1、1,IMS BAC設(shè)備技術(shù)培訓(xùn)與交流,集團網(wǎng)絡(luò)運行維護事業(yè)部 交換網(wǎng)運行維護技術(shù)支撐中心 2012年10月,設(shè)備簡介 組網(wǎng)要求 協(xié)議處理 業(yè)務(wù)功能 安全防護,BAC的引入 FW/NAT阻斷業(yè)務(wù)的分析 FW/NAT穿越的實現(xiàn)原理 地址轉(zhuǎn)換流程實例,匯報提綱,什么是BAC?,WiKi百科定義： A Session Border Controller is a device used in some VoIP networks to exert control over the signaling and usually also the media streams involved in sett

2、ing up, conducting, and tearing down calls. TISPAN： TISPAN 架構(gòu)中定義的核心網(wǎng)標(biāo)準(zhǔn)網(wǎng)元P-CSCF/C-BGF/I-BGF/IBCF（邊緣接入和IP網(wǎng)間互通）即由BAC實現(xiàn)；各廠家實現(xiàn)中擴展由BAC實現(xiàn)更多邊緣接入網(wǎng)元功能.,BAC基本功能 BAC的核心功能：為不同子網(wǎng)的IP語音（及視頻等其它實時會話業(yè)務(wù)）信令和媒體提供控制功能； 同時在網(wǎng)絡(luò)邊緣對所處理業(yè)務(wù)進行安全保障（防攻擊、VPN隔離、防火墻等）和QoS控制（policing、marking、rate limiting、CAC、SLA等）。 網(wǎng)絡(luò)位置：接入或匯聚點, 互通的網(wǎng)絡(luò)邊緣

3、 。,3,4,1.信令、媒體NAT/FW穿越問題，地址不夠問題,用戶接入網(wǎng)絡(luò)采用私網(wǎng)地址空間，傳統(tǒng)NAT設(shè)備無法實現(xiàn)信令層的NAT穿越，實現(xiàn)內(nèi)網(wǎng)用戶與公網(wǎng)用戶的通信； 軟交換核心網(wǎng)絡(luò)采用私網(wǎng)地址空間，可有效節(jié)省IP地址空間，實現(xiàn)拓撲隱藏的安全，但無法實現(xiàn)和公網(wǎng)用戶的通信； 企業(yè)用戶可能使用相同的私網(wǎng)地址空間，無法實現(xiàn)互通,NAT,Terminal,核心網(wǎng),Intranet,Terminal,核心網(wǎng)絡(luò)采用私網(wǎng)地址空間,用戶駐地網(wǎng)采用私網(wǎng)地址空間,Intranet,Firewall,2.核心網(wǎng)安全如何保障？,黑客,Zombie,Zombie,Zombie,正常用戶,怎么我沒法打電話了？,我已經(jīng)忙的

4、 喘不過氣來啦,軟交換核心網(wǎng)元直接對終端IAD/SIP電話/軟終端可見，IP報文可以直達軟交換等核心設(shè)備，容易受到各種攻擊； 終端智能化傾向，終端的能力較強，軟終端的使用導(dǎo)致在NGN網(wǎng)絡(luò)中引入了許多IP網(wǎng)的固有安全問題，如DOS攻擊等； 傳統(tǒng)的防火墻設(shè)備無法防止信令層如SIP協(xié)議的攻擊；,5,3.如何保證信令、媒體的QOS？,Terminal,核心網(wǎng),Intranet,Terminal,終端和業(yè)務(wù)的多樣化，對帶寬和QoS的不同需求； 接入路由器設(shè)備無法區(qū)分信令和媒體，無法區(qū)分不同的NGN用戶； 傳統(tǒng)的防火墻設(shè)備無法完成更多針對性的信令安全防范：如各種信令攻擊、各種流量控制等；,企業(yè)接入,運營商

5、接入,老了，這些攻擊我沒法防了！,業(yè)務(wù)多樣化，需要區(qū)分信令、媒體和數(shù)據(jù)流量,6,4.如何防止業(yè)務(wù)、帶寬盜用？,終端用戶間可能不經(jīng)過SoftSwitch 直接進行互通：比如先通過SoftSwitch得到對方號碼對應(yīng)的IP地址，然后直接呼叫該地址； 用戶建立連接協(xié)商的帶寬是64K，但實際可能使用超過這個帶寬；,城域網(wǎng),Internet用戶,IAD,IAD,帶寬盜用：沒有帶寬限制，可以多使用點帶寬,業(yè)務(wù)盜用：終端始終是連通的，沒有呼叫，也能夠通信。,7,5.核心網(wǎng)如何互通，不同網(wǎng)絡(luò)之間互通,核心網(wǎng)一般都部署在私網(wǎng)，但不同核心網(wǎng)之間存在著互通的需求； 不同核心網(wǎng)有相互拓撲隱藏的需求，避免潛在的攻擊和風(fēng)

6、險； 處于IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)邊界； 處于RTSP域和SIP域的邊界； 處于H.323域和SIP域的邊界。,IMS/軟交換 A,IMS/軟交換 B,NGN 核心網(wǎng) A,私網(wǎng)！公網(wǎng)！,NGN 核心網(wǎng) B,8,9,部署的BAC主要有以下兩項作用： 用戶防火墻（FW）和地址轉(zhuǎn)換設(shè)備（NAT）穿越，保持端口映射存活和進行應(yīng)用消息地址的轉(zhuǎn)換； 對核心網(wǎng)絡(luò)的安全防護功能,BAC在網(wǎng)絡(luò)中的位置,10,FW/NAT阻斷業(yè)務(wù)的分析,地址轉(zhuǎn)換設(shè)備包含只進行地址轉(zhuǎn)換的NAT和同時進行地址和端口轉(zhuǎn)換的PNAT，基于SIP協(xié)議的流程，NAT后用戶如果直接和軟交換通信，將出現(xiàn)無法注冊、注冊后無法呼叫等問題，這是由用

7、戶應(yīng)用消息地址不轉(zhuǎn)換而引起的。,FW/NAT阻斷業(yè)務(wù)的表現(xiàn),在用戶駐地網(wǎng)絡(luò)與城域網(wǎng)之間一般都會部署FW/NAT設(shè)備，以確保用戶網(wǎng)絡(luò)的安全，但FW/NAT的使用阻止用戶使用軟交換業(yè)務(wù)，使FW/NAT后的用戶無法正常與軟交換設(shè)備通訊。,不進行地址轉(zhuǎn)換的單純防火墻對SIP業(yè)務(wù)的影響表現(xiàn)在當(dāng)防火墻內(nèi)用戶一段時間沒有通話后再發(fā)起呼叫或作為被叫時，軟交換不能與用戶通信，這是由端口映射過期而引起的。,11,FW/NAT阻斷業(yè)務(wù)的分析,NAT設(shè)備在內(nèi)部設(shè)備發(fā)送包后建立內(nèi)部主機和外部地址的映射，映射的時間有限制，在一段時間沒有檢測到有包通過時，會拆除映射，之后外部主機發(fā)往這個內(nèi)部主機的包會被丟棄，導(dǎo)致作為被叫的

