Controladores de Sesin de Borde de Sangoma:

Introduccin y
Configuracin Inicial de
los SBC de Sangoma
Ernesto Casas
Entrenamiento Tcnico Introductorio En
Lnea de los SBC de Sangoma
Dos sesiones enfocadas en los productos SBC de Sangoma
Sesin 1: Introduccin y Configuracin Inicial de los SBC de Sangoma
Sesin 2: Configuracin de Perfiles SIP y Troncales en el Sangoma
SBC
Cada sesin tiene un examen en lnea asociado
Una vez los exmenes han sido completados exitosamente,
recibirn un certificado
Certificado de soporte de primer nivel para
SBC de Sangoma

2015 Sangoma Technologies 2

Tablero

Panel de [+] o [-] expandir o

Control colapsar

Panel de Escriba y enve sus

preguntas en este
Preguntas panel

2015 Sangoma Technologies 3

Sesin 1 Contenido
Porque un SBC?
Portafolio de SBCs Sangoma
Casos de uso para Empresas (Vega ESBC)
Casos de uso para Operadores (NetBorder SBC)
Tcnicas de balanceo de carga y failover
Rpida demostracin en vivo
Preguntas

2015 Sangoma Technologies 4

Por que un Session
Border Controller?
Problemas tpicos en VoIP sin un SBC
Los firewalls necesitan ser atravesados correctamente de extreme a extremo
El Protocolo SIP no contempla soportar sus funcionalidades a travs de un NAT/Firewall
Sin SBCs
Abrir puertos o re direccionar para SIP/RTP:
Exponen debilidades de seguridad
Resolverlo con VPNs
Hace mas costoso el manejo e ndice problemas de eficiencia en el uso de recursos e introduce un elemento
mas de gestin de usuarios
El uso de Gateways/Routers/Firewall con Application Layer Gateways (ALG)
Es una solucin, pero esta demostrado que no siempre esta bien implementado e introduce incompatibilidades
asociadas a cada Vendor

2015 Sangoma Technologies 6

Los retos de interoperabilidad de SIP
SIP RFC3261
Uno de los mas extensos RFC
No es una especificacin estricta como pudiese serlo una norma ITU
Usa en su contenido muchas veces palabras como Debera, Puede, Podra,
Opcionalmente, etc.
Al ser simplemente una recomendacin, deja mucho espacio a
interpretaciones
Resultado
Todo el mundo dice ser compatible RFC3261
Pero la Interoperabilidad usualmente es compleja y no esta garantizada!
Para Interoperabilidad extremo-a-extremo, SBC vienen al rescate

2015 Sangoma Technologies 7

Adicionales de Interoperabilidad
No es solo sealizacin SIP
La media (RTP) puede ser tambin requerido que se ajuste para asegurar
comunicacin de extremo a extremo:
Codecs mismatch
Fax T.38/Inband Fax
RFC2833/INFO/Inband DTMF Methods
RTP and SRTP
IPV6 vs IPV4
UDP vs. TCP (ejemplo: MS Lync)
TLS/SRTP interop con SIP/RTP
Firewalls usualmente no pueden resolver esto De hecho no tienen DSP para
procesamiento de media

2015 Sangoma Technologies 8

Asuntos de Seguridad
La conectividad con otras redes IP introducen problemas
de seguridad
Ataques Denial of Service (DoS)
Fraude en la manipulacin de la Media
Exposicin de la topologa (SIP vias, hops, etc.)
Los firewalls usualmente no son capaces de manejar
estos niveles de seguridad a menos que soporten
(SIP ALG)
Pero usualmente no es suficiente

2015 Sangoma Technologies 9

Que es un SBC y para que se usa?
Los SBC se instalan en el borde de las redes de VoIP para
facilitar comunicacin extremo a extremo sin comprometer la
seguridad de la red
Es esencial por varias razones:
Resolver los temas de seguridad introducidos por el uso de SIP
Asegurar interoperabilidad
Los SBC son tpicamente instalados como un B2BUA (Back
to Back User Agent)
Tanto SIP (sealizacin) como Media (RTP) transitan a travs del SBC

