华为技术培训资料-Quidway Eudemon 2000 系列会话控制器.ppt

QuidwayEudemon2000系列会话控制器,数据通信技术支持,NGN承载网改造需求分析ALG/PROXY工作原理介绍Eudemon2000系列规格介绍Eudemon2000系列解决方案介绍Eudemon2000系列应用案例Eudemon2000系列典型配置案例,汇报提纲,NGN网络结构,3G,业务管理,网络控制,核心交换,边缘接入,固定,SoftX3000,3GAccess,AMG5000,IAD系列,BroadbandAccess,PSTN,TMG8010,SG7000,PLMN,Uniphone,SIP/H.323Phone,SoftX3000,分组核心网,U-NICAAppServer,PolicyServer,iOSS,VideoGW,U-Path,POTS,UMG8900,3G终端,UMG8900,MRS6000,2G终端,IN,需求根源,企业网,驻地网,私网,？,VPN专网,公网,软交换,NGN专网,问题1用户接入方式日趋多样化、复杂化，软交换位于公网，如何发展企业/驻地等私网用户？,问题2运营商自建IP城域网，规模放号如何解决IP地址紧缺问题？,问题3NGN采用专网搭建，软交换设置私有地址域，终端如何注册到软交换？,从需求根源中我们会遇到的各种问题,私网穿越问题私网终端管理问题IP超市/集团用户业务开展问题QOS问题带宽、业务盗用问题软交换安全问题,1、私网穿越问题,Softx,NAT,Firewall,NGN终端,NGN专网,企业网,企业网,NGN终端,终端侧采用私网地址,SoftSwitch侧采用私网地址,需要解决私网地址环境下基本视频、语音功能：不同企业地址域重复NGN专网地址域与企业地址域重复IAD终端如何注册到SoftSwitchIAD终端主动呼叫外网用户在NAT后的IAD终端接受来自外网的呼叫,2、私网终端管理问题,Softx,NAT,Firewall,NGN终端,NGN专网,企业网,企业网,NGN终端,需要解决私网地址环境下对终端的可管理性：解决IAD终端与IADMS之间的注册问题需要支持IADMS对IAD终端的状态查询需要支持IADMS对IAD终端进行配置需要支持统一升级IAD终端软件,终端侧采用私网地址,IADMS采用私网地址,IADMS,3、IP超市/集团用户业务开展问题,Softx,NAT,Firewall,NGN终端,NGN专网,话吧,企业网,NGN终端,需要解决私网地址环境下IP超市等业务的可运营性：通过话务台进行话单管理，计费结算等功能话务台的呼叫控制、总机服务功能，如电话转接、免打扰等功能U-Path话务台对IPCentrex用户进行集中管理,UPath采用私网地址,SoftX采用私网地址,4、QOS问题,汇接POP,用户驻地网,IAD,目前网络缺乏对语音、视频、数据等业务进行划分的能力,承载网的QOS问题：,5、带宽、业务盗用问题,业务盗用：NGN终端用户之间可直接互通。终端用户间可能不经过SoftSwitch直接进行互通：比如先通过SoftSwitch得到对方号码对应的IP地址，然后直接呼叫该地址。带宽盗用：用户建立连接协商的带宽是64K，但实际可能使用超过这个带宽。,城域网,Internet用户,Internet用户,IAD,IAD,Softx,带宽盗用：没有带宽限制，可以多使用点带宽。,业务盗用：NGN终端始终是连通的，没有呼叫，也能够通信。,6.1、软交换安全问题,SoftSwitch直接对终端可见，终端可以直接访问到SoftSwitch。需要解决对SoftSwitch的流量攻击问题。大量语音业务无关报文：在接入PCPhone用户的时候，PC可能发出大量语音无关报文，如ICMP相关报文，NetBiosoverTCP/IP的相关报文；影响SoftSwitch对正常报文的处理。大量语音相关报文：在无意中将测试设备接入NGN网络，导致SoftSwitch根本无法处理正常报文，引起全网瘫痪；或者是接入了发大量信令报文的黑客程序，也将导致全网瘫痪；,NGN核心网,PCPhone,PCPhone,特殊设备,IAD,Softx,通过设备过滤规则，防火墙设备可以阻断语音无关的报文，但无法阻断语音相关的报文,PC用户发出大量语音无关报文,特殊设备发出大量的信令报文,SoftSwitch的处理能力是有限制的,6.2、软交换安全问题,需要解决对SoftSwitch的非法信令报文的攻击。畸形信令报文攻击：恶意程序伪造信令报文，报文各个区段内容随意填写，无法正常解码；浪费SoftSwitch的处理资源，还有可能导致SoftSwitch内存泄漏等问题。