《华为技术培训资料-Quidway Eudemon 2000 系列会话控制器》由会员分享,可在线阅读,更多相关《华为技术培训资料-Quidway Eudemon 2000 系列会话控制器(53页珍藏版)》请在金锄头文库上搜索。
1、Quidway Eudemon 2000 系列 会话控制器,数据通信技术支持,NGN承载网改造需求分析 ALG/PROXY工作原理介绍 Eudemon 2000系列规格介绍 Eudemon 2000系列解决方案介绍 Eudemon 2000系列应用案例 Eudemon 2000系列典型配置案例,汇报提纲,NGN网络结构,3G,业务管理,网络控制,核心交换,边缘接入,固定,SoftX3000,3G Access,AMG5000,IAD系列,Broadband Access,PSTN,TMG8010,SG7000,PLMN,Uniphone,SIP/H.323 Phone,SoftX3000,分组
2、核心网,U-NICA App Server,Policy Server,iOSS,Video GW,U-Path,POTS,UMG8900,3G终端,UMG8900,MRS6000,2G终端,IN,需求根源,企业网,驻地网,私 网,?,VPN专网,公 网,软交换,NGN专网,问题1 用户接入方式日趋多样化、复杂化,软交换位于公网,如何发展企业/驻地等私网用户?,问题2 运营商自建IP城域网,规模放号如何解决IP地址紧缺问题?,问题3 NGN采用专网搭建,软交换设置私有地址域,终端如何注册到软交换?,从需求根源中我们会遇到的各种问题,私网穿越问题 私网终端管理问题 IP超市/集团用户业务开展问题
3、 QOS问题 带宽、业务盗用问题 软交换安全问题,1、私网穿越问题,Softx,NAT,Firewall,NGN终端,NGN专网,企业网,企业网,NGN终端,终端侧采用私网地址,SoftSwitch侧采用私网地址,需要解决私网地址环境下基本视频、语音功能: 不同企业地址域重复 NGN专网地址域与企业地址域重复 IAD终端如何注册到SoftSwitch IAD终端主动呼叫外网用户 在NAT后的IAD终端接受来自外网的呼叫,2、私网终端管理问题,Softx,NAT,Firewall,NGN终端,NGN专网,企业网,企业网,NGN终端,需要解决私网地址环境下对终端的可管理性: 解决IAD终端与IAD
4、MS之间的注册问题 需要支持IADMS对IAD终端的状态查询 需要支持IADMS对IAD终端进行配置 需要支持统一升级IAD终端软件,终端侧采用私网地址,IADMS采用私网地址,IADMS,3、IP超市/集团用户业务开展问题,Softx,NAT,Firewall,NGN终端,NGN专网,话吧,企业网,NGN终端,需要解决私网地址环境下IP超市等业务的可运营性: 通过话务台进行话单管理,计费结算等功能 话务台的呼叫控制、总机服务功能,如电话转接、免打扰等功能 U-Path话务台对IP Centrex用户进行集中管理,UPath采用私网地址,SoftX采用私网地址,4、QOS问题,汇接POP,用户
5、驻地网,IAD,目前网络缺乏对语音、视频、数据等业务进行划分的能力,承载网的QOS问题:,5、带宽、业务盗用问题,业务盗用:NGN终端用户之间可直接互通。终端用户间可能不经过SoftSwitch 直接进行互通:比如先通过SoftSwitch得到对方号码对应的IP地 址,然后直接呼叫该地址。 带宽盗用:用户建立连接协商的带宽是64K,但实际可能使用超过这个带宽。,城域网,Internet用户,Internet用户,IAD,IAD,Softx,带宽盗用:没有带宽限制,可以多使用点带宽。,业务盗用:NGN终端始终是连通的,没有呼叫,也能够通信。,6.1、软交换安全问题,SoftSwitch直接对终端
