軟交換網(wǎng)絡組網(wǎng)技術深入分析

幾年中，在眾多制造商和運營商的共同推動下，軟交換產(chǎn)品逐步趨于成熟，功能日益豐富，性能逐漸穩(wěn)定，標準化工作正穩(wěn)步推進，軟交換技術正走向市場。

迄今為止，全球范圍內(nèi)已有多家電信運營商積極開展了在軟交換方面的實驗和商用部署。在北美，地方運營公司中有67%的運營商已經(jīng)有軟交換部署，有43%的長途交換運營商也部署了軟交換系統(tǒng)。在歐洲，運營商對軟交換的發(fā)展和應用采用了比較謹慎的態(tài)度，但隨著軟交換技術的逐漸成熟，歐洲運營商也加快了軟交換實施步伐；在亞太地區(qū)，香港、新西蘭、澳大利亞、日本、韓國等國的運營商在軟交換應用領域走在前列。2000年至今，中國的電信行業(yè)對軟交換網(wǎng)絡技術也給予了極大的關注，中國電信、中國網(wǎng)通、中國聯(lián)通、中國鐵通、中國衛(wèi)通和中國移動都已全面啟動對軟交換的應用嘗試及商用部署。

各運營商軟交換網(wǎng)絡的技術測試和實際商用證明軟交換體系在功能和性能上已經(jīng)基本成熟，目前問題主要集中在以下方面：

◆隨著軟交換網(wǎng)絡對PSTN|0">PSTN網(wǎng)絡的逐步取代，系統(tǒng)應采用何種模式進行大規(guī)模組網(wǎng)。

◆如何回避IP網(wǎng)用戶的高度自主性，實現(xiàn)電信運營商對業(yè)務的可管理性。

◆相對于封閉、使用專用系統(tǒng)的電路交換網(wǎng)，架構于IP網(wǎng)之上的軟交換網(wǎng)絡易受到外來的入侵，面臨安全性的挑戰(zhàn)。如何才能解決網(wǎng)絡節(jié)點、用戶信息和業(yè)務的安全。

◆如何提供具有QoS保證的端到端實時業(yè)務。

◆對于處于企業(yè)私網(wǎng)內(nèi)的用戶，如何實現(xiàn)業(yè)務的企業(yè)NAT|0">NAT設備和防火墻的穿越。

為了解決以上問題，并考慮到IP網(wǎng)自身要徹底解決安全及QoS問題尚需時日的現(xiàn)狀，本文在現(xiàn)有軟交換網(wǎng)絡的基礎上引入了新的網(wǎng)元設備，并提出了新的組網(wǎng)思路，該組網(wǎng)方案有助于軟交換網(wǎng)絡向商用化目標推進一步，有利于傳統(tǒng)運營商近期內(nèi)軟交換網(wǎng)絡的商業(yè)部署。

組網(wǎng)方案介紹

1.網(wǎng)絡結構

網(wǎng)絡結構如下圖所示：

為了更好解決軟交換組網(wǎng)問題，本方案引入了集中用戶數(shù)據(jù)庫hlr和集中路由服務器rs，將原來存放的各軟交換設備（ss）中的用戶數(shù)據(jù)及路由數(shù)據(jù)分離出來，集中存放在hlr及rs之中，而ss只保留與網(wǎng)關資源相關的信息，如中繼網(wǎng)關的e1資源的空閑情況等。

為了能夠更好解決網(wǎng)絡、業(yè)務的安全及qos問題，本解決方案在傳送層引入了具有一定安全及qos保證的（軟交換業(yè)務）專用承載網(wǎng)絡及軟交換業(yè)務邊緣接入控制設備（bac）。軟交換設備、中繼媒體網(wǎng)關（tg）、綜合接入媒體網(wǎng)關（ag）、信令網(wǎng)關（sg）、重要客戶使用的iad、媒體服務器（ms）、bac等設備基于專用網(wǎng)絡部署，該專用網(wǎng)絡可以是新建的專用網(wǎng)或采用MPLSVPN等技術的虛擬專用網(wǎng)，能通過各種手段來實現(xiàn)軟交換設備間的相互通信及軟交換設備和非軟交換設備間的消息隔離。對于非重要客戶使用的iad及SIP軟、硬終端等設備，由于設備數(shù)量多、分布廣，將通過各種接入方式快速收斂于bac設備，通過bac設備實現(xiàn)與專用網(wǎng)絡中其他設備的互通，此時bac提供信令及媒體的代理功能及安全檢測及隔離功能。

