軟交換概念自1997年首次提出，很快便得到了業界的廣泛重視和認同。

    幾年中，在(zai)眾(zhong)多制造(zao)商(shang)和運(yun)營商(shang)的(de)共同推動下，軟交換產品逐步(bu)趨于成熟，功能(neng)(neng)日(ri)益豐富，性能(neng)(neng)逐漸穩(wen)定(ding)，標(biao)準化工作正穩(wen)步(bu)推進，軟交換技(ji)術(shu)正走向市(shi)場。

    迄今為(wei)止，全球(qiu)范(fan)圍(wei)內已有多家電信(xin)運(yun)營(ying)(ying)(ying)(ying)商(shang)(shang)積極開展了(le)在(zai)(zai)軟交(jiao)換(huan)方面(mian)的(de)(de)(de)實驗(yan)和(he)(he)商(shang)(shang)用(yong)部(bu)(bu)署(shu)。在(zai)(zai)北美，地方運(yun)營(ying)(ying)(ying)(ying)公司中(zhong)(zhong)有67%的(de)(de)(de)運(yun)營(ying)(ying)(ying)(ying)商(shang)(shang)已經有軟交(jiao)換(huan)部(bu)(bu)署(shu)，有43%的(de)(de)(de)長途(tu)交(jiao)換(huan)運(yun)營(ying)(ying)(ying)(ying)商(shang)(shang)也部(bu)(bu)署(shu)了(le)軟交(jiao)換(huan)系統。在(zai)(zai)歐(ou)洲，運(yun)營(ying)(ying)(ying)(ying)商(shang)(shang)對軟交(jiao)換(huan)的(de)(de)(de)發展和(he)(he)應(ying)用(yong)采用(yong)了(le)比較謹慎的(de)(de)(de)態(tai)度(du)，但隨著軟交(jiao)換(huan)技術的(de)(de)(de)逐漸成熟，歐(ou)洲運(yun)營(ying)(ying)(ying)(ying)商(shang)(shang)也加快了(le)軟交(jiao)換(huan)實施步(bu)伐(fa)；在(zai)(zai)亞太(tai)地區，香港、新(xin)西蘭(lan)、澳大利亞、日本、韓國(guo)(guo)(guo)(guo)等國(guo)(guo)(guo)(guo)的(de)(de)(de)運(yun)營(ying)(ying)(ying)(ying)商(shang)(shang)在(zai)(zai)軟交(jiao)換(huan)應(ying)用(yong)領域走在(zai)(zai)前列。2000年至今，中(zhong)(zhong)國(guo)(guo)(guo)(guo)的(de)(de)(de)電信(xin)行業對軟交(jiao)換(huan)網(wang)絡技術也給予了(le)極大的(de)(de)(de)關注，中(zhong)(zhong)國(guo)(guo)(guo)(guo)電信(xin)、中(zhong)(zhong)國(guo)(guo)(guo)(guo)網(wang)通、中(zhong)(zhong)國(guo)(guo)(guo)(guo)聯通、中(zhong)(zhong)國(guo)(guo)(guo)(guo)鐵(tie)通、中(zhong)(zhong)國(guo)(guo)(guo)(guo)衛通和(he)(he)中(zhong)(zhong)國(guo)(guo)(guo)(guo)移動(dong)都已全面(mian)啟動(dong)對軟交(jiao)換(huan)的(de)(de)(de)應(ying)用(yong)嘗試(shi)及商(shang)(shang)用(yong)部(bu)(bu)署(shu)。

    各運營商軟交(jiao)換網(wang)絡(luo)的技術(shu)測試(shi)和(he)實(shi)際商用證明軟交(jiao)換體(ti)系在(zai)功能(neng)和(he)性能(neng)上已(yi)經(jing)基本(ben)成熟，目前問題主要集中在(zai)以下(xia)方面(mian)：

    ◆隨(sui)著軟交(jiao)換(huan)網(wang)絡(luo)對PSTN網(wang)絡(luo)的(de)逐(zhu)步取代，系統(tong)應(ying)采用何種(zhong)模式進行大規(gui)模組網(wang)。

    ◆如何回避(bi)IP網用(yong)戶的(de)高(gao)度自主性，實現電信運營商對業(ye)務的(de)可管(guan)理性。

    ◆相對(dui)于封閉(bi)、使用(yong)專用(yong)系統(tong)的電路(lu)交(jiao)換網(wang)，架構于IP網(wang)之(zhi)上的軟交(jiao)換網(wang)絡易受到外來的入侵，面(mian)臨安(an)全性(xing)的挑戰。如何才能解決網(wang)絡節點、用(yong)戶信息和業務的安(an)全。

    ◆如何提供具(ju)有QoS保證(zheng)的端到端實時業務。

    ◆對于處于企(qi)業(ye)私網內的用戶，如何實現業(ye)務的企(qi)業(ye)NAT設備和防火墻(qiang)的穿越。

    為了(le)解決(jue)以上問題(ti)，并考慮到IP網(wang)自身要徹底解決(jue)安全及QoS問題(ti)尚需(xu)時日的(de)現狀，本文在現有(you)(you)軟(ruan)交(jiao)換(huan)網(wang)絡(luo)的(de)基礎上引入了(le)新(xin)的(de)網(wang)元設備，并提出了(le)新(xin)的(de)組(zu)(zu)網(wang)思路，該組(zu)(zu)網(wang)方案有(you)(you)助(zhu)于軟(ruan)交(jiao)換(huan)網(wang)絡(luo)向商用化目(mu)標推進一步，有(you)(you)利于傳統運(yun)營商近期(qi)內(nei)軟(ruan)交(jiao)換(huan)網(wang)絡(luo)的(de)商業部署。

