CN1250017C - 把分布式防火墙用于分载因特网协议语音业务的软交换器 - Google Patents
把分布式防火墙用于分载因特网协议语音业务的软交换器 Download PDFInfo
- Publication number
- CN1250017C CN1250017C CN 02132365 CN02132365A CN1250017C CN 1250017 C CN1250017 C CN 1250017C CN 02132365 CN02132365 CN 02132365 CN 02132365 A CN02132365 A CN 02132365A CN 1250017 C CN1250017 C CN 1250017C
- Authority
- CN
- China
- Prior art keywords
- server
- master
- backup
- address translation
- network address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种能够管理呼叫设备与被呼叫设备之间的因特网协议语音(VoIP)业务的交换器。该交换器包括:1)执行呼叫进程服务器应用的呼叫应用节点,其中,第一呼叫进程服务器应用和相似的第二呼叫进程服务器应用形成第一分载群服务器应用;和执行防火墙服务器应用的网络地址转换节点。在第一网络地址转换节点上执行的第一防火墙服务器应用与在与第一网络地址转换节点分离的第二网络地址转换节点上执行的相似第二防火墙服务器应用相联系。第一和第二防火墙服务器应用形成第二分载群服务器应用。第二分载群服务器应用接收VoIP业务和选择第一和第二防火墙服务器应用之一,以便根据负载分配算法,核实那个VoIP业务是否被授权访问所述呼叫应用节点中的呼叫进程服务器应用的至少一个。
Description
本发明要求2001年9月27日提出的美国临时专利申请第60/325,247号的优先权。
相互参考相关申请
本发明与在如下美国专利非临时专利申请中公开的那些发明有关:
1)[Docket No.SAMS01-00186],filed December 31,2001,entitled″SYSTEM AND METHOD FOR DISTRIBUTED CALL PROCESSING USINGLOAD SHARING GROUP;″
2)[Docket No.SAMS01-00187],filed December 31,2001,entitled″SYSTEM AND METHOD FOR DISTRIBUTED CALL PROCESSING USINGA DISTRIBUTED TRUNK IDLE LIST;″
3)[Docket No.SAMS01-00188],filed December 31,2001,entitled″DISTRIBUTED IDENTITY SERVER FOR USE IN ATELECOMMUNICATION SWITCH;″和
4)[Docket No.SAMS01-00189],filed December 31,2001,entitled″SYSTEM AND METHOD FOR PROVIDING A SUBSCRIBER DATABASEUSING GROUP SERVICES IN A TELECOMMUNICATION SYSTEM.″
上述申请共同转让给本发明的受让人。把这些相关专利申请的公开文本插在这里,以供参考。
技术领域
本发明一般涉及电信系统,尤其涉及利用分布式防火墙提供因特网协议语音(VoIP)业务的分载(load sharing)的交换器。
背景技术
电信提供商不断地为电信服务和设备建立新市场和扩展现有市场。达到这个目的的一种重要途径是,在使设备更便宜、更可靠的同时,改善电信网络设备的性能。这样做使电信提供商能够在保持或甚至提高他们网络的能力的同时,降低基础设施和运行成本。同时,电信服务提供商致力于改善服务质量和增加最终用户可得到的服务的数量。
一种越来越普及的电信服务是因特网协议语音(VoIP)。VoIP是一种使用户能够在因特网协议(IP)网络上传送语音业务(例如,打电话、传真、和其它数据)的应用。VoIP应用把语音信号业务分段成帧,并且把它们存储在语音分组中。语音分组通过利用任何传统多媒体(即,语音、视频、传真、和数据)协议的网络传输。这些协议包括H.323、IPDC、媒体网关控制协议(MGCP)、会话启动协议(SIP)、Megaco、会话描述协议(SDP)、和Skinny等等。对于因特网电话来说,SIP和H.323尤其重要。
会话启动协议(SIP)是一种利用重定向模式(Redirect Mode)的、用于VoIP实现的应用层控制信令协议。SIP是一种文本性客户机服务器基协议,它提供必要的协议机制,以便最终用户系统和代理服务器能够提供不同的服务,包括呼叫转发、被呼叫和呼叫号识别、多点播送会议邀请、和基本自动呼叫分配(ACD)。可以把SIP地址(例如,URL(统一资源定位地址))嵌在网页中,以便提供简便的‘点击谈话’服务。
H.323是一种国际电信联盟(ITU-T)标准,它包括为基于分组的网络定义实时多媒体通信的一组标准。H.323定义一组呼叫控制、信道建立、和编解码技术规范,用于在不能提供保证服务或服务质量的网络上传输实时语音和图像。网络可以包括分组网络(尤其是因特网)、局域网络(LAN)、广域网(WAN)、和内联网。
由于如下原因,VoIP的主要好处是节约费用:
1)语音和数据只穿过一条线传播到家里,或只穿过单个IP网络传播到公司;
2)把语音转换成数字分组和直接放到因特网上,完全避开电路交换器或电话公司和他们的费用;和
3)IP网络利用非常易于用软件升级的灵活“软”交换器。IP电话网关占据比电路交换器小得多的空间,并且具有相当低的电源和致冷要求。
