgang neu auf. Dies ermöglicht

Überprüfung des kompletten Verkehrs

Anwendung von Sicherheits- und QoS- / CAC-Regeln

Kontrolle des ein- und ausgehenden Verkehrs zwischen Cloud / Provider und Enterprise

sbc05.vsd

UCIP/SIP

PBX

l l l

Enterprise LAN

SIP Endpunkte

Enterprise

SBC

ISDN Telefone

SIP Endpunkte (Subscriber)

PSTN

SIP Provider


Netzwerke


Der E-SBC als B2BUA für Signalisierung und Media Stream

Der SBC ist als B2BUA eine aktive Komponente im Signalisierungs- und Media-Pfad

Er leistet aktive Bearbeitung sowohl der Signalisierung (SIP) als auch der MediaStreams (RTP / SRTP), ggf. für Audio und Video und hält alle Session Stati für SIP und Media (RTP)

Signalisierungs- und Media Sessions werden im SBC terminiert und neu aufgesetzt

Somit sind alle erwünschten Überprüfungen (Sicherheit) und Header-Manipulationen möglich, auch für NAT

Abgrenzung SIP Firewall: Ein SIP Firewall agiert als SIP Proxy, handhabt aber keine Media Streams (RTP)

sbc06.vsd

Calling

User

Agent

SIP User

Agent

Session Kontrol

Logik

Media Kontrol

Logik

SIP User

Agent

Calling

User

Agent

Verkehr wird untersucht, kontrolliert und manipuliert

SIP Variante A

Codec A

Verschlüsselung

A

SIP Variante B

Codec B

Verschlüsselung

B


Netzwerke


SBC-Nutzung für Signalisierung

Die Signalisierung nutzt intern den Port 5060, innerhalb des SBC z.B. einen TCP

Tunnel zwischen "SBC-Eingang, Firewall und SBC-Ausgang", der die interne

Signalisierung terminiert und nach außen erneut den Port 5060

SIP EndpunkteSIP 5060 SIP 5060

TCP Tunnel

sbc09.vsd

Enterprise SIP Proxy

SIP Trunk

SBC AusgangSBC Eingang

SBC (B2BUA + FW)

Enterprise Multimedia IP

Netzwerk

ISDN / PSTN

Provider SIP Proxy


Netzwerke


SBC-Nutzung für den Media Stream

Der Media Stream (z.B. Audio Datenstrom) nutzt intern freie UDP Ports (>1023), die

über definierte Ports zwischen "SBC-Eingang, Firewall und SBC-Ausgang"

terminiert werden und nach außen als freie UDP Ports neu aufgesetzt werden

Definierte UDP Ports

SIP Endpunkte

Enterprise SIP Proxy

SIP Trunk

SBC AusgangSBC Eingang

Enterprise Multimedia IP

Netzwerk

Freie UDP Ports Freie UDP Ports

ISDN / PSTN

Provider SIP Proxy

SBC (B2BUA + FW)sbc09.vsd


Netzwerke


Leistungsmerkmale: Wichtigkeit von Enterprise-SBC FunktionenQ

ue

lle: 2

01

5 U

C,

SIP

an

dS

BC

Pla

ns a

nd

Prio

ritie

s; W

eb

torials

12

/20

14

1,66

1,71

1,75

1,86

1,91

1,95

2,00

2,04

2,06

2,11

2,15

2,27

2,31

2,44

2,51

0,0 0,5 1,0 1,5 2,0 2,5 3,0

WebRTC Unterstützung

VoWiFi nach VoLTE Translation (FMC)

Verfügbar als virtualisierte Lösung

Voice over LTE

Instant Messaging Translation

Voice over WiFi

Kollaboration (Desktop Sharing)

Presence

Voice Transcoding: PCM-zu-VoIP

Audio-Konferenz Transcoding

Video-Konferenz Transcoding

Call Admisssion Control

Integration mobiler Geräte

Voice Transcoding: VoIP-zu-VoIP

Sicherheits-Dienste für SIP Sessions


Netzwerke


Leistungsmerkmale von SBCs (1)

Sicherheit

SBCs schützen sich selbst, Session Agenten und andere

Diensterbringer der Provider Infrastruktur

SBCs schützen das Enterprise Netz, die dort positionierten

Server und Kommunikationsbeziehungen zum Provider

Sie schützen die Session, bieten Schutz gegen Angriffe

sowie bei "normalen" (nicht-kriminellen) Überlasten

DoS/DDoS Schutz

Zugangsschutz (Access Control)

Verbergen der internen Topologie

Session Schutz (Vertraulichkeit)

VPN Trennung

Schutz gegen DoS/DDoS auf die Service Infrastruktur

Verhindern von Diebstahl (Informationen, Ressourcen, Toll

Fraud)


Netzwerke



Sicherheit (Forts.)

