sgb gateway in the tss. x
TRANSCRIPT
SADRŽAJ
1. UVOD.................................................................................................................................1
2. SUSTAV TSS.....................................................................................................................3
2.1. Softswitch rješenja...........................................................................................................3
2.2. Dijelovi TSS sustava....................................................................................................5
2.2. Značajke TSS sustava......................................................................................................7
2.3. TSS 4.0 domena poslužitelja........................................................................................8
2.4. Pristupni uređaji podržani u sustavu TSS....................................................................9
2.5. Signalna sučelja..........................................................................................................10
2.6. Implementacija TSS sustava......................................................................................12
3. PROTOKOL ZA POKRETANJE SESIJE.......................................................................14
3.1 .Protokoli za VoIP.......................................................................................................14
3.2. Osnovna načela protokola SIP...................................................................................15
3.3. Struktura protokola SIP..............................................................................................17
3.4. Logičke komponente protokola SIP...........................................................................18
3.5. Adresiranje.................................................................................................................20
3.6. SIP poruke..................................................................................................................20
3.6.1. Poruke zahtjeva...................................................................................................21
3.6.2. Poruke odgovora.................................................................................................22
3.7. RTP protokol..............................................................................................................25
3.7.1. Način rada RTP protokola..................................................................................25
3.7.2. Svojstva RTP protokola......................................................................................26
4. SBG PRISTUPNIK...........................................................................................................27
4.1. Problemi u multimedijskim mrežama rješavani SBG pristupnikom..........................27
4.2. SBG pristupnik i njegova uloga u mreži....................................................................28
4.3. Ključne značajke SBG pristupnika............................................................................30
5. ARHITEKTURA PRISTUPNIKA SBG..........................................................................34
5.1. Općenito.....................................................................................................................34
5.2. Hardver.......................................................................................................................36
5.3. Komponente SBG pristupnika...................................................................................37
5.3.1. IS infrastrukturni sustav modula.........................................................................37
5.3.2. IS aplikacijski sustav modula..............................................................................38
6. PROMET NA SBG PRISTUPNIKU................................................................................41
6.1. Opis testiranja................................................................................................................41
6.2. Analiza prometnih podataka..........................................................................................42
6.2.1.Promet od jezgrene prema stranoj mreži.................................................................43
6.2.2. Promet od strane prema jezgrenoj mreži................................................................45
7. ZAKLJUČAK...................................................................................................................47
LITERATUTA..........................................................................................................................49
POPIS OZNAKA I KRATICA.................................................................................................50
SAŽETAK................................................................................................................................53
1. UVOD
Trendovi u telekomunikacijama, kao što je porast broja 3G pretplatnika i korištenja mobilnog
pristupa Internetu, zatim pojava masovnog tržišta za širokopojasne usluge prijenosa govora IP
mrežama VoIP (Voice over IP) i pojava novih standardiziranih multimedijskih usluga doveli
su do potrebe za modernizacijom i transformacijom operatorske mreže kako bi bilo moguće, s
manjim kapitalnim investicijama i manjim troškovima održavanja, brzo i jednostavno uvesti
nove usluge.
Telefonska mreža podržala je razvoj Interneta i pomogla njegovom rastu, ali sada je već
izvjesno da će IP paketska komutacija preuzeti posao od tradicionalnih telefonskih mreža s
komutacijom kanala. Ova promjena je rezultat težnje telekomunikacijske industrije da nađe
nove načine da osigura usluge za svaki uređaj, u bilo kojem trenutku i na svakom mjestu.
Postepena integracija multimedijskih PC-a, telefonske mreže i Interneta postaje realnost i
donosi povećanu dostupnost novim uslugama sa dodatnom vrijednošću sa ciljem da se
osiguraju veći prihodi, i da nove i postojeće usluge budu jeftiniji. Tehnologija koja povezuje
dva tipa komutacije, tj klasičnu telefoniju sa Internetom naziva se softswitch.
Ericsson nudi dva rješenja za modernizaciju mreža i to na području mobilne telefonije MSS
(Mobile Softswitch) te na područje fiksne telefonije TSS (Telephony Softswitch). Ericsson
TSS je rješenje koje se potpuno temelji na IP tehnologiji, čime omogućava lakšu tranziciju
TDM mreža u takozvana “All-IP” rješenja. TSS prati ETSI TISPAN standardizaciju po kojoj
nudi emulaciju PSTN/ISDN telefonskih usluga. TSS arhitektura je u skladu sa
specifikacijama NGN te pruža punu podršku za tradicionalne telefonske usluge i za
funkcionalnosti specifične za pojedino tržište. To uključuje potpunu kompatibilnost s
tradicionalnim PSTN/ISDN telefonskim uslugama, uključujući i dodatne telefonske usluge za
privatne i poslovne korisnike, faks, podršku za telefonske govornice, brojilo impulsa,
regulatorne usluge, IN, VPN i postojeće adaptacije za pojedino tržište.
U drugom poglavlju, opisan je sustav TSS kao moderno Ericsson-ovo rješenje za prospajanje
u fiksnim telefonskim mrežama. Opisan je sustav TSS 4.0 kojem je glavna karakteristika
uvođenje IP protokola kao nosioca u prijenosu signalizacije i medijskog prometa. Navedeni su
pristupi koji su podržani u sustavu TSS 4.0 te objašnjen pojam domene poslužitelja koji je
potreban kako bi se bolje razumjela komunikacija između sustava TSS i drugih sustava,
različitih mreža i/ili pristupnih uređaja. Ovo poglavlje se odnosi i na AXE platformu te
koncept IS na koje se ugrađuje sustav TSS 4.0, koji se sastoji se od TSS upravljača poziva
TCC i TSS upravljača pristupnika TGC te medijskih pristupnika za međupovezivanje
MGW(IC).
Treće poglavlje daje opis protokola SIP te je prikazan model osnovnog poziva preko
protokola SIP. Protokol za pokretanje sesije SIP je signalizacijski protokol koji se koristi za
uspostavu, modifikaciju i raskidanje višemedijskih sesija u mrežama temeljenim na IP
protokolu. Navedeni su i protokoli kako bi se što bolje opisala komunikacija VoIP korisnika.
U četvrtom poglavlju dane su ključne značajke te problemi rješavani pristupnikom SBG.
Opisana je uloga pristupnika SBG u zaštiti podataka VoIP korisnika u sustavu TSS 4.0.
Pristupnik SBG štiti jezgrenu mrežu od potencijalnih napada iz drugih mreža. Sadrži vatrozid
ti druge funkcionalnosti u području sigurnosti.
Peto poglavlje daje osnovni pregled sklopovske arhitekture SBG pristupnika koja se temelji
na IS arhitekturi. Pristupnik SBG je glavni sigurnosni element VoIP mreža koji štite od
zloporabe te pokušaja uskraćivanja usluge odnosno DoS napada. Operatorima omogućuju i
zaštitu i prikrivanje konfiguracije mreže (topologije) te skrivanje korisničke IP adrese od
drugih operatora ili korisnika. Detaljniji opis ovoga poglavlja nije moguć zbog vlasničke
politike i zbog uloge pristupnika SBG tj. zbog toga što se radi o sigurnosti.
U 6. Poglavlju prezentiran je za praktični dio diplomskog rada je koji se sastoji od snimanja
prometa na pristupniku SBG u okviru sustava TSS 4.0. Snimanje i analiza prometa na
pristupniku SBG između dva sustava TSS 4.0 se vršila pomoću program Wireshark.
Pristupnik na kojem je snimljen poziv se nalazi u jezgrenoj mreži. Analiza prometa je
podijeljena na dva dijela: prvi dio se odnosi na poziv upućen iz jezgrene mreže prema stranoj
mreži dok se drugi dio odnosi na poziv upućen iz strane mreže prema jezgrenoj mreži.
Svrha snimanja i analize prometa je prikazivanje uloge pristupnika SBG u zaštiti VoIP
korisnika i to: mijenjanje IP adrese i skrivanje topologije jezgrene mreže. VoIP mreža
nasuprot klasičnoj telefoniji ima slične probleme kod sigurnosti korisnika.
Zaključak je, pristupnik SBG predstavlja temeljnu zaštitu VoIP korisnika kako bi se spriječili
daljnji napadi.
2. SUSTAV TSS
Jedno od dva rješenja koja Ericsson nudi za modernizaciju uskopojasne fiksne mreže je TSS
sustav (Telephony Softswitch Solution). Ericsson TSS je rješenje koje se potpuno temelji na
IP tehnologiji, omogućava lakšu tranziciju TDM mreža u takozvana “All-IP” rješenja. TSS
prati ETSI/TISPAN (The European Telecommunications Standards
Institute /Telecommunications and Internet converged Services and Protocols for Advanced
Networking) standardizaciju što znači 100% kompatibilnost s današnjim setom usluga. TSS
arhitektura je u skladu sa specifikacijama mreža sljedeće generacije (Next Generation
Network), pa tako ima izdvojeni sloj kontrole poziva (Call Control), sloj veze ( Connectivity)
i pristupni sloj (Access). TSS pruža punu podršku za tradicionalne telefonske usluge i za
funkcionalnosti specifične za pojedino tržište. To uključuje potpunu kompatibilnost s
tradicionalnim PSTN/ISDN telefonskim uslugama, uključujući i dodatne telefonske usluge za
rezidencijalne i poslovne korisnike, faks, podršku za telefonske govornice, brojenje impulsa
(Pulse Metering), regulatorne usluge, korištenje novih usluga inteligentnih mreža (IN) i
postojeće adaptacije za pojedino tržište. TSS podržava lokalnu, tranzitnu i internacionalnu
aplikaciju. TSS pruža PSTN/ISDN telefonske usluge pretplatnicima na tradicionalnim
pristupnim čvorovima (RSS, AR ili V5.2) ili na H.248 pristupnicima MGW (Media
Gateway).
2.1. Softswitch rješenja
Softswitch rješenja omogućuju IP paketskoj mreži zamjenu s ranije korištenim PSTN ili
PLMN jezgrenim mrežama i u isto vrijeme koncentriran nadzor i funkcionalno prometno
upravljanje u centraliziranim softswitch poslužiteljima [1].
Softswitch rješenja uključuju implementaciju dva područja/domene: jedan koji se odnosi na
klasičnu telefonsku mrežu i onaj koji se odnosi na mobilne mreže.
Dva glavna softswitch područja su:
Područje fiksne telefonije – temeljene na TSS – osigurava VoIP, VoATM i
tradicionalne telefonske usluge, kao što su osnovne PSTN i ISDN usluge.
Područje mobilne telefonije – temeljene na MSS (Mobile Softswitch) – osigurava
VoIP, VoATM i tradicionalne usluge mobilne telefonije u PLMN mreži.
Ova područja zajedno s IP višemedijskim podsustavom IMS (IP Multimedia Subsystem) u
planiranom cilju Ericsson mrežne arhitekture prikazani su na slici 2.1.
Slika 2.1: Ericsson mrežna arhitektura
Domena IP višemedijskih podsustava pruža uskopojasni VoIP, web temeljen na uslugama i
širokopojasne multimedijske usluge i za nepokretne i pokretne korisnike. Implementacijom
softswitch rješenja, operator će postići čitav niz pogodnosti:
Modernizacija mreže – mali rizik i fleksibilna migracija prema budućim slojevitim
mrežama.
Smanjeni troškovi poslovanja - troškovi poslovanja mogu biti znatno smanjeni kao i
sve usluge pokrenute na jednoj mreži, umjesto skupnih i odvojenih mreža.
Smanjeni troškovi ulaganja – kombinacija fleksibilnog dizajna mreže i korištenje
nekoliko vrsta čvorova za sve vrste prometa daje troškovno učinkovita rješenja.
Smanjeno vrijeme do tržišta – lociranje usluga u središnjem čvoru (softswitch
poslužitelj) smanjuje vrijeme primjena tih usluga u mreži.
Osiguran izvor prihoda – postojeće usluge su podržane sa carrier class platformom
tako da su ovakvi izvori prihoda i dalje osigurani.
Povećavanje izvora prihoda – međusobno povezivanje VoIP (SIP/H.323) mreža.
Razvoj novih IP usluga u višeuslužnim mrežama će povećati izvor prihoda.
Sigurno ulaganje – mrežna struktura će podržavati buduće 3G mobilne
implementacije.
