了解如何保护您的电信网络
5G 旨在将几乎所有人和所有设备(包括计算机、对象和设备)连接在一起。5G 技术旨在提供更高的多 Gbps 高峰数据速度、超低延迟、更高的可靠性、庞大的网络容量、更高的可用性和更统一的用户体验。通过 5G 提升性能和效率,为新用户体验赋能,连接新行业。
在快速发展的实时通信世界中,组织不再依靠语音电话作为其主要通信形式。当今的统一通信和协作 (Unified Communications and Collaboration,UCC) 生态系统有许多组成部分,包括视频会议、桌面共享、即时消息传递、线上状态管理和团队协作。所有这些元素可以完美地结合使用,都需要一个信号协议,称为会话启动协议 (SIP)。SIP 启动并终止通信会话,该会话可以是团队之间的视频会议,也可以是两个人之间的呼叫。它通过在两个或多个 IP 端点或 SIP 地址之间以数据包形式发送消息来实现此目的。SIP 标识其他方的存在,建立连接,并在会话完成时关闭连接,但无法控制连接过程中发生的情况。
虽然这是实时通信中功能强大且不可或缺的一部分,但也有一些挑战,包括不同供应商之间的实施,以及通过互联网移动数据时涉及的安全问题,而这就是会话边界控制器进来。
会话边界控制器是特殊用途的设备(硬件或软件定义),用于保护和管理 IP 通信流。会话边界控制器部署在网络边界,以控制 IP 通信会话,帮助服务提供商提供可信、运营商级、实时通信(例如 VoLTE、VoIP、视频会议和呼叫、在线状态、IM 和 IPTV)以及以下核心功能:
- 安全性
防止拒绝服务 (DoS) 和分布式 DoS (DDoS) 攻击,防范收费欺诈和服务盗窃,并提供媒体和信令加密,以确保机密性并防范伪装或伪装。
- 多供应商互操作性
规范化 SIP(Session Initiation Protocol,会话启动协议)信号流标头和消息,以缓解多供应商不兼容性。
- 协议互通
在各种协议或各种编码器之间实现互通。
- 服务质量 (QoS)
为服务质量保证强制实施呼叫入学控制 (CAC) 策略、服务类型 (ToS) 标记或速率限制。
- 会话路由
在网络接口之间路由会话,以确保高可用性或实现最低成本路由 (LCR)。
凭借如此多的核心网络功能,SBC 成为任何电信服务提供商及其支持者和消费者的关键网络功能。
体系结构
此体系结构显示了在 Oracle Cloud Infrastructure (OCI) 区域的单个可用性域中部署在不同容错域中的活动备用 Oracle Communications Session Border Controller 实例对。
插图 session-border-controller-oci.png 的说明
session-border-controller-oci-oracle.zip
此体系结构支持以下组件:
- 区域
Oracle Cloud Infrastructure 区域是一个局部地理区域,其中包含一个或多个数据中心,称为可用性域。区域独立于其他区域,而广阔的距离可以分离它们(跨国家甚至大陆)。
- 可用性域
可用性域是一个区域中的独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离,因而具备容错能力。可用性域不共享电源、冷却设备或内部可用性域网络等基础设施。因此,一个可用性域出现故障不会影响区域中的其他可用性域。
- 容错域
故障域是可用性域内一组硬件和基础设施。每个可用性域都有三个具有独立电源和硬件的容错域。在多个容错域之间分配资源时,您的应用可以承受容错域中的物理服务器故障、系统维护和电源故障。
- 虚拟云网络 (VCN) 和子网
VCN 是可在 Oracle Cloud Infrastructure 区域中设置的可定制的软件定义网络。与传统的数据中心网络一样,VCN 允许您完全控制您的网络环境。VCN 可以具有多个不可重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 分段到子网,这些子网可以限定到区域或可用性域。每个子网包含一个连续的地址范围,这些地址与 VCN 中的其他子网不重叠。您可以在创建子网后更改其大小。子网可以是公共子网,也可以是专用子网。
- 安全列表
对于每个子网,您可以创建安全规则来指定必须允许传入和传出子网的通信的源、目标和类型。
- 路由表
虚拟路由表包含将流量从子网路由到 VCN 之外的目的地(通常通过网关)的规则。
- Internet 网关