對于通過公共internet接入軟交換網(wǎng)絡的iad及sip用戶當用戶發(fā)起業(yè)務請求時，終端首先會去軟交換網(wǎng)絡的DNS進行SS的域名解析，得到根據(jù)用戶所在位置或IP地址段所分配的BAC的IP地址，終端將呼叫請求送至該BAC，BAC去查詢該用戶是否在已通過安全注冊的用戶列表中，若是則對其進行用戶和軟交換間的信令代理（BAC在用戶來看相當于軟交換，在軟交換看相當于用戶）。BAC根據(jù)預設原則將呼叫請求送至相應SS進行處理。

對于部署在專網(wǎng)上的TG及AG/部分IAD設備當用戶發(fā)起業(yè)務請求時，網(wǎng)關設備將根據(jù)預設的SSIP地址將呼叫送至相應的SS。

主叫SS首先會去HLR查詢用戶的業(yè)務相關信息，判別用戶該業(yè)務是否有權，是否符合預設的業(yè)務觸發(fā)條件，然后根據(jù)查詢結果去訪問RS獲得本次呼叫的路由信息，將呼叫接續(xù)至下一跳SS或業(yè)務平臺。被叫SS收到呼叫請求將去查詢HLR，獲得目前用戶指定終端的IP地址，接至終端。

2.設備說明

關于RS

在網(wǎng)絡發(fā)展初期，軟交換設備之間不分級，彼此之間為邏輯網(wǎng)狀網(wǎng)結構，網(wǎng)絡中任一軟交換設備均存有全網(wǎng)的路由信息，可直接定位另一軟交換設備。同一運營商網(wǎng)絡內(nèi)部軟交換之間不分級，當與其他運營商網(wǎng)絡互通將設置網(wǎng)間接口SS及網(wǎng)間接口中繼網(wǎng)關。

隨著網(wǎng)絡規(guī)模的擴大，軟交換設備數(shù)量的增多，將引入位置服務器設備實現(xiàn)軟交換之間的路由查詢。路由服務器接受主叫端SS的尋址請求，通過數(shù)據(jù)查詢或向其他的路由服務器發(fā)出尋址請求，得到并向主叫端SS返回被叫的SS地址，不做呼叫控制信號的傳遞。

初期RS可以不分級，隨著網(wǎng)絡規(guī)模的擴大可以采用分級的結構。當SS路由數(shù)據(jù)發(fā)生變化時，應主動將變化更新到RS，RS之間能夠?qū)崿F(xiàn)路由數(shù)據(jù)動態(tài)自動更新。其他RS轄區(qū)內(nèi)SS路由數(shù)據(jù)的變動，無須對該區(qū)域SS進行路由數(shù)據(jù)更改，而僅調(diào)整路由服務器中的路由數(shù)據(jù)。

RS中將存放被叫號碼所映射的路由信息，可以是下一條SS的IP地址、或是下一跳RS的IP地址、或是寬帶用戶帳號下所登記多個終端的地址信息、串并振順序等。

關于HLR

眾所周知，移動網(wǎng)的智能程度高于PSTN網(wǎng)絡，其中HLR的功勞是無法忽視的。對于軟交換這樣一個新型的網(wǎng)絡更應當借鑒其他網(wǎng)絡的成功之處，在網(wǎng)絡中引入集中的用戶數(shù)據(jù)庫，進行用戶數(shù)據(jù)的集中管理，內(nèi)部可存放所管區(qū)域內(nèi)寬窄帶用戶的業(yè)務屬性（如業(yè)務權限、業(yè)務用戶屬性觸發(fā)條件等）等。由于HLR的存在，使得被叫側業(yè)務可以在主叫側進行觸發(fā)；使得用戶數(shù)據(jù)可以集中存放于一地，解決了采用分離用戶數(shù)據(jù)庫時軟交換異地相互備份時無法將用戶修改的業(yè)務數(shù)據(jù)實時同步到備份軟交換的問題。