Otvoreno sučelje – upotreba standarda definirano standardizacijskim tijelom TISPAN
daje jednostavnu integraciju unutar multi-vendor okoline.
Podsustav za rad i održavanje O&M (Operation and Maintenance) – poslužiteljski
temeljena rješenja pojednostavljuje rad, administraciju i odražavanje. Sadrži osnovne
funkcije za konfiguriranje i održavanje mreže i njenih elemenata.
Optimizirano usmjeravanje – nadzire prijenosu razinu te ostale uskopojasne usluge
koje mogu biti zasebno usmjerene, optimizirane prilikom logičkog izvršenja usluga.
Carrier-Class mreža – softswitch rješenje pruža kvalitetu usluga. Kombiniranje
tehnologija se koristi za popunjavanje usluga.
Učinkovito projektiranje komunikacijskih usluga – ISP-ovi mogu iskoristiti
ekonomiju pojasne širine, uravnoteženje prometnog opterećenja na raznim linkovima,
usmjeriteljima (ruterima) i komutatorima u mreži tako da nijedan od ovih mrežnih
komponenti se ne previše ili nedovoljno koristi.
2.2.Dijelovi TSS sustava
TSS 4.0 mreža, prikazana na slici 2.2., sastoji se od telefonskog poslužitelja TeS (Telephony
Server), i nekoliko pristupnika, i to, medijskih pristupnika MGW (Media Gateway), kanalnih
pristupnika TGW (Trunking Gateway) te pristupnih pristupnika AGW (Access Gateway) [1].
Kod određenih mreža koristi se i signalni pristupnik SGW (Signalling Gateway).
Slika 2.2: TSS 4.0 čvorovi i platforma
Medijski pristupnik MGW omogućuje međusobni rad komutacijske domene i ATM domene.
Odnosno, MGW se koristi za komunikaciju IMS mreža s tradicionalnim fiksnim i mobilnim
mrežama. Podržava i slanje tona pozivanja prema povezanim pristupnim uređajima. Medijski
pristupnik mora zadovoljiti sljedeće funkcionalne zahtjeve:
- prijenos govora putem RTP protokola,
- zahtjev za digitalnom obradom signala,
- upravljanje resursima procesora za digitalnu obradu signala,
- podrška za protokola iz naslijeđene telefonske mreže,
- mogućnost proširenje, redundancija te visoka raspoloživost za MGW softver.
Pristupni pristupnik AGW je pristupni čvor za PSTN (Public Switched Telephone Network),
ISDN (Integrated Services Digital Network) BRA i PRA pretplatnike. Koristi IP (Internet
Protocol) mrežu za prijenos signalizacije i medijskih podataka. Također omogućuje korištenje
pretplatničkih i dodatnih usluga.
Kanalni pristupnik TGW je pristupnik između TDM mreže koja prenosi ISUP (Integrated
Services Digital Network User Part) pozive IP mreže. TGW adaptira ISUP/M3UA
signalizaciju u IP pakete koje šalje prema telefonskom poslužitelju TeS.
Pristupnici MGW, AGW i TGW su kontrolirani od strane telefonskog poslužitelja TeS
pomoću H.248 protokola. Telefonski poslužitelj (TeS) ima ulogu signalnog pristupnika
između SIP i ISUP protokola i vrši kontrolu pristupnika MGW kontrolnim protokolom
H.248.
TeS se sastoji se od dva dijela: TSS upravljača poziva TCC (TSS Call Controller) i TSS
upravljača pristupnika TGC (TSS Gateway Controller) ili medijskog pristupnika za
međupovezivanje MGW (IC (Media Gateway Inter-Connect) kao što je prikazano na slici 2.2.
TCC ima funkciju kontrole poziva preko telefonskog poslužitelj TeS; te funkcije su završetak
pristupne signalizacije ISUP i DSS1 ( (DigitalSubscriber System_No.1)), analiza brojeva,
analiza ruta poziva i slično. Funkcija TGC-a su kontroliranje resursa unutar pristupnika
MGW, AGW i TGW.
Medijski pristupnik za međupovezivanje MGW(IC) kao i TGC služi za povezivanje TDM
protokola preko SIP, ISUP, H.323 prema signalizacijskim terminalima GARP pločice
(Generic Application Resource Processor) s TCC-om. Također omogućuje pristup pomoćnim
uređajima npr. govornim porukama.
2.2. Značajke TSS sustava
Neke od najvažnijih značajki TSS sustava su:
Integrirana podrška za pristupne čvore AGW koja je kontrolirana od strane protokola
H.248 i to direktno od telefonskog poslužitelja TeS.
Uvođenje kanalnih pristupnika TGW također kontroliranih protokolom H.248 od
strane telefonskog poslužitelja TeS. Telefonski poslužitelj TeS se povezuje putem
ISUP protokola s IP jezgrenom mrežom putem signalnog pristupnika SGW.
Korištenje signalnih pristupnika SGW kako bi se ISUP i ISDN pristupna signalizacija
mapirala preko TDM-a u signalizaciju prenošenu preko SigTran skupa protokola u IP
mrežu.
Uvođenje SIP-I (Session Initiation Protocol with Encapsulated ISUP) protokola od
ITU-a za provođenje ISUP signalizacije između telefonskih poslužitelja TeS u
različitim domenama.
Uvođenje DNS protokola (Domain Name System) koji omogućuje centraliziranu
pohranu mrežnih IP adresa na DNS poslužitelje, umjesto funkcija kontrole tarifiranja
CCF (Call Control Function).
Uvođenje ENUM (E.164 Number Maping) rješenja. ENUM se odnosi na IETF
protokol i sustav koji uzima potpuni format E164 telefonskog broja. ENUM koristi
DNS arhitekturu sustava koji telefonski broj pretvara u IP adresu.
Potpuno rukovanje pozivima za POTS (Plain Old Telephone Service) mreže koje se
može izvršiti preko protokola H.248. Ovo je u skladu sa AGW profilom.
Poboljšane značajke rješenja uključujući npr. kapacitet, učinkovitost i elastičnost.
Podrška za povezivanje prema drugim VoIP (Voice over Internet Protocol) mrežama
koristeći SIP ili H.323 protokole.
Podrška za signalizaciju između domena TSS sustava koristeći SIP-T ili BICC cs2
protokole.
2.3. TSS 4.0 domena poslužitelja
Domena jednog telefonskog poslužitelja se sastoji od jednog telefonskog poslužitelja TeS i
svih medijskih pristupnika MGW koje ovaj poslužitelj kontrolira kao što je prikazano na slici
2.3. Medijski pristupnici MGW su upravljani pomoću ITU-T/IETF standardiziranog protokola
H.248 koji se još naziva i Megaco.
Sustav TSS 4.0 omogućuje IP povezivanje između više domena. Također omogućuje i IP
povezivanje prema ostalim VoIP mrežama koristeći BICC-CS2 (Bearer Independent Call
Control), SIP-T, SIP ili H.323 signalizaciju, što je vidljivo na slici 2.3.
Slika 2.3: Domene poslužitelja i protokoli u sustavu TSS 4.0
2.4. Pristupni uređaji podržani u sustavu TSS
Različiti vrste pristupnih uređaja se mogu povezati s medijskim pristupnikom MGW, kao što
je prikazano na slici 2.4.
Ti pristupni uređaji su:
Lokalna centrala LE (Local Exchange) i tranzitna centrala TE (Transit Exchange )
koriste isti ISUP protokol ANSI ili ETSI standardizacijskog tijela.
ENGINE pristupna platforma EAR (Engine Access Ramp) te udaljeni AXE
pretplatnički stupanj RSS (Remote Subscriber Stage) koji koristi Ericsson-ov
vlasnički protokol (Prop.). Ovi pristupni uređaji su upravljani preko vlastitog sučelja.
ISDN privatna automatska centrala ISPBXs (ISDN Private Automatic Branch
Exchanges) za svoj rad koristi DSS1 ili QSIG protokole.
Pristupni čvorovi AN (Access network) koji koriste V5.2 protokole. Pristupni čvor
može bit bilo koji čvor prilagođen standardnom V5.2 sučelju.
Slika 2.4: Mrežni pristupni uređaji
2.5. Signalna sučelja
Signalna sučelja su signalni terminali koji služe za komunikaciju između poslužitelja.
Signalna sučelja koja se koriste u sustavu TSS 4.0 su prikazana na sl. 2.5.
Slika 2.5: Signalna sučelja
ISUP signalizacija
se koristi između lokalne/tranzitne centrale i telefonskog poslužitelja TeS.
BICC-CS2 ( Bearer Independent Call Control - Capability Set2) signalizacija
se koristi između telefonskih poslužitelja TeS u različitim domenama i omogućava podršku
uskopojasnih usluga kroz IP jezgrenu mrežu. Signalizacije poziva BICC-CS2 protokola je
funkcionalno odvojena od nositelja podešavajućeg protokola. BICC je standardiziran od
strane ITU-T i Q19xx.
H.248 protokol
se koristi između telefonskog poslužitelj TeS i medijskih pristupnika MGW. Protokol H.248
sadrži poruke kojima telefonski poslužitelj TeS kontrolira aktualne resurse, slanje zvučne
signalizacije u MGW-ove, postavke i poništavanje povezivanja nositelja u MGW. Ovim se
omogućava TeS-u da pregledava prebacujuće resurse u MGW-ovima kako bi se detektirala
moguća nestabilnost između kontrole poziva i resursa. Kontrolni protokol medijskog
pristupnika (Megaco) je rezultat suradnje studijskih grupa IETF i ITU-T .
SIP protokol
je podržan za govorni promet unutar telefonskog poslužitelja TeS prema VoIP mrežama kao
što je EMM podsustav (ENGINE Multimedia). Protokol za opis multimedijskih sesija SDP
(Session Description Protocol) se koristi za opis medijskih sesija. Telefonski poslužitelj TeS
omogućava funkcionalnost korisničkog agenta UA za SIP sesije. SIP signalizacija je završena
u TeS-u. TeS funkcija kontrole poziva će usmjeriti poziv u njegovo središte koristeći ISUP
signalizaciju. Zbog ovoga SIP adresiranje uključuje E164 broj potrebne adrese. Pozivi prema
SIP VoIP mreži, koji ima početnu točku u PSTN mreži, se mapiraju iz ISUP u SIP prema
RFC 3398 standardu. Opis SIP protokola je dan u 3. poglavlju.
SIP-T protokol
je podržan u telefonskom poslužitelju TeS za govorni promet prema drugim EIN mrežama
(Electronic Immigration Network) ili prema drugim uslužnim priključnim rješenjima. Ovaj
protokol transparentno prenosi ISUP signalizaciju poruke između PSTN mreža. Danas se ovaj
protokol rijetko koristi.
H.323 protokol
je podržan u TeS-u da bi se omogućili govorni pozivi prema VoIP mrežama. TeS će podržati
funkcionalnost H.323 pristupnika dok neće podržati mutipoint upravljač, ili funkcionalnost
multipoint procesora. Svaki dolazni poziv od H.323 krajnje točke će biti interno mapiran
prema ISUP protokolu. TeS funkcija upravljanja poziva usmjerava poziv prema svom
odredištu.
2.6. Implementacija TSS sustava
Sustav TSS 4.0 se ugrađuje na AXE platformu. Radi veće učinkovitosti i dostupnosti, sustav
TSS se može realizirati preko triju kombinacija platformi. Na AXE platformi, u sve tri
kombinacije smješten je TSS upravljač poziva TCC, a TSS upravljač pristupnika TGC može
biti smješten na AXD ili IS-u, ovisno o zahtjevima kupaca. Kombinacije platformi su:
AXE-AXD platforma
AXE- koncept integriranog položaja IS
AXE- integrirani položaj (IS) i AXD
AXE-AXD platforma
Sustav TSS 4.x često se ugrađuje na AXE-AXD platformu čija je osnovna zadaća prospajanje
i pretvorba medijskih tokova. Ova platforma omogućava pokretanje niza virtualnih čvorova
koji čine distribuirani sustav. AXE-AXD platforma sadrži softverski ugrađenu logiku
posredovanja ML (Mediation Logic) propusnosti 20 ili 40 Gbit/s i kanalne pristupnike TGW.