电信软交换器通常应用网络地址转换节点(NAT)/防火墙节点(FN)来保护软交换器的内部工作。NAT/防火墙执行网络地址转换功能,这个功能提供暴露给外部分组网络的公开IP地址。NAT功能把来自内部网络的秘密IP地址转换成公开地址,和反过来。防火墙功能可以是几种类型之一,包括分组过滤器、电路网关、应用网关、或可信网关。传统防火墙是通过主机和路由器的组合实现的。路由器可以在分组层次上控制业务,根据端口号的源或目的地地址承认或否认分组。这种技术被称为分组过滤。主机可以在应用层次上控制业务,根据业务的更详细和协议相关的检查承认访问控制。检查和转发分组业务的过程被称为代理。
遗憾的是,传统防火墙系统提供了这些基于预定工作分配的能力。对于源自IP网络的呼叫,这依赖于负载的静态分配。此外,当软交换器被缩放成较大或较小规模时,传统防火墙系统受到限制。在以前的方法中,缩放往往牵涉到静态改变配置和被要求停止。
因此,需要用在电信系统中的改进防火墙系统。尤其是,需要可以容易地被缩放成较大或较小规模的防火墙系统。更进一步,需要对于源自IP网络的呼叫,不依赖于业务负载的静态分配的网络防火墙。
发明内容
为了解决现在技术的上述缺陷,本发明的一个基本目的是提供一种能够管理呼叫设备与被呼叫设备之间的因特网协议语音(VoIP)业务的交换器;根据本发明的优选实施例,该交换器包括:1)能够执行呼叫进程服务器应用的数个呼叫应用节点,其中,第一呼叫进程服务器应用是在数个呼叫应用节点的第一个上执行的,并且与在与第一呼叫应用节点分离的数个呼叫应用节点的第二个上执行的相似第二呼叫进程服务器应用相联系,从而第一和第二呼叫进程服务器应用形成第一分载群服务器应用;和2)能够执行防火墙服务器应用的数个网络地址转换节点,其中,第一防火墙服务器应用是在数个网络地址转换节点的第一个上执行的,并且与在与第一网络地址转换节点分离的数个网络地址转换节点的第二个上执行的相似第二防火墙服务器应用相联系,从而第一和第二防火墙服务器应用形成第二分载群服务器应用,其中与VoIP呼叫相联系的VoIP业务通过第二分载群服务器应用接收,和第二分载群服务器应用选择第一和第二防火墙服务器应用之一,以便根据负载分配算法,核实那个VoIP业务是否被授权访问呼叫应用节点中呼叫进程服务器应用的至少一个。
根据本发明的一个实施例,负载分配算法以交替方式在第一和第二防火墙服务器应用之间分配VoIP业务。
根据本发明的另一个实施例,负载分配算法根据第一防火墙服务器应用的当前业务负载和第二防火墙服务器应用的当前业务负载分配VoIP业务。
根据本发明的另一个实施例,负载分配算法分配VoIP业务,以便保持第一防火墙服务器应用的当前业务负载在数量级上基本上等于第二防火墙服务器应用的当前业务负载。
根据本发明的另一个实施例,第一防火墙服务器应用包括第一原版-备份群服务器应用,其中,第一原版-备份群服务器应用包括在第一网络地址转换节点上执行的第一原版防火墙进程和与第一原版防火墙进程相联系的第一备份防火墙进程。
根据本发明的另一个实施例,与第一原版防火墙进程相联系的状态信息被反射成与第一原版防火墙进程相联系的第一备份防火墙进程。
根据本发明的另一个实施例,第一备份防火墙进程存在于第一网络地址转换节点上。
根据本发明的另一个实施例,第一备份防火墙进程存在于与第一网络地址转换节点分离的网络地址转换节点上。
在本发明的一个实施例中,第二防火墙服务器应用包括第二原版-备份群服务器应用,其中,第二原版-备份群服务器应用包括在第二网络地址转换节点上执行的第二原版防火墙进程和与第二原版防火墙进程相联系的第二备份防火墙进程。
在本发明的另一个实施例中,与第二原版防火墙进程相联系的状态信息被反射成与第二原版防火墙进程相联系的第二备份防火墙进程。
在本发明的另一个实施例中,第二备份防火墙进程存在于第二网络地址转换节点上。
在本发明的另一个实施例中,第二备份防火墙进程存在于与第二网络地址转换节点分离的呼叫应用节点上。
前述内容相当概括地勾画了本发明的特征和技术优点,使得本领域的普通技术人员可以更好地理解如下本发明的详细描述。下文将描述本发明的其它特征和优点,它们形成本发明权利要求书的从属部分。本领域的普通技术人员应该体会到,他们可以容易地把作为基础公开的概念和特定实施例用于修改或设计实现本发明相同目的的其它结构。本领域的普通技术人员还应该认识到,这样的等效构造并不偏离本发明在其最概括形式下的精神和范围。
在着手进行如下“本发明的详细描述”之前,说明一下自始至终用在这个专利文件中的某些词汇和短语的定义是有利的:术语“包括”和“由…组成”,以及它们的派生词指的是内含,而非限制;术语“或”是内含的,指的是“和/或”;短语“与…相联系”和“与之相联系”,以及它们的派生词可以指包括、包括在…内、与…互连、包含、包含在…内、与…连接、与…耦合、可与…通信、与…协作、交织、并列、近似于、与…结合、具有、具有…的特性等;和术语“控制器”指的是控制至少一种操作的任何设备、系统和它们的部件,这样的设备可以以硬件、固件或软件、或它们的至少两种的某种组合的形式实现。应该注意到,与任何特定控制器相联系的功能无论是本地的还是远程的,都可以是集中的或分布式的。某些词汇和短语的定义在这个专利文件中自始至终是有效的,本领域的普通技术人员应该明白,即使不是在大多数情况下,也是在许多情况下,这样的定义可应用于现有技术,以便这样定义的词汇和短语的将来用法。
附图说明
为了更全面地理解本发明,及其优点,现在结合附图介绍如下描述,在附图中,相同的标号表示相同的对象,其中:
图1显示了根据本发明一个实施例的、能够实现VoIP应用的示范性电信网络;
图2显示了根据本发明第二施例的、能够实现VoIP应用的示范性电信网络;和
图3显示了在根据本发明一个实施例的、能够实现作为分布式分载群的网络地址转换功能和防火墙功能的电信网络中示范性软交换器的所选部分。
本发明的详细描述
