王媛

大連職業(yè)技術(shù)學(xué)院

VoIP指的是將模擬語音信號經(jīng)過模數(shù)轉(zhuǎn)換、編碼、壓縮與封裝之后,以分組的數(shù)據(jù)報文形式在IP網(wǎng)絡(luò)中進行語音信號的傳輸，并在最終再次轉(zhuǎn)換成模擬聲音信號[1]。VoIP的一項典型應(yīng)用就是網(wǎng)絡(luò)電話。VoIP是當(dāng)今校園網(wǎng)絡(luò)發(fā)展最快應(yīng)用技術(shù)之一，也是各高校計算機網(wǎng)絡(luò)界關(guān)注的熱點。在國內(nèi)外，許多高等院校正在使用開源技術(shù)構(gòu)建校園內(nèi)部網(wǎng)絡(luò)電話系統(tǒng)，這不但能夠幫助學(xué)校建立高效、低成本的實時溝通平臺，而且還能夠改善校園內(nèi)部師生溝通的狀況，促進學(xué)校與學(xué)生的高效互動，提高工作效率[2]。

VoIP尤其是Asterisk作為一項新的技術(shù)，其成熟程度仍然無法與傳統(tǒng)的電話網(wǎng)絡(luò)相比，而且在實際運營中，還需要解決如何適應(yīng)現(xiàn)有的復(fù)雜網(wǎng)絡(luò)環(huán)境，因此而引發(fā)了一些新的問題。

1 語音質(zhì)量優(yōu)化問題

對于校園VoIP電話網(wǎng)的使用用戶，除撥號便捷外，最重要的是語音質(zhì)量。但是在實際的校園網(wǎng)絡(luò)電話系統(tǒng)中，應(yīng)重點測試不同終端設(shè)備在不同情況下，尤其是不同的時段和環(huán)境中的語音質(zhì)量及其壓力。特別當(dāng)網(wǎng)絡(luò)帶寬突然下降、大幅抖動甚至丟包這些常見的問題，這些主要是由于網(wǎng)絡(luò)設(shè)備性能不足和實際可用帶寬不足引起的。對于第一個原因可以通過大量測試，根據(jù)測試結(jié)果進行設(shè)備選型來解決；而第二個原因則必須要通過對IP網(wǎng)絡(luò)服務(wù)質(zhì)量的QoS管理才能實現(xiàn)帶寬的有效支持。所以，為了使VoIP語音質(zhì)量有所保障，網(wǎng)絡(luò)協(xié)議層還需要引入帶寬管理的QoS機制。目前的主流QoS協(xié)議可以分為兩類。

1.1 資源預(yù)留

根據(jù)應(yīng)用對QoS的要求分配網(wǎng)絡(luò)資源，代表性的是IETF提出的Int-serv集成服務(wù)策略，實際應(yīng)用中體現(xiàn)為RSVP協(xié)議。但實際上RSVP較難實現(xiàn)，所以不宜采用。

1.2 優(yōu)先級

對特殊業(yè)務(wù)給予優(yōu)先等級區(qū)分對待。按照這種思想，IETF提出了區(qū)分服務(wù)的QoS策略，由路由器決定不同IP包的轉(zhuǎn)發(fā)先后的順序。DiffServ具有良好的可伸縮性，比IntServ/RSVP更適合應(yīng)用于核心骨干網(wǎng)絡(luò)。區(qū)分服務(wù)的策略可采用漸進式逐步實施，是當(dāng)前較為看好的一種IP網(wǎng)絡(luò)QoS策略[3]。同時解決校園IP網(wǎng)絡(luò)QoS亦可以用更寬的帶寬或是更快包轉(zhuǎn)發(fā)速率的路由器。

2 安全問題

校園網(wǎng)的開放性很大，互聯(lián)網(wǎng)的各種安全威脅在校園網(wǎng)的運行和管理中表現(xiàn)得尤為突出。VoIP只是IP網(wǎng)絡(luò)上的一種應(yīng)用，也像其它IP網(wǎng)絡(luò)應(yīng)用一樣易于受到攻擊的安全威脅。除了病毒木馬、垃圾郵件等之外，還有盜打電話；竊聽電話，對關(guān)鍵設(shè)備的攻擊，話費欺詐等。在實際運營中也會存在惡意者利用者滲透到校園網(wǎng)VoIP電話系統(tǒng)，對計費數(shù)據(jù)進行妨礙甚至改動，會對學(xué)校帶來直接的經(jīng)濟損失。

