中国电信IMS网络BAC设备应用及兼容性

网络BAC设备应用及兼容性研究 中国电信IMS 目录

一、组网要求 ................................................................................................................................... 4

1.1 BAC部署的基本要求 ........................................................................................................ 4 1.2 各类IMS用户接入BAC的组网方式 ............................................................................... 5

1.2.1 移动C网用户PS域接入 ..................................................................................... 6 1.2.2 固网E家用户接入 ............................................................................................... 7 1.2.3多媒体视频会议用户的接入 .................................................................................. 7 1.2.4 企业IP PBX的接入 ............................................................................................. 8 1.3 BAC对DNS的要求 ............................................................................................................ 8

1.3.1 终端接入BAC的选择要求 ................................................................................... 8 1.3.2 BAC对DNS 域名的要求 ....................................................................................... 8 1.4 BAC IP承载网接入要求： .............................................................................................. 9

1.4.1 BAC IP分配要求 .................................................................................................. 9 1.4.2 各IMS终端访问BAC的IP接入方案 ............................................................... 12 1.4.3 BAC的IP组网方案要求 .................................................................................... 13 1.5 BAC容灾组网要求 .......................................................................................................... 15

1.5.1 BAC 容灾组网的总体要求 ................................................................................. 15 1.5.2 双机热备份模式下BAC组网要求 ..................................................................... 16 1.5.3容灾组网下接入网DNS的配置要求 .................................................................. 19 1.5.4 BAC与P-CFCS 之间容灾要求 ........................................................................... 20 1.6 总结 ................................................................................................................................. 21 二、协议处理 ................................................................................................................................. 21

2.1 NAT穿越 .......................................................................................................................... 21 2.2 心跳检测 ......................................................................................................................... 24

2.2.1 IMS终端与BAC之间的心跳检测 ...................................................................... 24 2.2.2 BAC与P-CSCF/I-CSCF之间的心跳检测 .......................................................... 26 2.3 SIP头域消息规范化处理 .............................................................................................. 28 2.4 总结 ................................................................................................................................. 28 三、安全防护 ................................................................................................................................. 29

3.1 IP 层防攻击 ................................................................................................................... 29

3.1.1 IP过滤防火墙 .................................................................................................... 29 3.1.2 基于ACL规则的报文过滤 ................................................................................. 31 3.2信令层安全防范 .............................................................................................................. 33

3.2.1 信令防火墙 ......................................................................................................... 33 3.3.2 网络拓扑隐藏 ..................................................................................................... 36 3.3 媒体层防攻击 ................................................................................................................. 37

3.3.1 针孔式防火墙 ..................................................................................................... 37 3.3.2 对媒体报文类型和大小的检查 ......................................................................... 37 3.4 总结 ................................................................................................................................. 38 四、业务功能 ................................................................................................................................. 39

4.1 用户分组 ......................................................................................................................... 39

4.1.1 用户分组说明 ....................................................................................................... 39 4.1.2 实施建议 ............................................................................................................... 39 4.2 媒体资源管理 ................................................................................................................. 40

4.2.1功能介绍 .............................................................................................................. 40 4.2.2应用建议 .............................................................................................................. 41 4.2.3性能影响 .............................................................................................................. 43 4.3 接纳管理 ......................................................................................................................... 43

4.3.1 黑白名单功能 ..................................................................................................... 43 4.3.2紧急呼叫功能 ...................................................................................................... 43 4.3.3注册接纳控制功能介绍 ...................................................................................... 44 4.3.4呼叫接纳控制功能介绍 ...................................................................................... 45 4.3.5应用建议 .............................................................................................................. 46 4.3.6性能影响 .............................................................................................................. 48 4.3.7综合应用 .............................................................................................................. 48 4.4 QoS管理 ........................................................................................................................ 50

4.4.1功能介绍 .............................................................................................................. 50 4.4.2应用建议 .............................................................................................................. 50 4.4.3性能影响 .............................................................................................................. 51

五、附件说明 ................................................................................................................................. 52

5.1 附件-1 （关于重注册心跳对BAC性能的说明） ....................................................... 52

5.1.1 中兴BAC设备 ..................................................................................................... 52 5.1.2 华为BAC设备 ..................................................................................................... 55 5.1.3 阿朗BAC设备 ..................................................................................................... 58

一、组网要求

1.1 BAC部署的基本要求

BAC是IMS网络中引入的接入控制设备，它连接IMS核心网与外部用户接入区域，

完成IMS用户的业务接入、实现不同网络环境下用户业务的互通、保障/IMS网络安全。BAC在IMS网络部署时，需注意BAC接入范围、BAC网络设置以及容量限制等要求，具体如下：

1）BAC接入范围：

IMS网络接入用户主要分为信任域用户、非信任域用户。若接入网元部署在运营商可控的局端或接入网机房，则为可信任域用户，主要通过CN2私网接入，采用方式为：FTTN方式、FTTO方式、电信局管控FTTB方式等，信任域用户无需接入BAC，直接接入IMS网络；若接入网元部署在用户侧或不可控小区楼道机房，则为非信任域用户，主要通过Internet网络、移动PS域数据网、省城域网等接入，采用方式为：Internet、FTTH和其他FTTB等，只有非信任用户接入必须经过BAC接入IMS网络。 2）BAC网络设置要求：

BAC在网络部署时，不区分SIP和H.248接入，其类别主要分为固定BAC接入、漫游BAC接入。 ? 固定BAC接入：

主要以本地网为单位部署，若用户数不达到起设门限的本地网原则上不设置BAC，其业务由其他大本地网BAC承担（大区部署）。 ? 漫游BAC接入：

可漫游终端（SIP软终端、C网分组域）统一通过省会一对专用的漫游BAC接入，根据业务量大小可独立设置或与省会固定BAC合设。 3）BAC容量限制要求

BAC容量起设门限为10万注册用户，最大主用用户容量为:40万注册用户；

最大设备容量为：50万注册用户。

4）虚拟BAC基本使用原则

? SIP及H.248用户通过同一台BAC接入，采用虚拟BAC方式从逻辑上进

行业务隔离。

? 新建IMS网络和原有NGN网络通过同一台BAC接入，采用虚拟BAC方式

从物理上进行网络隔离。

? 不同本地网用户共用一台BAC，则可采用虚拟BAC方式分域接入。 5）BAC疏通媒体流要求

IMS域内非信任终端的话务媒体流：BAC内部话务直接在BAC疏通，不通过CE转接。同城BAC间话务，通过CE转接。长途BAC间话务通过CE、PE转接。

1.2 各类IMS用户接入BAC的组网方式

经过BAC接入IMS网络的主要为非信任域用户，非信任域用户接入方式也是多种多样：

角度 协议类型 接入方式 形态的终端类型 SIP、H.248等 xPON、AG、IP-PBX等 POTS话机、SIP话机、PC软终端、IPTV、手机、数据卡等 类型

1）固定接入BAC组网方式

（1）FTTX(H) POTS 终端用户接入 （H.248协议接入） （2）FTTX(H) SIP软/硬终端用户接入 （SIP协议接入） （3）INTNET SIP软/硬终端用户接入 （SIP协议接入） （3）IP PBX （SIP协议接入） 2）移动接入BAC组网方式 （1）EVDO PS域 接入 （2）公网SIP软终端接入 3）多媒体BAC组网方式

