基于IP-VPN技術(shù)的網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)
2008-01-01 00:00:00秦琴
電腦知識與技術(shù) 2008年5期
摘要:本文介紹了一種基于IP網(wǎng)絡(luò)構(gòu)建VPN網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)的方案。首先簡要介紹了視頻會(huì)議系統(tǒng)的關(guān)鍵技術(shù)——基于IP的H.323 協(xié)議及這種技術(shù)的不足,簡要介紹VPN技術(shù)的基本原理,并分析和比較了基于IP網(wǎng)絡(luò)的VPN實(shí)現(xiàn)技術(shù),最后給出了基于IP-VPN技術(shù)的大型企業(yè)視頻會(huì)議系統(tǒng)實(shí)現(xiàn)方案。
關(guān)鍵詞:IP;VPN;視頻會(huì)議系統(tǒng)
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2008)05-10000-00
視頻會(huì)議系統(tǒng)(Video Conferencing System)是隨著網(wǎng)絡(luò)、通信等多媒體技術(shù)的發(fā)展和普及而產(chǎn)生的,是一種針對多種媒體復(fù)合體的以多媒體形式支持多方通信和協(xié)同工作的多媒體應(yīng)用系統(tǒng)。一個(gè)視頻會(huì)議系統(tǒng)包含了視頻、音頻、圖示和數(shù)據(jù)一體化的解決方案,實(shí)現(xiàn)即時(shí)且互動(dòng)的溝通,因此該系統(tǒng)必須具有實(shí)時(shí)性和交互性的特點(diǎn)。
本文針對目前廣泛使用的基于IP網(wǎng)絡(luò)H.323協(xié)議的視頻會(huì)議系統(tǒng)方案,分析其不足,提出了以VPN技術(shù)搭建基于IP承載網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)。
1 視頻會(huì)議系統(tǒng)的關(guān)鍵技術(shù)及存在的不足
1930年的4月,在ATT總部和他們的位于紐約市的貝爾實(shí)驗(yàn)室之間實(shí)現(xiàn)了最早的網(wǎng)絡(luò)視頻會(huì)議。70年代,世界上第一個(gè)視頻會(huì)議系統(tǒng)Emisari和Forum-Planet出現(xiàn)。到了1990 年,H.320協(xié)議被引入視頻會(huì)議,該協(xié)議適用于當(dāng)時(shí)的窄帶ISDN以及相似特性的專用網(wǎng),傳輸速率是很大的瓶頸,且價(jià)格昂貴,不具備廣泛的適用性。直至1996年,ITU-T推出了H.323協(xié)議,它是基于IP網(wǎng)絡(luò)的多媒體通信系統(tǒng)的建議,主要描述無服務(wù)質(zhì)量保障的LAN多媒體通信終端、設(shè)備和服務(wù)。它對網(wǎng)絡(luò)的帶寬要求較低,最低可達(dá)到128Kbps,并且由于它是基于IP的,與Internet有很好的兼容性,因此H.323視頻會(huì)議系統(tǒng)是目前在IP 網(wǎng)絡(luò)上應(yīng)用較廣泛的視頻會(huì)議系統(tǒng)。
1.1 H.323協(xié)議
H.323制定了無服務(wù)質(zhì)量保證的包交換網(wǎng)絡(luò)PBN(Packet Based Networks)上的多媒體通信系統(tǒng)標(biāo)準(zhǔn),涉及到終端設(shè)備、視頻、音頻和數(shù)據(jù)傳輸、通信控制、網(wǎng)絡(luò)接口等方面的內(nèi)容,還包括了組成多點(diǎn)會(huì)議的多點(diǎn)控制單元(MCU)、多點(diǎn)控制器(MC)、多點(diǎn)處理器(MP)、網(wǎng)關(guān)以及網(wǎng)守等設(shè)備。