Logika posredovanja ML ima zadatak pružanja usluge kontrole poziva i telefonije,
obrađivanje signalizacije, analiza brojeva i ruta, analiza naplate te nadomjesne usluge. ML
zajedno s TSS upravljačem pristupnika odnosno TGC-om predstavlja sučelje između
pristupnika TCC i pristupnika MGW. Glavni zadatak je omogućiti povezivanje nosioca koja
su bazirana na TCC upravljačkoj signalizaciji.AXD ima sličnu funkciju kao IS, a razlika se
očituje samo u hardverskoj konfiguraciji.
AXE- koncept integriranog položaja (IS)
Kod ovoga koncepta, funkcije TSS upravljača pristupnika, medijskog pristupnika MGW i
kanalnog pristupnika TGW se izvršavaju koristeći IS arhitekturu. IS koncept omogućava
proizvodnju različitih platformi kao što su Blade poslužitelji. Blade poslužitelji se definiraju
kao individualne zajednice koji imaju vlastiti softver koji je ubačen u IS policu koji također
ima čvorove sa zajedničkim resursima za sve pločice u polici.
Kod IS-a, funkcija posredničke logike ML se realizira na pločici nazvanoj TGC (TSS
upravljač pristupnika). MGW i TGW su realizirani na identičnoj hardverskoj pločici, ali s
različitim softverom. Moguće je povezivanje različitih glasovnih pristupnih uređaja s
pristupnikom MGW. Ti pristupni uređaji su: lokalne centrale LE, tranzitne centrale TE,
pristupni čvorovi AN, ENGINE pristupna platforma i ISDN za izravno spajanje privatnih
(kućnih) centrala ISPBXs. Povezivanje glasovnih pristupa s medijskog pristupnika MGW
pokazuje da sustav TSS 4.0 funkcionira jednako dobro i na tranzitnoj i na lokalnoj razini.
Mreža podržava IP kao nositelja za telefoniju. Pristupnici MGW ili TGW koji se koristi u
slučaju ISUP-a namještaju poziv uspostavljanjem IP nositelja.
AXE- integrirani položaj (IS) i AXD
Ova platforma predstavlja kombinaciju dviju prethodno navedenih platformi.
3. PROTOKOL ZA POKRETANJE SESIJE
Protokol za pokretanje sesije (SIP- Session Initiation Protocol) je signalizacijski protokol koji
se koristi za uspostavu, modifikaciju i raskidanje višemedijskih sesija u mrežama temeljenim
na IP protokolu (IP Network). Iako ga je razvilo i standardiziralo Radno tijelo za razvoj
Interneta IETF (Internet Engineering Task Force) prihvatila su ga i ostala značajna
međunarodna standardizacijska tijela kao glavni protokol u višemedijskim domenama 3G
mobilnih sustava (višemedijski podsustav zasnovan na protokolu IP, IMS – IP Multimedia
Subsystem ) te kao osnovicu mreža sljedeće generacije NGN (Next Generation Network).
Ericsson-ova rješenja i proizvodi u potpunosti slijede viziju prema All IP višeuslužnim i
višemedijskim mrežama što potvrđuje sveobuhvatno područje rješenja za fiksne i mobilne
mreže i pristupe utemeljene na IP softswitchu i višemedijskom podsustavu zasnovanom na
protokolu IP [2].
3.1. Protokoli za VoIP
Shema kompletne arhitekture koja omogućava IP telefoniju dana je na slici 3.1. a na njoj je
vidljivo da se sastoji od velikog broja protokola.
Slika 3.1: SIP protokolni stog
Kratki opis navedenih protokola ( osim SIP i RTP protokola koji su detaljnije opisani u
sljedećim poglavljima):
Internet Protocol (IP) – protokol mrežnog sloja koji pruža bespojnu uslugu slanja
podataka,
Transmission Control Protocol (TCP) – spojni protokol na IP temeljnoj mreži
User Datagram Protocol (UDP) - bespojni komunikacijski protokol na IP baziranoj
mreži,
H.323 – skup protokola za multimedijske komunikacije, prijedlog standarda ITU-a
(International Telecommunication Union),
Real Time Streaming Protocol (RTSP) – je protokol aplikacijskog nivoa koji služi za
slanje podataka u realnom vremenu; ovaj protokol je namijenjen ostvarivanju
multimedijske komunikacije bilo kojeg tipa (audio ili video) a pruža i mogućnost
odabira vrste protokola za transport – bilo TCP-a, bilo UDP-a,
Session Initiation Protocol (SIP) - kontrolni (signalni) protokol u aplikacijskom sloju
koji služi stvaranju, promjeni i prekidanju veza između jednog ili više korisnika
Real - Time Transport Protocol (RTP) - Internet standard za prijenos podataka ( koji
uključuju i audio i video ) u realnom vremenu,
RTP Control Protocol (RTCP) - pruža podršku za konferencije u realnom vremenu
između grupa proizvoljne veličine na lokalnim mrežama ili Internetu,
Resource Reservation Protocol (RSVP) - koristi se za rezervaciju mrežnih resursa i
pomaže za ostvarivanje određenog nivoa kvalitete usluge,
Session Description Protocol (SDP) - služi za opisivanje vrste multimedijskih
prijenosa (tj. opis vrste podataka koji se prenose),
bez ovoga opisa ne bi se u cijelosti mogla razumjeti uloga SIP-a. Sami protokoli su
međusobno nezavisni ali mogu, ukoliko je potrebno, pozivati jedan drugog.
3.2. Osnovna načela protokola SIP
Protokol za pokretanje sesije, SIP je signalizacijski protokol aplikacijske razine razvijen u
svrhu:
kreiranja, promjene i prekida višemedijskih sesija ili poziva između dva ili više
korisnika,
lociranje korisnika i preusmjeravanje poziva,
omogućavanje mobilnosti preusmjeravanjem poziva i uporabom proxy poslužitelja.
S vremenom je protokol SIP evoluirao u protokol koji podržava široki spektar sesija kao što
su:
multimedija (govor,video,itd.),
igre (Gaming),
prisutnost i komunikacija porukama.
Protokol SIP je baziran na HTTP (Hypertext Transport Protocol) transakcijskom modelu
zahtjeva i odgovora (Request/Response Transaction protocol). Svaka se transakcija sastoji od
zahtjeva koji poziva određenu metodu ili funkciju poslužitelja te barem jednog odgovora na
traženi zahtjev. Protokol SIP se ne koristi za opis obilježja sesije kao što su, npr. Tip medija,
kodiranje, frekvencija uzorkovanja, nego tijelo SIP poruke nosi karakteristike sesije SDP
(Session Description Protocol) ili neki drugi protokol razvijen u tu svrhu. Razdvajanje
funkcije upravljanje uspostavom sesije od ugovaranja karakteristikama sesije važna ja
karakteristika koja SIP protokol predstavlja kao učinkovit protokol, budući da ga se ne može
koristiti za uspostavljanje bilo kojega tipa sesije.
Protokol SIP zajedno s drugim IETF protokolima sastavni dio arhitekture koja u potpunosti
omogućava multimediju. Obično se ovakva arhitektura temelji na:
protokolu koji se koristi za prijenos podataka u stvarnom vremenu i za povratne
informacije o kvaliteti usluge RTP (Real-time Transport Protocol),
protokolu za upravljanje kontinuiranim tokom podataka RTSP (Real-time Streaming
Protocol),
protokolu za upravljanje pristupnicima prema javnoj komutacijskoj telefonskoj mreži
H.248/MEGACO ( Media Gateway Protocol)
protokol za opis multimedijskih sesija SDP.
Iako se protokol SIP, zajedno s navedenim protokolima, koristi u svrhu omogućavanja
potpune usluge korisnicima, njegova osnovna funkcionalnost ne ovisi niti o jednom
navedenih protokola. Budući da SIP poruke i sesije koje protokol SIP omogućava mogu
prolaziti kroz različite mreže, on ne može i ne omogućava bilo kakav tip rezervacije mrežnih
resursa. SIP protokol osigurava i čitav niz sigurnosnih mehanizama, kao što su prevencija
ometanja pružanja usluge DoS (Denial of Service), proces identifikacije (Authentification),
zaštita cjelovitosti (Intergrity Protection), kriptografska zaštita (Encryption) i usluge zaštite
privatnosti (Privacy services). Protokol SIP podržava i IPv4 i IPv6, čime se područje njegove
upotrebe bitno proširuje te olakšava migracija IP mreža prema IPv6.
3.3. Struktura protokola SIP
Protokol SIP je strukturiran kao slojeviti protokol, pri čemu svaki sloj definira određeni skup
pravila. Elementi koje taj sloj specificira su logički elementi. Svaki element protokola ne
mora sadržavati svaki od slojeva. Nadalje, kada se kaže da neki element sadrži određeni sloj,
to zapravo znači da taj element poštuje skup pravila koje taj sloj definira.
Naniži sloj protokola SIP je njegova sintaksa i kodiranje (Syntax and Encoding).
Drugi sloj je transportni sloj (transport layer) koji definira kako klijent šalje zahtjeve i
prima odgovore te kako poslužitelj prima zahtjeve i šalje odgovore putem mreže. Sve
komponente protokola SIP moraju implementirati protokol korisničkih datagrama
UDP i protokol upravljanja prijenosom TCP, ali mogu podržavati i druge protokole,
kao što je protokol upravljanja transmisijskim slijedom SCTP (Stream Control
Transmission Protocol). Budući da je UDP nepouzdan protokol, SIP ima vlastiti
mehanizam retransmisije koji uključuje i tree-way izmjenu između korisnika prilikom
uspostave sesije.
Treći sloj je transakcijski sloj (transaction layer) koji upravlja retransmisijama
aplikacijskog sloja, povezivanjem odgovora i zahtjeva, kao i istekom vremena
aplikacijskog sloja (application layer timeouts). Transakcija je temeljna komponenta
SIP protokola koja se sastoji od zahtjeva te jednog ili više odgovora. Transakcijski sloj
sadrži klijent i poslužitelj komponentu, od kojih je svaka predstavljena automatom
stanja koji je konstruiran kako bi procesuirao određeni zahtjev. Klijent transakcija
šalje zahtjeve i prosljeđuje odgovore korisniku transakcije te je odgovoran za
pouzdanu retransmisiju zahtjeva u slučajevima kada se koristi nepouzdani transport
(npr. UDP). Ovisno o metodi koju sadrži zahtjev, postoje dva tipa stanja klijent
transakcije: INVITE klijent transakcija koja obrađuje INVITE zahtjeve i non-INVITE
klijent transakcija koja obrađuje sve zahtjeve osim INVITE i ACK zahtjeva. Metoda
ACK je jedina metoda koja ne generira klijent transakciju.
Poslužitelj transakcija je odgovoran za prosljeđivanje zahtjeva korisniku transakcije i
pouzdanu retransmisiju odgovora. Kao i kod klijent transakcija razlikujemo dva tipa
automata stanja poslužitelj transakcija: INVITE poslužitelj transakcija i non-INVITE
poslužitelj transakcija.
Iznad transakcijskog sloja se nalazi sloj korisnika transakcije (Transaction Users) TU.
Svi su entiteti (logičke komponente) protokola SIP, osim stateless proxy poslužitelja,
korisnici transakcije TU. Kada korisnik transakcije želi poslati zahtjev, mora kreirati
klijent transakciju te joj proslijediti zahtjev zajedno s IP adresom, portom i
transportom kojem treba poslati zahtjev.
3.4. Logičke komponente protokola SIP
Osnovne značajke protokola SIP su određivanje lokacije, mogućnosti i dostupnosti korisnika
te uspostava i upravljanje višemedijskim sesijama. To je omogućeno sljedećim logičkim
komponentama (slika 3.2.) koje čine temelj bilo koje arhitekture koja koristi SIP:
Korisnički agent UA (User Agent) – aplikacija koja uspostavlja, prihvaća i prekida
sesiju/poziv. Sastoji se od dva zasebna dijela: klijenta korisničkog agenta UAC ( User
Agent Client) i poslužitelja korisničkog agenta UAS ( User Agent Server). UAC šalje i
prima odgovore. UAC šalje odgovore i prima zahtjeve. Aplikacija koja je inicirala
poziv/sesiju prilikom odašiljanja zahtjeva za iniciranje sesije ima ulogu UAC-a, ali u
slučaju prijema zahtjeva za raskidanje sesije ponašat će se kao UAS.
Proxy poslužitelj – osnovna zadaća proxy poslužitelja (Proxy Server) je usmjeravanje.
