Sesión 1 - Neocenter, Mayorista de Telefonía IP y Videoconferencia

Transcripción

Día NeoCenter
Taller de Session Border
Controllers
Moises Silva
Ernesto Casas
CONNECT
CONNECT
WITH SANGOMA
WITH SANGOMA
Alcances del Taller
• Dividido en 3 sesiones de 45 minutos cada una.
• Sesión 1: Introducción a Sangoma SBC’s y configuración
inicial.
• Sesión 2: Configuración de perfiles SIP y Troncales
• Sesión 3: Demostración de caso de uso
• Una vez se haya completado este taller, y se haya
aprobado dos tests, recibirán un certificado.
© 2014 Sangoma Technologies
2
Sangoma Session Border Controllers:
Configuración básicas
(Sesión 1)
Moises Silva
Ernesto Casas
CONNECT
CONNECT
WITH SANGOMA
WITH SANGOMA
Sesión 1 Contenido
• Porque un SBC?
• Portafolio de SBC’s Sangoma
• Casos de uso para Empresas (Vega ESBC)
• Casos de uso para Operadores (NetBorder SBC)
• Técnicas de balanceo de carga y failover.
• Rápida demostración en vivo
• Q&A
4
Porque un Session
Border Controller?
CONNECT WITH SANGOMA
Problemas típicos en VoIP sin un SBC
• Los Firewalls necesitan ser atravesados correctamente de
extreme a extremo
• EL Protocolo SIP no contempla soportar sus funcionalidades a
través de un NAT/Firewall.
• Sin SBCs
• Abrir puertos o re direccionar para SIP/RTP:
• Exponen debilidades de seguridad.
• Resolverlo con VPNs
• Hace mas costoso el manejo e índice problemas de eficiencia en el uso
de recursos e introduce un elemento mas de gestión de usuarios.
• El uso de Gateways/Routers/Firewall con Application Layer
aware (ALG)
• Es una solución, pero esta demostrado que no siempre esta bien
implementado e introduce incompatibilidades asociadas a cada
Vendor.
6
Los retos de interoperabilidad de SIP
• SIP RFC3261
• Uno de los mas extensos RFC
• No es una especificación estricta
como pudiese serlo una norma
ITU.
• Usa en su contenido muchas veces
palabras como Debería, Puede,
Podría, Opcionalmente, etc….
• Al ser simplemente una
recomendación, deja mucho
espacio a interpretaciones
• Resultado
• Todo el mundo dice ser
compatible RFC3261
• Pero la Interoperabilidad
usualmente es compleja y no esta
garantizada!
• Para Interoperabilidad extreme-aextreme, SBC vienen al rescate
“corrigiendo” las diferencias.
7
Adicionales de Interoperabilidad
• No es solo Señalización SIP
• La Media (RTP) puede ser también requerido que se ajuste
para asegurar comunicación de extremo a extremo:
•
•
•
•
•
•
•
•
Codecs mismatch
Fax T.38/Inband Fax
RFC2833/INFO/Inband DTMF Methods
RTP and SRTP
IPV6 vs IPV4
UDP vs. TCP (ejemplo: MS Lync)
TLS/SRTP interop con SIP/RTP
Firewalls usualmente no pueden resolver esto – De hecho no
tienen DSP para procesamiento de Media
8
Asuntos de Seguridad
• La conectividad con otras redes IP introducen problemas
de seguridad
• Ataques Denial of Service (DoS)
• Fraude en la manipulación de la Media
• Exposición de la topología (SIP vias, hops, etc.)
• Los Firewalls usualmente no son capaces de manejar
estos niveles de seguridad a menos que soporten (SIP
ALG)
• Pero usualmente no es suficiente
9
Que es un SBC y para que se usa?
• Los SBC se instalan en el borde de las redes de VoIP para
facilitar comunicación extremo a extremo sin
comprometer la seguridad de la red.
