GATEWAY PGWS
Guia do Administrador
Este documento é voltado aos administradores da plataforma SIPPulse. Todos os direitos reservados. ©2009/2018 SIPPulse Tecnologia Ltda.
Índice:
Table of Contents |
---|
Introdução
O SIPPulse PGWS é um gateway SIP que agrupa 4 funções em sua configuração. Sua função principal é representar o elemento de redes de voz sobre dados previsto nas especificações da ITU para redes NGN, responsável pela segurança e demarcação de redes em telefonia IP (SBC). Neste papel o PGWS atua como a figura que um firewall representa para as redes de dados. Na função de SBC o PGWS configurado como SBC atua tanto na entrada da rede, ou como proxy (isto é para, autenticação e usuários conectados via redes públicas, ou internet) quando na saída, ou como agente B2B (para conexão com outros provedores através de um SIP Trunk). Nestas funções o PGWS não manipula ou interfere na discagem ou sinalização introduzida pelo usuário.
Além destas funções o PGWS pode ser configurado como gateway SIP-i, para interconexões SIP com sinalização SS7 encapsulada. Pode por fim agir como gateway WEBrtc, recebendo sinalização de aplicativos construídos sobre navegadores compatíveis.
O SIPPulse PGWS é desenvolvido em observância às normas da IETF em seus respectivos RFCs e suportando operação em IPv4 e IPv6. As funções SBC do SIPPulse PGWS são geridas por interface gráfica WEB.
A solução SIPPulse PGWS é fornecida como softappliance, isto é como elemento de software, podendo ser instalado em servidores comumente encontrados no mercado, com características descritas no item 3.
O PGWS pode incorporar ainda algumas funções complementares como transcodificação, por software ou, dependendo do volume, por placas de processamento especialmente desenhadas e funções de “Call Progress Analysis” por sinalização.
Desempenho
O desempenho do SIPPulse PGWS dependente fundamentalmente do equipamento onde está instalado e dos serviços adicionais agregados (como transcodificação).
De modo geral a SIPPulse oferece o PGWS em configurações cuja capacidade de processamento varia de 30 a 2.100 sessões simultâneas. Não há correlação direta entre sessões e chamadas uma vez que uma chamada pode ocupar de 1 a 4 canais (sessões) de processamento. Aceita-se normalmente uma relação de 2 sessões por chamada para fins de configuração inicial do PGWS.
Na função SBC B2B é limitado a 50 CPS (Calls Per Second - Chamadas por Segundo) por padrão. Qualquer necessidade superior a esta deve ser revista com a equipe da SIP Pulse.
Limitações
O PGWS é transparente para o uso de CODECS, de áudio ou vídeo. A transcodificação de CODECs de alta complexidade por reduzir o número de sessões simultâneas disponível embora isto seja raro. O sistema não suporta transcodificação de CODECs de vídeo.
A transcodificação é intensiva em processamento, limitando significativamente a capacidade de processamento quando feita por software. Para altos volumes, é recomendável que esta seja feita por placa específica.
Na presente versão do PGWS as funções de SIP-I e WEBrtc devem ser configuradas pela equipe SIPPulse. Caso necessário registre um chamado através do sistema TRACKER.
Hardware
De modo geral, o usuário deve providenciar um servidor com as seguintes características, ou superior, para suportar as operações do PGWS:
até 300 sessões | até 900 sessóes | até 1500 sessões | até 2000 sessões | |
---|---|---|---|---|
Memória | 4 GB | 8 GB | 16 GB | 32 GB |
Processador | 4N/8T | 6N/12T | 8N/16T | 8N/16T |
Armazenamento | 150GB(1) | 150GB(1) | 150GB(1) | 150GB(1) |
Rede | 2 portas ETH (2) | 2 portas ETH (2) | 2 portas ETH (2) | 2 portas ETH (2) |
(1) preferencialmente SAS 15K rpm em RAID 1
(2) Ethernet Gigabit externas
Recomenda-se ainda que o servidor tenha fonte redundante para maior resiliência operacional.