Proxy poslužitelj obrađuje SIP poruke (zahtjeve i odgovore) te ih modificira, ukoliko
je to potrebno prije prosljeđivanja. Prema promjeni stanja proxy poslužitelje dijelimo
na:
- Stateless proxy koji nema stanja transakcije prilikom prosljeđivanja zahtjeva i
odgovora;
- Stateful proxy koji za vrijeme trajanja transakcije čuva stanje transakcije;
- Call Stateful proxy koji čuva sva stanja koja se odnose na sesiju (npr. od
INVITE do BYE).
Poslužitelj za preusmjeravanje (Redirect Server) – UAS koji prihvaća zahtjeve te u
odgovorima obično vraća jednu ili više novih adresa klijentu.
Registracijski poslužitelj (Registration Server) – poseban tip UAS jedinice koji
prihvaća REGISTER poruke te primljenu informaciju prosljeđuje prema lokacijskim
poslužiteljima (za domene koje održava).
Korisnički agent B2BUA (Back-to-Back User Agent) – ima ulogu UAC-a i UAS-a
povezanih logikom aplikacije. B2BUA prima zahtjeve kao UAS, no kako bi ustanovio
kakav odgovor treba poslati na primljeni zahtjev preuzima ulogu UAC-a i generira
zahtjev. Za razliku od proxy poslužitelja, B2BUA održava stanje dijaloga te sudjeluje
u svim zahtjevima dijaloga koje je inicirao.
Slika 3.2: Logičke komponente protokola SIP
Usluga lokacije (Location Service) je apstraktan koncept koji omogućuje poslužitelju za
preusmjeravanje ili proxy poslužitelju da na temelju primljenog usklađenog identifikatora
resursa (URI – Uniform Resource Identifier) omogući prosljeđivanje zahtjeva prema lokaciji
pozvanoga korisnika.
Uloga UAC-a i UAS-a, kao i proxy poslužitelja te poslužitelju za preusmjeravanje definiraju
se po pojedinoj transakciji. Aplikacija UA koja je inicirala poziv/sesiju prilikom odašiljanja
zahtjeva za iniciranjem sesije ima ulogu UAC-a, ali u slučaju prijama zahtjeva za raskidanjem
sesije ponašati će se kao UAS. Slično, isti softver će za neke zahtjeve imati ulogu proxy
poslužitelja, dok se za sljedeći poziv naći u ulozi poslužitelja za preusmjeravanje.
3.5. Adresiranje
Umjesto IP adresom, odredište u protokolu SIP može biti predstavljeno URI-jem koji ima isti
format kao i e-adresa i u skladu s tim ispravna SIP adresa može biti sip:[email protected].
Korištenjem URI-a implicira upotrebu sustava imena domena DNS (Domain Name System),
kako bi se imena čvora (Host) i domene mogla mapirati u IP adrese. Povezanost protokola
SIP i DNS-a omogućava interoperabilnost telefonskih sustava i mehanizma adresiranja.
Podržavanje E.164 brojeva u DNS-u (ENUM) omogućava SIP klijentima i poslužiteljima da
šalju i primaju telefonske brojeve umjesto SIP URI-a u porukama te da ih usmjeravaju u
razumljivom obliku. Osim SIP URI-a podržan je i SIPS URI, koji podrazumijeva primjenu
sigurnosnog mehanizma. Poziv prema SIPS URI-u garantira da je siguran, kriptografski
zaštićen transport (TLS – Transport Layer Security) korišten za prijenos svih SIP poruka od
pozivatelja do domena pozvanog.
3.6. SIP poruke
SIP je s kraja-na-kraj klijent poslužitelj, tekstualno bazirani protokol. Klijent šalje zahtjeve
(Request), a poslužitelj po prijemu poruke zahtjeva šalje jednu ili više poruka odgovora
(Response). Poruke zahtjeva i poruke odgovora se sastoje od:
početne linije koja određuje tip poruke;
jednog ili više polja zaglavlja koji određuje atribute poruke i mijenjaju značenje
poruke;
prazne linije koja označava kraj polja zaglavlja;
te opcionalno od tijela poruke koji se koristi za opis sesije ili može sadržavati
tekstualne ili binarne podatke bilo kojega tipa koji su na neki način povezani sa
sesijom.
Tipovi tijela poruke mogu biti: protokol za opis višemedijskih sesija SDP, standard za
višenamjensku poštu Interneta MIME (Multipurse Internet Mail Extensions) ili neki drugi tip
kojega IETF definira. Sve SIP implementacije moraju podržati protokol SDP. Za ugovaranje
karakteristika sesije protokol SIP koristi model ponude i odgovora (Offer/Answer Model).
Jedan UA šalje opis sesije u kojemu predlaže željeni način komunikacije (audio, video, igra) i
pripadne tipove kodeka te adrese za prijam medija. Drugi UA u odgovoru navodi koji je od
predloženih sredstava komunikacije prihvatio i uključuje adrese na kojima će primati
prihvaćene medije. Tijekom sesije, koristeći isti model, UA može mijenjati ogovorene
parametre.
Protokol SIP jasno razlikuje signalnu informaciju sadržanu u SIP početnoj liniji i zaglavljima
od opisa sesije koja je izvan okvira protokola SIP. Redoslijed SIP zaglavlja u poruci je
proizvoljan.
3.6.1. Poruke zahtjeva
U poruci zahtjeva, prikazanoj na slici 3.3, početna linija zahtjeva sastoji se metode (tipa
poruke), Request URI-a koji određuje korisnika ili uslugu kojoj je zahtjev upućen te verzije
SIP protokola.
Svaki SIP zahtjev sadrži polje, nazvano metoda koja označava njegovu svrhu. Temeljna SIP
specifikacija (RFC 3261) definira šest SIP metoda od kojih svaki ima različitu namjenu:
INVITE – inicira sesiju pozivajući korisnika da sudjeluje u njoj;
ACK – potvrđuje da je klijent primio finalni odgovor na INVITE zahtjev;
BYE – inicira prekid sesije;
CANCEL – poništava SIP zahtjev na koji još nije stigao finalni odgovor;
REGISTER – registrira lokaciju korisnika u registracijskom poslužitelju;
OPTIONS – upit o mogućnostima poslužitelja (metode, ekstenzije SIP-a, kodeke itd.
koje podržava).
Slika 3.3: format poruke zahtjeva
Prva linija prikazuje da se radi o INVITE poruci za kreiranje sesije. URI u prvoj liniji naziva
se Request-URI i sadrži URI sljedećeg koraka poruke (Next Hop). U ovom slučaju to je
192.168.0.3. Iz From i To polja zaglavlja se identificiraju pozivatelj (Caller) i pozvana strana
(Callee). From polje zaglavlja sadrži parametar tag koji služi kao identifikator dijaloga.
Call-ID polje zaglavlja je identifikator dijaloga i njegova svrha je identifikacija poruka koje
pripadaju istom pozivu. Takve poruke imaju isti Call-ID identifikator. CSeq služi kako bi se
zadržao ispravan redoslijed zahtjeva, jer se zahtjevi i šalju UDP protokolom koji može
promijeniti redoslijed poruka. Contact polje zaglavlja sadrži IP adresu i port na kojem
pozvana strana čeka zahtjeve koje šalje pozivatelj. Tijelo INVITE poruke sadrži opis tipa
medija koje pozvana strana prima, kodiranih u SDP-u.
3.6.2. Poruke odgovora
Statusna linija je početna linija u poruci odgovora kao što je prikazano na slici 3.4. Dakle,
sastoji se od verzije protokola SIP, numerički prikazanog koda odgovora (Response Code) i
pripadajuće tekstualne fraze. Kôd statusa predstavlja troznamenkasti broj koji predstavlja
rezultat pokušaja da se razumije i zadovolji poruka zahtjeva. Prva znamenka kôda statusa
definira klasu odgovora, dok preostale dvije znamenke nemaju kategorizacijsku ulogu.
Kôdovi statusa su grupirani u sljedeće klase:
1xx, Provisional – označava da je poruka zahtjeva primljena te da se zahtjev obrađuje;
2xx, Success – zahtjev je uspješno primljen i prihvaćen;
3xx, Redirection - označava da zahtjev ne može biti prihvaćen zbog pogreške klijenta;
4xx, Client Error - označava da zahtjev ne može biti prihvaćen zbog pogreške
klijenta;
5xx, Server Error - označava da zahtjev ne može biti prihvaćen zbog pogreške
poslužitelja;
6xx, Global Failure – označava da niti jedan poslužitelj ne može ispuniti zahtjev.
Slika 3.4: format poruke odgovora
Odgovori sa status kôdom 100-199 su privremeni (Provisional) i ne prekidaju SIP transakciju
za razliku od odgovora sa status kôdom 200-699 koji su finalni (Final) i ukidaju SIP
transakciju.
3.6.3. Slijed poruka između logičkih komponenti SIP-a
Općenito, SIP poruke se šalju nezavisno, obično ih u transakcije dijele korisnički agenti i
određene vrste proxy poslužitelja. Dakle, za SIP se kaže da je transakcijski protokol.
Transakcija je niz SIP poruka koje se razmjenjuju između elemenata SIP mreže, a sastoji se
od jednog zahtjeva i svih odgovora na taj zahtjev kao što je prikazano na slici 3.4. To
uključuje razmjenu privremenih odgovora kojih ne mora biti ili ih može biti nekoliko te
jednog ili više završnih odgovora. Na INVITE se može odgovoriti s više završnih odgovora
kad proxy poslužitelj dijeli zahtjev (Forking).
Slika 3.5: Slijed poruka između logičkih komponenti SIP-a
Ako je transakciju pokrenuo INVITE zahtjev, tada ona uključuje i ACK, ali samo ako završni
odgovor nije bio 2xx. Ako je završni odgovor bio 2xx, tada se ACK ne smatra dijelom
transakcije. Kao što vidimo, radi se o prilično asimetričnom ponašanju - ACK je dio
transakcija s negativnim završnim odgovorom, ali nije dio transakcija s pozitivnim završnim
odgovorima. Razlog je takvog razdvajanja važnost isporuke svih 200 OK poruka. Ne samo da
one uspostavljaju sesiju, već ih mogu generirati i višestruki entiteti kada proxy
poslužitelj dijeli zahtjev, a sve se takve poruke moraju isporučiti korisničkom agentu koji
inicira sesiju. U takvom slučaju korisnički agenti preuzimaju odgovornost i retransmitiraju
200 OK odgovore dok ne prime ACK. Može se primijetiti da se jedino odgovori na INVITE
poruke retransmitiraju!
3.7. RTP protokol
RTP (Real-time Transport Protocol) je protokol temeljen na IP-u i osigurava podršku za
prijenos real – time podataka (audio i video). Usluge koje pruža RTP su: vremenska
rekonstrukcija, otkrivanje izgubljenih paketa, sigurnost i identifikacija sadržaja. RTP je
primarno stvoren za višeodredišni (multicast) prijenos real – time podataka, ali može se
primijeniti i za pojedinačni (unicast) prijenos. Može se koristiti i za jednosmjerni prijenos, kao
što je Video-on-Demand (VoD), i za interaktivne usluge kao što je IP telefonija. RTP se
nadopunjuje s RTCP kontrolnim protokolom kako bi dobio podatke o kvaliteti prijenosa i o
sudionicima u prijenosu[7].
3.7.1. Način rada RTP protokola
Paketi poslani IP protokolom imaju nepredvidivo kašnjenje i kolebanje zbog
nesinkroniziranosti odašiljačke i prijamne strane. Real – time aplikacije zahtijevaju vremenski
sinkronizirano slanje i reprodukciju podataka. RTP omogućava vremensko označavanje,
numeraciju paketa unutar niza i razne druge mehanizme koji se brinu o pravovremenom
dolasku paketa na odredište.
RTP za rad koristi UDP protokol kako bi iskoristio njegove funkcije multipleksiranja i
zaštitne sume (Checksum). S obzirom da je RTP dizajniran primarno za višeodredišno slanje
pa mu direktna veza TCP protokola ne odgovara. Za real – time aplikacije pouzdanost
isporuke nije jednako važna kao pravovremenost dolaska podataka. Npr. prilikom zagušenja
mreže neki paketi će biti izgubljeni i aplikacija će moći reproducirati sadržaj, ali s puno nižom
kvalitetom. Ako protokol inzistira na pouzdanom prijenosu i traži da se izgubljeni paketi
ponovno pošalju, to povećava kašnjenje, zagušuje mrežu i na kraju aplikacija nema dovoljno
podataka za obradu. RTP i RTCP paketi se zato obično šalju koristeći UDP/IP usluge.