6、可见,终端可以直接访问到SoftSwitch。 需要解决对SoftSwitch的流量攻击问题。 大量语音业务无关报文:在接入PC Phone用户的时候,PC可能发出大量语音无关报文,如ICMP相关报文,NetBios over TCP/IP的相关报文;影响SoftSwitch对正常报文的处理。 大量语音相关报文:在无意中将测试设备接入NGN网络,导致SoftSwitch根本无法处理正常报文,引起全网瘫痪;或者是接入了发大量信令报文的黑客程序,也将导致全网瘫痪;,NGN核心网,PC Phone,PC Phone,特殊设备,IAD,Softx,通过设备过滤规则,防火墙设备可以阻断语音无关的报文,但
7、无法阻断语音相关的报文,PC用户发出大量语音无关报文,特殊设备发出大量的信令报文,SoftSwitch的处理能力是有限制的,6.2、软交换安全问题,需要解决对SoftSwitch的非法信令报文的攻击。 畸形信令报文攻击:恶意程序伪造信令报文,报文各个区段内容随意填写,无法正常解码;浪费SoftSwitch的处理资源,还有可能导致SoftSwitch内存泄漏等问题。 状态错误的信令报文:存在IAD等设备设计不完善,发出错误信令报文的情况,浪费SoftSwitch的处理资源;,NGN核心网,PC Phone,PC Phone,特殊设备,IAD,Softx,防火墙设备无法阻断语音相关的报文,恶意程序
8、伪造信令报文,SoftSwitch的处理能力是有限制的,6.3、软交换安全问题,需要防止NGN核心网被黑客入侵 其他设备如果采用公网地址,将导致NGN核心网安全性进一步降低 其他如TG等设备同样存在被流量攻击等风险; 采用通用操作系统的设备存在被入侵的可能。在一个设备被入侵后,该设备将成为继续入侵的跳板,会对NGN网运营造成重大影响。,NGN核心网,PC Phone,PC Phone,IAD,IAD,Softx,黑客可能来自世界各地,网管,U-NICA App Server,Policy Server,iOSS,MRS,IN,黑客,NGN承载网改造需求分析 ALG/PROXY工作原理介绍 Eu
9、demon 2000系列规格介绍 Eudemon 2000系列解决方案介绍 Eudemon 2000系列应用案例 Eudemon 2000系列典型配置案例,汇报提纲,NAT ALG原理,NAT:网络地址转换, ALG:Application Layer Gateway,应用层网关。部分应用协议在报文内部携带了IP地址地址信息。一般的NAT设备只处理IP层的信息,不处理报文内部的内容,ALG设备需要对H323/SIP/MGCP等协议的数据区的私网IP地址信息进行特殊处理。,IP Header,TCP/UDP Header,TCP/UDP 数据区,而软交换使用的SIP/H.323/MGCP/H.2
10、48等协议,在数据区携带了私网IP地址信息,需要防火墙/NAT设备做特殊处理,普通NAT设备只处理IP头以及TCP/UDP头,不处理携带的数据,PROXY机制信令流,信令PROXY 终端:终端只能看到PROXY,注册的地址填的是PROXY的地址;PROXY将IP地址等信息修改后转给SoftSwitch进行处理。 SoftSwitch:PROXY就是用户。用户作为被叫时的呼叫请求都会先发给E2000, E2000经过信令处理后再转发给被叫用户 Eudemon通过对信令的处理和分析,得到本次会话的地址变换情况,带宽需求等QoS信息以及通过会话状态信息来控制媒体流的通过与关闭,起到网络保护,防带宽盗
11、用等,Eudemon2000,IAD配置的SoftSwitch为E2000的地址,SoftSwitch上看到的用户来自于Eudemon2000,对IAD及SoftSwitch的信息分别作修改并转发,PROXY机制媒体流,媒体RELAY 所有的媒体流都经过PROXY进行转发。因此PROXY可以提供QOS重标记、CAC等功能。Eudemon2000分配自己的IP地址和端口分别作为内网用户和外网用户RTP的接收地址和端口,通过这种方式媒体流都能得到正确转发、QoS保证与安全控制 IP Centrex业务的媒体流可以不经过Relay,直接互通,Eudemon2000,在私网IAD上看到对端地址为E20
