通过“专用网络+BAC全代理”的接入层组网模式，可以在很大程度上解决软交换网络的用户安全管理、私网地址穿越以及防止用户非法旁路软交换设备等问题，也可以在一定程度上解决QoS保障问题，这是目前提出的一种实用化的解决方案。

一、QoS问题解决方式

        IP网络技术目前还不能彻底解决QoS问题，在现有的公共IP网络上还不能为软交换网络提供大规模的有QoS保障的承载服务，采用“专用网络+BAC全代理”方式能够在一定程度上解决软交换网络的QoS问题。专用网络主要应用于软交换核心网，可以采用专线、专用IP网、MPLSVPN等方式组网。通过MPLSVPN提供QoS保障，仍然需要IP网络全网的传输和交换设备都支持MPLS能力，因此短期内还无法在全网范围内实现，但可以首先在骨干城域网上部分实行。专线和专用IP网方式可以通过网络流量预测和规划，按软交换业务需求组织网络。由于专网专用，使用过程中容易掌握业务流量和流向的变化，可以及时调整网络，通过与软交换设备呼叫控制功能结合，可以有效解决网络拥塞控制问题。如果新建专用网络，还可以在引进网络设备时统一考虑设备的QoS功能，区分对待不同业务等级的软交换业务，为某些业务实现带宽预留。

        BAC设备则可以根据不同用户、不同业务分别对信令和媒体进行QoS标记，为后续IP网络设备的QoS处理提供帮助。在今后的QoS解决方案中，该设备还可以将QoS参数统计结果实时上报软交换设备或其他指定QoS设备，并接受后者的控制，在呼叫建立阶段根据用户QoS要求和网络QoS状况进行不同的后续处理（如接续、拒绝、重定向、更改编码方式等）。

二、安全问题解决方式

        对于部署在专网内的信令网关、中继网关、大容量接入网关、重要客户使用的IAD设备等，由于是基于新建的专用网或采用MPLSVPN等技术构建的虚拟专用网，因此能通过各种手段实现与外界的隔离，大大减小了受互联网用户攻击的可能。另一方面，软交换核心网络中部署的是可信任度高的设备，数量相对较少，通过信令协议保障、严格设备管理等手段，基本可以避免受到核心网络内的用户攻击。

        而对于部署在业务接入网（如互联网）内的各类IP智能终端及IAD设备等，由于分布于非信任的用户侧，对软交换网络核心设备的安全存在极大的威胁。因此对于这些终端应快速收敛于BAC设备，通过BAC设备实现与专用网络中其他设备的互通。BAC设备提供用户信令及媒体的代理功能及安全检测和隔离功能，采用用户零配置方案，使用户无法自行修改数据，软交换设备定期检测用户身份合法性，保证对网关及用户终端的控制权，防止非法用户对业务的盗用或干扰。同时，在用户侧只能配置软交换设备或各类管理及应用服务器（如IAD网管系统、文件服务器等）的域名而非IP地址，通过域名解析机制及BAC设备的信令及媒体全代理功能，对用户屏蔽软交换设备、中继网关、综合接人网关、媒体服务器等核心网设备的地址，避免因暴露软交换设备的IP地址而导致非法攻击。

        BAC作为安全控制的重要环节，需要支持访问控制列表(ACL)功能，能够根据源、目的IP地址和端口号设置访问控制规则进行报文过滤；能够针对特定控制协议进行分组过滤，阻挡非法设备及未经允许的协议访问软交换设备；能进行简单的应用层攻击防护，实现部分代理服务型防火墙功能，具体包括：根据用户注册状态进行消息的处理、对未注册用户发送的非注册消息进行丢弃处理；对注册鉴权失败的用户终端建立监视列表，当失败的注册尝试达到一定的频率则采取相应措施；设置IP地址／端口允许的正常信令消息流鼠值，当1分钟内收到同一源IP和端口的消息超过该值时，将该地址／端口列入黑名单并采取相应措施。BAC还应具备根据业务需要、用户安全需求和运营需求屏蔽通信双方地址的能力。

为配合软交换网络的安全实施，各设备也需要进行相应的改进（如支持多个网段，可以通过提供多个分离的物理端口或在一个物理端口上支持多个VLAN的方式实现）；对媒体端口进行动态开、闭管理；能进行最小化端口设置；面向用户的服务可采取由Web或Portal面对用户进行业务代理方式来降低风险；设备采用专门的软／硬件平台设计等。

三、私网穿越问题解决方式

        现有IP网络由于1Pv4存在着地址资源不足的问题，包含了很多采用私网地址的专用网络（如企业网、园区网等），并通过NAT(网络地址转换）设备进行公、私有地址之间的转换，实现私网设备与公网设备的互联。因此，虽然在软交换组网中核心网内的设备可统一规划IP地址，但是处于业务接入网内的各种用户端设备的IP地址分配则受限于所处的网络，很难进行统一，在接入软交换网络时通常会面临NAT/FW穿越的问题。

1、解决私网穿越的常用技术