Da bi se ostvarila RTP veza aplikacija definira određeni par prijenosnih adresa. Prijenosnu
adresu čine mrežna adresa (IP adresa) i TPC ili UDP adresa. Dobiva se jedan par adresa za
podatke (mrežna adresa, RTP port) i jedan par adresa za kontrolu (mrežna adresa, RTCP
port). RTP obično koristi parni broj porta, a RTCP prvi viši neparni broj porta. U
multimedijskoj vezi svaki medij se prenosi posebnom RTP vezom sa svojim posebnim RTCP
paketima. Npr. audio i video putuju različitim RTP vezama čime je omogućeno prijamnoj
aplikaciji da bira hoće li primati samo jedan ili oba medija.
3.7.2. Svojstva RTP protokola
RTP osigurava end-to-end isporuku podataka sa real – time osobinama, kao što su
interaktivni audio i video. Sam po sebi nema nikakav mehanizam koji bi osigurao
pravovremenu isporuku podataka nego koristi niže slojeve koji imaju kontrolu nad resursima.
RTP se oslanja na RSVP za rezervaciju resursa i osiguravanje tražene kvalitete usluge (QoS) i
na UDP (ili neki drugi prijenosni protokol) za multipleksiranje i zaštitnu sumu. Za razliku od
drugih načina prijenosa podataka RTP ne osigurava pouzdanost isporuke ni kontrolu toka
podataka ili zagušenja mreže. On osigurava vremenske oznake i numeraciju paketa, a o
implementaciji se brine sama aplikacija.
4. SBG PRISTUPNIK
Pristupnik SBG (Session Border Gateway) je visoko performansi čvor za kontrolu sesije.
Pristupnik SBG pruža mogućnost za svu signalizaciju i tokove medija (Media Streams), kao
što su audio i video, koji prolaze kroz mrežne granice (Network Borders). SBG pruža cjelovit
skup funkcija koji je potreban za pristupanje i povezivanje IP višemedijskih sustava (IMS) i
IP multimedijskih mreža s očuvanom sigurnosti, privatnosti i kvalitetom usluge (QoS).
Pristupnik SBG osigurava sigurnost mreže, zaštitu od zloupotrebe pojasne širine ( Bandwidth
Fraud Protection), skrivanje topologije, kvalitetu usluge, uslugu na razini sporazuma,
NAT/FW posredovanje nad tokovima podataka i druge važne funkcije za IP tokove u
realnom vremenu [1].
4.1. Problemi u multimedijskim mrežama rješavani SBG pristupnikom
Operatori multimedijskih mreža, na primjer jezgrene mreže IP višemedijskih sustava (IMS),
sučeljavaju se s brojnim izazovima povezanim sa sigurnosti i kvalitetom usluge. Ovo
poglavlje ukratko uvodi na takve probleme i kako pristupnik SBG rješava te probleme.
Operatori multimedijskih mreža moraju zaštiti središnje dijelove svoje mreže kao što su
čvorovi za funkcijsko upravljanje sesijama i pozivima CSCF (Call Session Control Function),
aplikacijske poslužitelje te medijske poslužitelje od različitih vrsta sigurnosnih prijetnji.
CSCF je središnji čvor koji predstavlja „srce“ IMS sustava i ima funkcije povezivanja
dijelova za ostvarivanje poziva. Zadužen je za uspostavu, nadzor i prekid ili proširenje
multimedijskih poziva. Pristupnik SBG je nužan za osiguravanje takve zaštite, bez
ugrožavanja usluge koje se pružanju krajnjim korisnicima.
U multimedijskim mrežama temeljenim na IP-u također je važno kako bi se spriječile
zlouporabe (prijevare) pojasne širine i QoS-a za korisnike. SBG pristupnik sadrži
funkcionalnosti potrebne kako bi se osiguralo sprječavanje zlouporabe QoS-a i pojasne širine.
U većini slučajeva, korisnici širokopojasnih IP pristupnih mreža su korisnici (Host) usluga
prevođenja mrežnih adresa NAT (Network Address Translators) ili Vatrozida (Firewalls).
NAT ili FW omogućuje samo promet na korisničkim portovima ako je korisnik prvi poslao
neki početni promet od porta. U IP multimedijskim mrežama to dovodi do poznatog
problema uspostave sesije od jezgrene mreže do korisnika iza NAT/FW. Pristupnik SBG
osigurava sredstva za rješavanje ovoga problema ako se postavi između jezgrenih i pristupnih
mreža.
3GPP (Third Generation Partnership Project) i ETSI (European Telecomummunications
Standard Institute) su standardizirali IMS za korištenje SIP-a kao protokola za kontrolu sesije,
ali još uvijek postoje multimedijske mreže temeljene na protokolu H.323. Pristupnik SBG
sadrži značajke koje će omogućiti međusobni rad NNI sučelja (Network-to-Network
Interface) i PNI sučelja (Private Network Interface).
Biti na vrhu performansa mreže i zahtjeva na razini usluga (Service Level Agreements) je u
središtu operacija IP mreža. Sposobnost SBG pristupnika za praćenje dijagnostike sesije i
pristupnih podataka na osnovu temelja sesije i na temelju mreže čini SBG ključnim čvorom za
nadzor performansi mreže.
4.2. SBG pristupnik i njegova uloga u mreži
SBG pristupnik nalazi se na granicama mreže. U ovom kontekstu, granica mreže je krajnja
točka mnogim IP infrastrukturama gdje sesija prelazi iz jedne mreže (ili dijela mreže) u drugu.
Granica se može definirati kao rub nositeljske mreže (Carrier Networks) ili kao točka
razgraničenja između mreže i njenih nositelja. Neke granice mreže se mogu pojaviti između
različitih dijelova unutar jedne nositeljske mreže.
Slika 4.1 prikazuje ulogu pristupnika SBG na različitim lokacijama na granicama jedne IMS
jezgrene mreže. Kao što je prikazano na slici, pristupnik SBG se sastoji od dva dijela: Session
Gateway Controller (SGC) koji upravlja signalizacijom nadzorne razine i Media Proxy (MP)
koji upravlja prometom medijske razine.
Slika 4.1: Uloga pristupnika SBG u IMS/NGN mreži
U Ericsson-ovom IMS mrežnom rješenju, pristupnik SBG ima pet različitih zadataka:
1. Na NNI granici između IMS jezgrene mreže i stranih SIP mreža: pristupnik SBG
implementira funkciju upravljanje kontrolom povezanosti IBCF (Interconnection
Border Control Function), funkciju odluka o nadzoru usluga SPDF (Service Policy
Decision Function) i funkciju za povezivanje graničnih pristupnika I-BGF
(Interconnection-Border Gateway Function) u skladu s TISPAN R1 NGN/IMS
funkcijama arhitekture.
2. Na NNI granici između SIP IMS jezgrene mreže i stranih H.323 mreža: pristupnik
SBG implementira funkcije međudjelovanja IWF (Interworking Function).
3. Na UNI granici između IMS jezgrene mreže i pristupnih mreža sa SIP
korisničkom opremom (UE): pristupnik SBG se ponaša kao Access Level
Gateway (A-ALG) što znači da implementira dijelove proxy funkcijskog
upravljanja sesijama i pozivima (P-CFCS) kao i druge funkcije potrebne za zaštitu
i podršku IMS jezgrene mreže. Osim toga, SBG implementira funkcije odluka o
nadzoru usluga SPDF i funkciju jezgrenih graničnih pristupnika C-BGF (Core-
Border Gateway Function) u skladu s TISPAN R1 NGN/IMS arhitekture.
4. Na PNI granici između IMS jezgrene mreže i pristupnih mreža s korisnicima iza
SIP telefonske IP centrale IP-PBX (IP Private Branch Exchanges): pristupnik
SBG se ponaša A-ALG i SPDF te C-BGF.
5. Na PNI granici između IMS jezgrene mreže i pristupnih mreža s korisnicima iza
H.323 telefonske IP centrale IP-PBX: pristupnik SBG se ponaša kao za SIP IP-
PBX te dodatne implementacije SIP/H.323 IWF.H.323-H.323 poziva nisu
podržane i H.323 pozivi trebaju ići na SIP/IMS jezgrenu mrežu.
Kao što je prikazano na slici 4.1., pristupnik SBG koji se nalazi između IMS jezgrene mreže i
pristupne mreže (UNI or PNI) se naziva A-SBG (SBG podržava sučelje pristupne mreže). U
bilo kojim NNI pozicijama pristupnik SBG se naziva N-SBG (SBG podržava sučelje između
mreža). Jedno od mrežnih sučeljavanja N-SBG-a se smatra „vlastita IMS jezgrena mreža“ jer
pripada istim operatorima kao N-SBG. Također, dvije funkcije A-SBG i N-SBG se mogu
nalaziti-surađivati unutar istog SBG-a.
SBG pristupnik općenito djeluje sa stanjem sesije B2BUA koji prekida SIP signalizaciju od
jedne mreže te nakon izmjene dolazećih poruka uspostavlja signalizaciju (SIP ili u slučaju
uzajamnog rada, H.323) na drugu mrežu. Na taj način, B2BUA omogućava skrivanje
topologije, NAPT (Network Address Port Translation), itd.
4.3. Ključne značajke SBG pristupnika
Ključne značajke SBG pristupnika su:
Mrežna sigurnost
- opseg zaštite IMS jezgrene mreže: filtriranje, zaštita od preopterećenja i
ograničenje brzine se koristi za blokiranje IP preplavljenog prometa te osigurati
zaštitu od DoS (Denied of Service) napada.
- prijavljivanje i uzbunjivanje za napade na mrežu i sigurnosno srodnim događajima.
- SIP i H.323 provjera valjanosti poruke: provjera sintaksu poruke.
Višeulazna/MIME (Multipurpose Internet Mail Extensions) tijela podržavaju SIP
protokol, koji omogućuje upravljanje SDP protokola (kao i prosljeđivanje na
primjer SIP protokola s enkapsuliranim ISUP (SIP-I).
- podesiva maksimalna veličina poruka SIP-a.
- skrivanje topologije: nema informacija povezanih s IP adresama koje se koriste u
IMS jezgrenoj mreži ili se od strane korisnika prosljeđuje signalizacijskim
porukama za pristupne mreže ili strane mreže.
- omogućivanje operatoru konfiguraciju pristupnika SBG u svrhu ograničenja
primjerice, informacije o topologiji prema korisnicima, kada RTP paketi se
prosljeđuju.
- ažuriranje adresa ili portova kod SDP ili H.245 protokola da direktni medijski
tokovi prođu kroz pristupnik SBG.
- ulaz za medijske tokove za zaštitu od zlouporabe pojasne širine: samo medijski
tokovi odgovaraju promatranom stanju signalizacije i dopušteni SDP ili H.248
parametri se prenose, to jest, SBG se ponaša kao dinamički smanjen kapacitet za
medijske tokove.
- upravljanje pojasnom širinom za medijske tokove, na temelju informacija SDP-a
ili H.248 u signalizaciji; logiranje i uzbunjivanje predimenzioniranih medija.
- IPsec (IP security) za nadzor, npr. kontrolne razine i OAM prometa.
Osiguravanje QoS-a
- kontrola pristupa kako bi se osiguralo da SBG pristupnik nije previše korišten s
obzirom na uporabu pojasne širine.
- provođenje politike operatora za označavanje paketa QoS-a: DiFFServ
(Differentiated Services) broj bodova.
Proxy registracijska funkcionalnost
- A-SBG dopušta samo signalni promet od i do korisnika koji su registrirani u IMS
jezgrenoj mreži (Home Subscriber Server(HSS)). HSS je baza pretplatnika u kojoj
se provjeravaju ovlasti i identitet korisnika. Također pokazuje koju mrežu
pretplatnik koristi. Proxy registracijska funkcionalnost također uključuje
upravljanje stanjem registracije.
- A-SBG može biti konfiguriran tako da prihvati hitne pozive i od neregistriranih
korisnika.
- implicitna registracija je također podržana.
- proporcionalnost poruka registracije koji sprečava preopterećenje registracije IMS
jezgrene mreže ograničenjem posjetitelja.