8、用戶無法進行接續(xù)，直到內(nèi)部主機再次主動建立和外部主機的聯(lián)系后，外部主機才能通過新的映射和內(nèi)部主機聯(lián)系,端口映射過期的阻斷,12,FW/NAT阻斷業(yè)務(wù)的分析,消息地址不轉(zhuǎn)換的阻斷,13,FW/NAT穿越的實現(xiàn)原理,1使用OPTIONS消息 BAC發(fā)送OPTIONS消息，需要終端回送200消息響應(yīng) 2使用REGISTER消息 BAC修改軟交換對用戶REGISTER消息的 200 OK回應(yīng)消息中過期時間要求，使得終端在較短的時間發(fā)送重注冊消息，維持FW/NAT映射 3其他消息 BAC發(fā)送隨意的UDP報文，發(fā)送內(nèi)容為“hello”的UDP包，不要求用戶響應(yīng),保持FW/NAT映射存活,為解決映射過期的問

9、題，需要有Keep alive消息維持NAT端口的映射，該功能可以由終端完成也可以由BAC完成。目前BAC實現(xiàn)Keep alive消息時有三種方式：,14,NGN和IMS BAC與終端心跳檢測機制的區(qū)別,NGN網(wǎng)絡(luò)中的BAC的心跳檢測機制采用BAC主動下發(fā)對終端的Option消息進行，該消息主要承擔(dān)兩大功能： 功能1：BAC對終端發(fā)送option消息檢測終端是否在線； 功能2：BAC通過主動發(fā)送option消息對NAT下的終端用戶的NAT路徑進行刷新； 功能1不區(qū)分NAT和非NAT用戶，主要用于BAC的注冊/呼叫數(shù)據(jù)區(qū)的防吊死等功能，刪除已經(jīng)不在線的終端，而對于功能2而言，實際上應(yīng)該只有對NA

10、T下的用戶才有作用。 正是由于功能1和功能2都由BAC主動發(fā)出，這會導(dǎo)致在實際運行中，由于部分NAT下的用戶所需要較短的Option發(fā)送間隔來刷新路徑NAT，結(jié)果卻導(dǎo)致對大部分的非NAT用戶也以同樣較短的Option發(fā)送間隔來進行終端的在線檢測。這就造成了對BAC性能的極大消耗。在各地的實際工程經(jīng)驗中，BAC的心跳option配置時長也是反復(fù)需要調(diào)整的。 IMS-BAC的心跳檢測機制 在新版的中國電信的BAC技術(shù)規(guī)范中，其新的心跳檢測機制采用終端主動發(fā)送Register消息，對于NAT下的用戶其標(biāo)準(zhǔn)的expire時長為50秒，非NAT下用戶其標(biāo)準(zhǔn)的expire時長為300秒，而在核心網(wǎng)側(cè)的ex

11、pire時長為900秒。 IMS-BAC下的Option消息的作用 在IMS技術(shù)體制下，BAC主動發(fā)送對終端的option消息僅僅是用于對終端(不需區(qū)分NAT和非NAT)的在線檢測，用于釋放異常掉線或其他原因造成的非在線終端的數(shù)據(jù)區(qū)資源,通過采用新的心跳機制，相比較NGN-BAC，其用于心跳的性能消耗將獲得一定程度的減少且更為精確,NGN-BAC的心跳檢測機制,15,FW/NAT穿越的實現(xiàn)原理,網(wǎng)絡(luò)1中的MG所有信令消息的目的地址都是BAC； BAC接收到信令消息后，如果是初始消息，根據(jù)信令的域名信息，建立信令地址映射表，然后使用BAC的軟交換網(wǎng)絡(luò)側(cè)IP地址作為源地址，發(fā)送給軟交換；如果不是初

12、始消息，BAC根據(jù)信令消息中的域名，查找信令地址映射表，進行IP地址變換，將消息發(fā)給軟交換； 軟交換將信令消息發(fā)送給BAC時，BAC根據(jù)信令消息中的域名信令，查找信令地址映射表，進行IP地址變換，然后將信令消息發(fā)送給MG； 對于包含媒體信息的信令消息，BAC將建立媒體地址映射表，并使用BAC的軟交換網(wǎng)絡(luò)側(cè)IP替換消息中IP地址，然后發(fā)送給軟交換SS,信令地址的轉(zhuǎn)換,16,FW/NAT穿越的實現(xiàn)原理,當(dāng)收到包含媒體信息的信令消息，BAC將建立媒體地址和端口的映射表，在BAC處分配一個外部端口和內(nèi)部端口以映射外網(wǎng)的終端的媒體流和軟交換網(wǎng)絡(luò)的媒體流之間的關(guān)系 BAC將已經(jīng)分配的端口替換SDP消息對R

13、TP接收端口的描述，再轉(zhuǎn)發(fā)給軟交換。 主叫SIP終端收到BAC設(shè)備發(fā)送過來含有遠端SDP的信令消息后，根據(jù)SDP信息封裝媒體包的目的IP地址和端口，以SIP終端的媒體地址和端口作為IP包的源地址，通過NAT進行源IP地址的轉(zhuǎn)換后，根據(jù)目的IP地址最終路由到BAC。 BAC設(shè)備根據(jù)已經(jīng)建立的地址映射關(guān)系表進行查詢，將源IP地址和端口更換BAC為被叫用戶分配的地址和端口，并將被叫用戶自己分配的媒體IP地址和端口作為目的地址和端口，通過目的地址的路由，最終將媒體包送到被叫用戶。,媒體地址的轉(zhuǎn)換,17,地址轉(zhuǎn)換流程實例,用戶注冊的地址轉(zhuǎn)換流程,18,地址轉(zhuǎn)換流程實例,用戶側(cè)做主叫時地址轉(zhuǎn)換流程,19,

14、地址轉(zhuǎn)換流程實例,用戶側(cè)做被叫時地址轉(zhuǎn)換流程,Page 20,華為BAC,SE2600,SE2600的硬件配置圖 SRU：主控板； LPU：接口板； SPU：業(yè)務(wù)處理板； SFU：交換網(wǎng)板；,21,中興BAC,ZXUN B200-R04的后面板,ZXUN B200- A02的前面板,22,阿朗BAC,第一個子框中含有15對該板卡；系統(tǒng)擴容時，第二個子框中含有16對板卡 每對板卡支持用戶數(shù)為13萬（每用戶忙時0.05Erl（90s）語音/0.01Erl（180s）視頻，終端重注冊周期5分鐘，100%NAT穿越）,根據(jù)中國電信話務(wù)模型，滿配單機框可支持48萬用戶音頻用戶（24000并發(fā)）或者100