    組網方案介紹

    1.網絡結構

    網絡結構如下圖所示(shi)：

    為了(le)更好解(jie)決軟(ruan)交換(huan)組網問(wen)題，本方案引(yin)入了(le)集(ji)(ji)中(zhong)用戶數(shu)(shu)據(ju)庫hlr和(he)集(ji)(ji)中(zhong)路由(you)服(fu)務器(qi)rs，將原(yuan)來存(cun)放的各軟(ruan)交換(huan)設備（ss）中(zhong)的用戶數(shu)(shu)據(ju)及路由(you)數(shu)(shu)據(ju)分離(li)出(chu)來，集(ji)(ji)中(zhong)存(cun)放在hlr及rs之中(zhong)，而ss只保留與網關(guan)資源(yuan)(yuan)相關(guan)的信息，如中(zhong)繼(ji)網關(guan)的e1資源(yuan)(yuan)的空(kong)閑(xian)情況等(deng)。

    為了(le)能(neng)夠(gou)更好解決網(wang)絡(luo)、業(ye)務(wu)的(de)(de)安全(quan)及qos問(wen)題，本解決方案在傳(chuan)送層引入(ru)了(le)具有(you)一定安全(quan)及qos保(bao)證(zheng)的(de)(de)（軟(ruan)(ruan)交換(huan)業(ye)務(wu)）專(zhuan)(zhuan)用(yong)(yong)承載網(wang)絡(luo)及軟(ruan)(ruan)交換(huan)業(ye)務(wu)邊緣接(jie)入(ru)控制設(she)備(bei)(bei)（bac）。軟(ruan)(ruan)交換(huan)設(she)備(bei)(bei)、中繼媒體網(wang)關(guan)（tg）、綜合接(jie)入(ru)媒體網(wang)關(guan)（ag）、信令(ling)網(wang)關(guan)（sg）、重要(yao)客戶(hu)使用(yong)(yong)的(de)(de)iad、媒體服務(wu)器（ms）、bac等(deng)設(she)備(bei)(bei)基于專(zhuan)(zhuan)用(yong)(yong)網(wang)絡(luo)部署，該專(zhuan)(zhuan)用(yong)(yong)網(wang)絡(luo)可(ke)以是新建的(de)(de)專(zhuan)(zhuan)用(yong)(yong)網(wang)或采(cai)用(yong)(yong)MPLSVPN等(deng)技(ji)術的(de)(de)虛擬專(zhuan)(zhuan)用(yong)(yong)網(wang)，能(neng)通(tong)過(guo)各種(zhong)手段來實(shi)現軟(ruan)(ruan)交換(huan)設(she)備(bei)(bei)間的(de)(de)相互通(tong)信及軟(ruan)(ruan)交換(huan)設(she)備(bei)(bei)和非軟(ruan)(ruan)交換(huan)設(she)備(bei)(bei)間的(de)(de)消息隔離。對于非重要(yao)客戶(hu)使用(yong)(yong)的(de)(de)iad及SIP軟(ruan)(ruan)、硬終端等(deng)設(she)備(bei)(bei)，由(you)于設(she)備(bei)(bei)數(shu)量多、分布(bu)廣，將(jiang)通(tong)過(guo)各種(zhong)接(jie)入(ru)方式快速(su)收斂(lian)于bac設(she)備(bei)(bei)，通(tong)過(guo)bac設(she)備(bei)(bei)實(shi)現與專(zhuan)(zhuan)用(yong)(yong)網(wang)絡(luo)中其他設(she)備(bei)(bei)的(de)(de)互通(tong)，此(ci)時(shi)bac提供(gong)信令(ling)及媒體的(de)(de)代理功(gong)能(neng)及安全(quan)檢測及隔離功(gong)能(neng)。

    對于(yu)(yu)通(tong)過(guo)公共internet接入(ru)軟交(jiao)(jiao)換(huan)網絡(luo)的iad及sip用(yong)戶(hu)(hu)當用(yong)戶(hu)(hu)發起(qi)業(ye)務請求(qiu)時，終(zhong)端首(shou)先會去軟交(jiao)(jiao)換(huan)網絡(luo)的DNS進(jin)行SS的域名解(jie)析(xi)，得到根據用(yong)戶(hu)(hu)所在(zai)位置(zhi)或IP地(di)址段所分(fen)配的BAC的IP地(di)址，終(zhong)端將(jiang)呼叫(jiao)請求(qiu)送(song)(song)至該(gai)BAC，BAC去查(cha)詢該(gai)用(yong)戶(hu)(hu)是(shi)否在(zai)已通(tong)過(guo)安全注冊的用(yong)戶(hu)(hu)列表中(zhong)，若是(shi)則對其(qi)進(jin)行用(yong)戶(hu)(hu)和(he)軟交(jiao)(jiao)換(huan)間的信(xin)令代理（BAC在(zai)用(yong)戶(hu)(hu)來看相當于(yu)(yu)軟交(jiao)(jiao)換(huan)，在(zai)軟交(jiao)(jiao)換(huan)看相當于(yu)(yu)用(yong)戶(hu)(hu)）。BAC根據預設原則將(jiang)呼叫(jiao)請求(qiu)送(song)(song)至相應SS進(jin)行處理。

    對于部(bu)署在專(zhuan)網上(shang)的TG及(ji)AG/部(bu)分IAD設備當用戶發起業務請求時，網關設備將根據預(yu)設的SSIP地址將呼(hu)叫送至相(xiang)應(ying)的SS。