- optimiziranje autentičnosti je podržano.
Povezivost
- NAPT (Network Address Port Translation) se obavlja i na signalizacijskim i na
medijskim tokovima kako bi se omogućile sesije preko različitih područja adresa.
- mjesta preklapanja adresa u pristupnoj mreži.
- zaglavlja MSRP-a (Modifying Message Session Relay Protocol) omogućava s
kraja-na-kraj uzajamni rad.
- NAT/FW posredovanje nad tokovima podataka obuhvaća: i SIP registration state
managment i Users Agent (UA) početne metode kako bi trenutne obveze bile
otvorene u NAT/FW u prostoru naručitelja i na taj način osigurati da signalizacija
vezana za UA može proći NAT/FW.
- SIP protokol se prenosi preko protokola UDP i protokol za upravljanje
retransmisijskim slijedom SCTP budući da je UDP nepouzdan protokol. To
uključuje three-way razmjenu između korisnika prilikom uspostave sesije. SIP
protokol se rijetko prenosi pomoću TCP protokola.
podrška za telefonske IP centrale (IP-PBX)
- H.323 i SIP protokol. Obje vrste IP-PBX-a su podržane.
- prepoznavanje koji promet ide na i od telefonskih IP centrala i primijeniti posebno
upravljanje na poruke.
SIP i H.323 usmjeravanje je dinamičko lociranje SIP poslužitelja korištenjem DNS-a
(Domain Name System)
- omogućuje geografsku redudatnost na mrežnoj razini.
Upravljanje hitnim pozivima
- hitni pozivi su identificirani i prioritet i u kontrolnom i u medijskom području.
- hitni pozivi mogu biti prihvaćeni i od neregistriranih korisnika.
- za hitne pozive dostupnost usluga se osigurava prisilnim oslobađanjem ne-hitnih
poziva u slučaju nedostatka pojasne širine medija.
Ograničenje mobilnosti putem geografskog položaja
- umetanjem geografskih podataka o lokaciji po pristupnoj mreži u SIP poruke
olakšava ograničenje usluga ovisi o lokaciji korisnika.
Pretvorba signalizacije između SIP i H.323 mreže
- kada je sučelje H.323 mreže, N-SBG pristupnik obavlja SIP-H.323 i uzajamni rad
H.323-SIP protokola korištenjem postupka brzog povezivanja.
Zaštita od preopterećenja
- nadzorno područje zaštite od preopterećenja, na primjer za ublažavanje
prekobrojnih registracija.
Visoka dostupnost
- za redundantnost upravljanja sesijama i prijenos medija.
- nema ni jednu točku propusta.
Arhitektura za fleksibilnu konfiguraciju
- zasebni signalni i medijski entiteti omogućuje SBG pristupniku učinkovitu
konfiguraciju s odgovarajućim kapacitetom, ovisno o implementaciji. H.248
protokol je koristi između signalnih i medijskih entiteta.
- SBG pristupnik može biti konfiguriran tako da istovremeno djeluje kao A-SBG i
N-SBG.
- SBG pristupnik je označen kao jedna funkcionalna cjelina.
Sučelje za Gigabit Ethernet
- nadzorno područje, OAM i DNS preko funkcija usmjerivača.
- medijsko područje preko dodijeljenih medijskih portova ili preko funkcija
usmjerivača.
Dijagnosticiranje QoS-a i SLA sučelja za nadzor u skladu 3GPP PM XML formatu
- brojači, mjerači i bilješke za posebne korisnike i sažetci po mreži.
5. ARHITEKTURA PRISTUPNIKA SBG
5.1. Općenito
SBG pristupnik se temelji na IS arhitekturi. Ericsson Integrated Site (IS) pruža zajedničku
infrastrukturu koja objedinjuje napajanje, hlađenje, spremanje podataka, Ethernet komutacija,
IP preusmjeravanje i administraciju za brojne aplikacije i sustave temeljene na Ericsson Blade
System tehnologiji. Blade System domena se sastoji od dvije vrste IS aplikacija, Session
Gateway Controller (SGC) i Media Proxy (MP), i upotrebljava tri tipa IS infrastrukture. Slika
5.1 prikazuje logički pogled na aplikacijski i infrastrukturni sustav modula odnosno Blade
System.
IS pruža funkcije za zajedničke zadatke kao što su hardversko i softversko upravljanje, L2 i
L3 povezivnost i elastičnost, i opseg zaštite. IS koncept služi da sve razvijenije i razvijenije
tehnologije postanu dostupnije za pružanje ovih funkcija [1].
SBG pristupnik koristi prebacivanje, usmjeravanje i podršku funkcijama koje pruža
infrastruktura IS aplikacija tzv. IS Blade System koji se sastoji od sljedećih modula:
glavna komutacijska ploča (Main Switch Board - MXB)
IS rubni usmjeritelj (IS Edge Router - ISER)
Site Infrastructure Support (SIS)
- IS zajedno s OAM i podrška funkcijama
- podrška za korisničko grafičko sučelje GUI (Graphical User Interface -)
- Netconf i podrška za sučelje naredbenih linija CLI (Command Line Interface )
SGC i MP sustav modula sadrži glavne SBG funkcije za kontrolnu razinu i medijsku razinu.
SGC implementira B2BUA funkcije i SIP-H.323 funkcijsko međudjelovanje koje kontrolira
funkcije dinamičkog smanjena kapaciteta implementirane na MP-u. Također, MP
implementira i SBG OAM funkcije i podsustav sučelja s IS-om zajedno s OAM funkcijama.
Slika 5.1: Logički pogled na aplikacijski i infrastrukturni sustav modula
Kod IS-a postoji razlika između Plug-In Units (PIU), modula, sustava modula i domena
sustava modula.
PIU je hardverska jedinica koja se može umetnuti ili ukloniti iz glavnog podstalka
(Subrack) i može se sastojati od jedne ili nekoliko pločica (npr. od glavne pločice i
rezervne pločice).
Modul (blade) je najmanja jedinica prepoznata od IS-a i koja se sastoji od PIU i
jednog ili više operacijskih sustava.
Sustav modula (blade system) se sastoji od jednog ili nekoliko modula i softvera
pokretanog na njima. Ako se sustav modula sastoji od više od jednog modula,
jedan od modula obavlja OAM funkcije i funkcije podrške za sustava modula.
Višestruki sustavi modula također mogu tvoriti domenu sustava modula (Blade
System Domain ), što znači da su ti moduli upravljani kao zasebne cjeline, npr. za
OAM perspektivu.
SBG domena sustava modula sastoji se od niza aplikacijskih modula koji su grupirani unutar
sustava aplikacijskih modula:
dvaju ili više SGC modula. SGC moduli su grupirani u parovima gdje svaki par
formira SGC sustav modula.
dvaju ili više MP modula. MP moduli u grupirani u parovima gdje svaki par formira
O&M i Media Proxy (OMMP) ili MP sustav modula.
SBG koristi niz infrastrukturnih modula grupiranih u sustav modula:
dva MXB modula od kojih svaki pojedini modul čini zaseban sustav modula
dva SIS modula koji zajedno čine jedan sustav modula
dva ISER modula od kojih svaki pojedini modul čini zaseban sustav modula
Svi aplikacijski i infrastrukturni moduli se dupliciraju u pravilu kako bi se osigurala
redundancija.
5.2.Hardver
U praksi, IS objekt je poboljšani generički Ericsson magazin EGEM (Enhanced Generic
Ericsson Magazine) koji osigurava 26 mjesta (slotova) po glavnom podstalku kao što je
prikazano na slici 5.2. Mjesta 0 i 25 su rezervirana za MXB-ove i širine su 30 mm. Mjesta od
1 do 24 su širine 15mm. Glavni podstalak sadrži redundantnu Gigabit Ethernet matricu
(Backplane) sa redundantnim 1Gbit/s sučeljem po mjestu.
Svaki od PIU koji se koriste kod SBG konfiguracije je 30mm širine (SGC, MP, ISER, MXB i
SIS). Kada je IS glavni podstalak opremljen s potrebnom IS sustavom modula infrastrukture,
ostaje mjesta za četiri SBG sustava modula aplikacija. Barem jedan SGC i jedan MP sustav
modula je potreban a preostali prostor za dva sustava modula može biti iskorišten za bilo koju
kombinaciju SGC ili MP sustava modula.
Slika 5.2: Prednji fizički pogled na primjeru SBG konfiguracije.
5.3.Komponente SBG pristupnika
5.3.1. IS infrastrukturni sustav modula
IS LAN funkcije komutiranja su obavezan dio IS infrastrukture i ostvaruje se glavnom
komutacijskom pločom MXB (Main Switch Board ). Ukupna funkcija MXB-a može se
promatrati kao niz osnovnih funkcija:
Ethernet fizički i podatkovni sloj veze,
otporniji (redundantan, samo-obnovljiv) podatkovni sloj,
Virtualni LAN-ovi (VLAN) za razdvajanje prometa,
Layer 2 prioritet signalizacije za razlikovanje prometa,
Ethernet prosljeđivanje okvira.
SIS modul omogućuje sljedeće funkcije koje SBG koristi:
ISM (Integrated Site Managment) koji sadrži elemente upravljanja i GUI,
upravljanje greškama,
upravljanje softverom, upravljanje hardverom,
upravljanje sigurnosti,
upravljanje sučelja prema računalu,
usluge poslužitelja datoteka za aplikacije i infrastrukturne sustave modula,
DHCP poslužitelj, NTP,
operativni i sistemski zapisi prijavljivanja.
Sustav modula IS rubnog usmjeritelja (ISER) pruža L3 IP usluge prema IS radnom okruženju
zahtijevanog od SBG pristupnika. Ponuđene usluge su L3 umjeravanje, QoS obrada, L3
elastičnost, odvajanje prometa, zaštita prometa od vanjskih zlonamjernih korisnika
dodavanjem usluge IPsec (IP security), filtriranje sigurnosti bez pamćenja stanja i tuneliranje.
IPsec kodiranje i autentifikacijski protokoli štite L3 promet. Protokol IKE (Internet Key
Exchange) djeluje kao kontrolna aplikacija za obavljanje i održavanje IPsec usluga. IPsec
usluga za obradu funkcija omogućuje ESP (Encapsulated Security Protocol) kodiranje i ESP
autentifikaciju za transportni i tunelski mod rada.
SBG pristupnik može koristiti IPsec za zaštitu npr. signalizacije i OAM promet. Vanjska
sučelja SBG pristupnika se osiguravaju Gigabit Ethernet portovima ISER sustava modula
koji mogu biti opremljeni s bilo kojim od sljedećih vrsta primopredajnika:
1000Base-LX: sučelje prema jednomodnom i višemodnom optičkom vlaknu
1000Base-SX: sučelje prema višemodnom optičkom vlaknu.
5.3.2. IS aplikacijski sustav modula
Session Gateway Controller
SGC (Session Gateway Controller) predstavlja kategoriju mrežne opreme kako bi se
omogućila interaktivna komunikacija preko granica IP mreža. SGC-ovima je usko integrirana
signalizacija i kontrola medija i služi kao tranzitna točka za cijelu signalizaciju i tokove
medija koji prolaze kroz mrežu poslužitelja usluga što je prikazano na slici 4.1.
SGC entitet se nalazi na administrativnoj granici mreže za provođenje pravila na sesijama
multimedije. Općenito SGC omogućava:
- skrivanje topologije unutarnje mreže prema vanjskim mrežama,
- vrši nadzor pojasne širine,
- obavlja dinamičko smanjenje kapaciteta,
- obavlja kontrolu QoS-a,
- obavlja kontrolu pristupa,
- štiti od DoS napada.
Kako je namijenjen za zaštitu unutar jezgrene mreže, SGC ne smije:
- sakriti topologiju vanjske mreže,
- zabraniti pristup prema vanjskim mrežama.
Aplikacijski sustav modula SGC može biti konfiguriran kao:
A – SGC s A-ALG (Access-Application Layer Gateway) i SPDF (Service Policy
Decision Function) čvorovima čini sučelje prema UNI i SIP NNI sučelju i dodatnim
IWF (Interworking Function) čvorom za H.323 PNI sučelje.
N – SGC s IBCF (Interconnection Border Control Function) i SPDF čvorovima čini
sučelje prema SIP NNI sučelje.
N – SGC s IBCF i SPDF čvorovima čini sučelje prema UNI i SIP NNI sučelju i
dodatnim IWF (Interworking Function) čvorom za H.323 PNI sučelje.
