Eltex ESBC для телефонии: защищает, управляет, объединяет

Если спросить сетевого инженера, например, в России или странах СНГ, с чем у него ассоциируется бренд Eltex, скорее всего, вы услышите про оборудование. Что-то осязаемое, металлическое, с мигающими индикаторами. И это справедливо в историческом контексте: уже более 30 лет мы создаём надёжные аппаратные платформы, которые стали фундаментом многих тысяч сетей.

Но есть и другой аспект. Eltex обладает значительным опытом разработки сложного программного обеспечения и предоставляет широкий спектр решений. С начала 2010-х годов активно продвигается идея замены аппаратного оборудования на софтовые решения для управления сетями. Они постепенно эволюционировали из экспериментальных разработок в мощные инструменты для самых разнообразных бизнес-задач. Eltex активно участвовала в этом процессе, создавая такие решения. Например, программную IP-АТС ECSS-10 Softswitch: система была выпущена на рынок в то время и продолжает успешно использоваться в крупных операторских и корпоративных сетях для организации телефонных вызовов через интернет.

В статье расскажем о пограничных контроллерах сессий Eltex серии ESBC для комплексной защиты и оптимизации сети IP-телефонии. Разберём, в чем сходство и различия программной и аппаратной реализации, для каких сценариев подходит то или иное решение.

Прежде чем погружаться в технические детали наших решений, обозначим, почему вообще появился такой класс устройств, какие задачи он решает.

Переход телефонии на IP-рельсы дал бизнесу и операторам колоссальную гибкость и экономию, но в тоже время породил проблему: как обеспечить свободное прохождение VoIP-трафика из внутренней сети во внешнюю и наоборот, гарантируя защиту сети и абонентов. Межсетевые экраны на границе сети не могут справиться с этой задачей, поскольку не понимают специфику протокола SIP, механизмы передачи которого кардинально отличается от того, как это происходит для рядового трафика.

Именно поэтому телеком-индустрия пришла к необходимости появления «привратника» – пограничного контроллера сессий (Session Border Controller – SBC), специального оборудования или ПО, глубоко понимающего VoIP-протоколы и особенности работы сетевой телефонии. SBC выполняет комплекс функций, которые можно условно представить в трёх группах.

Защита сети

Безопасность – первое, что приходит на ум, когда речь заходит о SBC. Пограничный контроллер выступает как рубеж защиты VoIP-инфраструктуры от внешних угроз:

• Сокрытие топологии. SBC разбивает SIP-соединение на два сегмента, полностью скрывая внутренние IP-адреса и порты от внешней сети, предотвращая сканирование внутренней инфраструктуры.
• Защита от атак. Контролирует скорость поступления SIP-сообщений и блокирует подозрительный трафик, защищая от DoS/DDoS, SIP-флуда и других угроз.
• Пресекание мошенничества с трафиком. Предотвращает несанкционированные исходящие вызовы и контролирует процесс регистрации SIP-устройств.
• Шифрование. Обеспечивает криптографическую защиту сигнального и медиа-трафика.

Совместимость

Важнейшая задача пограничного контроллера – обеспечить бесперебойное взаимодействие между сетями телефонии, использующими разные стандарты и протоколы:

• Работа за NAT. Динамически модифицирует IP-адреса и порты в заголовках SIP/SDP, обеспечивая корректное прохождение VoIP-трафика через NAT.
• Нормализация и интерворкинг. Выступает в роли переводчика, преобразуя диалекты SIP разных производителей оборудования и ПО к виду, понятному принимающей стороне. Также преобразует сигнальные протоколы для связности между разнородными средами, например для сопряжения с такими протоколами, как SIP-I/T, H.323 и т. д.
• Транскодинг. В режиме реального времени преобразует голосовые кодеки (например, из G.729 в G.711 и обратно), когда конечные устройства или сети используют разные форматы.