    主(zhu)叫(jiao)(jiao)SS首先會去(qu)(qu)HLR查詢(xun)(xun)用(yong)(yong)戶的(de)(de)(de)業(ye)務(wu)相(xiang)關信息，判(pan)別用(yong)(yong)戶該業(ye)務(wu)是否(fou)有權，是否(fou)符(fu)合預設的(de)(de)(de)業(ye)務(wu)觸發條件，然后根據查詢(xun)(xun)結果(guo)去(qu)(qu)訪問RS獲(huo)得本次呼(hu)叫(jiao)(jiao)的(de)(de)(de)路(lu)由信息，將(jiang)呼(hu)叫(jiao)(jiao)接(jie)續至下一跳SS或業(ye)務(wu)平臺。被叫(jiao)(jiao)SS收(shou)到呼(hu)叫(jiao)(jiao)請求將(jiang)去(qu)(qu)查詢(xun)(xun)HLR，獲(huo)得目(mu)前用(yong)(yong)戶指定終端的(de)(de)(de)IP地址，接(jie)至終端。

    2.設備說明

    關于RS

    在網(wang)(wang)絡(luo)發展初期，軟(ruan)交(jiao)換(huan)(huan)設備之(zhi)間(jian)不分級(ji)，彼此之(zhi)間(jian)為邏(luo)輯網(wang)(wang)狀(zhuang)網(wang)(wang)結構，網(wang)(wang)絡(luo)中任一(yi)(yi)軟(ruan)交(jiao)換(huan)(huan)設備均存有全網(wang)(wang)的路(lu)由信息(xi)，可直接定(ding)位另(ling)一(yi)(yi)軟(ruan)交(jiao)換(huan)(huan)設備。同一(yi)(yi)運營(ying)商網(wang)(wang)絡(luo)內部軟(ruan)交(jiao)換(huan)(huan)之(zhi)間(jian)不分級(ji)，當與(yu)其他運營(ying)商網(wang)(wang)絡(luo)互通(tong)將設置網(wang)(wang)間(jian)接口SS及(ji)網(wang)(wang)間(jian)接口中繼網(wang)(wang)關。

    隨著網絡規(gui)模的(de)(de)(de)擴(kuo)大，軟(ruan)交換設(she)備數量的(de)(de)(de)增多，將引(yin)入(ru)位置服(fu)務(wu)器設(she)備實現軟(ruan)交換之(zhi)間的(de)(de)(de)路由(you)查詢。路由(you)服(fu)務(wu)器接受(shou)主叫(jiao)端SS的(de)(de)(de)尋址請求，通過(guo)數據查詢或向(xiang)(xiang)其他的(de)(de)(de)路由(you)服(fu)務(wu)器發出尋址請求，得到并向(xiang)(xiang)主叫(jiao)端SS返回被叫(jiao)的(de)(de)(de)SS地(di)址，不做呼叫(jiao)控制信號的(de)(de)(de)傳遞(di)。

    初期(qi)RS可(ke)以不分級，隨(sui)著(zhu)網絡規模的(de)擴大可(ke)以采用分級的(de)結構。當SS路(lu)由數據發(fa)生變化時，應主動將變化更新(xin)到RS，RS之間(jian)能夠(gou)實現路(lu)由數據動態(tai)自動更新(xin)。其他RS轄(xia)區(qu)內SS路(lu)由數據的(de)變動，無須對該區(qu)域SS進行路(lu)由數據更改，而僅調整路(lu)由服(fu)務器中的(de)路(lu)由數據。

    RS中將存放被叫號碼所映射的路(lu)由信息，可以是下(xia)一條SS的IP地址(zhi)、或是下(xia)一跳RS的IP地址(zhi)、或是寬帶用戶帳(zhang)號下(xia)所登(deng)記多個終端的地址(zhi)信息、串(chuan)并振順序等(deng)。

    關于HLR

    眾所(suo)(suo)周知，移(yi)動(dong)網(wang)(wang)的(de)(de)(de)智能程度高(gao)于PSTN網(wang)(wang)絡，其中(zhong)HLR的(de)(de)(de)功勞是無法(fa)(fa)忽視的(de)(de)(de)。對于軟交(jiao)換這樣一個(ge)新型的(de)(de)(de)網(wang)(wang)絡更應當(dang)借鑒其他網(wang)(wang)絡的(de)(de)(de)成功之(zhi)處，在網(wang)(wang)絡中(zhong)引入集中(zhong)的(de)(de)(de)用(yong)戶數據庫，進(jin)行用(yong)戶數據的(de)(de)(de)集中(zhong)管理(li)，內(nei)部可(ke)存放所(suo)(suo)管區(qu)域內(nei)寬窄帶用(yong)戶的(de)(de)(de)業務(wu)屬(shu)(shu)性(xing)（如業務(wu)權限、業務(wu)用(yong)戶屬(shu)(shu)性(xing)觸(chu)發條(tiao)件等）等。由(you)于HLR的(de)(de)(de)存在，使得被叫側業務(wu)可(ke)以在主叫側進(jin)行觸(chu)發；使得用(yong)戶數據可(ke)以集中(zhong)存放于一地(di)，解決了采用(yong)分離用(yong)戶數據庫時(shi)軟交(jiao)換異地(di)相互備份時(shi)無法(fa)(fa)將(jiang)用(yong)戶修改(gai)的(de)(de)(de)業務(wu)數據實時(shi)同步到備份軟交(jiao)換的(de)(de)(de)問題。