1.2.1 移动C网用户PS域接入

EV-DO手机通过 PDSN设备连接到 BAC，再由 BAC接入 IMS网络。实施的业务主要为：手机VT业务。

1.2.2 固网E家用户接入

固网E家基于中国电信定制的宽带多媒体终端，对于彩色 E家用户的接入，可以通过 LAN或者FTTX或者 XDSL 等方式进行接入到IMS 网络。 对于入户端为 LAN或者FTTH方式入户，彩色E 家终端直接通过 LAN 口接入到 IMS 网络；对于入户端为双绞线入户，连接 ADSL猫，下连彩色 E 家终端。

1.2.3多媒体视频会议用户的接入

MS 融合视屏会议用户接入提供包括语音、视频、数据会议于一体的融合会议，并能将所有的通信终端加入会议，用户通信终端包括IMS软/硬终端、 VT手机

终端、 高清视频IPTV终端等，用户通信终端通过BAC接入至IMS网络使用融合视屏会议系统。

1.2.4 企业IP PBX的接入

企业PBXIP-PBXPOTSMMTel/CentrexConferenceSBUSIPFE/GEOLTMA5680TIP 城域网SplitterSBCSE2600PCSCFCSC3300PC软终端HSSHSS9820I/SCSCFCSC3300MRFMRC6600/MRP6600POTSMGCFIP 承载网

企业IP PBX经过SBC设备注册接入IMS网络，由IMS网络为用户提供固定移动融合业务和其他增值业务。IMS网络针对IP PBX提供通配注册、隐式注册集等多种方式PBX注册方式，通过提供Business Trunking等功能实现对IP PBX的可控可维可管能力。

1.3 BAC对DNS的要求

1.3.1 终端接入BAC的选择要求

IMS终端通过直接配置 BAC的 IP 地址访问 BAC。随着业务发展，该方式不适用于终端的漫游，同时也不利于IMS的网络安全。因地在IMS部署时，要求IMS终端通过域名解析的方式获取BAC地址以实现到BAC的就近接入，即由IMS终端管理平台或ITMS平台下发BAC域名给固定终端，由DNS服务器解析后向终端返回BAC地址。

DNS平台以省为单位集中部署，各省在建设中充分考虑与现有平台共用；

1.3.2 BAC对DNS 域名的要求

（1）固网接入BAC对DNS域名的要求

对于SIP终端等固网接入终端，BAC采用按本地网进行命名域名， 其命

名规则：xxxyy.地市拼音简写.归属网络域名。其中：

Xxxx：代表网元编号，为BAC ；

yy：代表设备的编号，当本地网有多个行政区时，编号应体现出本地的

不同行政区域

地市拼音简写：本地网的拼音

BACXX.地级市拼音简写.省市拼音简写.CTCIMS.CN， 适合按本地网部署，

如 ：杭州的行政区的第一个BAC标识为：bac01. hz. zj. ctcims. cn。

（2）漫游接入BAC对DNS域名的要求

对于互联网及 CTWAP 等有漫游需求的 SIP 软终端及移动终端，统一接

入配置省中心的 BAC，BAC 域名统一配置为 BAC.CTCIMS.CN。

1.4 BAC IP承载网接入要求： 1.4.1 BAC IP分配要求

1、BAC VPN 接入要求

BAC各个接口的IP 接入具体要求如下： 编号 BAC接口类别 1 BAC对内接口 2 3 4 IP VPN 名称 IMS CE的CDMA-NGN VPN BAC对外公网接口 1)IMS CE的CDMA-P1-0 VPN 2）191 VPN BAC与移动增值业IMS CE的CDMA-P1-1 务互通对外接口 VPN 管理口 IMS CE的CDMA-NGN-MGNT VPN IP地址用途 IMS接入层IP地址 各省从Apnic申请的公有地址 使用PI-1业务平台地址段 IMS网元管理地址 BAC 使用的IP承载网 VPN

? CDMA-P1-0 VPN:用于实现BAC与公网接入（例如ADSL、PON、3G/WLAN）

的硬终端或者软终端之间的互通，IMS业务门户portal页面与用户之间

的公网互通也通过该VPN承载

? IMS CE的CDMA-P1-1 VPN：用于实现IMS系统与电信移动网增值业务之

间的互通，主要承载增值业务，增值业务合作伙伴的网络通过 CT190VPN 接入到 PI-1 VPN，如CTWAP接入。

? CDMA-NGN VPN：用于实现IMS与移动软交换和固网软交换的互通 ? CDMA-NGN-MGNT VPN：用于实现IMS设备与网管系统的互通。

? 191 VPN：在 MCE 网络和 CN2 部署，用来承载在城域网内固定接入的用

户非可信终端产生的流量， 以省为单位进行组网， 为星型结构

2、BAC IP地址分配要求

BAC设置IP地址时，需遵循以下原则： 1）为实现 BAC 的就近选择

BAC 的对外业务地址在全网使用 anycast 地址，对于相同用途的 BAC簇的 anycast 地址，不同省份地市之间，使用相同业务地址，以使网络进行最近路由查找；对于一个簇内不同的BAC，则使用不同的业务地址，保证簇内的每一个BAC 的业务地址唯一。 2）IP地址统一规划

对于 PI-0和 PI-1 VPN的 BAC 对外业务地址由集团统一进行规划和分配，对于 191 VPN的BAC 对外业务地址由各省进行规划和分配，不同VPN 内的 BAC 簇规划不同的对外业务地址，通过BAC对外业务地址 anycast 的方式实现漫游用户对BAC的就近选择。

3）为实现全网漫游，各省投入使用的 BAC 对外业务地址应保持一致

? 互联网接入时，BAC对外IP地址要求

集团规划118.85.214.0/24这段地址做为全网用于互联网接入的BAC对外业务地址，为保证安全性BAC簇中的多台BAC会采用两个不同机房进行分别部署，为实现机房路由的最优引导，把BAC对外业务地址段分成两段，分别是118.85.214.0/25和118.85.214.128/25，在分配BAC地址时，应同时在两段地址中顺序分配。

BAC对外业务地址包括媒体地址和信令地址，为了保证路由统一118.85.214.0/25 和118.85.214.128/25各分成两段，每半个C的前一半为信令地址，后一半为媒体地址。具体为118.85.214.0/26 和118.85.214.128/26为信令地址 ， 118.85.214.64/26和118.85.214.192/26为媒体地址。在试点中，分配118.85.214.1、118.85.214.2、118.85.214.129和118.85.214.130做为全网的BAC对外业务地址。由于一个信令地址可以分配多个媒体地址，根据业务量进行配置，保证不同的信令地址分配不同的媒体地址

? CTWAP接入时，BAC对外IP地址要求

集团规划10.235.255.0/24这段地址做为全网用于互联网接入的BAC对外业务地址，为保证安全性BAC簇中的多台BAC会采用两个不同机房进行分别部署，为实现机房路由的最优引导，因此把BAC对外业务地址段分成两段，分别是10.235.255.0/25和10.235.255.128/25 ，在分配BAC地址时，应同时在两段地址中顺序分配。

BAC对外业务地址包括媒体地址和信令地址，为了保证路由统一10.235.255.0/25和10.235.255.128/25各分成两段，每半个C的前一半为信令地址，后一半为媒体地址。具体为10.235.255.0/26 和10.235.255.128/26为信令地址 ， 10.235.255.64/26和10.235.255.192/26为媒体地址。在试点中，分配10.235.255.1、10.235.255.2、10.235.255.129和10.235.255.130做为全网的BAC对外业务地址。由于一个信令地址可以分配多个媒体地址，根据业务量进行配置，保证不同的信令地址分配不同的媒体地址。

? 固网接入时，BAC对外IP地址要求

参照互联网和CTWAP方式下BAC的对外业务地址的分配策略由各省进行固定接入终端 BAC的对外业务地址的规划和分配。建议省内进行统一规划和分配，以本地网为单位进行分配IP地址。