2015 Sangoma Technologies 10

B2BUA Explicado
Un B2BUA es un elemento lgico de red definido en
aplicaciones SIP (Session Initiation Protocol)
endpoints
comunicaciones y divide el canal de comunicacin en dos
(call legs)
Intermedia sealizacin SIP entre ambos extremos de la
llamada
B2BUA se implementa usualmente entre compuertas de
media (media gateways)

2015 Sangoma Technologies 11

B2BUA Explicado
SBC

SIP
Normalization
SIP Security SIP
Transcoding
Eth pipe port SIP CDRs
SIP port Eth pipe
RTCP QoS
report
Call Access
Control
Media Management Media
RTP GUI / config RTP
ports DSP resources ports
Etc.

Dado que el SBC ve tanto SIP

como RTP viniendo de ambos
extremos, puede analizarlo,
corregirlo, controlarlo, etc.
2015 Sangoma Technologies 12
 User Agents
SIP UA SIP UA
SBC

SIP
Normalization
SIP Security SIP
Transcoding
Eth pipe port SIP CDRs
SIP port Eth pipe
RTCP QoS
Ellos son back to back!
report
Call Access
Control
Media Management Media
RTP GUI / config RTP
ports DSP resources ports
Etc.

2015 Sangoma Technologies 13

Portafolio Sangoma
Session Border
Controller
Vega Enterprise SBC
Appliance
25-250 Sesiones
H/W DSP aceleracin
1U/2 x 1 GE puertos
Version Software
25-500 Sessions/Self-Contained ISO
VM requirements
1 Core/1 GB RAM/Bridged
Software/Hybrid Version UNICO en el Mercado!
25-500 Sessions/Self-Contained ISO
VM requirements
1 Core/1 GB RAM/Bridged D150
H/W DSP acceleration

2015 Sangoma Technologies 15

NetBorder Carrier SBC
Appliance
250-4000 Sessions
H/W DSP acceleration
1U/2 x 1 GE ports
RAID 1

2015 Sangoma Technologies 16

Resaltantes Todos los SBCs
Simplicidad de Uso
WebGUI configuracin, operacin, respaldo and restauracin, REST API
Licenciamiento Simplificado, Actualizable en campo, todas las funcionalidades son comunes a toda la lnea
Polticas de Sesiones y Media
Manipulacion de encabezados via WebGUI Avanzado o XML, upper registration
NAT traversal, call forking
Seguridad
DDOS attack protection, advanced firewall for signaling and data
Call Routing Avanzado
Advanced WebGUI or XML dialplan, database routing, load balancing
Troubleshooting
PCAP signaling and media capture on the SBC, email notifications
Redundancia/HA
Active - Active or Active - Standby

2015 Sangoma Technologies 17

Simplicidad de Uso
Configuracin basada en WebGUI
operacin, respaldo y restauracin
REST API
Para integrar el SBC en procesos del negocio
Para simplificar y automatizar la configuracin de perfiles (SIP, Troncales, Media, Dial Plan,
etc.)
Licenciamiento simple y actualizable en campo
Todas la funcionalidades disponibles en cualquier versin del producto sin limitaciones
Todo esta incluido: Transcoding, SRTP, voice quality features
Las sesiones/llamadas on actualizables por software
Notificaciones por email
Monitoreo y notificaciones, programable para notificar por email

