NETWORK WORLD
Эти сложные и недешевые устройства сильно различаются по функциональности.
Найдется ли место граничному контроллеру сеансов (Session Border Controller, SBC) в будущей инфраструктуре VoIP вашего предприятия? Если вы стремитесь расширить систему пакетной телефонии, распространить ее на поставщиков услуг VoIP, на другие организации или территориально-распределенные офисы, связанные друг с другом по Internet, то без SBC вам не обойтись.
В функциональном плане контроллер играет роль полицейского: он облегчает передачу VoIP-пакетов в обоих направлениях между двумя частными доменами VoIP, обрабатывая его в режиме реального времени. В качестве доменов могут фигурировать корпоративная сеть и сеть поставщика услуг VoIP (именно этот сценарий мы моделировали в ходе тестирования) либо сети двух провайдеров. Рассматриваемые устройства достигли зрелости при организации одноранговых соединений между VoIP-сервисами разных операторов, а их проникновение в корпоративный сектор началось относительно недавно.
Как ни странно, универсального описания функциональных «обязанностей» граничных контроллеров сеансов не существует. Они должны быть очень гибкими, чтобы корректно воспринимать протоколы управления вызовами VoIP (будь то SIP или H.323), – особенно при разных конфигурациях брандмауэров и настройках протокола NAT. Кроме того, они обязаны поддерживать средства информационной защиты, в том числе скрывать от посторонних глаз топологию частной сети. SBC представляют собой сложные и явно недешевые компоненты сетевой инфраструктуры, произошедшие от разных предков, а потому их возможности сильно различаются.
С просьбой прислать продукты для испытаний в лабораторию компании Miercom мы обратились к дюжине производителей, в начале текущего года выпустивших новые изделия класса SBC. Однако на наш призыв откликнулись только четыре фирмы: Ditech Communications, Ingate Systems, Mera Systems и NexTone Communications.
Несмотря на многочисленные различия в характеристиках продуктов, в их базовую функциональность входят обработка вызовов VoIP, контроль над параметрами QoS и защита трафика. Основываясь на результатах испытаний в рамках такой функциональности, мы присудили звание лидера решению компании NexTone. Оно состоит из контроллера Multiprotocol Session Controller (MSC) и управляющей системы iView Management System (iVMS). Реализованные NexTone динамическое управление сеансами VoIP, мониторинг трафика в режиме реального времени (с функцией активного уведомления об ошибках и превышении пороговых значений), генерация отчетов с детальными сведениями об отдельных вызовах и встроенный брандмауэр сделали этот продукт лучшим среди контроллеров для корпоративных заказчиков. Правда, он значительно дороже конкурирующих изделий: его стоимость составляет более 100 тыс. долл., тогда как разработки других фирм можно приобрести за 25б-38 тыс. долл.
NexTone Communications
Сильной стороной контроллера MSC на базе ОС Linux являются исключительные средства управления и генерации отчетов. Они дополнены мощным механизмом маршрутизации программного обеспечения iVMS, которое предлагается в виде опции. Продукт может быть настроен на динамическую адаптацию либо на изменение параметров текущего функционирования – контроля над доступом, приоритетов маршрутизации и распределения полосы пропускания в зависимости от условий работы сети, а также на изменения в поведении пользователей или приложений. Мы протестировали возможность настройки продукта на отвод трафика от экономичного провайдера A к провайдеру B в том случае, когда измеряемые параметры качества вызовов, передаваемых по сети оператора A, ниже пороговых значений. Набор характеристик, которые можно задать для принятия решений о маршрутизации, у MSC шире, чем у конкурирующих продуктов. Он включают в себя профили пользователей, время суток и требуемый уровень QoS.
Система iVMS обеспечивает обычную и повторную маршрутизацию вызовов по сетям операторов IP-телефонии и выдает подробные отчеты о качестве сервиса VoIP, в которые входят сведения о средней продолжительности вызовов и паузах (задержках) между окончанием набора номера и установлением соединения. Чтобы протестировать функции маршрутизации продукта, мы сформировали несколько транкинговых групп и изменяли условия, вызывавшие повторную маршрутизацию. Простейший способ состоял в отсоединении шлюза и наблюдении за маршрутизацией вызовов по работоспособному альтернативному пути. Потом мы намеренно превысили разумный обюем полосы пропускания, отведенный функции Call Admission Control, дабы гарантировать блокировку избыточных вызовов. В обоих случаях функционирование решения полностью соответствовало возможностям, заявленным производителем.