1.4.2 各IMS终端访问BAC的IP接入方案

? 移动终端，属于非可信终端，对于互联网接入的 SIP 软终端及通过

CTWAP、CTNET 等方式接入的移动终端，在省中心集中配置 1套或多套 BAC（简称为省中心 BAC） 。为支持终端的漫游，BAC域名统一配置为 BAC.CTCIMS.CN。

其中互联网SIP软终端通过城域网公网IP方式访问省中心BAC，由各省的 163DNS 解析获取 BAC 地址，就近接入 BAC 簇。

通过 CTWAP、CTNET 等方式接入的移动终端通过 CDMA 综合承载网络接入省中心 BAC，由 CN2DNS 解析得到 BAC 地址，就近接入 BAC簇。 ? 对于非可信的固定用户硬终端，包括各种E家终端、SIP软/硬终端布放

在客户侧（用户家庭或政企自有机房）存在安全风险。在规模部署后根据业务需求以本地网为单位部署BAC，终端通过191 VPN访问BAC。IMS固定终端需要支持紧急呼叫，实现机制是：对非可信终端，为不同区域用户分配不同的 BAC 接入地址，IMS 核心网根据不同的 BAC 接入地址判别紧急呼叫如何接续；对可信终端，可以通过统一规划分配独立的 IP 地址段，并且将 IP地址段同紧急呼叫台的位置关联，以实现通过 IP 地

址判别紧急呼叫如何接续。

非可信固定终端主要通过DNS域名解析的方式获取BAC接入地址，即IMS终端管理平台或ITMS平台下发BAC域名给固定终端，DNS解析后返回BAC地址给终端。IMS终端管理平台或ITMS平台根据终端所属行政区域信息，下发BAC域名给终端，域名格式为：BACXX.地级市拼音简写.省市拼音简写.CTCIMS.CN。

1.4.3 BAC的IP组网方案要求

部署于本地层面的BAC设备主要有三种IP组网方式 ? 方式一：BAC直连SR，跨域VPN实现到CN2的接入

BAC直连SR，通过城域网与CN2的跨域VPN实现到CN2的接入。此方式下，无需部署CE设备，BAC只连SR，统一出口，结构整洁，且有利于提高城域网利用率，但上行流量会增加城域网内以及城域网与CN2间的跨域流量，且跳数增多，并需部署跨域VPN，维护排障相对困难；另外如果CE设备的AS号与城域网的AS号相同，在配置时还应考虑启用 AS Override。该方式适合具备跨域VPN部署条件的城域网，且在BAC分布部署时优势较大。

? 方式二：BAC双挂SR和CE，通过CE直接接入CN2 PE

BAC双挂SR和CE，通过CE直接接入CN2 PE。此方式在软交换设备接入中已有较多应用，BAC分网接入，上下行流量清晰，且网络配置相对简单，且有利于对BAC及其接入的统一管理。但由于需部署CE，在BAC数量较多、站点不集中的情况下，会带来一定维护和投资压力。因此，该方案适合BAC集中部署或可利用原有CE综合承载的城域网。 ? 方式三：BAC直接通过CE接入CN2 PE

对于按大区集中部署BAC的省份，建议BAC通过CE接入CN2 PE，非可信终端通过跨域VPN（硬终端）或Native IP（软终端）方式接入。 ? 总结分析 方式选型 优点 缺点 适合场合 方式一： BAC直连SR，跨域VPN接入 1、 统一出口，结构整洁; 2、 且有利于提高城域网利用率 1、 增加城域网内以及城域网与CN21、 具备跨域VPN部署条件的城域网 间的跨域流量； 2、 BAC分布式部署 2、 跳数增多，维护排障相对困难 方式二： 1、 上下行流量清晰 1、需部署CE 1、BAC集中式部署 2、可利用原有CE综 合承载的城域网 BAC双挂SR和2、 网络配置相对简CE，接入CN2 单 3、 有利于对BAC及其接入的统一管理 方式三： BAC直接通过CE接入CN2 PE 1、 统一出入口，结构整洁; 1、 增加城域网内以及城域网与CN2间的跨域流量； 2、 跳数增多，维护排障相对困难 适合大区制BAC集中式部署 1.5 BAC容灾组网要求

1.5.1 BAC 容灾组网的总体要求

为了保证网络和业务的安全性，要求BAC的组网符合下面的原则：

（1）同局点内BAC采用双机热备或者单机双板方式，保障本局内的容灾和安

全的。

（2）不同局点间BAC采用1+1互备方式。互备的一对BAC设备容量要完全一

致，正常工作时负荷尽量接近。同一本地网不同互备组间的BAC容量尽量接近。

（3）配对BAC至P-CSCF(I-CSCF)之间采用相关配对机制，配对BAC与一对

P-CSCF(I-CSCF)相关对应配对。同时BAC选择P-CSCF优选域名查询方式。

HSS/SLFDNS/ENUMAS公共网元平面1I-1I-2S-1域名：PCSCF11.SH.CTSIMS.CNS-2域名：PCSCF12.SH.CTSIMS.CNP-1P-21对BAC分组1-1分组1-2分组2-1分组2-2各分组分别配置对应PCSCF的域名VRRPIP1VRRPIP2分字片覆盖 域名：FTTH：BAC01.021.CTCIMS.CN， BAC02.021.CTCIMS.CN魔屏\\漫游：BAC.CTCIMS.CNDNS城域网分区覆盖：21-分区覆盖：21-分区覆盖：21-3XXXX@BAC03.021.CTCIMS.CN3XXXX@BAC03.021.CTCIMS.CN3XXXX@BAC03.021.CTCIMS.CNABCD分区覆盖：21-3XXXX@BAC03.021.CTCIMS.CN

1.5.2 双机热备份模式下BAC组网要求

1、同局点双机热备份组网要求

同局点双机热备份的组网要求具体如下：

1） 同一个局点的两个BAC对外采用相同的业务IP地址； 2） 两个BAC间要求进行动态数据实时相互同步；

3） 双机热备份期间，两个BAC采用负荷均衡的配置方式，将接入用户均衡

分配到两台设备上，在正常情况，两台设备各自处理自己的业务； 4） BAC主备倒换过程要求不影响接入用户业务的使用，即当一台BAC设备

出现故障失效时，另外一台BAC设备能实时接管业务，用户无感知，不需要重新注册。

2、不同局点双机热备份组网要求

1) 1+1互备组网单IP方式

? 组网要求：

(1)设备内部可以一一对应地划分多组虚拟BAC，每组虚拟BAC可以有独立的主备用的状态，每两组虚拟BAC设备组成的一个群组（形成容灾

主备关系），对用户侧呈现同一个IP地址；

(2)不同局点之间的BAC设备可以进行用户注册数据的同步，数据同步内容包括：用户的注册、呼叫等数据。当用户注册的主用BAC设备故障失效后，备用设备或备用虚拟BAC即可接管业务，不需要用户重新注册。

? 设备配置的要求

BAC成对设置，每对BAC之间为互备方式；一对中的一个BAC又划分为2个分组，定义为“子BAC” ，子BAC之间起路由协议，例如第一对BAC中的BAC1划分2个子BAC为BAC1-1、BAC1-2；BAC2划分为BAC2-1、BAC2-2，子BAC之间起VRRP，每对BAC分配2个IP地址（BAC1-1与BAC2-1对子BAC分配的地址为IP1；BAC1-2与BAC2-2对子BAC分配的地址为IP2），这样BAC的分组保证了一对互备的BAC平时都处在工作状态。