Управление вызовами и контроль качества

SBC обеспечивает полный контроль над потоками вызовов:

• Маршрутизация. Принимает решения о направлении вызова на основе различных параметров (доступность узлов, наименьшая стоимость, принадлежность к определённому пулу ресурсов и др.).
• Балансировка нагрузки. Динамически распределяет входящий трафик между узлами VoIP-инфраструктуры.
• Приоритизация вызовов. SBC способен применять политики, отдавая приоритет определённым видам трафика, например, вызовам экстренных служб над обычными вызовами, обеспечивая им гарантированное качество и минимальную задержку.
• Мониторинг. Собирает детальную статистику и параметры VoIP-потоков для биллинга, контроля качества и оперативного устранения проблем.

Защита, совместимость, управление, контроль качества – каждая из этих задач критически важна, и пограничный контроллер сессий должен решать их все одновременно, без компромиссов. Именно на этот фундамент мы опирались при создании собственных решений серии ESBC.

Eltex имеет богатый опыт в разработке аппаратных пограничных контроллеров сессий. Начиная с 2012 года, когда появилась первая линейка, компания накопила уникальный опыт для создания решений, устойчивых к нагрузкам и способных эффективно работать в корпоративных и операторских сетях.

ESBC-3200, как представитель третьего поколения пограничных контроллеров сессий Eltex, объединяет лучшие практики предыдущих моделей с новыми возможностями, что делает его идеальным выбором для современных коммуникационных систем. Наши решения отличаются стабильностью, простотой и отказоустойчивостью благодаря архитектуре Active-Standby, способны обрабатывать до 150 вызовов в секунду, поддерживая до 6000 одновременных сессий благодаря оптимизированной платформе.

Для многих выбор именно оборудования остаётся единственно верным. Есть заказчики, чьи регламенты прямо запрещают размещение критических сервисов на виртуальных платформах, и в таком случае аппаратное решение подходит лучше всего. Кроме того, в территориально распределённых сетях с десятками удалённых площадок развёртывание компактных аппаратных контроллеров зачастую проще, чем организация серверной инфраструктуры.

К тому же это вопрос разграничения зон ответственности: «Вот это устройство отвечает за безопасность VoIP-трафика, и точка». Оборудование предсказуемо: фиксированная производительность, отсутствие зависимости от виртуальной инфраструктуры, простота внедрения и обслуживания. В общем, поставил, настроил и забыл.

В то же время существуют сценарии, когда именно программное решение становится оптимальным, а порой и безальтернативным, выбором.

В конце 2022 года мы начали масштабный проект по развитию функционала ESBC в программном продукте. Так появился vESBC – то же самое ядро, те же функции и алгоритмы обработки, та же логика работы, что и у аппаратных ESBC, но в виде виртуализованного решения. Его можно удобно развернуть на серверах через популярные гипервизоры VMware ESXi, KVM, VirtualBox и др.

Здесь может возникнуть вопрос: зачем нужен ещё один сервер с установленным ПО, если можно использовать оборудование, занимающее совсем немного места? Ответ кроется в том, как устроены современные ЦОД и чего ожидают от такой инфраструктуры те, кто её эксплуатирует.

• Производительность. Если ESBC-3200 в силу аппаратных ограничений может обработать до 150 вызовов в секунду и 6000 одновременных сессий, то производительность vESBC зависит от выделенных виртуальной машине ресурсов. Для текущей версии 1.7 подтверждена стабильная работа при нагрузках до 300 вызовов в секунду и 19500 одновременных сессий. А это уже уровень для крупных операторских и корпоративных сервисов.

