Sesión 1 - Neocenter, Mayorista de Telefonía IP y Videoconferencia
Transcripción
Sesión 1 - Neocenter, Mayorista de Telefonía IP y Videoconferencia
Día NeoCenter Taller de Session Border Controllers Moises Silva Ernesto Casas CONNECT CONNECT WITH SANGOMA WITH SANGOMA Alcances del Taller • Dividido en 3 sesiones de 45 minutos cada una. • Sesión 1: Introducción a Sangoma SBC’s y configuración inicial. • Sesión 2: Configuración de perfiles SIP y Troncales • Sesión 3: Demostración de caso de uso • Una vez se haya completado este taller, y se haya aprobado dos tests, recibirán un certificado. © 2014 Sangoma Technologies 2 Sangoma Session Border Controllers: Configuración básicas (Sesión 1) Moises Silva Ernesto Casas CONNECT CONNECT WITH SANGOMA WITH SANGOMA Sesión 1 Contenido • Porque un SBC? • Portafolio de SBC’s Sangoma • Casos de uso para Empresas (Vega ESBC) • Casos de uso para Operadores (NetBorder SBC) • Técnicas de balanceo de carga y failover. • Rápida demostración en vivo • Q&A © 2014 Sangoma Technologies 4 Porque un Session Border Controller? CONNECT WITH SANGOMA Problemas típicos en VoIP sin un SBC • Los Firewalls necesitan ser atravesados correctamente de extreme a extremo • EL Protocolo SIP no contempla soportar sus funcionalidades a través de un NAT/Firewall. • Sin SBCs • Abrir puertos o re direccionar para SIP/RTP: • Exponen debilidades de seguridad. • Resolverlo con VPNs • Hace mas costoso el manejo e índice problemas de eficiencia en el uso de recursos e introduce un elemento mas de gestión de usuarios. • El uso de Gateways/Routers/Firewall con Application Layer aware (ALG) • Es una solución, pero esta demostrado que no siempre esta bien implementado e introduce incompatibilidades asociadas a cada Vendor. © 2014 Sangoma Technologies 6 Los retos de interoperabilidad de SIP • SIP RFC3261 • Uno de los mas extensos RFC • No es una especificación estricta como pudiese serlo una norma ITU. • Usa en su contenido muchas veces palabras como Debería, Puede, Podría, Opcionalmente, etc…. • Al ser simplemente una recomendación, deja mucho espacio a interpretaciones • Resultado • Todo el mundo dice ser compatible RFC3261 • Pero la Interoperabilidad usualmente es compleja y no esta garantizada! • Para Interoperabilidad extreme-aextreme, SBC vienen al rescate “corrigiendo” las diferencias. © 2014 Sangoma Technologies 7 Adicionales de Interoperabilidad • No es solo Señalización SIP • La Media (RTP) puede ser también requerido que se ajuste para asegurar comunicación de extremo a extremo: • • • • • • • • Codecs mismatch Fax T.38/Inband Fax RFC2833/INFO/Inband DTMF Methods RTP and SRTP IPV6 vs IPV4 UDP vs. TCP (ejemplo: MS Lync) TLS/SRTP interop con SIP/RTP Firewalls usualmente no pueden resolver esto – De hecho no tienen DSP para procesamiento de Media © 2014 Sangoma Technologies 8 Asuntos de Seguridad • La conectividad con otras redes IP introducen problemas de seguridad • Ataques Denial of Service (DoS) • Fraude en la manipulación de la Media • Exposición de la topología (SIP vias, hops, etc.) • Los Firewalls usualmente no son capaces de manejar estos niveles de seguridad a menos que soporten (SIP ALG) • Pero usualmente no es suficiente © 2014 Sangoma Technologies 9 Que es un SBC y para que se usa? • Los SBC se instalan en el borde de las redes de VoIP para facilitar comunicación extremo a extremo sin comprometer la seguridad de la red. • Es esencial por varias razones: • Resolver los temas de seguridad introducidos por el uso de SIP • Asegurar Interoperabilidad • Los SBC son típicamente instalados como un B2BUA (Back to Back User Agent) • Tanto SIP (señalización) como Media (RTP) transitan a través del SBC © 2014 Sangoma Technologies 10 B2BUA