Asterisk校園網(wǎng)電話(huà)系統(tǒng)實(shí)際運(yùn)營(yíng)中的問(wèn)題

王媛

大連職業(yè)技術(shù)學(xué)院

VoIP指的是將模擬語(yǔ)音信號(hào)經(jīng)過(guò)模數(shù)轉(zhuǎn)換、編碼、壓縮與封裝之后,以分組的數(shù)據(jù)報(bào)文形式在IP網(wǎng)絡(luò)中進(jìn)行語(yǔ)音信號(hào)的傳輸，并在最終再次轉(zhuǎn)換成模擬聲音信號(hào)[1]。VoIP的一項(xiàng)典型應(yīng)用就是網(wǎng)絡(luò)電話(huà)。VoIP是當(dāng)今校園網(wǎng)絡(luò)發(fā)展最快應(yīng)用技術(shù)之一，也是各高校計(jì)算機(jī)網(wǎng)絡(luò)界關(guān)注的熱點(diǎn)。在國(guó)內(nèi)外，許多高等院校正在使用開(kāi)源技術(shù)構(gòu)建校園內(nèi)部網(wǎng)絡(luò)電話(huà)系統(tǒng)，這不但能夠幫助學(xué)校建立高效、低成本的實(shí)時(shí)溝通平臺(tái)，而且還能夠改善校園內(nèi)部師生溝通的狀況，促進(jìn)學(xué)校與學(xué)生的高效互動(dòng)，提高工作效率[2]。

VoIP尤其是Asterisk作為一項(xiàng)新的技術(shù)，其成熟程度仍然無(wú)法與傳統(tǒng)的電話(huà)網(wǎng)絡(luò)相比，而且在實(shí)際運(yùn)營(yíng)中，還需要解決如何適應(yīng)現(xiàn)有的復(fù)雜網(wǎng)絡(luò)環(huán)境，因此而引發(fā)了一些新的問(wèn)題。

1 語(yǔ)音質(zhì)量?jī)?yōu)化問(wèn)題

對(duì)于校園VoIP電話(huà)網(wǎng)的使用用戶(hù)，除撥號(hào)便捷外，最重要的是語(yǔ)音質(zhì)量。但是在實(shí)際的校園網(wǎng)絡(luò)電話(huà)系統(tǒng)中，應(yīng)重點(diǎn)測(cè)試不同終端設(shè)備在不同情況下，尤其是不同的時(shí)段和環(huán)境中的語(yǔ)音質(zhì)量及其壓力。特別當(dāng)網(wǎng)絡(luò)帶寬突然下降、大幅抖動(dòng)甚至丟包這些常見(jiàn)的問(wèn)題，這些主要是由于網(wǎng)絡(luò)設(shè)備性能不足和實(shí)際可用帶寬不足引起的。對(duì)于第一個(gè)原因可以通過(guò)大量測(cè)試，根據(jù)測(cè)試結(jié)果進(jìn)行設(shè)備選型來(lái)解決；而第二個(gè)原因則必須要通過(guò)對(duì)IP網(wǎng)絡(luò)服務(wù)質(zhì)量的QoS管理才能實(shí)現(xiàn)帶寬的有效支持。所以，為了使VoIP語(yǔ)音質(zhì)量有所保障，網(wǎng)絡(luò)協(xié)議層還需要引入帶寬管理的QoS機(jī)制。目前的主流QoS協(xié)議可以分為兩類(lèi)。

1.1 資源預(yù)留

根據(jù)應(yīng)用對(duì)QoS的要求分配網(wǎng)絡(luò)資源，代表性的是IETF提出的Int-serv集成服務(wù)策略，實(shí)際應(yīng)用中體現(xiàn)為RSVP協(xié)議。但實(shí)際上RSVP較難實(shí)現(xiàn)，所以不宜采用。

1.2 優(yōu)先級(jí)