15、萬視頻用戶（10000并發(fā)）,23,ACME BAC,Net-Net 42501,Net-Net 45001 及ATCA blade1,Net-Net 92001,第一個報文,后續(xù)報文,會話智能負載均衡器,24,設(shè)備簡介 組網(wǎng)要求 協(xié)議處理 業(yè)務(wù)功能 安全防護,匯報提綱,部署基本要求 對DNS的要求 IP承載要求 容災(zāi)組網(wǎng)要求,25,虛擬BAC基本使用原則:,BAC容量限制要求:,非信任用戶接入，部署在用戶側(cè)或不可控小區(qū)樓道機房，主要通過Internet網(wǎng)絡(luò)、移動PS域數(shù)據(jù)網(wǎng)、省城域網(wǎng)等接入,BAC接入范圍：,BAC網(wǎng)絡(luò)設(shè)置要求:,固網(wǎng)BAC接入：以本地網(wǎng)為單位部署 漫游BAC接入：統(tǒng)一通過省

16、會一對專用的漫游BAC接入,起設(shè)門限：10萬注冊用戶 最大容量： 40萬注冊用戶,1）SIP及H.248用戶通過同一臺BAC接入,2）IMS網(wǎng)絡(luò)和原有NGN網(wǎng)絡(luò)通過同一臺BAC接入，建議盡量分開設(shè)置。,3）不同本地網(wǎng)同一臺BAC，邏輯隔離。,BAC疏通媒體流要求:,1）BAC內(nèi)部話務(wù)直接在BAC疏通，不通過CE轉(zhuǎn)接 2）同城BAC間話務(wù)，通過CE轉(zhuǎn)接。 3）長途BAC間話務(wù)通過CE、PE轉(zhuǎn)接,組網(wǎng)要求-部署基本要求,26,組網(wǎng)要求-IP承載的要求,互聯(lián)網(wǎng)SIP軟終端通過城域網(wǎng)公網(wǎng)IP方式訪問省中心BAC，由各省的163 DNS解析獲取BAC地址，就近接入BAC簇。,通過CTWAP、CTNET等

17、方式接入的移動終端通過CDMA綜合承載網(wǎng)絡(luò)接入省中心BAC，由CN2 DNS解析得到BAC地址，就近接入BAC簇,EVDO軟SIP終端互聯(lián)網(wǎng)用戶，經(jīng)無線接入網(wǎng)接入，通過省層面PDSN進入CDMA P1-0 VPN，再經(jīng)過省中心BAC接入，由CN2 DNS解析得到BAC地址，就近接入BAC簇，后匯聚接入IMS業(yè)務(wù)核心網(wǎng)；,非可信的固定用戶硬終端，業(yè)務(wù)口/網(wǎng)管口均通過延伸網(wǎng)絡(luò) 191 VPN 承載并終結(jié)在BAC。固定終端通過IMS終端管理平臺或ITMS平臺獲得BAC域名，由省DNS解析BAC獲得BAC地址，接入BAC。,各IMS終端訪問BAC的IP接入方案,27,組網(wǎng)要求-對DNS的要求,BAC

18、域名統(tǒng)一命名為 ：BAC.CTCIMS.CN 移動漫游終端接入 互聯(lián)網(wǎng)漫游終端接入,固定接入BAC對DNS域名的要求,BAC命名規(guī)則： xxxyy.地市拼音簡寫.歸屬網(wǎng)絡(luò)域名 xxxx代表網(wǎng)元編號，為BAC yy代表設(shè)備的編號，當(dāng)本地網(wǎng)有多個行政區(qū)時，編號應(yīng)體現(xiàn)出本地的不同行政區(qū)域 地市拼音簡寫 歸屬網(wǎng)絡(luò)域名：省份標(biāo)簽. ctcims. Cn 例如，杭州的行政區(qū)01的BAC標(biāo)識為：bac01. hz. zj. ctcims. cn,漫游接入BAC對DNS域名的要求,不同接入類型對接入DNS域名的要求,28,組網(wǎng)要求-IP承載的要求,BAC IP分配要求,BAC 使用的IP承載網(wǎng) VPN,CDM

19、A-P1-0 VPN:用于實現(xiàn)BAC與公網(wǎng)接入（例如ADSL、PON、3G/WLAN）的硬終端或者軟終端之間的互通，IMS業(yè)務(wù)門戶portal頁面與用戶之間的公網(wǎng)互通也通過該VPN承載,IMS CE的CDMA-P1-1 VPN：用于實現(xiàn)IMS系統(tǒng)與電信移動網(wǎng)增值業(yè)務(wù)之間的互通，CTWAP接入,CDMA-NGN VPN：用于實現(xiàn)IMS與移動軟交換和固網(wǎng)軟交換的互通,CDMA-NGN-MGNT VPN：用于實現(xiàn)IMS設(shè)備與網(wǎng)管系統(tǒng)的互通,191 VPN：在 MCE 網(wǎng)絡(luò)和 CN2 部署，用來承載在城域網(wǎng)內(nèi)固定接入的用戶非可信終端產(chǎn)生的流量,以省為單位進行組網(wǎng),為星型結(jié)構(gòu),29,組網(wǎng)要求-IP承載的

20、要求,BAC IP地址原則要求,互聯(lián)網(wǎng)接入時，BAC對外IP地址要求,集團規(guī)劃/24這段地址做為全網(wǎng)用于互聯(lián)網(wǎng)接入的BAC對外業(yè)務(wù)地址,為保證安全性和路由最優(yōu)引導(dǎo)，建議對外業(yè)務(wù)地址段分成兩段，分別是/25和28/25；,信令地址和媒體地址合理分配，每半個C的前一半為信令地址，后一半為媒體地址。具體為/26 和28/26為信令地址 ， 4/26和92/26為媒體地址。,CTWAP接入時，BAC對外IP地址要求,集團規(guī)劃10.235

21、.255.0/24這段地址做為全網(wǎng)用于互聯(lián)網(wǎng)接入的BAC對外業(yè)務(wù)地址,細則同互聯(lián)網(wǎng)接入,固定終端接入時，BAC對外IP地址要求,建議省內(nèi)進行統(tǒng)一規(guī)劃和分配，以本地網(wǎng)為單位進行分配IP地址,BAC IP就近選擇,IP統(tǒng)一規(guī)劃,對于PI-0和PI-1 VPN的BAC 對外業(yè)務(wù)地址由集團統(tǒng)一進 行規(guī)劃和分 配，對于191 VPN的BAC對外業(yè)務(wù)地址由各省進行規(guī)劃和分配，不同VPN內(nèi)的BAC簇規(guī)劃不同的對外業(yè)務(wù)地址,為實現(xiàn)全網(wǎng)漫游，各省投入使用的 BAC 對外業(yè)務(wù)地址應(yīng)保持一致,30,組網(wǎng)要求-容災(zāi)的要求,同局點BAC容災(zāi)組網(wǎng)要求,同一個局點的兩個BAC對外采用相同的業(yè)務(wù)IP地址,兩個BAC之間要求進

