ETK networks Technical Workshop 2012 Ralf Neuhäusel, Technical Account Manager, D/A/CH
Acme Packet Überblick 01/31/12 Acme Packet www.acmepacket.com 2
Wer ist Acme Packet? Who is Acme Packet? 850+ Employees Global Sales & Support Extensive Partner Network Acme Packet founded 2002 2006 2008 2010 2012 2000 2005 2007 2009 2011 IPO NASDAQ: APKT
Wer ist Acme Packet? Who is Acme Packet? 1000+ SP customers Overall market leader Field-proven solutions Acme Packet founded 200+ SP Customers 2002 2006 2008 2010 2012 2000 2005 2007 2009 2011 Birth of the SBC IPO NASDAQ: APKT
Wer ist Acme Packet? Who is Acme Packet? 6 Enterprise Customers 600+ Enterprise 1093 SP Customers Only Market pure-play leader IP Proven Proven experience enterprise + technology solutions Acme Packet founded 200+ SP Customers 2002 2006 2008 2010 2012 2000 2005 2007 2009 2011 Birth of the SBC IPO NASDAQ: APKT Named market leader in E-SBCs (Infonetics, April 2011)
Gründe für eine Migration zu IP only und was dabei zu beachten ist 01/31/12 Acme Packet www.acmepacket.com 6
Unterschiedliche Ausgangspunkte History influences the future PBX Vendor Devices E-Mail/ Calendar Instant Messaging Data HW Vendor VoIP Networks Team Workspaces Applications Conferences Operating System and SW Vendor
Portfolio of Real Time IP Communications Solutions for Enterprises A centralized view Communications experience manager Apps & recording Application integration Dial plan management, routing and directory services integration Enterprise session manager Security & interoperability Session border controller SIP trunking Communication Consolidation UC integration Lync Contact center Video Hosted services
Aufgaben des SBC (Session Border Controller) Normalizes SIP protocol differences Transcodes to any required format Offloads encryption processing from IP-PBX/Mediation Server Balances loads across multiple IP-PBX/Mediation Servers Protects against threats and overloads Routes calls to optimize service provider costs G.711 G.729 G.722 MORE Attacks SIP Trunk PSTN End-point IP-PBX Enterprise Session Border Control SIP Trunk PSTN End-point 9
B2BUA- SIP Prozess Net Net Session Director (SD) ist ein SIP B2BUA. Eine eingehende SIP Sessions wird terminiert und als eine neue Session wieder erzeugt. Somit ist eine sichere kontrollierte Verbindung durch den SD gewährleistet. - NAPT established - SDP Der SIP- Header wird insofern manipuliert, so dass der Verkehr durch den SD geleitet wird. - Modifiziert SIP Headers um die jeweiligen IP Adressinformationen zu unterdrücken und somit neue Call ID# zu generieren B2BUA anstelle SIP Proxy
Und was macht der SBC genau? monitor BW? Other IP subscribers PSTN Hosted or outsourced services IWF IPv4/v6? Topology Hiding?! MPLS IWF (TCP/UDP, SIP- Flavours, DSCP,...) Who protects my IP-PBX? Who controls QoS? Headquarters H.323 IP-PBX CC SBCs do! MPLS VPN MPLS VPN SIP SIP Internet UC Segregate Sig&Media into VPNs? Who terminates encryption? IWF to H.323? RO Regional office BO Branch office SOHO Mobile user Nomadic user NAT- Traversal? 11
Ich habe doch eine Firewall, warum benötige ich noch einen SBC? 01/31/12 Acme Packet www.acmepacket.com 12
SBCs bieten mehr Security und Flexibilität Firewalls sind nicht für Real- Time IP Kommunikation konstruiert - Service Qualität -> Erzeugen Jitter und Latency - Können keine Carrier Class Verfügbarkeit liefern (Gespräch bleibt erhalten bei Failover) - Betrachten nur die Security auf Layer 2-4 - Limitierte Skalierbarkeit (wegen unterschiedlicher Struktur der Datenpakete) - Öffnen/schließen RTP Media Ports in Sync mit SIP Signalling - Können keinen Sessionstatus tracken und somit keinen unterbrechungsfreien Service liefern Session-Layer Security SIP DoS/DDoS prevention Terminate/reoriginate sessions Dynamic access control Firew all SBC Topology hiding VPN separation Voice spam protection Fraud prevention Encryption Real Time IP Traffic kann nur durch einen SBC wirkungsvoll geschützt werden