對(duì)特殊業(yè)務(wù)給予優(yōu)先等級(jí)區(qū)分對(duì)待。按照這種思想，IETF提出了區(qū)分服務(wù)的QoS策略，由路由器決定不同IP包的轉(zhuǎn)發(fā)先后的順序。DiffServ具有良好的可伸縮性，比IntServ/RSVP更適合應(yīng)用于核心骨干網(wǎng)絡(luò)。區(qū)分服務(wù)的策略可采用漸進(jìn)式逐步實(shí)施，是當(dāng)前較為看好的一種IP網(wǎng)絡(luò)QoS策略[3]。同時(shí)解決校園IP網(wǎng)絡(luò)QoS亦可以用更寬的帶寬或是更快包轉(zhuǎn)發(fā)速率的路由器。

2 安全問(wèn)題

校園網(wǎng)的開(kāi)放性很大，互聯(lián)網(wǎng)的各種安全威脅在校園網(wǎng)的運(yùn)行和管理中表現(xiàn)得尤為突出。VoIP只是IP網(wǎng)絡(luò)上的一種應(yīng)用，也像其它IP網(wǎng)絡(luò)應(yīng)用一樣易于受到攻擊的安全威脅。除了病毒木馬、垃圾郵件等之外，還有盜打電話(huà)；竊聽(tīng)電話(huà)，對(duì)關(guān)鍵設(shè)備的攻擊，話(huà)費(fèi)欺詐等。在實(shí)際運(yùn)營(yíng)中也會(huì)存在惡意者利用者滲透到校園網(wǎng)VoIP電話(huà)系統(tǒng)，對(duì)計(jì)費(fèi)數(shù)據(jù)進(jìn)行妨礙甚至改動(dòng)，會(huì)對(duì)學(xué)校帶來(lái)直接的經(jīng)濟(jì)損失。

針對(duì)這些問(wèn)題，在實(shí)際運(yùn)營(yíng)中，校園網(wǎng)電話(huà)系統(tǒng)需要重點(diǎn)從以下幾個(gè)角度來(lái)關(guān)注和解決安全問(wèn)題。

2.1 網(wǎng)絡(luò)

校園網(wǎng)管理部門(mén)需要結(jié)合VoIP電話(huà)網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)，在核心層、匯聚層以及接入層網(wǎng)絡(luò)上設(shè)置對(duì)應(yīng)的安全策略配置，從而加固VoIP的網(wǎng)絡(luò)安全問(wèn)題。

1）為校區(qū)內(nèi)所有固定的VoIP網(wǎng)關(guān)設(shè)備和話(huà)機(jī)劃分特定的網(wǎng)絡(luò)地址段，并使用指定的Vla。這樣做的好處就是可以嚴(yán)禁本Vlan與其它的Vlan之間的相互訪(fǎng)問(wèn)；

2）為了保護(hù)校園網(wǎng)VoIP核心系統(tǒng)的所有設(shè)備，根據(jù)特定的要求布置防火墻，如果有要求還可以布置入侵檢測(cè)系統(tǒng)。針對(duì)VoIP的實(shí)際規(guī)劃來(lái)配置相應(yīng)的安全策略，比如對(duì)用戶(hù)注冊(cè)IP范圍的限制等，同時(shí)關(guān)閉不對(duì)外開(kāi)放的端口。另外在選用防火墻時(shí)，應(yīng)該重點(diǎn)關(guān)注防火墻在連接數(shù)和吞吐量等性能上的支持能力；

3）針對(duì)老師和學(xué)生移動(dòng)辦公教學(xué)的需求，可以使用IPSEC或者PPTP等保證網(wǎng)絡(luò)層面的安全。這意味著如果用戶(hù)需要使用筆記本電腦在校外使用網(wǎng)絡(luò)電話(huà)，與學(xué)校內(nèi)的其他用戶(hù)進(jìn)行通信，則需要先與VoIP系統(tǒng)外圍的防火墻先建立VPN隧道，完成一個(gè)個(gè)的鑒權(quán)后，才能夠注冊(cè)到Asterisk服務(wù)器上。

