AE003101-Eudemon2000系统原理与硬件ppt课件.ppt

AE003101Eudemon2000系统原理与硬件 1 0 参考资料 info server 3 中文归档 0109 安全产品 04 Eudemon防火墙info server 3 中文归档 0109 安全产品 05 Eudemon2000系列 学习目标 了解ALG PROXY的工作原理掌握Eudemon的硬件规格了解Eudemon的解决方案 学习完本课程 您应该能够 课程内容 第一章NGN承载网改造需求分析第二章ALG PROXY工作原理第三章Eudemon2000系列规格第四章解决方案与应用 NGN网络结构 需求根源 私网穿越问题 需要解决私网地址环境下基本视频 语音功能 不同企业地址域重复NGN专网地址域与企业地址域重复IAD终端如何注册到SoftSwitchIAD终端主动呼叫外网用户在NAT后的IAD终端接受来自外网的呼叫 私网终端管理问题 需要解决私网地址环境下对终端的可管理性 解决IAD终端与IADMS之间的注册问题需要支持IADMS对IAD终端的状态查询需要支持IADMS对IAD终端进行配置需要支持统一升级IAD终端软件 IP超市 集团用户业务开展问题 需要解决私网地址环境下IP超市等业务的可运营性 通过话务台进行话单管理 计费结算等功能话务台的呼叫控制 总机服务功能 如电话转接 免打扰等功能U Path话务台对IPCentrex用户进行集中管理 QoS问题 带宽 业务盗用问题 业务盗用 NGN终端用户之间可直接互通 终端用户间可能不经过SoftSwitch直接进行互通 比如先通过SoftSwitch得到对方号码对应的IP地址 然后直接呼叫该地址 带宽盗用 用户建立连接协商的带宽是64K 但实际可能使用超过这个带宽 软交换安全问题 SoftSwitch直接对终端可见 终端可以直接访问到SoftSwitch 需要解决对SoftSwitch的流量攻击问题 大量语音业务无关报文 在接入PCPhone用户的时候 PC可能发出大量语音无关报文 如ICMP相关报文 NetBiosoverTCP IP的相关报文 影响SoftSwitch对正常报文的处理 大量语音相关报文 在无意中将测试设备接入NGN网络 导致SoftSwitch根本无法处理正常报文 引起全网瘫痪 或者是接入了发大量信令报文的黑客程序 也将导致全网瘫痪 软交换安全问题 需要解决对SoftSwitch的非法信令报文的攻击畸形信令报文攻击 恶意程序伪造信令报文 报文各个区段内容随意填写 无法正常解码 浪费SoftSwitch的处理资源 还有可能导致SoftSwitch内存泄漏等问题 状态错误的信令报文 存在IAD等设备设计不完善 发出错误信令报文的情况 浪费SoftSwitch的处理资源 软交换安全问题 需要防止NGN核心网被黑客入侵其他设备如果采用公网地址 将导致NGN核心网安全性进一步降低其他如TG等设备同样存在被流量攻击等风险 采用通用操作系统的设备存在被入侵的可能 在一个设备被入侵后 该设备将成为继续入侵的跳板 会对NGN网运营造成重大影响 课程内容 第一章NGN承载网改造需求分析第二章ALG PROXY工作原理第三章Eudemon2000系列规格第四章解决方案与应用 NATALG原理 NAT 网络地址转换 ALG ApplicationLayerGateway 应用层网关 部分应用协议在报文内部携带了IP地址信息 一般的NAT设备只处理IP层的信息 不处理报文内部的内容 ALG设备需要对H323 SIP MGCP等协议的数据区的私网IP地址信息进行特殊处理 NATALG方法 无需对CCM 终端进行更改传统的Firewall NAT设备无法继续利用需要加载特殊的协议处理模块 比如H 323 MGCP H 248 SIP等模块的ALG FullProxy方法 终端将Softx的地址设置为PROXY的地址终端注册到Softx时 PROXY创建相应的地址映射表项当终端开始呼叫时 PROXY修改相应的地址信息 将报文发送给真正的Softx所有的信令流 媒体流都会经过PROXY进行转发由于媒体流都经过PROXY 因此PROXY可以提供QOS等其他功能 信令PROXY 终端 终端只能看到PROXY 注册的地址填的是PROXY的地址 PROXY将IP地址等信息修改后转给SoftSwitch进行处理 SoftSwitch PROXY就是用户 用户作为被叫时的呼叫请求都会先发给E2000 