    HLR采用多機(ji)備份方式提高自(zi)身可靠性。

    關于BAC設備

    軟交換業(ye)務邊(bian)緣接入控制(zhi)（BAC）設(she)備是為(wei)了解(jie)決網絡的(de)(de)安(an)全、QoS、私網穿越等問(wen)題(ti)而引入的(de)(de)。主要功能包括：

    （1）業務穿越功能(neng)

    設(she)備(bei)支持軟交換用戶(hu)和軟交換設(she)備(bei)一方處(chu)于私網或雙方處(chu)于不同私網時用戶(hu)業務的穿越。

    設備支持(chi)用戶的(de)(de)注冊流程(cheng)的(de)(de)穿越，不改變用戶的(de)(de)注冊流程(cheng)，用戶的(de)(de)認證鑒權(quan)由軟交換執(zhi)行。

 ;   設備(bei)支持所有(you)軟交(jiao)換提供業(ye)務(wu)(wu)的(de)業(ye)務(wu)(wu)穿越，不改變業(ye)務(wu)(wu)流程，不引入業(ye)務(wu)(wu)安全隱患。

    （2）安全保護(hu)功能

    設(she)(she)備能對終端用戶屏蔽軟交換設(she)(she)備、中繼媒體網(wang)關、綜合接入(ru)媒體網(wang)關、媒體服務器等設(she)(she)備的地址，保護重要網(wang)元設(she)(she)備。

    設備具(ju)備包過濾型防火墻的功能，隔離(li)網絡層攻擊。

    設備能阻(zu)斷(duan)未經(jing)允(yun)許的協議對軟(ruan)交換(huan)設備的訪問。

    設(she)備能(neng)進行簡(jian)單(dan)的應用層攻擊防護，實現部分代理(li)服(fu)務型防火墻功(gong)能(neng)。

    設備能根據業務需要、用戶安全需求和運營(ying)需求屏蔽(bi)通信對(dui)方地址的(de)能力。

    （3）業務(wu)質(zhi)量保障(zhang)（QoS）功能

   ; 設(she)備能(neng)(neng)對進出設(she)備消息的(de)ToS/CoS的(de)識別、標(biao)記和重標(biao)記功能(neng)(neng)，能(neng)(neng)根據標(biao)記優先級(ji)進行(xing)業(ye)務QOS處(chu)理。

    設備(bei)可支持鏈路(lu)QoS參數探測功能，將(jiang)QoS參數統(tong)計結果實時上報軟(ruan)交換或其(qi)他(ta)制定設備(bei)。

    （4）業務控制(zhi)管理(li)功能

    能配合軟交換進行業務和呼叫控制，能協助收(shou)集、上報(bao)軟交換進行呼叫處理需要的(de)用戶(hu)參數。

    支持對媒體流的控制管理(li)，可(ke)以(yi)實現對媒體的轉接控制、統計、分(fen)析(xi)、監視、過濾、帶寬(kuan)控制等功能(neng)。

    （5）用戶管理功能(neng)

    設(she)備(bei)可與終(zhong)端配合進行用戶存活狀態檢測(ce)，并將檢測(ce)結果上報軟交換(huan)處理。

    在(zai)網(wang)絡組(zu)織上(shang)，BAC設備(bei)(bei)根據用戶(hu)量大小可(ke)放置(zhi)在(zai)城域網(wang)匯聚層或(huo)接(jie)入(ru)層，多個(ge)BAC設備(bei)(bei)間相互備(bei)(bei)份(fen)，當(dang)一個(ge)設備(bei)(bei)受攻擊停止服務時，可(ke)以通過DNS解(jie)析到(dao)網(wang)絡上(shang)的其他BAC接(jie)替提(ti)供服務，備(bei)(bei)份(fen)不(bu)受BAC所處網(wang)絡位(wei)置(zhi)的限制。

    3.解決的問題

    實現網絡擁塞(sai)控制

    對(dui)于新建(jian)的(de)專用網(wang)絡，可以進行(xing)帶寬規劃，配合(he)以SS的(de)呼叫數控(kong)制功(gong)能(neng)可實現網(wang)絡呼叫擁塞(sai)控(kong)制功(gong)能(neng)。

    首先(xian)(xian)預(yu)先(xian)(xian)規劃好(hao)兩地之(zhi)間軟交換業(ye)(ye)(ye)務可(ke)用(yong)的數據(ju)總帶(dai)寬；根據(ju)總帶(dai)寬、業(ye)(ye)(ye)務類型計算出可(ke)支持業(ye)(ye)(ye)務的同(tong)時(shi)連接總數S；當(dang)呼(hu)(hu)叫(jiao)請求來到SS，SS首先(xian)(xian)判(pan)斷S當(dang)前是(shi)否為(wei)0，若(ruo)S＝0，則拒絕此次新呼(hu)(hu)叫(jiao)，若(ruo)S＞0則繼續處理；當(dang)SS完成一個業(ye)(ye)(ye)務接續則S＝S－1。

    若兩地之間數據帶寬發(fa)生變化，則(ze)應通知SS進行連接總數S的修正。

    關于SS可靠性

    對(dui)于承擔窄帶(dai)域呼(hu)叫(jiao)控制功能的(de)SS來說(shuo)，采用(yong)(yong)(yong)主備(bei)用(yong)(yong)(yong)雙機(ji)工作方(fang)式(shi)。對(dui)于所控制用(yong)(yong)(yong)戶(hu)(hu)的(de)用(yong)(yong)(yong)戶(hu)(hu)數(shu)據(ju)(ju)將集(ji)中(zhong)(zhong)(zhong)存放(fang)在HLR中(zhong)(zhong)(zhong)，路由數(shu)據(ju)(ju)集(ji)中(zhong)(zhong)(zhong)存放(fang)在RS中(zhong)(zhong)(zhong)，主機(ji)及備(bei)用(yong)(yong)(yong)機(ji)激活(huo)后都可(ke)訪問這部(bu)分(fen)數(shu)據(ju)(ju)，至于SS所使用(yong)(yong)(yong)的(de)網(wang)關資源相關數(shu)據(ju)(ju)則(ze)必(bi)須預先在備(bei)用(yong)(yong)(yong)機(ji)中(zhong)(zhong)(zhong)保留備(bei)份。該(gai)種方(fang)式(shi)是(shi)采用(yong)(yong)(yong)資源閑置冗余的(de)方(fang)式(shi)獲得SS的(de)可(ke)靠性。