• Гибкость. Виртуальной машине с vESBC можно выделить ровно столько мощности, сколько требуется для текущей нагрузки. Если бизнес растёт и количество одновременных вызовов увеличивается, достаточно купить необходимые лицензии, добавить виртуальные процессоры и память – без замены оборудования, без простоев, без капитальных затрат. Такой подход актуален не только для операторов, но и для бизнеса, в том числе малого и среднего.
• Скорость развёртывания. Порой нужно быстро развернуть новый сегмент VoIP-сети. Создание новой виртуальной машины занимает минуты при условии, что серверная инфраструктура на объекте уже развита. Не нужно ждать поставку оборудования: скачали образ, активировали лицензии, настроили под задачи – и сервис уже работает.
• Отказоустойчивость. При выходе из строя физического сервера vESBC можно мигрировать и запустить на другой хост с минимальным перерывом в обслуживании.

Независимо от форм-фактора – аппаратного или виртуализованного – пограничные контроллеры сессий серии ESBC дают единый набор возможностей, который закрывает потребности большинства сценариев, в том числе для межоператорского взаимодействия и создания крупных корпоративных сетей телефонии. При этом новые функции и улучшения внедряются в оба продукта параллельно.

На момент публикации актуальная версия – 1.7, возможности даны для неё и применимы к обоим продуктам – ESBC-3200 и vESBC.

Маршрутизация и управление вызовами

Пограничные контроллеры сессий Eltex используют архитектуру B2BUA для полного контроля сигнализации и медиапотоков. Все взаимодействия из внешней сети с элементами инфраструктуры, например, с IP-АТС, происходит через посредника, которым и выступает ESBC.

Система обеспечивает интеллектуальную маршрутизацию на группы направлений с автоматической балансировкой нагрузки и перемаршрутизацией вызовов при сбоях. Поддерживается регистрация удалённых абонентов с контролем доступности направлений методом OPTIONS.

Платформа работает с динамическими IP-адресами на транспортном уровне и поддерживает динамические SIP-транки, что особенно важно для взаимодействия с удалёнными филиалами и мобильными сотрудниками. Гибкая система условных модификаторов и контекстных переменных позволяет создавать сложные сценарии обработки вызовов под бизнес-требования.

Протоколы

Реализован основной набор стандартов SIP с расширенными функциями безопасности. Для передачи сигнализации используются транспортные протоколы UDP, TCP и TLS.

Нормализация SIP-трафика обеспечивает совместимость с оборудованием разных производителей. Система позволяет модифицировать SIP-заголовки с помощью регулярных выражений, а SIP-профили помогают тонко настроить обработку сигнализации для каждого направления вызовов.

Технология WebRTC с механизмом ICE позволяет работать с веб-клиентами и современными приложениями. Реализована интеграция с системой унифицированных коммуникаций Eltex Elph. Поддерживается аутентификация абонентов через RADIUS для централизованного управления доступом.

Обеспечивается транзит сигнализации SIP-I/SIP-T для взаимодействия с традиционными телефонными сетями.

В ближайших релизах мы планируем добавить протокол H.323 для поддержки VoIP-оборудования и ПО на его основе.

Обработка медиатрафика

Поддерживается проксирование RTP/RTCP-трафика с транскодированием аудио- и видеокодеков в режиме реального времени (Opus, G.711, G.729, G.722, VP8, VP9, H.264). Это позволяет связывать абонентов, использующих разные кодеки, без потери качества связи. Поддерживается факсимильная связь через протокол T.38.

Защита медиатрафика обеспечивается через SRTP с применением механизмов SDES и DTLS для согласования ключей шифрования. C помощью медиапрофилей гибко настраиваются типы медиа, происходит управление транскодированием и параметрами обработки потоков для каждого направления.

Безопасность

ESBC имеет многоуровневую защиту от DoS-атак и специфических VoIP-угроз, включая SIP-флуд и попытки мошенничества. Контроллер поддерживает работу с абонентами за NAT (NAT co-media). Для защиты сигнального трафика применяется шифрование TLS, а медиатрафик защищается через SRTP.

Логирование

Данные о регистрациях абонентов сохраняются в базе данных с возможностью быстрого восстановления при сбоях. Динамическое изменение количества доступных модулей помогает эффективно контролировать нагрузку на систему и масштабировать производительность по требованию.

