圖-1 SBC

SBC，是英文Session Border Controller的簡(jiǎn)稱(chēng)，在IP化網(wǎng)絡(luò )通信時(shí)代，特別是在5G全IP網(wǎng)絡(luò )化通信時(shí)代，該設備通信組網(wǎng)結構中，承擔著(zhù)重要功能。

圖-2SBC設備通信

SBC的核心功能：為不同子網(wǎng)的IP語(yǔ)音（及視頻等其它實(shí)時(shí)會(huì )話(huà)業(yè)務(wù)）信令和媒體提供控制功能；同時(shí)在網(wǎng)絡(luò )邊緣對所處理業(yè)務(wù)進(jìn)行安全保障（防攻擊、VPN隔離、防火墻等）和QoS控制（policing、marking、rate limiting、CAC、SLA等）。其在網(wǎng)絡(luò )位置：接入或匯聚點(diǎn), 互通的網(wǎng)絡(luò )邊緣 。

圖-3 SBC的兩面角色

在IMS中，SBC設備有A-SBC和I-SBC兩面角色。SBC作為A-SBC主要提供呼叫接入控制、NAT穿越、QoS、接入安全、媒體防火墻、媒體代理、媒體編解碼轉換和計費功能。SBC作為I-SBC主要提供協(xié)議互通、網(wǎng)絡(luò )間安全、QoS、路由、計費和呼叫接入控制功能。

圖-4 SBC設備基本組網(wǎng)

SBC設備可以解決信令的NAT/FW穿越問(wèn)題

圖-5 NAT問(wèn)題

在VOIP部署通信中，對于NAT問(wèn)題，經(jīng)常遇該現象：

• VoIP用戶(hù)在各自私網(wǎng)（且地址可能重疊）；

• NAT/FW不支持VoIP信令（SIP/H323/H248/MGCP/etc.）的ALG，普通的NAT只會(huì )修改報文IP層的地址信息（右圖中藍色部分）；

• 對SIP而言，VoIP用戶(hù)注冊后，核心網(wǎng)上記錄的將是其私網(wǎng)地址（右圖中紅色部分），導致呼叫時(shí)信令不通；

• NAT/Firewall 通道?；顔?wèn)題，VoIP終端注冊完成后長(cháng)時(shí)間不觸發(fā)業(yè)務(wù)，NAT/Firewall會(huì )將其通道關(guān)閉，導致終端做不了被叫業(yè)務(wù)。

對于VoIP部署中遇到的信令的NAT/FW穿越問(wèn)題 ，在解決的方法上，通常有以下幾種方法：

• 升級或替換企業(yè)網(wǎng)出口的NAT/FW，使之支持各VoIP信令的ALG，通常面對企業(yè)不愿意買(mǎi)單，VoIP協(xié)議升級需要同步升級防火墻

• 運營(yíng)商網(wǎng)絡(luò )中部署特殊設備，實(shí)現VOIP的NAT穿越，部署方便，能實(shí)現大范圍接入。

因此必須有SBC設備，采用SBC 的疊加方案，不用改造現網(wǎng)設備，無(wú)論企業(yè)網(wǎng)NAT/FW是否支持ALG，均能將用戶(hù)順利接入運營(yíng)商的VoIP網(wǎng)絡(luò )。SBC應用的技術(shù)叫Full Proxy，即是全代理。實(shí)際上也是即是合設架構的SBC。

SBC設備可以解決VoIP安全問(wèn)題

在VoIP部署中，經(jīng)常有這樣的現象：

• 終端智能化傾向：終端的能力較強，可以執行攻擊程序；

• 引入軟終端：軟終端的使用導致在核心網(wǎng)網(wǎng)絡(luò )中引入了許多IP網(wǎng)的固有安全問(wèn)題，如DOS攻擊等；

• 核心網(wǎng)設備安全能力：核心網(wǎng)的設備（CSCF/Softswitch）關(guān)注信令以及業(yè)務(wù)處理，不適合做防攻擊處理；

• 資源不受控：比如一個(gè)語(yǔ)音終端可以使用超過(guò)128Kbps的流量；

• 平面組網(wǎng)結構：大部分網(wǎng)絡(luò )架構是終端/AG等設備直接接入，軟交換直接對終端可見(jiàn)，報文可以直達軟交換等設備。軟交換等設備容易受攻擊，一臺軟交換往往負責幾萬(wàn)乃至幾十萬(wàn)用戶(hù)的電話(huà)接續，如果被攻陷，后果就是災難性的。

而解決安全問(wèn)題，需要有某款設備能夠部署在核心網(wǎng)周?chē)?，為其搭建一個(gè)抵御各類(lèi)攻擊的屏障，包括：

• 普通DoS、DDoS攻擊

• 各類(lèi)VoIP信令的攻擊——即便核心網(wǎng)躲在運營(yíng)商VPN內，也很難抵御此類(lèi)攻擊。

同時(shí)需要SBC提供拓撲隱藏功能，屏蔽互通雙方的真實(shí)IP，從而有效實(shí)現安全隔離。

SBC設備典型組網(wǎng)場(chǎng)景

圖-5 SBC使用場(chǎng)景

SBC解決NAT問(wèn)題的實(shí)現機制

SBC在解決NAT的問(wèn)題，其實(shí)現即機制如下所述：

（1） 信令面建立起之后，UE1知道UE2 NAT轉換后的IP地址A2,UE2知道了UE1 NAT轉換后的IP地址A3，SBC，SPDF,PCSCF知道了(A1,A2),(A3,A4)對。

（2）發(fā)起媒體流的時(shí)候，UE1將A2作為目的地址發(fā)往SBC,SBC收到消息后，SBC會(huì )根據映射關(guān)系（A1,A2）（A3,A4），根據映射關(guān)系根據（A1,A2）找到（A3,A4）,并將A3作為原地址，將A4作為目的地址，將媒體流消息發(fā)往UE2。

（3）UE2回送媒體流，根據A3的IP地址，發(fā)往SBC，SBC會(huì )根據映射關(guān)系（A1,A2）（A3,A4），根據映射關(guān)系根據（A3,A4）找到（A1,A2）,并將A1作為目的地址，A2作為原地址。將消息發(fā)往UE1。媒體流的交互是并行雙向多次的。根據RTP包（比如0.03秒構成語(yǔ)音幀將RTP包發(fā)出），這樣變可達到通信的目的。