H.323系統(tǒng)的基本組成單元是“域”,它是指一個(gè)由網(wǎng)守管理的網(wǎng)關(guān)、多點(diǎn)控制單元、多點(diǎn)控制器、多點(diǎn)處理器和所有終端組成的集合。一個(gè)域最少包含一個(gè)終端,而且必須有且只有一個(gè)網(wǎng)守。H.323系統(tǒng)中各個(gè)邏輯組成部份稱為H.323的實(shí)體,其種類有:終端、網(wǎng)關(guān)、多點(diǎn)控制單元、多點(diǎn)控制器、多點(diǎn)處理器。其中終端、網(wǎng)關(guān)、多點(diǎn)控制單元是H.323 中的終端設(shè)備,是網(wǎng)絡(luò)中的邏輯單元。終端設(shè)備是可呼叫的和被呼叫的,而有些實(shí)體是不可被呼叫的,如網(wǎng)守。
1.2 H.323視頻會(huì)議系統(tǒng)存在的不足
一是帶寬穩(wěn)定性的不足,即擁塞控制技術(shù)上存在問題,在出現(xiàn)瞬時(shí)的網(wǎng)絡(luò)擁塞時(shí),系統(tǒng)會(huì)以犧牲視頻質(zhì)量來保證圖像的連續(xù)性,必然會(huì)產(chǎn)生諸如馬賽克、毛刺或動(dòng)畫的現(xiàn)象。二是在安全性上沒有保障。對于政府部門這類對安全性要求較高的行業(yè)和管理部門,顯然基于公網(wǎng)的H1323視頻會(huì)議系統(tǒng)安全性是不能滿足需求的。三是費(fèi)用的問題。為此,許多部門通過租用專線來解決以上問題。但租用專線的費(fèi)用及其安裝和維護(hù)的費(fèi)用太高,并且不能像公網(wǎng)那樣具備良好的可擴(kuò)充性和通用性。
2 基于IP網(wǎng)絡(luò)構(gòu)建VPN
鑒于上述不足,當(dāng)前迫切需要一種新方案來提供高質(zhì)量的、安全的,并且能夠充分利用現(xiàn)有網(wǎng)絡(luò)資源以達(dá)到節(jié)省資金目的的視頻會(huì)議系統(tǒng)。本文提出了基于IP網(wǎng)絡(luò)構(gòu)建VPN視頻會(huì)議系統(tǒng),是基于以下三點(diǎn)考慮:首先,能夠通過VPN特有的技術(shù)實(shí)現(xiàn)路由的動(dòng)態(tài)配置,更充分的利用網(wǎng)絡(luò)資源,既使數(shù)據(jù)在帶寬有限的情況下實(shí)現(xiàn)更高質(zhì)量的傳輸,又節(jié)省大量通信和設(shè)備費(fèi)用,比使用專線的成本節(jié)省30%-50%。其次,高度的安全性。IP-VPN 綜合運(yùn)用隧道技術(shù)、訪問控制技術(shù)、防火墻技術(shù)和加密技術(shù),并通過適當(dāng)?shù)拿荑€管理機(jī)制在IP網(wǎng)絡(luò)上建立企業(yè)自己專用的通信通道,確保資料在公網(wǎng)上傳輸時(shí)不被竊取,或者是即使被竊取了對方仍無法讀取資料的內(nèi)容。這就可以在不影響現(xiàn)行業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下進(jìn)行,同時(shí)保證了網(wǎng)絡(luò)的安全性能。第三是良好的擴(kuò)展性。企業(yè)能夠隨時(shí)根據(jù)業(yè)務(wù)的需要,擴(kuò)大VPN 的容量和覆蓋范圍,還能夠?qū)崿F(xiàn)與其他企業(yè)網(wǎng)絡(luò)的隨機(jī)連接。
2.1 VPN技術(shù)簡介