• Es esencial por varias razones:
• Resolver los temas de seguridad introducidos por el uso de SIP
• Asegurar Interoperabilidad
• Los SBC son típicamente instalados como un B2BUA
(Back to Back User Agent)
• Tanto SIP (señalización) como Media (RTP) transitan a través
del SBC
10
B2BUA Explicado
• Un B2BUA es un elemento lógico de red definido en
aplicaciones SIP (Session Initiation Protocol)
• Opera entre dos “endpoints” en una sesión de
comunicaciones y divide el canal de comunicación en dos
“patas” diferentes (Call legs)
• Intermedia señalización SIP entre ambos extremos de la
llamada
• B2BUA se implementa usualmente entre compuertas de
media (Media gateways)
11
B2BUA Explicado
SBC
Eth pipe
SIP
port
RTP
ports
SIP
Media
• SIP
Normalization
• Security
• Transcoding
• CDRs
• RTCP QoS
report
• Call Access
Control
• Management
• GUI / config
• DSP resources
• Etc.
SIP
Media
SIP
port
Eth pipe
RTP
ports
Dado que el SBC “ve” tanto SIP como
RTP viniendo de ambos extremos,
puede analizarlo, corregirlo,
controlarlo, etc.
12
Donde están los “User Agents” (UA)?
SBC
Eth pipe
SIP
port
RTP
ports
SIP UA
SIP
Media
SIP UA
• SIP
Normalization
• Security
• Transcoding
• CDRs
• RTCP QoS
report
Ellos son
“back to back”!
• Call Access
Control
• Management
• GUI / config
• DSP resources
• Etc.
SIP
Media
SIP
port
Eth pipe
RTP
ports
13
Portafolio Sangoma
Session Border Controller
Vega Enterprise SBC
• Appliance
• 25-250 Sesiones
• H/W DSP aceleración
• 1U/2 x 1 GE puertos
• Version Software
• 25-500 Sessions/SelfContained ISO
• VM requirements
• 1 Core/1 GB RAM/Bridged
• Software/Hybrid Version –
UNICO en el Mercado!!!!
• 25-500 Sessions/SelfContained ISO
• VM requirements
• 1 Core/1 GB RAM/Bridged
D150
• H/W DSP acceleration
15
NetBorder Carrier SBC
• Appliance
•
•
•
•
250-4000 Sessions
H/W DSP acceleration
1U/2 x 1 GE ports
RAID 1
16
Resaltantes – Todos los SBCs
• Simplicidad de Uso
• WebGUI configuración, operación, respaldo and restauración, REST API
• Licenciamiento Simplificado, Actualizable en campo, todas las
funcionalidades son comunes a toda la línea
• Políticas de sesiones y Media
• Manipulacion de encabezados via WebGUI Avanzado o XML, upper
registration
• NAT traversal, call forking
• Seguridad
• DDOS attack protection, advanced firewall for signaling and data
• Call Routing Avanzado
• Advanced WebGUI or XML dialplan, database routing, load balancing
• Troubleshooting
• PCAP signaling and media capture on the SBC, email notifications
• Redundancia/HA
• Active - Active or Active - Standby
17
Simplicidad de Uso
• Configuración basada en WebGUI
• operación, respaldo y restauración
• REST API
• Para integrar el SBC en procesos del negocio.
• Para simplificar y automatizar la configuración de perfiles (SIP,
Troncales, Media, Dial Plan, etc..)
• Licenciamiento Simple y actualizable en campo
• Todas la funcionalidades disponibles en cualquier versión del
producto sin limitaciones
• Todo esta incluido: Transcoding, SRTP, voice quality features…
• Las sesiones/llamadas on actualizables por software
• Notificaciones por Email
• Monitoreo y notificaciones, programable para notificar por email
18
Politicas de Sesiones
• Manipulación Avanzada de Cabeceras
• Tanto GUI como XML de cualquier cabecera SIP en cualquier paquete SIP.
INVITE, 180,183,200, etc…
• Upper Registration – Usuarios Remotos
• Pass-through registration
• Escenarios avanzados de call flow para usuarios remotos
• NAT Traversal
• Auto IP detection
• Call Forking
• Múltiples destinos simultáneos para una misma llamada.