BAC-1VBAC-1VBAC-2BAC-2VBAC-1VBAC-2eth0VBAC-1 to VBAC-1 hstp channel 1HSTP Physical LinkVBAC-2 to VBAC-2 hstp channel 2eth0表 :BAC互备组网单IP方式下SIP用户配置实例 片区名称 归属BAC 片区1 片区2 BAC1 BAC2 BAC1 BAC2 BAC分组 IP地址 BAC1-1 BAC2-1 BAC1-2 BAC2-2 IP1 IP1 IP2 IP2 BAC域名 主用BAC 备用BAC BAC2-1 BAC1-2 BAC01.XX.CTCIMS.CN BAC1-1 BAC02.XX.CTCIMS.CN BAC2-2

2) 1+1互备组网双IP方式 ? 组网要求：

(1)设备内部可以一一对应地划分多组虚拟BAC，每组虚拟BAC设置为独立的主备用的状态，每两台虚拟BAC组成的一个群组（形成容灾主备

关系），对用户侧呈现IP地址时，每个虚拟BAC组均配置一个IP地址；

(2)不同局点之间的BAC设备不进行用户注册数据的同步，因此当用户注册的主用BAC设备故障失效后，需要用户重新注册到备用设备才能完成业务的接管。 ? 设备配置的要求

BAC成对设置，每对BAC之间为互备方式；一对中的一个BAC又划分为2个分组，第一对BAC中的BAC1划分2个子BAC为BAC1-1、BAC1-2；BAC2划分为BAC2-1、BAC2-2。每个子BAC均分配一个IP地址，如BAC1-1地址为IP1；BAC1-2地址为IP2；BAC2-1地址为IP3；BAC2-2地址为IP4；其中BAC1-1与BAC2-1形成容灾主备关系，BAC1-2与BAC2-2形成容灾主备关系

BAC-1VBAC-1VBAC-2BAC-2VBAC-1VBAC-2eth0VBAC-1 to VBAC-1 hstp channel 1HSTP Physical LinkVBAC-2 to VBAC-2 hstp channel 2eth0表 :BAC互备组网双IP方式下SIP用户配置实例

片区名称 归属BAC 片区1 片区2 BAC1 BAC2 BAC1 BAC2 BAC分组 IP地址 BAC1-1 BAC2-1 BAC1-2 BAC2-2 IP1 IP2 IP3 IP4 BAC域名 BAC01.XX.CTCIMS.CN BAC02.XX.CTCIMS.CN 主用BAC 备用BAC IP1 IP4 IP2 IP3

3) 不同局点容灾组网的分析及实施要求

? 分析

不同局点BAC互通组网主要存在两种方案，1）单IP方式；2）双IP方式，具体分析如下：

组网方式 单IP方式 优点 1） 配对容灾BAC发生容灾切换时，接入用户无需重新发起注册，不中断业务。 2） 对接入网DNS来说，实现较为简单 缺点 由于启用路由协议，对承载网的要求较高，有可能会产生“双主”情况。需要对BAC容灾机制进行完善。 双IP方式 1）对IP承载网的要求较低，1）容灾切换时，接入用户需要功能实现较为简单。 重新发起注册，中断业务。 ? 使用建议

由于中兴、华为、阿朗等厂家在部署该功能方面存在一定差异，且部分厂家尚未完成该功能的开发，且承载网存在一定协议兼容性问题，建议在不同局点实施容灾热备份时，优先推荐采用双机热备双IP方式。

1.5.3容灾组网下接入网DNS的配置要求

1） 一次域名地址解析请求可以根据预定比例返回不同IP地址组合列表，比例可配

2） IP地址组合列表可以是指定的IP地址序列，或是按指定的若干个IP地址自动随机生成的序列，随机生成的序列时应确保所有IP地址在不同位置出现的概率均衡；

3） 支持终端采用SRV查询主机名和端口，然后再根据主机名查询A地址，SRV查询可配置优先级和权重。 举例说明：

接入网DNS给IMS用户返回一对BAC的2个IP地址，首选IP1，次选IP2。但为了满足配对BAC之间负荷分担的目的，DNS对同一域名下内的用户根据采用轮循方式（第一次返回IP1,IP2….;第二次返回IP2,IP1….）。例如奇数解析域名BAC.ctcims.cn 的用户返回IP1、IP2，偶数解析域名BAC.ctcims.cn 的用户返回

IP2、IP1。以实现不同局点的负荷分担组网和容灾负荷均衡

1.5.4 BAC与P-CFCS 之间容灾要求

对于BAC来言，P-CSCF的网络结构主要采用两种方式，即准POOL方式和负荷分担方式，具体实施情况主要有现网实际情况决定。一般而言，当P-CSCF的个数超过3个时，推荐采用准POOL方式，若P-CSCF的个数低于3个时，推荐采用负荷分担方式。

当P-CSCF采用准POOL方式时，BAC需具备的容灾能力要求如下： 1）在正常初始注册状态下，DNS返回给BAC的所有P-CSCF设备的主机名，

采用相同优先级，BAC在返回的可用设备列表中根据权重随机选择一个P-CSCF设备。从大概率而言，BAC对P-CSCF实现负荷分担功能。 2）当用户注册的P-CSCF出现故障失效，对于已经注册的用户发起重注册请

求时，BAC支持根据用户注册的P-CSCF主机名进行SRV查询，以确保容灾后的准POOL剩下设备的负荷均衡。

3） BAC应能放通从非用户注册的P-CSCF(接管P-CSCF)过来的呼叫，可通过信

任列表进行配置放通P-CSCF设备。

4） 在BAC检测P-CSCF故障过程中，BAC对于到故障P-CSCF的消息请求不响

应，要求BAC此时检测时间应小于终端到BAC的检测时间；在BAC确认P-CSCF故障后，将用户的请求消息发送至可用P-CSCF。可用P-CSCF主要通过初始注册时DNS返回BAC的P-CSCF服务优先列表。

当P-CSCF采用负荷分担方式时，BAC需具备的容灾能力要求如下： 1） 在正常初始注册状态下，DNS返回BAC的所有P-CSCF设备的主机名，随机

排序优先级别，如DNS给BAC1返回主用IP1（P-CSCF-A1 的IP地址）、备用IP2（P-CSCF-A2 的IP地址），给BAC2的返回主用IP2（P-CSCF-A2 的IP地址）、备用IP1（P-CSCF-A1 的IP地址）。从大概率而言，BAC对P-CSCF实现负荷分担功能。

2） 当用户注册的P-CSCF出现故障失效，对于已经注册的用户发起重注册请求

时，BAC直接将重注册请求消息发送至备用P-CSCF。

3） BAC应能放通从非用户注册的P-CSCF(接管P-CSCF)过来的呼叫，可通过信

任列表进行配置放通P-CSCF设备。

4） 在BAC检测P-CSCF故障过程中，BAC对于到故障P-CSCF的消息请求不响

应，要求BAC此时检测时间应小于终端到BAC的检测时间；在BAC确认P-CSCF故障后，根据DNS返回的P-CSCF优先列表，将用户的请求消息发送至备用P-CSCF。

1.6 总结

BAC在关于组网方面，必须关注以下主要事项：

1） 关于BAC IP承载网技术实现要求，可参考“2011年3月15日，集团网络发展部组织召开IMS承载网络建设方案研讨会”关于《IMS承载网络部署关键问题说明》，该文件具体描述了IMS网络BAC的部署及接入解析等相关的实施要求。

