王媛

大连职业技术学院

VoIP指的是将模拟语音信号经过模数转换、编码、压缩与封装之后,以分组的数据报文形式在IP网络中进行语音信号的传输，并在最终再次转换成模拟声音信号[1]。VoIP的一项典型应用就是网络电话。VoIP是当今校园网络发展最快应用技术之一，也是各高校计算机网络界关注的热点。在国内外，许多高等院校正在使用开源技术构建校园内部网络电话系统，这不但能够帮助学校建立高效、低成本的实时沟通平台，而且还能够改善校园内部师生沟通的状况，促进学校与学生的高效互动，提高工作效率[2]。

VoIP尤其是Asterisk作为一项新的技术，其成熟程度仍然无法与传统的电话网络相比，而且在实际运营中，还需要解决如何适应现有的复杂网络环境，因此而引发了一些新的问题。

1 语音质量优化问题

对于校园VoIP电话网的使用用户，除拨号便捷外，最重要的是语音质量。但是在实际的校园网络电话系统中，应重点测试不同终端设备在不同情况下，尤其是不同的时段和环境中的语音质量及其压力。特别当网络带宽突然下降、大幅抖动甚至丢包这些常见的问题，这些主要是由于网络设备性能不足和实际可用带宽不足引起的。对于第一个原因可以通过大量测试，根据测试结果进行设备选型来解决；而第二个原因则必须要通过对IP网络服务质量的QoS管理才能实现带宽的有效支持。所以，为了使VoIP语音质量有所保障，网络协议层还需要引入带宽管理的QoS机制。目前的主流QoS协议可以分为两类。

1.1 资源预留

根据应用对QoS的要求分配网络资源，代表性的是IETF提出的Int-serv集成服务策略，实际应用中体现为RSVP协议。但实际上RSVP较难实现，所以不宜采用。

1.2 优先级

对特殊业务给予优先等级区分对待。按照这种思想，IETF提出了区分服务的QoS策略，由路由器决定不同IP包的转发先后的顺序。DiffServ具有良好的可伸缩性，比IntServ/RSVP更适合应用于核心骨干网络。区分服务的策略可采用渐进式逐步实施，是当前较为看好的一种IP网络QoS策略[3]。同时解决校园IP网络QoS亦可以用更宽的带宽或是更快包转发速率的路由器。

2 安全问题

校园网的开放性很大，互联网的各种安全威胁在校园网的运行和管理中表现得尤为突出。VoIP只是IP网络上的一种应用，也像其它IP网络应用一样易于受到攻击的安全威胁。除了病毒木马、垃圾邮件等之外，还有盗打电话；窃听电话，对关键设备的攻击，话费欺诈等。在实际运营中也会存在恶意者利用者渗透到校园网VoIP电话系统，对计费数据进行妨碍甚至改动，会对学校带来直接的经济损失。

针对这些问题，在实际运营中，校园网电话系统需要重点从以下几个角度来关注和解决安全问题。

2.1 网络

校园网管理部门需要结合VoIP电话网络的规划设计，在核心层、汇聚层以及接入层网络上设置对应的安全策略配置，从而加固VoIP的网络安全问题。

1）为校区内所有固定的VoIP网关设备和话机划分特定的网络地址段，并使用指定的Vla。这样做的好处就是可以严禁本Vlan与其它的Vlan之间的相互访问；

2）为了保护校园网VoIP核心系统的所有设备，根据特定的要求布置防火墙，如果有要求还可以布置入侵检测系统。针对VoIP的实际规划来配置相应的安全策略，比如对用户注册IP范围的限制等，同时关闭不对外开放的端口。另外在选用防火墙时，应该重点关注防火墙在连接数和吞吐量等性能上的支持能力；

3）针对老师和学生移动办公教学的需求，可以使用IPSEC或者PPTP等保证网络层面的安全。这意味着如果用户需要使用笔记本电脑在校外使用网络电话，与学校内的其他用户进行通信，则需要先与VoIP系统外围的防火墙先建立VPN隧道，完成一个个的鉴权后，才能够注册到Asterisk服务器上。