• El primer 200 Ok completa la llamada, para el resto la llamada es cancelada
• Soporte para condiciones de Ocupado, no registrado o inactivo
• Numero Ilimitado de Perfiles SIP
• Numero Ilimitado de Troncales SIP
• SIP y Transporte de media
• TCP, UDP, TLS, RTP, SRTP
19
Media y Networking
• Procesamiento de Media por Hardware
• Sangoma SBCs usan Procesadores DSP para procesar el audio
(RTP) tanto interno como en red
• Media pass through de baja latencia
• Alta capacidad de transcoding y encripcion any to any
• Mejoras en calidad de voz
• Cancelacion de eco, reducción de ruido, control de auto ganancia
• Networking
• Dirección IP única para la señalización y media
• Separado de señalización y media
• VLAN bonding
20
Seguridad
• Señalización
• Firewall adaptativo y de tiempo de bloqueo basado en ataques de inundación de SIP
• Paquete mal formado, tormentas de registro, invitar a las inundaciones, los errores de autenticación
• Detección de escáner SIP y de bloqueo
• Detección y bloqueo basado en normas
• El uso de estándares basados en reglas y exploits conocidos y listas negras
• Media
• RTP media port pin hole basado en sesión activa
• Los puertos RTP solo se abren cuando una sesión esta activa
• Detección de sobre carga de RTP. En caso de un ataque de inundación de RTP a un puerto
especifico.
• Firewall de datos
• Advanced state full data firewall
• Port forwarding and NAT
• DDOS
• Bloqueo firewall adaptativo y de tiempo sobre la base de los ataques de inundación de IP
• Detección de sniffers IP conocidos y generadores de ataque DDOS
21
Call Routing Avanzado (‘Softswitch’)
• Dial Plan basado en GUI Avanzado o XML
• Ruteo de llamadas basado en cualquier información de la cabecera
SIP o DID o IP
• Anidamiento de dial plan con uso avanzado deregex matching
• Ruteo apoyado en bases de datos
• Ruteo con búsqueda en base de datos usando http/https
• Ruteo basado en conexión a base de datos vía ODBC
• Soporte a base de datos Mongo
• Balanceo de cargas
• Ponderada o round robin entre multiples interfaces SIP dentro de un
dominio
• Least Cost Routing
• Soporte a base de datos local LCR. Importar/exportar LCR dese el
GUI
• DNS/SRV Routing
• DHCP Options
22
Troubleshooting
• Reporte y Notificación de errores desde el GUI
• Representación grafica de problemas con escala de tiempo
• Errores de Sistema, Sesiones y capacidades
• Conteo de mensajes de error
• Trazas PCAP
•
•
•
•
Habilidad de trazar señalización y media
No se requiere de puertos espejo externos o hubs. Troubleshooting auto contenido.
Decodificación PCAP usando Wireshark
Alta capacidad de almacenamiento para almacenar buffers circulares de PCAP para hacer depuración
de larga duración
• Búsqueda RTCP
• Búsqueda de llamadas con umbrales malos de RTCP. Notificación por email de cada llamada mala en
RTCP.
• Consola SSH y CLI
• Habilidad de ejecutar análisis de logs en tiempo real y traza en consola.