    對于(yu)承擔(dan)寬帶(dai)域呼(hu)(hu)叫(jiao)(jiao)控(kong)制(zhi)(zhi)功能的(de)SS來(lai)說，可以采用(yong)(yong)(yong)前(qian)述的(de)主備用(yong)(yong)(yong)雙(shuang)機工作方式，但(dan)(dan)處(chu)(chu)于(yu)更高的(de)設(she)備使(shi)用(yong)(yong)(yong)效率考慮，還可以采用(yong)(yong)(yong)多機負荷(he)分(fen)擔(dan)的(de)工作方式。每(mei)個BAC負責n個SS設(she)備（如同一(yi)省內采用(yong)(yong)(yong)SS進行寬帶(dai)域業(ye)務(wu)的(de)負荷(he)分(fen)擔(dan)處(chu)(chu)理(li)）的(de)控(kong)制(zhi)(zhi)信息分(fen)發(fa)，當其收(shou)到SIP用(yong)(yong)(yong)戶(hu)(hu)發(fa)來(lai)的(de)呼(hu)(hu)叫(jiao)(jiao)請(qing)求(qiu)后(hou)，會根據(ju)預先設(she)定的(de)話務(wu)分(fen)配(pei)原則（如輪詢等），每(mei)個SS具(ju)有(you)自(zi)己的(de)IP地址，但(dan)(dan)只(zhi)對BAC公布。這些SS的(de)功能完全相同，處(chu)(chu)理(li)BAC送來(lai)的(de)呼(hu)(hu)叫(jiao)(jiao)請(qing)求(qiu)，查詢統一(yi)的(de)HLR獲得用(yong)(yong)(yong)戶(hu)(hu)業(ye)務(wu)屬性信息及用(yong)(yong)(yong)戶(hu)(hu)狀態、查詢RS獲得用(yong)(yong)(yong)戶(hu)(hu)IP地址進行路由或下(xia)一(yi)跳SS或業(ye)務(wu)平臺(tai)，以實現業(ye)務(wu)接續及控(kong)制(zhi)(zhi)。當某(mou)一(yi)SS出現故障將(jiang)影(ying)響(xiang)本次呼(hu)(hu)叫(jiao)(jiao)處(chu)(chu)理(li)，下(xia)一(yi)次序新的(de)呼(hu)(hu)叫(jiao)(jiao)請(qing)求(qiu)將(jiang)會由其他的(de)SS進行處(chu)(chu)理(li)，網絡業(ye)務(wu)處(chu)(chu)理(li)能力將(jiang)損失1/n，但(dan)(dan)不(bu)用(yong)(yong)(yong)空置部分(fen)SS資源。

    BAC實現至SS的(de)呼叫(jiao)控制(zhi)信息(xi)動態分發(fa)功(gong)能，具有協議解析功(gong)能，能夠根(gen)據(ju)應用(yong)協議的(de)參數識別哪些消息(xi)屬(shu)于同一呼叫(jiao)，將其分發(fa)至同一SS進(jin)行(xing)呼叫(jiao)處理。BAC自身的(de)可靠性將通過(guo)多機備份(fen)得到(dao)保證。

    對(dui)于部署在專網內的(de)(de)信令網關、中繼(ji)網關、大容量(liang)用(yong)(yong)(yong)戶(hu)綜合(he)接入網關、重要客(ke)戶(hu)使用(yong)(yong)(yong)的(de)(de)IAD/小容量(liang)用(yong)(yong)(yong)戶(hu)綜合(he)接入網關等設備，應支持在本機上設置備用(yong)(yong)(yong)SS地址(zhi)的(de)(de)功能，當主用(yong)(yong)(yong)SS故(gu)障(zhang)退(tui)出服(fu)務后(hou)應能夠(gou)將后(hou)續新的(de)(de)呼叫請求(qiu)送到備用(yong)(yong)(yong)SS進(jin)行處理。

    對(dui)于部署在(zai)公共(gong)Internet之上(shang)的(de)(de)各類(lei)SIP用(yong)戶及(ji)IAD終端，在(zai)用(yong)戶側只寫入需(xu)訪問的(de)(de)軟(ruan)交換設(she)備或各類(lei)管理及(ji)應用(yong)服(fu)務器(qi)（如IAD網管系統、文件服(fu)務器(qi)等(deng)）的(de)(de)域名而非IP地址(zhi)，通過(guo)軟(ruan)交換網絡的(de)(de)域名解(jie)析器(qi)DNS解(jie)析后返(fan)回相應的(de)(de)BAC設(she)備的(de)(de)地址(zhi)。BAC收到(dao)呼(hu)(hu)叫請求后將(jiang)(jiang)首先判別用(yong)戶類(lei)型（采用(yong)協議(yi)類(lei)型或是否(fou)帶有主機名進行(xing)判別），對(dui)于IAD用(yong)戶的(de)(de)呼(hu)(hu)叫請求，BAC將(jiang)(jiang)根據(ju)預設(she)值(zhi)將(jiang)(jiang)呼(hu)(hu)叫指(zhi)向(xiang)主用(yong)SS；對(dui)于SIP用(yong)戶的(de)(de)呼(hu)(hu)叫請求，BAC將(jiang)(jiang)根據(ju)預設(she)原(yuan)則（如輪詢等(deng)）將(jiang)(jiang)呼(hu)(hu)叫均(jun)勻指(zhi)向(xiang)一組SS中的(de)(de)一個。

