Session Border Controller là gì ? Tìm hiểu về Session Border Controller

Một bộ điều khiển vùng biên theo phiên (SBC) là một thiết bị thường xuyên được triển khai trong hệ thống mạng VOIP để cố gắng kiểm soát toàn bộ các tín hiệu, cũng như các gói thoại media liên quan đến việc thiết lập, thực hiện và bóc tách các cuộc gọi điện thoại hoặc các thông tin liên lạc truyền thông tương tác khác.

Việc triển khai các SBC ở thời điểm trước thường tập trung vào phần kết nối giữa hai Nhà mạng cung cấp Dịch vụ trong một môi trường mạng ngang hàng. Bây giờ vai trò này đã được mở rộng để bao gồm việc triển khai quan trọng giữa việc truy cập vào mạng và vào hệ thống đường trục chính của Nhà cung cấp Dịch vụ để cung cấp dịch vụ cho khách hàng hộ gia đình và / hoặc khách hàng doanh nghiệp.

Thuật ngữ “session/phiên” đề cập đến việc thông tin liên lạc giữa hai bên – trong ngữ cảnh của điện thoại, điều này sẽ là một cuộc gọi. Mỗi cuộc gọi bao gồm một hoặc nhiều thông điệp của tín hiệu thoại được trao đổi để kiểm soát các cuộc gọi, và một hoặc nhiều media stream thoại mang theo dữ liệu thoại của cuộc gọi, video, hoặc các dữ liệu khác cùng với thông tin về thống kê và chất lượng thoại. Gộp chung với nhau, những streams này tạo nên một session. Đó là công việc của một bộ Session Border Controller để gây ảnh hưởng đối với các luồng dữ liệu của session.

Thuật ngữ “border” đề cập đến một điểm phân giới “cắm mốc” giữa một phần của một mạng này và một mạng khác. Như một ví dụ đơn giản, ở rìa của một mạng công ty, một tường lửa sẽ phân chia các mạng cục bộ (bên trong công ty) với phần còn lại của Internet (bên ngoài công ty). Một ví dụ phức tạp hơn là của một tập đoàn lớn, nơi các phòng ban khác nhau có nhu cầu bảo mật cho từng vị trí và đôi khi đối với từng loại dữ liệu. Trong trường hợp này, việc lọc gói của các router hoặc các phần tử trong mạng khác được sử dụng để kiểm soát lưu lượng của các dòng dữ liệu. Đó là công việc của một bộ điều khiển vùng biên theo phiên hay Session Border Controller để hỗ trợ chính sách cho các nhà quản trị trong việc quản lý các luồng dữ liệu session qua các border.

Thuật ngữ “controller/ điều khiển” đề cập đến việc gây ảnh hưởng mà Session Border Controller tác động trên các luồng dữ liệu bao gồm các session, khi dữ liệu đi qua vùng biên giữa một phần của một mạng này và một mạng khác. Ngoài ra, Session Border Controller thường cung cấp việc đo lường, kiểm soát truy cập, và các cơ sở chuyển đổi dữ liệu cho các cuộc gọi mà SBC kiểm soát.

Các chức năng

Các SBC thường duy trì đầy đủ các trạng thái session và cung cấp các chức năng sau:

•  Security – protect the network and other devices from:
  •  Malicious attacks such as a denial-of-service attack (DoS) or distributed DoS
  •  Toll fraud via rogue media streams
  •  Topology hiding
  •  Malformed packet protection
  •  Encryption of signaling (via TLS and IPSec) and media (SRTP)
•  Connectivity – allow different parts of the network to communicate through the use of a variety of techniques such as:
  •  NAT traversal
  •  SIP normalization via SIP message and header manipulation
  •  IPv4 to IPv6 interworking
  •  VPN connectivity
  •  Protocol translations between SIP, SIP-I, H.323
•  Quality of service – the QoS policy of a network and prioritization of flows is usually implemented by the SBC. It can include such functions as:
  •  Traffic policing
  •  Resource allocation
  •  Rate limiting
  •  Call admission control
  •  ToS/DSCP bit setting
•  Regulatory – many times the SBC is expected to provide support for regulatory requirements such as:
  •  Emergency calls prioritization
  •  Lawful interception
•  Media services – many of the new generation of SBCs also provide built-in digital signal processors (DSPs) to enable them to offer border-based media control and services such as:
  •  DTMF relay and interworking
  •  Media transcoding
  •  Tones and announcements
  •  Data and fax interworking
  •  Support for voice and video calls
•  Statistics and billing information – since all sessions that pass through the edge of the network pass through the SBC, it is a natural point to gather statistics and usage based information on these sessions.

Với sự ra đời của một số WebRTC, các SBC cũng đã đảm nhận vai trò của SIP đến WebRTC Gateway và dịch sang SIP. Trong khi không có một giao thức tín hiệu được ủy thác của các thông số kỹ thuật của WebRTC, SIP qua Websockets (RFC 7118) thường được sử dụng một phần là do các ứng dụng của SIP để đáp ứng hầu hết các tình huống giao tiếp dự kiến cũng như sự sẵn có của các phần mềm mã nguồn mở ví dụ như JsSIP. Trong một trường hợp như vậy SBC hoạt động như một gateway giữa các ứng dụng WebRTC và các đầu cuối SIP.