Verbergen der Netzwerk Topologie durch

Nutzung von Network Address Translation

(NAT) auf Layer 3 (IP) UND Layer 5 (SIP)

Applications-Firewall für Voice

Schutz gegen TDoS (Telephony Denial of

Service)

Zugangsschutz

Überprüfung und Überwachung

Deep Packet Inspection

Verschlüsselung bei Internet Traversal

Signalisierung und Media

Listen-Überwachung

Whitelists

Blacklists

Greylists


Netzwerke



Interoperabilität

Mediation und Konvertierung zwischen verschiedenen Protokollen fürSignalisierung, Transport, Verschlüsselung

NAT / Firewall Traversal (ermöglicht, dass Kommunikatios-Sessions übervorhandene Daten Firewalls und NAT Konponenten hinweg kommunizierenkönnen)

Bridging für private and öffentliche IPv4 and IPv6 Adress-Räume

Interworking zwischen VPNs, Verschlüsselungen, and Transport Protokollen

Konvertierung der Signalisierung: SIP-H.323, H.323-SIP and SIP-SIP (trotz "SIP Standard viele Signalisierungs-Varianten bei Unternehmen und Providern)

Anpassung von SIP Dialekten, SIP Content

SIP Normalisierung, insbesondere zwischen dem Enterprise SIP-Dialekt und dem Provider SIP (SIP Trunk)

Konvertierung / Terminierung bei Verschlüsselung: z.B. verschlüsselt –unverschlüsselt oder SRTP zu IPsec

Translation-Funktionalität für Telefon-Nummer, Adresse und Antwort Codes


Netzwerke



Interoperabilität (Forts.)

Media Funktionen: Transcoding und/oder

Transrating zwischen verschiedenen Codecs,

HD Voice und G.711

G.711 und G.729 bei Bandbreiten-Restriktionen

Neu-Auswahl des Codec (Renegotiation) für

Bandbreiten-Optimierung

Fax- und Faxton-Erkennung

Media Replizierung für Aufzeichnung (Standard

SIPREC)

Fehlerkorrektur (z.B. Echo Unterdrückung)

Media-Einspielung (z.B. Musik, MoH)

Media Bridgefunktion für

Voice

Video

Fax

Modem (?)


Netzwerke



Qualität, Verfügbarkeit, Robustheit, SLA-Sicherstellung (Forts.)

Call Admission Control

Überlast Kontrolle

IMS Netze: Standard-Zugangsfunktionen wie PCRF und RACS

Klassifizierung, Priorisierung und Raten-Limitierung: QoS allgemein, Sicherstellung der SLA-Vereinbarungen oder Notruf

Bandbreitenkalkulation und –bereitstellung um die Unterstützung neuer Sessions sicherzustellen

Überwachung und Reports der aktuellen Session-Qualität, um Einhaltung der Performance Spezificationen / SLA-Vereinbarungen zwischen Enterprise und Provicer zu prüfen / dokumentieren QoS-Kontrolle des Transport-Netzwerks

Mappen von und Markieren mit QoS Werten

Call Admission Control auf Basis der Verkehrslast (Signaling Element Load), verfügbarer

Bandbreite und tatsächlich festgestelltem QoS

Policy-based Call Routing

QoS Reporting


Netzwerke



Qualität, Verfügbarkeit, Robustheit, SLA-Sicherstellung (Forts.)