Explicado • Un B2BUA es un elemento lógico de red definido en aplicaciones SIP (Session Initiation Protocol) • Opera entre dos “endpoints” en una sesión de comunicaciones y divide el canal de comunicación en dos “patas” diferentes (Call legs) • Intermedia señalización SIP entre ambos extremos de la llamada • B2BUA se implementa usualmente entre compuertas de media (Media gateways) © 2014 Sangoma Technologies 11 B2BUA Explicado SBC Eth pipe SIP port RTP ports SIP Media • SIP Normalization • Security • Transcoding • CDRs • RTCP QoS report • Call Access Control • Management • GUI / config • DSP resources • Etc. SIP Media SIP port Eth pipe RTP ports Dado que el SBC “ve” tanto SIP como RTP viniendo de ambos extremos, puede analizarlo, corregirlo, controlarlo, etc. © 2013 Sangoma Technologies 12 Donde están los “User Agents” (UA)? SBC Eth pipe SIP port RTP ports SIP UA SIP Media SIP UA • SIP Normalization • Security • Transcoding • CDRs • RTCP QoS report Ellos son “back to back”! • Call Access Control • Management • GUI / config • DSP resources • Etc. © 2013 Sangoma Technologies SIP Media SIP port Eth pipe RTP ports 13 Portafolio Sangoma Session Border Controller CONNECT WITH SANGOMA Vega Enterprise SBC • Appliance • 25-250 Sesiones • H/W DSP aceleración • 1U/2 x 1 GE puertos • Version Software • 25-500 Sessions/SelfContained ISO • VM requirements • 1 Core/1 GB RAM/Bridged • Software/Hybrid Version – UNICO en el Mercado!!!! • 25-500 Sessions/SelfContained ISO • VM requirements • 1 Core/1 GB RAM/Bridged D150 • H/W DSP acceleration © 2014 Sangoma Technologies 15 NetBorder Carrier SBC • Appliance • • • • 250-4000 Sessions H/W DSP acceleration 1U/2 x 1 GE ports RAID 1 © 2014 Sangoma Technologies 16 Resaltantes – Todos los SBCs • Simplicidad de Uso • WebGUI configuración, operación, respaldo and restauración, REST API • Licenciamiento Simplificado, Actualizable en campo, todas las funcionalidades son comunes a toda la línea • Políticas de sesiones y Media • Manipulacion de encabezados via WebGUI Avanzado o XML, upper registration • NAT traversal, call forking • Seguridad • DDOS attack protection, advanced firewall for signaling and data • Call Routing Avanzado • Advanced WebGUI or XML dialplan, database routing, load balancing • Troubleshooting • PCAP signaling and media capture on the SBC, email notifications • Redundancia/HA • Active - Active or Active - Standby © 2014 Sangoma Technologies 17 Simplicidad de Uso • Configuración basada en WebGUI • operación, respaldo y restauración • REST API • Para integrar el SBC en procesos del negocio. • Para simplificar y automatizar la configuración de perfiles (SIP, Troncales, Media, Dial Plan, etc..) • Licenciamiento Simple y actualizable en campo • Todas la funcionalidades disponibles en cualquier versión del producto sin limitaciones • Todo esta incluido: Transcoding, SRTP, voice quality features… • Las sesiones/llamadas on actualizables por software • Notificaciones por Email • Monitoreo y notificaciones, programable para notificar por email © 2014 Sangoma Technologies 18 Politicas de Sesiones • Manipulación Avanzada de Cabeceras • Tanto GUI como XML de cualquier cabecera SIP en cualquier paquete SIP. INVITE, 180,183,200, etc… • Upper Registration – Usuarios Remotos • Pass-through registration • Escenarios avanzados de call flow para usuarios remotos • NAT Traversal • Auto IP detection • Call Forking • Múltiples destinos simultáneos para una misma llamada. • El primer 200 Ok completa la llamada, para el resto la llamada es cancelada • Soporte para condiciones de Ocupado, no registrado o inactivo • Numero Ilimitado de Perfiles SIP • Numero Ilimitado de Troncales SIP • SIP y Transporte de media • TCP, UDP, TLS, RTP, SRTP © 2014 Sangoma Technologies 19 Media y Networking • Procesamiento de Media por Hardware • Sangoma SBCs usan Procesadores DSP para procesar el audio (RTP) tanto interno como en red • Media pass through de baja latencia • Alta capacidad de transcoding y encripcion any to any • Mejoras en calidad de voz • Cancelacion de eco, reducción de ruido, control de auto ganancia • Networking • Dirección IP única para la señalización y media • Separado de señalización y media • VLAN bonding © 2014 Sangoma Technologies 20 Seguridad • Señalización • Firewall adaptativo y de tiempo de bloqueo basado en ataques de inundación de SIP • Paquete mal formado, tormentas de registro, invitar a las inundaciones, los errores de autenticación • Detección de escáner SIP y de bloqueo • Detección y bloqueo basado en normas • El uso de estándares basados en reglas y exploits conocidos y listas negras • Media • RTP media port pin hole basado en sesión activa • Los puertos RTP solo se abren cuando una sesión esta activa • Detección de sobre carga de RTP. En caso de un ataque de inundación de RTP a un puerto especifico. • Firewall de datos • Advanced state full data firewall • Port forwarding and NAT • DDOS • Bloqueo firewall adaptativo y de tiempo sobre la base de los ataques de inundación de IP • Detección de sniffers IP conocidos y generadores de ataque DDOS © 2014 Sangoma Technologies 21 Call Routing Avanzado (‘Softswitch’) • Dial Plan basado en GUI Avanzado o XML • Ruteo de llamadas basado en cualquier información de la cabecera SIP o DID o IP • Anidamiento de dial plan con uso avanzado deregex matching • Ruteo apoyado en bases de datos • Ruteo con búsqueda en base de datos usando http/https • Ruteo basado en conexión a base de datos vía ODBC • Soporte a base de datos Mongo • Balanceo de cargas • Ponderada o round robin entre multiples interfaces SIP dentro de un dominio • Least Cost Routing • Soporte a base de datos local LCR. Importar/exportar LCR dese el GUI • DNS/SRV Routing • DHCP Options © 2014 Sangoma Technologies 22 Troubleshooting • Reporte y Notificación de errores desde el GUI • Representación grafica de problemas con escala de tiempo • Errores de Sistema, Sesiones y capacidades • Conteo de mensajes de error • Trazas PCAP • • • • Habilidad de trazar señalización y media No se requiere de puertos espejo externos o hubs. Troubleshooting auto contenido. Decodificación PCAP usando Wireshark Alta capacidad de almacenamiento para almacenar buffers circulares de PCAP para hacer depuración de larga duración • Búsqueda RTCP • Búsqueda de llamadas con umbrales malos de RTCP. Notificación por email de cada llamada mala en RTCP. • Consola SSH y CLI • Habilidad de ejecutar análisis de logs en tiempo real y traza en consola. • Logging • Extenso logging por llamada marcadas con un UUID • Soporte a Syslog remoto • Proteccion a Hardware Crash • Reboot automático en bloqueo del sistema o falla de hardware © 2014 Sangoma Technologies 23 Aplicaciones de empresa y casos de uso Vega Series SBC CONNECT WITH SANGOMA Enterprise SIP Trunking DMZ Deployment IP-PBX Vega eSBC ITSP SIP IP SIP SIP Direct Deployment on Public IP address IP-PBX Vega eSBC ITSP SIP IP SIP SIP © 2014 Sangoma Technologies 25 Secure Access Control para Usuarios Remotos Internal FW External FW/NAT IP-PBX Vega eSBC ITSP SIP IP SIP SIP Ext 101 SIP Home Office, Mobile Users, Telecommuters Ext 102 Vega eSBC: • Pass-through SIP registration on IP-PBX • Remote FW/NAT traversal • Call Admission Control • Topology Hiding • TLS and SRTP encryption • No VPN required © 2014 Sangoma Technologies 26 Consolidacion Multi-Site IP-PBX Vega eSBC ITSP SIP IP SIP SIP SBC: IP-PBX • Retire Multi-Sitios PRI • Realiza