状态错误的信令报文：存在IAD等设备设计不完善，发出错误信令报文的情况，浪费SoftSwitch的处理资源；,NGN核心网,PCPhone,PCPhone,特殊设备,IAD,Softx,防火墙设备无法阻断语音相关的报文,恶意程序伪造信令报文,SoftSwitch的处理能力是有限制的,6.3、软交换安全问题,需要防止NGN核心网被黑客入侵其他设备如果采用公网地址，将导致NGN核心网安全性进一步降低其他如TG等设备同样存在被流量攻击等风险；采用通用操作系统的设备存在被入侵的可能。在一个设备被入侵后，该设备将成为继续入侵的跳板，会对NGN网运营造成重大影响。,NGN核心网,PCPhone,PCPhone,IAD,IAD,Softx,黑客可能来自世界各地,网管,U-NICAAppServer,PolicyServer,iOSS,MRS,IN,黑客,NGN承载网改造需求分析ALG/PROXY工作原理介绍Eudemon2000系列规格介绍Eudemon2000系列解决方案介绍Eudemon2000系列应用案例Eudemon2000系列典型配置案例,汇报提纲,NATALG原理,NAT：网络地址转换，ALG：ApplicationLayerGateway，应用层网关。部分应用协议在报文内部携带了IP地址地址信息。一般的NAT设备只处理IP层的信息，不处理报文内部的内容，ALG设备需要对H323/SIP/MGCP等协议的数据区的私网IP地址信息进行特殊处理。,IPHeader,TCP/UDPHeader,TCP/UDP数据区,而软交换使用的SIP/H.323/MGCP/H.248等协议，在数据区携带了私网IP地址信息，需要防火墙/NAT设备做特殊处理,普通NAT设备只处理IP头以及TCP/UDP头，不处理携带的数据,PROXY机制信令流,信令PROXY终端：终端只能看到PROXY，注册的地址填的是PROXY的地址；PROXY将IP地址等信息修改后转给SoftSwitch进行处理。SoftSwitch：PROXY就是用户。用户作为被叫时的呼叫请求都会先发给E2000，E2000经过信令处理后再转发给被叫用户Eudemon通过对信令的处理和分析，得到本次会话的地址变换情况，带宽需求等QoS信息以及通过会话状态信息来控制媒体流的通过与关闭，起到网络保护，防带宽盗用等,Eudemon2000,IAD配置的SoftSwitch为E2000的地址,SoftSwitch上看到的用户来自于Eudemon2000,对IAD及SoftSwitch的信息分别作修改并转发,PROXY机制媒体流,媒体RELAY所有的媒体流都经过PROXY进行转发。因此PROXY可以提供QOS重标记、CAC等功能。Eudemon2000分配自己的IP地址和端口分别作为内网用户和外网用户RTP的接收地址和端口，通过这种方式媒体流都能得到正确转发、QoS保证与安全控制IPCentrex业务的媒体流可以不经过Relay，直接互通,Eudemon2000,在私网IAD上看到对端地址为E2000的入接口地址,在公网IAD上看到的私网IAD地址为E2000的出接口地址,对私网IAD及公网IAD的报文分别作修改并转发,私网IAD,公网IAD,入方向,出方向,ALG/Proxy工作机理比较,NATALG方式只适于解决私网地址穿越问题，QOS、安全等问题无法解决。NATALG设备需要放置在私网、公网交界处，一般位于企业出口；而PROXY方式可以放置在IP可达的任意位置，组网位置不受限。一般情况下，NATALG设备无法多个企业共用。NATALG方式对功能影响较小，因此NATALG方式可作为PROXY组网方式的一个有益补充。,企业网,城域网,Firewall/NAT,IAD,企业网,Firewall/NAT,RegisterResponse,RegisterRequest,NATwithALGFunction,NATwithALGFunction,IAD,软交换,ALG、PROXY对比（答疑胶片、不可直接递交局方）,为何PROXY方式对H323处理有困难：与SIP、MGCP不同，H323中的Q931、H.245信令采用了TCP协议TCP采用三次握手，具有方向性无法透过NAT设备直接向私网终端发起TCP连接,来自外网的TCP的SYN报文无法穿越NAT设备,私网IAD,公网IAD,NAT设备,SYN,SYNACK,ACK,设备2,设备1,X,TCPSYN报文,TCP采用三次握手机制，具有方向性,必须在NAT内部添加客户端软件，才有可能解决PROXY方式下H323的穿越,ALG、PROXY对比（答疑胶片、不可直接递交局方）,为何PROXY方式需要收发端口一致：PROXY是学习型设备无法透过NAT设备主动向私网终端的接收端口发送报文语音/视频是有方向性的，分为“说”和“听”两个方向；PROXY可以学习到私网终端发端口的NAT后的地址，但无法学习到收端口NAT转换后的地址，因为“听”方向并不发送报文。