远程接入-SBC解决方案

技术文件技术文件名称：SBC V2.00.50测试配置说明技术文件编号：版本：V2.00.50共48 页(包括封面)拟制_______审核会签标准化批准中兴通讯股份有限公司修改记录1. 配置说明部分 (5)1.1. 概述 (5)1.2. 设备简介 (6)1.2.1. 设备的划分 (6)1.2.2. B200-R08设备外观 (6)1.2.3. B200-R08硬件配置 (7)1.2.4. B200-S设备硬件配置 (7)1.3. 平台基本操作 (9)1.3.1. 通过串口连接SBC (9)1.3.2. 串口下配置和查看IP地址 (10)1.3.3. 串口下配置用户名密码 (12)1.3.4. 文件系统操作 (12)1.3.5. ftp传输文件 (13)1.4. SBC最简业务配置 (14)1.4.1. IP地址配置 (14)1.4.2. VLAN子接口配置 (14)1.4.3. Smartgroup接口绑定 (14)1.4.4. 路由配置 (15)1.4.5. 配置工作模式 (16)1.4.6. License配置 (16)1.4.7. 媒体资源配置（信令媒体合一） (17)1.4.8. IA接口配置（信令媒体分离） (17)1.4.9. 媒体资源配置（信令媒体分离） (18)1.4.10. 信令分组配置（SIP接入模式） (18)1.4.11. 信令分组配置（SIP跨域模式） (19)1.4.12. IMS组网HTTP转发配置（PA T配置） (20)1.4.13. 信令分组配置（H248终端接入） (20)1.4.14. 激活信令分组 (22)1.4.15. IPV6配置 (22)1.5. SBC对终端的心跳检测（对终端的链路检测） (23)1.5.1. SBC对SIP终端的链路检测 (23)1.5.2. SBC对H248终端的链路检测 (23)1.5.3. SIP协议expire超时检测 (24)1.6. SBC对核心网侧的心跳配置（下一跳容灾检测） (24)1.6.1. 容灾定时器配置 (25)1.6.2. Fast-switch容灾方式 (26)1.6.3. Smooth-switch容灾方式 (26)1.6.4. 负荷分担 (27)1.6.5. H248协议的容灾 (28)1.7. SBC双机热主备配置 (29)1.7.1. 检查license (30)1.7.2. 接口实地址的配置 (30)1.7.3. 双机热主备地址配置 (30)1.7.4. 双机信令分组的添加 (32)1.7.5. 信令媒体分离模式下的双机配置 (32)1.7.6. 多信令分组模式下的双机配置 (33)1.8. SBC连接网管配置 (33)1.9. 查看当前注册用户 (34)1.9.1. 查看当前注册数据区占用 (34)1.9.2. 查看各协议当前注册的所有用户 (34)1.9.3. 查看单个用户的注册状态 (35)1.10. 查看MPE注册状态（信令媒体分离） (35)1.10.1. 进入IA属性模式 (35)1.10.2. 在SPE上查看MPE注册状态 (35)1.11. SBC基本操作：信令跟踪 (35)1.11.1. 进入信令跟踪模式 (36)1.11.2. 监视器开关打开和关闭 (36)1.11.3. 信令跟踪的相关命令 (36)1.12. SBC基本操作：端口镜像 (38)1.12.1. 端口镜像开关 (38)1.12.2. 添加端口镜像条目 (38)1.13. 查看媒体转发表 (39)1.13.1. 在SPE上查看MTI (39)1.13.2. 在MPE上查看MTI (40)1.14. 部分特色配置 (41)1.14.1. 开启SSH功能，禁掉telnet (41)1.14.2. 配置ACL (42)1.14.3. Media-release (43)1.14.4. 信令防火墙 (44)1.14.5. CAC策略配置 (46)1.14.6. QOS标记配置 (47)1.15. 版本安装和升级 (48)1.15.1. 查看当前版本 (48)1.15.2. 版本升级 (48)1.配置说明部分1.1.概述随着PON用户在2008-2009年的大规模商用，特别是FTTH的逐步实现，电信运营商越来越多的意识到SBC下的用户量要激增，NAT下用户的地址转换，核心网设备的安全防护等需求也急剧增加。

图解边界会话控制器（SBC）的20个最常⽤功能边界会话控制器(Session Border Controller-SBC)是⽬前基于IP语⾳通信中，特别是基于SIP，3GPP⽹络中的核⼼设备。