ESBC собирает детализированные записи о вызовах (CDR) для биллинга, аналитики и контроля качества связи с сохранением в локальной базе данных и возможностью выгрузки в сторонние системы мониторинга.

Гибкая настройка

ESBC предоставляет широкие возможности для адаптации под специфические требования заказчиков. Поддерживается модификация SIP-заголовков через регулярные выражения, изменение параметров номеров (CgPN/CdPN), преобразование SDP с помощью медиапрофилей для управления медиасекциями и кодеками.

SIP-профили позволяют настраивать параметры обработки сигнализации для разных направлений. Поддерживается логическое разделение транков по SIP-доменам для изоляции трафика различных клиентов или подразделений.

Веб-интерфейс

Веб-интерфейс ESBC активно развивается – за последний год список поддерживаемых параметров значительно расширился. Сейчас через веб-интерфейс доступны: обновление ПО, работа с файлами конфигурации и лицензиями (загрузка, выгрузка, применение), настройки системного журнала (syslog), мониторинг списка активных регистраций абонентов с фильтрами и сортировкой, количества вызовов по транкам, транспортам и многое другое.

C каждым релизом в веб-интерфейс добавляются новые возможности для упрощения администрирования и мониторинга системы.

Развитие ESBC

В 2026 году мы планируем внедрить ряд важных функций для повышения функциональности, надёжности и удобства управления системой. Среди них:

• поддержка H.323
• мониторинг параметров трафика (KPI)
• туннелирование (IPsec VPN)
• маршрутизация: через LDAP, по наименьшей стоимости маршрута, по адресу источника вызова (динамические транки)
• Динамическая ротация номеров в запросах
• Дальнейшее развитие функциональности веб-интерфейса

В экосистеме Eltex мы отвечаем за всё прохождение звонка: от трубки, которую абонент держит в руках, до стыка с провайдером. И важно понимать, что контроллеры ESBC не существуют в вакууме: это часть большой экосистемы продуктов Eltex для телефонии.

Контроллеры интегрируются с АТС ECSS-10 Softswitch – ядром VoIP-сети c множеством сервисов. Он работает в связке с абонентскими шлюзами TAU и транковыми шлюзами SMG, обеспечивает безопасное подключение для корпоративной UC-системы Elph.

И в этом есть своя ценность. Когда в инфраструктуре используется монобрендовое решение, вы получаете единую точку ответственности за весь сегмент сети и комплексную техническую поддержку, предсказуемую совместимость компонентов и возможность развивать систему без риска конфликтов между компонентами от разных производителей.

Мы приглашаем испытать пограничные контроллеры сессий Eltex в реальных условиях вашей сети и оценить их работу. Бесплатное тестирование – это возможность не только убедиться, что решение соответствует вашим требованиям, но и повлиять на развитие продукта. Обратная связь от пользователей напрямую влияет на приоритеты разработки функционала. Ваш опыт эксплуатации помогает нам делать контроллер лучше и адаптировать его под реальные задачи операторских и корпоративных сетей.

Наши специалисты окажут техническую поддержку при внедрении, помогут с настройкой и ответят на вопросы по интеграции в вашу инфраструктуру.

Напишите нам, чтобы узнать больше о применении контроллера в ваших проектах и оставить заявку на тестирование: eltex@eltex-co.ru

Пограничный контроллер сессий – необходимый элемент для защиты VoIP-инфраструктуры. Он защищает телефонию от внешних угроз, обеспечивает совместимость между разнородным оборудованием, даёт инструменты для диагностики и управления.

Eltex предлагает оба варианта реализации: аппаратный ESBC-3200 для тех, кто предпочитает выделенные устройства, и виртуальный vESBC для сред с виртуализацией. Функционально они идентичны, различие – в форм-факторе, способе развёртывания и производительности. Осталось только выбрать, какой подходит именно под ваши задачи.