如下讨论的图1到3、和在这个专利文件中用于描述本发明的原理的各种实施例只是为了举例说明,无论如何不应该解释为对本发明范围的限制本领域的普通技术人员应该明白,本发明的原理可以在任何适当安排的电信网络中实现。
图1显示了根据本发明一个实施例的、能够实现VoIP应用的示范性电信网络100。电信网络100由如下部件组成:一个或多个软交换器105、路由器150、因特网协议(IP)分组网络160、一个或多个会话启动协议(SIP)/H.323电话170、媒体网关175、无线网络(WN)基本收发器子系统(BTS)180、和票据服务器185。软交换器105由如下部件组成:呼叫进程应用节点(CAN)115A、115B和115C(分别标为CAN1、CAN2和CAN3)、通信服务器节点(CSN)120A和120B(分别标为CSN1和CSN2)、操作、管理、维护和供应(OAMP)模式125A和125B(分别标为OAMP1和OAMP2)、和网络地址转换(NAT)和防火墙节点110A、110B、110C、110D和110E(分别标为NAT1、NAT2、NAT3、NAT4和NAT5)。CAN 1-CAN3、CSN1和CSN2、OAMP1和OAMP2、和NAT1-NAT5通过内部以太网130耦合,和穿过内部以太网130通信。
软交换器105和其它类似软交换器(未示出)把交换和其它服务提供给SIP/H.323电话170、媒体网关175、WNBTS 180、和票据服务器185。这些服务可以包括电话到电话、电话到PC(个人计算机)、传真到电子邮件、电子邮件到传真、传真到传真、呼叫中心应用、VPN(虚拟个人网络)、IP电话等。媒体网关175把配备在一种类型网络(即公共交换电话网(PSTN))中的媒体(即、语音、视频、音频、传真)转换成交换器105中VoIP网络所需的格式。例如,媒体网关175可以终止来自交换电路网络(例如,SS7)的荷载信道和来自分组网络的媒体流。SIP/H.323电话170能够通过软交换器105把呼叫发送到其它SIP/H.323电话,和从其它SIP/H.323电话接收呼叫。此外,SIP/H.323电话170还能够通过软交换器105把呼叫发送到连接到与媒体网关175耦合的公共交换电话网(PSTN)的电话,和从这样的电话接收呼叫。并且,SIP/H.323电话170能够通过软交换器105把呼叫发送到与无线网络BTS180通信的有线电话和其它无线接入终端,和从它们那里接收呼叫。
呼叫应用节点115A、115B和115C(CAN1-CAN3)执行被组织成原版和备份进程的许多呼叫进程(CP)服务器应用,这些原版和备份进程适合于作为分布式群服务用于SIP/H.323电话170、媒体网关175、无线网络基本收发器子系统180、和票据服务器185。呼叫应用节点是由处理器和存储器组成的计算节点,这些计算节点通过更多呼叫应用节点,最多多达N个节点的简单相加,提供可缩放性和冗余。
在CAN1-CAN3上执行的呼叫进程的每一个管理发送到SIP/H.323电话170、媒体网关175、WN BTS 180、和票据服务器185或从它们那里接收的控制信号和消息。SIP/H.323电话170、媒体网关175、WN BTS 180、和票据服务器185的每一个都分载群建立会话,分载群把每个呼叫指定给在CAN1-CAN3上执行的原版-备份群呼叫进程服务器应用的特定一个。所选呼叫进程服务器应用实际上执行呼叫进程客户机应用所请求的呼叫进程服务/功能。
类似地,NAT1-NAT5执行被组织成原版和备份进程的许多网络地址转换和防火墙应用,这些原版和备份进程适合于作为分布式(即,分载)群服务用于SIP/H.323电话170、媒体网关175、无线网络基本收发器子系统180、和票据服务器185。通信服务器节点120A和120B(CSN1和CSN2)终止SS7链接和管理MTP层1-3。CSN1和CSN1也可以被组织成适合于作为分布式(即,分载)群服务的原版和备份进程。
图3显示了在根据本发明原理的、能够利用群服务实现作为分布式分载群的网络地址转换功能和防火墙功能的电信网络中示范性软交换器150的所选部分。在所示的实施例中,正在执行3个示范性呼叫进程服务器应用,即,CP1、CP2和CP3。这些进程的每一个以原版-备份群形式存在。因此,CP1以原版进程CP1(P)和备份进程CP1(B)形式存在。同样,CP2以原版进程CP2(P)和备份进程CP2(B)形式存在,和CP3以原版进程CP3(P)和备份进程CP3(B)形式存在。
在所示实施例中,CP1(P)和CP1(B)存在于不同呼叫应用节点(即,CAN1和CAN2)上。这不是严格要求的:CP1(P)和CP1(B)也可以存在于同一个呼叫应用节点(例如,CAN1)上,并且,仍然提供为原版进程CP1(P)的软件故障提供可靠性和冗余。但是,在本发明的优选实施例中,原版进程和备份进程存在于不同呼叫应用节点上,从而,不仅提供软件冗余,而且提供硬件冗余。因此,CP1(P)和CP1(B)存在于CAN1和CAN2上,CP2(P)和CP2(B)存在于CAN2和CAN3上,和CP3(P)和CP3(B)存在于CAN3和CAN1上。总之,为了分载的目的,CP1、CP2和CP3一起形成一个超群。因此,CP1(P)和CP1(B)、CP2(P)和CP2(B)和CP3(P)和CP3(B)是如虚线边界所示的第一分载群(LSG1)的一部分。
类似地,正在执行5个示范性网络地址转换进程(NATP)服务器应用,即,NATP1、NATP2、NATP3、NATP4和NATP5。这些进程的每一个都以原版-备份群的形式存在。因此,NATP1以原版进程NATP1(P)和备份进程NATP1(B)的形式存在。同样,NATP2以原版进程NATP2(P)和备份进程NATP2(B)的形式存在,NATP3以原版进程NATP3(P)和备份进程NATP3(B)的形式存在,NATP4以原版进程NATP4(P)和备份进程NATP4(B)的形式存在,和NATP5以原版进程NATP5(P)和备份进程NATP5(B)的形式存在。