針對這些問題，在實際運營中，校園網(wǎng)電話系統(tǒng)需要重點從以下幾個角度來關(guān)注和解決安全問題。

2.1 網(wǎng)絡(luò)

校園網(wǎng)管理部門需要結(jié)合VoIP電話網(wǎng)絡(luò)的規(guī)劃設(shè)計，在核心層、匯聚層以及接入層網(wǎng)絡(luò)上設(shè)置對應(yīng)的安全策略配置，從而加固VoIP的網(wǎng)絡(luò)安全問題。

1）為校區(qū)內(nèi)所有固定的VoIP網(wǎng)關(guān)設(shè)備和話機劃分特定的網(wǎng)絡(luò)地址段，并使用指定的Vla。這樣做的好處就是可以嚴(yán)禁本Vlan與其它的Vlan之間的相互訪問；

2）為了保護校園網(wǎng)VoIP核心系統(tǒng)的所有設(shè)備，根據(jù)特定的要求布置防火墻，如果有要求還可以布置入侵檢測系統(tǒng)。針對VoIP的實際規(guī)劃來配置相應(yīng)的安全策略，比如對用戶注冊IP范圍的限制等，同時關(guān)閉不對外開放的端口。另外在選用防火墻時，應(yīng)該重點關(guān)注防火墻在連接數(shù)和吞吐量等性能上的支持能力；

3）針對老師和學(xué)生移動辦公教學(xué)的需求，可以使用IPSEC或者PPTP等保證網(wǎng)絡(luò)層面的安全。這意味著如果用戶需要使用筆記本電腦在校外使用網(wǎng)絡(luò)電話，與學(xué)校內(nèi)的其他用戶進行通信，則需要先與VoIP系統(tǒng)外圍的防火墻先建立VPN隧道，完成一個個的鑒權(quán)后，才能夠注冊到Asterisk服務(wù)器上。

2.2 服務(wù)器

Asterisk軟件運行在Linux服務(wù)器上，Linux操作系統(tǒng)本身的安全也會對整個VoIP電話系統(tǒng)的安全性產(chǎn)生重要的影響。所以Asterisk電話系統(tǒng)中所有的關(guān)鍵服務(wù)器需要結(jié)合外圍的網(wǎng)絡(luò)安全，針對性的實施一些安全策略。例如：確保所有Linux服務(wù)器使用最新的安全內(nèi)核；啟用系統(tǒng)內(nèi)置的Iptables，配置安全策略，僅開放服務(wù)端口；使用復(fù)雜的操作系統(tǒng)用戶密碼；制定嚴(yán)格的用戶和組權(quán)限和訪問策略；及時給操作系統(tǒng)升級必要的安全補丁，堵住安全漏洞；關(guān)閉不必要的系統(tǒng)網(wǎng)絡(luò)服務(wù)；對于系統(tǒng)登錄等進行嚴(yán)格的記錄；采用加密方式來進行系統(tǒng)管理和數(shù)據(jù)傳輸；做好重要數(shù)據(jù)的備份，防止數(shù)據(jù)被破壞和丟失。

2.3 VoIP軟件系統(tǒng)

Asterisk軟件系統(tǒng)本身的安全性同樣是需要關(guān)注的。如果沒有很好的安全性，攻擊者也會滲透到系統(tǒng)中，從而進一步獲取系統(tǒng)的控制權(quán)限。所以可以在其基礎(chǔ)上按照自身的安全需求來完善架構(gòu)，例如引入第三方認(rèn)證服務(wù)器來加強安全性。

另外通常多數(shù)學(xué)校所采用的方案主要都采用了支持SIP協(xié)議的終端設(shè)備，而SIP協(xié)議本身基于明文文本的傳輸方式，既便利但也埋下了安全隱患。不良用戶會利用Sniffer、ARP欺騙等技術(shù)，來竊取用戶通信的報文，從而輕松獲取其他合法用戶的帳號、密碼等關(guān)鍵信息。所以，還應(yīng)該加強SIP的安全性。

