《中兴SBC设备黑白灰名单功能优化.ppt》由会员分享,可在线阅读,更多相关《中兴SBC设备黑白灰名单功能优化.ppt(24页珍藏版)》请在三一文库上搜索。
1、中兴SBC设备功能优化 福建公司,主要内容,解决思路,课题成果,后续工作,课题背景,课题背景,SBC作为IMS网络中的边缘层接入设备,需要承担安全防火墙的角色,避免非法用户进行注册呼叫。 黑白灰名单是中兴SBC的核心技术之一,以有效保证SBC在IMS商用环境中不会因为终端雪崩、承载网抖动造成SBC设备重启,以有效的保护了核心网不受攻击。 CM-IMS商用网络发现中兴黑白灰名单功能导致正常用户IP业务受限,造成用户大规模投诉,中兴黑白名单功能存在功能缺陷。,典型案例,故障描述:,2011年9月17日15:05宁德监狱集团客户反应IMS固话全部号码无法正常呼入、呼出,并且在外部拨打的时候提示“号码
2、尚未登录”。,处理过程:,9月17日15:05,查询IPPBX、IMS核心网及业务平台设备运行均正常,在IMS核心网及SBC侧进行消息跟踪均未收到接入设备侧发送的注册消息,因此初步分析判断为接入设备或CMNET承载网方面问题。 9月17日15:15,接入设备侧再次查看判断均无问题,为全面保障业务,先行将宁德监狱号码全部转移至莆田的SBC进行注册,经测试,注册全部成功,监狱所有号码业务恢复正常。 9月18日11:43,客户再次反馈其所有号码无法正常使用。 9月18日11:50,在SBC进行信令抓包分析,最终发现SBC收到了大量注册消息,但未转发IMS核心网,也未回复接入设备,问题故障点在SBC上
3、。,典型案例,协调中兴厂家进行SBC侧问题定位,发现中兴SBC将用户IP列入了黑名单中。为全面保障用户业务,根据中兴研发建议,启动应急处理流程,在SBC上手动建立IP信任关系:将该点的源IP地址加入到信任域静态白名单中。随后通过一段时间观察,宁德监狱IPPBX下的所有用户业务正常。 为何SBC将用户正常IP纳入黑名单? 为全面确认分析此次故障原因,再次组织SBC侧和接入设备侧进行全面消息抓包分析,后经全面分析,确认此次故障是由于IPPBX下挂大量SIP用户,且来自于同一IP同一端口,并且发包速率过快,导致SBC将其认为是泛洪攻击,从而将攻击源IP屏蔽,加入到黑名单所致。,原因分析及初步结论:,
4、9月18日12:00,为全面保障业务,再次将宁德监狱号码全部转移至宁德的SBC进行注册,经测试,注册全部成功,监狱所有号码业务恢复正常。,解决思路,结合我省实际故障,全面梳理中兴SBC工作机制及接入设备工作原理,从四个方面制定预防解决措施,全面保障IMS网络和业务安全畅通。,课题成果(一)黑白灰名单功能优化改进,中兴SBC黑白灰名单的概念 SBC黑白灰模块通过源地址&源端口来作为名单的关键信息标识,用于对来源于某个IP地址+端口的报文进行流量控制,从而通过对报文的接收控制,达到实现系统的安全。,课题成果(一)黑白灰名单功能优化改进,中兴SBC黑白灰名单实现基本原理 1、灰名单过程 SBC接收数
5、据后,如果在黑白灰名单中没有,则生成对应的灰名单,并按照灰名单默认的消息速率和行为进行控制。协议上如果用户认证完成,则下发刷新灰名单的动作,将灰名单转换为白名单,此条目的属性为用户所在组的属性配置,速率等。 2、黑名单过程 黑名单阻塞特定源发送的数据流。黑名单由上层协议生成或灰名单超速或配置生成。黑名单生成时产生了日志。非法用户注册泛洪时下发黑名单,合法用户注册刷新或者呼叫长时过于频繁时下发黑名单。是否有协议报文检查,出错次数过多,下发黑名单。,课题成果(一)黑白灰名单功能优化改进,中兴SBC黑白灰名单实现基本原理 3、白名单过程 白灰名单内用户,高于最大速率限制,则丢弃消息使消息速率不大于承
6、诺提交速率,并转换为灰名单,根据配置亦可转换为黑名单。,课题成果(一)黑白灰名单功能优化改进,SBC黑白灰名单工作过程 收到用户的数据包后(以源IP端口做为标识),此时系统会检查此用户是否在黑白灰名单中,如果在黑名单中,则阻塞用户流量;如果在白名单中并且流量未超过阀值,则流量通过,如果流量超阀值,则将此用户降级成灰名单;如果不属于任何名单中,则加入到灰名单,如果此时用户流量低于灰名单阀值,则允许用户流量通过,在用户注册通过后升级成白名单。如果用户流量超过灰名单的流量阀值,则将用户加入到黑名单中。 中兴SBC黑白灰流量阀值设置 白名单的默认速率为64PPS,灰名单默认速率为24PPS,黑名单阻塞