Arquitetura do PGWS como SBC
O sistema possui dois componentes, sendo um proxy responsável interconexão de usuários vindos de redes distintas à rede local dos servidores SIP e outro, back to back user agent, responsável pela interconexão dos servidores SIP em rede local à redes distintas.
Módulos da arquitetura do SBC:
Proxy: Este módulo trata de um proxy transparente o que permite que os usuários se comuniquem na rede interna de forma segura e possam enviar e receber chamadas. A única diferença entre o usuário interno e externo é que na configuração do usuário o servidor SIP deve ser o SBC e não diretamente o servidor SIP principal. Esta configuração pode ser feita usando o recurso de Proxy de Saída, presente nos dispositivos SIP ou pode ser feita em um servidor DNS interno.
B2B. É a parte que permite a conexão com as operadoras. Composto por um elemento chamado Back to Back User Agent que permite a ocultação de topologia e a transcodificação de chamadas. Este elemento suporta também a correta interpretação da sinalização SIP referente à transferências e capturas, quando utilizado em cenários de PBX com SIP Proxy.
SBC Proxy
O Proxy permite acesso à rede de telefonia IP de modo seguro, aceitando conexões de terminais IP externos. São funções do Proxy:
Permitir o acesso através dos protocolos TCP/TLS/UDP
Permitir a recepção que qualquer discagem
Suporte entroncamentos SIP no padrão RFC3261
Suporte à IPV4
Detecção e Prevenção de Ataques Maliciosos
Limitação de Chamadas Simultâneas
Liberação de IPs e redes específicos para acesso
Tratamento de NAT nas redes de entrada
Gestão através de uma interface WEB
Para o SBC Proxy, é possível fazer a analogia de um funil, onde ele pode receber conexão de clientes de diferentes redes (Local, Metropolitana, Internet, entre outras) e concentra todos em um servidor SIP atendendo uma única rede local.
Um exemplo prático seria de um servidor SIP atendendo uma rede local (LAN) com a necessidade de atender clientes vindos através da Internet. Neste caso o SBC Proxy terá uma interface de rede na internet e outra interface de rede na rede local, garantindo acesso transparente ao servidor SIP, da rede local, mesmo para usuários espalhados pela Internet.
Além de possibilitar a interconexão de redes distintas, o SBC provê recursos de tratamento de usuários atrás de NAT, evitando a sobrecarga no servidor SIP principal, além de agregar recursos de segurança, onde os padrões de ataque SIP mais comuns são bloqueados de forma automática pelo SBC. Também possível restringir os IPs que podem ter acesso ao sistema, assim ele agirá como um firewall, porém a nível de camada de sessão (SIP).
SBC B2B
O SBC B2B permite a conexão para outras operadoras VoIP de forma segura. O sistema suporta os seguintes recursos:
Transcodificação dos CODECs de áudio
Autenticação à Frente Usando MD5 Digest
Segurança usando SIP over TLS
Suporte a TLS e Secure RTP
Limitação de chamadas simultâneas por rota
Análise de progresso das chamadas (CPA), identificando tom de ring, fax e caixa postal
Tratamento de chamadas saintes e entrantes
Manipulação de BINA de forma automática
Suporte a WebRTC
Interconexão nativa com canais E1 utilizando placas compatíveis¹
Diferente do componente Proxy, o B2B não é transparente na comunicação. Pelo contrário, ele atua ocultando todas as informações da rede até chegar a ele, gerando um novo pacote SIP para o destino.
Por tratar uma chamada como duas sessões, uma entre o servidor SIP e o PGWS SBC e outra entre o PGWS SBC e o fornecedor, o B2B pode ter algumas funcionalidades que não são permitidas para algum componente do tipo Proxy. Dentre elas está o registro (SIP REGISTER) em outras plataformas, a autenticação por Digest (usuário e senha) e a troca de tecnologia para o encaminhamento da chamada, atuando como um gateway de mídia.
Visando facilitar a configuração das rotas, tanto de entrada como de saída, o SBC B2B adota o conceito de dutos para as rotas, que são denominados PIPEs. Estes PIPEs simplesmente repassam as informações das chamadas recebidas no PGWS para destino correto. Existem quatro tipos de PIPEs no PGWS SBC B2B, sendo SIP de entrada e saída e E1 de entrada e saída.