    安全問題的解決

    首(shou)先，軟(ruan)(ruan)交換(huan)、中繼媒(mei)體(ti)網(wang)關(guan)、綜合(he)接(jie)入媒(mei)體(ti)網(wang)關(guan)、媒(mei)體(ti)服務器等設(she)(she)(she)備基于專(zhuan)用網(wang)絡(luo)(luo)部署(shu)，該網(wang)絡(luo)(luo)可(ke)以(yi)是新建的(de)(de)專(zhuan)用網(wang)或(huo)采用MPLSVPN等技術的(de)(de)虛擬專(zhuan)用網(wang)，能(neng)通過各種手段來實現軟(ruan)(ruan)交換(huan)設(she)(she)(she)備間(jian)的(de)(de)相互通信及軟(ruan)(ruan)交換(huan)設(she)(she)(she)備和非軟(ruan)(ruan)交換(huan)設(she)(she)(she)備間(jian)的(de)(de)消(xiao)息隔離，大量的(de)(de)軟(ruan)(ruan)交換(huan)散戶(hu)及其他非軟(ruan)(ruan)交換(huan)網(wang)絡(luo)(luo)的(de)(de)設(she)(she)(she)備難以(yi)直(zhi)接(jie)訪問到(dao)這些軟(ruan)(ruan)交換(huan)網(wang)絡(luo)(luo)設(she)(she)(she)備，大大減小(xiao)了受互聯網(wang)用戶(hu)攻擊的(de)(de)可(ke)能(neng)。由于軟(ruan)(ruan)交換(huan)專(zhuan)用網(wang)絡(luo)(luo)中的(de)(de)設(she)(she)(she)備可(ke)信任度高，通過信令協(xie)議保(bao)障（如(ru)認證）、設(she)(she)(she)備管理(li)等手段，基本可(ke)以(yi)避(bi)免專(zhuan)用網(wang)絡(luo)(luo)內用戶(hu)攻擊。

    對(dui)于非(fei)重要客戶(hu)(hu)使用(yong)的(de)(de)IAD及(ji)(ji)SIP軟(ruan)、硬終(zhong)端等設(she)備(bei)(bei)，由于設(she)備(bei)(bei)數量多、分布(bu)廣，將通過各種接入(ru)方(fang)式快速收斂(lian)于BAC設(she)備(bei)(bei)，通過BAC設(she)備(bei)(bei)實現與專用(yong)網絡中(zhong)其(qi)他(ta)設(she)備(bei)(bei)的(de)(de)互通，此時BAC提供信(xin)令及(ji)(ji)媒體的(de)(de)代理功(gong)能(neng)及(ji)(ji)安全(quan)檢測及(ji)(ji)隔離(li)功(gong)能(neng)。由于IAD及(ji)(ji)SIP終(zhong)端分布(bu)于用(yong)戶(hu)(hu)側，對(dui)軟(ruan)交(jiao)換核(he)心設(she)備(bei)(bei)的(de)(de)安全(quan)存(cun)在極大(da)的(de)(de)威脅，因此在本(ben)方(fang)案中(zhong)，運(yun)營(ying)商對(dui)于IAD或(huo)SIP終(zhong)端應(ying)采用(yong)用(yong)戶(hu)(hu)零配(pei)置方(fang)案，運(yun)營(ying)商應(ying)負責所有網絡及(ji)(ji)用(yong)戶(hu)(hu)數據的(de)(de)配(pei)置及(ji)(ji)后續的(de)(de)更新及(ji)(ji)修(xiu)改，用(yong)戶(hu)(hu)無法自行修(xiu)改數據。在用(yong)戶(hu)(hu)側只寫入(ru)需(xu)訪(fang)問的(de)(de)軟(ruan)交(jiao)換設(she)備(bei)(bei)或(huo)各類管理及(ji)(ji)應(ying)用(yong)服(fu)務(wu)器（如(ru)IAD網管系統、文件服(fu)務(wu)器等）的(de)(de)域名(ming)而非(fei)IP地址，避免SS暴露IP地址易受到非(fei)法攻擊(ji)。

    在信令(ling)協議中啟動加密和(he)鑒(jian)權(quan)機制，SS定(ding)期檢測用(yong)戶(hu)身份合法性(xing)，保(bao)證SS對網關(guan)及用(yong)戶(hu)的控制權(quan)，防止非法用(yong)戶(hu)對業務的盜用(yong)或干(gan)擾(rao)。

    通過域名解析機制及BAC設備的(de)信令及媒體的(de)全(quan)代理功能，對(dui)基于(yu)公共Internet接入(ru)的(de)用(yong)戶(hu)屏蔽軟交換、中繼媒體網關、綜合接入(ru)媒體網關、媒體服務器等(deng)設備的(de)地址，保護重要的(de)軟交換網絡設備。