此外,在本发明的优选实施例中,原版NAT进程和备份NAT进程存在于不同网络地址转换节点(即,NAT1-NAT5)上,从而,不仅提供软件冗余,而且提供硬件冗余。NATP1(P)和NATP1(B)存在于NAT1和NAT2上,NATP2(P)和NATP2(B)存在于NAT2和NAT3上,NATP3(P)和NATP3(B)存在于NAT3和NAT4上,NATP4(P)和NATP4(B)存在于NAT4和NAT5上,和NATP5(P)和NATP5(B)存在于NAT5和NAT1上。总之,为了分载的目的,NATP1、NATP2、NATP3、NATP4和NATP5一起形成一个超群。因此,NATP1(P)和NATP1(B)、NATP2(P)和NATP2(B)、NATP3(P)和NATP3(B)、NATP4(P)和NATP4(B)和NATP5(P)和NATP5(B)是如虚线边界所示的第二分载群(LSG2)的一部分。
最后,正在执行5个示范性防火墙进程(FWP)服务器应用,即,FWP1、FWP2、FWP3、FWP4和FWP5。这些进程的每一个都以原版-备份群的形式存在。因此,FWP1以原版进程FWP1(P)和备份进程FWP1(B)的形式存在。同样,FWP2以原版进程FWP2(P)和备份进程FWP2(B)的形式存在,FWP3以原版进程FWP3(P)和备份进程FWP3(B)的形式存在,FWP4以原版进程FWP4(P)和备份进程FWP4(B)的形式存在,和FWP5以原版进程FWP5(P)和备份进程FWP5(B)的形式存在。
FWP1(P)和FWP1(B)存在于NAT1和NAT2上,FWP2(P)和FWP2(B)存在于NAT2和NAT3上,FWP3(P)和FWP3(B)存在于NAT3和NAT4上,FWP4(P)和FWP4(B)存在于NAT4和NAT5上,和FWP5(P)和FWP5(B)存在于NAT5和NAT1上。总之,为了分载的目的,FWP1、FWP2、FWP3、FWP4和FWP5一起形成一个超群。因此,FWP1(P)和FWP1(B)、FWP2(P)和FWP2(B)、FWP3(P)和FWP3(B)、FWP4(P)和FWP4(B)和FWP5(P)和FWP5(B)是如虚线边界所示的第三分载群(LSG2)的一部分。
群服务提供了在计算网络中组织一群分布式软件对象的框架。每个软件对象提供一种服务(例如,网络地址转换或防火墙保护)。另外,群服务框架为确定组成员资格、决定在存在故障的情况下采取什么行动、和控制单点广播、多点播送、群的成员与客户机之间的群广播通信提供改善了的运行状态。一个群利用一种政策改善该群提供的服务的运行状态。这些政策的一些包括有关高速服务适用性的原版-备份和用于在网络内分配服务的负载的分载。
服务器应用,譬如,CP1-CP3、NATP1-NATP5和FWP1-FWP5,提供由客户机应用,譬如,SIP/H.323电话170、媒体网关175、WN BTS 180和票据服务器185请求的服务。如图3所示,服务器应用被组织成被配置成1+1型原版-备份群的原版-备份群。存在许多个这些原版-备份群,并且,确切个数可随使用的进程和/或计算节点(CAN)和网络地址转换节点(NAT1-NAT5)的个数而增减。所有原版-备份群它们本身是单个分载群的成员(例如,LSG1、LSG2、LSG3)。
重要的是,应该注意到,虽然客户机应用,譬如,SIP/H.323电话170和媒体网关175是相对于服务器应用CP1-CP3、NATP1-NATP5和FWP1-FWP5的客户机,但是,一个服务器应用也可以是相对于另一个服务器应用的客户机。尤其是,呼叫进程服务器应用CP1-CP3可以是相对于网络地址转换服务器应用NATP1-NATP5和防火墙服务器应用FWP1-FWP5的客户机。
客户机应用建立起与分载群的接口。当新的呼叫指示符被客户机应用接收到时,客户机应用根据客户机方分载政策,建立与分载群的会话。最初政策是循环(round-robin)(即,按顺序把新呼叫从路由器160分配给NAT1-NAT5的每一个,但是,也可以使用考虑到不同原版-备份群的实际负载的其它政策。客户机应用把会话与新呼叫相联系,并且在会话对象上发送与呼叫相联系的消息。客户机应用还通过与原版-备份群建立的会话,接收来自原版-备份群的消息。只有原版-备份群的原版进程(例如,NATP1(P))才加入分载组(例如,LSG2),由于各种原因,可以从服务中删除包含原版的应用。服务器应用可以选择通过丢弃分载群不接受任何新的呼叫。但是,客户机应用可以为了现有呼叫而仍然保持它们与原版-备份群的会话。如果单元集原版也出了问题,那么,由于新的呼叫业务可以丢失了,因此采取这种行动。如果丢弃掉分载群,那么,不把新呼叫分配给原版-备份群。
如果作为分载群成员的原版-备份群的原版出了问题,那么,通知备份成员原版成员已经出问题了(或被丢弃了),然后,备份成员承担起原版成员的角色。对这些行为的责任必须由服务器应用来负。通知备份成员原版成员已经出问题了(或被丢弃了)是群服务的责任。
图1显示了用于源自IP分组网络160或,例如,来自与媒体网关175相连接的SS7网络的呼叫的分载结构。源自IP分组网络160的呼叫是SIP/H.323呼叫,和来自媒体网关175的呼叫可能是MEGACO/MGCP通知消息。应该注意到,CAN1-CAN3、CSN1和CSN2、OAMP1和OAMP2、和NAT1-NAT5均拥有内部以太网130上的唯一内部地址。OAMP1和OAMP2分别拥有内部IP地址10.1.1.1和10.1.1.2。CAN1-CAN3分别拥有内部IP地址10.1.1.3、10.1.1.4和10.1.1.5。CSN1和CSN2分别拥有内部IP地址10.1.1.6和10.1.1.7。最好,NAT1-NAT5分别拥有内部IP地址10.1.1.50、10.1.1.51、10.1.1.52、10.1.1.53和10.1.1.54。
