軟交換設(shè)備還是比較常用的，于是我研究了一下關(guān)于軟交換設(shè)備組網(wǎng)方案，在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。對(duì)于承擔(dān)窄帶域呼叫控制功能的SS來(lái)說(shuō)，采用主備用雙機(jī)工作方式。對(duì)于所控制用戶的用戶數(shù)據(jù)將集中存放在HLR中，路由數(shù)據(jù)集中存放在RS中，主機(jī)及備用機(jī)激活后都可訪問(wèn)這部分?jǐn)?shù)據(jù)，至于SS所使用的網(wǎng)關(guān)資源相關(guān)數(shù)據(jù)則必須預(yù)先在備用機(jī)中保留備份。該種方式是采用資源閑置冗余的方式獲得SS的可靠性。

對(duì)于承擔(dān)寬帶域呼叫控制功能的SS來(lái)說(shuō)，可以采用前述的主備用雙機(jī)工作方式，但處于更高的設(shè)備使用效率考慮，還可以采用多機(jī)負(fù)荷分擔(dān)的工作方式。每個(gè)BAC負(fù)責(zé)n個(gè)SS設(shè)備(如同一省內(nèi)采用SS進(jìn)行寬帶域業(yè)務(wù)的負(fù)荷分擔(dān)處理)的控制信息分發(fā)，當(dāng)其收到SIP用戶發(fā)來(lái)的呼叫請(qǐng)求后，會(huì)根據(jù)預(yù)先設(shè)定的話務(wù)分配原則(如輪詢等)，每個(gè)SS具有自己的IP地址，但只對(duì)BAC公布。這些SS的功能完全相同，處理BAC送來(lái)的呼叫請(qǐng)求，查詢統(tǒng)一的HLR獲得用戶業(yè)務(wù)屬性信息及用戶狀態(tài)、查詢RS獲得用戶IP地址進(jìn)行路由或下一跳SS或業(yè)務(wù)平臺(tái)，以實(shí)現(xiàn)業(yè)務(wù)接續(xù)及控制。當(dāng)某一SS出現(xiàn)故障將影響本次呼叫處理，下一次序新的呼叫請(qǐng)求將會(huì)由其他的SS進(jìn)行處理，網(wǎng)絡(luò)業(yè)務(wù)處理能力將損失1/n，但不用空置部分SS資源。

BAC實(shí)現(xiàn)至SS的呼叫控制信息動(dòng)態(tài)分發(fā)功能，具有協(xié)議解析功能，能夠根據(jù)應(yīng)用協(xié)議的參數(shù)識(shí)別哪些消息屬于同一呼叫，將其分發(fā)至同一SS進(jìn)行呼叫處理。BAC自身的可靠性將通過(guò)多機(jī)備份得到保證。對(duì)于部署在專網(wǎng)內(nèi)的信令網(wǎng)關(guān)、中繼網(wǎng)關(guān)、大容量用戶綜合接入網(wǎng)關(guān)、重要客戶使用的IAD/小容量用戶綜合接入網(wǎng)關(guān)等設(shè)備，應(yīng)支持在本機(jī)上設(shè)置備用SS地址的功能，當(dāng)主用SS故障退出服務(wù)后應(yīng)能夠?qū)⒑罄m(xù)新的呼叫請(qǐng)求送到備用SS進(jìn)行處理。

對(duì)于部署在公共Internet之上的各類(lèi)SIP用戶及IAD終端，在用戶側(cè)只寫(xiě)入需訪問(wèn)的軟交換設(shè)備或各類(lèi)管理及應(yīng)用服務(wù)器(如IAD網(wǎng)管系統(tǒng)、文件服務(wù)器等)的域名而非IP地址，通過(guò)軟交換設(shè)備的域名解析器DNS解析后返回相應(yīng)的BAC設(shè)備的地址。BAC收到呼叫請(qǐng)求后將首先判別用戶類(lèi)型(采用協(xié)議類(lèi)型或是否帶有主機(jī)名進(jìn)行判別)，對(duì)于IAD用戶的呼叫請(qǐng)求，BAC將根據(jù)預(yù)設(shè)值將呼叫指向主用SS;對(duì)于SIP用戶的呼叫請(qǐng)求，BAC將根據(jù)預(yù)設(shè)原則(如輪詢等)將呼叫均勻指向一組SS中的一個(gè)。

安全問(wèn)題的解決

首先，軟交換、中繼媒體網(wǎng)關(guān)、綜合接入媒體網(wǎng)關(guān)、媒體服務(wù)器等設(shè)備基于專用網(wǎng)絡(luò)部署，該網(wǎng)絡(luò)可以是新建的專用網(wǎng)或采用MPLSVPN等技術(shù)的虛擬專用網(wǎng)，能通過(guò)各種手段來(lái)實(shí)現(xiàn)軟交換設(shè)備間的相互通信及軟交換設(shè)備和非軟交換設(shè)備間的消息隔離，大量的軟交換散戶及其他非軟交換網(wǎng)絡(luò)的設(shè)備難以直接訪問(wèn)到這些軟交換網(wǎng)絡(luò)設(shè)備，大大減小了受互聯(lián)網(wǎng)用戶攻擊的可能。由于軟交換專用網(wǎng)絡(luò)中的設(shè)備可信任度高，通過(guò)信令協(xié)議保障(如認(rèn)證)、設(shè)備管理等手段，基本可以避免專用網(wǎng)絡(luò)內(nèi)用戶攻擊。

