终端的任意请求消息,则本轮不向该H.248终端发送心跳消息。
2)H.248终端发送的心跳消息;
H.248终端通过Notify心跳消息向BAC上报终端存活信息,BAC将H.248
终端控制发起的心跳消息默认直接转发给核心侧处理。当需要减少网络上因大量H.248终端向BAC发起的频繁心跳导致的流量时,BAC通过配置选择一定时间间隔内不转发给核心侧处理,根据BAC设备感知的当前核心侧状态直接给终端回复相应的应答消息或转发给核心侧处理。 ? 现网使用建议: 现网使用建议要求如下:
(1) IMS H.248终端与BAC之间的心跳检测和NAT通道保活,主要采用
H.248终端发送BAC发送Notify心跳消息机制实现;BAC关闭向H.248终端发送心跳消息的功能,同时支持通过监测核心网AGCF向终端发的心跳消息的响应情况来检测终端的状态。
(2) 终端向BAC发送Notify消息的定时器时长要求:时长为 5分钟;BAC
向AGCF转发N otify消息的定时器时长要求:10分钟;
3、对BAC处理性能的影响
由于不同厂家在对心跳检查处理机制不同,对BAC的影响具体可见 附件1
2.2.2 BAC与P-CSCF/I-CSCF之间的心跳检测
1、BAC与P-CSCF之间的心跳检测 ?
探测机制和路由容灾实现
BAC与P-CSCF之间采用SIP协议的OPTIONS消息进行设备级的心跳探测,便于BAC及时发现当前P-CSCF或软交换设备的状态并在发现对端故障时采取相应的措施。
BAC应向所有P-CSCF路由组内的所有P-CSCF发送心跳消息,发送间隔可配。BAC选用一个P-CSCF为终端完成初始注册后,该终端的所有后续注册消息和其它消息都应送往当前P-CSCF,实现终端同一注册周期内到P-CSCF的持久附着直
到P-CSCF发生故障。
当IMS BAC探测到至某一P-CSCF的路由故障,BAC将标记该P-CSCF为故障节点, 对经附着在该P-CSCF上的用户的业务请求(非注册)返回错误,并把通过故障P-CSCF节点注册终端的注册缓存失效,在终端下一次注册刷新时,把终端的注册消息送往其它备用设备进行处理注册,完成终端到新的可用P-CSCF的附着。
当BAC确认地址列表中所有路径都处于故障状态时,BAC可直接向发起初始请求的用户回送合适的失败消息。 ?
现网使用建议: 现网使用建议要求如下:
(1) 本地网BAC与归属一对P-CSCF之间建立心跳检测关,采用OPTION消
息。
(2) BAC向P-CSCF之间发送OPTION的定时器时长要求:时长为900秒;
2、P-CSCF与BAC合设时与I/S-CSCF之间的心跳检测 ?
探测机制和路由容灾实现
对IMS BAC,当P-CSCF与BAC合设时,与I/S-CSCF之间采用OPTIONS消息进行心跳探测,实现方式主要有两种心跳检测模式:主动式探测和启发式探测。
1)主动式探测
BAC周期性地发送OPTIONS消息探测主用和备用I/S-CSCF,当探测到I/S-CSCF故障时,可采取措施对后续信令进行相应处理。当探测到I -CSCF故障时,BAC应将该I-CSCF标记为故障,后续所有信令都不向该端点发送,而应向其它的正常的备用端点发送。对故障I-CSCF应继续进行探测,直到该网元恢复。 2)启发式探测
BAC在发送消息(Register、Invite等)发生无响应等失败情况下即启动OPTIONS消息探测I/S-CSCF,当探测到I/S-CSCF故障时,可采取措施对后续信令进行相应处理。当对该端点检测到故障时, BAC应将该I-CSCF标记为故障,后续所有信令都不向该端点发送,而应向其它的正常的备用端点发送。
对故障I-CSCF应继续进行探测,直到该网元恢复。 ?