2.2 服务器

Asterisk软件运行在Linux服务器上，Linux操作系统本身的安全也会对整个VoIP电话系统的安全性产生重要的影响。所以Asterisk电话系统中所有的关键服务器需要结合外围的网络安全，针对性的实施一些安全策略。例如：确保所有Linux服务器使用最新的安全内核；启用系统内置的Iptables，配置安全策略，仅开放服务端口；使用复杂的操作系统用户密码；制定严格的用户和组权限和访问策略；及时给操作系统升级必要的安全补丁，堵住安全漏洞；关闭不必要的系统网络服务；对于系统登录等进行严格的记录；采用加密方式来进行系统管理和数据传输；做好重要数据的备份，防止数据被破坏和丢失。

2.3 VoIP软件系统

Asterisk软件系统本身的安全性同样是需要关注的。如果没有很好的安全性，攻击者也会渗透到系统中，从而进一步获取系统的控制权限。所以可以在其基础上按照自身的安全需求来完善架构，例如引入第三方认证服务器来加强安全性。

另外通常多数学校所采用的方案主要都采用了支持SIP协议的终端设备，而SIP协议本身基于明文文本的传输方式，既便利但也埋下了安全隐患。不良用户会利用Sniffer、ARP欺骗等技术，来窃取用户通信的报文，从而轻松获取其他合法用户的帐号、密码等关键信息。所以，还应该加强SIP的安全性。

IETF在RFC3261中提出了安全SIP机制，用于在传输层安全加密信道中发送SIP消息。通过部署基于SIP并支持安全SIP的设备，网络管理员便可以提高其VoIP网络的安全级别，保证网络的安全。针对安全SIP的通信，RFC3261定义了SIPS统一资源识别符(URI),其作用就像是HTTPS在安全HTTP连接中发挥的作用一样[4]。SIPS URI可以确保每两个节点之间使用SIP，从而对连接进行验证和加密，提供一个安全的连接。

3 管理维护问题

对于校园网电话系统来说，设备安装好并配置调试通过后，最重要的是管理维护整个网络，解决运营过程中出现的各种问题。例如分配资源、计费、查询、管理用户等。Asterisk本身具有强大的功能和很好的扩展能力，但如果单单作实际运营，还需要解决很多的运营支撑问题。因为在构建好网络之后，管理人员不可能针对任何维护都去修改配置文件，这样效率极其低下，并且有可能因为疏忽或误操作导致整个系统瘫痪。因此解决这些问题，基本上有两种途径可以选择。

3.1 购买现有的较为完善的第三方系统平台

购买现有的较为完善的第三方系统平台比较节省精力，缩短实施周期，但同样需要花费时间去认真测试和评估系统，以确定系统是否满足实际的需要，另外还有是否超出预算。

3.2 自行开发管理平台

自行开发管理平台比较灵活，完全可以根据自身的基础设施情况和应用需求，有计划性的逐步开发管理功能模块，但这样就要求维护人员要有很强的开发和维护能力，对于具备条件的学校可以采取这种方式。

当然不同的高校在面临这个问题时，一定要根据自身业务需求、运营模式，并结合经济预算来做。作为这个问题的一部分，通常为了降低成本，可以选择开源的网络管理软件来对VoIP网络和业务进行监控和管理，Nagios、OpenNMS、Zabix都是这个领域的极其优秀的开源免费软件。选择一款合适的监控软件，可以帮助校园网管理团队随时随地掌握VoIP电话网络的运行情况，包括各种Asterisk服务器和网关的性能指标、运行状态、网络利用率、实时呼叫进行监控，准确的定位各种已发生或潜在的故障，并根据对历史数据的分析，可以对未来升级扩展提供参考依据。当然不同的校园网电话系统在实际运营中还有其它的问题存在，这也需要进一步的实践，做更好的完善。

[1]杨毅. VoIP技术的基本原理与应用. 现代企业教育,2003. 6(1):177-181.

[2]刘薇.初探Asterisk技术在高校网络中的应用.济南职业学院学报，2009，10(5)：96-97.

[3]王小波.VoIP业务的QoS保障.网络世界,2002,4(03)12-14.

[4]三大技术有效提升呼叫中心品质,2010.4.27.