2015 Sangoma Technologies 18

Politicas de Sesiones
Manipulacin Avanzada de Cabeceras
Tanto GUI como XML de cualquier cabecera SIP en cualquier paquete SIP. INVITE, 180, 183, 200, etc.
Upper Registration Usuarios Remotos
Pass-through registration
Escenarios avanzados de call flow para usuarios remotos
NAT Traversal
Auto IP detection
Call Forking
Mltiples destinos simultneos para una misma llamada.
El primer 200 Ok completa la llamada, para el resto la llamada es cancelada
Soporte para condiciones de Ocupado, no registrado o inactivo
Numero Ilimitado de Perfiles SIP
Numero Ilimitado de Troncales SIP
SIP y Transporte de media
TCP, UDP, TLS, RTP, SRTP

2015 Sangoma Technologies 19

Media y Networking
Procesamiento de Media por Hardware
Sangoma SBCs usan Procesadores DSP para procesar el audio (RTP) tanto interno
como en red
Media pass through de baja latencia
Alta capacidad de transcoding y encripcion any to any
Mejoras en calidad de voz
Cancelacion de eco, reduccin de ruido, control de auto ganancia
Networking
Direccin IP nica para la sealizacin y media
Separado de sealizacin y media
VLAN bonding

2015 Sangoma Technologies 20

Seguridad
Sealizacin
Firewall adaptativo y de tiempo de bloqueo basado en ataques de inundacin de SIP
Paquete mal formado, tormentas de registro, invitar a las inundaciones, los errores de autenticacin
Deteccin de escner SIP y de bloqueo
Deteccin y bloqueo basado en normas
El uso de estndares basados en reglas y exploits conocidos y listas negras
Media
RTP media port pin hole basado en sesin activa
Los puertos RTP solo se abren cuando una sesin esta activa
Deteccin de sobre carga de RTP. En caso de un ataque de inundacin de RTP a un puerto especifico.
Firewall de datos
Advanced state full data firewall
Port forwarding and NAT
DDOS
Bloqueo firewall adaptativo y de tiempo sobre la base de los ataques de inundacin de IP
Deteccin de sniffers IP conocidos y generadores de ataque DDOS

2015 Sangoma Technologies 21

Call Routing Softswitch
Dial Plan basado en GUI Avanzado o XML
Ruteo de llamadas basado en cualquier informacin de la cabecera SIP o DID o IP
Anidamiento de dial plan con uso avanzado deregex matching
Ruteo apoyado en bases de datos
Ruteo con bsqueda en base de datos usando http/https
Ruteo basado en conexin a base de datos va ODBC
Soporte a base de datos Mongo
Balanceo de cargas
Ponderada o round robin entre multiples interfaces SIP dentro de un dominio
Least Cost Routing
Soporte a base de datos local LCR. Importar/exportar LCR dese el GUI
DNS/SRV Routing
DHCP Options

2015 Sangoma Technologies 22

Diagnsticos
Reporte y Notificacin de errores desde el GUI
Representacin grafica de problemas con escala de tiempo
Errores de sistema, sesiones y capacidades
Conteo de mensajes de error
Trazas PCAP
Habilidad de trazar sealizacin y media
No se requiere de puertos espejo externos o hubs. Troubleshooting auto contenido.
Decodificacin PCAP usando Wireshark
Alta capacidad de almacenamiento para almacenar buffers circulares de PCAP para hacer depuracin de larga duracin
Bsqueda RTCP
Bsqueda de llamadas con umbrales malos de RTCP. Notificacin por email de cada llamada mala en RTCP.
Consola SSH y CLI
Habilidad de ejecutar anlisis de logs en tiempo real y traza en consola.
Logging
Extenso logging por llamada marcadas con un UUID
Soporte a Syslog remoto
Proteccin a Hardware Crash
Reboot automtico en bloqueo del sistema o falla de hardware