22、行動態(tài)數(shù)據(jù)實時相互同步，主備倒換要求不影響業(yè)務(wù)的使用,同一個局點處于雙機熱備的兩臺設(shè)備，可采用熱備份或負荷均衡的配置方式，當(dāng)主用設(shè)備出現(xiàn)故障失效時，另外一臺設(shè)備能實時接管業(yè)務(wù)，不需用戶重新注冊。,31,組網(wǎng)要求-容災(zāi)的要求,不局點BAC容災(zāi)組網(wǎng)要求,1+1互助組網(wǎng)單IP方式特點,1+1互助組網(wǎng)雙IP方式特點,對同一個片區(qū)的不同局點配置相同的IP地址，兩臺設(shè)備之間進行容災(zāi)數(shù)據(jù)同步，當(dāng)主用BAC故障失效時，用戶無需重新發(fā)起注冊，備用BAC實時接管業(yè)務(wù)。,對同一個片區(qū)的不同局點配置不同的IP地址，兩臺設(shè)備之間不進行容災(zāi)數(shù)據(jù)同步，當(dāng)主用BAC故障失效時，用戶根據(jù)備用BAC地址重新發(fā)起注冊，備用BAC接

23、管業(yè)務(wù)。,32,組網(wǎng)要求-容災(zāi)的要求,不局點BAC容災(zāi)組網(wǎng)要求,推薦采用 雙IP方式，理由：1）廠家對該功能的開發(fā)處于初期，功能存在一定風(fēng)險； 2）承載網(wǎng)存在一定協(xié)議兼容性問題,容災(zāi)組網(wǎng)下接入網(wǎng)DNS的配置要求 1） 一次域名地址解析請求可以根據(jù)預(yù)定比例返回不同IP地址組合列表 2）指定的IP地址序列 或 自動隨機生成的序列分配IP 地址,BAC與P-CFCS之間容災(zāi)要求 當(dāng)P-CSCF為準(zhǔn)POOL方式 （1） 在正常初始注冊狀態(tài)下，DNS返回給BAC的所有P-CSCF設(shè)備的主機名，采用相同優(yōu)先級，BAC在返回的可用設(shè)備列表中根據(jù)權(quán)重隨機選擇一個P-CSCF設(shè)備。 （2）重注冊或者呼叫狀態(tài)時，

24、當(dāng)BAC所選擇的P-CSCF主機設(shè)備障失效，通過DNS的SRV查詢實現(xiàn)按照一定比例將話務(wù)負荷分擔(dān)到準(zhǔn)POOL中的剩余其他設(shè)備。 （3）BAC放通從非用戶注冊的P-CSCF(接管P-CSCF)過來的呼叫，可通過信任列表進行配置放 通P-CSCF設(shè)備。 （4）BAC定時檢測P-CSCF故障，確認故障后將用戶的請求消息發(fā)送至可用P-CSCF,組網(wǎng)要求-容災(zāi)的要求,舉例： DNS給IMS用戶返回一對BAC的2個IP地址，首選IP1，次選IP2。但為了滿足配對BAC之間負荷分擔(dān)的目的，DNS對同一域名下內(nèi)的用戶根據(jù)采用輪循方式（第一次返回IP1,IP2.;第二次返回IP2,IP1.）。例如奇數(shù)解析域名B

25、AC 的用戶返回IP1、IP2，偶數(shù)解析域名BAC 的用戶返回IP2、IP1,33,設(shè)備簡介 組網(wǎng)要求 協(xié)議處理 業(yè)務(wù)功能 安全防護,匯報提綱,NAT穿越 心跳檢測 頭域處理,35,NAT廣泛存在于網(wǎng)絡(luò)中，一方面是為了解決IP地址稀缺的問題，另一方面是為了安全的考慮。NAT的存在，使得NAT背后的IMS客戶端具有一個私有IP，而這一私有IP從公網(wǎng)上是看不到的。,協(xié)議處理-NAT穿越說明,保持FW/NAT映射存活,BAC實現(xiàn)Keep alive消息時有兩種方式： 1）使用REGISTER消息；2）使用UDP“hello”報文,信令NAT穿越,BAC探測NAT的存在 : 對比Register消息v

26、ia頭中所包含的終端IP地址與SIP消息源IP地址,信令消息地址映射的實現(xiàn)： 1）靜態(tài)端口方式 -BAC在核心網(wǎng)側(cè)對所有的終端采用相同的IP+Port，BAC通過信令中攜帶的SIP用戶相關(guān)信息或者H.248用戶消息標(biāo)識符進行終端的區(qū)分；,2）動態(tài)端口方式-BAC在核心網(wǎng)側(cè)為每一個終端分配一個唯一的IP+Port，BAC內(nèi)部通過該IP+Port對終端進行區(qū)分。BAC在核心網(wǎng)側(cè)配置端口池，用戶注冊時，從端口池中分配空閑端口，用戶注銷時，將使用的端口歸還到端口池中。,媒體RTP NAT穿越,BAC根據(jù)已經(jīng)建立的映射關(guān)系修改媒體包的源IP地址、源端口和目的IP地址、源端口,實現(xiàn)穿越需要解決的問題,36

27、,針對對特定用戶的NAT通道?；钸M行個性化配置，BAC可支持設(shè)置特定的通道?；钚奶g隔 建議原則上現(xiàn)網(wǎng)媒體RTP NAT穿越的媒體代理方式主要采用媒體流全部通過BAC轉(zhuǎn)發(fā) BAC實施PPI（P-Preferred-Identity）消息頭中的用戶身份檢查，對于未在BAC注冊的用戶發(fā)起的呼叫進行攔截 原則建議信令消息地址映射方式廠家解決方式不一，建議根據(jù)不同廠家建議方式實施。在技術(shù)成熟條件下，實施統(tǒng)一，優(yōu)先推薦采用動態(tài)端口方式 根據(jù)現(xiàn)網(wǎng)實際情況，BAC允許本地配置SIP接入網(wǎng)信息，支持P-Access-Network-Info頭域的插入 企業(yè)IP PBX接入IMS網(wǎng)絡(luò)時，BAC優(yōu)先采用通配代理注

28、冊方式，,協(xié)議處理-NAT穿越要求,37,Register消息定時器時長要求：對于NAT下的用戶其標(biāo)準(zhǔn)的expire時長為50秒，非NAT下用戶其標(biāo)準(zhǔn)的expire時長為300秒，在核心網(wǎng)側(cè)的expire時長為900秒。,基于SIP協(xié)議終端的心跳檢測和NAT通道存活,IMS SIP終端與BAC之間的心跳檢測和NAT通道保活，主要采用UE終端發(fā)送BAC發(fā)送REGISTER消息機制實現(xiàn)；,協(xié)議處理-SIP終端的心跳檢測要求,華為BAC,阿朗BAC,最大注冊用戶數(shù)：20萬,38,H.248終端和BAC之間主要有兩種實現(xiàn)方式： 1）BAC發(fā)送的心跳消息； BAC主動控制在固定時間間隔內(nèi)發(fā)起針對ROOT

29、終結(jié)點的空AuditValue消息作為心跳消息 2）H.248終端發(fā)送的心跳消息 H.248終端通過Notify心跳消息向BAC上報終端存活信息，BAC將H.248終端控制發(fā)起的心跳消息相隔一定時間轉(zhuǎn)發(fā)給核心側(cè)處理。,終端向BAC發(fā)送Notify消息的定時器時長要求：時長 300秒；BAC向核心網(wǎng)轉(zhuǎn)發(fā)Notify消息的定時器時長要求：900分鐘,協(xié)議處理-H.248終端的心跳檢測要求,IMS H.248終端與BAC之間的心跳檢測和NAT通道?；睿饕捎肏.248終端發(fā)送BAC發(fā)送Notify心跳消息機制實現(xiàn)； 理由：保持與SIP終端處理機制一致，由SIP終端依靠自身心跳機制檢測到核心側(cè)故障，