Полезное свойство продукта – обеспечение прозрачного формирования соединений между телефонами и приложениями, использующими протокол SIP, и IP-УАТС, основанными на стандарте H.323. Оно позволяет подключать унаследованные средства IP-телефонии, большинство из которых применяют протокол H.323, к сетям операторов VoIP, базирующимся на SIP. Чтобы определить роль контроллера MSC в таком процессе, мы инициировали вызов VoIP между терминалами, задействующими протоколы H.323 и SIP. Формирование соединения и качество связи оказались на высоте – несмотря на различия протоколов.
В области защиты данных фирма реализовала подавление сеансов связи, полоса пропускания которых превышает заданный уровень, с последующим пошаговым восстановлением. Обе процедуры обеспечивают изощренные механизмы защиты от ошибочного или неразрешенного IP-трафика, который может указывать на попытку злоумышленника предпринять атаку класса «отказ в обслуживании» (Denial-of-Service, DoS). Система допускает несколько циклов блокировки и восстановления подозрительного сеанса, позволяющих удостовериться в законности намерений вызывающей стороны. MSC сообщает о несоответствии адресов в процессе инициации вызова, которое обычно приводит к разрыву сеанса, либо указывает на потенциальную угрозу. В таком случае сведения о вызове направляются на адрес источника, с которого в действительности поступил подозрительный вызов, чтобы можно было установить путь передачи голосовых пакетов и проигнорировать ошибочные данные (например, сымитированный исходный адрес). При этом iVMS должен взять маршрутизацию вызова на себя, что возможно лишь при наличии полного контроля над вызовами, осуществляемыми по протоколу SIP.
Недостатком решения NexTone является его сложность. Инсталляция и настройка конфигурации требуют приглашения в офис заказчика специалистов производителя. К тому же, в отличие от конкурирующих продуктов, разработка NexTone не способна взаимодействовать с брандмауэрами других компаний.
Ingate Systems
Основное достоинство контроллера Ingate SIParator 60 состоит в мощной платформе брандмауэра, способной взаимодействовать с унаследованными межсетевыми экранами. Брандмауэр, разработанный Ingate, воспринимает протокол SIP, а значит, способен обрабатывать потоки SIP-пакетов при открытии и закрытии портов, преобразовании сетевых адресов и т.д. Выбор конкретной конфигурации при инсталляции не вызывает затруднений. Вы можете настроить устройство на обработку исключительно трафика VoIP, делегировав функции защиты отдельному межсетевому экрану, либо активировать полный спектр функций брандмауэра. SIParator 60 работает только с протоколом SIP и не поддерживает стандарт H.323, но от этого заметно выиграла функциональность брандмауэра.
Мы потратили уйму времени на выяснение особенностей интеграции средств защиты продукта с функциями QoS. В частности, была проанализирована способность распознавать и корректно реагировать на тип сервиса и параметры DiffServ. Продираясь через различные экраны и параметры конфигурации, мы распределяли поступавшие вызовы, в зависимости от их типов, по очередям. Последние различались по установленным пороговым значениям, параметрам QoS и настройкам приоритетов. Система маркировала и обрабатывала трафик в полном соответствии с нашими ожиданиями.
Инженеры Ingate предусмотрели подробные настройки параметров протокола SIP, но для того чтобы разобраться в них, общих представлений о технологии VoIP, в том числе о протоколе SIP, явно недостаточно. Это особенно очевидно, когда вы попытаетесь интегрировать SIParator с существующим брандмауэром. Онлайновая система подсказок привязана к конкретным экранам, но не сильно облегчает настройку, поскольку вам всякий раз приходится иметь дело с дюжиной параметров. В итоге мы не смогли интегрировать продукт ни с одним из унаследованных брандмауэров, хотя и убедились, что такая возможность существует.