7、攻击流默认10分钟后续老化删除。其中统计来自用户的数据流是不区分注册流量和呼叫流量等的。,课题成果(一)黑白灰名单功能优化改进,现网存在问题 部分大容量节点下挂着很多SIP终端账号,每秒发送到SBC的报文数超过了目前SBC安全模块默认的灰名单的最大速率限制24pps,这样SBC会直接将该IP条目屏蔽,加入黑名单10分钟,同时由于该大容量节点下挂用户注册报文发包速率基本相同,这样当黑名单10分钟老化后,生成的灰名单又会重新屏蔽为黑名单,因此会出现一直注册不上的情况。 临时解决措施 在SBC上手动建立信任域:将大容量节点的源IP地址手动加入到静态白名单中解决。不过采取这种措施后,SBC对于加入静态
8、白名单的IP在安全上基于信任的,也不设防,如果后续此IP发生大量报文攻击,会对SBC的性能产生一定的影响。添加指令如下: config terminal Sbc firewall,课题成果(一)黑白灰名单功能优化改进,white-list ip-address ipv4 112.5.3.36 show sbc firewall bwg-list ip-address ipv4 112.5.3.36 最终解决方法 降低黑名单判断条件,如果用户注册失败,并且之前该用户没有将灰名单刷白,则原白名单节点不进行降速处理。通过升级SBC版本B200_V2.00.52实现。现集团已安排各省于2012年6月底
9、完成。 新版本中对黑白灰机制修改说明: 黑名单用户针对不同源节点(每个节点以IP和PORT唯一确定)。同一节点注册大量不同SIP用户,每注册成功一个用户生成白名单,一个白名单可允许正常速率为64PPS,多用户节点可能允许的速率真为单个速率乘以用户数。每当注册失败一个用户,节点速率点降点一个白名单速率。如果网络上有大量用户注册失败,降速后,由于多用户数据报文超速促发黑名单,原节点加黑。目前,降低黑名单判断条件,如果新用户注册失败,则不进行降速处理,从而避免多用户节点大量注册失败后超速进入黑名单。,课题成果(二)接入设备注册策略规范配置,对接入设备发送SBC的数据流量进行全面分析,主要情况如下:注
10、册流量、呼叫业务流量及中兴OPTION检测流量。呼叫业务流量与集团客户使用情况相关,无法进行调整,因此仅可以针对注册流量及中兴OPTION检测流量进行全面分析优化。 对各厂商接入设备相关情况进行调查,发现各厂商接入设备注册策略及失败重传机制均不一样,相关具体情况如下:,课题成果(二)接入设备注册策略规范配置,接入设备重传机制情况如下:,课题成果(二)接入设备注册策略规范配置,针对接入设备注册策略及失败重传机制不同情况,反馈问题至研究院,建议总部全面制定规范。 省内先行进行省内规范制定及整改工作,现网各个IPPBX注册流量配置均不一样,省内最大设置情况:佳和NTX设备为对注册包的进行流量控制,
11、默认控制在每秒10个, 如果已发10个, 则后续的用户再延时0.5发注册消息,直到全部用户注册成功。 从保障网络安全及接入设备侧用户感知情况同步考虑,建议规范IPPBX注册流程配置为:控制在每秒5个,如果已发5个,则后续的用户再延时1S发注册消息,直到全部用户注册成功。 省内进行接入设备全面排查,解决用户数据、密码错误造成用户注册失败情况,避免失败重传频发导致流量大增。,课题成果(三)中兴OPTION检测功能关闭,终端注册保活机制 SBC对终端的在线检测机制是指SBC对关联的终端、NAT/FW的注册进行保活和检测的方法集。主要作用是快速发现终端异常,以进行相应的处理,防止自身数据区挂死。在与U
12、E之间经过NAT/FW时,保活检测流的另一个作用是维系NAT/FW设备上的动态映射条目,保持信令通信链路的连通。 SBC对终端注册保活检测,主要有两种方案: 1、SBC检测UE(SBC发起对UE的option消息检测) SBC对UE发起的存活检测机制,如UE在设定的连续次数内不回复,则认为UE离线。,课题成果(三)中兴OPTION检测功能关闭,2、UE周期注册(UE主动发起重注册) UE根据协商的重注册时间周期发送注册消息,如超过重注册周期终端不来注册,则SBC和核心网认为终端掉线,将终端置为离线。,课题成果(三)中兴OPTION检测功能关闭,现网SBC在用机制及影响 中兴SBC默认配置了op