另外,NAT1-NAT5的每一个拥有路由器150看得到的外部IP地址。NAT1-NAT5分别拥有外部IP地址123.62.8.1、123.62.8.2、123.62.8.3、123.62.8.4和123.62.8.5。NAT1-NAT5中的NAT服务器应用(NATP1-NATP5)为软交换器105管理的所有IP呼叫相关协议,譬如,MGCP、SIP、H323、MEGACO,提供网络地址转换(NAT)和分载功能。网络地址转换功能提供暴露给外部IP分组网络160的公开IP地址,和进行来自以太网130的内部IP地址到公开地址的转换,和反过来。对于诸如TCP、UDP、FTP、HTTP、Telnet等的协议,NAT1-NAT5中的防火墙服务器应用(FWP1-FWP2)控制对软交换器105的访问。
IP呼叫分配机制
1)分组呼叫-NAT/防火墙节点提供供外部设备使用的公开IP地址,以便寻址软交换器105。
2)SIP呼叫-让所有SIP消息传送都寻址到NAT1-NAT5的外部IP地址。在NAT中,存在着瘦SIP代理器应用。瘦代理器的用途是隐藏软交换器105的内部IP结构和在呼叫进程CAN内实现有效的负载分配。当在端口5060上的NAT上接收到邀请消息时,在NAT上的SIP堆栈把消息传递给瘦SIP代理器。
在NAT1-NAT5的每一个上SIP代理器的工作是利用群服务建立与从邀请消息中接收的呼叫ID相关联的会话ID。会话ID是唯一标识软交换器105内的一个呼叫的内部标记。它使代理器能够把呼叫相关消息引向在通过获取会话ID管理呼叫的CAN1-CAN3之一中的原版进程。利用接口管理器,SIP代理器然后可以把消息转发到原版呼叫进程上,作为包裹在DTN(数据传输网)封套中的SIP消息。把对SIP消息的回答发送回到发出消息的NAT中的代理器,以便可以以出网响应的方式表示外部IP地址。
源自软交换器105的所有邀请消息都经过瘦代理器,以便隐藏内部寻址信息。防火墙节点上的瘦代理器也是分载群的一部分,致使当始发端原版进程发出邀请消息时,它将首先向分载客户机询问哪个代理器具有管理出网呼叫的能力。代理器在出网消息中进行必要的地址替换,并且把消息转发到目的地。然后,同一个代理器可以管理所有入网消息。
3)H.323呼叫-与SIP呼叫类似,让H.323呼叫从外部客户机寻址到NAT1NAT5。在软交换器105中的H.323只广告将在上面接收Q.931消息的固定个数端口和将在上面接收H.245消息的另一组端口。服务提供商在预约时间建立H.323端口。如果一个正在被使用,或者作为每个用户的默认设定,那么,可以在网卫(gatekeeper)中建立端口。与H.323有关的分载群中的每个呼叫进程支持在上面接收H.245消息的预定子组端口。
当SETUP(建立)消息到达NAT节点时,H.323瘦代理器确定原版群成员的位置,以便在确定CP群的适用性的LSC之后,管理呼叫。事务通过Q.931消息中的呼叫标号来引用。随后对该群的消息发送通过CRV(呼叫参考值)确定。一旦该呼叫已经建立起Q.931呼叫,该群就利用它的H.245预定端口之一向外部客户机开放逻辑信道。瘦代理器利用外部IP地址转发那个消息。在那个端口上的随后H.245消息被转发给管理那个呼叫的呼叫进程。
4)MGCP消息发送-MGCP遵循与SIP出网呼叫相似的策略。当从媒体网关175接收到通知消息时,可以把消息路由到可用原版/备份进程的任何一个。原版进程然后可以产生CRCX(同时读写)消息,和以与在SIP段落中描述的方式相似的方式将其发送到可用代理器。使在这种情况下的会话ID与连接号和端点/MG组合相关联。根据从媒体网关175返回的回答,把该消息路由到正在控制端点的原版备份群。已经处在使用之中的端点的任何随后Notify(通知)消息都是分配给原版/备份进程的第一负载,如果确定正在使用之中,那么,把Notify消息转发给正控制着那个端点的原版/备份群。
根据本发明的示范性实施例,为每一种呼叫处理类型广告软交换器105的域名。例如,SIP、MGCP和H.323呼叫处理可以分别被寻址成“sip.domain-name.com”、“mgcp.domainname.com”和“h323.domainname.com”。DNS(域名系统)服务器把这些名称分解成IP地址,并且提供通常采取循环方式的原始负载分布。一种替代域名的方法是广告位于NAT/防火墙与外部IP分组网络160之间的路由器150的单个IP地址。然后,建立路由器150,以便以循环方式从NAT1-NAT5的一头到另一头分配消息。
NAT1-NAT5上的防火墙和NAT代理器进程作为负载群运行。对于呼叫的出网支路,CP进行利用分载客户机来确定要转到哪个防火墙。如果防火墙接收来自外部网络的消息,和不能将它与它的分载客户机中的任何会话ID相关联,那么,它就利用多点播送能力,从DTN向其余防火墙多点播送。然后,管理那个呼叫的防火墙处理那个消息。如果没有防火墙知道有呼叫,那么,该消息就丢失了。
图1显示了向本地IP网络广播其域名的软交换器105的连接。当外部实体,譬如,SIP电话、媒体网关等通过域名寻址时,域名被转换成由NAT/防火墙(即,NAT1-NAT5)寄存的外部IP地址。负载在NAT1-NAT5之间的平衡在利用循环算法的DNS服务器上完成。所需的NAT的个数可通过所期望的消息发送业务负载增减。
图2显示了根据本发明第二施例的、能够实现VoIP应用的示范性电信网络200。电信网络100在大多数方面都与电信网络100相似。但是,图2显示了在异步传输模式(ATM)网络255上向外部IP分组网络160广告其域名的软交换器105的连接。具有DNA能力的路由器是在ATM适配层类型5(AAL5)上传送IP的ATM网络255的出口点。当外部实体,譬如,SIP电话、媒体网关等通过域名寻址时,域名被转换成由NAT/防火墙寄存的外部IP地址。负载在NAT1-NAT5之间的平衡在利用循环算法的DNS服务器上完成。所需的NAT的个数可通过所期望的消息发送业务负载增减。在本发明的可替换实施例中,NAT1-NAT5可以直接与ATM网络255相连接。DNS服务在ATM网络255内的入口点或某处进行。