2） 关于BAC 容灾组网要求，可参考《中国电信IMS网络安全组网技术规范》中BAC容灾组网能力要求。

二、协议处理

2.1 NAT穿越

1、NAT 穿越的原理

NAT广泛存在于网络中，一方面是为了解决IP地址稀缺的问题，另一方面是为了安全的考虑。NAT的存在，使得NAT背后的IMS客户端具有一个私有IP，而这一私有IP从公网上是看不到的。当IMS客户端在发起正常的注册请求的时候，它并不知道NAT的存在，在它的SIP header中会填写上自己的私网地址，而这一地址对于IMS核心网来说是无效的，从而造成注册的失败。实现穿越需要解决下面的问题：

1）如何保持FW/NAT映射存活

2）探测NAT的存在和类型。 3）SIP扩展，增加了映射端口信息；

当前各厂家BAC 的NAT和防火墙穿越技术主要采用PROXY模式转发信令和媒体流，具体实现如下： ? 保持FW/NAT映射存活

NAT设备在内部设备发送包后建立内部主机和外部地址的映射，映射的时间有限制，在一段时间没有检测到有包通过时，会拆除映射，之后外部主机发往这个内部主机的包会被丢弃，导致作为被叫的用户无法进行接续。为解决映射过期的问题，需要有Keep alive消息维持NAT端口的映射，该功能可以由终端完成也可以由BAC完成。

目前BAC实现Keep alive消息时有三种方式：1）使用OPTION消息；2）使用REGISTER消息；3）使用UDP“hello”报文。具体实现要求可见：2.2.1章

节

? 信令NAT穿越的实现

? BAC探测NAT的存在

当BAC收到SIP 终端的注册请求后，需要对比Register消息via头中所包含的终端IP地址与它所看到的SIP消息源IP地址，如果二者一致，则认为该终端处于公网上，则为非NAT用户。如果不一致，则认为终端处于私网，则为NAT用户，BAC需要在via头的rport域中记录下SIP消息的源端口地址，然后修改Contact为所看到的实际IP地址和端口号，然后继续进行后续的注册流程。

? 信令消息地址映射的实现

从IMS核心网的角度看BAC设备，BAC是基于B2BUA行为模式的终端代

理设备，从外在的表现形式上，BAC对终端的代理端口映射有两种方式：静态端口映射和动态端口映射。对于静态端口映射方式，BAC在核心网侧对所有的终端采用相同的IP+Port，BAC通过信令中携带的SIP用户相关信息或者H.248用户消息标识符进行终端的区分；对于动态端口映射方式，BAC在核心网侧为每一个终端分配一个唯一的IP+Port，BAC内部通过该IP+Port对终端进行区分。

（1）静态端口方式

采用静态端口方式时，BAC应能采用唯一的标识区分BAC下的每个用户，能处理同一用户从多个地址登录同一BAC，FORKing消息的转发的情况。

（1）动态端口方式

无论是SIP还是H248协议，动态端口映射模式都要求BAC在核心网侧配置端口池，用户注册时，从端口池中分配空闲端口，用户注销时，将使用的端口归还到端口池中。 ? 媒体RTP NAT穿越的实现

媒体NAT穿越主要接受信令NAT穿越的控制，BAC是终端/IMS核心网之间RTP/RTCP媒体流的转接点，对于媒体流地址的转换，实际上是由BAC根据已经建立的映射关系修改媒体包的源IP地址、源端口和目的IP地址、源端口。因此，每个终端收到的对方RTP信息实际上是BAC分配的RTP代理端口号。媒体代理的处理方式有两种：

1）方式1：媒体流全部通过BAC转发。

2）方式2：BAC支持媒体旁路功能，媒体流不经过BAC转发。 2、现网实施NAT 穿越的基本要求 现网使用建议要求如下：

（1） NAT通道存活的检测要求具体可见2.2.2；

（2） 针对对特定用户的NAT通道保活进行个性化配置，BAC可支持设置特定

的通道保活心跳间隔。

（3） BAC现网应用自适应NAT心跳间隔探测，即依照指定精度探测用户侧NAT

的针孔老化间隔，并最终把接入侧注册有效期稳定到此间隔。 （4） 建议原则上现网媒体RTP NAT穿越的媒体代理方式主要采用媒体流全部

通过BAC转发；

（5） BAC实施PPI（P-Preferred-Identity）消息头中的用户身份检查，对

于未在BAC注册的用户发起的呼叫进行拦截。

（6） 由于信令消息地址映射主流三家设备厂家支持静态端口和动态端口方

式，且两个技术方式各有优缺点，厂家解决方式不一，建议根据不同厂家建议方式实施。

（7） 根据现网实际情况，BAC允许本地配置SIP接入网信息，支持

P-Access-Network-Info头域的插入，并可根据相应格式填写该头域的内容。

（8） 企业IP PBX接入IMS网络时，BAC采用通配代理注册方式，使用中继

代表号码代替不支持SIP注册的企业SIP网关，SIP IP PBX向IMS注册。

2.2 心跳检测

2.2.1 IMS终端与BAC之间的心跳检测

1、基于SIP协议终端的心跳检测和NAT通道存活

IMS SIP终端与BAC之间的心跳检测主要有以下三种方式：

（1） SIP 终端主动向BAC发起Register消息实现心跳检测和NAT通道保

活；

采用Register消息作为心跳来实现IMS SIP 终端和BAC之间的对端存活检测和用户侧NAT通道保活。BAC通过修改软交换对用户REGISTER消息的 200 OK回应消息中过期时间要求（Expire），使得终端在较短的时间发送重注册消息，维持FW/NAT映射。

（2） BAC主动向SIP 终端发起UDP “HELLO”报文实现通道保活；

BAC采用UDP hello包进行NAT通道保活，由BAC向主动探测到的NAT用户或指定的NAT用户的SIP信令端口发送UDP Hello包以保持NAT通道的开启，不要求用户响应。

（3） BAC主动向SIP终端发起OPTIONS消息实现心跳检测；

BAC主动发送对终端的option消息在IMS体现下仅仅是用于对终端(不需区分NAT和非NAT)的在线检测，用于释放异常掉线或其他原因造成的非在线终端的数据区资源。 ? 分析：

心跳检测 使用Register消息 方向 UE终端-?BAC 适合场景 实现在线检测和NAT通道保活 使用OPTIONS消息 BAC -?UE终端 实现在线检测 实现NAT通道保活 使用UDP “HELLO”报文 BAC -?UE终端 ? 现网使用建议：

现网各厂家BAC设备实现能力各不相同，为了满足兼容IMS终端能力，现网使用建议要求如下：

（1） IMS SIP终端与BAC之间的心跳检测和NAT通道保活，主要采用UE

终端发送BAC发送REGISTER消息机制实现；

（2） Register消息定时器时长要求：对于NAT下的用户其标准的expire

时长为50秒，非NAT下用户其标准的expire时长为300秒，在核心网侧的expire时长为900秒。

SIP 终端类型 NAT下终端 非NAT下终端 每小时发送注册消息次数 3600/50=72 3600//300=12 BAC透传到核心网的注册消息次数 3600/900=4 3600/900=4 纯NAT保活的注册消息次数 72-4=68 12-4=8

2、基于H.248协议终端的心跳检测

H.248终端和BAC之间主要有两种实现方式的心跳机制：1）BAC发送的心跳消息；2）H.248终端发送的心跳消息。

1）BAC发送的心跳消息；

BAC主动控制在固定时间间隔内发起针对ROOT终结点的空AuditValue消息作为心跳消息，来实现BAC对于用户侧H248终端的存活检测和用户侧NAT通道保活。为了防止网络上因BAC向大量H.248终端发起的频繁心跳导致的流量，BAC通过配置开关选择只要在本轮心跳时间周期内收到来自H.248