12、00的入接口地址,在公网IAD上看到的私网IAD地址为E2000的出接口地址,对私网IAD及公网IAD的报文分别作修改并转发,私网IAD,公网IAD,入方向,出方向,ALG/Proxy工作机理比较,NAT ALG方式只适于解决私网地址穿越问题,QOS、安全等问题无法解决。 NAT ALG设备需要放置在私网、公网交界处,一般位于企业出口;而PROXY方式可以放置在IP可达的任意位置,组网位置不受限。 一般情况下,NAT ALG设备无法多个企业共用。 NAT ALG方式对功能影响较小,因此NAT ALG方式可作为PROXY组网方式的一个有益补充。,企业网,城域网,Firewall/NAT,IAD,
13、企业网,Firewall/NAT,Register Response,Register Request,NAT with ALG Function,NAT with ALG Function,IAD,软交换,ALG、PROXY对比(答疑胶片、不可直接递交局方),为何PROXY方式对H323处理有困难: 与SIP、MGCP不同,H323中的Q931、H.245信令采用了TCP协议 TCP采用三次握手,具有方向性 无法透过NAT设备直接向私网终端发起TCP连接,来自外网的TCP的SYN报文无法穿越NAT设备,私网IAD,公网IAD,NAT设备,SYN,SYNACK,ACK,设备2,设备1,X,TC
14、P SYN报文,TCP采用三次握手机制,具有方向性,必须在NAT内部添加客户端软件,才有可能解决PROXY方式下H323的穿越,ALG、PROXY对比(答疑胶片、不可直接递交局方),为何PROXY方式需要收发端口一致: PROXY是学习型设备 无法透过NAT设备主动向私网终端的接收端口发送报文 语音/视频是有方向性的,分为“说”和“听” 两个方向 ; PROXY可以学习到私网终端发端口的NAT后的地址,但无法学习到收端口NAT转换后的地址,因为“听”方向并不发送报文。,当发方向的报文到达Proxy设备时,Proxy就可以学习到发方向的NAT后的地址信息。如果收发端口不统一,报文就发不回去。,私
15、网IAD,NAT设备,在NAT内部添加客户端软件,可以解决PROXY方式下收发端口一致的问题,主动发(说),被动收(听),Eudemon2000,发:NAT后的报文,两种方式对比,ALG、PROXY应用场合,在有如下需求之一时,建议采用PROXY方式解决: 位置要求在城域汇聚层,需要接入Internet语音用户 NGN采用专网构建,SoftSwitch采用私有地址域 企业用户原有的NAT设备不能替换,原有网络路由不能改动 可能穿越多个NAT设备 需要支持IADMS,需要支持IP话务台功能 提供语音、视频报文的QOS标记 防止带宽盗用、防止业务盗用 需要提供非法信令报文检测功能,在如下情况时,建
16、议采用ALG方式解决: 位置处于企业出口(NAT设备作为网关),SoftSwitch位于公网(相对) 大量采用H.323协议 收发端口无法一致,NGN承载网改造需求分析 ALG/PROXY工作原理介绍 Eudemon 2000系列规格介绍 Eudemon 2000系列解决方案介绍 Eudemon 2000系列应用案例 Eudemon 2000系列典型配置案例,汇报提纲,基于软交换的整体解决方案,汇接POP,驻地网/企业网/IP超市,IAD,骨干POP,Eudemon 防火墙系列,软交换,MA5200F,Eudemon 2000 会话控制器系列,网管/OSS,智能网,企业通讯助理,IP话务台,华为可提供完整的NAT穿越解决方案,Eudemon 2000系列,Eudemon 2100,Eudemon 2200,Eudem