SIP应用代理器的细节
基本构造陈述
1)路由器150被寻址成软交换器105的域名和将被认为是软交换器105的IP地址的IP地址。
2)路由器150的维护和配置与软交换器105的OAMP功能分开进行。
3)路由器150可以应用除了循环法之外的其它负载分配方法。分载(或分配)算法可通过路由器150的维护接口配置。
4)NAT1-NAT5的每一个包含能够查找SIP消息和从中提取callID的代理器进程。
5)在NAT1-NAT5上的代理器进程与另一个节目上的备份一起作为原版/备份群运行。
6)NAT1-NAT5利用入网INVITE(邀请)消息建立SessionID,和将那个消息与通过分配算法选择的原版/备份呼叫进程(CP)进程群相联系。
7)在NAT1-NAT5上从外部IP分组网络160接收的任何SIP消息是从IP传输中提取的,并且被重新包装成要转发到原版/备份呼叫进程服务器应用的DTN传输。
8)CP原版进程利用内部堆栈解码SIP消息。
9)CP原版进程格式化出网SIP邀请消息和利用LSG选择通过NAT1-NAT5的哪一个发送它。
10)CP原版进程利用群发送传输把所有出网SIP消息转发到NAT1-NAT5的适当一个。
11)NAT1-NAT5可以操作首标信息,在把消息发出到外部IP分组网络160之前,指出自身作为终点。
12)当适当的原版/备份进程进入或离开各个分载群时,在CAN1-CAN3和NAT1-NAT5中运行的所有分载群(LSG)都得到通知。
13)一旦呼叫已经终止,无论是正常终止还是异常终止,LSG都删除会话。
在防火墙上的IP地址操作
当从外部网络接收SIP INVITE时,它将联系首标字段加入它发送回的响应中,当它发出INVITE时,它也将联系首标字段加入消息中,以及把ACK(确认消息)加入最后响应中。除了软交换器105的域名之外,它还加入VIA(通用接口适配器)字段,以反映它自己的IP地址。
当在NAT1-NAT5之一上接收请求消息时,防火墙服务器应用寻找能够处理消息的适用原版/备份群,和通过群服务把消息转发到那个原版备份群。根据响应,NAT1-NAT5的每一个把它的IP地址加入VIA字段和联系首标中。
对于出网请求,原版/备份群根据代理器分载客户机,选择要转到的NAT1-NAT5之一,和在群服务消息内把请求发送到那个节点。然后,NAT1-NAT5的每一个把它的IP地址加入VIA字段和联系首标中,以便所有响应都可以被引回到NAT1-NAT5的正确一个。
在防火墙上代理器的原版/备份故障
如上所述,每个代理器进程作为原版/备份群运行。备份进程应该总是在没有正在运行它自己的原版的处理器中运行。尽管可能出现双重处理器故障,但是可能性非常小,如果出现了,那么,表明网络中出现了比通过冗余方案所能解决的问题大的问题。因此,在出现代理器双重故障的情况下,从网络接收消息的那个防火墙将把消息多点播送给所有CAN。同样,如果CAN检测到防火墙代理器的双重故障,那么,它将为其它原版/备份群的每一个重新建立sessionID,并且继续进行它的处理。它也许不得不重新发送一些消息。
对于从CAN出网到外部网络的消息,原版代理器故障将使消息通过备份路由。备份进程将进行如上所述的SIP首标操作。对于入网消息,原版代理器的故障将使备份进程把消息发送给LSG中的所有会话,以便重新发送CP进程正在等待响应的所有消息。这使备份进程可以操作首标信息和把消息重新发送到远端。
另一种可能情况是,如果在NAT1-NAT5之一上发生处理器故障,那么,可以通知外部路由器,把业务重定向到列表上的下一个IP地址。当消息到达那个NAT时,如果它没有找出callID与LSC表中的会话之间的联系,那么,它将把消息多点播送给其余NAT上的其余代理器,和知道sessionID的原版管理该消息。
一旦原版进程已经结束了和把控制传递给已经寄宿了一个原版的另一个处理器中的备份进程,备份进程将从分载群中取出自身去接收新的呼叫,和在进入休眠状态或退出之前,将仅仅管理它正在处理的呼叫。一旦新的原版代理器被重新建立成NAT上的单独进程,那么,它可以重新加入该群去接收呼叫。
在CAN上CP进程的原版/备份故障
CAN中的所有CP进程都作为原版/备份对的一部分,以及作为分载群的一部分运行。当原版进程消亡时,它的备份进程就变成原版。群服务把定向到那个原版/备份对的所有消息重定向到新的原版(旧备份)。因此,在防火墙/NAT代理器中,与特定原版/备份群的一个会话有关的所有消息被定向到正确的进程。
在同一个负载上CAN/NAT的加入/除去
如上所述,每当把新CAN加入软交换器105中和在那个CAN上进行呼叫处理进程时,呼叫处理原版就加入呼叫处理分载群中。每个分载客户机得到新加入分载群的通知,并且据此调整它的负载分配算法,以便包括新进程。如果应用循环模式,那么,这可能引起在分配中的初始失衡。但是,随着呼叫被清除和新呼叫到达,这种状况将是短暂的。
尽管已经详细地描述本发明,但是,本领域的普通技术人员应该明白,他们可以作出各种各样的改变、替代和变更,而不偏离本发明在其最概括形式下的精神和范围。
Claims (24)
1.一种能够管理呼叫设备与被呼叫设备之间的因特网协议语音(VoIP)业务的交换器,所述交换器包括:
能够执行呼叫进程服务器应用的数个呼叫应用节点,其中,第一呼叫进程服务器应用是在所述数个呼叫应用节点的第一个上执行的,并且与相似第二呼叫进程服务器应用相联系,所述第二呼叫进程服务器应用在与所述第一呼叫应用节点分离的所述数个呼叫应用节点的第二个上执行,从而,所述第一和第二呼叫进程服务器应用形成第一分载群服务器应用;和
