первая страницаenglish versionкарта сайта
НТЦ Натекс
о компании новости публикациипродуктыподдержкапартнерыпродажаконтакты



Современные сети телефонной связи на базе технологий NGN и IMS
А. Коротовских, руководитель проектов ГК НАТЕКС, 2010-10


В этой статье мы остановимся на некоторых практических аспектах применения решений на базе технологий NGN и IMS на различных сетях связи. Первым аспектом, который хотелось бы затронуть, является безопасность. Ни для кого не секрет, что в качестве средства защиты от атак и несанкционированного доступа операторы используют специализированные межсетевые экраны SBC (Session Border Controller - пограничный контроллер сессий), предназначенные для работы в сетях VoIP и устанавливаемые на интерфейсе "пользователь-сеть" или между сетями двух операторов (см. рисунок).

рисунок

Защита от атак несанкционированного доступа

SBC обеспечивают оператору защиту оборудования от атак, сокрытие топологии сети, проксирование и транскодирование голосового и сигнального трафика. Однако, если в качестве сети передачи данных используется недоверенная сеть (например, Интернет), опасности также подвергается оборудование пользователя.

Одной из атак является сканирование сети Интернет на предмет наличия в ней VoIP-шлюзов, работающих по протоколу SIP, на которые посылаются сообщения вызова INVITE c номерами дальней связи. Если шлюз не защищен и имеет интерфейсы FXO или E1, то вызовы уходят в сеть общего пользования. В конце месяца владелец шлюза получает весьма внушительный счет на оплату.

На шлюзы с FXS портами или IP-телефоны может быть направлена VoIP СПАМ-рассылка, в этом случае, снимая трубку после звонка, пользователь слышит рекламное сообщение.

Еще один неприятный момент связан с тем, что если злоумышленник перехватывает незашифрованный голосовой и сигнальный трафик, передаваемый между шлюзом и встречным устройством, то разговоры пользователя прослушиваются. Кроме того, становятся доступной информация о номерах вызываемого и вызывающего абонентов, длительности их разговора и др.

Наиболее простым средством защиты абонентских шлюзов является регистрация на прокси-серверах операторов с последующей аутентификацией вызовов. Также рекомендуется использовать ограничение вызовов с IP-адресов, не входящих в "белый" список.

Для более надежной защиты сигнального трафика можно использовать SIP поверх протокола TLS, а для защиты голосового трафика - SRTP (Secure Real Time Protocol). Защиту трафика можно осуществлять на более низком уровне, организуя IP-телефонию по VPN-туннелям и шифрование трафика на недоверенных участках сети.

Шифрование трафика создает дополнительную нагрузку на оборудование, что в свою очередь влияет на его стоимость. Кроме того, далеко не все шлюзы поддерживают эти протоколы. При построении сети на базе VoIP не стоит пренебрегать ее защитой и использовать для этого доступные средства, руководствуясь необходимым уровнем защиты.

Вопросы проксирования и защиты трафика перекликаются с необходимостью работы устройств в различных IP-сетях, в том числе с возможностью осуществления звонков между шлюзами, находящимися за NAT. Данная задача решается с помощью proxy-серверов, которые могут обеспечить проксирование голосового RTP-трафика. Такие сервера, как правило, работают с маршрутизируемыми в рамках всей сети IP-адресами, что обеспечивает их доступность из любого сегмента сети, в том числе находящегося за NAT.

Более подробно останавливаться на данной технологии не будем, а обозначим услугу "Виртуальная АТС", в последнее время она все более популярна. "Виртуальная АТС" подразумевает выделение на программном коммутаторе группы абонентов (например, для одной организации) с предоставлением ей некоторого количества номеров общего пользования, а также возможности звонить друг другу по коротким трех - или четырехзначным номерам.

В офисе компании устанавливаются VoIP-шлюзы и IP-телефоны. Очевидно, что в рамках сети устройства не будут иметь внешних IP-адресов, и для осуществления любых звонков разумным было бы применение именно функционала proxy-сервера.