IETF在RFC3261中提出了安全SIP機制，用于在傳輸層安全加密信道中發(fā)送SIP消息。通過部署基于SIP并支持安全SIP的設(shè)備，網(wǎng)絡(luò)管理員便可以提高其VoIP網(wǎng)絡(luò)的安全級別，保證網(wǎng)絡(luò)的安全。針對安全SIP的通信，RFC3261定義了SIPS統(tǒng)一資源識別符(URI),其作用就像是HTTPS在安全HTTP連接中發(fā)揮的作用一樣[4]。SIPS URI可以確保每兩個節(jié)點之間使用SIP，從而對連接進行驗證和加密，提供一個安全的連接。

3 管理維護問題

對于校園網(wǎng)電話系統(tǒng)來說，設(shè)備安裝好并配置調(diào)試通過后，最重要的是管理維護整個網(wǎng)絡(luò)，解決運營過程中出現(xiàn)的各種問題。例如分配資源、計費、查詢、管理用戶等。Asterisk本身具有強大的功能和很好的擴展能力，但如果單單作實際運營，還需要解決很多的運營支撐問題。因為在構(gòu)建好網(wǎng)絡(luò)之后，管理人員不可能針對任何維護都去修改配置文件，這樣效率極其低下，并且有可能因為疏忽或誤操作導(dǎo)致整個系統(tǒng)癱瘓。因此解決這些問題，基本上有兩種途徑可以選擇。

3.1 購買現(xiàn)有的較為完善的第三方系統(tǒng)平臺

購買現(xiàn)有的較為完善的第三方系統(tǒng)平臺比較節(jié)省精力，縮短實施周期，但同樣需要花費時間去認(rèn)真測試和評估系統(tǒng)，以確定系統(tǒng)是否滿足實際的需要，另外還有是否超出預(yù)算。

3.2 自行開發(fā)管理平臺

自行開發(fā)管理平臺比較靈活，完全可以根據(jù)自身的基礎(chǔ)設(shè)施情況和應(yīng)用需求，有計劃性的逐步開發(fā)管理功能模塊，但這樣就要求維護人員要有很強的開發(fā)和維護能力，對于具備條件的學(xué)?？梢圆扇∵@種方式。

當(dāng)然不同的高校在面臨這個問題時，一定要根據(jù)自身業(yè)務(wù)需求、運營模式，并結(jié)合經(jīng)濟預(yù)算來做。作為這個問題的一部分，通常為了降低成本，可以選擇開源的網(wǎng)絡(luò)管理軟件來對VoIP網(wǎng)絡(luò)和業(yè)務(wù)進行監(jiān)控和管理，Nagios、OpenNMS、Zabix都是這個領(lǐng)域的極其優(yōu)秀的開源免費軟件。選擇一款合適的監(jiān)控軟件，可以幫助校園網(wǎng)管理團隊隨時隨地掌握VoIP電話網(wǎng)絡(luò)的運行情況，包括各種Asterisk服務(wù)器和網(wǎng)關(guān)的性能指標(biāo)、運行狀態(tài)、網(wǎng)絡(luò)利用率、實時呼叫進行監(jiān)控，準(zhǔn)確的定位各種已發(fā)生或潛在的故障，并根據(jù)對歷史數(shù)據(jù)的分析，可以對未來升級擴展提供參考依據(jù)。當(dāng)然不同的校園網(wǎng)電話系統(tǒng)在實際運營中還有其它的問題存在，這也需要進一步的實踐，做更好的完善。

[1]楊毅. VoIP技術(shù)的基本原理與應(yīng)用. 現(xiàn)代企業(yè)教育,2003. 6(1):177-181.

[2]劉薇.初探Asterisk技術(shù)在高校網(wǎng)絡(luò)中的應(yīng)用.濟南職業(yè)學(xué)院學(xué)報，2009，10(5)：96-97.

[3]王小波.VoIP業(yè)務(wù)的QoS保障.網(wǎng)絡(luò)世界,2002,4(03)12-14.

[4]三大技術(shù)有效提升呼叫中心品質(zhì),2010.4.27.