В состав контроллера SIParator 60 входит полнофункциональный прокси-сервер SIP, который позволяет продукту участвовать в управлении SIP-вызовами. Обычно SBC не использует информацию, относящуюся к SIP-вызовам, а уж тем более не модифицирует ее. Однако благодаря встроенному прокси-серверу контроллер получил возможность более детального контроля за действиями протокола SIP. Скажем, он способен в режиме реального времени заново записать заголовки входящего и исходящего сообщений, относящихся к инициации вызовов, согласовать имена конкретных SIP-доменов, принять во внимание изменения этих имен.
Продукт не генерирует отчеты со сведениями о трендах, качестве сеансов и отдельных вызовов. Он проводит мониторинг событий и передает его результаты (например, число активных вызовов и открытых портов) в режиме реального времени, но не собирает агрегированные показатели и не генерирует соответствующие отчеты.
Поддержка преобразования адресов по протоколу NAT на ближнем и дальнем концах соединения делает изделие фирмы Ingate подлинным виртуозом в пересылке вызовов VoIP по назначению – даже если на концах соединения используются разные брандмауэры и конфигурации упомянутого протокола. Продукт поддерживает избыточность ресурсов и такие средства отказоустойчивости пакетной телефонии, как альтернативные голосовые шлюзы, резервная регистрация вызывающих абонентов, проверка доступности доменов и повторная маршрутизация при сбоях. Контроллер тесно интегрирован с ПО Live Communication Server 2005 корпорации Microsoft (для шифрования и маршрутизации Microsoft использует собственные алгоритмы обработки SIP-вызовов). Это позволяет ему успешно взаимодействовать с видеоприложениями, средствами мгновенного обмена сообщениями и программами, отслеживающими наличие сотрудника на рабочем месте.
Mera Systems
Компания Mera реализовала пограничный контроллер сеансов Mera VoIP Transit Softswitch (MVTS) на программном уровне. Продукт, появившийся на свет как программный коммутатор, отличается богатством поддерживаемых функций и протоколов обработки вызовов VoIP. Он работает в среде Red Hat Linux 9 и может быть установлен на любом высокопроизводительном сервере. Чем большими вычислительными ресурсами (в том числе тактовой частотой процессора и обюемом ОЗУ) располагает последний, тем лучше.
Маршрутизация вызовов основана на разнообразных критериях, таких как время суток, QoS, схема приоритетов и загруженность отдельных маршрутов. Среди протестированных продуктов у MVTS самая полная функция транскодирования – преобразования потоков G.711, основанных на протоколе реального времени RTP и требующих значительной полосы пропускания, в потоки G.729, которые нуждаются в небольшой части пропускной способности. Система поддерживает ряд других вокодеров. Реализованное в MVTS преобразование между протоколами SIP и H.323 сродни прозрачному межсетевому взаимодействию голосовых шлюзов, которое обеспечивает продукт NexTone. Чтобы протестировать работу соответствующей функции контроллера Mera Systems, мы передавали через него вызовы между двумя оконечными устройствами, одно из которых поддерживало H.323, а другое – SIP.
Программное обеспечение Mera собирает массу полезной информации о трафике и об активности системы пакетной телефонии. Оно способно выводить на экран десятки параметров о каждом вызове. Эти сведения сохраняются в подробных регистрационных журналах, но, к сожалению, в непривычном Linux-формате, что затрудняет их консолидацию и последующий анализ. Несмотря на обилие информации, вам придется переводить ее в формат ASCII, используя режим командной строки. В системе отсутствует доходчивое представление данных графическими средствами. Не блещет разработка и удачно сформатированными отчетами или средствами анализа трендов сетевой активности.
Еще одна ахиллесова пята MVTS – безопасность. В продукте не предусмотрены функции брандмауэра или средства защиты от сетевых атак типа DoS.
Ditech Communicartions
Устройство PeerPoint C100 работает под управлением ОС Linux и поддерживает только контроль над вызовами на базе SIP. Впрочем, помимо функций обработки вызовов VoIP оно обеспечивает богатые возможности брандмауэра и надежные средства защиты от сетевых DoS-атак.
