南方电网标准工艺（国家电网95598在SIP接入中的SBC应用）

南方电网标准工艺（国家电网95598在SIP接入中的SBC应用）只接纳来自于已配置的对端网元的业务请求，流量监管和入侵检测，监控和追踪异常消息来源。图-5 应用层防DoS攻击企业会话管理器 E-SBC，控制运营商 SIP 中继的业务连接，防攻击保护，解决互通问题，安全连接远端用户。图-4 SBC在企业中应用 SIP业务层面的NAT和NAPT：信令和媒体；信令包和媒体包（RTP）的L3地址和端口信息；SIP消息（包含SDP）内的地址和端口信息。根据会话控制信令，SBC动态开放和关闭媒体端口，相当于基于业务的动态针孔式防火墙

图-1 SBC

SBC，是英文Session Border Controller的简称，在IP化网络通信时代，特别是在5G全IP网络化通信时代，该设备通信组网结构中，承担着重要功能。

图-2SBC设备通信

挑战—趋势—应对

• 中继网关市场不断萎缩，对后续支 持和新业务引入缺乏信心 方兴未艾的SIP中继通过运营商IMS网络为企业提供多媒体通信连接，保证快速的业务部 署和容量扩展。
• TDM链路故障时无法自动即时切换， 也无法部署灵活的路由备份策略 SIP中继自身的侦测机制保证了故障切换的响应速度 基于可用性、呼叫量、接通率等要素的灵活的SIP路由。
• 虽然SIP中继有上述优点，但基于IP 的业务安全吗？ Net-SAFE安全架构已配置于所有现网运行的SBC（会话边界控制器），历经10余年的实践验证，有效识别隔离非法或异常业务流量加密方式的互通：TLS / SRTP / IPSec。
• 对企业而言这是新技术，SIP业务如何 进行监控？发生故障时如何有效推 动运营商进行排查？EOM（企业通信运行监控）：业务监控与实时告警；CDR（呼叫详细记录）生成； 呼叫信令 通话质量分析的存储、检索、输出。
• 在企业扩展或业务融合过程中如何 实现不同厂商的平台互联互通？SBC的SIP信令适配保证异构平台的信令互通SBC的DTMF传送方式转换和编码转换保证异构平台的媒体互通。

图-3企业通信的SIP架构

安全防护

企业会话管理器 E-SBC，控制运营商 SIP 中继的业务连接，防攻击保护，解决互通问题，安全连接远端用户。

图-4 SBC在企业中应用

• 拓扑隐藏

SIP业务层面的NAT和NAPT：信令和媒体；信令包和媒体包（RTP）的L3地址和端口信息；SIP消息（包含SDP）内的地址和端口信息。根据会话控制信令，SBC动态开放和关闭媒体端口，相当于基于业务的动态针孔式防火墙

• 应用层防DoS攻击

图-5 应用层防DoS攻击

只接纳来自于已配置的对端网元的业务请求，流量监管和入侵检测，监控和追踪异常消息来源。

图-6 动态的访问控制

实际效果，当受到SIP信令攻击时，CPU占用率可能上升，呼损可能增加，新用 户注册可能处理缓慢，但总体而言正常业务不会出现阻断，当SIP信令攻击停止后，业务可快速恢复正常。

技术实现，静态的访问控制列表ACL；动态的访问信任度区分：对“已信任来源”（白名单）和“未信任来源”（灰名单）占用主处理器系统的能 力进行区分。“已信任来源”、“未信任来源”和“不信任来源”（黑名单）列表的动态修正系统过负荷控制措施，从系统自身处理能力角度：当主处理器负荷超过90%，系统将拒绝新的会话请求，从网络对端设备能力角度：可定义每个对端企业网元的最大的会话处理能力– 总并发会话数、并发来话数、并发去话数、CPS从网络带宽状况角度：根据实时的网络带宽可用率和会话QoS进行会话接纳控制。

SBC对业务快速部署的贡献

1. 满足不同企业通信平台的互通需求，并实现新业务的引入独立于运营商核心网络，灵活的SIP信令适配：消息头和消息体操作

挑战，核心网SIP实体不支持现有企业业务所使用的某些SIP头域或参数，新业务的部署可能会引入新的SIP头域或参数，对上述SIP头域或参数的支持可能需要通过特定的路由、协议层面规整甚至产品改进

应对，SBC支持对SIP消息头和消息体进行操作（增、删、改、查），并且支持正则表达式（通配查找和替换），每个SIP信令接口和每个远端SIP实体都可以调用自己的HMR，针对流入和流出的信令进行独立的规则应用。

2. 信令互操作和编解码转换，DTMF互操作：RTP in-band / RFC2833 / SIP INFO；SIP和H.323互通；SIP信令承载方式的互通：UDP / TCP / TLS；号码规约：例如‘0’或者‘ ’的增删，区号的增删等；呼叫转接Call Transfer的实现：基于REFER方式。

SBC对业务可靠性的贡献

图-7 高可用性

• 高可靠性配置（HA）

采用主备用配对，提供对基于SIP信 令的业务的状态失败切换（Stateful Failover）功能，保证已建立的会话 信息得以保持，包括媒体流通道和 会话状态信息

• SIP业务冗余

实现对一簇目的网元间的话务负荷 分担；通过周期性的SIP OPTIONS或其它共 同约定的方法来轮询以判定每个对 端SIP Server的可用性。如果某个SIP Server出现故障，会话管理器可以将 会话路由到其它相应的网元上。

图-8 冗余性处理

国家电网95598平台建设

• 平台中心双平台Multi-Site组网负荷分摊、互为备份。
• 南北分中心平台与27家网省公司的华为、 Avaya、Genesys、Alcatel-Lucent平台异构 互连，实现业务上收。
• 25家网省公司、南北分中心呼叫平台共 27套SBC构建国网95598客服中心语音通信 专网。
• 南中心部署1000路SIP中继与江苏电信、 江苏移动互连，承担南中心归属省份的所 有外呼业务，以及江苏全省95598的呼入 业务

图-9 SIP 中继 & 异构平台互联互通

SBC 设备在国家电话95598客服平台的价值，

• 运营商SIP中继接入

实现国网内部网络结构拓扑隐藏，提供安全互连网络；解决平台与运营商内部不同设备SBC间的SIP信令互通问题，保证呼叫正常建立；实现DTMF编码媒体转换，确保二次IVR呼叫的DTMF按键识别；通过SBC实现平台与运营商的SIP消息转换，保证SIP信令的统一性，解决平台外呼录音丢失问题。

• 客服中心语音专网

实现防火墙穿越和NAT解析，内网拓扑隐藏，提供安全互连 网络；解决国网内部异构平台互连所导致的不同产品、不同版本SIP信令互通问题；实现异构平台间不同语音编码和DTMF编码的转换互通。