VPN(Virtual Private Networks,虛擬專用網(wǎng))指依靠ISP(Internet 服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商),在公用網(wǎng)絡(luò)中建立專用的虛擬數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在VPN 中, 任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理連接, 而是用某種公眾網(wǎng)的資源動(dòng)態(tài)分配組成的。VPN用戶只需要連入本地提供VPN服務(wù)ISP的POP(Point of Presence,接入服務(wù)提供點(diǎn)),就可相互通信,特別是當(dāng)兩個(gè)企業(yè)需要建立Extranet時(shí),只要兩者都接入了VPN 服務(wù),就可以直接通訊。當(dāng)VPN建立起來后,就可以利用公網(wǎng)實(shí)現(xiàn)企業(yè)內(nèi)部不受地域限制的連接。
2.2 IP-VPN實(shí)現(xiàn)技術(shù)及優(yōu)缺點(diǎn)分析
基于IP的虛擬專用網(wǎng)技術(shù)(IP Based Virtual Private Networks,簡寫為IP-VPN)正受到人們的廣泛關(guān)注,它是未來網(wǎng)絡(luò)安全研究和Internet應(yīng)用的一個(gè)重要方向。
目前,IP-VPN的技術(shù)實(shí)現(xiàn)主要有三種方式:(1)基于防火墻的VPN。這是最流行的集成方案,它既可以提供一個(gè)集中式管理,又可以兼顧防火墻的安全策略和需要建立的傳輸隧道。有兩種結(jié)合方式:一是采用單層防火墻,將隧道中斷器設(shè)置在防火墻以外;二是采用兩層防火墻,將隧道中斷器設(shè)置于兩層防火墻之間的非軍事區(qū)內(nèi)。不管是哪一種方法,遠(yuǎn)程用戶只能訪問網(wǎng)絡(luò)邊界處的連接點(diǎn)的網(wǎng)絡(luò)資源,防火墻可以防止非法用戶竊取企業(yè)網(wǎng)絡(luò)的信息。(2)基于路由器的VPN。把VPN安裝在邊界路由器上將能夠在數(shù)據(jù)流進(jìn)人防火墻之前進(jìn)行解密。這種方式必須注意處理負(fù)荷的大小的問題,避免造成路由器過載。(3)采用專用軟件或硬件。在用戶的防火墻和路由器都不支持VPN功能的情況下,可以用硬件或軟件的方法生成專門的VPN連接。該方式最大缺點(diǎn)是需要額外的管理和安全維護(hù)。若該設(shè)備位于防火墻外則存在地址欺騙性攻擊問題;若該設(shè)備位于防火墻內(nèi),則用戶可能無法使用防火墻安全策略進(jìn)行訪問管理。
3 系統(tǒng)的實(shí)現(xiàn)
3.1 總體設(shè)計(jì)
本文提出為大型企業(yè)構(gòu)建基于IP-VPN技術(shù)的視頻會(huì)議系統(tǒng)。考慮到企業(yè)用戶的會(huì)議內(nèi)容涉及商業(yè)機(jī)密,對安全性能的要求較高,因此采用基于防火墻的VPN實(shí)現(xiàn)方式。
在傳輸協(xié)議的技術(shù)選擇上,考慮到傳統(tǒng)的以安全隧道技術(shù)為核心的網(wǎng)絡(luò)層協(xié)議族IPSe在安全性和支持遠(yuǎn)程辦公、移動(dòng)辦公方面具有優(yōu)勢,但隨著VPN數(shù)量的增加、VPN規(guī)模的不斷擴(kuò)大,其網(wǎng)絡(luò)的可擴(kuò)展性和可維護(hù)性將會(huì)成為瓶頸,而MPLS(Mutiprotocol Label Switching,多協(xié)議標(biāo)簽交換)VPN組網(wǎng)技術(shù)具有組網(wǎng)容易、易于擴(kuò)展和維護(hù)等優(yōu)點(diǎn),能夠?yàn)槠髽I(yè)節(jié)省了大量的人力、物力和財(cái)力。因此,本文提出的方案是:在公司總部與分公司之間采用MPLS技術(shù)構(gòu)成VPN,總部和公司合作伙伴及移動(dòng)用戶之間用IPSec技術(shù)構(gòu)成VPN,該方案可以提供有區(qū)別的新型服務(wù), 其范圍覆蓋了安全、數(shù)據(jù)機(jī)密性、QoS和流量控制。
3.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