HLR采用多機備份方式提高自身可靠性。

關于BAC設備

軟交換業(yè)務邊緣接入控制（BAC）設備是為了解決網(wǎng)絡的安全、QoS、私網(wǎng)穿越等問題而引入的。主要功能包括：

（1）業(yè)務穿越功能

設備支持軟交換用戶和軟交換設備一方處于私網(wǎng)或雙方處于不同私網(wǎng)時用戶業(yè)務的穿越。

設備支持用戶的注冊流程的穿越，不改變用戶的注冊流程，用戶的認證鑒權由軟交換執(zhí)行。

設備支持所有軟交換提供業(yè)務的業(yè)務穿越，不改變業(yè)務流程，不引入業(yè)務安全隱患。

（2）安全保護功能

設備能對終端用戶屏蔽軟交換設備、中繼媒體網(wǎng)關、綜合接入媒體網(wǎng)關、媒體服務器等設備的地址，保護重要網(wǎng)元設備。

設備具備包過濾型防火墻的功能，隔離網(wǎng)絡層攻擊。

設備能阻斷未經(jīng)允許的協(xié)議對軟交換設備的訪問。

設備能進行簡單的應用層攻擊防護，實現(xiàn)部分代理服務型防火墻功能。

設備能根據(jù)業(yè)務需要、用戶安全需求和運營需求屏蔽通信對方地址的能力。

（3）業(yè)務質(zhì)量保障（QoS）功能

設備能對進出設備消息的ToS/CoS的識別、標記和重標記功能，能根據(jù)標記優(yōu)先級進行業(yè)務QOS處理。

設備可支持鏈路QoS參數(shù)探測功能，將QoS參數(shù)統(tǒng)計結果實時上報軟交換或其他制定設備。

（4）業(yè)務控制管理功能

能配合軟交換進行業(yè)務和呼叫控制，能協(xié)助收集、上報軟交換進行呼叫處理需要的用戶參數(shù)。

支持對媒體流的控制管理，可以實現(xiàn)對媒體的轉(zhuǎn)接控制、統(tǒng)計、分析、監(jiān)視、過濾、帶寬控制等功能。

（5）用戶管理功能

設備可與終端配合進行用戶存活狀態(tài)檢測，并將檢測結果上報軟交換處理。

在網(wǎng)絡組織上，BAC設備根據(jù)用戶量大小可放置在城域網(wǎng)匯聚層或接入層，多個BAC設備間相互備份，當一個設備受攻擊停止服務時，可以通過DNS解析到網(wǎng)絡上的其他BAC接替提供服務，備份不受BAC所處網(wǎng)絡位置的限制。

3.解決的問題

實現(xiàn)網(wǎng)絡擁塞控制

對于新建的專用網(wǎng)絡，可以進行帶寬規(guī)劃，配合以SS的呼叫數(shù)控制功能可實現(xiàn)網(wǎng)絡呼叫擁塞控制功能。

首先預先規(guī)劃好兩地之間軟交換業(yè)務可用的數(shù)據(jù)總帶寬；根據(jù)總帶寬、業(yè)務類型計算出可支持業(yè)務的同時連接總數(shù)S；當呼叫請求來到SS，SS首先判斷S當前是否為0，若S＝0，則拒絕此次新呼叫，若S＞0則繼續(xù)處理；當SS完成一個業(yè)務接續(xù)則S＝S－1。

若兩地之間數(shù)據(jù)帶寬發(fā)生變化，則應通知SS進行連接總數(shù)S的修正。

關于SS可靠性

對于承擔窄帶域呼叫控制功能的SS來說，采用主備用雙機工作方式。對于所控制用戶的用戶數(shù)據(jù)將集中存放在HLR中，路由數(shù)據(jù)集中存放在RS中，主機及備用機激活后都可訪問這部分數(shù)據(jù)，至于SS所使用的網(wǎng)關資源相關數(shù)據(jù)則必須預先在備用機中保留備份。該種方式是采用資源閑置冗余的方式獲得SS的可靠性。

對于承擔寬帶域呼叫控制功能的SS來說，可以采用前述的主備用雙機工作方式，但處于更高的設備使用效率考慮，還可以采用多機負荷分擔的工作方式。每個BAC負責n個SS設備（如同一省內(nèi)采用SS進行寬帶域業(yè)務的負荷分擔處理）的控制信息分發(fā)，當其收到SIP用戶發(fā)來的呼叫請求后，會根據(jù)預先設定的話務分配原則（如輪詢等），每個SS具有自己的IP地址，但只對BAC公布。這些SS的功能完全相同，處理BAC送來的呼叫請求，查詢統(tǒng)一的HLR獲得用戶業(yè)務屬性信息及用戶狀態(tài)、查詢RS獲得用戶IP地址進行路由或下一跳SS或業(yè)務平臺，以實現(xiàn)業(yè)務接續(xù)及控制。當某一SS出現(xiàn)故障將影響本次呼叫處理，下一次序新的呼叫請求將會由其他的SS進行處理，網(wǎng)絡業(yè)務處理能力將損失1/n，但不用空置部分SS資源。