2015 Sangoma Technologies 23

 Vega Series SBC

Aplicaciones de negocios
y casos de uso
Troncalizacin SIP Empresarial
Con DMZ

IP-PBX
Vega eSBC
SIP SIP SIP
ITSP IP

Directamente con IP publica

IP-PBX
Vega eSBC
SIP SIP SIP
ITSP IP

2015 Sangoma Technologies 25

Secure Access Control para Usuarios Remotos
External Internal
FW/NAT FW

IP-PBX
Vega eSBC
SIP SIP SIP
ITSP IP

Ext 101

SIP

Vega eSBC:
Home Office, Pass-through SIP registration on IP-PBX
Usuarios Mobiles, Remote FW/NAT traversal
Oficinas Remotas Call Admission Control
Topology Hiding
TLS and SRTP encryption
No VPN required
Ext 102

2015 Sangoma Technologies 26

Consolidacin Multi-Sitios
IP-PBX
Vega eSBC
SIP SIP SIP
ITSP IP

SBC:
Reduccion de PRIs IP-PBX

Realiza las funciones de seguridad SIP WAN

SIP

SIP Armonizacin
Medios Armonizacin
IP-PBX
Ruteo Inteligente
WAN SIP
Planes de marcado sofisticados

2015 Sangoma Technologies 27

Migracin de Legacy PBX a Microsoft Lync
IP-PBX

SIP

Vega eSBC
SIP
ITSP
Mediation Lync
Server Server

SIP

Active
Directory

Lync
User
SBC: Armonizacin de Media
Realiza las funciones de Ruteo Inteligente
seguridad SIP Enrutamiento de Active
UDP/TCP Traduccin Directory
SIP Armonizacin Dial Plan Unificado

2015 Sangoma Technologies 28

Transicin Microsoft Lync Transicin con Lneas Anlogas
Vega 5000
Analog
5000

SIP

Vega eSBC
SIP
ITSP Mediation Lync Lync
Server Server User

SIP

Active
Directory

SBC: Armonizacin de Media

Realiza las funciones de Ruteo Inteligente
seguridad SIP Enrutamiento de Active
UDP/TCP Traduccin Directory
SIP Armonizacin Dial Plan Unificado

2015 Sangoma Technologies 29

Conversin Sealizacin SIP
Convertir SIP sobre TCP a SIP sobre UDP
Algunos dispositivos requieren SIP/TCP
Por ejemplo Microsoft Lync

2015 Sangoma Technologies 30

 NetBorder Series SBC

Aplicaciones y casos de
uso Carrier/Service
Provider
 Residential

NAT/FW
SIP
Softswitch

SIP

Residential
ITSP SBC NAT/FW ATA
Broadban
SIP SIP SIP
d

SBC: SOHO
Realiza las funciones de seguridad SIP SIP
Intercambio con otros proveedores de SIP
Armonizacin SIP NAT/FW
Armonizacin de Medios
Extremo lejano NAT Trasversal SIP
Call Admission Control

2015 Sangoma Technologies 32

Carrier SBC para Hosted PBX
Ventajas
Punto de demarcacin Conocido
Reduce los problemas de interoperabilidad/recursos con el core
Transcodificacin si es necesario
VoIP Service
Provider

LAN VoIP

IP Network

Multi-Tenant
IP Phones IP PBX

2015 Sangoma Technologies 33

SIP Trunking
Este SBC protg la
infraestructura del Proveedor

2015 Sangoma Technologies 34

SIP Network Peering/IP Carrier Interconnect
Utilice IP para enlaces entre Operadores
Ninguna conversin TDM es requerido:
Disminuya la complejidad
Una mejor calidad de voz, menos retrasos, menos transcodificacin

2015 Sangoma Technologies 35

Mediacion en la Interconexion de Carrier
Red de Carrier Segura
Normalizacin SIP (Simplifica Interop)
Transcodificacion entre carriers

2015 Sangoma Technologies 36

SBC Balanceo de Cargas
y Tcnicas de Failover
Implementacin Tpica de Carrier
Servicio Hosted PBX
far end etc.
Cada telfono VoIP enva todos los mensajes del protocolo SIP para Softswitch de
SP a travs de SBC (configuracin de proxy salientes del telfono)
SBC es crtico; si no hay servicio para 1000s de los usuarios

Router
NAT
FW

Internet Service
Provider
Softswitch

2015 Sangoma Technologies 38

Estructura de los DNS SRV Records
_Service.Proto.Name TTL Class SRV Priority Weight Port Target

Service: Nombre simblico del Servicio deseado.