SBCs im Vergleich zu Firewalls/SIP ALGs SBC (B2BUA) Firewall with SIP ALG Data centre Data centre SIP trunk Terminiert, re-iniziiert und iniziiert die Signalisierung & SDP Zwei Sessions - eine an jeder Seite des Systems Layer 2-7 state aware Überprüft und modifiziert jede Applikation Layer Header Info (SIP, SDP, etc.) Statische & dynamische ACLs Der SBC betrachtet die ganze SIP Session SIP trunk Kann keine Terminierung, Iniziierung und Re-inizierung der Signalisierung & SDP Einzelne Sessions durch das System Nur Layer 2-4 state aware Überprüft und modifiziert nur die Applikation Layer Adressen (SIP, SDP, etc.) Static ACLs only 14
SBC & Firewall Anwendung Getrennte Kontolle der Real- Time Applikationen und des traditionellen Datentraffic Erhält das getrennte Management (falls dies gefordert wird) Keine Änderung/Anpassung der bestehenden Firewall Konfiguration notwendig Maximiert die Performance Je mehr kleine Pakete desto höher die Belastung Kein Einfluss auf die Sprachqualität Keine zusätzliche Latency und Jitter durch die Firewall SBC Media Latency ist kleiner als 10 Microsekunden Data Firewall SIP Carrier Data Network o. VLAN Carrier Termination Router Acme Packet SBC VoIP Network o. VLAN 15
Konkrete Bedrohungspotenziale In einem VoIP SIP Enviroment können DoS Attacken auf unterschiedlichen Layer und/oder Protokollen stattfinden Eine Überlastung der Netzwerk Control Prozesse der einzelnen Schnittstellen/Ports durch eine Überflutung mit den genannten Paketen Auf dem Data Link Layer -ARP Flood Auf dem Transport Layer -UDP Flood -TCP /SYN Flood Auf dem Application Layer (Signalling) - REGISTER Flood - Invite Flood Auf dem Application Layer (Media) -RTP Flood Weitere Gefahr: Missbrauch und Betrug Man in Middle Eavesdropping & Session Hijacking 16
Deploy Platform for Communications Rich Applications WebRTC Transform enterprise collaboration CRM Integration Opportunity New levels of productivity Interact with customers in new ways Mobility/BYOD Lync Environment Lync Server Session Layer Session Manager PSTN SIP trunk Web 2.0 application platform App Server Application Integration Trunk-side WebRTC gateway Embedded web server Consolidated recording Mobile App Integration Call Center Productivity Session Border Controller Compliance Recording
Komplette E-SBC Produktlinie Sessions 25-1K 150-8K 500-16K Net-Net ESD-SE Net-Net ESD-3820 Net-Net ESD-4500 25-250 Net-Net ESD-VME Low-Med. Capacity Small-Med. und Distributed Enterprise Up to 5,000 Users* Mid-Range Medium-Large Enterprise 750-40,000 Users* High Capacity Large Enterprise 2,500-80,000 Users* * Based on 5:1 SIP trunk ratio 18
Europäische Reiseagentur Business Objectives Contact center modernization TDM to IP CC virtualization Utilize soft phones Improve enterprise communications Introduce UC Operating cost reductions Call flow optimization
Key technical challenges SIP trunk connectivity at two UK data centers Separate trunks for compliance to CC locations in DE, FR, UK and CH 3,000 sessions for CC Interoperability between Avaya Aura CC and SIP trunk provider TCP/UDP, numbering and signaling Security (topology hiding, etc.) Call admission control Monitoring for partner s operations team Central break-in/out in 5,000 sessions for office UC (MS Lync) 20
Key technical challenges SIP trunk connectivity at two UK data centers SP Separate trunks for compliance to CC locations in DE, FR, UK and CH 3,000 sessions SBC for CC SBC Interoperability between Avaya Aura CC and SIP trunk provider TCP/UDP, DC 1numbering and signaling DC 2 Security (topology hiding, etc.) Call admission control Monitoring for partner s MPLS operations team Central break-in/out in 5,000 sessions for office UC (MS Lync) DE FR UK CH?? 21
Winning strategy Competitors E-SBC inertia Why we won Long term reseller relationship Security, interoperability and interworking features Benefits realized by the customer Eliminate local TDM trunks and media GW contact center virtualization enabled call delivery across all CC location skill based, capacity based etc. Increased closure ratios w/ rationalized staff and facilities Overall cost reduction w/ improved business agility 22
Thank you Acme Packet www.acmepacket.com 23