BAC實現(xiàn)至SS的呼叫控制信息動態(tài)分發(fā)功能，具有協(xié)議解析功能，能夠根據(jù)應用協(xié)議的參數(shù)識別哪些消息屬于同一呼叫，將其分發(fā)至同一SS進行呼叫處理。BAC自身的可靠性將通過多機備份得到保證。

對于部署在專網(wǎng)內(nèi)的信令網(wǎng)關、中繼網(wǎng)關、大容量用戶綜合接入網(wǎng)關、重要客戶使用的IAD/小容量用戶綜合接入網(wǎng)關等設備，應支持在本機上設置備用SS地址的功能，當主用SS故障退出服務后應能夠?qū)⒑罄m(xù)新的呼叫請求送到備用SS進行處理。

對于部署在公共Internet之上的各類SIP用戶及IAD終端，在用戶側只寫入需訪問的軟交換設備或各類管理及應用服務器（如IAD網(wǎng)管系統(tǒng)、文件服務器等）的域名而非IP地址，通過軟交換網(wǎng)絡的域名解析器DNS解析后返回相應的BAC設備的地址。BAC收到呼叫請求后將首先判別用戶類型（采用協(xié)議類型或是否帶有主機名進行判別），對于IAD用戶的呼叫請求，BAC將根據(jù)預設值將呼叫指向主用SS；對于SIP用戶的呼叫請求，BAC將根據(jù)預設原則（如輪詢等）將呼叫均勻指向一組SS中的一個。

安全問題的解決

首先，軟交換、中繼媒體網(wǎng)關、綜合接入媒體網(wǎng)關、媒體服務器等設備基于專用網(wǎng)絡部署，該網(wǎng)絡可以是新建的專用網(wǎng)或采用MPLSVPN等技術的虛擬專用網(wǎng)，能通過各種手段來實現(xiàn)軟交換設備間的相互通信及軟交換設備和非軟交換設備間的消息隔離，大量的軟交換散戶及其他非軟交換網(wǎng)絡的設備難以直接訪問到這些軟交換網(wǎng)絡設備，大大減小了受互聯(lián)網(wǎng)用戶攻擊的可能。由于軟交換專用網(wǎng)絡中的設備可信任度高，通過信令協(xié)議保障（如認證）、設備管理等手段，基本可以避免專用網(wǎng)絡內(nèi)用戶攻擊。

對于非重要客戶使用的IAD及SIP軟、硬終端等設備，由于設備數(shù)量多、分布廣，將通過各種接入方式快速收斂于BAC設備，通過BAC設備實現(xiàn)與專用網(wǎng)絡中其他設備的互通，此時BAC提供信令及媒體的代理功能及安全檢測及隔離功能。由于IAD及SIP終端分布于用戶側，對軟交換核心設備的安全存在極大的威脅，因此在本方案中，運營商對于IAD或SIP終端應采用用戶零配置方案，運營商應負責所有網(wǎng)絡及用戶數(shù)據(jù)的配置及后續(xù)的更新及修改，用戶無法自行修改數(shù)據(jù)。在用戶側只寫入需訪問的軟交換設備或各類管理及應用服務器（如IAD網(wǎng)管系統(tǒng)、文件服務器等）的域名而非IP地址，避免SS暴露IP地址易受到非法攻擊。

在信令協(xié)議中啟動加密和鑒權機制，SS定期檢測用戶身份合法性，保證SS對網(wǎng)關及用戶的控制權，防止非法用戶對業(yè)務的盜用或干擾。

通過域名解析機制及BAC設備的信令及媒體的全代理功能，對基于公共Internet接入的用戶屏蔽軟交換、中繼媒體網(wǎng)關、綜合接入媒體網(wǎng)關、媒體服務器等設備的地址，保護重要的軟交換網(wǎng)絡設備。

BAC支持訪問控制列表（ACL）功能，能夠根據(jù)源、目的IP地址和端口號設置訪問控制規(guī)則進行報文過濾；能夠針對特定控制協(xié)議進行包過濾，阻擋非法設備及未經(jīng)允許的協(xié)議對軟交換設備的訪問；能進行簡單的應用層攻擊防護，實現(xiàn)部分代理服務型防火墻功能，具體包括：根據(jù)用戶注冊狀態(tài)進行消息的處理，對未注冊用戶發(fā)送的非注冊消息進行丟棄處理；對注冊鑒權失敗的用戶終端建立監(jiān)視列表，當失敗的注冊嘗試達到一定的頻率則采取相應措施；設置IP地址/端口允許的正常信令消息流量值，當1分鐘內(nèi)收到同一源IP和端口的消息超過該值時，將該地址/端口列入黑名單并采取相應措施。