Proto: The Protoolo del servicio deseado; usualmente TCP o UDP.
Name: Nombre del dominio para el cual este registro es valido.
TTL: Campo DNS time to live estndar.
Class: Campo de clase DNS (siempre es IN en este caso).
Priority: Prioridad del host objetivo, a menor valor, mayor preferencia.
Weight: Peso relativo del registro dentro de una misma prioridad.
Port: Puerto TCP o UDP en el cual el servicio es encontrado.
Target: El nombre cannico de la maquina que provee el servicio.

Ejemplo: Un abusqueda de sangomapbx.com podra arrojar:

_sip._udp.sangoma.com 60 IN SRV 1 50 5060 sip1.sangomapbx.com
_sip._udp.sangoma.com 60 IN SRV 1 50 5060 sip2.sangomapbx.com

2015 Sangoma Technologies 39

Balanceo de Cargas Usando DNS/SRV
sbc1 Domain: carrier.com
Router 10.10.0.10
NAT
FW

Service
Internet
Provider

Softswitch
sbc2
DNS Server 10.10.0.20

Prioritarios y peso entradas

1
mismos: DNS SRV
SBC1 y SBC2 obtendran
_sip._udp.carrier.com 60 IN SRV 10 50 5060 sbc1.carrier.com
cada uno el 50% de la carga _sip._udp.carrier.com 60 IN SRV 10 50 5060 sbc2.carrier.com
de trfico
Si uno SBC no est
2
disponible, la mquina
DNS A Record Query
restante lleva la carga
sbc1.carrier.com = 10.10.0.10
sbc2.carrier.com = 10.10.0.20

2015 Sangoma Technologies 40

Failover SBCs con DNS SRV
sbc1 Domain: carrier.com
Router 10.10.0.10
NAT
FW

Service
Internet
Provider

Softswitch
sbc2
DNS Server 10.10.0.20

Diferentes prioridades
1
Baja Prioridad se intenta en
DNS SRV Record Query for carrier.com
primer lugar:
_sip._udp.carrier.com 60 IN SRV 10 100 5060 sbc1.carrier.com
sbc1.carrier.com _sip._udp.carrier.com 60 IN SRV 20 100 5060 sbc2.carrier.com
Si sbc1.carrier.com no
disponible:
2
sbc2.carrier.com
DNS A Record Query

sbc1.carrier.com = 10.10.0.10
sbc2.carrier.com = 10.10.0.20

2015 Sangoma Technologies 41

DNS SRV: Diversidad de Otros Escenarios
DNS SRV No estn limitados a 2 lneas de registro
Se pueden implementar mltiples escenarios:
M-ways load balancing
M-ways load balancing; N-way failover

Por ejemplo:
_sip._udp.carrier.com 60 IN SRV 10 60 5060 sbc1.carrier.com
_sip._udp.carrier.com 60 IN SRV 10 20 5060 sbc2.carrier.com
_sip._udp.carrier.com 60 IN SRV 10 10 5060 sbc3.carrier.com
_sip._udp.carrier.com 60 IN SRV 10 10 5060 sbc4.carrier.com
_sip._udp.carrier.com 60 IN SRV 20 0 5060 sbc5.carrier.com

Los primeros 4 SBC comparten la carga a 60%, 20%, 10% y 10% respectivamente
Si los primeros 4 SBCs quedan sin disponibilidad, sbc5 tomara toda la carga

2015 Sangoma Technologies 42

SBC Demostracin I
SBC Tutorial
Para el tutorial, vamos a cubrir los siguientes temas:
Inicio de sesin en el SBC
Descripcin general del sistema y los servicios
Configuracin de los interfaces de sealizacin
Configuracin de los interfaces de medios