Para o roteamento de chamadas saintes, vindas de um servidor SIP, o roteamento é feito com base na porta configurada, desta forma, o PGWS não precisa manipular prefixos para identificar a rota, toda a seleção é feita baseada na porta em que a sinalização foi recebida, fazendo com que a chamada seja entregue no fornecedor da mesma maneira que saiu do servidor SIP.
Já para o roteamento das chamadas entrantes, vindas de qualquer outro servidor que não seja um Servidor SIP configurado, o PGWS SBC faz a seleção de rotas baseado na informação de origem da chamada (endereço IP ou link E1), sendo possível encaminhar as chamadas entrantes para diferentes servidores SIP, dependendo da origem desta chamada.
Para todos os tipos de PIPE é possível fazer manipulações nas chamadas, como alteração no número de destino (número de B) e na identificação do chamador (número de A) baseados em expressão regular, ativar ring falso, analisar a progressão da chamada a fim de identificar caixa postal, fax ou chamadas rm ring mesmo após o atendimento. Além de ser possível fazer adaptações pontuais na sinalização, como adição e remoção de cabeçalhos SIP para cada rota.
O módulo SBC B2B também possui integração nativa com o Homer, serviço de armazenamento de SIP Traces, fazendo o espelhamento de todo o tráfego para este servidor através do protocolo HEPv2. Também possui integração com o serviço de prevenção de chamadas fraudulentas SIPPulse TFPS, onde, para os PIPEs saintes, o PGWS pode fazer a consulta ao serviço, bloqueando a chamada em caso de possível fraude².
Neste manual vamos separar os módulos de Proxy e B2B em configurações específicas.
Verifique com a SIPPulse quais as placas E1 são compatíveis com o PGWS.
O TFPS está em fase de avaliação e pode não estar disponível em todas operações.
Usuários
É possível cadastrar mais de um usuário para fazer a administração do PGWS. Ao clicar no menu Usuários, todos os usuários cadastrados serão listados.
Ao clicar em adicionar, um pop-up será exibido, onde os campos devem ser preenchidos com os dados do novo administrador.
Monitoramento (Dashboard)
No dashboard serão apresentadas informações dos componentes do PGWS, sendo B2B e proxy, e informações do servidor.
Nas informações do servidor, são apresentados dados de utilização dos recursos do próprio servidor contemplando todos os serviços que estão “rodando” neste. Sendo:
Carga do processador (Load Average), onde são apresentados dados de 1, 5 e 15 minutos;
Utilização de memória, onde são apresentados a quantidade de memória RAM e SWAP (arquivos de paginação) totais e disponíveis;
Uso de disco, onde é apresentado o tamanho total do disco e a quantidade de espaço disponível;
Uptime (tempo de atividade) do servidor.
No monitoramento do SBC Proxy, são apresentados:
A quantidade de chamadas totais que estão passando por este componente;
A lista dos IPs que originaram chamadas para o SBC, bem como a quantidade de chamadas por IP;
A lista dos IPs que receberam chamadas do SBC, bem como a quantidade de chamadas por IP;
Uptime (tempo de atividade) do componente.
No monitoramento do SBC B2B, são apresentados:
A quantidade de sessões que estão ativas neste componente;
A quantidade de sessões por segundo que está sendo processada;
A quantidade de sessões totais processadas desde o última reinicialização da aplicação;
Uptime (tempo de atividade) do componente;
Quantidade de sessões ativas em cada PIPE e Interface, denominados Profiles no Dashboard.
Firewall
O PGWS não possui bloqueio de firewall habilitado, uma vez que todo o controle é realizado a nível de aplicação, cabendo ao administrador de rede prover segurança a nível de rede. As seguintes portas deverão abertas e qualquer alteração deve ser feita pela equipe de suporte da SIPPulse via ticket de suporte.