SIP Trunk Load Balancing zur Erhöhung der Verfügbarkeit und Bandbreiteneffizienz

Fehlerumschaltung / Rerouting bei Verbindungsfehlern oder Upstream Komponenten-Ausfall

Geografische Redundanz beim Service Provider: HA SIP Trunk mit stateful Failover

Umrouten auf ein anderes Netz oder das PSTN (solange es noch existiert…)

Lokaler PSTN Breakout: Schwenk auf einen lokalen TDM Dienst im Fall eines WAN Ausfalls

Regulatorische Compliance

Erfüllung der Regulierungs-Vorschriften der jeweiligen Länder

Notfall-Nummern (112, 110)

Government Emergency Telecommunications Service (GETS),

Lauschport (z.B. konform zu CALEA in den USA)


Netzwerke



Management

Element Management Tools und OSS Schnittstellen für

Konfiguration, Administration, IMAC

Reporterstellung

Auslastung / Nutzung, Echtzeit- und historisch via CDR

für Rechnungstellung

für Alarme: Session Performance oder Sicherheits-Events

Echtzeit-Alarme

Netzwerk

Sicherheit

Ressourcen-Knappheit

andere Events, die den Session QoS beeinträchtigen

Troubleshooting

Demarkationspunkt zwischen Netzen

Fehler-Isolierung für Signalisierung oder Media

Fehlerbehebung für Signalisierung oder Media


Netzwerke



Leistung, Skalierbarkeit

CPU Kapazität / Auslastung je x Sessions

Unterstützte Anzahl concurrent Calls (oder Sessions)

Registrierungs-Rate

Weitere Funktionen

Verzeichnis-Dienst Unterstützung (AD)

UC Plattform Integration mit Multivendor-Lösungen

TDM-Schnittstellen für Hybrid-Konzepte (IP und PSTN)


Netzwerke


sbc07.vsd

Signalling ProzessorenSecurity

Prozessoren

Intelligenter

Traffic

Manager

Netzwerk

Prozessor

Transcoding

und QoS

Engines

I/O Ports I/O Ports

Host Subsystem

Network

Interface

Unit

Netzwerk

Prozessor

Beispiel: interne SBC-Architektur

Architektur-Beispiel: Oracle (Acme)

dedizierte Netzwerk- und Signalisierungs-Prozessoren für Parallelbearbeitung von DoS-Schutz (NP) und Paketweiterleitung

mehrere Queues zwischen Netzwerk Prozessoren und Host Subsystem für klassifizierte Paketbearbeitung, separate Bandbreitenzuordnung je Queue

separater Prozessor Transcoding und QoS-Funktionen


Netzwerke


Veränderung des Umsatzwachstums für SBCs in 2014

2014 stieg der weltweite E-SBC Umsatz auf $271 Millionen, das sind 6 Prozent

Wachstum im Vergleich zu 2013

Mit $29 ist der durchschnittliche Preis pro Session für E-SBCs deutlich niedriger als

der von traditionellen VoIP-TDM Gateways


Netzwerke


Preis-Niveau

Kleine Umgebungen

bis zu 100 Sessions pro Standort — $4,000 to $10,000

Mittlere Umgebungen

mehr als 100 bis zu 1000 Sessions pro Standort — $20,000 to $60,000

Große Umgebungen

mehr als 1000 Sessions pro Standort — $75,000 to $300,000

(Quelle: Gartner ESBC Market Guide, 06/2014)


Netzwerke


Hersteller / Produktbeispiele: Alcatel-Lucent (1)

Alcatel-Lucent

Elemente:

OpenTouch

Session Border

Controller

OpenTouch

Edge Server

OpenTouch

Reverse Proxy

Quelle: Alcatel-Lucent


Netzwerke


Hersteller / Produktbeispiele: Avaya (1)

Der Avaya Session Border Controller for Enterprise (ASBCE) ist zwischen dem

internen und externen Firewall positioniert und führt dort die für VoIP

Kommunikation notwendigen Kontroll- und Schutz-Funktionen durch

Qu

elle

: A

va

ya


Netzwerke


Hersteller / Produktbeispiele: Unify (1)

OpenScape SBC

optimiert für den

Einsatz als zentraler

SBC in der

OpenScape-

Lösungsumgebung

Standort: dieselbe

"logische" Position

wie der UC-Server,

z.B. Kunden-RZ

Verteilte SBC

Funktionalität mit der

OpenScape Branch

Funktionalität "i.W."

identisch mit OSc

SBC, jedoch weniger

SessionsQuelle: Unify


Netzwerke


Hersteller / Produktbeispiele: Cisco (1)

Funktionsbereiche

Demarkations-

Punkt

Session

Kontrolle

SIP

Interoperabilität

Sicherheit

Video

Mobile

SIP TRUNK TO CUBE

3rd Party IP PBX TDM PBX

CUBE

Cisco Session ManagementIM, Presence,

Voicemail

Cisco B2B

Quelle: Cisco

? ?