Многие из средств защиты проявили себя на стадии мониторинга вызовов, продемонстрировав детальный уровень настроек для автоматической защиты сети VoIP от действий злоумышленников. При создании профилей DoS-атак можно воспользоваться стандартными Internet-протоколами либо зафиксированной интенсивностью поступающих вызовов. Чтобы предотвратить широковещательную рассылку параметров внутренней сети по Internet, администратор может прибегнуть к активной фильтрации отдельных полей заголовков SIP-пакетов. Для обнаружения и мониторинга подозрительных входящих соединений служит функция интеллектуального мониторинга. Применяются активное рейтингование и настраиваемые таймеры, которые позволяют распознать проблемные соединения вызывающих клиентов, доступ которых к локальной сети постепенно закрывается, а затем, также постепенно, восстанавливается. Эта «маятниковая» процедура, ход которой можно настроить с учетом комбинации IP-адреса, номера порта и динамически изменяющейся доли сбойных сообщений, выполняется автоматически.
Дополнительную защиту обеспечивает проверка пакетов протокола RTP, который является стандартным при передаче контента через Internet. Она позволяет проверить содержимое поступающих пакетов (голос или видео), чтобы предотвратить проникновение в корпоративную сеть исполняемых файлов, замаскированных под трафик VoIP.
К сильным сторонам изделия Ditech стоит отнести интеллектуальное преобразование адресов по протоколу NAT на ближнем и дальнем концах соединения (аналогичное реализованному компанией Ingate), шифрование трафика по протоколу Secure RTP (sRTP) и поддержку стандарта Transport Layer Security (TLS – зашифрованный контроль над SIP-вызовами).
Мы поставили высокие оценки продукту Ditech за процедуру инсталляции, поскольку первоначальное конфигурирование и установка параметров базируются на встроенной реляционной базе данных. В ней введенные значения сохраняются, а затем выводятся в других экранных формах, например в выпадающих меню выбора значений. Такое решение избавляет от необходимости постоянно вводить одни и те же цифры и гарантирует корректность заданных величин.
Процедура тестирования
Среда тестирования состояла из сымитированных корпоративной сети и операторского центрального офиса, соединенных друг с другом IP-каналом T1. На обеих сторонах соединения сетевая конфигурация включала в себя коммутаторы/маршрутизаторы второго и третьего уровней Summit48 производства Extreme Networks.
Граничные контроллеры сеансов поочередно конфигурировались и включались в «корпоративный» сегмент тестовой сети. На противоположном конце работал контроллер операторского класса VSX Release 6.7.2 компании Sansay. На «операторской» стороне поток T1, состоящий из SIP-пакетов, создавался генератором WinSIP (версия 2.4.7) фирмы TouchStone Industries. Для имитации аналогичного потока, поступающего из «корпоративной» сети, применялся генератор SIP-трафика Abacus 5000 (версии 3.2) от Spirent. «Корпоративные» вызовы терминировались «операторским» оконечным оборудованием, причем для чистоты эксперимента все SIP-вызовы и трафик проходили через устройство Sansay VSX. Такая конфигурация, кстати, позволила получить общие представления о совместимости моделей SBC.
Наши тесты были нацелены на оценку способности контроллеров обрабатывать стандартные SIP-вызовы и потоки RTP-пакетов, сжатые кодеками G.711 и G.729. При этом конфигурация контроллеров была настроена на пересылку трафика в исходном виде. Для определения качества передачи голоса применялись алгоритмы PESQ, PESQ-LQ и R-factor, стандартизованные Международным союзом электросвязи. Мы измеряли время установки вызова, задержку при пересылке пакетов в одном направлении и флуктуации задержки. Кроме того, анализировалась способность контроллеров транскодировать трафик, поступающий от воображаемого оператора (при условии поддержки устройством этой функции).
Основная задача тестирования состояла в проверке заявленных производителями функциональных возможностей и определении влияния контроллеров на обрабатываемые потоки VoIP. Нагрузка на линию T1 была довольно умеренной – несколько десятков одновременных вызовов в обоих направлениях. От протестированных продуктов вполне можно было бы ожидать способности обрабатывать сотни, если не тысячи одновременных вызовов. Тем не менее организации, планирующие купить SBC, должны убедиться в том, что предполагаемая типичная интенсивность вызовов и ее разумное превышение будут устойчиво поддерживаться продуктом.