2.2 服務(wù)器

Asterisk軟件運(yùn)行在Linux服務(wù)器上，Linux操作系統(tǒng)本身的安全也會(huì)對(duì)整個(gè)VoIP電話(huà)系統(tǒng)的安全性產(chǎn)生重要的影響。所以Asterisk電話(huà)系統(tǒng)中所有的關(guān)鍵服務(wù)器需要結(jié)合外圍的網(wǎng)絡(luò)安全，針對(duì)性的實(shí)施一些安全策略。例如：確保所有Linux服務(wù)器使用最新的安全內(nèi)核；啟用系統(tǒng)內(nèi)置的Iptables，配置安全策略，僅開(kāi)放服務(wù)端口；使用復(fù)雜的操作系統(tǒng)用戶(hù)密碼；制定嚴(yán)格的用戶(hù)和組權(quán)限和訪(fǎng)問(wèn)策略；及時(shí)給操作系統(tǒng)升級(jí)必要的安全補(bǔ)丁，堵住安全漏洞；關(guān)閉不必要的系統(tǒng)網(wǎng)絡(luò)服務(wù)；對(duì)于系統(tǒng)登錄等進(jìn)行嚴(yán)格的記錄；采用加密方式來(lái)進(jìn)行系統(tǒng)管理和數(shù)據(jù)傳輸；做好重要數(shù)據(jù)的備份，防止數(shù)據(jù)被破壞和丟失。

2.3 VoIP軟件系統(tǒng)

Asterisk軟件系統(tǒng)本身的安全性同樣是需要關(guān)注的。如果沒(méi)有很好的安全性，攻擊者也會(huì)滲透到系統(tǒng)中，從而進(jìn)一步獲取系統(tǒng)的控制權(quán)限。所以可以在其基礎(chǔ)上按照自身的安全需求來(lái)完善架構(gòu)，例如引入第三方認(rèn)證服務(wù)器來(lái)加強(qiáng)安全性。

另外通常多數(shù)學(xué)校所采用的方案主要都采用了支持SIP協(xié)議的終端設(shè)備，而SIP協(xié)議本身基于明文文本的傳輸方式，既便利但也埋下了安全隱患。不良用戶(hù)會(huì)利用Sniffer、ARP欺騙等技術(shù)，來(lái)竊取用戶(hù)通信的報(bào)文，從而輕松獲取其他合法用戶(hù)的帳號(hào)、密碼等關(guān)鍵信息。所以，還應(yīng)該加強(qiáng)SIP的安全性。

IETF在RFC3261中提出了安全SIP機(jī)制，用于在傳輸層安全加密信道中發(fā)送SIP消息。通過(guò)部署基于SIP并支持安全SIP的設(shè)備，網(wǎng)絡(luò)管理員便可以提高其VoIP網(wǎng)絡(luò)的安全級(jí)別，保證網(wǎng)絡(luò)的安全。針對(duì)安全SIP的通信，RFC3261定義了SIPS統(tǒng)一資源識(shí)別符(URI),其作用就像是HTTPS在安全HTTP連接中發(fā)揮的作用一樣[4]。SIPS URI可以確保每?jī)蓚€(gè)節(jié)點(diǎn)之間使用SIP，從而對(duì)連接進(jìn)行驗(yàn)證和加密，提供一個(gè)安全的連接。