根據(jù)方案,設(shè)計(jì)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(見圖1),其中有三種VPN設(shè)備:CE(Custom Edge, 用戶接入設(shè)備)或移動(dòng)PC、PE(Provider Edge Router,骨干網(wǎng)邊緣路由器)和P(Provider Router,骨干網(wǎng)核心路由器,可以兼做PE 路由器)。
圖1 系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖
每個(gè)企業(yè)內(nèi)部子網(wǎng)的互聯(lián)網(wǎng)入口都配置了PE(如圖中的PE1 、PE2、PE3、PE4),它不僅肩負(fù)了路由的任務(wù),還作為安全網(wǎng)關(guān),兼?zhèn)浞阑饓δ堋P枰f明的是,本方案中規(guī)定移動(dòng)節(jié)點(diǎn)(如移動(dòng)PC)必須僅在一個(gè)PE所屬的子網(wǎng)中進(jìn)行登記,此PE還必須能夠運(yùn)行移動(dòng)IP協(xié)議,具備移動(dòng)代理的功能,發(fā)送代理通告,維護(hù)移動(dòng)節(jié)點(diǎn)信息,為移動(dòng)節(jié)點(diǎn)路由、轉(zhuǎn)發(fā)數(shù)據(jù)。當(dāng)不同子網(wǎng)中的節(jié)點(diǎn)進(jìn)行通信時(shí),P和PE之間建立起基于MPLS或IPSec通信通道,對通信實(shí)體(包括其中的固定節(jié)點(diǎn)和移動(dòng)節(jié)點(diǎn))和數(shù)據(jù)流進(jìn)行認(rèn)證和保護(hù)。
4 小結(jié)
VPN憑借其費(fèi)用低廉、安全、可靠、靈活性大等優(yōu)點(diǎn),正迅速成為網(wǎng)絡(luò)技術(shù)領(lǐng)域中的一個(gè)熱點(diǎn)。采用VPN技術(shù)構(gòu)建基于IP網(wǎng)絡(luò)的視頻會(huì)議系統(tǒng),能夠利用公用骨干網(wǎng)絡(luò)廣泛而強(qiáng)大的傳輸能力,降低企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)成本,提高網(wǎng)絡(luò)運(yùn)營和管理的靈活性,更好的發(fā)揮視頻會(huì)議系統(tǒng)實(shí)時(shí)性、交互性、多媒體性和共享性等優(yōu)點(diǎn),滿足企業(yè)的需求。
本文給出了大型企業(yè)視頻會(huì)議系統(tǒng)的解決方案,通過MPLS VPN技術(shù)建立企業(yè)總部與分公司之間的連接通道,通過IPSec VPN技術(shù)實(shí)現(xiàn)企業(yè)與其他合作伙伴和移動(dòng)用戶的連接拓展,從而建立一個(gè)更大規(guī)模的擴(kuò)展企業(yè)網(wǎng)。
參考文獻(xiàn):
[1]何寶宏. IP虛擬專用網(wǎng)技術(shù)[M]. 北京:人民郵電出版社,2002.
[2]王達(dá)等. 虛擬專用網(wǎng)(VPN)精解[M]. 北京:清華大學(xué)出版社,2004.58-59.
[3]楊高波,韓龍. 視頻會(huì)議系統(tǒng)綜述[J]. 電視技術(shù),2004.9.
[4]陳柏生,鄭建德,施華. IP視頻會(huì)議系統(tǒng)及其關(guān)鍵技術(shù)[J]. 廈門大學(xué)學(xué)報(bào)(自然科學(xué)版) 2004,(8):43.
[5]王柱. 基于IP城域網(wǎng)的MPLS VPN規(guī)劃與性能分析[D]. 天津:天津大學(xué),2006.
收稿日期:2008-01-12
作者簡介:秦琴(1972-),女,重慶市,講師,主要研究方向:計(jì)算機(jī)網(wǎng)絡(luò)和數(shù)據(jù)庫應(yīng)用技術(shù)。
