VoIP-Hochschule · PDF fileUniversal Media-Gateways UMG8900 von Huawei. 10.11.2005 3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG 17 Kopplung

10.11.2005

VoIP bei einem NetzwerkbetreiberNovember 2005

3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG2

Übersicht

VoIP EinführungVerbindungsaufbauGesprächsübertragung

Übertragung von nicht Sprachdaten über VoIPFaxeModem (Alarm, und Meldeleitungen)

Kopplung VoIP mit klassischer TelefonieVoIP im Internet versus im VPNSicherheitsrelevante Aspekte von VoIP

10.11.2005


Verbindungsaufbau -Adressierung-

Für den Gesprächsaufbau wir eine eindeutige Adressierung des Gesprächsteilnehmer benötig

Dynamische IP-AdresseFirewall mit NAT-Funktionen und PAT-Funktionen

Es ist nicht bekannt unter welcher IP-Adresse und welchem Port der Gesprächsteilnehmer zu erreichen ist.

Zeitlich befristetet Anmeldung über Signalisierungsprotokolle (u.a. SIP) an einem Server.


Verbindungsaufbau -Signalisierung-

Der Auf- und Abbau von Gesprächen erfolgt über spezielle Signalisierungsprotokolle

H.323 - Packet-based multimedia communications system, ITU-TSIP - Session Initiation Protocol, IETF RFC 3261MGCP - Media Gateway Control Protocol H.248ISDN over IP - ISDN/CAPI basiertes ProtokollSkinny Client Control Protokoll - von CiscoSkype – propritäres Protocol der Fa. Skype

10.11.2005


Verbindungsaufbau -Rufnummern-

Für die Erreichbarkeit von Teilnehmern wir ein eindeutiger Rufnummernplan benötigt

ENUM - RFC2916Eine auf DNS basierte eindeutige Adressierung. Die vorhandene klassische Telefonnummer wir weltweit eindeutig in ein DNS-Name überführt. Hierzu wurde die Domain e164.arpa geschaffen.+49 421 123456 6.5.4.3.2.1.1.2.4.9.4.e164.arpa

OrtsrufnummerKurzfristige Lösung von Netzbetreibern um VoIP-Kunden für das öffentliche Netz (PSTN) erreichbar zumachen. Teilweise werden auch 0180 Nummern genutzt. Die Nummer ist ans Ortsnetz gebunden. Die Erreichbarkeit aus dem Internet stellt der Netzbetreiber sicher.

Internet-Rufnummer - 032Dieses ist eine persönliche Rufnummer und kann nomadisch genutztwerden, es gibt keine geografische Begrenzung.Erreichbarkeit aus dem Internet stellt der Netzbetreiber sicher.


Gesprächsübertragung -Transport der Daten-Das Gespräch wir analog der herkömmlichen Telefoniedigitalisiert und dann anstelle einer exklusiven Leitung in kleinen Datenpaketen parallel zu anderen Daten im Netzwerk übertragen.Der Transport der Daten wir durch das Real-Time Transport Protocol (RTP) realisiert, die Steuerung wir durch das Real-Time Transport Control Protocol (RTCP) war genommen.

Computernetzwerk

EWSD

Paketvermittlung Leitungsvermittlung

10.11.2005


PCM = Puls Code ModulationRTP = Real-time Transport ProtocolUDP = User Datagram Protocol

Gesprächsübertragung -VoIP Übertragungsweg-


Gesprächsübertragung -Übertragungsqualität-

Die Übertragungsqualität hängt im wesentlichen von den Parametern Laufzeit (Latenz, Delay) 150 ms akzeptabel (Mund-zu-Ohr)Laufzeitschwankung (Jitter) schlägt sich auf die Laufzeit niederPaketverlust (packet lost) < 1% akzeptabel (Codec abhängig)

ab.