关于SBC的讨论，笔者在以前的历史⽂档中发布过很多关于SBC的功能，作⽤，以及部署协议讨论。

但是，仍然有很多⽤户对SBC的概念⽐较模糊，为了进⼀步帮助读者理解什么是SBC，笔者这次通过配图⽰例来解释这些功能，希望读者结合以前的技术，对SBC有⼀个完整的理解，在以后的设备选型中有⼀个清晰的认识。

以下视频是⼀个简单的视频介绍，什么是SBC和安全功能介绍。

⾸先说明的是，⽬前，SBC没有任何组织或者RFC标准来规定SBC必须具备什么样的功能，很多SBC⼚家根据⼤概的SBC的应⽤场景定义了很多不同的功能。

⼀些⼚家都声称⼀些所谓的功能，事实上也可能不完全是SBC的⼀般认可的功能。

另外，因为技术积累的原因，⼀些⼚家的SBC也只能实现⽐较基础的功能，⽐较有实⼒的⼚家则开发了很多⾼级功能。

因此，笔者很难讨论对某些功能做讨论介绍。

这⾥，笔者根据国外市场的调查，结合⼀些国际上认可的SBC品牌，同时结合SBC应⽤协议的规范，准备了20个SBC的常⽤功能来做介绍。

当然，SBC本⾝是⼀个⽐较新的产品，特别是基于互联⽹技术的发展，未来可能会逐渐引⼊很多新的功能⽀持，笔者也不清楚，我们暂且不讨论。

关于SBC的其他技术讨论，读者可以查阅本公众号的历史⽂档或⽹络资料来进⾏进⼀步的学习。

现在，我们针对常⽤的20个SBC常⽤功能结合图例来分别加以介绍说明。

另外，笔者⼏年前就发布过很多关于SBC的技术讨论的⽂章，读者可以查阅历史⽂档学习，包括：边界会话控制器部署协议RFC5853全⾯剖析SBC产品和功能免费SBC-FreeSBC，免费边界会话控制器，⽀持软硬件安装部署⽅式，⽀持亚马逊/阿⾥云安装部署⽅式。

免费下载测试。

使⽤开源Kamailio开发SBC的⼀些误解漫谈VoIP⽹络中的核⼼设备-SBC，读者⾃⾏搜索：01SBC控制通信数据流量边界会话控制器-SBC，顾名思义，实际上就是对Session的控制。

会话边界控制器（SBC）典型应用场景会话边界控制器（SBC）典型应用场景1、信令及媒体的NAT穿越：A) 由于防火墙DMZ/NAT的引入，造成了内网的软交换或者SIP 终端携带的SIP消息中的VIA/FROM/TO/Contact/SDP中的c=/SDP中的m=/SDP中RTCP地址等字段地址和实际互通地址不一致。

最终导致信令及媒体交互的地址错误或者端口失效，无法正确建立信令通信。

SBC解决方法：采用NAT防火墙串接或者并接的拓扑组网。

转发并重构SIP信令消息，SIP注册消息保活，保证互通的正确性。

B) 由于一些厂家软交换并不支持媒体中继/媒体转发，导致拓扑隔离的两个网络无法互相建立媒体流连接。

SBC解决方法：采用NAT防火墙串接或者并接的拓扑组网。

转发媒体，NAT拓扑下的媒体路径学习，P2P媒体穿透等。

2、信令及媒体的互联互通A) 由于不同厂家的设备遵循SIP规范标准的不一致，导致了业务互通兼容问题或者互通失败。

SIP信令方法不一致 ------ 用SBC的B2BUA来实现单侧交互（例如IMS的PRACK/SessionTimer/REFER/UPDATE）SIP消息过大---------- 用SBC过滤不必要的头和SDP中的媒体资源(例如视频会议的大SDP)SIP字段争议 ---------- 用SBC定义删除争议字段或者重定义格式(例如IMS中的TEL URI)B) 由于不同厂家的设备遵循媒体能力标准的不一致，导致了业务互通兼容问题或者互通失败。

编码协商争议 --------- 用SBC定义SDP offer/SDP answer的编码协商列表的优先顺序(例如一方媒体流不规范)媒体类型争议 --------- 用SBC定义删除争议的媒体资源（例如视频会议中BFCP流）编码转换 ------------- 用SBC参与协商并转换UAS/UAC的媒体流编码（例如IMS与用户UC的编码不相容）3、安全威胁的防护A) 内外网拓扑隔离--- SBC充当内外网络的转发节点。

