通过 FortiGate 200B 防火墙的 SIP 中继真的需要专用 SBC 吗?

网络工程 加强 电话
2022-02-20 20:58:00

我在一所部署了中型 ShoreTel 的学校工作;两个 ShoreGear T1 中继单元和 15 个 ShoreGear 120/24 交换机。我们有几百个 IP 电话和几百个模拟分机(宿舍)。

我们目前通过 CenturyLink 拥有两条 PRI 中继线,但老实说,我们付给他们的钱太多了,而使用它的钱却太少了。似乎没有人关心固定电话。我想切换到 SIP 中继。

我已经与几家供应商进行了交谈,其中一些强烈推荐除了 FortiGate 之外的 Ingate SIParator 会话边界控制器,但原因不明。

我们有一个运行 FortiOS 4.0 MR2 的 FortiGate 200B,这是一个非常漂亮的防火墙(在我这里之前)。有谁知道 FortiOS 处理 SIP 应用层网关的能力如何?我有一个公共 IPv4 地址块,其中一些是未使用的。当然,我可以将一个专用于 SIP 流量并使用 FortiOS 的内置 SIP 功能。

需要像 Ingate SIParators 这样的 SBC 的原因之一是安全性,因为 SIP 不断打开和关闭大量随机端口。与我交谈过的一个供应商通过在我的网关和他们的语音交换机之间创建一个 IPSec 隧道来解决这个问题。这对我来说听起来很完美,他们说我不需要 SBC。其他供应商坚持认为,除非我购买 SBC(而且它们并不便宜),否则我不会满意,而且如果没有 SBC,我将遇到不可靠的问题。

我知道 Stack Exchange 想要可以回答的问题,而不仅仅是讨论,所以我会这样说:有没有人在 ShoreTel 中成功配置了本地 SIP 中继,只使用了 FortiOS 防火墙,没有专用的 SBC?

1个回答

Fortigate 拥有我见过的所有防火墙中最先进的 SIP 保护。如果您只关心安全性,它确实消除了对 SBC 的需要。

Fortigate 不会像 SBC 那样做的是对语音编解码器进行转码,但这在您的环境中可能不需要。

FortiGate 中有两个 SIP ALG,一个是基本会话助手,默认开启。这可以解决任何 NAT 问题,但不能解决安全问题。第二个是将 VoiP 配置文件应用于您的 SIP 流量。有了这个 VoiP 配置文件,您就可以在保护方式上进行大量的粒度操作,但这种粒度只能通过 CLI 可见和设置。

其它你可能感兴趣的问题
上一篇Dell PowerConnect 5524 - 用于堆栈拓扑的 SNMP OID 下一篇网络负载和容量设计 - 全双工媒体?