现网使用建议: 现网使用建议要求如下:
(1) 当BAC与BAC合设时,与归属I/S-CSCF之间建立心跳检测采用启发
式探测
(2) BAC向I/S-CSCF之间发送OPTION的定时器时长要求:时长为 3分钟;
2.3 SIP头域消息规范化处理
1、SIP头域规范处理的要求 BAC规范处理的范围:
? 对于SIP消息头,BAC可能够处理Via头、Route头、Record-Route
头、以及Contact头中的地址信息;
? 对于SDP,BAC可能够处理o行,c行和m行的地址信息。 ? 支持Service-Route头域、P-Access-Network-Info头域的处理。 BAC规范实施手段: ? 添加: ? 删除: ? 替换; 2、现网实施的建议
最基本的BAC SIP头域规范化处理要求:
1)当收到用户发起呼叫的PPI和FROM消息头不带有用户归属域名的,BAC
直接实施规范化处理,将其规范为标准的SIP URI格式。
现网存在大量不同厂家的SIP终端及SIP PBX设备,为了满足这些设备与IMS网络之间在SIP消息的兼容性,主要通过BAC设备进行实施。建议现网可根据不同的需求灵活掌握BAC SIP头域消息规范化处理的实施方法。
2.4 总结
BAC在关于协议处理方面,必须关注以下主要事项:
1)BAC必须开启PPI(P-Preferred-Identity)消息头中的用户身份检查功
能;
2)由于心跳检测对BAC性能存在较大影响(具体心跳性能负荷可见附件
5.1),因此在现网实施过程中,必须在日常维护密切注意NAT用户所占总用户数的比例,若NAT用户占比较高时,BAC的性能完全被心跳检查所消耗。根据当前厂家计算公式,华为BAC(SE2600)的NAT用户占比达到40%以上,系统性能已经达到极限,需要实施扩容。因此现网实施中,必须密切关注。同时在BAC日常维护中,建议BAC支持统计NAT用户和非NAT注册用户的数量,及时给维护部门提供指标数据。
3)BAC针对PPI和FROM消息头不带有用户归属域名的呼叫消息实施规范化
处理,将其规范为标准的SIP URI格式。
三、安全防护
网络攻击可以入侵或引起网络服务器故障,偷取服务器上的敏感数据甚至中断服务器业务。当有网络攻击的时候,业务性能降低甚至导致业务中断。BAC部署于网络的边缘,是网络接入侧的第一入口点,用于保护核心网免受各种攻击。BAC在安全防护方面主要有以下几个方面进行加固。
? IP层防攻击 ? 信令层防攻击 ? 媒体层防攻击
3.1 IP 层防攻击 3.1.1 IP过滤防火墙
1、IP 过滤防火墙功能介绍
其主要功能隔离网络层攻击,BAC有抵御IP层攻击的能力,对于IP层的攻击,BAC能够进行识别、分类和适当的处理,从而保护核心网免受IP
层的各种攻击,可抵御的攻击包括但不限于以下几种: (a) IP spoofing (b) Syn flood (c) ICMP flood (d) UDP flood (e) Ping of Death (f) Large ICMP (g) Tear drop (h) Land attack (i) WinNuke attack (j)IP sweep attack (k)Port scan ? 底层过滤引用:
SBC开启某项服务后,上层应用创建的socket下发至防火墙,底层防火墙socket过滤,对包的目的ip和目的port进行过滤,如果上层没有开启此应用,则直接丢弃此报文,如果开启此项应用,则放行。
? uRFP协议应用:
BAC与公网路由器SR或CN2 CE 之间启用uRFP协议,URPF主要是为了防止分布式拒绝服务攻击。
基本原理:通过获取IP报文利用的源地址和入接口,以源地址为目的,在转发表中查找源地址对应的接口是否与接收数据包的接口一致,如果不一致则认为源地址是伪造的,丢弃该报文。uRFP协议主要有三种类型URPF,分别是严格的URPF(sRPF),松散的URPF(lRPF),忽略缺省路由的URPF(lnRPF)。
类型 处理机制 适合场景 严格的URPF(sRPF) 用收到报文的源地址进行路由(包括缺省路由)查找,BAC处于路由判断返回路径的出接口与该报文达到的入接口是否一致。如果一致则转发报文,否则进行ACL匹配 松散的URPF(lRPF) 用源地址进行路由(包括缺省路由)查找,找到且为非缺省路由则进行转发;找到为缺省路由,判断是否BAC处于路由非对称IP网对称IP网络