Sve tri konfiguracije podržavaju SIP protokol definiranim 3GPP i TISPAN standardizacijskim
tijelom te SIP-H.323 IWF također imaju sposobnost međusobnog međudjelovanja između SIP
i H.323.
B2BUA na N-SGC i A-SGC sadrži funkcije za skrivanje topologije signalizacijskog prometa,
za sidrenje medija u MP i za kontroliranje zaštite od dinamičkog smanjena kapaciteta.
Temeljen na SDP signalizaciji i konfiguraciji, SGC također omogućuje i druga rješenja za
medijsku razinu kao što je stupanj nadzora pojasne širine, ako RTCP treba proslijediti, i
medijske QoS postavke. Usmjeravanje prometa nadzorne razinu se izvršava pomoću DNS
poslužitelja.
Osim toga, A-SGC evidentira koji korisnici su registrirani i provodi signalizaciju samo od
takvih korisnika prema SIP poslužitelju, i dopušta samo medijskim tokovima prolazak kroz
MP do registriranih korisnika. Također, A-SGC detektira potrebu za implementaciju
NAT/FW funkcija, preuzima potrebne aktivnosti nadzorne razine te naređuje MP-u za
izvođenje odgovarajućih aktivnosti medijske razine.
SGC blokira nadzornu razinu kod DoS napada te osigurava srodna prijavljivanja i alarmira u
cilju zaštite IMS jezgrene mreže. SGC također pruža dijagnostiku kontrolne razine te naređuje
prikupljanje dijagnostičkih informacija medijske razine od strane MP. Statistika se može
prikazati po mreži i također po SGC-u za pojedine sesije.
Kako SBG pristupnik može biti opremljen s više od jednim MP sustavom modula, SGC ima
sposobnost da istovremeno kontrolira više MP-ova te da distribuira promet medijske razine
preko njega.
Media Proxy
Media Proxy može biti konfiguriran ili kao OMMP aplikacijski sustav modula ili kao MP
aplikacijski sustav modula. U svakoj SBG domeni sustava modula, jedan par MP modula je
konfiguriran kao OMMP sustav modula a ostali parovi su konfigurirani kao MP sustavi
modula. OMMP sustav modula obavlja sve zadatke MP sustava modula i osim toga ima
zadaću da koordinira SBG aplikacijama prema specifičnim OAM funkcijama SBG
pristupnika.
Prema 3GPP i TISPAN specifikacijama, MP aplikacijski sustav modula se sastoji od C-BGF
ili I-BGF te upravlja sesijama medijske razine, uspostavljenoj preko SBG pristupnika,
prosljeđujući UDP i TCP pakete prema toku instrukcija dobivenih od SBG-a. Na taj način MP
osigurava funkcije dinamičkog smanjenja kapaciteta. Po nalogu SGC-a, MP nadzire svaki tok
u smislu nadziranja pojasne širine, smjera, L4/L5 protokola i nadzora RTCP protokola.
MP štite čvorove IMS ili TSS jezgrene mreže od DoS napada blokirajući zlonamjeran promet.
Alarmiranje je dostupno kod MP-a kako bi operator bio svjestan mogućih pokušaja napada.
6. PROMET NA SBG PRISTUPNIKU
U ovom poglavlju analiziran je promet na pristupniku SBG u okviru sustava TSS 4.x i to:
poziv iz jezgrene mreže (Core Network) prema stranoj mreži (Foreign Network) i obratno,
poziv iz strane mreže prema jezgrenoj mreži. Domena jezgrene mreže označava djelovanje
vlastite mreže, dok pojam strane mreže se odnosi na mreže drugih operatera. Analiza
snimljenih poziva daje uvid u način funkcioniranja SBG pristupnika u realnim uvjetima.
Pristupnik SBG je glavni sigurnosni element VoIP mreža. Koriste se pri povezivanju s drugim
operatorima ili s korisnicima usluga, koje štite od zloporabe te pokušaja uskraćivanja usluge
odnosno DoS napada (Denial of Service). Operatorima omogućuju i zaštitu i prikrivanje
konfiguracije mreže (topologije) te skrivanje IP adresa od drugih operatora ili korisnika, kao i
transparentno povezivanje korisnika.
6.1. Opis testiranja
U okviru ovog poglavlja opisana je komunikacija između dva TSS sustava odnosno dva TSS
čvora. Komunikacija se odnosi na pozive temeljene na SIP protokolu. Jedan TSS sustav
(TSS1) je dio jezgrene mreže dok je drugi TSS sustav (TSS2) dio strane mreže.
Slika 6.1: Komunikacija između dva TSS sustava
Snimanje i analiza prometa na pristupniku SBG između dva TSS sustava se vršila pomoću
programa Wireshark. Program Wireshark je softver koji se koristi za analizu mreže odnosno
mrežnih paketa i ispravljanje mrežnih problema.
Na slici 6.1 prikazana je komunikacija između dva TSS sustava. TSS koristi softver za
uspostavu veze između uređaja, upravljanje glasom i podacima, kao i usmjeravanje poziva
kroz različite tipove mreža. U ovom slučaju, TSS sustav je prikazan kao skup dvaju čvorova i
to: telefonskog poslužitelja TeS i medijskog pristupnika MGW. Ostali čvorovi nisu prikazani
iz razloga da bi se lakše objasnila ovakva komunikacija. Telefonski poslužitelj TeS je
direktno spojen sa krajnjim uređajima. Pristupnik SBG se sastoji od dva čvor: SGC čvora i
MP čvora. Pristupnik SBG je smješten na granicama pojedine mreže a ima funkciju kontrole.
U smislu kontrole, podrazumijeva se pitanje sigurnosti, kvaliteta usluge te NAT/FW
posredovanja nad tokovima podataka.
Komunikacija počinje u trenutku kada neki krajnji/telefonski npr. uređaj1 koji se nalazi u
domeni jezgrene mreže želi uspostaviti sesiju s drugim krajnjim/telefonskim npr. uređajem 2
koji se nalazi u domeni strane mreže. Telefonski uređaj 1, koji je direktno spojen na telefonski
server TeS, preko vlastitog pristupnika SBG uspostavlja komunikaciju sa stranom mrežom,
preko njihovog SBG pristupnika, do telefonskog uređaja 2. Analiza snimljenog prometa te
neke dodatne informacije o komunikaciji između dva TSS sustava je dana u sljedećem
poglavlju.
6.2. Analiza prometnih podataka
U ovom poglavlju je analiziran promet na pristupniku SBG1 između dva TSS sustava.
Analiza prometa je podijeljena na dva dijela: prvi dio se odnosi na poziv upućen iz jezgrene
mreže prema stranoj mreži dok drugi dio se odnosi na poziv upućen iz strane mreže prema
jezgrenoj mreži. Snimanje i analiza prometa na pristupniku SBG se vršila pomoću program
Wireshark. Osim analize prometa, program Wireshark ima i neke druge mogućnosti kao:
otklanjanje problema na mreži,
analiza sigurnosnih ranjivosti,
razvoj i implementacija novih protokola te
učenje o mrežnim protokolima.
6.2.1.Promet od jezgrene prema stranoj mreži
Krajnji uređaj 1 inicira sesiju s krajnjim uređajem 2 koji se nalazi u domeni strane mreže.
Krajnji uređaj 1 je direktno povezani s TSS sustavom odnosno s telefonskim serverom TeS1.
U domeni jezgrene mreže, telefonski server TeS1 preko SBG1 pristupnika komunicira s
krajnjim korisnikom 2. Pristupnik SBG vrši skrivanje topologije te mijenjanje IP adresa dok
pristupnik SBG iz domene strane mreže propušta promet do telefonskog servera TeS koji ga
prosljeđuje do krajnjeg korisnika 2. Skrivanje topologije i mijenjanje IP adrese se odnosi i na
kontrolnu i na medijsku razinu.
Slika 6.2: Signalizacija u smjeru jezgrena – strana mreža
Na slici 6.2 je prikazana signalizacija koja se odnosi na poziv usmjeren od jezgrene prema
stranoj mreži (crvene linije). Nakon iniciranja sesije i dogovaranja niza parametara kao što su
sigurnosni parametri, kriptografska zaštita, usluge zaštite privatnosti slijedi uspostava sesije
odnosno prijenos podatak RTP protokolom (plave linije). Medijski pristupnici MGW
obrađuju digitalne uzorke govora tijekom razgovora kao i video zapise tijekom video
konferencije. Medijski podaci (glas, faks, podaci te video zapis ) prenose se kroz IP mrežu
putem RTP protokola. Telefonski server TeS ima ulogu signalnog pristupnika između SIP i
ISUP protokola te vrši kontrolu MGW pristupnika.
Sustav TSS1 ima IP adresu 10.100.65.22. Pristupnik SBG1 ima IP adresu 10.101.86.52 unutar
jezgrene mreže te IP adresu 10.101.64.68 prema vanjskoj mreži kada signalizacije ide u
smjeru jezgrena-strana mreža. Sustav TSS2 ima IP adresu 10.100.64.22.
Pomoću program Wireshark vrši se analiza SIP poruka na kojima se uočava zaštita podataka
VoIP korisnika koju omogućava pristupnik SBG. Funkcionalnost pristupnika SBG u sustavu
TSS 4.0 najviše se očituje kroz mijenjanje IP adresa i skrivanje topologije prema stranim
mrežama. Kod drugih sustava, pristupnik SBG ima drukčije i bolje funkcionalnosti nego u
TSS 4.0 sustavu.
Mijenjanje IP adresa se vrši u contact headeru SIP poruke kao što je prikazano na slici 6.3.
Pristupnik SBG skriva IP adresu (zelena linija) onoga tko inicira promet (wl105) što znači da,
za pristupnik SBG i sustav TSS 2, signalizacija potječe od IP adrese 10.100.65.22 što
odgovara IP adresi sustava TSS 1.
Slika 6.3: Mijenjanje IP adresa i skrivanje topologije na prvoj poruci
Slika 6.4: Mijenjanje IP adresa i skrivanje topologije na drugoj poruci
Via header (žuta linija) predstavlja korak (hop) poruke. U ovom slučaju to je poruka od
skrivenog krajnjeg uređaja1 koji se označen s wl105. Skrivanje topologije vrši se tako da se u
svakom koraku SIP porukom šalje informacija samo o sadašnjem koraku a ne o sadašnjem i
prethodnom koraku što je slučaj kod komunikacije od strane prema jezgrenoj mreži.
Zaključak ovoga jest da se analizom paketa ne može rekonstruirati topologija (konfiguracija)
mreže, što znači da se ne može saznati ništa o prethodnom koraku (Previous Hop), tj.
topologija mreže ostaje skrivena. Skrivanje topologije onemogućava širenje zaraženih
programa što dovodi do uskraćivanje usluge. Primjer skrivanja topologije dan na slici 6.3. i
slici 6.4. označeno žutom linijom.
6.2.2. Promet od strane prema jezgrenoj mreži
Krajnji uređaj 2 inicira sesiju s krajnjim uređajem 1 koji se nalazi u domeni jezgrene mreže.
Krajnji uređaj 2 je direktno povezan s sustavom TSS2 odnosno s telefonskim serverom TeS2.
U domeni strane mreže, telefonski server TeS2 preko SBG2 pristupnika komunicira s
krajnjim korisnikom 1. Pristupnik SBG1, na kojem se snima promet i koji se nalazi u domeni
jezgrene mreže, ne smije sakriti topologiju strane mreže Ovo se odnosi i na kontrolnu i na
medijsku razinu.
Slika 6.5: SIP poruka od strane prema jezgrenoj mreži
U ovom slučaju, pristupnik SBG1 samo prosljeđuje promet kao što je prikazano na slici 6.5.
Za pristupnik SBG1 na kojem se snima promet, krajnji korisnik 2 sadrži IP adresu
10.100.64.22 (zelena linija) odnosno to je IP adresa sustava TSS2. Neskrivanje topologije
mreže očituje se kroz dva via headera (žuta linija).