las funciones de seguridad SIP SIP WAN • SIP Armonización • Medios Armonización IP-PBX • Ruteo Inteligente WAN • Planes de marcado sofisticados © 2014 Sangoma Technologies SIP 27 Migracion de Legacy PBX a Microsoft Lync IP-PBX SIP Vega eSBC ITSP SIP Mediation Server Lync Server SIP Active Directory Lync User SBC: • Realiza las funciones de seguridad SIP • UDP / TCP Traducción • SIP Armonización • Armonización de Medios • Intelligent Call Routing • Enrutamiento de Active Directory • Dial Plan Unificado © 2014 Sangoma Technologies 28 Transición Microsoft Lync Transición con Líneas Análogas Vega 5000 5000 Analog SIP Vega eSBC ITSP SIP Mediation Server Lync Server Lync User SIP Active Directory SBC: • Realiza las funciones de seguridad SIP • UDP / TCP Traducción • SIP Armonización • Armonización de Media • Ruteo Inteligente • Enrutamiento de Active Directory • Dial Plan Unificado © 2014 Sangoma Technologies 29 Conversión Señalización SIP • Convertir SIP sobre TCP a SIP sobre UDP • Algunos dispositivos requieren SIP / TCP • por ejemplo Microsoft Lync © 2014 Sangoma Technologies 30 Aplicaciones y casos de uso Carrier/Service Provider NetBorder Series SBC CONNECT WITH SANGOMA Carrier SBC para SIP ‘Dial Tone’ Residential NAT/FW SIP Softswitch SIP Residential ITSP SBC ATA NAT/FW SIP Broadband SBC: • Realiza las funciones de seguridad SIP • Intercambio con otros proveedores de SIP • Armonización SIP • Armonización de Medios • Extremo lejano NAT Trasversal • Call Admission Control SIP SIP SOHO SIP © 2014 Sangoma Technologies NAT/FW SIP 32 Carrier SBC para Hosted PBX • Ventajas • Punto de demarcación Conocido • Reduce los problemas de interoperabilidad / recursos con el core • Transcodificación si es necesario VoIP Service Provider LAN VoIP IP Network Multi-Tenant IP PBX IP Phones © 2014 Sangoma Technologies 33 SIP Trunking This NetBorder SBC protects the ITSPs network © 2014 Sangoma Technologies 34 SIP Network Peering/IP Carrier Interconnect • Utilice IP para enlaces entre Operadores • Ninguna conversión TDM es requerido: • Disminuya la complejidad • Una mejor calidad de voz, menos retrasos, menos transcodificación © 2014 Sangoma Technologies 35 Mediacion en la Interconexion de Carrier • Red de Carrier Segura • Normalización SIP (Simplifica Interop) • Transcodificacion entre carriers © 2014 Sangoma Technologies 36 SBC Balanceo de Cargas y Técnicas de Failover CONNECT WITH SANGOMA Implementación Típica de Carrier • Servicio Hosted PBX • SBC protege la red del SP; resuelve “far end” NAT transversal, etc • Cada teléfono VoIP envía todos los mensajes del protocolo SIP para Softswitch de SP a través de SBC (configuración de proxy salientes del teléfono) • SBC es crítico; si no hay servicio para 1000s de los usuarios Router NAT FW Service Provider Internet Softswitch © 2014 Sangoma Technologies 38 Balanceo de cargas usando DNS/SRV sbc1 10.10.0.10 Router NAT FW Domain: carrier.com Service Provider Internet sbc2 10.10.0.20 DNS Server Softswitch 1 Prioritarios y peso entradas mismos: • SBC1 y SBC2 obtendrían cada uno el 50% de la carga de tráfico • Si uno SBC no está disponible, la máquina restante lleva la carga DNS SVR Record Query for ‘carrier.com’ _sip._udp.carrier.com 60 IN SRV 10 50 5060 sbc1.carrier.com _sip._udp.carrier.com 60 IN SRV 10 50 5060 sbc2.carrier.com 2 DNS A Record Query sbc1.carrier.com = 10.10.0.10 sbc2.carrier.com = 10.10.0.20 © 2014 Sangoma Technologies 39 Failover SBCs con DNS SRV sbc1 10.10.0.10 Router NAT FW Domain: carrier.com Service Provider Internet sbc2 10.10.0.20 DNS Server Softswitch 1 DNS SVR Record Query for ‘carrier.com’ • Diferentes prioridades • Baja Prioridad se intenta en primer lugar: • sbc1.carrier.com Si sbc1.carrier.com