图-1 SBC

SBC，是英文Session Border Controller的简称，在IP化网络通信时代，特别是在5G全IP网络化通信时代，该设备通信组网结构中，承担着重要功能。

图-2SBC设备通信

SBC的核心功能：为不同子网的IP语音（及视频等其它实时会话业务）信令和媒体提供控制功能；同时在网络边缘对所处理业务进行安全保障（防攻击、VPN隔离、防火墙等）和QoS控制（policing、marking、rate limiting、CAC、SLA等）。其在网络位置：接入或汇聚点, 互通的网络边缘 。

图-3 SBC的两面角色

在IMS中，SBC设备有A-SBC和I-SBC两面角色。SBC作为A-SBC主要提供呼叫接入控制、NAT穿越、QoS、接入安全、媒体防火墙、媒体代理、媒体编解码转换和计费功能。SBC作为I-SBC主要提供协议互通、网络间安全、QoS、路由、计费和呼叫接入控制功能。

图-4 SBC设备基本组网

SBC设备可以解决信令的NAT/FW穿越问题

图-5 NAT问题

在VOIP部署通信中，对于NAT问题，经常遇该现象：

• VoIP用户在各自私网（且地址可能重叠）；

• NAT/FW不支持VoIP信令（SIP/H323/H248/MGCP/etc.）的ALG，普通的NAT只会修改报文IP层的地址信息（右图中蓝色部分）；

• 对SIP而言，VoIP用户注册后，核心网上记录的将是其私网地址（右图中红色部分），导致呼叫时信令不通；

• NAT/Firewall 通道保活问题，VoIP终端注册完成后长时间不触发业务，NAT/Firewall会将其通道关闭，导致终端做不了被叫业务。

对于VoIP部署中遇到的信令的NAT/FW穿越问题 ，在解决的方法上，通常有以下几种方法：

• 升级或替换企业网出口的NAT/FW，使之支持各VoIP信令的ALG，通常面对企业不愿意买单，VoIP协议升级需要同步升级防火墙

• 运营商网络中部署特殊设备，实现VOIP的NAT穿越，部署方便，能实现大范围接入。

因此必须有SBC设备，采用SBC 的叠加方案，不用改造现网设备，无论企业网NAT/FW是否支持ALG，均能将用户顺利接入运营商的VoIP网络。SBC应用的技术叫Full Proxy，即是全代理。实际上也是即是合设架构的SBC。

SBC设备可以解决VoIP安全问题

在VoIP部署中，经常有这样的现象：

• 终端智能化倾向：终端的能力较强，可以执行攻击程序；

• 引入软终端：软终端的使用导致在核心网网络中引入了许多IP网的固有安全问题，如DOS攻击等；

• 核心网设备安全能力：核心网的设备（CSCF/Softswitch）关注信令以及业务处理，不适合做防攻击处理；

• 资源不受控：比如一个语音终端可以使用超过128Kbps的流量；

• 平面组网结构：大部分网络架构是终端/AG等设备直接接入，软交换直接对终端可见，报文可以直达软交换等设备。软交换等设备容易受攻击，一台软交换往往负责几万乃至几十万用户的电话接续，如果被攻陷，后果就是灾难性的。

而解决安全问题，需要有某款设备能够部署在核心网周围，为其搭建一个抵御各类攻击的屏障，包括：

• 普通DoS、DDoS攻击

• 各类VoIP信令的攻击——即便核心网躲在运营商VPN内，也很难抵御此类攻击。

同时需要SBC提供拓扑隐藏功能，屏蔽互通双方的真实IP，从而有效实现安全隔离。

SBC设备典型组网场景

图-5 SBC使用场景

SBC解决NAT问题的实现机制

SBC在解决NAT的问题，其实现即机制如下所述：

（1） 信令面建立起之后，UE1知道UE2 NAT转换后的IP地址A2,UE2知道了UE1 NAT转换后的IP地址A3，SBC，SPDF,PCSCF知道了(A1,A2),(A3,A4)对。

（2）发起媒体流的时候，UE1将A2作为目的地址发往SBC,SBC收到消息后，SBC会根据映射关系（A1,A2）（A3,A4），根据映射关系根据（A1,A2）找到（A3,A4）,并将A3作为原地址，将A4作为目的地址，将媒体流消息发往UE2。

（3）UE2回送媒体流，根据A3的IP地址，发往SBC，SBC会根据映射关系（A1,A2）（A3,A4），根据映射关系根据（A3,A4）找到（A1,A2）,并将A1作为目的地址，A2作为原地址。将消息发往UE1。媒体流的交互是并行双向多次的。根据RTP包（比如0.03秒构成语音帧将RTP包发出），这样变可达到通信的目的。