SBC luôn được “vận động” và nâng cấp công nghệ không ngừng, ngày càng được gia tăng mức độ bảo mật và khả năng tương tác. Minh họa qua các tính năng cao cấp của AudioCodes SBC từ Version R6.8 lên Version R7, các tính năng SBC cơ bản, nâng cao của Frafos.

Giao diện SIP và các hạn chế SRD của Version R6.8

•  SIP interface
  •  Must belong to one and only one SRD
  •  Per application type
  •  The reason for this restriction is for the sake of routing simplicity
•  SRD
  •  SRD is bounded to a specific layer 3 network
•  Deployments Requiring Multiple SRDs
  •  SBC must perform NAT traversal
  •  SBC is configured with 2 different physical network interfaces
  •  Security rules for different networks

Multiple SRD’s R6.8 Restrictions Example

Comparing between SIP Trunk SRD R6.8 and SIP Trunk SRD R7 Example

Advanced Features of AudioCodes SBC V7

Main SBC concept changes in R7.0

• SIP Interface can serve more than one Application type
  •  Multiple SIP interfaces (e.g. WAN and LAN) can be bounded to a single SRD
  •  SRD is not bounded to a specific layer 3 network
  •  DefualtSRD_0 and other entities are auto created
  •  On most single tenant use cases, SRD configuration is no longer needed
  •  SRD function transitioned to become a tenant
•  SRD fields added or moved to the SIP Interface
  •  SIP Interface in R7.0 “acts” like SRD in R6.8
    •  SIP Interface field is added to Proxy-set table, Routing tables and others
    •  The SIP interface now points media realm
    •  SIP Interface has Call Admission Control assigned
•  Multi Tenancy Environment
  •  Routing Policy
    •  Dedicated
    •  Shared
•  SBC Operation Mode
  •  B2BUA
  •  Call Stateful Proxy

Multi Tenancy/SRD Environment

•  SBC device – serves a large number of enterprises
•  Support and secure the IP communications requirements of multiple enterprises simultaneously
•  Provides per tenant configuration
  •  Monitoring
  •  Reporting
  •  Analytics
  •  Alarms
  •  Interfacing
•  Call admission control (CAC) can be effectively allocated per tenant

Routing Policy

•  Routing Policies are intended only for multi-tenancy networks
•  Routing policy should be used in case there is a need to associate different routing decisions to different SRD’s
•  Routing Policies allow each SRD (Tenant) to have it’s own
  •  Routing rules
  •  Manipulations rules
  •  LCR
  •  LDAP based routing configuration
•  The Routing Policy can be assigned to
  •  SRD table
  •  Classification table
  •  IP-to-IP Routing table
  •  IP to IP Inbound Manipulation table
  •  IP to IP Outbound Manipulation table

Multi Tenancy Configuration

•  Isolated Tenant/SRD
  •  This tenant is totally isolated from other tenants, having its own dedicated interfaces and routing rules
•  Shared Tenant/SRD
  •  This tenant shares its interface/s with all the other tenants in the network (e.g SIP Trunk)

Advanced Features of Frafos ABC SBC

Với bộ điều khiển vùng biên theo phiên ABC (SBC – Session Border Controller) cho các Nhà cung cấp Dịch vụ VoIP và cho các doanh nghiệp triển khai một bộ Session Border Controller mở rộng được thiết kế để chạy trên các phần cứng cao cấp cũng như các thiết bị và các máy ảo. Qua đó, ABC SBC cho phép các Nhà cung cấp Dịch vụ VoIP để từng bước mở rộng quy mô cơ sở hạ tầng của họ và bao gồm cả các nhu cầu của các doanh nghiệp thuộc mọi quy mô.

ABC SBC không chỉ cung cấp việc kiểm soát vùng biên theo phiên an toàn, tín hiệu và dữ liệu meida và định tuyến cuộc gọi mà còn cung cấp các ứng dụng máy chủ media tiên tiến. Điều này làm cho ABC SBC trở thành công cụ hoàn hảo cho việc giải quyết bài toán đặt ra cho kinh doanh và hạ tầng mạng khi có yêu cầu thay đổi nhanh chóng của các Nhà cung cấp Dịch vụ VoIP và NGN – Thế hệ mạng mới.

Sự cần thiết để hỗ trợ các yêu cầu khác nhau của khách hàng và thường mâu thuẫn lẫn nhau đã dẫn đến FRAFOS phát triển ABC SBC như một cấu trúc mở và mạnh mẽ cho phép thích ứng dễ dàng của ABC SBC phù hợp với các nhu cầu chính xác của khách hàng. Với những kiến thức mà không có giải pháp nào phù hợp với tất cả các tình huống, các bộ điều khiển vùng biên theo phiên ABC được thiết kế như là một nền tảng tùy biến để đạt được hiệu quả mà không phải thông qua phần cứng chuyênbiệt nhưng vẫn đáp ứng hiệu quả. ABC SBC là bộ SBC đầu tiên của Frafos được thiết kế để mở rộng quy mô theo chiều ngang cũng như chiều dọc bằng cách mở rộng khả năng hoạt động của các phần cứng được sử dụng hoặc phụ thuộc số lần cài đặt sử dụng.