Damit die subjektive Wahrnehmung der Sprachqualität vom Mund zumOhr, objektiv bewertet werden kann wurde der MOS-Wert eingeführt (MOS - Mean Opinion Score)

Die Sprachqualität auch von konkreter Implementierung abhängig ist, sind u. a. diese Funktionen wichtig sind:

Comfort noiseNahes Echo generieren und Fern-Echo-UnterdrückungAutomatic Gain Control (AGC, automatische Lautstärkeregelung)Voice Activity Detection

10.11.2005


Gesprächsübertragung -Delaybudget-

VoIP-Device VoIP-Device

Router

Router

Dsl-ModemDsl-Modem

LAN

10201030101015Gesamte Delayzeit 105 ms

DecodierungEmpfangspufferLANWANLANCodierungPaketierung

VoIP-DeviceNetzwerkVoIP-Device


Gesprächsübertragung -Bandbreitenmanagement-

Stabiles QoS durch spezielle Protokolle zur Datenpriorisierung

IntServ (Integrated Service)Arbeitet mit RSVP (Resource ReserVation Protocol). Vor der Datenübertragung werden die Ressourcen entlang des Übertragungsweges reserviert. Jeder Router muss die Information währen der kompletten Session behalten.DiffServ (Differentiated Service)Jedes einzelne IP-Paket wird durch das Endgerät markiert, die Router im Netz nutzen diese Info zur Priorisierung.IEEE 802.1p/QPaketpriorisierung auf Layer 2, ähnlich DiffServ aber auf IP-LANs beschränkt.WFQ (Weighted fair Quueing)Der Router nutzt Paket-Header-Informationen wie Protokoll, Adressen Ports, ToS, um den Datenverkehr einzuteilen und diese auf der Ausgangsschnittstelle dyn. gewichtet Bandbreiten zuzuordnen.Windows Size-ManipulationDie Übertragungsgeschwindigkeit von TCP-IP-Sessions kann bei Bedarf durch Manipulation der Windows size beeinflusst werden.Traffic Shaping, Partitionierung, usw.

10.11.2005


ISDN

PSTN

GSM

4,2 =„Toll Quality“

Gesprächsübertragung - Die MOS-Skala -


Codec-Name

Codec-Bitrate (kbit/s)

MOS-Qualität

Algorithmus Sample-Rate (kHz)

Codec-Delay (ms)

Paketierungs-Delay (ms)

G.711 64 4,3-4,4 (4,7) PCM 8 0,125 1G.722 64 16G.722.1 24/32 16G.723.1 5,3 3,5 ACELP 8 37,5 68G.723.1 6,4 3,65-4,0 (3,8) MP-MLQ 8 37,5 68G.726-16 16 3,96 ADPCM 8G.726-24 24 ADPCM 8G.726-32 32 4,0-4,2 ADPCM 8 1 1G.726-40 40 ADPCM 8G.728 16 3,6-4,2 LD-CELP 8 3 - 5G.729 (A) 8 3,9-4,2 (4,3) CS-ACELP 10 15 25iLBC 13,33 4 LPC 8GSM 6.10 13 3,5-3,9 8

Für die Kodierung und Komprimierung der Sprache können verschiedene Codecs eingesetzt:

Gesprächsübertragung - Codecs -

10.11.2005


Ablauf einer VoIP Session anhand von SIP


Fax-over-IPEntweder über einen ATA (Analoger Terminal Adapter), der den G.711-Codec nutzt, da so die Fax-“Töne“ weitestgehend unverfälscht übertragen werden – ist aber problematisch (= störanfällig) bei Delayund Paket Loss(insb. bei Delay-Buffer-Erhöhung -> kurzer „Slip“ = Verzögerung beim Empfang der Sprachdatenpaketen beim Decoder)Oder gemäß ITU T.38 über Fax-Relays arbeiten:

Die Fax-Verbindung terminiert lokal auf dem GatewayStark Szenarien-abhängig, braucht gewisse QoS

Modem-over-IP:Es ist keine komprimierte Übertragung von Modemdaten über VoIP möglichModemverbindungen sollen immer auf dem Gateway terminieren

Übertragung von nicht Sprachdaten -Fax, Modem-

10.11.2005


Kopplung von VoIP mit der klassischen Telefonie(PSTN)

QSC gehört zu den wenigen Carriern mit eigenem „POI-Vollausbau“: über 475 „Point Of Interconnects“ mit der DT AG werden TDM-Sprachverbindungen in das eigene Sprachnetz überführt.

