通過“專用網絡+BAC全代理”的接入層組網模式�,可以在很大程度上解決軟交換網絡的用戶安全管理、私網地址穿越以及防止用戶非法旁路軟交換設備等問題���,也可以在一定程度上解決QoS保障問題���,這是目前提出的一種實用化的解決方案。
一��、QoS問題解決方式
IP網絡技術目前還不能徹底解決QoS問題�����,在現(xiàn)有的公共IP網絡上還不能為軟交換網絡提供大規(guī)模的有QoS保障的承載服務,采用“專用網絡+BAC全代理”方式能夠在一定程度上解決軟交換網絡的QoS問題���。專用網絡主要應用于軟交換核心網�,可以采用專線���、專用IP網���、MPLSVPN等方式組網。通過MPLSVPN提供QoS保障����,仍然需要IP網絡全網的傳輸和交換設備都支持MPLS能力,因此短期內還無法在全網范圍內實現(xiàn)�����,但可以首先在骨干城域網上部分實行�。專線和專用IP網方式可以通過網絡流量預測和規(guī)劃,按軟交換業(yè)務需求組織網絡���。由于專網專用��,使用過程中容易掌握業(yè)務流量和流向的變化��,可以及時調整網絡��,通過與軟交換設備呼叫控制功能結合����,可以有效解決網絡擁塞控制問題。如果新建專用網絡�����,還可以在引進網絡設備時統(tǒng)一考慮設備的QoS功能��,區(qū)分對待不同業(yè)務等級的軟交換業(yè)務����,為某些業(yè)務實現(xiàn)帶寬預留���。
BAC設備則可以根據(jù)不同用戶�����、不同業(yè)務分別對信令和媒體進行QoS標記����,為后續(xù)IP網絡設備的QoS處理提供幫助。在今后的QoS解決方案中���,該設備還可以將QoS參數(shù)統(tǒng)計結果實時上報軟交換設備或其他指定QoS設備��,并接受后者的控制��,在呼叫建立階段根據(jù)用戶QoS要求和網絡QoS狀況進行不同的后續(xù)處理(如接續(xù)���、拒絕、重定向���、更改編碼方式等)��。
二����、安全問題解決方式
對于部署在專網內的信令網關��、中繼網關���、大容量接入網關���、重要客戶使用的IAD設備等��,由于是基于新建的專用網或采用MPLSVPN等技術構建的虛擬專用網����,因此能通過各種手段實現(xiàn)與外界的隔離�,大大減小了受互聯(lián)網用戶攻擊的可能。另一方面�����,軟交換核心網絡中部署的是可信任度高的設備��,數(shù)量相對較少��,通過信令協(xié)議保障�����、嚴格設備管理等手段���,基本可以避免受到核心網絡內的用戶攻擊。
而對于部署在業(yè)務接入網(如互聯(lián)網)內的各類IP智能終端及IAD設備等��,由于分布于非信任的用戶側,對軟交換網絡核心設備的安全存在極大的威脅�����。因此對于這些終端應快速收斂于BAC設備�,通過BAC設備實現(xiàn)與專用網絡中其他設備的互通。BAC設備提供用戶信令及媒體的代理功能及安全檢測和隔離功能�����,采用用戶零配置方案��,使用戶無法自行修改數(shù)據(jù)�,軟交換設備定期檢測用戶身份合法性,保證對網關及用戶終端的控制權�����,防止非法用戶對業(yè)務的盜用或干擾���。同時��,在用戶側只能配置軟交換設備或各類管理及應用服務器(如IAD網管系統(tǒng)���、文件服務器等)的域名而非IP地址��,通過域名解析機制及BAC設備的信令及媒體全代理功能�����,對用戶屏蔽軟交換設備����、中繼網關�����、綜合接人網關���、媒體服務器等核心網設備的地址���,避免因暴露軟交換設備的IP地址而導致非法攻擊。
BAC作為安全控制的重要環(huán)節(jié)�,需要支持訪問控制列表(ACL)功能,能夠根據(jù)源���、目的IP地址和端口號設置訪問控制規(guī)則進行報文過濾;能夠針對特定控制協(xié)議進行分組過濾����,阻擋非法設備及未經允許的協(xié)議訪問軟交換設備����;能進行簡單的應用層攻擊防護��,實現(xiàn)部分代理服務型防火墻功能����,具體包括:根據(jù)用戶注冊狀態(tài)進行消息的處理、對未注冊用戶發(fā)送的非注冊消息進行丟棄處理��;對注冊鑒權失敗的用戶終端建立監(jiān)視列表��,當失敗的注冊嘗試達到一定的頻率則采取相應措施�;設置IP地址/端口允許的正常信令消息流鼠值,當1分鐘內收到同一源IP和端口的消息超過該值時����,將該地址/端口列入黑名單并采取相應措施。BAC還應具備根據(jù)業(yè)務需要���、用戶安全需求和運營需求屏蔽通信雙方地址的能力����。
為配合軟交換網絡的安全實施,各設備也需要進行相應的改進(如支持多個網段���,可以通過提供多個分離的物理端口或在一個物理端口上支持多個VLAN的方式實現(xiàn))����;對媒體端口進行動態(tài)開��、閉管理��;能進行最小化端口設置�����;面向用戶的服務可采取由Web或Portal面對用戶進行業(yè)務代理方式來降低風險��;設備采用專門的軟/硬件平臺設計等���。
三�、私網穿越問題解決方式
現(xiàn)有IP網絡由于1Pv4存在著地址資源不足的問題�,包含了很多采用私網地址的專用網絡(如企業(yè)網、園區(qū)網等)��,并通過NAT(網絡地址轉換)設備進行公、私有地址之間的轉換��,實現(xiàn)私網設備與公網設備的互聯(lián)�����。因此�,雖然在軟交換組網中核心網內的設備可統(tǒng)一規(guī)劃IP地址����,但是處于業(yè)務接入網內的各種用戶端設備的IP地址分配則受限于所處的網絡,很難進行統(tǒng)一���,在接入軟交換網絡時通常會面臨NAT/FW穿越的問題�。
1�、解決私網穿越的常用技術