E2000经过信令处理后再转发给被叫用户 Eudemon通过对信令的处理和分析 得到本次会话的地址变换情况 带宽需求等QoS信息以及通过会话状态信息来控制媒体流的通过与关闭 起到网络保护 防带宽盗用等作用 媒体RELAY 所有的媒体流都经过PROXY进行转发 因此PROXY可以提供QOS重标记 CAC等功能 Eudemon2000分配自己的IP地址和端口分别作为内网用户和外网用户RTP的接收地址和端口 通过这种方式媒体流都能得到转发 QoS保证与安全控制 IPCentrex业务的媒体流可以不经过Relay 直接互通 ALG Proxy工作机理比较 NATALG方式只适于解决私网地址穿越问题 QOS 安全等问题无法解决 NATALG设备需要放置在私网 公网交界处 一般位于企业出口 而PROXY方式可以放置在IP可达的任意位置 组网位置不受限 一般情况下 NATALG设备无法多个企业共用 NATALG方式对功能影响较小 因此NATALG方式可作为PROXY组网方式的一个有益补充 ALG与PROXY对比 NGNNAT原理介绍 在有如下需求之一时 建议采用PROXY方式解决 位置要求在城域汇聚层 需要接入Internet语音用户NGN采用专网构建 SoftSwitch采用私有地址域企业用户原有的NAT设备不能替换 原有网络路由不能改动可能穿越多个NAT设备需要支持IADMS 需要支持IP话务台功能提供语音 视频报文的QOS标记防止带宽盗用 防止业务盗用需要提供非法信令报文检测功能在如下情况时 建议采用ALG方式解决 位置处于企业出口 NAT设备作为网关 SoftSwitch位于公网 相对 大量采用H 323协议收发端口无法一致 课程内容 第一章NGN承载网改造需求分析第二章ALG PROXY工作原理第三章Eudemon2000系列规格第四章解决方案与应用 基于软交换的整体解决方案 华为可提供完整的NAT穿越解决方案 NGNNAT产品介绍 Eudemon2000产品介绍 Eudemon2000系列特性 工作模式和组网方式支持NGN多媒体业务穿越NAT 防火墙支持单域 多域模式支持代理多个软交换支持在驻地网 企业网中应用 接入Internet用户和其它运营商的用户支持在城域网汇聚层的应用 实现多个企业网 驻地网跨NAT通信支持基于会话流的NAT处理 接入多个企业时 企业IP地址可以重复NGN专网的地址域可以与企业地址域重复QoS支持流分类 流量控制 拥塞管理支持基于Diff Serv的报文优先级重标记安全防止业务盗用和带宽盗用支持ACL过滤规则支持根据资源情况对呼叫进行控制根据会话状态而允许相应的报文通过 针孔式防火墙 Eudemon2000系列特性 续 应用支持SIP MGCP H 323等代理支持话务台代理功能支持IADMS代理功能支持收发端口不一致 多域模式下与客户端配合实现 基本特性支持VLAN支持静态路由支持策略路由管理支持命令行分级保护支持远程Modem拨号 Telnet方式配置管理支持SSH方式进行安全的维护管理支持SNMP统一网管 Eudemon2000工作流程分析 OpenEyeIP 192 168 1 100 NAT Eudemon 内IP 192 168 1 1外IP 192 168 2 2 SoftX3000IP 10 80 63 2 Eudemon2100内IP 192 168 2 1外IP 10 80 63 89 MGCPIP 10 80 63 21 被叫摘机 主叫拨号 开始媒体交互 信令流 媒体流 上报主叫接收端口 上报被叫接收端口 课程内容 第一章NGN承载网改造需求分析第二章ALG PROXY工作原理第三章Eudemon2000系列规格第四章解决方案与应用 Eudemon2000典型组网 企业网接入方案一 企业网接入方案二 驻地网用户接入方案 IP超市解决方案 城市1 城市2 软交换 Eudemon2000 IP话务台 IP话吧 私网地址 IAD IP话务台 IAD IP网吧 私网地址 OpenEye NGN承载网 对于IP地址是私网地址的网 话吧 IAD注册到Eud上 Eud实现信令代理和媒体中继 完成NAT地址转换 实现NGN专网和IP超市私网用户的互通 Firewall 无需IAD支持特殊协议 不改动原有驻地网络格局 不改动软交换原有数据配置 Internet用户接入方案 中国电信应用 通过VLAN MPLS VPN技术解决NGN网络的安全性全网部署QoS保证NGN网络业务得到优先转发和带宽保证