    BAC支(zhi)持訪問(wen)控(kong)(kong)制(zhi)列(lie)表（ACL）功(gong)能(neng)(neng)，能(neng)(neng)夠(gou)根據源(yuan)、目(mu)的(de)(de)IP地(di)(di)址(zhi)(zhi)和端(duan)(duan)口(kou)(kou)號(hao)設(she)(she)置訪問(wen)控(kong)(kong)制(zhi)規則進(jin)行(xing)(xing)報文過(guo)濾；能(neng)(neng)夠(gou)針對(dui)特定控(kong)(kong)制(zhi)協議進(jin)行(xing)(xing)包(bao)(bao)過(guo)濾，阻擋非(fei)法設(she)(she)備及(ji)未(wei)經允許(xu)的(de)(de)協議對(dui)軟(ruan)交換設(she)(she)備的(de)(de)訪問(wen)；能(neng)(neng)進(jin)行(xing)(xing)簡單(dan)的(de)(de)應用層攻擊(ji)防護，實現部(bu)分(fen)代(dai)理(li)服務型防火墻功(gong)能(neng)(neng)，具體包(bao)(bao)括：根據用戶(hu)注(zhu)冊(ce)狀態進(jin)行(xing)(xing)消(xiao)息(xi)(xi)的(de)(de)處理(li)，對(dui)未(wei)注(zhu)冊(ce)用戶(hu)發(fa)送的(de)(de)非(fei)注(zhu)冊(ce)消(xiao)息(xi)(xi)進(jin)行(xing)(xing)丟棄處理(li)；對(dui)注(zhu)冊(ce)鑒(jian)權(quan)失敗的(de)(de)用戶(hu)終端(duan)(duan)建立(li)監視列(lie)表，當(dang)失敗的(de)(de)注(zhu)冊(ce)嘗試達(da)到一定的(de)(de)頻率則采取相(xiang)應措(cuo)施；設(she)(she)置IP地(di)(di)址(zhi)(zhi)/端(duan)(duan)口(kou)(kou)允許(xu)的(de)(de)正(zheng)常信令消(xiao)息(xi)(xi)流量值，當(dang)1分(fen)鐘內收(shou)到同一源(yuan)IP和端(duan)(duan)口(kou)(kou)的(de)(de)消(xiao)息(xi)(xi)超過(guo)該值時，將該地(di)(di)址(zhi)(zhi)/端(duan)(duan)口(kou)(kou)列(lie)入黑名(ming)單(dan)并(bing)采取相(xiang)應措(cuo)施。

    具備根據(ju)業務需(xu)要(yao)、用戶(hu)安全需(xu)求(qiu)和運營(ying)需(xu)求(qiu)屏蔽(bi)通(tong)信(xin)對(dui)方地址的(de)能力。

    為配(pei)合安全的(de)(de)軟(ruan)交(jiao)換網(wang)絡的(de)(de)實(shi)(shi)施，各設備(bei)需要進(jin)行(xing)(xing)相應的(de)(de)改進(jin)，如支持多個(ge)網(wang)段，可以通(tong)過提供(gong)多個(ge)分離的(de)(de)物(wu)理(li)(li)(li)端口或(huo)在一個(ge)物(wu)理(li)(li)(li)端口上支持多個(ge)VLAN的(de)(de)方(fang)式(shi)實(shi)(shi)現；對媒體端口進(jin)行(xing)(xing)動態開閉管理(li)(li)(li)；能進(jin)行(xing)(xing)最(zui)小(xiao)化端口設置；面(mian)向用戶的(de)(de)服務可采(cai)取由Web或(huo)Portal面(mian)對用戶，進(jin)行(xing)(xing)業務代理(li)(li)(li)方(fang)式(shi)來(lai)降(jiang)低風(feng)險；設備(bei)需要專門的(de)(de)軟(ruan)/硬件平臺設計等。

    QoS問題的解決

    目前的(de)(de)IP網絡技術還(huan)不能(neng)徹底地解決QoS問題，在現有(you)的(de)(de)公共IP網絡上(shang)還(huan)不能(neng)為(wei)軟交換(huan)網絡提供大(da)規模(mo)地有(you)QoS保(bao)障(zhang)的(de)(de)承載(zai)服務。本方案(an)將采用專用網絡+BAC的(de)(de)信令媒體全代理(li)功能(neng)對QoS問題進(jin)行一定(ding)程(cheng)度的(de)(de)解決。

    專用網(wang)(wang)(wang)絡(luo)組網(wang)(wang)(wang)可以(yi)(yi)采用專線、專用IP網(wang)(wang)(wang)、MPLSVPN等方式，MPLSVPN方式要提供QoS保(bao)障，仍然需要全IP網(wang)(wang)(wang)絡(luo)設(she)備的(de)支持，而(er)目前的(de)IP網(wang)(wang)(wang)絡(luo)還不(bu)能全程全網(wang)(wang)(wang)地提供QoS。專線和(he)專用IP網(wang)(wang)(wang)方式可以(yi)(yi)通過網(wang)(wang)(wang)絡(luo)流(liu)(liu)量預測和(he)規劃，按軟(ruan)(ruan)交換(huan)業(ye)務需求(qiu)組織網(wang)(wang)(wang)絡(luo)，由于專網(wang)(wang)(wang)專用，使用過程中容易掌握業(ye)務流(liu)(liu)量和(he)流(liu)(liu)向的(de)變化，可以(yi)(yi)及時調整網(wang)(wang)(wang)絡(luo)，通過與軟(ruan)(ruan)交換(huan)設(she)備呼叫(jiao)數(shu)控制(zhi)功能結(jie)合(he)，可以(yi)(yi)有效解決網(wang)(wang)(wang)絡(luo)擁(yong)塞控制(zhi)問題。如(ru)新(xin)建專用網(wang)(wang)(wang)絡(luo)，還可以(yi)(yi)在(zai)引進(jin)網(wang)(wang)(wang)絡(luo)設(she)備時統(tong)一考慮設(she)備QoS功能，區(qu)分對待不(bu)同(tong)業(ye)務等級的(de)軟(ruan)(ruan)交換(huan)業(ye)務，設(she)置為(wei)某些業(ye)務實現帶寬(kuan)預留。

