Bill-IT
Bill-IT
EN

Architectures VoIP

Conception d'infrastructures VoIP robustes, segmentées et maîtrisées

Architecture trois zones

Une architecture VoIP maîtrisée repose sur la séparation du réseau en trois zones distinctes : la zone externe (opérateurs et partenaires), la zone DMZ (où réside le SBC) et la zone interne (PBX, serveurs de communication, postes). Le SBC contrôle tous les flux entre ces zones.

Vue d'ensemble de l'architecture SBCInternet / OpérateursFournisseur SIP TrunkITSP / OpérateurPasserelle PSTNTrunk voixUtilisateurs distantsClients SIPWebRTCClients navigateurSession BorderControllerNormalisation SIPMasquage de topologieChiffrement TLS / SRTPLimitation de débit / ACLTranscodage médiaRoutage d'appelsLAN interneIP-PBXAsterisk / 3CXPlateforme UCTeams / Opr.Téléphones IPTerminaux SIPSupervisionCDR / AnalyseSIP/TLSSIP/UDPSIP/TCPSIP/TLSDéploiement SBC double-interface séparant les segments réseau externe et interne

Zone externe

Interconnexion avec les opérateurs SIP, les partenaires et Internet. Les flux entrants sont filtrés, authentifiés et normalisés par le SBC avant d'atteindre le réseau interne.

Zone DMZ

Le SBC réside dans cette zone tampon. Il termine les sessions SIP externes, les valide et rétablit de nouvelles sessions vers la zone interne avec des paramètres contrôlés.

Zone interne

Les équipements de communication (PBX, serveurs UC, endpoints) sont isolés dans le réseau interne. Ils ne sont jamais exposés directement aux flux externes.

Segmentation réseau

La segmentation utilise des VLANs dédiés pour isoler les flux de signalisation, les flux média et l'administration. Chaque segment dispose de ses propres règles de filtrage et de QoS. Les interfaces du SBC sont affectées à des realms spécifiques, chacun avec ses propres politiques de contrôle.

Architecture de segmentation réseauZONE PUBLIQUERéseau non fiableTrafic InternetSIP / RTP entrantTrunks SIP externesConnexions opérateurTerminaux distantsVPN / WebRTCFWFirewall 1ACL + IPSZONE DMZSemi-fiableSBCSession Border CtrlSIP ProxyKamailio / OpenSIPSRelais médiaRTPEngine / RTPProxyFWFirewall 2Couche applicativeZONE PRIVÉERéseau de confianceIP-PBX / UCTéléphonie centraleMessagerie / SVIServeurs applicatifsTéléphones IP / SoftphonesTerminaux utilisateursRisque élevéRisque moyenRisque faiblePare-feu / Passerelle de sécuritéLe trafic circule de gauche à droite

Chiffrement et sécurité

L'ensemble des flux de signalisation sont protégés par TLS (SIP over TLS). Les flux média sont chiffrés en SRTP avec échange de clés via SDES ou DTLS-SRTP. Les certificats sont gérés par une PKI interne ou des autorités de certification reconnues.

Haute disponibilité

Les architectures de production déploient le SBC en mode haute disponibilité 1+1. Le nœud secondaire surveille en permanence le nœud primaire via un lien heartbeat dédié. En cas de défaillance, la bascule est automatique et transparente pour les sessions en cours.

Administration sécurisée

L'administration des équipements SBC est isolée sur un réseau de management dédié, accessible uniquement via VPN. Les accès sont authentifiés, tracés et limités aux seuls opérateurs autorisés. Toute modification de configuration est journalisée dans un système d'audit.

Architecture VoIP | Segmentation reseau et haute disponibilite | Bill-IT