no disponible: • sbc2.carrier.com _sip._udp.carrier.com 60 IN SRV 10 50 5060 sbc1.carrier.com _sip._udp.carrier.com 60 IN SRV 20 50 5060 sbc2.carrier.com 2 DNS A Record Query sbc1.carrier.com = 10.10.0.10 sbc2.carrier.com = 10.10.0.20 © 2014 Sangoma Technologies 40 DNS SRV: Diversidad de otros escenarios • DNS SRV No están limitados a 2 líneas de registro • Se pueden implementar múltiples escenarios: • M-ways load balancing • M-ways load balancing; N-way failover • Por ejemplo: • • • • • _sip._udp.carrier.com 60 IN SRV 10 60 5060 sbc1.carrier.com _sip._udp.carrier.com 60 IN SRV 10 20 5060 sbc2.carrier.com _sip._udp.carrier.com 60 IN SRV 10 10 5060 sbc3.carrier.com _sip._udp.carrier.com 60 IN SRV 10 10 5060 sbc4.carrier.com _sip._udp.carrier.com 60 IN SRV 20 0 5060 sbc5.carrier.com • Los primeros 4 SBC comparten la carga a 60%, 20%, 10% y 10% respectivamente • Si los primeros 4 SBCs quedan sin disponibilidad, sbc5 tomaría toda la carga © 2014 Sangoma Technologies 41 SBC Demostración I CONNECT WITH SANGOMA SBC Tutorial • Para el tutorial, vamos a cubrir los siguientes temas: • Inicio de sesión en el SBC • Descripción general del sistema y los Servicios • Configuración de los interfaces de señalización • Configuración de los interfaces de medios © 2014 Sangoma Technologies 43 SBC Estado del Sistema © 2014 Sangoma Technologies 44 Signaling Interfaces – Highlights • Se muestra cada interfaz que se utiliza para la señalización, con la posibilidad de editar la interfaz • El usuario puede crear múltiples interfaces virtuales • Múltiples interfaces virtuales pueden crearse y aplicarse a una sola interfaz física • El usuario puede crear interfaces VLAN si el SBC está sentado en una VLAN específica • Múltiples interfaces de VLAN se pueden aplicar a una única interfaz física © 2014 Sangoma Technologies 45 Interfaces de Señalización – Configurando una Interface • • • • Configuración simplista de interfaz de señalización Seleccione ya sea de una asignación de IP estática o una asignación de DHCP dinámico Aplicar una dirección IP adecuada y la máscara de red para la interfaz Las opciones pueden ser una variación de cualquier opción ethtool Linux Ethernet • Ex. “speed 1000 duplex full autoneg off” © 2014 Sangoma Technologies 46 Interfaces Señalización - sngdsp • La Interface SNGDSP es especial dentro del SBC • Esta controla todas las interacciones con los adaptadores de Media (DSP) • Cuando se configura el SBC, la interface sngdsp puede estar en una red “non-routable” o en una WAN/DMZ IP address • Configuración de la dirección IP depende de si va a configurar los adaptadores de medios en el modo expuesto u oculto. Esto se explicará cuando hablemos de las interfaces de medios. © 2014 Sangoma Technologies 47 Interfaces de Media • Describe la forma como se configuran las interfaces de media y los detalles de información de cada adaptador de DSP • Configuración Media Server es el método en el que se configuran los DSPs • Modo oculto esconde los DSPs de la red • El modo expuesto expone los DSPs para hacia la red. • Si en el modo de exposición, cada DSP debe tener una dirección IP enrutable configurada. • Modo de Software identifica que no hay interfaz SngDsp instalado (Tomar en cuenta limitaciones). • Transcodificación y TLS / SRTP se desactivan. • Cada interfaz SngDsp vendrá con adaptadores preinstalados. Esto dependerá de la versión de hardware del SBC que se compra (Vega, NetBoder, Hibrida) • La versión de DSP, la dirección MAC y puertos IP y RTP asignados aparecerán. • Puede editar cada uno individualmente, si es necesario. © 2014 Sangoma Technologies 48 Interfaces de Media – Configuración © 2014 Sangoma Technologies 49 Preguntas? CONNECT WITH SANGOMA