中国网通（集团）有限公司企业标准中国网通软交换会话边界控制设备（SBC）技术规范2008年-12月发布中国网通（集团）有限公司目录1 范围 (4)2 规范性引用文件 (4)3 定义和缩略语 (5)3.1定义 (5)3.2缩略语 (5)4会话边界控制器的网络位置 (6)4.1网络组网要求 (7)4.1.1组网原则 (7)4.2组网方式 (8)4.2.1本地网分布部署 (8)4.2.2省/大区集中部署 (9)4.2.3运营商网络互通部署 (10)5 会话边界控制器的功能 (10)5.1信令流代理功能 (10)5.1.1 注册过程 (11)5.1.2 呼叫过程 (12)5.1.3 异常呼叫过程未注册 (12)5.2媒体流代理功能 (12)5.1.3通话正常情况 (13)5.1.3通话异常情况 (14)5.3地址翻译功能 (14)5.4协议分析、处理和转换功能 (15)5.5保留用户在线状态功能 (15)5.6资源控制功能 (16)5.7媒体流的监控和管理功能 (16)5.8服务质量保证功能 (17)5.9媒体流旁路功能 (17)5.10认证和计费功能 (18)5.10.1 注册/注销阶段 (18)5.10.2 呼叫阶段 (19)5.11访问控制功能 (19)5.12隧道网关功能 (19)5.13媒体流和信令流的加解密功能 (19)5.14网管接口功能 (20)5.14.1 对会话边界控制器进行管理 (20)5.14.2 对会话边界控制器和软交换终端之间的连接进行测试和管理 (20)5.15本地控制台功能 (21)6 接口要求 (21)6.210/100B ASE T接口 (21)7 协议要求 (21)7.1TCP/UDP/IP协议要求 (21)7.2IPS EC 协议要求 (21)7.3路由协议要求 (22)7.4T ELNET 协议 (22)7.5SNMP协议 (22)7.6NTP协议 (22)7.7SIP协议要求 (22)8 性能要求(暂定) (22)8.1容量要求 (22)8.2服务质量要求 (22)8.3信令处理能力要求 (23)8.4信令消息转发时延要求 (23)8.5信令成功转发率 (23)8.6媒体处理能力要求 (23)8.7媒体流转发时延要求 (23)8.8可靠性要求(放入性能要求中) (23)9 安全要求 (24)9.1用户接入安全 (24)9.2访问控制功能 (24)9.3防非法攻击能力 (24)9.4资源安全控制功能 (25)9.5安全日志功能 (25)10 操作维护管理要求 (25)10.1配置管理 (25)10.2性能管理 (26)10.3故障管理 (26)10.4安全管理 (27)10.5后台操作维护功能要求 (27)11 同步要求 (27)12 电源及接地要求 (28)12.1电源要求 (28)12.1.1 直流电源要求 (28)12.1.2 交流电源要求 (29)12.2接地要求 (29)12.2.1 接地方式 (29)12.2.2 接地电阻值 (29)12.2.3 绝缘电阻 (29)13.1硬件要求 (29)13.1.1 硬件系统基本要求 (29)13.1.2 对处理机的要求 (30)13.1.3 对输入、输出的基本要求 (30)13.2软件要求 (30)13.2.1 基本要求 (30)13.2.2 软件功能要求 (30)13.2.3 软件维护管理功能要求 (31)14 环境要求 (32)14.1环境温、湿度要求 (32)14.2抗电磁干扰的能力 (32)14.3设备本身产生的电磁干扰要求 (32)1 范围本标准规定了会话边界控制器（SBC）的功能要求、协议要求、接口要求、计费要求、安全要求、性能要求、操作维护管理要求、可靠性要求等基本要求。

SBC——接入网和互联网的防火墙从语音通话到网络聊天，从短信到视频会议，即时通信已成为全渠道事务。

随着VoIP的应用变得越来越普遍，您的企业需要尽可能安全有效地管理所有通信数据;这是会话边界控制器(SBC)的工作。

一、SBC及分类SBC(Session Border Controllers会话边界控制器)在包括移动互联网的两个关键领域发挥着越来越重要的作用。

其中接入SBC和互连SBC都管理和保护下一代架构中的信令和媒体功能；由3GPP LTE Advanced标准定义的架构中它们的职责截然不同。

二、接入网SBC由于来自SIP用户代理端点的持续注册请求，部署在接入基础设施中的SBC比部署在网络中其他点的设备遇到更高的流量负载。

随着这些端点从传统的老式电话演变为提供统一的通信体验，接入SBC必须处理的不同SIP消息的数量将呈指数级增长。

这不仅包括多次注册，还包括即时消息、SMS和在线流量，这些流量可能会打破集成SBC平台的经典扩展模型。

接入网(Access)SBC上的流量负载也是不可预测的。

本地或区域事件、促进电话服务使用，甚至间歇性网络不稳定都可能导致信令消息出现高峰和低谷。

访问SBC还必须支持受信任和不受信任的端点，因此它们也更容易受到来自恶意来源的攻击，或者只是不受支持的用户代理可能会不经意间用不合格的消息淹没信令功能。

因此接入SBC 必须使用复杂的流量配置文件、策略、规则和流量规范化技术。

作为Access SBC其需具有独特的访问控制列表实现、细粒度规则和SIP规范化，通过我们独有的消息操作框架(MMF)，再加上专为独立扩展信令和媒体数据而设计的架构。

