Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

Назначение

Производительность, надёжность и безопасность — ключевые приоритеты при организации VoIP-телефонии в корпоративной сети. Необходимо обеспечить не только совместимость оборудования на всех уровнях и его отлаженную работу, но и защиту от различных атак.

Игнорирование последнего приводит к взлому VoIP-сети злоумышленниками.

Пограничный контроллер сессий поможет избежать этих проблем. Он используется для сокрытия топологии VoIP-сети, защиты от несанкционированного доступа, а также управления трафиком.

Пограничный контроллер сессий ESBC предназначен для решения задач сопряжения разнородных VoIP-сетей, обеспечивая совместную работу терминалов с различными протоколами сигнализации и наборами используемых кодеков. Кроме того, за счет функциональности Firewall, NAT и проксирования сигнального и медиатрафика он защищает корпоративную сеть от атак и скрывает ее внутреннюю структуру. ESBC всегда устанавливается на границе корпоративной или операторской VoIP-сети и выполняет те функции, которые нецелесообразно возлагать на устройства оператора (например, гибкий коммутатор Softswitch).

В линейке продуктов Eltex пограничные контроллеры сессий представлены устройствами SBC-3000, ESBC-3200 и программной реализацией vESBC. Производительности устройства SBC-3000 может оказаться недостаточно для пограничного контроллера между большими телефонными сетями. Дальнейшее описание приводится для enterprise-решения ESBC-3200. В случае отказа от резервирования 1+1 также может быть использовано программное решение vESBC. Ниже в документе оба решения представлены ESBC.

Схема использования


Пограничный контроллер сессий ESBC включается между защищаемой и внешней сетями. В случае, если между защищаемой и внешней сетями используется трансляция сетевых адресов (NAT), то внешний интерфейс должен иметь IP-адрес, доступный из внешней сети без трансляции. Например, при подключении к сети Интернет на внешнем интерфейсе должен быть публичный (белый) IP-адрес.

Управление ESBC целесообразно осуществлять только через выделенный интерфейс OOB, подключенный к выделенной сети управления. Протоколы управления (Telnet, SSH, HTTP, HTTPS) должны быть отключены на остальных интерфейсах. Протокол Telnet также рекомендуется отключить даже на интерфейсе OOB ввиду его небезопасности. 

Управлять устройством ESBC-3200 можно через консольный порт. Но из-за ограниченности по скорости и длины управляющей линии использовать консольный порт целесообразно только при отсутствии или нарушении доступа к устройству по сети. 

Настройка

Принципы настройки

В данный момент конфигурирование ESBC осуществляется через CLI (Command Line Interface, командная строка). 

Любые изменения, внесенные в конфигурацию, вступят в действие не сразу, а только после применения команды commit. После выполнения данной команды запускается таймер «отката» конфигурации. Если до истечения таймера не будет выполнена команда confirm, примененная конфигурация устройств будет отменена. Данный механизм позволяет не потерять доступ к устройству в процессе конфигурирования.

Примеры настройки

Настройка ESBC для SIP-транков

Для подключения Softswitch к другим внешним IP АТС, например к провайдеру телефонии по протоколу SIP, необходима организация SIP-транков между Softswitch и внешней IP АТС. А также необходима защита данного подключения с помощью ESBC, настроенного следующим образом:

  1. Настроить сетевые интерфейсы на ESBC в сторону Softswitch и в сторону внешней IP АТС.
  2. Создать SIP-транспорт в сторону Softswitch и внешней IP АТС.
  3. Создать медиаресурсы для обоих направлений, назначить им диапазон портов для передачи голоса.
  4. Создать два SIP-trunk в сторону Softswitch и в сторону внешней IP АТС.
  5. Создать правила, по которым будут маршрутизироваться вызовы от внешней IP АТС до Softswitch и наоборот от Softswitch до внешней IP АТС.

Настройка подобного подключения описана в документации (в рамках документации в качестве внешней IP АТС рассматривается транковый шлюз).

Настройка ESBC для SIP-абонентов

Подключение внешних абонентов, например удаленных пользователей, в целях безопасности необходимо производить через пограничный контроллер сессий. Например, через ESBC, настроенный следующим образом:

  1. Настроить сетевые интерфейсы на ESBC в сторону Softswitch и в сторону SIP-абонентов.
  2. Создать SIP-транспорт в сторону Softswitch и SIP-абонентов.
  3. Создать медиаресурсы для обоих направлений, назначить им диапазон портов для передачи голоса.
  4. Создать SIP-Users и SIP-trunk.
  5. Создать правила, по которым будут маршрутизироваться вызовы от абонентов до Softswitch.

 Настройка подобного подключения описана в документации.

  • Нет меток