Operação com Redundância (Opcional)
A operação com redundância segue o modelo ativo-passivo. O servidor principal funciona no modelo ativo enquanto a redundância permanece configurada, mas inativa. No caso de uma falha de hardware, o sistema migra o endereço IP do SBC ativo para o SBC redundante.
O Funcionamento em redundância é opcional, no caso de contratação após a instalação do primeiro SBC, este deverá ser reconfigurado. As configurações em disco são replicadas entre os dois sistemas através de replicação binári. O sistema de heartbeat permite o monitoramento da saúde do servidor primário e acionamento do servidor secundário. Os tempos de detecção e acionamento da redundância são configuráveis.
Backup e Recuperação de Dados
O backup é feito automaticamente todos os dias, por padrão às 00:00. O sistema gera um arquivo no diretório web da interface de gerenciamento. Este arquivo deve ser baixado pelo cliente para armazenamento em local seguro e estão disponíveis para serem baixados na interface de gerenciamento na aba Backup do Sistema.
Caso seja necessário uma automação no procedimento de download dos Backups ou para restaurar o sistema ou partes deles, favor entrar em contato com o suporte técnico através de um ticket no ambiente de suporte.
Interoperabilidade com padrões de Mercado
O Session Border Controller e interoperável e compatível com os seguintes padrões:
RFC790 - IP Versão 4
RFC2460 - IP Versão 6
RFC3261 – SIP Protocol
RFC3262 – Acknowledgment for Provisional Responses
RFC 3263 – SIP: Locating SIP Servers
RFC 3265 – Especific Event Notification;
RFC 2327 – SDP: Session Description Protocol
RFC 3264 – An Offer/Answer Model with SDP
RFC 3266 – Support for IPv6;
RFC 6157 – IPv6 Transition in the SIP
RFC 3515 – SIP Refer Method
RFC 3891 – SIP Replaces Header
RFC 3892 – SIP Referred-by;
RFC 5389 – Session Traversal Utilities do NAT (STUN);
RFC 5766 – Traversal Using Relays around NAT – TURN
RFC 6086 – SIP INFO Method and Package Framework
RFC 3311 – SIP UPDATE Method
RFC 3325 – Private Extensions to the SIP
RFC 3323 – A Privacy Mechanism for SIP;
RFC 3581 – A Extension to the SIP for Symmetric Response Routing
RFC 4028 – Session Timers in the SIP
RFC 3550 – RTP: A Transport Protocol for Real-Time Applications
RFC 3711 – The Secure Real-Time Transport Protocol (SRTP)
RFC 4733 – RTP Payload for DTMF Digits, Telephone Tones and Telephone Signals
RFC 2959 – Real-Time Transport Protocol (RTP) Management Information Base
26. RFC 3551 – RTP Profile for Audio and Video Conferences with Minimal Control
27. RFC 3389 – RTP Payload for Comfort Noise (CN);
28. RFC 3486 – Compressing the SIP;
29. RFC 3856 – A Presence Event Package for the SIP
30. RFC 2474 – Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers
31. RFC 2475 – An Architecture for Differentiated Services
32. RFC 2597 – Assured Forwarding PHB Group
33. RFC 3246 – An Expedited Forwarding PHB
34. RFC 2507 – IP Header Compression
36. RFC 7235 – Hypertext Transfer Protocol (HTTP/1.1): Authentication;
37. RFC3702 – Authentication, Authorization, and Accounting Requirements for the SIP
38. RFC3824 - Using E.164 numbers with the Session Initiation Protocol (SIP)
Homologação da Anatel
Não existe uma categoria com nome GATEWAY Session Border Controller, SIP-i ou WEBrtc na modalidade softswitch pela Anatel, de forma que este tipo de equipamento ainda não é certificável no Brasil. Esta informação pode ser verificada na seção requisitos Técnicos para Certificação, na categoria III.
http://www.anatel.gov.br/setorregulado/index.php?option=com_content&view=article&id=314&Itemid=507
Na hipótese de enquadramento em equipamento de interconexão de rede, o PGWS não possui, diretamente, interfaces com sinalização associada a canal SS7 ou RDSI, não sendo assim passível de certificação. Esta homologação é feita pelo fabricante das placas E1 utilizadas.