在企業VoIP通信系統建設的過程中(zhōng)，最重要的終端接入安(ān)全和VoIP多(duō)媒體(tǐ)業務(wù)的NAT穿越，如今越來越多(duō)的企業開始采用(yòng)IP-PBX、軟交換、MCU等産(chǎn)品構建内部IP通信系統，并用(yòng)基于IP網絡承載數據、語音、視頻、消息等多(duō)種業務(wù)，以降低通信成本、實現靈活部署、提供新(xīn)業務(wù)功能(néng)，提升企業内外部溝通效率與核心競争力。

    但在IP通信系統為(wèi)用(yòng)戶帶來諸多(duō)便利的同時，也造成了一些其他(tā)麻煩。其中(zhōng)在複雜網絡情況下的IP多(duō)媒體(tǐ)業務(wù)的AT穿越、終端用(yòng)戶的安(ān)全接入是許多(duō)企業建設管理(lǐ)VoIP通信系統時非常困擾的問題。

用(yòng)SBC實現IP多(duō)媒體(tǐ)業務(wù)NAT穿越

    許多(duō)大中(zhōng)型企業對于信息安(ān)全對非常重視，數據網絡中(zhōng)部署了大量防火牆設備，同時由于安(ān)全及IP地址資源等因素，許多(duō)分(fēn)支機構和部門采用(yòng)私網IP地址并在網絡出口處啓用(yòng)NAT地址轉換。由于通常NAT/防火牆設備僅對IP和UDP/TCP報文(wén)頭的地址及端口号進行轉換，并不對消息中(zhōng)的媒體(tǐ)連接信息進行轉換，從而造成NAT/防火牆不支持SIP/H.323/H.248/MGCP等IP通信協議的有(yǒu)效傳輸。比如對于SIP協議，終端用(yòng)戶注冊後呼叫控制設備上記錄的将是其私網地址，導緻呼叫時信令不通。因此IP多(duō)媒體(tǐ)業務(wù)無法跨越普通的NAT設備。

SBC組網示意圖

    NAT穿越的傳統解決方案是啓用(yòng)防火牆ALG（（Application Level Gateway，應用(yòng)層網關）功能(néng)，ALG作(zuò)為(wèi)NAT的增強，在地址轉換時對IP報文(wén)頭中(zhōng)内嵌的相應地址信息字段（例如重寫SIP協議Register消息中(zhōng)的Contact字段）也進行轉換。但如果全網規模部署IP多(duō)媒體(tǐ)業務(wù)，需對現網大量防火牆進行ALG升級，成本高、實施繁瑣。

    在現實應用(yòng)的場景中(zhōng)，終端将IP-PBX/軟交換等核心控制設備的地址設置為(wèi)SBC Proxy的地址，終端注冊到核心設備時，SBC創建相應的地址映射表項，當終端開始呼叫時，SBC修改相應的地址信息，将報文(wén)發送給真正的核心設備，所有(yǒu)的信令流、媒體(tǐ)流都可(kě)經過SBC進行轉發，另外也可(kě)設置媒體(tǐ)流旁路

    由于SBC重新(xīn)指定内網/外網用(yòng)戶信令/媒體(tǐ)流的接收地址和端口，可(kě)以方便地實現不同網絡域之間的地址轉換（包括公(gōng)網/私網地址之間的轉換），為(wèi)信令/媒體(tǐ)流穿越NAT提供了技(jì )術保障。

    SBC最早是應用(yòng)于電(diàn)信運營商(shāng)NGN領域的一種産(chǎn)品形态，定位在電(diàn)信NGN網絡的IP業務(wù)網關，解決NGN業務(wù)部署中(zhōng)遇到的NAT/FW穿越、安(ān)全、互通、QoS等問題。SBC設備采用(yòng)Full Proxy（全代理(lǐ)）方式定向傳輸信令/媒體(tǐ)流. 三彙SBC（Session Border Controller）作(zuò)為(wèi)企業融合通信整體(tǐ)解決方案中(zhōng)的重要部件，通常被部署在企業網絡的出口處，用(yòng)于跨接不同IP域内的IP語音話務(wù)，并提供網絡安(ān)全保障，在企業級VoIP通訊系統中(zhōng)發揮着重要的作(zuò)用(yòng)。