30、實現(xiàn) 容災(zāi)處理 BAC關(guān)閉向H.248終端發(fā)送心跳消息的功能，同時支持通過監(jiān)測核心網(wǎng)AGCF向終端發(fā)的心跳消息的響應(yīng)情況來檢測終端的狀態(tài)。,基于H.248協(xié)議終端的心跳檢測,現(xiàn)網(wǎng)使用建議,39,中興BAC 心跳性能計算公式,心跳處理性能CAPS = 非NAT用戶占比 * BAC規(guī)劃最大注冊用戶數(shù) * 非NAT心跳消息次數(shù) * 心跳消息會話折算系數(shù) / 3600 + NAT用戶占比 * BAC規(guī)劃最大注冊用戶數(shù) * NAT心跳消息次數(shù) * 心跳消息會話折算系數(shù) / 3600,心跳消息會話折算系數(shù)：0.05,中興BAC最大CAPS為： 2400 caps,華為BAC 心跳性能計算公式,單個用戶的心

31、跳業(yè)務(wù)BCHA= （每小時非NAT下用戶的心跳次數(shù) 每小時NAT下用戶的心跳次數(shù) - 每小時重注冊次數(shù)） * 心跳消息會話折算BCHA系數(shù),SIP心跳消息會話折算系數(shù)：0.222，H.248心跳消息會話折算系數(shù)：0.01,華為BAC一對單板的最大BHCA為：2.24M,協(xié)議處理-心跳檢測性能計算公式,40,阿朗 BAC 心跳性能計算公式,單個用戶的心跳業(yè)務(wù)BCHA= （非NAT用戶占比*BAC所需注冊最大用戶數(shù) * 3600 / 非NAT心跳周期+ NAT用戶占比* BAC所需注冊最大用戶數(shù) * 3600 / NAT心跳周期 ）* 心跳消息會話折算BCHA系數(shù),心跳消息會話折算系數(shù)：1 單板處

32、理心跳BCHA為：16,000,000BHCA,ACME BAC 心跳性能計算公式,單個用戶的心跳業(yè)務(wù)BCHA= （每小時非NAT下用戶的心跳次數(shù) 每小時NAT下用戶的心跳次數(shù) - 每小時重注冊次數(shù)） * 心跳消息會話折算BCHA系數(shù),心跳消息會話折算系數(shù)：0.58 單套NN4500 處理心跳BCHA為：基準(zhǔn)消息速率2,100MPS,協(xié)議處理-心跳檢測性能計算公式,41,協(xié)議處理-心跳對性能的影響,注冊用戶 50萬容量計算，并發(fā)呼叫 3萬； 不考慮容災(zāi)情況、業(yè)務(wù)功能應(yīng)用、安全防護應(yīng)用的情況下,說明,1）BAC支持統(tǒng)計NAT用戶和非NAT注冊用戶的數(shù)量，及時給維護部門提供指標(biāo)數(shù)據(jù) 2）在日常維護

33、中，密切關(guān)注NAT用戶所占總用戶數(shù)的比例,建議,42,BAC規(guī)范處理的范圍： 1.對于SIP消息頭，可處理Via頭、Route頭、Record-Route頭、以及Contact頭中的地址信息； 2.對于SDP，可處理o行,c行和m行的地址信息。 3.支持Service-Route頭域、P-Access-Network-Info頭域的處理。,協(xié)議處理-頭域處理,SIP頭域規(guī)范處理的要求,現(xiàn)網(wǎng)存在大量不同廠家的SIP終端及SIP PBX設(shè)備，為了滿足這些設(shè)備與IMS網(wǎng)絡(luò)之間在SIP消息的兼容性，主要通過BAC設(shè)備進行實施。建議現(xiàn)網(wǎng)可根據(jù)不同的需求靈活掌握BAC SIP頭域消息規(guī)范化處理的實施方法。

34、 BAC針對PPI和FROM消息頭不帶有用戶歸屬域名的呼叫消息實施規(guī)范化處理，將其規(guī)范為標(biāo)準(zhǔn)的SIP URI格式,現(xiàn)網(wǎng)實施的建議,BAC規(guī)范實施手段： 1.添加 2.刪除 3.替換；,設(shè)備簡介 組網(wǎng)要求 協(xié)議處理 業(yè)務(wù)功能 安全防護,匯報提綱,用戶分組 媒體資源管理 接納管理 I-BAC應(yīng)用,44,具有相同的一個或多個業(yè)務(wù)處理要求的用戶集合,當(dāng)用戶優(yōu)先級不同時，需要對不同用戶進行不同程度的注冊、呼叫和帶寬限制。對每個用戶群，BAC分別設(shè)置并實施資源管理策略。對于特定用戶群，BAC可設(shè)置其不受任何資源控制策略的限制。BAC可以對單個用戶或者用戶組群設(shè)置不同的接納管理策略。,業(yè)務(wù)功能-用戶分組,通

35、過虛擬BAC分組，實現(xiàn)對用戶接入的區(qū)分,通過用戶的IP源地址或用戶號碼，在BAC內(nèi)部區(qū)分用戶類別,將一個物理BAC虛擬為若個邏輯BAC個體，每臺邏輯BAC均配置獨立的接入側(cè)IP+端口地址。不同的用戶群體通過不同接入側(cè)IP地址接入BAC，從而實現(xiàn)在邏輯個體上用戶分組能力。易于實現(xiàn)過負荷保護。,所用用戶通過相同的接入側(cè)BAC IP地址后，在BAC通過用戶的IP源地址或用戶號碼，將接入用戶劃分為若干個用戶群，在用戶群內(nèi)制定不同的使用策略。,用戶分組定義,45,業(yè)務(wù)功能-用戶分組,現(xiàn)網(wǎng)BAC支持能力情況,使用建議,優(yōu)先建議省內(nèi)采用虛擬BAC分組實施，同時注意分組的劃分盡量不要過多，建議設(shè)置23個虛擬用

36、戶分組為宜,對于FTTX(H) POTS 終端用戶接入（H.248協(xié)議接入）和IP PBX代理注冊方式（SIP協(xié)議接入），則由于終端地址相對固定，可以根據(jù)接入用戶的源IP地址段劃分用戶分組,根據(jù)用戶號碼、號碼段劃分用戶分組將增加維護難度，不建議采用,理由：BAC容災(zāi)機制因素，設(shè)置過多虛擬用戶分組，數(shù)據(jù)配置將過于復(fù)雜,46,業(yè)務(wù)功能-媒體資源管理,編解碼檢查功能,實施建議： 對所有用戶組開啟編解碼功能，允許G.711、G.729、G.722、G.723、H.261、H.263編碼；禁止其他編碼格式,分析原因： MMTEL能夠?qū)τ脩魳I(yè)務(wù)權(quán)限進行審核，但是無法對合法業(yè)務(wù)中采用的編碼格式進行審核。若用