• Logging
• Extenso logging por llamada marcadas con un UUID
• Soporte a Syslog remoto
• Proteccion a Hardware Crash
• Reboot automático en bloqueo del sistema o falla de hardware
23
Aplicaciones de empresa
y casos de uso
Vega Series SBC
Enterprise SIP Trunking
DMZ Deployment
IP-PBX
Vega eSBC
ITSP
SIP
IP
SIP
SIP
Direct Deployment on Public IP address
IP-PBX
Vega eSBC
ITSP
SIP
IP
SIP
SIP
25
Secure Access Control para Usuarios Remotos
Internal
FW
External
FW/NAT
IP-PBX
Vega eSBC
ITSP
SIP
IP
SIP
SIP
Ext 101
SIP
Home Office,
Mobile Users,
Telecommuters
Ext 102
Vega eSBC:
• Pass-through SIP registration on IP-PBX
• Remote FW/NAT traversal
• Call Admission Control
• Topology Hiding
• TLS and SRTP encryption
• No VPN required
26
Consolidacion Multi-Site
IP-PBX
Vega eSBC
ITSP
SIP
IP
SIP
SIP
SBC:
IP-PBX
• Retire Multi-Sitios PRI
• Realiza las funciones de seguridad SIP
SIP
WAN
• SIP Armonización
• Medios Armonización
IP-PBX
• Ruteo Inteligente
WAN
• Planes de marcado sofisticados
SIP
27
Migracion de Legacy PBX a Microsoft Lync
IP-PBX
SIP
Vega eSBC
ITSP
SIP
Mediation
Server
Lync
Server
SIP
Active
Directory
Lync
User
SBC:
• Realiza las funciones de
seguridad SIP
• UDP / TCP Traducción
• Armonización de Medios
• Intelligent Call Routing
• Enrutamiento de Active
Directory
• Dial Plan Unificado
28
Transición Microsoft Lync Transición con Líneas
Análogas
Vega 5000
5000
Analog
SIP
Vega eSBC
ITSP
SIP
Mediation
Server
Lync
Server
Lync
User
SIP
Active
Directory
SBC:
• Realiza las funciones de
seguridad SIP
• UDP / TCP Traducción
• Armonización de Media
• Ruteo Inteligente
• Enrutamiento de Active
Directory
• Dial Plan Unificado
29
Conversión Señalización SIP
• Convertir SIP sobre TCP a SIP sobre UDP
• Algunos dispositivos requieren SIP / TCP
• por ejemplo Microsoft Lync
30
Aplicaciones y casos de uso
Carrier/Service Provider
NetBorder Series SBC
Carrier SBC para SIP ‘Dial Tone’
Residential
NAT/FW
SIP
Softswitch
SIP
Residential
ITSP
SBC
ATA
NAT/FW
SIP
Broadband
SBC:
• Realiza las funciones de seguridad SIP
• Intercambio con otros proveedores de SIP
• Armonización SIP
• Armonización de Medios
• Extremo lejano NAT Trasversal
• Call Admission Control
SIP
SIP
SOHO
SIP
NAT/FW
SIP
32
Carrier SBC para Hosted PBX
• Ventajas
• Punto de demarcación Conocido
• Reduce los problemas de interoperabilidad / recursos con el
core
• Transcodificación si es necesario
VoIP Service
Provider
LAN VoIP
IP Network
Multi-Tenant
IP PBX
IP Phones
33
SIP Trunking
This NetBorder SBC
protects the ITSPs network
34
SIP Network Peering/IP Carrier Interconnect
• Utilice IP para enlaces entre Operadores
• Ninguna conversión TDM es requerido:
• Disminuya la complejidad
• Una mejor calidad de voz, menos retrasos, menos
transcodificación
35
Mediacion en la Interconexion de Carrier
• Red de Carrier Segura
• Normalización SIP (Simplifica Interop)
• Transcodificacion entre carriers
36
SBC Balanceo de Cargas y
Técnicas de Failover
Implementación Típica de Carrier
• Servicio Hosted PBX
• SBC protege la red del SP; resuelve “far end” NAT transversal, etc
• Cada teléfono VoIP envía todos los mensajes del protocolo SIP
para Softswitch de SP a través de SBC (configuración de proxy
salientes del teléfono)
• SBC es crítico; si no hay servicio para 1000s de los usuarios
Router
NAT
FW
Service
Provider
Internet
Softswitch
38
Balanceo de cargas usando DNS/SRV
sbc1
10.10.0.10
Router
NAT
FW
Domain: carrier.com
Service
Provider
Internet
sbc2
10.10.0.20
DNS Server
Softswitch
1
Prioritarios y peso entradas
mismos:
• SBC1 y SBC2 obtendrían cada
uno el 50% de la carga de