互联网网关允许 VCN 中的公共子网与公共互联网之间的通信。
- 网络地址转换 (NAT) 网关
NAT 网关允许 VCN 中的专用资源访问互联网上的主机,同时不会向传入的互联网连接公开这些资源。
- 服务网关
通过服务网关,可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage 。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输,永远不会经过互联网。
- 动态路由网关 (DRG)
DRG 是一个虚拟路由器,它提供同一区域、同一 VCN 与区域之外的网络(例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供商中的网络)之间的专用网络通信路径。
- 站点到站点 VPN
站点到站点 VPN 提供了内部部署网络与 Oracle Cloud Infrastructure 中的 VCN 之间的 IPSec VPN 连接。IPSec 协议套件会在将数据包从源传输到目标之前加密 IP 通信,并在数据包到达时解密通信。
- 会话边界控制器
Oracle Communications Session Border Controller 是行业领先的固定线路、移动和顶部 (Over-the-Top,OTT) 服务会话边界控制器 (SBC)。
Oracle Communications Session Border Controller 提供的功能可满足五个主要领域的关键服务提供商要求:安全性、互操作性、可靠性和质量、法规合规性以及收入和成本优化。
- 虚拟机系统
Oracle Cloud Infrastructure VM(虚拟机)系统是“由软件构成的计算机”,可用于运行在物理计算机上运行的任何软件。与物理计算机一样,虚拟机具有自己的操作系统、存储、网络、配置设置和软件,并且与在该主机上运行的其他 VM 完全隔离。VM 系统为从小型开发项目到大规模的全球应用(例如实时通信平台)的负载提供安全、弹性的云端计算能力。借助灵活的配置,您可以使用定制的处理器和内存值来优化 VM 资源,从而提高性价比。
- 堡垒 VM
SIPpy 在 Oracle VM 主机上构建的堡垒。
- VNIC
虚拟网络接口卡 (VNIC) 支持实例连接到 VCN,并确定实例如何与 VCN 内部和外部的端点连接。每个 VNIC 都位于 VCN 中的子网中,并且包括以下各项:
- 由您或 Oracle 选择的 VNIC 所在子网中的主要专用 IPv4 地址。
- 来自 VNIC 所在子网的可选辅助专用 IPv4 地址,由您或 Oracle 选择。
- 每个专用 IP 的可选公共 IPv4 地址,由 Oracle 选择,但由您自行决定分配。
- 每个专用 IP 地址的 DNS 的可选主机名。
- MAC 地址。
- Oracle 分配的 VLAN 标签,将 VNIC 连接到实例后可用(仅与裸金属实例有关)。
- 用于启用或禁用 VNIC 网络通信流量的源/目的地检查的标志。
- 您选择的一个或多个网络安全组 (NSG) 中的可选成员资格。NSG 具有仅应用于该 NSG 中的 VNIC 的安全规则。
- 可选的 IPv6 地址。所有商业和政府区域都支持 IPv6 寻址。
- OCI DevOps
Oracle Cloud Infrastructure (OCI) DevOps 是连续集成/连续交付 (CI/CD) 服务,可自动将软件交付和部署到 OCI 计算平台,以便开发人员简化软件开发生命周期并实现其自动化。
- 对象存储
通过对象存储,可以快速访问任意内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据以及丰富的内容(例如图像和视频)。您可以安全可靠地存储数据,然后直接从互联网或云平台检索数据。您可以在不降低性能或服务可靠性的情况下无缝扩展存储。将标准存储用于需要快速、立即和频繁访问的“热”存储。将归档存储用于长时间保留的“冷”存储,很少或很少访问。
- Cloud Guard
您可以使用 Oracle Cloud Guard 监视和维护 Oracle Cloud Infrastructure 中资源的安全。Cloud Guard 使用检测器配方,您可以定义这些配方来检查资源是否存在安全缺陷,以及监视操作员和用户是否有风险活动。检测到任何错误配置或不安全活动时,Cloud Guard 将根据您可以定义的响应器配方建议更正操作并协助执行这些操作。