37、戶在其合法業(yè)務(wù)權(quán)限下（如語音業(yè)務(wù)），在信令協(xié)商時采用高碼流的編解碼，則會造成占用過多帶寬資源。,編解碼一致性檢查,實施建議： 建議對BAC所有用戶開啟編解碼一致性檢查功能。,分析原因： IMS網(wǎng)絡(luò)網(wǎng)元中，只有BAC同時有信令流和媒體流通過，上層網(wǎng)元（如CSCF、AS）無法感知用戶實際使用的媒體流，因此要求BAC開啟編解碼一致性檢查功能，將不匹配的媒體包和攻擊包在底層丟棄，防止用戶非法盜用媒體帶寬。,消耗性能比大約占5%,47,業(yè)務(wù)功能-媒體資源管理,編解碼轉(zhuǎn)換功能,實施建議： 建議普通用戶不開啟編解碼轉(zhuǎn)換功能；而政企用戶可根據(jù)實際情況需求，開啟編解碼轉(zhuǎn)換功能。,使用案例： 應(yīng)用場景：某政企用戶

38、自建AG5200作為傳統(tǒng)的固話網(wǎng)關(guān)，只支持G.729，而公網(wǎng)上的IM用戶只支持G711編解碼。,無媒體流檢測功能,實施建議： 建議現(xiàn)網(wǎng)BAC不必開啟無媒體流檢測功能。,分析原因： 該功能開啟后，需對RTP會話的老化時間進行設(shè)置，但存在一定局限。 1）由于某些 IMS業(yè)務(wù)的 特性，導(dǎo)致的短時間內(nèi)無媒體流通過BAC。 2） 若RTP會話老化時間設(shè)置過短，將造成用戶正常業(yè)務(wù)的中斷。 3） RTP會話老化時間設(shè)置過長，期間仍對用戶進行計費，無法提高對用戶 計費的準(zhǔn)確性,Page 48,業(yè)務(wù)功能-接納管理,注冊接納控制：,呼叫接納控制CAC（call admission control）子系統(tǒng)主要完成用

39、戶的注冊和呼叫的接納控制，防止BAC設(shè)備/網(wǎng)絡(luò)過載的重要手段，對保證語音業(yè)務(wù)質(zhì)量和設(shè)備的可用性具有重要作用,單個用戶注冊速率的閥值要求,1）一般UE終端 1秒發(fā)送1次注冊請求，可基本認為用戶非法 2）1次注冊請求為4個消息包,建議閥值范圍： 4 pps 24 pps 之間取值 為宜,最大注冊用戶總數(shù)： 可為政企用戶實施準(zhǔn)入控制,用戶組注冊速率的閥值： 注冊用戶總數(shù) * 單個用戶注冊速率閥值,48,49,業(yè)務(wù)功能-接納管理,媒體帶寬控制使用分析,- 普通個人客戶,建議不啟用，已在媒體資源管理中啟用了“編解碼檢查”和“編解碼一致性”，確保了個人客戶合理使用帶寬資源。,原則 建議不啟用，可通過會話數(shù)

40、、編解碼檢查、編解碼一致性等功能，確保合理使用帶寬資源。,- 政企客戶,呼叫接納控制：,50,業(yè)務(wù)功能-接納管理,單個用戶最大呼叫頻率的閥值,用戶組會話數(shù)： 可 為 政企用戶 設(shè)置 呼叫 并發(fā)次數(shù)控制,用戶組呼叫頻率： 分組用戶總數(shù) * 單個用戶最大呼叫頻率 可為 政企客戶 控制呼叫話務(wù)量。,1）在時間范圍內(nèi)統(tǒng)計該用戶的invite報文的接收/發(fā)送數(shù)量 2）可認為UE終端在1分鐘內(nèi)發(fā)送60次呼叫消息，判斷為非法,建議閥值范圍： 60 次/分鐘 150 次 /分鐘 之間取值 為宜,51,業(yè)務(wù)功能-接納管理,CPU過負荷保護控制,使用建議： 設(shè)備高負荷情況下，不區(qū)分用戶組優(yōu)先級，統(tǒng)一按照四級個等級

41、進行話務(wù)控制： （1）CPU 70%時，丟棄20%的新注冊消息； （2）CPU 80%時，丟棄60%的新注冊消息； （3） CPU 90%時，丟棄 85%的新注冊消息和發(fā)起呼叫消息； （4） CUP 95%時，丟棄100% 的新注冊和發(fā)起呼叫消息；,分析原因： 實際運用中，區(qū)域停電比較常見，大量用戶會發(fā)起重注冊，BAC CUP負荷可瞬間上升 超過 50%。在第一級別設(shè)置上，原則盡量保護用戶客戶感知。,52,I-BAC分析,對于I-BAC則需要關(guān)注其接入SIP中繼的機制和能力，I-BAC啟用呼叫速率控制、呼叫并發(fā)數(shù)控制和呼叫帶寬控制。 I-BAC的安全策略與A-BAC有所區(qū)別：I-BAC將對端網(wǎng)

42、絡(luò)默認為白名單，無法區(qū)分較大的正常流量與非法信令攻擊 I-BAC通過CAC對流量速率進行控制，此外更需要從管理層面進行安全約束,建議I-BAC與A-BAC分開部署,53,ZTE,ZTE BAC可以根據(jù)IP+PORT進行信令分組。 如果分組Ip地址不同,Port端口相同的話，一個物理端口上可以配置128個分組。 如果分組Ip地址相同,Port端口不同的話，一個物理端口上可以配置1024個分組。 對于不同IPPBX接入，BAC可以使用相同的IP+PORT 媒體地址可以只使用一個，但有容量限制,54,HW,HW BAC對應(yīng)不同IPPBX必須分配不同IP地址：如接N個IPPBX，BAC上兩個各需分配N

43、個IP地址，共計2N個。 不同IPPBX接入，BAC必須公布不同IP地址。 媒體、信令地址可以相同也可以不同。但是不同IPPBX接入，該地址必須唯一。,55,I-BAC組網(wǎng)方案主備方式,基于VRRP組網(wǎng)的BAC,IPPBX1為到達兩個SS，需要在BAC1上設(shè)置兩個分組，由IPPBX1輪選至軟交換的兩條路由。當(dāng)BAC發(fā)生容災(zāi)時，IPPBX1通過BAC2的兩條路由輪選,部分SIP中繼的鏈路故障或I-BAC內(nèi)部信令分組故障，如果主備設(shè)備之間的心跳正常的話，BAC不會倒換,為保證單個SS至IPPBX有兩條路由，可以在BAC上增加分組,如果BAC不發(fā)生切換，由于IPPBX的SIP中繼集中在主用BAC上，