具備根據(jù)業(yè)務需要、用戶安全需求和運營需求屏蔽通信對方地址的能力。

為配合安全的軟交換網(wǎng)絡的實施，各設備需要進行相應的改進，如支持多個網(wǎng)段，可以通過提供多個分離的物理端口或在一個物理端口上支持多個VLAN的方式實現(xiàn)；對媒體端口進行動態(tài)開閉管理；能進行最小化端口設置；面向用戶的服務可采取由Web或Portal面對用戶，進行業(yè)務代理方式來降低風險；設備需要專門的軟/硬件平臺設計等。

QoS問題的解決

目前的IP網(wǎng)絡技術還不能徹底地解決QoS問題，在現(xiàn)有的公共IP網(wǎng)絡上還不能為軟交換網(wǎng)絡提供大規(guī)模地有QoS保障的承載服務。本方案將采用專用網(wǎng)絡+BAC的信令媒體全代理功能對QoS問題進行一定程度的解決。

專用網(wǎng)絡組網(wǎng)可以采用專線、專用IP網(wǎng)、MPLSVPN等方式，MPLSVPN方式要提供QoS保障，仍然需要全IP網(wǎng)絡設備的支持，而目前的IP網(wǎng)絡還不能全程全網(wǎng)地提供QoS。專線和專用IP網(wǎng)方式可以通過網(wǎng)絡流量預測和規(guī)劃，按軟交換業(yè)務需求組織網(wǎng)絡，由于專網(wǎng)專用，使用過程中容易掌握業(yè)務流量和流向的變化，可以及時調(diào)整網(wǎng)絡，通過與軟交換設備呼叫數(shù)控制功能結合，可以有效解決網(wǎng)絡擁塞控制問題。如新建專用網(wǎng)絡，還可以在引進網(wǎng)絡設備時統(tǒng)一考慮設備QoS功能，區(qū)分對待不同業(yè)務等級的軟交換業(yè)務，設置為某些業(yè)務實現(xiàn)帶寬預留。

全代理設備可以根據(jù)不同用戶、不同業(yè)務分別對信令和媒體進行QoS標記，為后續(xù)IP網(wǎng)絡設備的QoS處理提供幫助。在今后的QoS解決方案中，該設備還可以接受軟交換設備或其他QoS控制設備的指令，在呼叫建立階段根據(jù)用戶QoS要求和網(wǎng)絡QoS狀況進行不同的后續(xù)處理（如接續(xù)、拒絕、重定向、更改編碼方式等）。

防止非法業(yè)務旁路

通過在PC機上加載一定的SIP通信軟件的SIP軟終端用戶，可以通過Internet的通達性在世界各地接入運營商的軟交換系統(tǒng)實現(xiàn)通信功能，當用戶在異地使用軟終端呼叫用戶歸屬地其他用戶時，運營商只能收到本地呼叫的費用，而無法收到國際或國內(nèi)長途呼叫收入。另外，某些終端軟件也可能在獲得SS返回的對端用戶地址信息，停止與SS之間的繼續(xù)交互，通過獲得的被叫地址采用其他IP電話軟件直接進行通信，使得運營商幫助其完成了用戶尋址后話務被旁路而無法獲得收益。

以上問題可以通過BAC在一定程度上得到改善。

對于第一個問題的做法是，終端只配軟交換域名，通過DNS解析至應去所屬的SBC；SBC將本身及用戶的IP地址送給軟交換；軟交換進行IP地址分析，判斷用戶的IP地址與使用的BAC的IP地址是否匹配，若相匹配則呼叫接續(xù)繼續(xù)，若不匹配則呼叫拒絕。當然該解決辦法的前提是SS已經(jīng)了解IP地址與地域之間的分布對應關系。

對于第二個問題的做法是，通過BAC設備從信令和媒體上屏蔽通信對端用戶的地址，可以有效防止業(yè)務旁路，并滿足某些業(yè)務（如匿名聊天）的特殊需求，該功能建議由邊緣業(yè)務接入設備完成。

結束語

本解決方案中的重要部件BAC已完成了企業(yè)設備規(guī)范制定，包括產(chǎn)品的功能、性能、相關的協(xié)議擴展等，目前已在信息產(chǎn)業(yè)部通信標準協(xié)會申請立項。已有設備制造商意識到該設備的重要性，完成了該設備的研制。