Pristupnik SBG je temeljni sigurnosni element VoIP mreža koji omogućuje i zaštitu i
prikrivanje konfiguracije mreže (topologije) te skrivanje korisničke IP adrese od drugih
operatora ili korisnika. Odvajanje korisničke IP adrese i skrivanje topologije se može uočiti na
sl.6.4 i sl.6.5. Skrivanje korisničke IP adrese, pohranjenoj na DNS poslužitelju, onemogućava
udaljenom poslužitelju da je lako pronađe te koristi kao točku usmjeravanja. Skrivanje
topologije onemogućava širenje malicioznih programa (crva) što dovodi do uskraćivanja
usluge.
VoIP mreža nasuprot PSTN mreži ima sličnih problema kod sigurnosti korisnika. Važan
korak zaštite korisnika jest fizička sigurnost. Kod VoIP ili PSTN mreža jako je važno da svi
kritični elementi mreže budu na zaštićenim i sigurnim lokacijama odvojenim od neovlaštenog
pristupa. Zatim slijedi skrivanje korisničke IP adrese. VoIP mreža to radi pomoću SBG
pristupnika koji se bolje štiti od DoS napada nego PSTN mreža. Međutim, PSTN mreža je
konfigurirana kao zatvorena mreža (otežan pristup stranim korisnicima) dok je VoIP mreža
otvorenog tipa. Još neke prednosti VoIP mreže nasuprot PSTN mreže su Firewall, Virtualni
LAN te IPsec.
7. ZAKLJUČAK
Sve veća potražnja za što kvalitetnijim uslugama koje nude mrežni operateri dovode do
pojačane konkurencije među njima. Stoga svaki operater koristeći nove tehnologije i
aplikacije pokušava zadovoljiti potražnju kupca i korisnika. Telefonska mreža podržala je
razvoj Interneta i pomogla njegovom rastu, ali sada je već izvjesno da će IP paketska
komutacija preuzeti posao od tradicionalnih telefonskih mreža sa komutacijom kanala. Za
ostvarenje sesije između uređaja, rukovanje glasom i podatcima, kao i za usmjeravanje poziva
kroz različite tipove mreža, softswitch koristi software (odatle je dobio ime).
Ericsson nudi dva rješenja za modernizaciju mreža i to na području mobilne telefonije MSS
(Mobile Softswitch) te na područje fiksne telefonije TSS (Telephony Softswitch). Ericsson
TSS je rješenje koje se potpuno temelji na IP tehnologiji koji ima cilj da se osiguraju veći
prihodi, smanje troškovi upravljanja i troškovi ulaganja, omogući daljnju modernizaciju
mreže i da nove i postojeće usluge postanu jeftiniji. TSS rješenje omogućuje IP paketskoj
mrežu zamjenu s ranije korištenim PSTN jezgrenim mrežama. TSS arhitektura je u skladu sa
specifikacijama NGN što uključuje potpunu kompatibilnost s tradicionalnim PSTN/ISDN
telefonskim uslugama, uključujući i dodatne telefonske usluge, faks, podršku za telefonske
govornice, brojilo impulsa, regulatorne usluge, IN, VPN i postojeće adaptacije za pojedino
tržište.
Sustav TSS 4.0 se sastoji od nekoliko čvorova i to: MGW, TGW, AGW, TGC i TCC
pristupnika Sustav TSS 4.0 podržava nekoliko pristupa i to prema: javnoj IP automatskoj
telefonskoj centrali IP PBX, RSS sustavu, pristupnim čvorovima AN, pristupnoj platformi
EAR te lokalnim LE i tranzitnim TE centralama te podržava različite tipove signalizacije.
Zaključak ovoga jest da sustav TSS 4.0 je kompatibilan prema različitim pristupima i
osigurava različite tipove signalizacije.
Pristupnik SBG (Session Border Gateway) je čvor visokih performansi za kontrolu sesije.
Pristupnik SBG štiti jezgrenu mrežu od potencijalnih napada iz drugih mreža. Sadrži vatrozid
tei druge funkcionalnosti u području sigurnosti. SBG pristupnik nalazi se na granicama mreže.
U ovom kontekstu, granica mreže je krajnja točka mnogim IP infrastrukturama gdje sesija
prelazi iz jedne mreže (ili dijela mreže) u drugu.
Pristupnik SBG osigurava sigurnost mreže, zaštitu od zloupotrebe pojasne širine ( Bandwidth
Fraud Protection), skrivanje topologije, kvalitetu usluge, uslugu na razini sporazuma,
NAT/FW posredovanje nad tokovima podataka i druge važne funkcije za IP tokove u
realnom vremenu.
Glavni zadatak ovoga rada jest pokazati ulogu SBG pristupnika kroz snimanje i analizu
prometa u okviru sustava TSS 4.0. Snimljen i analiziran je promet na pristupniku SBG
između dva sustava TSS 4.0. Analiza prometa je podijeljena na dva dijela: prvi dio se odnosi
na poziv upućen iz jezgrene mreže prema stranoj mreži dok drugi dio se odnosi na poziv
upućen iz strane mreže prema jezgrenoj mreži. Snimanje i analiza prometa na pristupniku
SBG se vršila pomoću program Wireshark.
Funkcionalnost pristupnika SBG u sustavu TSS 4.0 najviše se očituje kroz mijenjanje IP
adresa i skrivanje topologije prema stranim mrežama. Kod drugih sustava, pristupnik SBG
ima drukčije i bolje funkcionalnosti nego u TSS 4.0 sustavu. Mijenjanje IP adresa se vrši u
contact headeru SIP poruke. Pristupnik SBG skriva IP adresu onoga tko inicira promet
(wl105) što znači da, za pristupnik SBG i sustav TSS 2, signalizacija potječe od IP adrese
10.100.65.22 što odgovara IP adresi sustava TSS 1.
Via header predstavlja korak (hop) poruke. U ovom slučaju to je poruka od skrivenog
krajnjeg uređaja1 koji se označen s wl105. Skrivanje topologije vrši se tako da se u svakom
koraku SIP porukom šalje informacija samo o ovom koraku a ne o sadašnjem i prethodnom
koraku što je slučaj kod komunikacije od strane prema jezgrenoj mreži. Zaključak ovoga jest
da se analizom paketa ne može rekonstruirati topologija mreže, što znači da se ne može
saznati ništa o prethodnom koraku (Previous Hop), tj. topologija mreže ostaje skrivena.
U slučaju prometa od strane prema jezgrenoj mreži, pristupnik SBG1 samo prosljeđuje
promet tj. ne štiti. Za pristupnik SBG1 na kojem se snima promet, krajnji korisnik 2 sadrži IP
adresu 10.100.64.22 (zelena linija) odnosno to je IP adresa sustava TSS2. Neskrivanje
topologije mreže očituje se kroz dva via headera (žuta linija).
Ovim se pokazala uloga pristupnika SBG u okviru sustava TSS 4.0. Važno za napomenuti je
da, pristupnik SBG posjeduje različite vrste zaštite prema nekim drugim sustava odnosno
prema jezgrenim, pristupnim mrežama ili prema nekoj korisničkoj okolini. Općenito,
pristupnik SBG je temeljna zaštita VoIP korisnika.
LITERATUTA
[1] Ericsson interna dokumentacija
[2] Biondić, N. i dr.: “Protokol za inicijaciju sesije“, Ericsson, Zagreb, 2005.
[3] Krishnamurthy, C.: “MSF Session Border Gateway Requirments“, s Interneta,
http://www.msforum.org/techinfo/approved/MSF-PS-SBG-001.00-FINAL.pdf,
19.04.2012.
[4] Pavelić Grbić, B.: “Transformacija mreže u multimedijsku telefonsku mrežu“, s
Interneta, http://www.ericsson.com/hr/etk/revija/Br_1_2010/03.pdf, 19.04.2012.
[5] Medić, A.: “Sigurnost SIP protokola“, s Interneta,
http://infoteh.etf.unssa.rs.ba/zbornik/2010/radovi/B-II/B-II-8.pdf, 15.07.2012.
[6] CARnet revija: “Sigurnosni aspekti VoIP tehnologije“, s Interneta,
http://www.cert.hr/sites/default/files/CCERT-PUBDOC-2006-03-151.pdf, 15.07.2012.
[7] Rožić, N.: “IP komunikacije“, FESB, Split, 2009.
POPIS OZNAKA I KRATICA
3GPP Third Generation Partnership Project
A-ALG Access-Application Layer Gateway
AGW Access Gateway
AN Access Network
AXE AXE
B2BUA Back-to-back user agent
C-BGF Core-Border Gateway Function
CSCF Call Session Control Function
DNS Domain Name System
DoS Denied of Service
EIN Electronic Immigration Network
EMM ENGINE Multimedia
Firewall Firewall
GARP Generic Application Resource Processor
HSS Home Subscriber Server
I-BGF Interconnection-Border Gateway Function
IETF Internet Engineering Task Force
IMS IP Multimedia Subsystem
IP Internet protocol
IP-PBX IP Private Branch Exchanges
ISPBX ISDN Private Automatic Branch Exchanges
ISDN Intergrated Service Digital Network
ISUP ISDN User Part
ITU-T International Telecommunication
IWF Interworking Function
MGW Media Gateway
ML Mediation Logic
MP Media Proxy
MSS Mobile Softswitch
NAPT Network Address and Port Translation
NAT Network Address Translators
NGN Next Generation Network
O&M Operation and Maintenance
PLMN Public Land Mobile Network
PSTN Public Switched Telephone Network
QoS Quality of Service
RSS Remote Subscriber Stage
RTP Real-time Transport Protocol
SBG Session Border Gateway
SCTP Stream Control Transmission Protocol
SDP Session Description Protocol
SGC Session Gateway Controller
SGW Signalling Gateway
SIP Session Initiation Protocol
SPDF Service Policy Decision Function
TCC TSS Call Controller
TCP Transmission Control Protocol
TeS Telephony Server
TGC TSS Gateway Controller
TGW Trunking Gateway
TLS Transport Layer Security
TSS Telephony Softswitch
UAC User Agent Client
UAS User Server
UDP User Datagram Protocol
URI Uniform Resource Identifier
VoIP Voice over IP
SAŽETAK
U današnje vrijeme skoro 90% poziva izvršava se preko stare PSTN tehnologije koja
posjeduje osnovnu karakteristiku da jedan poziv rezervira vezu između dva korisnika i da tu
vezu više nitko ne može koristiti i kada se linija prekine, veza se oslobodi za druge korisnike.
Kod prijenosa zvuka (govora) preko IP protokola nemamo problema sa ograničenjem broja
korisnika koji koriste istu liniju za razgovor, ali u svakom slučaju imamo veći problema sa
sigurnošću prometa nego kod klasične telefonije.
VoIP korisnici su više izloženi opisanim napadima i sigurnosnim rizicima koji su već prisutni
na podatkovnim mrežama. Vjerojatno će proći još određeno vrijeme dok se ne usavrše
standardi za VoIP sustave i dok sama VoIP komunikacija ne postane standardna u glasovnom
komuniciranju u svijetu. Dok se to ne dogodi organizacije bi trebale obraćati veliku pažnju na
jedinstvene zahtjeve koje VoIP ima te nabavku pravilne opreme i programa pomoću kojih je
moguće uspješnije odgovoriti na sve sigurnosne prijetnje usmjerene protiv VoIP-a.
Danas se većina podatkovne komunikacije obavlja preko Interneta, što je moguće korištenjem
IP adresiranja. VoIP isto koristi IP adresiranje za lociranje ostalih korisnika na glasovnim
komunikacijskim mrežama. Stoga je IP sigurnost veoma važna stavka za osiguravanje VoIP
mreža, za koje se očekuje da postane okosnica svih glasovnih komunikacija u svijetu.
Prijetnje koje su karakteristične za VoIP mreže opisane su: neovlašteno praćenje i analiza
prometa, uskraćivanje usluga, distribuirano uskraćivanje usluga, presretanje poziva, krađa
identiteta te financijska zlouporaba VoIP infrastrukture.
Prvi uvjet za zaštitu VoIP korisnika je odvajanje IP adresa za primjenu daljnjih mjera zaštite,
zatim slijedi fizička sigurnost, Virtualni Lan te enkripcija.
Pristupnik SBG osigurava prvi uvjet za zaštitu VoIP korisnika te pruža zaštitu od nekih
sigurnosnih zahtjeva (neovlašteno praćenje, uskraćivanje usluga), zahtjeve za kvalitetom
usluge i regulatorne zahtjeve u fiksnim, mobilnim i kablovskim mrežama.
Može se reći, pristupnik SBG je prva crta obrane za zaštitu VoIP korisnika.