3 管理維護(hù)問(wèn)題

對(duì)于校園網(wǎng)電話(huà)系統(tǒng)來(lái)說(shuō)，設(shè)備安裝好并配置調(diào)試通過(guò)后，最重要的是管理維護(hù)整個(gè)網(wǎng)絡(luò)，解決運(yùn)營(yíng)過(guò)程中出現(xiàn)的各種問(wèn)題。例如分配資源、計(jì)費(fèi)、查詢(xún)、管理用戶(hù)等。Asterisk本身具有強(qiáng)大的功能和很好的擴(kuò)展能力，但如果單單作實(shí)際運(yùn)營(yíng)，還需要解決很多的運(yùn)營(yíng)支撐問(wèn)題。因?yàn)樵跇?gòu)建好網(wǎng)絡(luò)之后，管理人員不可能針對(duì)任何維護(hù)都去修改配置文件，這樣效率極其低下，并且有可能因?yàn)槭韬龌蛘`操作導(dǎo)致整個(gè)系統(tǒng)癱瘓。因此解決這些問(wèn)題，基本上有兩種途徑可以選擇。

3.1 購(gòu)買(mǎi)現(xiàn)有的較為完善的第三方系統(tǒng)平臺(tái)

購(gòu)買(mǎi)現(xiàn)有的較為完善的第三方系統(tǒng)平臺(tái)比較節(jié)省精力，縮短實(shí)施周期，但同樣需要花費(fèi)時(shí)間去認(rèn)真測(cè)試和評(píng)估系統(tǒng)，以確定系統(tǒng)是否滿(mǎn)足實(shí)際的需要，另外還有是否超出預(yù)算。

3.2 自行開(kāi)發(fā)管理平臺(tái)

自行開(kāi)發(fā)管理平臺(tái)比較靈活，完全可以根據(jù)自身的基礎(chǔ)設(shè)施情況和應(yīng)用需求，有計(jì)劃性的逐步開(kāi)發(fā)管理功能模塊，但這樣就要求維護(hù)人員要有很強(qiáng)的開(kāi)發(fā)和維護(hù)能力，對(duì)于具備條件的學(xué)?？梢圆扇∵@種方式。

當(dāng)然不同的高校在面臨這個(gè)問(wèn)題時(shí)，一定要根據(jù)自身業(yè)務(wù)需求、運(yùn)營(yíng)模式，并結(jié)合經(jīng)濟(jì)預(yù)算來(lái)做。作為這個(gè)問(wèn)題的一部分，通常為了降低成本，可以選擇開(kāi)源的網(wǎng)絡(luò)管理軟件來(lái)對(duì)VoIP網(wǎng)絡(luò)和業(yè)務(wù)進(jìn)行監(jiān)控和管理，Nagios、OpenNMS、Zabix都是這個(gè)領(lǐng)域的極其優(yōu)秀的開(kāi)源免費(fèi)軟件。選擇一款合適的監(jiān)控軟件，可以幫助校園網(wǎng)管理團(tuán)隊(duì)隨時(shí)隨地掌握VoIP電話(huà)網(wǎng)絡(luò)的運(yùn)行情況，包括各種Asterisk服務(wù)器和網(wǎng)關(guān)的性能指標(biāo)、運(yùn)行狀態(tài)、網(wǎng)絡(luò)利用率、實(shí)時(shí)呼叫進(jìn)行監(jiān)控，準(zhǔn)確的定位各種已發(fā)生或潛在的故障，并根據(jù)對(duì)歷史數(shù)據(jù)的分析，可以對(duì)未來(lái)升級(jí)擴(kuò)展提供參考依據(jù)。當(dāng)然不同的校園網(wǎng)電話(huà)系統(tǒng)在實(shí)際運(yùn)營(yíng)中還有其它的問(wèn)題存在，這也需要進(jìn)一步的實(shí)踐，做更好的完善。

[1]楊毅. VoIP技術(shù)的基本原理與應(yīng)用. 現(xiàn)代企業(yè)教育,2003. 6(1):177-181.

[2]劉薇.初探Asterisk技術(shù)在高校網(wǎng)絡(luò)中的應(yīng)用.濟(jì)南職業(yè)學(xué)院學(xué)報(bào)，2009，10(5)：96-97.

[3]王小波.VoIP業(yè)務(wù)的QoS保障.網(wǎng)絡(luò)世界,2002,4(03)12-14.

[4]三大技術(shù)有效提升呼叫中心品質(zhì),2010.4.27.