,当发方向的报文到达Proxy设备时，Proxy就可以学习到发方向的NAT后的地址信息。如果收发端口不统一，报文就发不回去。,私网IAD,NAT设备,在NAT内部添加客户端软件，可以解决PROXY方式下收发端口一致的问题,主动发(说),被动收(听),Eudemon2000,发：NAT后的报文,两种方式对比,ALG、PROXY应用场合,在有如下需求之一时，建议采用PROXY方式解决：位置要求在城域汇聚层，需要接入Internet语音用户NGN采用专网构建，SoftSwitch采用私有地址域企业用户原有的NAT设备不能替换，原有网络路由不能改动可能穿越多个NAT设备需要支持IADMS，需要支持IP话务台功能提供语音、视频报文的QOS标记防止带宽盗用、防止业务盗用需要提供非法信令报文检测功能,在如下情况时，建议采用ALG方式解决：位置处于企业出口（NAT设备作为网关），SoftSwitch位于公网（相对）大量采用H.323协议收发端口无法一致,NGN承载网改造需求分析ALG/PROXY工作原理介绍Eudemon2000系列规格介绍Eudemon2000系列解决方案介绍Eudemon2000系列应用案例Eudemon2000系列典型配置案例,汇报提纲,基于软交换的整体解决方案,汇接POP,驻地网/企业网/IP超市,IAD,骨干POP,Eudemon防火墙系列,软交换,MA5200F,Eudemon2000会话控制器系列,网管/OSS,智能网,企业通讯助理,IP话务台,华为可提供完整的NAT穿越解决方案,Eudemon2000系列,Eudemon2100,Eudemon2200,Eudemon2300,Eudemon2000系列特性,工作模式和组网方式：支持NGN多媒体业务穿越NAT/防火墙支持单域/多域模式支持代理多个软交换支持在驻地网、企业网中应用，接入Internet用户和其它运营商的用户支持在城域网汇聚层的应用，实现多个企业网、驻地网跨NAT通信支持基于会话流的NAT处理，接入多个企业时，企业IP地址可以重复NGN专网的地址域可以与企业地址域重复QoS：支持流分类、流量控制、拥塞管理支持基于Diff-Serv的报文优先级重标记安全：防止业务盗用和带宽盗用支持ACL过滤规则支持根据资源情况对呼叫进行控制根据会话状态而允许相应的报文通过（针孔式防火墙）,Eudemon2000系列特性（续）,应用：支持SIP、MGCP、H.323等代理支持话务台代理功能支持IADMS代理功能支持收发端口不一致（多域模式下与客户端配合实现）基本特性：支持VLAN支持静态路由支持策略路由管理：支持命令行分级保护支持远程Modem拨号、Telnet方式配置管理支持SSH方式进行安全的维护管理支持SNMP统一网管,Eudemon2000系列特性（续）,NGN承载网改造需求分析ALG/PROXY工作原理介绍Eudemon2000系列规格介绍Eudemon2000系列解决方案介绍Eudemon2000系列应用案例Eudemon2000系列典型配置案例,汇报提纲,在驻地网/企业网中的应用方式,方案特点,适用场合：应用于安全性要求高的企业网（内外网为不同IP地址域）、用户数比较多的驻地网（内外网为不同IP地址域）。设备位置：Eudemon2100部署在企业网的DMZ（DemilitarizedZone）区域、出口路由器的边缘，或驻地网出口BAS（BroadbandAccessServer）或L3Switch设备的边缘。应用特点：企业网、驻地网内直接部署会话业务类终端，在出口处布置Eudemon2100设备，无需其它网络改动，企业原有的NAT/FW设备继续工作。Eudemon2100为企业网、驻地网内用户的会话业务提供信令代理、媒体转发功能，实现QoS、安全和地址转换。企业网、驻地网内用户的数据业务不经过该设备，经NAT/FW处理后直接通过出口路由器或BAS设备转发到外部网络。,在城域网汇聚层的应用,方案特点,适用场合：应用于城域网汇聚层，连接安全性要求不高的企业网（内外网为不同IP地址域）、用户数不多的驻地网（内外网为不同IP地址域）。设备位置：Eudemon2100部署在城域网汇聚层设备L3Switch、边缘接入路由器的边缘。应用特点：Eudemon2100/2200为企业网、驻地网内用户会话业务提供信令代理、媒体转发功能，实现企业网/驻地网出口NAT/FW的穿透。