2015 Sangoma Technologies 44

SBC Estado del Sistema

2015 Sangoma Technologies 45

Interfaces de Sealizacin

Se muestra cada interfaz que se utiliza para la sealizacin, con la posibilidad de editar la interfaz
El usuario puede crear mltiples interfaces virtuales
Mltiples interfaces virtuales pueden crearse y aplicarse a una sola interfaz fsica
El usuario puede crear interfaces VLAN si el SBC est sentado en una VLAN especfica
Mltiples interfaces de VLAN se pueden aplicar a una nica interfaz fsica

2015 Sangoma Technologies 46

Interfaces de Sealizacin Configurando una Interface

Configuracin simplista de interfaz de sealizacin

Seleccione ya sea de una asignacin de IP esttica o una asignacin de DHCP dinmico
Aplicar una direccin IP adecuada y la mscara de red para la interfaz
Las opciones pueden ser una variacin de cualquier opcin ethtool Linux Ethernet
Ex. speed 1000 duplex full autoneg off

2015 Sangoma Technologies 47

Interfaces Sealizacin sngdsp
La Interface SNGDSP es especial dentro del SBC
Esta controla todas las interacciones con los
adaptadores de Media (DSP)
Cuando se configura el SBC, la interface sngdsp puede
-routable
address
Configuracin de la direccin IP depende de si va a configurar
los adaptadores de medios en el modo expuesto u oculto. Esto
se explicar cuando hablemos de las interfaces de medios.

2015 Sangoma Technologies 48

Interfaces de Media

Describe la forma como se configuran las interfaces de media y los detalles de informacin de cada
adaptador de DSP
Configuracin Media Server es el mtodo en el que se configuran los DSPs
Modo oculto esconde los DSPs de la red
El modo expuesto expone los DSPs para hacia la red
Si en el modo de exposicin, cada DSP debe tener una direccin IP enrutable configurada
Modo de Software identifica que no hay interfaz SngDsp instalado (Tomar en cuenta limitaciones)
Transcodificacin y TLS/SRTP se desactivan
Cada interfaz SngDsp vendr con adaptadores preinstalados. Esto depender de la versin de
hardware del SBC que se compra (Vega, NetBoder, Hibrida).
La versin de DSP, la direccin MAC y puertos IP y RTP asignados aparecern
Puede editar cada uno individualmente, si es necesario

2015 Sangoma Technologies 49

Interfaces de Media Configuracin

2015 Sangoma Technologies 50

Preguntas?
Hora de tomar el examen!
Despues del cierre de esta session de hoy, usted recibira un
correo electronico con:
Un enlace al examen en linea, asi como una copia de esta presentacion
Para poder acceder la seccion del examen, usted debera usar el
mismo correo electronico con el que se registro hoy en esta
session
El examen estara disponible por 2 semanas para ser completado
Tomelo ahora que tiene la informacion fresca!
Buena suerte!

2015 Sangoma Technologies 52

Gracias!
Prxima Sesin
Sesin 2:
Configuracin de Perfiles SIP y Troncales en el SBC de Sangoma

Se enfocara en configuracin del Session Border Controller

Time: 11am 1pm EDT 10am 12pm CDT 4 7pm CET

Date: Jueves, 22 de Enero 2015

Sesin URL y Registro:

https://attendee.gotowebinar.com/register/6845224406415826178

2015 Sangoma Technologies 54

Otros Cursos
Entrenamiento Tcnico Avanzado Curso (presencial, un da):
SBCs de Sangoma Miami Beach, US
Fecha: Martes, 27 de Enero 2015
Hora: 9am-5pm EST | Miami Beach Convention Center

Registrarse aqu:
http://www.eventbrite.com/e/sangoma-advanced-technical-
certification-course-session-border-controllers-miami-beach-us-
registration-14786182871?aff=oittsbc

2015 Sangoma Technologies 55