能够执行防火墙服务器应用的数个网络地址转换节点,其中,第一防火墙服务器应用是在所述数个网络地址转换节点的第一个上执行的,并且与相似第二防火墙服务器应用相联系,所述第二防火墙服务器应用在与所述第一网络地址转换节点分离的所述数个网络地址转换节点的第二个上执行,从而,所述第一和第二防火墙服务器应用形成第二分载群服务器应用,其中,与VoIP呼叫相联系的VoIP业务通过所述第二分载群服务器应用接收,和所述第二分载群服务器应用选择所述第一和第二防火墙服务器应用之一,以便根据负载分配算法,核实那个所述VoIP业务是否被授权访问所述呼叫应用节点中的所述呼叫进程服务器应用的至少一个。
2.根据权利要求1所述的交换器,其中,所述负载分配算法以交替方式在所述第一和第二防火墙服务器应用之间分配所述VoIP业务。
3.根据权利要求1所述的交换器,其中,所述负载分配算法根据所述第一防火墙服务器应用的当前业务负载和所述第二防火墙服务器应用的当前业务负载分配所述VoIP业务。
4.根据权利要求3所述的交换器,其中,所述负载分配算法分配所述VoIP业务,以便保持所述第一防火墙服务器应用的所述当前业务负载在数量级上基本上等于所述第二防火墙服务器应用的所述当前业务负载。
5.根据权利要求1所述的交换器,其中,所述第一防火墙服务器应用包括第一原版-备份群服务器应用,其中,所述第一原版-备份群服务器应用包括在所述第一网络地址转换节点上执行的第一原版防火墙进程和与所述第一原版防火墙进程相联系的第一备份防火墙进程。
6.根据权利要求5所述的交换器,其中,与所述第一原版防火墙进程相联系的状态信息被反射成与所述第一原版防火墙进程相联系的所述第一备份防火墙进程。
7.根据权利要求6所述的交换器,其中,所述第一备份防火墙进程存在于所述第一网络地址转换节点上。
8.根据权利要求6所述的交换器,其中,所述第一备份防火墙进程存在于与所述第一网络地址转换节点分离的网络地址转换节点上。
9.根据权利要求1所述的交换器,其中,所述第二防火墙服务器应用包括第二原版-备份群服务器应用,其中,所述第二原版-备份群服务器应用包括在所述第二网络地址转换节点上执行的第二原版防火墙进程和与所述第二原版防火墙进程相联系的第二备份防火墙进程。
10.根据权利要求9所述的交换器,其中,与所述第二原版防火墙进程相联系的状态信息被反射成与所述第二原版防火墙进程相联系的所述第二备份防火墙进程。
11.根据权利要求10所述的交换器,其中,所述第二备份防火墙进程存在于所述第二网络地址转换节点上。
12.根据权利要求10所述的交换器,其中,所述第二备份防火墙进程存在于与所述第二网络地址转换节点分离的呼叫应用节点上。
13.一种电信网络,包括:
能够管理呼叫设备与被呼叫设备之间的因特网协议语音(VoIP)业务的数个交换器,所述数个交换器的每一个包括:
能够执行呼叫进程服务器应用的数个呼叫应用节点,其中,第一呼叫进程服务器应用是在所述数个呼叫应用节点的第一个上执行的,并且与相似第二呼叫进程服务器应用相联系,所述第二呼叫进程服务器应用在与所述第一呼叫应用节点分离的所述数个呼叫应用节点的第二个上执行,从而,所述第一和第二呼叫进程服务器应用形成第一分载群服务器应用;和
能够执行防火墙服务器应用的数个网络地址转换节点,其中,第一防火墙服务器应用是在所述数个网络地址转换节点的第一个上执行的,并且与相似第二防火墙服务器应用相联系,所述第二防火墙服务器应用在与所述第一网络地址转换节点分离的所述数个网络地址转换节点的第二个上执行,从而,所述第一和第二防火墙服务器应用形成第二分载群服务器应用,其中,与VoIP呼叫相联系的VoIP业务通过所述第二分载群服务器应用接收,和所述第二分载群服务器应用选择所述第一和第二防火墙服务器应用之一,以便根据负载分配算法,核实那个所述VoIP业务是否被授权访问所述呼叫应用节点中的所述呼叫进程服务器应用的至少一个;
用于互连所述数个交换器的因特网协议(IP)分组网络;和
与所述IP分组网络耦合的至少一个媒体网关。
14.根据权利要求13所述的电信网络,其中,所述负载分配算法以交替方式在所述第一和第二防火墙服务器应用之间分配所述VoIP业务。
15.根据权利要求13所述的电信网络,其中,所述负载分配算法根据所述第一防火墙服务器应用的当前业务负载和所述第二防火墙服务器应用的当前业务负载分配所述VoIP业务。
16.根据权利要求15所述的电信网络,其中,所述负载分配算法分配所述VoIP业务,以便保持所述第一防火墙服务器应用的所述当前业务负载在数量级上基本上等于所述第二防火墙服务器应用的所述当前业务负载。
17.根据权利要求13所述的电信网络,其中,所述第一防火墙服务器应用包括第一原版-备份群服务器应用,其中,所述第一原版-备份群服务器应用包括在所述第一网络地址转换节点上执行的第一原版防火墙进程和与所述第一原版防火墙进程相联系的第一备份防火墙进程。
18.根据权利要求17所述的电信网络,其中,与所述第一原版防火墙进程相联系的状态信息被反射成与所述第一原版防火墙进程相联系的所述第一备份防火墙进程。
19.根据权利要求18所述的电信网络,其中,所述第一备份防火墙进程存在于所述第一网络地址转换节点上。
20.根据权利要求18所述的电信网络,其中,所述第一备份防火墙进程存在于与所述第一网络地址转换节点分离的网络地址转换节点上。
21.根据权利要求13所述的电信网络,其中,所述第二防火墙服务器应用包括第二原版-备份群服务器应用,其中,所述第二原版-备份群服务器应用包括在所述第二网络地址转换节点上执行的第二原版防火墙进程和与所述第二原版防火墙进程相联系的第二备份防火墙进程。
22.根据权利要求21所述的电信网络,其中,与所述第二原版防火墙进程相联系的状态信息被反射成与所述第二原版防火墙进程相联系的所述第二备份防火墙进程。
23.根据权利要求22所述的电信网络,其中,所述第二备份防火墙进程存在于所述第二网络地址转换节点上。
24.根据权利要求22所述的电信网络,其中,所述第二备份防火墙进程存在于与所述第二网络地址转换节点分离的呼叫应用节点上。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US32524701P | 2001-09-27 | 2001-09-27 | |