44、仍可能發(fā)生IPPBX1全阻、IPPBX2正常的情況。,56,I-BAC組網(wǎng)方案負荷分擔(dān)方式,負荷分擔(dān)方式下，兩個BAC地位對等，采用不同配置。,57,I-BAC組網(wǎng)方案負荷分擔(dān)方式,每個IPPBX需要分別向兩個BAC開設(shè)兩條SIP中繼，共計4條SIP中繼。當(dāng)一臺 BAC上的部分或者全部分組上的SIP中繼阻斷，SS與IPPBX之間仍有SIP中繼可達。,58,IPPBX非注冊簽約方式,方案簡述：呼叫上報至Icscf、查詢HSS；通過ICSCF的transit功能和非注冊業(yè)務(wù)觸發(fā)機制實現(xiàn)主叫和被叫業(yè)務(wù)觸發(fā)；SCSCF根據(jù)特殊域名或接入碼將呼叫路由至MGCF；MGCF根據(jù)被叫號碼進行路由選擇，所有呼叫

45、均經(jīng)過IMS內(nèi)部,ICSCF開啟transit功能，對來自MGCF的呼叫，進行主叫業(yè)務(wù)信息查詢。 HSS：增加IPPBX用戶簽約非注冊業(yè)務(wù)的IFC； ENUM：配置IPPBX用戶號碼信息 DNS：配置用于PBX用戶的歸屬域名 MMTEL：增加業(yè)務(wù)邏輯，用于SCSCF至MGCF的尋址；增加用戶簽約信息 添加域名 PBX1.SH.CTCIMS.CNMGCF1 PBX2.SH.CTCIMS.CNMGCF2 PBX.SH.CTCIMS.CN-用于輪詢 MMTEL按現(xiàn)有流程完成計費 MGCF之間開設(shè)虛中繼,59,IPPBX非注冊簽約方式（呼叫路由）,備注：Transit Function集成在I-CSC

46、F網(wǎng)元中，通過配置I-CSCF對特定地址上來的呼叫執(zhí)行主叫路由便可以使IMS處理IP PABX主叫業(yè)務(wù),60,業(yè)務(wù)簽約方式表格說明,61,各網(wǎng)元分工明細,設(shè)備簡介 組網(wǎng)要求 協(xié)議處理 業(yè)務(wù)功能 安全防護,匯報提綱,風(fēng)險分析 IP 層防攻擊 信令層防攻擊 媒體層防攻擊 案例,63,安全防護-風(fēng)險分析,終端傻瓜化：簡單，一般不具備復(fù)雜的功能 資源受控：網(wǎng)絡(luò)對每個用戶的資源使用嚴格控制(64K/128K等) 呼叫接納控制：在大量用戶同時使用網(wǎng)絡(luò)的情況下，支持的用戶數(shù)取決于網(wǎng)絡(luò)的帶寬 多級組網(wǎng)：整個網(wǎng)絡(luò)由多級構(gòu)成，存在接入層、匯聚層設(shè)備；一般出現(xiàn)問題時也只是影響局部用戶，破壞力有限,傳統(tǒng)網(wǎng)絡(luò)破壞力度有

47、限,傳統(tǒng)網(wǎng)絡(luò)特點：,64,安全防護-風(fēng)險分析,攻擊易實施：IP網(wǎng)絡(luò)特別是互聯(lián)網(wǎng)中DOS/DDOS攻擊易發(fā)生 終端智能化：軟終端（PC/智能手機）使終端能主動/被動的對網(wǎng)絡(luò)發(fā)動攻擊，同時網(wǎng)絡(luò)對終端的控制力也有所降低 互聯(lián)IP化：接入者的身份不可控，用戶的信息容易發(fā)生泄漏 資源不受控：比如一個語音終端可以使用超過128Kbps的流量 平面組網(wǎng)結(jié)構(gòu)：在標(biāo)準(zhǔn)組織定義的架構(gòu)里終端可以直接訪問核心網(wǎng)網(wǎng)元（軟交換/CSCF等），核心設(shè)備在IP網(wǎng)絡(luò)易遭受攻擊,能力越強，責(zé)任越大,互聯(lián)網(wǎng)VoIP接入安全風(fēng)險分析,65,安全防護-風(fēng)險分析,目前普通的PC機（低到PENTIUM100的機器即可）每秒可以發(fā)出幾萬個數(shù)

48、據(jù)報文 通過修改，可以發(fā)送各種不同的IP報文；比如ICMP報文，SYN報文，端口掃描等 對于采用寬帶接入的PC，一臺PC足以構(gòu)成嚴重危害,IP網(wǎng)絡(luò)中DOS攻擊非常容易實施！,一個100M的網(wǎng)口每秒鐘可發(fā)送14萬個64字節(jié)的報文,舉例：IP網(wǎng)絡(luò)中DOS攻擊,66,安全防護-風(fēng)險分析,舉例：信令報文的DDOS攻擊 分布式DOS攻擊是一種更復(fù)雜的DOS攻擊方式 服務(wù)器所受的攻擊更嚴重 這種攻擊在互聯(lián)網(wǎng)上很容易出現(xiàn),67,BAC安全防護,VoIP/IMS網(wǎng)絡(luò)安全對BAC的關(guān)鍵需求 業(yè)務(wù)流穿越防火墻等安全設(shè)備需求 拓撲隱藏功能：核心設(shè)備對終端不直接可見 防范通常IP網(wǎng)絡(luò)的攻擊 防范DOS/DDOS攻擊，

49、尤其是信令報文的DOS攻擊，保證正常用戶不受影響 媒體防火墻功能 畸形報文過濾功能 對終端資源進行限制：比如注冊/呼叫速率，帶寬控制等,68,安全防護-風(fēng)險分析,IP層防攻擊,69,安全防護-風(fēng)險分析,業(yè)務(wù)層的安全威脅 管理面 維護設(shè)備的賬戶和密碼泄漏 授權(quán)用戶越權(quán)使用命令 信令面 非法使用業(yè)務(wù) Dos/DDos攻擊 畸形報文攻擊 信息泄漏 媒體面 帶寬/業(yè)務(wù)盜用 通訊內(nèi)容泄漏,BAC安全功能與X.805的對應(yīng)關(guān)系表,70,安全防護風(fēng)險分析,BAC針對VoIP/IMS接入的分級安全架構(gòu),71,安全防護風(fēng)險分析,特殊報文攻擊 底層防火墻過濾socket過濾只對UDP、TCP等IP報文進行過濾，黑

50、白灰過濾只對UDP報文進行過濾，對于其他類型的IP報文，及非IP報文如arp報文等攻擊，需要單獨進行防護。以防止此類報文，對協(xié)議造成巨大攻擊，影響正常業(yè)務(wù)應(yīng)用,arp報文，由于非IP報文，socket端口過濾與黑白灰過濾無法防御，可以通過限速來控制arp風(fēng)暴。 encrypt-data報文，由于傳輸層部分加密，無法獲取源、目的port信息，該類報文socket端口過濾和黑白灰無法防御，通過速率限制來防止此類報文攻擊。 icmp報文，跳過了socket端口過濾和黑白灰過濾，通過速率限制來防止此類攻擊 snmp 為UDP報文，ssh，telnet為TCP報文，該類報文目的端口固定，目的端口會在so