Netzwerke


Fazit

All-IP erfordert den Einsatz eines SBCs am Unternehmens-Perimeter

Es ist nicht zu erwarten, dass klassische Firewall-Hersteller die Funktionalität eines

Session Border Controllers adaptieren

Die meisten etablierten TK/UC-Hersteller haben inzwischen einen oder mehrere

eigene SBCs, die sie speziell auf ihre Produktwelt anpassen.

Entsprechende Produktevaluierung gehört somit zur Gesamtplanung einer TK/UC-

Lösung

Enterprise SBCs und Provider SBCs haben unterschiedliche Funktionsbereiche und

bilden separate Märkte

Der "freie" SBC Markt ist nicht sonderlich stark ausgeprägt (abgesehen von

AudioCodes, Sonus und Genband)


Netzwerke


Abkürzungen

ACM Avaya Communication Manager

AD Active Directory

ANSI American National Standards Institute

ASBCE Avaya Session Border Controller for Enterprise

B2BUA Back to Back User Agent

BFCP Binary Flow Control Protocol

BPO Business Process Outsourcing

CALEA Communications Assistance for Law Enforcement Act

CDR Call Detail Record(ing)

CN Core Network, Corporate Network

CNG Customer Network Gateway

CRC Cyclic Redundancy Check

DHCP Dynamic Host Configuration Protocol

DMZ Demilitarized Zone

DNS Domain Name Service

DPNSS Digital Private network Signalling System

DTMF Dual Tone Multifrequency

ETSI European Telecommunication Standards Institute

FW Firewall

GW Gateway

GSSCP Global SP SIP Compliance Program (Avaya)

IBCF Interconnection Border Control Function

ICE Interactive Connectivity Establishment

IETF Internet Engineering Task Force

IMAC Installation, Moves, Adds and Changes

IMS IP Multimedia Subsystem


Netzwerke


Abkürzungen

IP Internet Protocol

IPVTL IP Video Transcoding Live!

ISDN Integrated Services Digital Network

ISUP ISDN User Part of SS7

ITSP Internet Telephony Service Provider

ITU-T International Telecommunication Union for Telecommunication Standards

LB Load Balancing

MGC Media Gateway Controller

MSRP Message Session Relay Protocol

MTU Maximum Transmission Unit

NASS Network Attachment Subsystem

NAT Network Address Translation NGCN Next Generation Corporate NetworkNGN Next Generation NetworkNP Network Processor NIU Network Interface Unit OSB OpenScape BranchOSS Operational Support System OVA Open Virtual Appliance PBX Private Branch eXchangePCRF Policy Charging and Rules Function PGW PSTN Gateway (Cisco)PRI Primary Rate InterfacePSTN Public Switched Telephony NetworkQSIG Q-interface SIGnalling protocol; Quer-SignallingQoS Quality of ServiceRACS Resource and Administration Control Subsystem RFC Request for CommentROI Return on InvestmentRTCP RTP Control ProtocolRTP Real-Time Transport Protocol


Netzwerke


Abkürzungen

SBC Session Border Controller

SDP Session Description Protocol

SIP Session Initiation Protocol

SIP-I SIP with encapsulated ISUP

SP-SSE Service Provider SIP Signalling Entity

SRTP Secure Rela Time Protocol

STUN Session Traversal of UDP through NAT

TCP Transmission Control Protocol

TDoS Telephony Denial of Service

TFTP Trivial File Transfer Protocol

TISPAN Telecommunications and Internet converged Services and Protocols for Advanced Networking

TLS Transport Layer Security

TURN Traversal Using Relay NAT

UC Unified Communications

UHA Ultra High Availability

URI Universal Resource Identificator

VPN Virtual Private Network

Session Border Controller: Funktionalität und Einsatz ... · PDF fileSBC als UNI Border /...

Documents

Transcript of Session Border Controller: Funktionalität und Einsatz ... · PDF fileSBC als UNI Border /...