對(duì)于非重要客戶使用的IAD及SIP軟、硬終端等設(shè)備，由于設(shè)備數(shù)量多、分布廣，將通過(guò)各種接入方式快速收斂于BAC設(shè)備，通過(guò)BAC設(shè)備實(shí)現(xiàn)與專用網(wǎng)絡(luò)中其他設(shè)備的互通，此時(shí)BAC提供信令及媒體的代理功能及安全檢測(cè)及隔離功能。由于IAD及SIP終端分布于用戶側(cè)，對(duì)軟交換核心設(shè)備的安全存在極大的威脅，因此在本方案中，運(yùn)營(yíng)商對(duì)于IAD或SIP終端應(yīng)采用用戶零配置方案，運(yùn)營(yíng)商應(yīng)負(fù)責(zé)所有網(wǎng)絡(luò)及用戶數(shù)據(jù)的配置及后續(xù)的更新及修改，用戶無(wú)法自行修改數(shù)據(jù)。在用戶側(cè)只寫(xiě)入需訪問(wèn)的軟交換設(shè)備或各類(lèi)管理及應(yīng)用服務(wù)器(如IAD網(wǎng)管系統(tǒng)、文件服務(wù)器等)的域名而非IP地址，避免SS暴露IP地址易受到非法攻擊。在信令協(xié)議中啟動(dòng)加密和鑒權(quán)機(jī)制，SS定期檢測(cè)用戶身份合法性，保證SS對(duì)網(wǎng)關(guān)及用戶的控制權(quán)，防止非法用戶對(duì)業(yè)務(wù)的盜用或干擾。

通過(guò)域名解析機(jī)制及BAC設(shè)備的信令及媒體的全代理功能，對(duì)基于公共Internet接入的用戶屏蔽軟交換、中繼媒體網(wǎng)關(guān)、綜合接入媒體網(wǎng)關(guān)、媒體服務(wù)器等設(shè)備的地址，保護(hù)重要的軟交換網(wǎng)絡(luò)設(shè)備。

BAC支持訪問(wèn)控制列表(ACL)功能，能夠根據(jù)源、目的IP地址和端口號(hào)設(shè)置訪問(wèn)控制規(guī)則進(jìn)行報(bào)文過(guò)濾;能夠針對(duì)特定控制協(xié)議進(jìn)行包過(guò)濾，阻擋非法設(shè)備及未經(jīng)允許的協(xié)議對(duì)軟交換設(shè)備的訪問(wèn);能進(jìn)行簡(jiǎn)單的應(yīng)用層攻擊防護(hù)，實(shí)現(xiàn)部分代理服務(wù)型防火墻功能，具體包括:根據(jù)用戶注冊(cè)狀態(tài)進(jìn)行消息的處理，對(duì)未注冊(cè)用戶發(fā)送的非注冊(cè)消息進(jìn)行丟棄處理;對(duì)注冊(cè)鑒權(quán)失敗的用戶終端建立監(jiān)視列表，當(dāng)失敗的注冊(cè)嘗試達(dá)到一定的頻率則采取相應(yīng)措施;設(shè)置IP地址/端口允許的正常信令消息流量值，當(dāng)1分鐘內(nèi)收到同一源IP和端口的消息超過(guò)該值時(shí)，將該地址/端口列入黑名單并采取相應(yīng)措施，具備根據(jù)業(yè)務(wù)需要、用戶安全需求和運(yùn)營(yíng)需求屏蔽通信對(duì)方地址的能力。

為配合安全的軟交換網(wǎng)絡(luò)的實(shí)施，各設(shè)備需要進(jìn)行相應(yīng)的改進(jìn)，如支持多個(gè)網(wǎng)段，可以通過(guò)提供多個(gè)分離的物理端口或在一個(gè)物理端口上支持多個(gè)VLAN的方式實(shí)現(xiàn);對(duì)媒體端口進(jìn)行動(dòng)態(tài)開(kāi)閉管理;能進(jìn)行最小化端口設(shè)置;面向用戶的服務(wù)可采取由Web或Portal面對(duì)用戶，進(jìn)行業(yè)務(wù)代理方式來(lái)降低風(fēng)險(xiǎn);設(shè)備需要專門(mén)的軟/硬件平臺(tái)設(shè)計(jì)等。