终端的任意请求消息，则本轮不向该H.248终端发送心跳消息。

2）H.248终端发送的心跳消息；

H.248终端通过Notify心跳消息向BAC上报终端存活信息，BAC将H.248

终端控制发起的心跳消息默认直接转发给核心侧处理。当需要减少网络上因大量H.248终端向BAC发起的频繁心跳导致的流量时，BAC通过配置选择一定时间间隔内不转发给核心侧处理，根据BAC设备感知的当前核心侧状态直接给终端回复相应的应答消息或转发给核心侧处理。 ? 现网使用建议： 现网使用建议要求如下：

（1） IMS H.248终端与BAC之间的心跳检测和NAT通道保活，主要采用

H.248终端发送BAC发送Notify心跳消息机制实现；BAC关闭向H.248终端发送心跳消息的功能，同时支持通过监测核心网AGCF向终端发的心跳消息的响应情况来检测终端的状态。

（2） 终端向BAC发送Notify消息的定时器时长要求：时长为 5分钟；BAC

向AGCF转发N otify消息的定时器时长要求：10分钟；

3、对BAC处理性能的影响

由于不同厂家在对心跳检查处理机制不同，对BAC的影响具体可见 附件1

2.2.2 BAC与P-CSCF/I-CSCF之间的心跳检测

1、BAC与P-CSCF之间的心跳检测 ?

探测机制和路由容灾实现

BAC与P-CSCF之间采用SIP协议的OPTIONS消息进行设备级的心跳探测，便于BAC及时发现当前P-CSCF或软交换设备的状态并在发现对端故障时采取相应的措施。

BAC应向所有P-CSCF路由组内的所有P-CSCF发送心跳消息，发送间隔可配。BAC选用一个P-CSCF为终端完成初始注册后，该终端的所有后续注册消息和其它消息都应送往当前P-CSCF,实现终端同一注册周期内到P-CSCF的持久附着直

到P-CSCF发生故障。

当IMS BAC探测到至某一P-CSCF的路由故障，BAC将标记该P-CSCF为故障节点， 对经附着在该P-CSCF上的用户的业务请求（非注册）返回错误，并把通过故障P-CSCF节点注册终端的注册缓存失效，在终端下一次注册刷新时，把终端的注册消息送往其它备用设备进行处理注册，完成终端到新的可用P-CSCF的附着。

当BAC确认地址列表中所有路径都处于故障状态时，BAC可直接向发起初始请求的用户回送合适的失败消息。 ?

现网使用建议： 现网使用建议要求如下：

（1） 本地网BAC与归属一对P-CSCF之间建立心跳检测关，采用OPTION消

息。

（2） BAC向P-CSCF之间发送OPTION的定时器时长要求：时长为900秒；

2、P-CSCF与BAC合设时与I/S-CSCF之间的心跳检测 ?

探测机制和路由容灾实现

对IMS BAC，当P-CSCF与BAC合设时，与I/S-CSCF之间采用OPTIONS消息进行心跳探测，实现方式主要有两种心跳检测模式：主动式探测和启发式探测。

1）主动式探测

BAC周期性地发送OPTIONS消息探测主用和备用I/S-CSCF，当探测到I/S-CSCF故障时，可采取措施对后续信令进行相应处理。当探测到I -CSCF故障时，BAC应将该I-CSCF标记为故障，后续所有信令都不向该端点发送，而应向其它的正常的备用端点发送。对故障I-CSCF应继续进行探测，直到该网元恢复。 2）启发式探测

BAC在发送消息（Register、Invite等）发生无响应等失败情况下即启动OPTIONS消息探测I/S-CSCF，当探测到I/S-CSCF故障时，可采取措施对后续信令进行相应处理。当对该端点检测到故障时， BAC应将该I-CSCF标记为故障，后续所有信令都不向该端点发送，而应向其它的正常的备用端点发送。

对故障I-CSCF应继续进行探测，直到该网元恢复。 ?

现网使用建议： 现网使用建议要求如下：

（1） 当BAC与BAC合设时，与归属I/S-CSCF之间建立心跳检测采用启发

式探测

（2） BAC向I/S-CSCF之间发送OPTION的定时器时长要求：时长为 3分钟；

2.3 SIP头域消息规范化处理

1、SIP头域规范处理的要求 BAC规范处理的范围：

? 对于SIP消息头，BAC可能够处理Via头、Route头、Record-Route

头、以及Contact头中的地址信息；

? 对于SDP，BAC可能够处理o行,c行和m行的地址信息。 ? 支持Service-Route头域、P-Access-Network-Info头域的处理。 BAC规范实施手段： ? 添加： ? 删除： ? 替换； 2、现网实施的建议

最基本的BAC SIP头域规范化处理要求：

1）当收到用户发起呼叫的PPI和FROM消息头不带有用户归属域名的，BAC

直接实施规范化处理，将其规范为标准的SIP URI格式。

现网存在大量不同厂家的SIP终端及SIP PBX设备，为了满足这些设备与IMS网络之间在SIP消息的兼容性，主要通过BAC设备进行实施。建议现网可根据不同的需求灵活掌握BAC SIP头域消息规范化处理的实施方法。

2.4 总结

BAC在关于协议处理方面，必须关注以下主要事项：

1）BAC必须开启PPI（P-Preferred-Identity）消息头中的用户身份检查功

能；

2）由于心跳检测对BAC性能存在较大影响（具体心跳性能负荷可见附件

5.1），因此在现网实施过程中，必须在日常维护密切注意NAT用户所占总用户数的比例，若NAT用户占比较高时，BAC的性能完全被心跳检查所消耗。根据当前厂家计算公式，华为BAC（SE2600）的NAT用户占比达到40%以上，系统性能已经达到极限，需要实施扩容。因此现网实施中，必须密切关注。同时在BAC日常维护中，建议BAC支持统计NAT用户和非NAT注册用户的数量，及时给维护部门提供指标数据。

3）BAC针对PPI和FROM消息头不带有用户归属域名的呼叫消息实施规范化

处理，将其规范为标准的SIP URI格式。

三、安全防护

网络攻击可以入侵或引起网络服务器故障，偷取服务器上的敏感数据甚至中断服务器业务。当有网络攻击的时候，业务性能降低甚至导致业务中断。BAC部署于网络的边缘，是网络接入侧的第一入口点，用于保护核心网免受各种攻击。BAC在安全防护方面主要有以下几个方面进行加固。

? IP层防攻击 ? 信令层防攻击 ? 媒体层防攻击

3.1 IP 层防攻击 3.1.1 IP过滤防火墙

1、IP 过滤防火墙功能介绍

其主要功能隔离网络层攻击，BAC有抵御IP层攻击的能力，对于IP层的攻击，BAC能够进行识别、分类和适当的处理，从而保护核心网免受IP

层的各种攻击，可抵御的攻击包括但不限于以下几种： (a) IP spoofing (b) Syn flood (c) ICMP flood (d) UDP flood (e) Ping of Death (f) Large ICMP (g) Tear drop (h) Land attack (i) WinNuke attack (j)IP sweep attack (k)Port scan ? 底层过滤引用：

SBC开启某项服务后，上层应用创建的socket下发至防火墙，底层防火墙socket过滤，对包的目的ip和目的port进行过滤，如果上层没有开启此应用，则直接丢弃此报文，如果开启此项应用，则放行。

? uRFP协议应用：

BAC与公网路由器SR或CN2 CE 之间启用uRFP协议，URPF主要是为了防止分布式拒绝服务攻击。

基本原理：通过获取IP报文利用的源地址和入接口，以源地址为目的，在转发表中查找源地址对应的接口是否与接收数据包的接口一致，如果不一致则认为源地址是伪造的，丢弃该报文。uRFP协议主要有三种类型URPF，分别是严格的URPF（sRPF），松散的URPF（lRPF），忽略缺省路由的URPF（lnRPF）。