企业网、驻地网内用户的数据业务不会经过该设备，直接由汇聚层设备L3Switch或路由器进行转发。企业网、驻地网出口的NAT/FW设备将会话业务当作普通数据业务进行处理。企业网、驻地网内直接部署会话业务类终端即可，无需任何网络改动。,IP超市或NGN接入Internet用户的运用,方案特点,适用场合：当运营商借助NGNVPN网络接入Internet用户（如IP超市）时采用。设备位置：运营商NGNVPN网络至Internet的出口路由器边缘。应用特点：在NGNVPN网络与Internet出口路由器的边缘部署Eudemon2100设备、在企业网、驻地网内直接部署会话业务类终端、IADMS设备即可即可，无需其它网络改动。将Internet用户（IP超市、网吧等）接入运营商NGN网络，为Internet用户提供会话业务，并为会话业务提供信令代理、媒体转发支持。,NGN承载网改造需求分析ALG/PROXY工作原理介绍Eudemon2000系列规格介绍Eudemon2000系列解决方案介绍Eudemon2000系列应用案例Eudemon2000系列典型配置案例,汇报提纲,山西电信应用,通过VLAN+MPLS-VPN技术解决NGN网络的安全性全网部署QoS保证NGN网络业务得到优先转发和带宽保证通过Eudemon2000解决NAT/Firewall穿越和不同VPN互通问题,NGNMPLSVPN（逻辑网）,softswitch,数据网,L2,PE,PE,AMG/IAD,S8016,L3/L2,TMG,MRS,AS,企业Intranet,核心设备,OSS,NAT/Firewall,S8016,L3,传真,可视电话,上网,Eudemon2000,可视电话,山西电信IP网,卫通应用,SoftX3000,IP网吧3（私网地址）,IAD,话务台,IAD,IP话吧1（私网地址）,FW/NAT,卫通NGN网,话务台,IP网吧2（私网地址）,IAD,Lanswitch,IADMS,IADMS,iManagerN2000,Eudemon2000,Lanswitch,FW/NAT,SoftX3000,卫通NGN网,北京,广州,话务台,Lanswitch,FW/NAT,Router,Router,uniphone,uniphone,uniphone,Eudemon2000在网通NGN试验网中的应用,Eudemon2000,CNC宽带网（10.X.X.X私网公用）,SoftX,PSTNPLMN,智能网,分公司用户,ISAServer,SIP信令流,SNMP报文流,MGCP信令流,公网Internet,网管,OA办公网（192.168.X.X）,NGN承载网改造需求分析ALG/PROXY工作原理介绍Eudemon2000系列规格介绍Eudemon2000系列解决方案介绍Eudemon2000系列应用案例Eudemon2000系列典型配置案例,汇报提纲,组网,SoftX3000100.100.30.10/16IADMS100.100.30.100/16|+-+|Eth0/0:100.100.20.80/16L3-DEVICE|Eth0/1:182.168.10.1/24|Eth0/0:182.168.10.2/24EUDEMON2100|Eth0/1:172.168.10.1/24|Eth0/0:172.168.10.2/24NAT|Eth0/1:192.168.10.1/24|+-+-+-+|MGCPIADSIPPHONEH323IAD/PHONETRAVERSE-CLIENT192.168.10.11/24192.168.10.12/24192.168.10.13/24192.168.10.14/24,基本配置,Sbcappmodemulti-domainSbcaddrmapclientaddr172.168.170.1serveraddr182.168.10.2softxaddr100.100.30.10iadmsaddr100.100.30.100Sbcwellknownportmgcp2727Sbcwellknownportsip5060Sbcwellknownportras1719Sbcwellknownportq9311720Sbcwellknownportsoftxaddr100.100.30.10mgcp2727Sbcwellknownportsoftxaddr100.100.30.10ras1719Sbcwellknownportsoftxaddr100.100.30.10sip5060Sbcwellknownportsoftxaddr100.100.30.10q9311720Sbcportrangesipbegin-port10000end-port11999Sbcportrangemgcpbegin-port12000end-port13999Sbcportrangerasbegin-port16000end-port17999Sbcportrangeq931begin-port10000end-port11999Sbcportrangeh245begin-port12000end-port13999Sbcportrangemediabegin-port18000end-port65535Sbctimernat-refresh5SbcsipcheckheartbeatenableSbcudpchecksumenable,典型配置附件,Eudemon2000常见问题案例,【案例1】H323Proxy模块已经使能，RAS的端口范围已经配置，NAT下的OpenEye（H323）所在PC可以ping通Eudemon，但OpenEye（H323）不能注册成功；=可能原因：原因1:从Eudemon到SoftX的路由不通，检查Eudemon上策略路由的配置，使从Eudemon可以ping通SoftX；原因2:没有在Eudemon上配置SoftX的RAS知名端口，检查知名端口的配置；,Eudemon2000常见问题案例,【案例2】同一NAT下的MGCP用户和OpenEye（H323）用户成功注册到DUT，呼叫OpenEye（H323）-MGCP通话正常，而反向呼叫，MGCP-OpenEye（H323），信令不通，MGCP用户听忙音。=可能原因：原因1:在NAT下没有启用Traverse-client，NAT下的H323终端做被叫时，NAT上没有建立相应的NAT表项，信令消息不能到达NAT下的被叫，呼叫不能成功；原因2:可能OpenEye（H323）用户先于Traverse-client注册，导致H323做被叫暂时不通，重注册OpenEye就会通话正常；原因3:可能Traverse-client上配置的NAT信息与实际的NAT配置不一致，如NAT配置为EasyIP，而Traverse-client配置为NATPOOL。,Eudemon2000常见问题案例,【案例3】Eudemon2100上下行网口是否可以在一个网段?一个接口的主地址和从地址可以在一个网段。但是两个物理接口不可以在同一个网段。比如：interfaceEthernet0/0duplexfulldescriptionConnect_to_Eudemon100ipaddress10.101.16.202255.255.255.248ipaddress10.101.16.203255.255.255.248sub,Eudemon2000常见问题案例,【案例4】Eudemon2000系列有几种应用模式?有两种，多域模式与单域模式。多域模式：当Eudemon2000系列前端接有NAT设备，或前端同时接有NAT设备和IAD设备时，则工作在多域模式下，此时Eudemon2000系列将定期向NAT设备发送UDP报文来刷新NAT表项，以维持地址转换关系不发生变化。单域模式：当Eudemon2000系列前端没有接入NAT设备时，则工作在单域模式下。3.20-0308版本之后系统默认工作在多域模式下。但是如果存在单域和多域混合的情况就配置成为多域。,Eudemon2000常见问题案例,【案例5】如果终端注册不上或出现注册成功但很快又掉线，需要注意哪些?工作模式是否配置正确（appmode命令设置的），当Eudemon2000系列前端接有NAT设备，或前端同时接有NAT设备和IAD设备时，需要配置为多域模式；Eudemon2000系列与软交换之间必须路由可达。注意timerrefresh设置的时长需要小于组网中的NAT/FW设备上的NAT老化时间，建议配置小于为其1/2的时间，一般NAT设备NAT老化时间为30秒，我们最小可以配置为5秒；对于MGCP用户，在网络状况不好的情况下，可以使用timermgcp命令适当地将MGCP定时器配置长一些。默认为1分钟，可以更改为5到10分钟。,Eudemon2000常见问题案例,【案例6】是否可以同时使用Eudemon2100的NAT功能和信令代理、媒体中继功能？强烈建议不要将两者同时使用。建议使用Eudemon2100的信令代理、媒体中继功能。NAT和路由功能要由网络中其它设备来实现。,Eudemon2000常见问题案例,【案例7】IAD发出注册消息后是否Eudemon2000就会允许其注册