實現(xiàn)ip軟交換網(wǎng)絡(luò)的可運(yùn)營和可管理,必須解決好VoIP軟交換網(wǎng)絡(luò)的用戶管理和控制��。這里所指的VoIP軟交換用戶是一個抽象概念��,它是針對VoIP軟交換網(wǎng)絡(luò)接人設(shè)備而言的,主要包括網(wǎng)關(guān)設(shè)備(如中繼網(wǎng)關(guān)��、信令網(wǎng)關(guān)��、接入網(wǎng)關(guān)等)以及用戶接人/終端設(shè)備(如IAD��、IP智能終端��、多媒體軟終端等)��。
VoIP軟交換網(wǎng)絡(luò)的用戶管理涉及到多方面內(nèi)容��,包括用戶業(yè)務(wù)注冊��、管理維護(hù)��、基本信息和安全保護(hù)等��。一項完善的用戶管理方案不僅僅涉及到VoIP軟交換網(wǎng)絡(luò)的核心控制設(shè)備��,而且還涉及到相關(guān)的OSS系統(tǒng)��、終端設(shè)備和網(wǎng)關(guān)設(shè)備��。在VoIP軟交換網(wǎng)絡(luò)中��,保證終端接人的安全性和用戶服務(wù)的認(rèn)證至關(guān)重要��,因為這是對VoIP軟交換網(wǎng)絡(luò)構(gòu)成一個可運(yùn)營和可管理的安全業(yè)務(wù)體系的最基本要求��。
為解決目前基于VoIP軟交換網(wǎng)絡(luò)提供電信網(wǎng)服務(wù)時存在的一些問題��,例如用戶旁路運(yùn)營商的問題��、業(yè)務(wù)流的控制��、網(wǎng)絡(luò)的安全性、QoS保證及私網(wǎng)穿越等問題��,業(yè)界提出了很多方案��。其中比較有代表性的一個方案��,也是正逐漸被運(yùn)營商認(rèn)可的一個方案��,就是在VoIP軟交換網(wǎng)絡(luò)核心傳送層建設(shè)具有一定安全性及QoS保證的專用承載網(wǎng)絡(luò)��,并在VoIP軟交換網(wǎng)絡(luò)接入層引入邊緣接入控制(BAC,BorderAccessController)設(shè)備��,如圖所示。
上圖中��,將VoIP軟交換網(wǎng)絡(luò)分成業(yè)務(wù)核心網(wǎng)(信任區(qū))和業(yè)務(wù)接入網(wǎng)(非信任區(qū))兩部分��。VoIP軟交換設(shè)備��、信令網(wǎng)關(guān)��、中繼網(wǎng)關(guān)��、接入網(wǎng)關(guān)��、媒體服務(wù)器��、重要客戶使用的IAD等設(shè)備基千核心網(wǎng)部署,該網(wǎng)絡(luò)可以是新建的物理專用網(wǎng)或是采用MPLSVPN等技術(shù)構(gòu)建的虛擬專用網(wǎng),能通過各種手段來保障VoIP軟交換設(shè)備間的相互通信及VoIP軟交換設(shè)備和非VoIP軟交換設(shè)備間的消息隔離。
對于非重要客戶使用的IAD及IP智能終端等設(shè)備則部署于業(yè)務(wù)接入網(wǎng)。這類設(shè)備數(shù)最多、分布廣��,可通過各種接入方式快速收斂于BAC設(shè)備,并基千BAC設(shè)備實現(xiàn)與核心網(wǎng)絡(luò)中其他設(shè)備的互通��。BAC設(shè)備介千VoIP軟交換核心網(wǎng)和業(yè)務(wù)接入網(wǎng)之間��,它就像VoIP軟交換核心網(wǎng)的閘門一樣��,負(fù)責(zé)對試圖進(jìn)入VoIP軟交換核心網(wǎng)絡(luò)的非信任用戶的業(yè)務(wù)請求和業(yè)務(wù)流進(jìn)行合法性認(rèn)證��。
一��、BAC設(shè)備功能概述
BAC設(shè)備是面向VoIP軟交換業(yè)務(wù)的新型接入控制設(shè)備��,完成VoIP軟交換用戶的業(yè)務(wù)接入��、實現(xiàn)不同網(wǎng)絡(luò)環(huán)境下用戶業(yè)務(wù)的互通��、保障核心層設(shè)備的安全��、支持QoS管理��、媒體管理等功能��。BAC設(shè)備的主要功能特征如下��。
1��、業(yè)務(wù)穿越功能
(1)支持VoIP軟交換用戶和VoIP軟交換設(shè)備處于不同網(wǎng)絡(luò)時的用戶業(yè)務(wù)穿越��,具體包括以下3種情況:
•用戶處于私網(wǎng)��、VoIP軟交換設(shè)備處千公網(wǎng)��;
•用戶處千公網(wǎng)��、VoIP軟交換設(shè)備處千私網(wǎng)��;
•用戶處于私網(wǎng)��,VoIP軟交換設(shè)備處于另一私網(wǎng)。
(2)支持用戶注冊流程的穿越��,用戶的認(rèn)證鑒權(quán)由VoIP軟交換設(shè)備執(zhí)行��。
(3)實現(xiàn)所有VoIP軟交換業(yè)務(wù)的穿越��,不影響VoIP軟交換業(yè)務(wù)的實現(xiàn)��,不改變業(yè)務(wù)流程��,不涉及業(yè)務(wù)邏輯的判斷��,不引人業(yè)務(wù)安全隱患��。
2��、安全保護(hù)功能
少能對終端用戶屏蔽VoIP軟交換設(shè)備��、中繼網(wǎng)關(guān)��、接入網(wǎng)關(guān)��、媒體服務(wù)器等設(shè)備的地址��,保護(hù)重要網(wǎng)元設(shè)備��。
(1)能阻擋非法設(shè)備對VoIP軟交換核心網(wǎng)的訪問��,阻斷非法協(xié)議對VoIP軟交換設(shè)備的訪問��。
(2)能進(jìn)行簡單的應(yīng)用層攻擊防護(hù)��,實現(xiàn)部分代理服務(wù)型防火墻功能��,隔離網(wǎng)絡(luò)層攻擊��。
(3)具備根據(jù)業(yè)務(wù)需求��、用戶安全需求和運(yùn)營需求屏蔽通信對方地址的能力��。
3��、QoS服務(wù)質(zhì)量保障功能
(1)支待對進(jìn)出設(shè)備消息的ToS/CoS(服務(wù)類型/服務(wù)等級)的識別��、標(biāo)記和重標(biāo)記功能��,能根據(jù)標(biāo)記優(yōu)先級進(jìn)行業(yè)務(wù)QoS處理��。
(2)可支持鏈路QoS參數(shù)探測功能��,將QoS參數(shù)統(tǒng)計結(jié)果實時上報VoIP軟交換設(shè)備或其他指定設(shè)備��。
4��、業(yè)務(wù)控制管理功能
(1)配合VoIP軟交換設(shè)備進(jìn)行業(yè)務(wù)和呼叫控制��,能協(xié)助收集��、上報VoIP軟交換設(shè)備進(jìn)行呼叫處理需要的用戶參數(shù)。
(2)支持對媒體流進(jìn)行控制管理��,可以實現(xiàn)對媒體流的轉(zhuǎn)接控制��、統(tǒng)計��、分析��、過濾��、帶寬控制等功能��。
1��、用戶管理功能
(1)可與終端配合進(jìn)行用戶存活狀態(tài)檢測��,并將檢測結(jié)果上報VoIP軟交換設(shè)備處理��。