类型 处理机制 适合场景 严格的URPF（sRPF） 用收到报文的源地址进行路由（包括缺省路由）查找，BAC处于路由判断返回路径的出接口与该报文达到的入接口是否一致。如果一致则转发报文，否则进行ACL匹配 松散的URPF（lRPF） 用源地址进行路由（包括缺省路由）查找，找到且为非缺省路由则进行转发；找到为缺省路由，判断是否BAC处于路由非对称IP网对称IP网络

与入接口一致，是则转发，否则进行ACL匹配。 忽略缺省路由的URPF（lnRPF） 用源地址进行路由（不包括缺省路由）查找，找到就转发，否则进行ACL匹配 优点：只使用缺省路由来丢弃非法数据流的情况下十分有效。 络 BAC处于路由非对称IP网络

2、现网使用建议

1）在现网实施过程中，建议当BAC处于对称路由IP网络时，可启用严格的

uRFP （sRPF），若BAC处于非对称路由IP网络时，可启动忽略缺省路由的URPF（lnRPF）。同时开启启用uRPF日志。 2）启动SOCKET底层过滤功能。

3）启用IP层防攻击相关开关，设置攻击阀门值： 500包/秒 （建议值） 3、对BAC处理性能的影响 1）BAC处理能力影响

由于主要在IP层进行识别、分类和适当的处理IP包，未上升至业务层CPU处理。因此其启用uRFP协议和SOCKET底层过滤功能, 几乎不会对系统性能产生额外影响。 2）业务影响

由于路由器的IP流量发生拥塞后，势必也对BAC业务造成影响，在现网运营时必须注意。

3.1.2 基于ACL规则的报文过滤

1、基于ACL规则的报文过滤功能介绍

报文过滤机制主要是针对IP数据包的过滤。收到数据报文的时候，BAC先读取报文头信息，包括上层协议号、源/目的地址、源/目的端口，然后将报文头信息与定义的ACL规则相比较。根据比较的结果，确定发送或丢弃报文。BAC具有丰富的过滤功能，可以将不需要的流量过滤掉，只转发符合ACL规则定义的报文到核心网。

ACL规范表内容包含以下五元组：

基于源IP地址的数据过滤 基于目的IP地址的数据过滤 基于源端口的数据过滤 基于目的端口的数据过滤 基于特定协议的数据过滤

2、使用分析

1）基于源IP地址的数据过滤功能的使用分析：

接入用户的接入类型较复杂，如（1)通过公网CHINA-NAT 接入；（2）通过电信本地城域网接入；（3）通过移动PDSN接入；（4）通过CN2本地网络接入等。省内对接入用户的IP地址分配采用两种方式：（1）由DHCP实施IP地址动态分配方式：（2）通过IP地址整体规划，对部分接入用户的IP地址固定化。

若用户地址发生变更后，BAC无法判断原有用户地址是否为原来的IP地址。因此，接入用户采用DHCP方式分配IP地址的本地网不具备对接入用户实施基于源IP地址的数据过滤功能。

2）基于目的IP地址的数据过滤的使用分析：

从BAC角度来说，目的IP地址主要为两类：1）接入用户发起的目的IP地址为BAC 地址；2）BAC发起的目的IP地址为用户接入IP地址。从安全方面来

看，这两类目的IP地址，均可视为安全地址消息。

3）基于源端口和目的端口的数据过滤的使用分析：

对于业务应用主要承载于各类端口，如FTP的访问端口为20/21、HTTP的访问端口为80/8080、SIP消息访问端口为5060、H.248消息访问端口为2944D等。

因此基于源端口和目的端口的数据过滤可控制各类业务或协议的使用，从而保证在IP层防范其他业务类型的冲击。

4）基于特定协议的数据过滤的使用分析

基于特定协议的数据过滤实现方式主要基于IP报分消息解析消息类型。

3、现网使用建议

1）有用户接入的IP地址固定且明确的情况下，可使用源IP地址的数据过滤

ACL。使用范围可为：FTTX(H)用户接入（包括SIP用户接入、H.248用户接入）以及IP PBX企业接入。

2）协议应用端口采用固定模式，如SIP端口主要应用于5000~7000范围；H.248

主要应用2944端口等。建议使用基于源端口和目的端口的数据过滤。 4、对BAC处理性能的影响

ACL可以有效的完成对BAC自身网管或指定通道的流量保护，防止非法源的泛洪攻击；在内部处理过程中，不涉及业务CPU应用。因此几乎不会对BAC系统性能产生额外影响。

3.2信令层安全防范 3.2.1 信令防火墙

1、功能介绍

信令防火墙的主要功能是检查和过滤各种信令攻击，信令攻击方式主要有：过滤畸形 SIP 消息、未注册用户的注册消息攻击、未注册用户的非注册消息、已注册用户的 SIP消息攻击。

在信令层防范攻击涉及整个信令流程中，因此信令防火墙主要包括： 2）注册泛洪接纳控制策略； 3）CAC呼叫接纳控制策略； 4）畸形包防火墙： 5）动态黑白名单功能 ? 注册泛洪接纳控制策略

注册泛洪策略主要采用两种方式：1）单个用户注册频率控制策略；2）最大注册用户数控制策略。其中单个用户注册频率是指对单个用户的初始注册请求实施准入控制，当前初始注册请求频率超过预设门限时，注册请求不再接纳；最大注册用户数是指根据允许的最大注册用户数对用户注册请求实施准入控制，当前注册用户数超过预设门限时，注册请求不予接纳。具体业务应用可见本文4.3章节

? CAC呼叫接纳控制策略

CAC呼叫控制策略是根据用户允许的最大呼叫频率对用户呼叫请求实施准入控制，该用户的呼叫频率超过预设门限时，对呼叫请求不予接纳。具体业务应用可见本文4.3章节 ? 畸形包防火墙

畸形包防火墙主要指安全引擎设置SIP协议消息标准格式、字节大小等规则，对每个SIP消息进行筛选，过滤掉语法、语义上不正确的SIP消息。各厂家BAC均采用程序内置相关规则，只需开启功能即可。 ? 黑白名单功能

保持业务中各个用户的当前状态，对每个消息进行严格的状态检查。对攻击报文能够立即识别，分类并按优先级排列。正常的业务报文进入高优先级队列，攻击报文进入低优先级队列，其它报文根据具体的状态进入相应的队列。BAC先发送高优先级报文，然后是中等优先级报文，最后是低优先级报文，对大多数攻击报文不予处理。在判断是否为攻击报文主要是两个依据：1）用户连接速度的阀值；2）注册行为设定时间阀值。当超过阀值时，即认为当前有信令攻击发生，从而自动将攻击者的IP地址和端口加入黑名单中，直到老化时间到期；具体业务应用可见本文4.3章节

同时也会配置一些预定设置的辅助策略进行处理信令防火墙功能，如： 1）根据用户注册状态进行消息的处理，对未注册用户发送的非注册消息进行丢弃处理。

2）对注册鉴权失败的用户终端建立监视列表，记录IP地址/端口和用户名，并能采取动态黑白名单机制进行处理。

3）根据资源管理策略对用户请求消息进行过滤，对资源管理策略不允许的用户请求进行丢弃或拒绝处理。 2、使用分析

在现网具体运用用，注册泛洪接纳控制策略与CAC呼叫接纳控制策略需要结合不同用户群的需求以及市场定位，可分不同策略要求，例如普通用户在注册和CAC控制策略中可降低用户使用的频率，而集团用户则可提供用户使用的频率。需要有所针对性的区分。