Các phiên bản ABC SBC hiện hàng cung cấp các tính năng sau:

•  GUI based management.
•  System and network monitoring.
•  SIP session control and manipulation.
•  Registration offloading.
•  Border security.
•  SNMP V2 alarms and status information.
•  High availability using active/hot standby mode.
•  WebRTC support

GUI-based Management

ABC SBC cung cấp cho các nhà quản trị hệ thống thông qua các giao diện GUI dễ quản lý :

•  Defining routing handling policies.
•  Define security and message manipulation rules.
•  Granular traffic limiting: Limit traffic based on any part of a SIP message.
•  Monitoring netwok and system statistics.
•  System configuration and management.

Media Applications

ABC SBC cung cấp một chương trình đóng gói có thể lập trình và nền tảng máy chủ media mở để hỗ trợ các thông báo và các ứng dụng web theo thời gian thực.

•  Announcements: The ABC SBC can be used to generate announcements directly on the border of the network.
•  Transcoding: ABC SBC platform offers software based transcoding with support of G711u/a, G726, GSM, iLBC, L16, G722, Speex, G729 and G729a/b codecs. Codecs G729 and G729a/b are subject to patent licenses.
•  Recording: The ABC SBC enables the operator to record SIP calls and save the recorded content on local disk.

Do các giao diện mở của ABC SBC có thể giới thiệu nhanh chóng các ứng dụng mới được tùy biến theo nhu cầu của các nhà điều hành.

Để bảo mật cho các nhà cung cấp VoIP, ABC SBC cung cấp các tính năng bảo mật sau đây:

Border Security

•  Rate limiting: In order to protect against DoS attacks, calls arriving above a certain threshold can be either rejected or simply dropped.
•  Parallel call control: In order to prevent misuse and fraud the ABC SBC can use either a general limit or a per enterprise value to detect excess calls.
•  Content control: Using Deep Packet Inspection mechanisms, the ABC SBC can filter the content of incoming SIP messages and drop messages that contain suspicious content.
•  Topology hiding: All information related to the operator’s internal structure such as IP addresses of media servers or SIP registrars are anonymized by the ABC SBC just before forwarding any messages outside the operator’s network.
•  Media control: Besides controlling the signaling information, the ABC SBC offers different features for securing the exchange of media data:
  •  Codec control: The ABC SBC can refuse calls requesting media codecs that are not allowed in the operator’s network.
  •  Rate limiting: Traffic received in excess of certain limits can be rejected.
  •  Codec monitoring: The ABC SBC can be used to reject media packets that do not conform to the type that was signaled in the session establishment.

System and Network Monitoring

Thông qua giao diện quản lý điều hành của ABC SBC có thể có một cái nhìn tổng quan của hiệu suất các cơ sở hạ tầng VoIP và được cảnh báo về những thất bại. Giao diện giám sát của ABC SBC cung cấp các thông tin sau:

•  Call statistics such as number of successful/failed calls.
•  General statistics such as used bandwidth, memory and CPU.
•  List of active calls and the possibility to terminate an active call.
•  The possibility to collect PCAP traces of both signaling and media information of certain calls.
•  Call flow sequences showing all messages related to some call with the possibility of displaying the details of any message from the sequence.
•  The collected statistics can also be exported using SNMP.

SIP Session Control and Manipulation

ABC SBC hoạt động như một SIP Back2Back UA (B2BUA) cho phép các nhà điều hành kiểm soát việc truy cập vào hệ thống mạng và cung cấp các tính năng sau:

•  Topology hiding.
•  NAT traversal.
•  Media and RTP access control.
•  Add, remove and modify SIP headers.
•  Manipulate SIP bodies.
•  Mediate between different SIP specifications such as IMS and IETF SIP.

Registration Offload

Để giảm số lượng đăng ký mà đáng lẻ phải được xử lý tại hệ thống core đăng ký, ABC SBC sẽ lưu trữ tạm các đăng ký thành công. Các thông tin đăng ký tại hệ thống core đăng ký sẽ được làm mới bởi ABC SBC ở mức thấp hơn nhiều so với các thuê bao mới nỗ lực đăng ký trực tiếp vào. Điều này làm giảm tải trên cơ sở hạ tầng của nhà khai thác và bảo vệ nó khỏi việc đăng ký thuê bao thiếu thông tin hoặc người có ý phá hoại mà cố gắng để tấn công mạng bằng cách gửi một số lượng lớn các tin nhắn đăng ký.

Open Interfaces

ABC SBC cung cấp các giao diện RESTfull cho phép một tích hợp trơn tru với các nền tảng ứng dụng dịch vụ. Thông qua các giao diện mở, một nhà cung cấp có thể điều khiển các tính năng khác nhau như:

•  Routing: Offload complex and customized routing logic to an external environment.
•  Authentication: Authenticate and register users already on the border of the network.
•  Announcements: Control which announcement should be played when.