QoS問(wèn)題的解決

目前的IP網(wǎng)絡(luò)技術(shù)還不能徹底地解決QoS問(wèn)題，在現(xiàn)有的公共IP網(wǎng)絡(luò)上還不能為軟交換網(wǎng)絡(luò)提供大規(guī)模地有QoS保障的承載服務(wù)。本方案將采用專用網(wǎng)絡(luò)+BAC的信令媒體全代理功能對(duì)QoS問(wèn)題進(jìn)行一定程度的解決。

專用網(wǎng)絡(luò)組網(wǎng)可以采用專線、專用IP網(wǎng)、MPLSVPN等方式，MPLSVPN方式要提供QoS保障，仍然需要全I(xiàn)P網(wǎng)絡(luò)設(shè)備的支持，而目前的IP網(wǎng)絡(luò)還不能全程全網(wǎng)地提供QoS。專線和專用IP網(wǎng)方式可以通過(guò)網(wǎng)絡(luò)流量預(yù)測(cè)和規(guī)劃，按軟交換業(yè)務(wù)需求組織網(wǎng)絡(luò)，由于專網(wǎng)專用，使用過(guò)程中容易掌握業(yè)務(wù)流量和流向的變化，可以及時(shí)調(diào)整網(wǎng)絡(luò)，通過(guò)與軟交換設(shè)備呼叫數(shù)控制功能結(jié)合，可以有效解決網(wǎng)絡(luò)擁塞控制問(wèn)題。如新建專用網(wǎng)絡(luò)，還可以在引進(jìn)網(wǎng)絡(luò)設(shè)備時(shí)統(tǒng)一考慮設(shè)備QoS功能，區(qū)分對(duì)待不同業(yè)務(wù)等級(jí)的軟交換業(yè)務(wù)，設(shè)置為某些業(yè)務(wù)實(shí)現(xiàn)帶寬預(yù)留。

全代理設(shè)備可以根據(jù)不同用戶、不同業(yè)務(wù)分別對(duì)信令和媒體進(jìn)行QoS標(biāo)記，為后續(xù)IP網(wǎng)絡(luò)設(shè)備的QoS處理提供幫助。在今后的QoS解決方案中，該設(shè)備還可以接受軟交換設(shè)備或其他QoS控制設(shè)備的指令，在呼叫建立階段根據(jù)用戶QoS要求和網(wǎng)絡(luò)QoS狀況進(jìn)行不同的后續(xù)處理(如接續(xù)、拒絕、重定向、更改編碼方式等)。

防止非法業(yè)務(wù)旁路

通過(guò)在PC機(jī)上加載一定的SIP通信軟件的SIP軟終端用戶，可以通過(guò)Internet的通達(dá)性在世界各地接入運(yùn)營(yíng)商的軟交換設(shè)備實(shí)現(xiàn)通信功能，當(dāng)用戶在異地使用軟終端呼叫用戶歸屬地其他用戶時(shí)，運(yùn)營(yíng)商只能收到本地呼叫的費(fèi)用，而無(wú)法收到國(guó)際或國(guó)內(nèi)長(zhǎng)途呼叫收入。另外，某些終端軟件也可能在獲得SS返回的對(duì)端用戶地址信息，停止與SS之間的繼續(xù)交互，通過(guò)獲得的被叫地址采用其他IP電話軟件直接進(jìn)行通信，使得運(yùn)營(yíng)商幫助其完成了用戶尋址后話務(wù)被旁路而無(wú)法獲得收益，以上問(wèn)題可以通過(guò)BAC在一定程度上得到改善。

對(duì)于第一個(gè)問(wèn)題的做法是，終端只配軟交換域名，通過(guò)DNS解析至應(yīng)去所屬的SBC;SBC將本身及用戶的IP地址送給軟交換;軟交換進(jìn)行IP地址分析，判斷用戶的IP地址與使用的BAC的IP地址是否匹配，若相匹配則呼叫接續(xù)繼續(xù)，若不匹配則呼叫拒絕。當(dāng)然該解決辦法的前提是SS已經(jīng)了解IP地址與地域之間的分布對(duì)應(yīng)關(guān)系。

對(duì)于第二個(gè)問(wèn)題的做法是，通過(guò)BAC設(shè)備從信令和媒體上屏蔽通信對(duì)端用戶的地址，可以有效防止業(yè)務(wù)旁路，并滿足某些業(yè)務(wù)(如匿名聊天)的特殊需求，該功能建議由邊緣業(yè)務(wù)接入設(shè)備完成。

結(jié)束語(yǔ)

本解決方案中的重要部件BAC已完成了企業(yè)設(shè)備規(guī)范制定，包括產(chǎn)品的功能、性能、相關(guān)的協(xié)議擴(kuò)展等，目前已在信息產(chǎn)業(yè)部通信標(biāo)準(zhǔn)協(xié)會(huì)申請(qǐng)立項(xiàng)。已有設(shè)備制造商意識(shí)到該設(shè)備的重要性，完成了該設(shè)備的研制。