作为新型Access SBC的代表其可以在不影响吞吐量或容量的情况下满足严格的要求。

三、互联网SBC互联网节点(Interconnect)的SBC具有更多可预测的预注册流量模式，来自已标准化SIP消息的受信任的互联网络对等方，其呼叫流和消息配置文件的可预测性远高于Access SBC。

技术文件技术文件名称：SBC V2.00.50测试配置说明技术文件编号：版本：V2.00.50共48 页(包括封面)拟制_______审核会签标准化批准中兴通讯股份有限公司修改记录1. 配置说明部分 (5)1.1. 概述 (5)1.2. 设备简介 (6)1.2.1. 设备的划分 (6)1.2.2. B200-R08设备外观 (6)1.2.3. B200-R08硬件配置 (7)1.2.4. B200-S设备硬件配置 (7)1.3. 平台基本操作 (9)1.3.1. 通过串口连接SBC (9)1.3.2. 串口下配置和查看IP地址 (10)1.3.3. 串口下配置用户名密码 (12)1.3.4. 文件系统操作 (12)1.3.5. ftp传输文件 (13)1.4. SBC最简业务配置 (14)1.4.1. IP地址配置 (14)1.4.2. VLAN子接口配置 (14)1.4.3. Smartgroup接口绑定 (14)1.4.4. 路由配置 (15)1.4.5. 配置工作模式 (16)1.4.6. License配置 (16)1.4.7. 媒体资源配置（信令媒体合一） (17)1.4.8. IA接口配置（信令媒体分离） (17)1.4.9. 媒体资源配置（信令媒体分离） (18)1.4.10. 信令分组配置（SIP接入模式） (18)1.4.11. 信令分组配置（SIP跨域模式） (19)1.4.12. IMS组网HTTP转发配置（PA T配置） (20)1.4.13. 信令分组配置（H248终端接入） (20)1.4.14. 激活信令分组 (22)1.4.15. IPV6配置 (22)1.5. SBC对终端的心跳检测（对终端的链路检测） (23)1.5.1. SBC对SIP终端的链路检测 (23)1.5.2. SBC对H248终端的链路检测 (23)1.5.3. SIP协议expire超时检测 (24)1.6. SBC对核心网侧的心跳配置（下一跳容灾检测） (24)1.6.1. 容灾定时器配置 (25)1.6.2. Fast-switch容灾方式 (26)1.6.3. Smooth-switch容灾方式 (26)1.6.4. 负荷分担 (27)1.6.5. H248协议的容灾 (28)1.7. SBC双机热主备配置 (29)1.7.1. 检查license (30)1.7.2. 接口实地址的配置 (30)1.7.3. 双机热主备地址配置 (30)1.7.4. 双机信令分组的添加 (32)1.7.5. 信令媒体分离模式下的双机配置 (32)1.7.6. 多信令分组模式下的双机配置 (33)1.8. SBC连接网管配置 (33)1.9. 查看当前注册用户 (34)1.9.1. 查看当前注册数据区占用 (34)1.9.2. 查看各协议当前注册的所有用户 (34)1.9.3. 查看单个用户的注册状态 (35)1.10. 查看MPE注册状态（信令媒体分离） (35)1.10.1. 进入IA属性模式 (35)1.10.2. 在SPE上查看MPE注册状态 (35)1.11. SBC基本操作：信令跟踪 (35)1.11.1. 进入信令跟踪模式 (36)1.11.2. 监视器开关打开和关闭 (36)1.11.3. 信令跟踪的相关命令 (36)1.12. SBC基本操作：端口镜像 (38)1.12.1. 端口镜像开关 (38)1.12.2. 添加端口镜像条目 (38)1.13. 查看媒体转发表 (39)1.13.1. 在SPE上查看MTI (39)1.13.2. 在MPE上查看MTI (40)1.14. 部分特色配置 (41)1.14.1. 开启SSH功能，禁掉telnet (41)1.14.2. 配置ACL (42)1.14.3. Media-release (43)1.14.4. 信令防火墙 (44)1.14.5. CAC策略配置 (46)1.14.6. QOS标记配置 (47)1.15. 版本安装和升级 (48)1.15.1. 查看当前版本 (48)1.15.2. 版本升级 (48)1.配置说明部分1.1.概述随着PON用户在2008-2009年的大规模商用，特别是FTTH的逐步实现，电信运营商越来越多的意识到SBC下的用户量要激增，NAT下用户的地址转换，核心网设备的安全防护等需求也急剧增加。