13、tion在线检测机制,对于在线用户,SBC会每间隔一段时间(默认60s)发送一个option 1000消息给终端用户,终端收到此消息,回给SBC 200 OK(1000option)消息。SBC收到用户响应后,表明用户正常在线。 如果没有收到终端的响应,则再间隔60s发送option消息,如果连续5次没有收到用户响应,SBC认为用户异常下线,SBC会删除此用户,并向核心网发送用户下线消息。 存在问题 1、SBC向核心网发送下线消息时,核心网需要进行认证,但是SBC无法知道用户的鉴权信息,因此就会造成此用户在核心网侧无法删除,导致核心网和SBC上用户状态不一致,如:核心网上可以查询到某用户,但是
14、中兴SBC上已无此用户信息。SBC在删除用户的时候可以不向核心网发送用户下线消息,但无法避免核心网和SBC上用户状态不一致的情形。 2、随着用户量不断增加,option检测消息流量增加,增加了网络负荷,同时可能加速导致用户流量超过速率,被加入黑名单。,课题成果(三)中兴OPTION检测功能关闭,临时解决方法 取消SBC的option检测机制,改用终端主动发重注册消息对终端进行保活。对于NAT/FW组网情况,需要终端支持主动方式,通过接入设备、终端配置NAT保活功能,定时发送IP层报文到SBC来实现保活。 最终解决方法 取消SBC的option检测机制,中兴SBC对于NAT/FW组网情况,实现N
15、AT被动方式,通过SBC修改接入设备、终端重注册时长,接入设备、终端定时发送register消息来实现。,课题成果(四)中兴SBC实现NAT被动方式功能,NAT/FW组网情况: 接入设备或终端部署在企业内网,通过NAT设备/路由器/防火墙后接入CMNET,也就是接入SBC,并进一步接入CM-IMS。 接入设备分配企业内网私有IP地址,经过NAT设备后转换为公网IP地址,实现IP消息头的转换,应用层SIP报文内IP地址不进行转换。由SBC实现NAT穿越功能,实现应用层SIP报文内IP地址的转换,如contact地址。 进而实现私网内终端到公网CM-IMS网络的注册,以及呼叫功能。 目前NAT设备
16、多采用“动态转换”或“端口多路复用”方式,企业内网的接入设备或终端的私有IP地址转换为公网IP地址时,公网IP地址或端口是不确定的,是随机的。而且每个转换映射关系都有超时定时器,该定,课题成果(四)中兴SBC实现NAT被动方式功能,时器通常为几分钟。位于企业内网的接入设备、终端必须在定时器超时前发送保活分组才能保证映射关键处于激活状态,否则映射关系将被释放。 NAT实现方式: 第一种为被动方式,通过SBC修改接入设备、终端重注册时长,接入设备、终端定时发送register消息来实现。第二种为主动方式,通过接入设备、终端配置NAT保活功能,定时发送IP层报文到SBC来实现保活。 推荐选择第一种方
17、式。 现中兴SBC暂无法实现NAT被动方式,省内已反馈问题至总部,建议全面推动中兴开发实现。,可应用性及效益,实用性,SBC作为IMS网络中的边缘层接入设备,功能及位置非常重要。黑白灰名单是中兴SBC的核心技术之一,本方案就是针对现网出现的正常业务IP被黑名单功能限制的问题提出解决方案,实用性较好。,易推广性,创新性,经济效益,结合实际故障,全面梳理中兴SBC工作机制及接入设备工作原理,从四个方面制定预防解决措施,全面保障IMS网络和业务安全畅通。,本方案中本着“零”投资的原则,首先对中兴SBC黑白名单功能机制原理进行深度解读,对具体问题进行全面剖析,采用规范接入设备配置、关闭OPTIONS检测机制、推动厂商优化改进等方法来解决和规避问题,实施简单,较易推广。,本方案从多方面制定预防解决措施,全面保障IMS网络业务安全,降低故障情况发生,全面提升集团客户感知,具有很强的经济效益。,后续工作,1、推动进行全网接入设备注册策略及失败重传配置规范制定,从接入设备进行全流程问题分析定位,全面提升用户感知。 2、针对中兴SBC设备OPTION检测机制存在的问题,对于现网NAT组网方式进行整改,制定各类解决措施。同步推进中兴厂商总部规范NAT被动方式功能实现。,