Оставив за скобками задачи настройки необходимого качества обслуживания VoIP-трафика в локальной сети и на внешнем канале, можно увидеть, что при прямом подходе к проксированию весь внутриофисный трафик будет проходить через оборудование оператора, при этом на каждый звонок будет устанавливаться два голосовых потока данных.

В крупных компаниях внутренний трафик может быть значительно больше внешнего. Это не только нагружает канал передачи данных между proxy-сервером и офисом, вносит задержки в прохождение сигнала, но и снижает пропускную способность телефонного оборудования узла связи оператора, поскольку проксирование RTP-трафика требует существенных ресурсов по сравнению с обработкой только сигнального трафика.

Голосовой трафик, который уходит во внешние сети подлежит проксированию не только из-за необходимости защиты сети и подключения абонентов, находящимся за NAT, но и в связи с необходимостью обеспечения функционала СОРМ. Таким образом, полностью отказаться от данного проксирования нельзя. Зачастую нет объективных причин пропускать через proxy-сервер внутриофисный трафик, поэтому в оборудовании должна поддерживаться возможность гибкой настройки, когда можно указать необходимость проксирования голосового трафика.

Еще одной интересной задачей является наличие общей адресной телефонной книги, что с успехом решалось с помощью системных аппаратов в офисных АТС большинства производителей. С переходом на IP любой IP-телефон может быть подключен к АТС, при этом далеко не все производители, как телефонов, так и IP-АТС, решили вопрос о формировании телефонной книги.

Одно из интересных решений предлагает компания "НАТЕКС". Серия телефонных аппаратов на базе IP поддерживает возможность формирования и загрузки на них телефонной книги. Специальное приложение, установленное на компьютере администратора, позволяет редактировать телефонную книгу и загружать ее на телефоны по локальной сети. Такое решение дает возможность использовать эти телефоны в VoIP-решениях на базе программных коммутаторов других производителей.

Последняя тема, которую хотелось бы затронуть, касается конвергенции услуг фиксированной и мобильной связи (Fixed Mobile Convergence - FMC). Полноценно ее может обеспечить, пожалуй, только оператор сотовой связи. Тем не менее, ряд производителей программных коммутаторов предлагают такую возможность в своих решениях. Например, в коммутаторе к офисному номеру сотрудника можно привязать его мобильный номер. В зависимости от настроек может звонить либо мобильный, либо офисный аппарат, либо оба одновременно, доступны все виды переадресаций.

Удобной также является возможность перевод вызова с офисного телефона на мобильный во время разговора. Стоит оговориться, что перевод разговора с мобильного аппарата на офисный доступен, если вызов был совершен посредством FMC-функционала оборудования.

Отметим, что все вызовы на мобильные телефоны сотрудников офиса будут занимать дополнительные соединительные линии. Очевидно, что оператору фиксированной связи это выгодно, так как услуга создает дополнительный телефонный трафик и соответственно, приносит дополнительную прибыль.

Если же услуга FMC реализована на офисной АТС предприятия, то важно обеспечить необходимое количество каналов между АТС и оператором связи, через которого вызовы будут совершаться на мобильные телефоны сотрудников. В зависимости от внутренней политики, компания может подключить услугу FMC только определенной группе абонентов, или для исключения неоправданного увеличения нагрузки на линии связи и расходов предприятия целесообразно проведение с сотрудниками разъяснительной работы.

Конечно, существует множество вопросов, задач и проблем, связанных с функционированием сети на базе VoIP-технологий. Необходимо выявлять потребности конечных пользователей и общими усилиями операторов связи, интеграторов и производителей оборудования разрабатывать и внедрять современные решения, что в свою очередь позволит компаниям оставаться в числе лидеров отрасли, обеспечивая стабильность работы в долгосрочной перспективе.

Журнал "Вестник связи", №10 2010 г.







назад наверх

Сайт разработан © ООО "Компания Кэрриком"