| US60/325,247 | 2001-09-27 | ||
| US10/085,926 | 2002-02-28 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1411287A CN1411287A (zh) | 2003-04-16 |
| CN1250017C true CN1250017C (zh) | 2006-04-05 |
Family
ID=23267058
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02132365 Expired - Fee Related CN1250017C (zh) | 2001-09-27 | 2002-09-24 | 把分布式防火墙用于分载因特网协议语音业务的软交换器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1250017C (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10756929B2 (en) * | 2015-04-07 | 2020-08-25 | Umbra Technologies Ltd. | Systems and methods for providing a global virtual network (GVN) |
-
2002
- 2002-09-24 CN CN 02132365 patent/CN1250017C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1411287A (zh) | 2003-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2002300602B2 (en) | Soft switch using distributed firewalls for load sharing voice-over-IP traffic in an IP network | |
| US7787459B2 (en) | Method and system for implementing traversal through network address translation | |
| US8130766B2 (en) | System and method for implementing multimedia calls across a private network boundary | |
| CN103634490B (zh) | 一种用于使得使用sip的企业网络能够存活的网关 | |
| EP1582046B1 (en) | Method and apparatus for codec selection | |
| US7773580B2 (en) | Apparatus and method for voice processing of voice over internet protocol (VoIP) | |
| CN1879357A (zh) | 无服务器和无交换机因特网协议电话系统和方法 | |
| CN1941783B (zh) | 智能边界单元 | |
| WO2003030463A1 (fr) | Procede et systeme pour la prestation d'un service vocal ip sur un reseau prive | |
| KR101606142B1 (ko) | 음성패킷망에서 네트워크 주소 번역 통과를 지원하기 위한 장치 및 방법 | |
| CN100493048C (zh) | 穿越网络地址转换和防火墙的多媒体通信代理系统及方法 | |
| CN1645861A (zh) | 一种软交换网络穿越防火墙的方法 | |
| CN100348008C (zh) | 在VoIP网关中进行呼叫处理和链路测试的方法 | |
| CN1960289A (zh) | 一种网络故障后实现网络通话的方法及其装置 | |
| CN1250017C (zh) | 把分布式防火墙用于分载因特网协议语音业务的软交换器 | |
| CN1309230C (zh) | 电信信令消息穿越私网边界传递的系统和方法 | |
| CN1838615A (zh) | 媒体流分流系统及媒体流分流方法 | |
| US7995561B2 (en) | Techniques for implementing logical trunk groups with session initiation protocol (SIP) | |
| KR100741379B1 (ko) | 둘 이상의 가입자 회선을 이용한 sip 통신을 제어하는어플리케이션 스위치 및 그의 동작 방법 | |
| KR100986768B1 (ko) | 이원화된 백본망에서의 베어러 트래픽 분류 방법 | |
| CN101335659A (zh) | 用于建立呼叫的方法、信令控制装置、网络单元及系统 | |
| Davies et al. | Empirical Experiences in Mobile-to-Mobile Video Streaming | |
| KR20030097004A (ko) | 아이피 기반 통합 서비스를 위한 통합 구내망 구조 | |
| KR20070063788A (ko) | VoIP 서비스를 제공하는 액세스 게이트웨이 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060405 Termination date: 20091026 |