51、cket端口過濾的端口掩碼中開啟此監(jiān)聽端口，該報文經(jīng)過socket端口過濾后，直接上送，需要通過速率限制來防止此類報文攻擊。 tcp報文，由于黑白灰過濾不會對于tcp類型用戶過濾，因此只有通過速率限制來防止此類報文攻擊。,72,安全防護風(fēng)險分析,DOS攻擊 某個用戶（包括合法用戶和非法用戶）按照以較大的速率發(fā)送報文至BAC，以影響其他合法用戶的正常使用。 由于單個用戶發(fā)送報文速率較大，如果全部上送給協(xié)議進行處理，會導(dǎo)致CPU迅速升高，BAC正常用戶的信令報文處理將收到影響 防御策略 1、灰白黑名單速率限制 灰名單速率限制主要用于防御非法用戶DOS攻擊。非法用戶由于注冊不成功，均以灰名單形式存在

52、，我們賦予灰名單一定的速率限制，如果在單位時間內(nèi)，發(fā)包速率超過配置值，則會被加入黑名單進行阻塞一定時長。 白名單速率限制主要用于防御合法用戶DOS攻擊。合法用戶，注冊成功后將以白名單形式存在，與灰名單類似，我們賦予白名單一定的限制，在一定時間窗內(nèi)，如果超速次數(shù)超過規(guī)定值，則會被加入黑名單進行阻塞一定時長。 2、畸形報文 對于非法報文 DOS攻擊，可以配置畸形報文，即協(xié)議發(fā)現(xiàn)用戶發(fā)送的信令報文不符合協(xié)議標(biāo)準(zhǔn)，在單位時間內(nèi)發(fā)送畸形報文次數(shù)超過配置閥值，則認為是攻擊源，進行下發(fā)黑名單進行阻塞,大約50% 的VoIP 欺詐 攻擊用到暴力破解技術(shù),暴力破解實際上是使用窮舉法將密碼進行逐個推算直到找出真正

53、的密碼為止。 比如一個四位并且全部由數(shù)字組成其密碼共有10000種組合，也就是說最多我們會嘗試10000次才能找到真正的密碼。 采用這種方式破解任何一個密碼也都只是一個時間問題。 BAC在發(fā)現(xiàn)帳號在不停地嘗試使用不同的密碼登陸時，會將帳號鎖定,安全防護風(fēng)險分析,暴力破解類似于未注冊用戶的注冊DOS攻擊,74,安全防護風(fēng)險分析,DDOS攻擊 SIP注冊雪崩 大量用戶在短時間內(nèi)同時發(fā)起注冊，導(dǎo)致BAC瞬間收到大量注冊消息，CPU迅速升至100%，許多用戶由于注冊失敗而進行重傳，導(dǎo)致BAC CPU占用率長時間持續(xù)100%，且部分用戶始終無法注冊成功 INVITE過負荷 在某些特殊情況下，如地震等災(zāi)害

54、突然來臨時，短時間內(nèi)大量用戶同時撥打呼叫，CPU迅速升至100%，呼叫失敗后，用戶重新發(fā)起呼叫，觸發(fā)呼叫雪崩，導(dǎo)致后續(xù)呼叫均無法接通 注冊刷新過負荷 在某些特殊情況下，接入網(wǎng)突然斷電，在較短的時間內(nèi)重啟，此時BAC鏈路檢測沒有刪除用戶，BAC上用戶注冊信息依然存在。重啟后，大量用戶發(fā)起注冊，當(dāng)然對于BAC來說為注冊刷新或重注冊。短時間內(nèi)大量報文導(dǎo)致CPU迅速升至100%，部分用戶注冊刷新失敗，導(dǎo)致重傳，使得CPU持續(xù)100%，無法趨于收斂 未放號用戶注冊攻擊 某些用戶由于ss未放號，或是其他一些原因始終注冊不成功，這些用戶不停的向BAC發(fā)送注冊或重注冊消息，以影響其他合法用戶的正常使用 主要通

55、過黑白灰名單和CPU話控來防御,75,安全防護性能影響測試,2400CAPS信令呼叫建立后，CPU基礎(chǔ)值,ICMP攻擊之后，CPU性能影響,對于非UDP的攻擊，對處理網(wǎng)絡(luò)分發(fā)的性能有12%影響，不會影響處理信令的CPU負荷 UDP報文類的攻擊，BAC立即拉黑，表現(xiàn)為處理信令的CPU瞬間升高12，后立即回落，不影響正常業(yè)務(wù),76,DDos 注冊攻擊，測試使用雪崩測試儀模擬出30多萬用戶以12500/秒進行注冊，開始時網(wǎng)絡(luò)處理CPU占用17 %； 信令處理CPU占用38%左右，而后灰名單生效，只會處理3000PPS，其余（9500）全部丟棄；而后96秒120秒內(nèi)，灰名單內(nèi)已有的用戶再次注冊，直接拉

56、黑-這3K個要等黑名單10分鐘才能被BAC再次接收處理；頭3K個拉黑后，繼續(xù)生成新的灰名單，以此交替循環(huán)。 因此，CPU占用率呈如下分布：無論攻擊量多大，只要超過灰名單的容量，多余灰名單容量的包直接丟棄，CPU的負荷集中在灰名單的生成上?；旧?9萬個攻擊用戶在2分鐘后全部被處理進黑、灰名單，之后CPU趨為0（即所有的注冊均被丟棄），等黑名單10分鐘失效后，開始3K用戶的注冊。CPU呈現(xiàn)為0-38-0-38之間的波動（此為最惡劣情況，即沒有成功注冊） 該測試為BAC不向ss轉(zhuǎn)發(fā)，直接由BAC回500消息，類似于：非注冊用戶發(fā)送非注冊消息（如invite）的DDOS攻擊，BAC回404（BAC也

57、可以不響應(yīng)，開銷將更?。?灰名單生成的CPU占用基本線性：閥值500時，單cpu峰值37%；閥值1K時，單CPU峰值74%,安全防護性能影響測試,77,媒體面流控下圖為被攻擊側(cè)帶寬占用顯示：1000PPS為未開啟流控；50PPS為開啟流控。,安全防護性能影響測試,78,BAC能夠有效的防御常見的IP層攻擊（DOS、DDOS），不會影響信令處理性能 BAC能夠有效防御UDP DOS攻擊，且對性能無較大影響 對于DDOS攻擊，BAC能夠保證自身設(shè)備安全，但是勢必影響正常業(yè)務(wù) BAC對接入側(cè)關(guān)閉ssh，telnet服務(wù)端口 黑白灰名單功能必須開啟 媒體流控制功能建議開啟，但會對業(yè)務(wù)有部分影響 IP層防御速率閥值建議按默認配置,安全防護性能影響測試,79,安全防護-IP層防護,隔離網(wǎng)絡(luò)層攻擊，BAC有抵御IP層攻擊的能力，對于IP層的攻擊，BAC能夠進行識別、分類和適當(dāng)?shù)奶幚?啟用“Socket底層過濾”功能,功能說明： 功能啟用后，協(xié)議處理上層應(yīng)用創(chuàng)建的socket下發(fā)至防火墻，底層防火墻socket過濾，對包的目的ip和目的port進行過濾,對BAC處理性能的影響,由