畸形包防火墙主要内置于系统内部，判断用户消息流程是否有效、消息语法是否有效，消息字节数是否超过阀值等。因此无需用户进一步进行参数设置。

动态黑白名单功能则需要分别与注册泛洪接纳控制策略与CAC呼叫接纳控制策略、畸形包防火墙等信令防护策略相结合运用，当超过一定阀值可设置为黑名单用户。

通过分析可知，注册泛洪接纳控制策略与CAC呼叫接纳控制策略需要详细规范设置。 3、现网使用建议

由于信令防火墙业务功能主要

1）启动动态黑白名单信令处理机制，同时开启辅助配置策略；建议基于注册策略、呼叫策略、CAC策略主要可依据本文4.3章节：

2）在配置基于注册策略、呼叫策略、CAC策略防火墙时，建议考虑普通用户和企业用户之间的差异，进行针对性的配置，具体说明可见本文4.3章节。 2）畸形包防火墙，建议开启告警日志，可由操作人员手动添加至黑名单中。

3.3.2 网络拓扑隐藏

1、功能介绍

通过BAC隐藏IMS核心网和外部网络的所有拓扑结构信息，是的外部网络到IMS核心网之间的通路对两侧用户是完全透明的，从而有效阻止IMS核心网和外部网络彼此之间收到非法攻击，提供整个网络架构的安全。 网络隐藏主要有两种方式实现：

6）B2BUA（Back-to-Back User Agent，背靠背用户代理）模式，出网的SIP

消息中有关拓扑信息的头域被保存在本地，入网的SIP消息被加入本地保存的有关拓扑信息的头域，从外网看，出网的呼叫时由BAC发起的。 7）通过加密将需要隐藏的信息加密，是的外网无法获取相关信息。

2、现网使用建议

1）建议现网开启B2BUA模式应用网络拓扑隐藏功能。

3、对BAC处理性能的影响

无影响。

3.3 媒体层防攻击 3.3.1 针孔式防火墙

1、功能介绍

BAC能够根据信令协商的结果动态创建合法的媒体流信息(IP五元组)。五元组指的是源/目的地址，源/目的端口和协议类型。所有的媒体流都经过BAC，但是只有和IP五元组匹配的媒体流才能够被转发。未匹配的媒体流会被丢弃，从而实现对媒体流攻击的防范。当会话结束时，BAC释放媒体会话。通过这些处理，BAC提供了动态媒体针孔功能。

2、现网使用建议 无需配置，自动开启。

3、对BAC处理性能的影响 无影响。

3.3.2 对媒体报文类型和大小的检查

1、功能介绍

?

RTP报文大小的检查

RTP和RTCP报文的大小范围可以在BAC上进行配置，BAC会检查经过的媒体

报文的大小。如果媒体报文的大小不在这个范围内，BAC会认为为非法报文从而将它们进行丢弃。

?

RTP报文类型检查

有两种方法可以检查未RTP报文类型：一种是在BAC上配置需要检查的媒体

报文的类型，与配置的类型匹配的媒体报文会被丢弃；另一种是通过媒体层面和信令层面的配合，在一个具体的会话协商过程中，信令层通知媒体层对协商的媒体类型进行检查，然后媒体层对经过的媒体流的类型进行检查，如果检查的类型与指定的媒体类型不相匹配，这些媒体流将被丢弃。

2、现网使用建议 无需配置，自动开启。

3、对BAC处理性能的影响 无影响。

3.4 总结

BAC在关于安全防护方面，必须关注以下主要事项：

1） 关于ACL功能应用方面，主流设备厂家均支持“源地址”+“目的端口”的控制方式，由于现网部署IMS终端可能采用DHCP模式，建议ACL功能主要应用于BAC网管控制和业务端口控制等方面。

2） 关于信令层安全防护方面，建议“信令防火墙”功能需结合“动态黑白名单”功能共同使用，以实现信令层防DOS/DDOS攻击。

3） 关于安全防护功能应用对BAC性能的影响评估：根据与中兴、华为、阿朗等三家主流厂家技术交流，以及前期网发部组织厂验测试的情况来看，BAC所用安全防护全部开启后，消耗总负荷量的8% ~ 12%左右。请在实施BAC部署中，核算系统开销需加以注意。

四、业务功能

4.1 用户分组 4.1.1 用户分组说明

当用户优先级不同时，需要对不同用户进行不同程度的注册、呼叫和带宽限制。BAC可以根据用户的IP源地址或用户接入BAC 的IP地址（端口）区分用户群，对每个用户群，BAC分别设置并实施资源管理策略。对于特定用户群，BAC可设置其不受任何资源控制策略的限制。BAC可以对单个用户或者用户组群设置不同的接纳管理策略，因此需要结合用户和业务场景，综合考虑策略的制定。

用户分组定义：具有相同的一个或多个业务处理要求的用户集合。 在划分用户分组的基础之上，定义多个业务控制策略。根据当用户组的优先级和业务需要，将业务控制策略应用至用户组，对不同类型用户进行不同程度的呼叫接入控制（注册、呼叫和带宽限制）。同一个业务控制策略可应用在多个用户组上；同一个用户组可设置多个业务控制策略。

4.1.2 实施建议

1、BAC用户分组的实现方式：

1） 通过虚拟BAC分组，实现对用户接入的区分。

该方式实现机制：将一个物理BAC虚拟为若个逻辑BAC个体，每台逻辑BAC均配置独立的接入侧IP+端口地址。不同的用户群体通过不同接入侧IP地址接入BAC，从而实现在逻辑个体上用户分组能力。 2） 通过用户的IP源地址或用户号码，在BAC内部区分用户类别。

该方式实现机制：所用用户通过相同的接入侧BAC IP地址后，在BAC通过用户的IP源地址或用户号码，将接入用户划分为若干个用户群，在用户群内制定不同的使用策略。 2、现网BAC支持能力情况

厂家设备 支持虚拟BAC的支持源IP地址的支持用户号码的用用户分组 中兴BAC 华为BAC 阿朗BAC 支持 支持 支持 用户分组 支持 支持 不支持 户分组 支持 不支持 不支持 3、现网使用建议

由于现网部分省在用户接入侧使用DHCP IP地址分配机制，因此使用源IP地址的用户分组方式不具备可实施性；用户号码的用户分组现网只有中兴BAC提供能力，但由于用户号码存在动态变化，且BAC无法提供与BOSS系统的接口，因此现网不具备可操作性。

只有通过虚拟BAC的用户分组机制完全可提供用户层面大致的区分，从而实现差异化服务，且全网BAC实现可操作性较强。建议现网优先采用虚拟BAC的用户分组模式实现用户分组。

在实施过程中，对于用户分组的划分尽量不要过多，主要考虑到BAC容灾机制因素，设置过多虚拟用户分组，设置BAC容灾的数据配置将过于复杂。因此建议设置两个虚拟用户分组，即重要用户分组和普通用户分组。

4.2 媒体资源管理 4.2.1功能介绍

1、编解码检查功能

BAC设置允许的媒体类型（音频、视频）和编解码类型，不在规定范围内的媒体类型和编解码类型将被删除。或者根据系统配置，对可以识别的媒体类型进行通过，对未被BAC明确识别的媒体类型进行过滤。 2、编解码一致性检查

无论是固定接入还是移动接入，如果用户发送媒体流的媒体编码类型和信令中协商的媒体编码类型不一致，则存在媒体流攻击或带宽盗用的潜在威胁。BAC可以检查媒体协商过程中本次呼叫的codec值和当前实际接收过程中的媒体流的codec值是否一致，丢弃不一致的媒体报文。

本文来源：https://www.bwwdw.com/article/viyg.html