Multiprotocol Session Controller и iView Management System
Производитель: NexTone
Итоговая оценка: 4,2
В основе SBC-контроллера компании NexTone– комплексный механизм маршрутизации VoIP-вызовов MSC. Поставляемое за дополнительную плату ПО iVMS отвечает за оценку качества передачи вызовов, мониторинг производительности и генерацию отчетов. Конфигурирование функции маршрутизации вызовов в MSC отличается высокой степенью детализации. Так, вы можете задать динамическое изменение таких настроек, как Call Admission Control, Routing Priorities, Policy Enforcement и Bandwidth Allocation, с учетом предпочтений пользователей, доступности сервиса и т.д.
Поддержка широкого спектра протоколов (в том числе SIP и H.323 с его многочисленными вариантами, реализованными разными производителями IP-УАТС), а также поддержка преобразования трафика между ними делают контроллер идеальным для гетерогенных сетей пакетной телефонии, в которых используются разные протоколы. Поместив в тестовую среду программные телефоны на базе H.323 и SIP, мы убедились в их успешном взаимодействии.
Вторая часть данного решения, iVMS, отвечает за сбор и предоставление данных о сеансах VoIP и включает в себя превосходное средство мониторинга iView с графическим интерфейсом. Вот список базовых параметров, собираемых и выдаваемых этой системой: источник и адресат вызова, IP-адреса, типы оконечных устройств, продолжительность и время вызовов, коды ошибок, рейтинги по шкале Mean Opinion Score (MOS), задержки, доля отброшенных пакетов, общее число переданных пакетов.
SIParator 60
Производитель: Ingate Systems
Итоговая оценка: 3,6
Продукт основан на брандмауэре, поверх которого разработчики Ingate разместили полнофункциональный прокси-сервер SIP и множество дополнительных программных модулей, отвечающих за обработку и маршрутизацию вызовов VoIP. Мы протестировали контроллер по отдельности с несколькими модулями, которые компания поставляет за дополнительную плату, в том числе с Remote SIP Connectivity Module, Advanced SIP Routing Module, Quality-of Service Module и VoIP Survival Module.
В дополнение к базовой функциональности SBC (мониторинг индивидуальных вызовов VoIP, сокрытие данных о топологии, идентификация вызывающего абонента) Ingate реализовала функции отказоустойчивости, защиты и маршрутизации данных в корпоративной сети. SIParator 60 использует разные алгоритмы для маршрутизации вызовов через удаленные брандмауэры и способен взаимодействовать с унаследованными межсетевыми экранами. Повышенная отказоустойчивость достигается благодаря ПО, которое обеспечивает продолжение работы системы пакетной телефонии в обход отказавших IP-соединений путем повторной регистрации вызывающих SIP-устройств либо повторной маршрутизации трафика на голосовые шлюзы. Правда, поддерживаются только вызовы на базе SIP.
Среди других заслуживающих упоминания особенностей продукта отметим несколько методов идентификации вызывающего абонента (с использованием внутренней базы данных или внешних серверов RADIUS), функции уведомления и регистрации событий, в том числе поддержки протокола SNMP. В последней версии продукта, которая должна была появиться на рынке весной, компания планировала реализовать шифрование трафика VoIP средствами протокола Secure RTP.
Mera Systems VoIP Transit Switch (MVTS)
Производитель: Mera Systems
Итоговая оценка: 3,6
MVTS является программным контроллером сеансов, который мы инсталлировали на ноутбуке с довольно скромной конфигурацией (4,2-ГГц процессор Pentium 4, 512 Мбайт ОЗУ и ОС Red Hat Linux 9.0). На той же Linux-платформе выполняется дополнительный программный модуль SIP-H.323 Inter-protocol Translator (SIP-HIT). Процесс настройки отличается невероятной детализацией: вы можете определить более 400 параметров, относящихся преимущественно к маршрутизации, обработке трафика разных протоколов и перераспределению нагрузки.
Компания предлагает отдельное управляющее приложение MVTS Manager, которое мы установили на ноутбуке с Windows XP. Доступ к функциям управления осуществляется средствами GUI-интерфейса среды Windows либо через Web-браузер.
Изначально контроллер MVTS базируется на стандарте H.323, но созданный Mera модуль поддержки SIP обеспечивает полную функциональность, связанную с этим протоколом. В результате данное решение из обычного программного коммутатора превратилось в эффективное средство обработки вызовов VoIP. Нагрузка, обусловленная этими вызовами, может быть перераспределена (во избежание «узких мест» сети и перегруженных маршрутов), что позволяет поддерживать качество вызовов на высоком уровне. Нас приятно удивила способность MVTS преобразовывать трафик между форматами разных кодеков практически без дополнительных задержек.