tráfico
• Si uno SBC no está disponible,
la máquina restante lleva la
carga
DNS SVR Record Query for ‘carrier.com’
_sip._udp.carrier.com 60 IN SRV 10 50 5060 sbc1.carrier.com
2
DNS A Record Query
sbc1.carrier.com = 10.10.0.10
39
Failover SBCs con DNS SRV
sbc1
10.10.0.10
Router
NAT
FW
Domain: carrier.com
Service
Provider
Internet
sbc2
10.10.0.20
DNS Server
Softswitch
1
DNS SVR Record Query for ‘carrier.com’
• Diferentes prioridades
• Baja Prioridad se intenta en
primer lugar:
• sbc1.carrier.com
Si sbc1.carrier.com no
disponible:
• sbc2.carrier.com
2
DNS A Record Query
40
DNS SRV: Diversidad de otros escenarios
• DNS SRV No están limitados a 2 líneas de registro
• Se pueden implementar múltiples escenarios:
• M-ways load balancing
• M-ways load balancing; N-way failover
• Por ejemplo:
•
•
•
•
•
• Los primeros 4 SBC comparten la carga a 60%, 20%, 10% y
10% respectivamente
• Si los primeros 4 SBCs quedan sin disponibilidad, sbc5
tomaría toda la carga
41
SBC Demostración I
SBC Tutorial
• Para el tutorial, vamos a cubrir los siguientes
temas:
• Inicio de sesión en el SBC
• Descripción general del sistema y los Servicios
• Configuración de los interfaces de señalización
• Configuración de los interfaces de medios
43
SBC Estado del Sistema
44
Signaling Interfaces – Highlights
• Se muestra cada interfaz que se utiliza para la señalización, con la posibilidad de
editar la interfaz
• El usuario puede crear múltiples interfaces virtuales
• Múltiples interfaces virtuales pueden crearse y aplicarse a una sola interfaz
física
• El usuario puede crear interfaces VLAN si el SBC está sentado en una VLAN
específica
• Múltiples interfaces de VLAN se pueden aplicar a una única interfaz física
45
Interfaces de Señalización – Configurando una Interface
•
•
•
•
Configuración simplista de interfaz de señalización
Seleccione ya sea de una asignación de IP estática o una asignación de DHCP dinámico
Aplicar una dirección IP adecuada y la máscara de red para la interfaz
Las opciones pueden ser una variación de cualquier opción ethtool Linux Ethernet
• Ex. “speed 1000 duplex full autoneg off”
46
Interfaces Señalización - sngdsp
• La Interface SNGDSP es especial dentro del SBC
• Esta controla todas las interacciones con los adaptadores
de Media (DSP)
• Cuando se configura el SBC, la interface sngdsp puede
estar en una red “non-routable” o en una WAN/DMZ IP
address
• Configuración de la dirección IP depende de si va a configurar
los adaptadores de medios en el modo expuesto u oculto. Esto
se explicará cuando hablemos de las interfaces de medios.
47
Interfaces de Media
•
Describe la forma como se configuran las interfaces de media y los detalles de información de cada
adaptador de DSP
• Configuración Media Server es el método en el que se configuran los DSPs
• Modo oculto esconde los DSPs de la red
• El modo expuesto expone los DSPs para hacia la red.
• Si en el modo de exposición, cada DSP debe tener una dirección IP enrutable configurada.
• Modo de Software identifica que no hay interfaz SngDsp instalado (Tomar en cuenta
limitaciones).
• Transcodificación y TLS / SRTP se desactivan.
• Cada interfaz SngDsp vendrá con adaptadores preinstalados. Esto dependerá de la versión de
hardware del SBC que se compra (Vega, NetBoder, Hibrida)
• La versión de DSP, la dirección MAC y puertos IP y RTP asignados aparecerán.
• Puede editar cada uno individualmente, si es necesario.
48
Interfaces de Media – Configuración
49
Preguntas?

Sesión 1 - Neocenter, Mayorista de Telefonía IP y Videoconferencia

Transcripción

Documentos relacionados