Dieses Sprachnetz wird durch die marktführende Voice-Switch-Technik der EWSDs von Siemens gesteuert.


Kopplung von VoIP mit der klassischen Telefonie(VoIP-VPN)

Zusätzlich hat QSC eine hoch-moderne, IP-basierte Voice Over IP-Infrastruktur aufgebaut.

Zentrale Elemente sind die hoch-performantenund redundanten Softswitche X3000 und Universal Media-Gateways UMG8900 von Huawei.

10.11.2005


Kopplung von VoIP mit der klassischen Telefonie(Internet-Kopplung)

Die VoIP-Infrastruktur der QSC enthältu. a. drei weitere, wichtige

Komponenten:

SIP-Server: dem Softswitch ist einSIP-Express-Router (SER) vorgeschaltet.

Hochleistungs Session Border Controller (SBC) liegenim Übertragungsweg aller VoIP-Verbindungen. Die SBCskümmern sich sehr zuverlässig um alle NAT-Probleme. Im VoIP-SIP-Client ist daher keinerlei Intelligenz erforderlich. Auch sicherheitstechnisch überzeugt das SBC-Konzept: in der Kunden- Firewall ist nur ausgehend der Port zu den IP-Adressen der SBC zu öffnen. Da die SBCs als „Back-to-Back-User Agents“ betrieben werden, leiten sie nur RFC3261-konforme Pakete weiter.

Ein marktführendes, Probe-basiertes QoS-Management und -Monitoing Toolermöglicht es QSC u. a.die MOS-Werte der VoIP-Verbindungen zu überwachen


(VPN-Kopplung)

Sind die Kunden-Lokationen über ein MPLS-basiertes IP-VPN der QSC angebunden, kann QSC weitere, VoIP-relevante Dienste liefern:

Eine auf DSCP-Mapping (der Kunde kann Layer 3 DiffServ-Marking oder Layer 2 802.1p/Q Paket-Priorityim LAN verwenden) basierende, Ende-zu-EndeIP-Priorisierung

Über eine im QSC-IP-Netz plazierteSIP-Proxy- und Firewall-Komponentewerden die VoIP-Daten sicher undschnell vom Kunden-VPNzur QSC-VoIP-Infrastrukturüberführt.

Kopplung von VoIP mit der klassischen Telefonie

10.11.2005


Kopplung von VoIP mit der klassischen Telefonie(LAN über Internet gekoppelt)

Sind die Kunden-Lokationen über einen fremden Internet-Uplink angebunden und soll dieser auch für den VoIP-Traffic mit benutzt werden, ist das hier abgebildete Szenario sinnvoll:

In der Firewall müssen keine VoIP-relevanten Ports geöffnet werden (wenn keine SIP User Agents im LAN eingesetzt werden).

Die QSC-IAD nimmt über eine integrierte IP-QoS-Router-Funktion eine IP-Priorisierung vor, indem sie TCP/IP-Sessions nur so viel Bandbreite gewährt, wie gerade nicht für die VoIP-Kommunikation benötigt wird.


VoIP im Internet versus im VPN –MPLS-Netz-Das physikalische Netz basiert auf MPLS (Multi Protocol Label Switching)Auf diesem Netz sind verschieden „VPNs“ abgebildet, die mit unterschiedlicher QoS-Parametern eingerichtet sind.Kunden VPNs haben verhandelte undvertraglich zugesicherte QoS-Parameter

Internetanderer Provider

PSTN

Internet

MPLS-Netz

VoIP-VPN

Kunden- VPN1

Kunden-VPN2

Kunden-VPNn

10.11.2005


PSTNVoIP VPN

INTERNET

VoIP im Internet versus im VPN -Internet-Internet--Internet-PSTN-

Bei IP wird die Bandbreite von allen Session gleichberechtigt genutzt.Im Internet und auf der Accessltg. wird keine Priorisierung vorgenommen. Einem Download (ftp) wird die max. angebotenen Bandbreite nutzen.