Возможности детальной настройки и взаимодействие функций SIP и H.323 позволяют использовать решение для обюединения и обеспечения совместимости разных систем IP-телефонии, а также операторских услуг на базе VoIP.
PeerPoint C100
Производитель: Ditech Communications
Итоговая оценка: 3,4
Этот продукт на базе Linux обычно поставляется в виде двух одинаковых устройств, из которых одно функционирует как первичное, а другое – как вторичное, находящееся в «горячем» резерве. В устройствах нет жестких дисков – из соображений обеспечения повышенной надежности и безопасности. Образ операционной системы загружается в ОЗУ с флэш-карты.
Контроллер имеет замечательную функцию, активизированную по умолчанию, – преобразование адресов по протоколу NAT на ближнем и дальнем концах соединения. Из-за сложности установки некоторых параметров, таких как сертификаты безопасности, производитель обычно предлагает воспользоваться услугой предварительной настройки. Инсталляция дополнительной подсистемы Packet Voice Processor (PVP) обеспечивает множество функций обработки потоков RTP, в том числе контроль над ошибками, уровнем шума, а также интеллектуальное восстановление пакетов. Правда, PVP отсутствовала в тестировавшейся конфигурации, что ограничило набор функций, за которые мы могли начислить дополнительные баллы.
Примечательной особенностью PeerPoint C100, которую нам удалось протестировать, является способность диагностировать сеть на уровне отдельных вызовов. Контроллер определяет, когда следует регенерировать потоки VoIP, а когда можно разрешить их передачу между оконечными устройствами напрямую. Важно, что устройство работает только с вызовами на базе SIP. Некоторой компенсацией такой односторонности является полноценность поддержки SIP-систем, в том числе функций протокола RTCP, а также полная совместимость с контроллером операторского класса Sansay VSX, который мы использовали в ходе тестирования.
Знай «Меру»
Едва ли не впервые в истории тестовой лаборатории Miercom на ее испытательном стенде появился российский продукт. Контроллер сессий Mera Systems занял достойное место в итоговом рейтинге, но специалисты отечественной компании считают, что проведенные тесты не совсем адекватно раскрывают качественные характеристики системы MVTS. Вот какие комментарии мы получили от разработчика.
«Как справедливо отметили авторы обзора, пограничные контроллеры сильно различаются по функциональности и тем задачам, для решения которых они создавались. К примеру, для Ingate это – поддержка функциональности межсетевого экрана, а для Ditech – преодоление NAT-маршрутизаторов. Контроллер соединений MVTS изначально предназначался для управления вызовами в транзитных сетях IP-телефонии, но, как показало исследование Miercom, может весьма успешно применяться и в корпоративных сетях. Тесты показали, что MVTS лучше других продуктов решает проблемы совместимости сетей: он конвертирует протоколы SIP/H.323 и выполняет нормализацию протокольных диалектов, приводя их к единому стандарту. Уникальной особенностью продукта является его способность преобразовывать медиа-кодеки в режиме реального времени, что особенно важно при сопряжении сетей, основанных на разнородном оборудовании.
Как и в любом рейтинге, результаты тестирования Miercom определяются выбранной методологией и во многом зависят от того, как сами аналитики приоритизируют задачи оборудования данного класса. В частности, уровень защищенности решения специалисты Miercom оценивают по наличию или отсутствию встроенного брандмауэра, хотя существуют и другие способы поддержки сетевой безопасности. MVTS защищает сеть от внешних вторжений за счет того, что отклоняет все звонки с неавторизованных IP-адресов; при этом дополнительная отказоустойчивость системы обеспечивается механизмом резервирования. А межсетевое экранирование в корпоративной среде достаточно просто и эффективно реализуется с помощью отдельного брандмауэра.
Таким образом, мы полагаем, что однозначного ответа на вопрос, какой из контроллеров сессий является лучшим, дать нельзя. Все зависит от конкретных потребностей заказчиков и задач, для решения которых используется оборудование класса SBC».