    全代理設備可以(yi)根據不同(tong)(tong)用戶、不同(tong)(tong)業務(wu)分別對(dui)信令(ling)和媒體(ti)進行QoS標記，為后續(xu)IP網絡設備的QoS處(chu)理提(ti)供幫助。在今后的QoS解決方案中，該設備還可以(yi)接受軟交換(huan)設備或其(qi)他QoS控制設備的指(zhi)令(ling)，在呼叫建立階段根據用戶QoS要求和網絡QoS狀(zhuang)況(kuang)進行不同(tong)(tong)的后續(xu)處(chu)理（如接續(xu)、拒絕、重定向、更改編碼方式等）。

    防止非法業務旁路

    通(tong)(tong)(tong)過在(zai)PC機上加(jia)載(zai)一定(ding)的(de)(de)(de)SIP通(tong)(tong)(tong)信軟件的(de)(de)(de)SIP軟終(zhong)(zhong)端用(yong)(yong)戶(hu)(hu)，可以通(tong)(tong)(tong)過Internet的(de)(de)(de)通(tong)(tong)(tong)達性在(zai)世界各地接入運(yun)營(ying)商的(de)(de)(de)軟交換(huan)系(xi)統實現通(tong)(tong)(tong)信功能(neng)(neng)，當用(yong)(yong)戶(hu)(hu)在(zai)異(yi)地使(shi)用(yong)(yong)軟終(zhong)(zhong)端呼(hu)叫(jiao)(jiao)用(yong)(yong)戶(hu)(hu)歸(gui)屬地其(qi)他用(yong)(yong)戶(hu)(hu)時，運(yun)營(ying)商只能(neng)(neng)收到本地呼(hu)叫(jiao)(jiao)的(de)(de)(de)費用(yong)(yong)，而(er)無(wu)法收到國際或國內(nei)長途呼(hu)叫(jiao)(jiao)收入。另(ling)外(wai)，某(mou)些終(zhong)(zhong)端軟件也可能(neng)(neng)在(zai)獲得SS返(fan)回的(de)(de)(de)對(dui)端用(yong)(yong)戶(hu)(hu)地址(zhi)(zhi)信息，停止與SS之間(jian)的(de)(de)(de)繼續交互，通(tong)(tong)(tong)過獲得的(de)(de)(de)被(bei)叫(jiao)(jiao)地址(zhi)(zhi)采用(yong)(yong)其(qi)他IP電話軟件直接進行通(tong)(tong)(tong)信，使(shi)得運(yun)營(ying)商幫(bang)助其(qi)完成(cheng)了用(yong)(yong)戶(hu)(hu)尋址(zhi)(zhi)后話務被(bei)旁路而(er)無(wu)法獲得收益。

    以(yi)(yi)上問題可(ke)以(yi)(yi)通過BAC在(zai)一定程度上得到改(gai)善。

    對于第一個問題的(de)做法是(shi)(shi)，終端只配(pei)(pei)(pei)軟(ruan)交換(huan)域(yu)名，通過DNS解(jie)(jie)析至(zhi)應(ying)去所(suo)屬的(de)SBC；SBC將本身及用戶(hu)的(de)IP地(di)(di)址(zhi)(zhi)送給軟(ruan)交換(huan)；軟(ruan)交換(huan)進行IP地(di)(di)址(zhi)(zhi)分(fen)(fen)析，判(pan)斷用戶(hu)的(de)IP地(di)(di)址(zhi)(zhi)與(yu)使(shi)用的(de)BAC的(de)IP地(di)(di)址(zhi)(zhi)是(shi)(shi)否匹配(pei)(pei)(pei)，若相(xiang)匹配(pei)(pei)(pei)則(ze)呼叫接(jie)續(xu)繼續(xu)，若不匹配(pei)(pei)(pei)則(ze)呼叫拒絕。當然該(gai)解(jie)(jie)決辦(ban)法的(de)前(qian)提是(shi)(shi)SS已經(jing)了解(jie)(jie)IP地(di)(di)址(zhi)(zhi)與(yu)地(di)(di)域(yu)之間的(de)分(fen)(fen)布對應(ying)關系。

    對于第二(er)個問題(ti)的(de)做法(fa)是，通過(guo)BAC設備(bei)從信(xin)令和媒體(ti)上(shang)屏蔽通信(xin)對端用戶的(de)地址，可以有效(xiao)防止業務旁路，并滿(man)足(zu)某些(xie)業務（如匿名聊(liao)天(tian)）的(de)特殊(shu)需求(qiu)，該(gai)功能建議由邊緣業務接入設備(bei)完成。

    結束語

    本解(jie)決方(fang)案中的(de)重(zhong)要(yao)部件BAC已完成(cheng)(cheng)了(le)企業設(she)備規范制(zhi)定(ding)，包(bao)括產品的(de)功能(neng)、性能(neng)、相關(guan)的(de)協議擴展等，目前(qian)已在信(xin)息產業部通(tong)信(xin)標(biao)準協會申請立項(xiang)。已有設(she)備制(zhi)造商意(yi)識到該設(she)備的(de)重(zhong)要(yao)性，完成(cheng)(cheng)了(le)該設(she)備的(de)研制(zhi).