Kunden VPN

INTERNET

VoIP im Internet versus im VPN –VPN-Internet-Download im InternetVoIP-Gespräch Niederlassung – Internet (25+10+30+10+30+10+30=145 ms) VoIP-Gespräch Außendienst (IPsec-Tunnel) - Internet (25+30+10+30+10+30=135 ms)

25 ms

10 ms

30 ms

10 ms30 ms

10 ms30 ms

10 ms

25 ms

30 ms

30 ms

30 ms10 ms

10.11.2005


VoIP im Internet versus im VPN -VPN-PSTN-Download im InternetVoIP-Gespräch Niederlassung – Internet FW am Kundenstandort (25+10+30+10+30+30+12+30=177 ms) VoIP-Gespräch Niederlassung – Internet ProviderLösung (25+10+30+30+12+30=137 ms)

PSTNVoIP VPNKunden VPN

INTERNET

25 ms

10 ms

30 ms30 ms

30 ms12 ms

30ms

10ms

30 ms

25ms

10ms

30ms12ms

30 ms


Sicherheitsrelevante Aspekte von VoIP

Angriff durch Voice Spam (Spit = Spam over Internet Telephony): massenhafte Beschickung von IP-basierten Telefonanschlüssen mit Werbebotschaften, sinnlosen Nachrichten und unerwünschten Inhalten.(Ein SIP-Paket (Ringall)kann alle Telefone eines Unternehmens über Broadcast-ähnliche Klingelrundrufe außer Funktion setzen)Registrations- und Highjacking bei SIP-Telefonen öffentlicher VoIP-Provider

alle über das VoIP-Netz eingehenden Anrufe erreichen den Nutzer nichtCaller ID Spoofing: Vortäuschung einer falschen Anrufer-IdentitätH.323 nutzt 7 bis 11 Ports je Anruf, nur 2 davon sind statisch fixiertProblem, wenn Firewall VoIP- bzw. SIP/H.323-Pakete tiefer inspizieren soll:

Hohe Last für Firewall -> höheres DelayLösungsansatz: Voice-Proxies einsetzen, die der Firewall signalisieren, welche Ports zu öffnen sind und wie z. B. NAT zu handhaben istIETF erarbeitet Vorschlag (Arbeitsgruppe MIDCOM) zur Integration der Proxiesin Firewalls

10.11.2005


Sicherheitsrelevante Aspekte von VoIP -NAT-

Zu VoIP-Endgeräten hinter einer FW mit NAT kann normalerweise kein Gespräch aufgebaut werden.Welche Adresse und welchen Port teilen VoIP-Endgeräte dem Registrierungsserver mit?


Sicherheitsrelevante Aspekte von VoIP –SBC (B2BUA)-

PSTN

VoIP VPN

INTERNET

SBC(B2BUA)

SIP-Server

NAT

Session durch die Anmeldung wird logischvom SBC offen gehalten.Ein externer VoIP-Client nimmt Verbindungzum SIP-Server auf, die aber direkt vomSBC übernommen wird.Der RTP Datenstrom der Cleints wirdjeweils auf dem SBC terminiertWeitere Vorteile:

SPIT kann nicht direkt den ClienterreichenManipulierte Datenpaket werden vom

SBC erkannt

Gesprächsdaten

Signalisierung

Documents

VoIP-Hochschule · PDF fileUniversal Media-Gateways UMG8900 von Huawei. 10.11.2005 3.November 2005 VoIP bei einem Netzwerkbetreiber von Volker Deterding QSC AG 17 Kopplung