沟通CTBS电信行业远程接入解决方案-通信解决方案随着国内通讯行业的高速发展，移动、联通、电信、网通等大型电信运营商都在大力部署内部的信息交互应用，利用先进的信息化管理系统来提升企业竞争力。

为了更好地给用户提供高品质的服务，营业网点和业务代办点的数量正在逐年快速递增。

信息交互的低成本与快速传递，将直接关系到电信业务的核心竞争力。

如何实现更优质、更低的网络总体拥有成本(TCO)，将会是电信公司发展的关键。

行业需求作为电信行业信息化建设具有代表性的电信运营商，其自身的信息化建设已经走在全国的前列。

目前各大运营商都已经建设有OA、CRM、ERP等信息系统，另外还有联机采集系统、结算系统、增值业务、财务管理系统等，如何管理好这些信息系统，发挥它的最大价值，做到“集中式管理和信息实时汇总”将是一门重要功课。

前面说到，电信行业的营业网点和业务代办点星罗棋布，从省到地市到各营业点，这是一个相当复杂和庞大的网络，要实现以某地为中心单位对下属分支机构的所有信息进行集中控制式管理，各地营业部能够远程联入电信局总部，同步运行营业管理系统，更是一道难题。

目前，各电信单位在解决信息汇总和远程接入方面多采用的是VPN（MPSL）方案，以高于2Mbps的网络带宽支撑着信息交互。

表面上看来，VPN方案能够解决信息交互的问题，实际上它并不是最经济的和最佳解决方案。

具体分析如下：1、建设成本高，每增加一个终端都需要增加一定的经济成本，并且需要按月支付相关费用。

2、运营维护成本高，需要在每个客户机上部署终端，升级和打补丁等工作都需要在终端上进行，大大提高了IT工作人员的工作量。

3、由于在网络中传输的都是实时数据，因为对带宽要求非常高，至少占有100K以上的带宽，当并发用户量增加的时候，传输速度就会受到影响和制约。

4、对客户机的配置有一定要求，硬件设备成本较高。

那么，有无一种解决方案可以解决以上问题并且拥有VPN现有的功能呢？答案是肯定的。

（17）SBC的功能与部署方案•SBC的功能SBC是IMS网络边缘用于实现IP接入、互通和安全保护的网元，存在于接入网络与IMS网络之间或不同IMS网络之间，是用户接入IMS的入口点。

SBC作为B2BUA将用户和IMS核心网进行隔离。

SBC的主要功能包括：1）注册管理功能2）NAT穿越功能3）信令防火墙功能4）媒体资源管理5）QoS策略控制6）IP安全功能由于SBC需要实现信令防火墙和QoS策略控制等功能，因此需要具备应用层网关（ALG）和SIP信令处理能力。

•SBC的部署方案SBC的部署有两种方案：一是SBC与P-CSCF独立设置；而是SBC和P-CSCF合设。

在SBC与P-CSCF独立设置方案中，存在两个问题：1）由于SIP信令压缩和IPSec会导致SBC无法识别SIP信令，从而影响SBC对信令的处理能力。

这导致了IMS网络无法支持SIP信令压缩和IPSec功能，影响用户接入IMS网络的安全和效率。

2）由于P-CSCF也具备ALG和SIP信令处理能力，因此SBC和P-CSCF在功能上存在重复。

在IMS部署的初期，SBC和P-CSCF无法合设，因此为了保证网络的安全，要求SBC必须为全代理模式，即信令和媒体均通过SBC。

对于全代理SBC部署方式而言，每个地、市通过SBC作为代理将IMS会话统一接入到省中心或者区域中心的P-CSCF中。

在IMS部署的后期，SBC将与P-CSCF合设，其又包括两种方案：1）集成式SBC：P-CSCF功能、SBC信令控制部分和SBC媒体处理部分均集成在一个物理设备中。

在集成式SBC部署方式下，SBC和P-CSCF进行了合设，合设的SBC/P-CSCF部署在各个地市，省中心或区域中心不再为各地市集中设置P-CSCF，IMS会话由各地市的SBC/P-CSCF统一接入到省中心或区域中心的I/S/E-CSCF中。

2）分离式SBC：P-CSCF集成SBC信令控制部分，SBC媒体处理部分独立设置，并由P-CSCF通过H.248协议进行控制。