Asterisk校園網(wǎng)電話系統(tǒng)實(shí)際運(yùn)營中的問題

王媛

大連職業(yè)技術(shù)學(xué)院

VoIP指的是將模擬語音信號經(jīng)過模數(shù)轉(zhuǎn)換、編碼、壓縮與封裝之后,以分組的數(shù)據(jù)報(bào)文形式在IP網(wǎng)絡(luò)中進(jìn)行語音信號的傳輸，并在最終再次轉(zhuǎn)換成模擬聲音信號[1]。VoIP的一項(xiàng)典型應(yīng)用就是網(wǎng)絡(luò)電話。VoIP是當(dāng)今校園網(wǎng)絡(luò)發(fā)展最快應(yīng)用技術(shù)之一，也是各高校計(jì)算機(jī)網(wǎng)絡(luò)界關(guān)注的熱點(diǎn)。在國內(nèi)外，許多高等院校正在使用開源技術(shù)構(gòu)建校園內(nèi)部網(wǎng)絡(luò)電話系統(tǒng)，這不但能夠幫助學(xué)校建立高效、低成本的實(shí)時(shí)溝通平臺，而且還能夠改善校園內(nèi)部師生溝通的狀況，促進(jìn)學(xué)校與學(xué)生的高效互動，提高工作效率[2]。

VoIP尤其是Asterisk作為一項(xiàng)新的技術(shù)，其成熟程度仍然無法與傳統(tǒng)的電話網(wǎng)絡(luò)相比，而且在實(shí)際運(yùn)營中，還需要解決如何適應(yīng)現(xiàn)有的復(fù)雜網(wǎng)絡(luò)環(huán)境，因此而引發(fā)了一些新的問題。

1 語音質(zhì)量優(yōu)化問題

對于校園VoIP電話網(wǎng)的使用用戶，除撥號便捷外，最重要的是語音質(zhì)量。但是在實(shí)際的校園網(wǎng)絡(luò)電話系統(tǒng)中，應(yīng)重點(diǎn)測試不同終端設(shè)備在不同情況下，尤其是不同的時(shí)段和環(huán)境中的語音質(zhì)量及其壓力。特別當(dāng)網(wǎng)絡(luò)帶寬突然下降、大幅抖動甚至丟包這些常見的問題，這些主要是由于網(wǎng)絡(luò)設(shè)備性能不足和實(shí)際可用帶寬不足引起的。對于第一個(gè)原因可以通過大量測試，根據(jù)測試結(jié)果進(jìn)行設(shè)備選型來解決；而第二個(gè)原因則必須要通過對IP網(wǎng)絡(luò)服務(wù)質(zhì)量的QoS管理才能實(shí)現(xiàn)帶寬的有效支持。所以，為了使VoIP語音質(zhì)量有所保障，網(wǎng)絡(luò)協(xié)議層還需要引入帶寬管理的QoS機(jī)制。目前的主流QoS協(xié)議可以分為兩類。

1.1 資源預(yù)留

根據(jù)應(yīng)用對QoS的要求分配網(wǎng)絡(luò)資源，代表性的是IETF提出的Int-serv集成服務(wù)策略，實(shí)際應(yīng)用中體現(xiàn)為RSVP協(xié)議。但實(shí)際上RSVP較難實(shí)現(xiàn)，所以不宜采用。

1.2 優(yōu)先級

對特殊業(yè)務(wù)給予優(yōu)先等級區(qū)分對待。按照這種思想，IETF提出了區(qū)分服務(wù)的QoS策略，由路由器決定不同IP包的轉(zhuǎn)發(fā)先后的順序。DiffServ具有良好的可伸縮性，比IntServ/RSVP更適合應(yīng)用于核心骨干網(wǎng)絡(luò)。區(qū)分服務(wù)的策略可采用漸進(jìn)式逐步實(shí)施，是當(dāng)前較為看好的一種IP網(wǎng)絡(luò)QoS策略[3]。同時(shí)解決校園IP網(wǎng)絡(luò)QoS亦可以用更寬的帶寬或是更快包轉(zhuǎn)發(fā)速率的路由器。

2 安全問題

校園網(wǎng)的開放性很大，互聯(lián)網(wǎng)的各種安全威脅在校園網(wǎng)的運(yùn)行和管理中表現(xiàn)得尤為突出。VoIP只是IP網(wǎng)絡(luò)上的一種應(yīng)用，也像其它IP網(wǎng)絡(luò)應(yīng)用一樣易于受到攻擊的安全威脅。除了病毒木馬、垃圾郵件等之外，還有盜打電話；竊聽電話，對關(guān)鍵設(shè)備的攻擊，話費(fèi)欺詐等。在實(shí)際運(yùn)營中也會存在惡意者利用者滲透到校園網(wǎng)VoIP電話系統(tǒng)，對計(jì)費(fèi)數(shù)據(jù)進(jìn)行妨礙甚至改動，會對學(xué)校帶來直接的經(jīng)濟(jì)損失。

針對這些問題，在實(shí)際運(yùn)營中，校園網(wǎng)電話系統(tǒng)需要重點(diǎn)從以下幾個(gè)角度來關(guān)注和解決安全問題。

2.1 網(wǎng)絡(luò)

校園網(wǎng)管理部門需要結(jié)合VoIP電話網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)，在核心層、匯聚層以及接入層網(wǎng)絡(luò)上設(shè)置對應(yīng)的安全策略配置，從而加固VoIP的網(wǎng)絡(luò)安全問題。

1）為校區(qū)內(nèi)所有固定的VoIP網(wǎng)關(guān)設(shè)備和話機(jī)劃分特定的網(wǎng)絡(luò)地址段，并使用指定的Vla。這樣做的好處就是可以嚴(yán)禁本Vlan與其它的Vlan之間的相互訪問；

2）為了保護(hù)校園網(wǎng)VoIP核心系統(tǒng)的所有設(shè)備，根據(jù)特定的要求布置防火墻，如果有要求還可以布置入侵檢測系統(tǒng)。針對VoIP的實(shí)際規(guī)劃來配置相應(yīng)的安全策略，比如對用戶注冊IP范圍的限制等，同時(shí)關(guān)閉不對外開放的端口。另外在選用防火墻時(shí)，應(yīng)該重點(diǎn)關(guān)注防火墻在連接數(shù)和吞吐量等性能上的支持能力；

3）針對老師和學(xué)生移動辦公教學(xué)的需求，可以使用IPSEC或者PPTP等保證網(wǎng)絡(luò)層面的安全。這意味著如果用戶需要使用筆記本電腦在校外使用網(wǎng)絡(luò)電話，與學(xué)校內(nèi)的其他用戶進(jìn)行通信，則需要先與VoIP系統(tǒng)外圍的防火墻先建立VPN隧道，完成一個(gè)個(gè)的鑒權(quán)后，才能夠注冊到Asterisk服務(wù)器上。

2.2 服務(wù)器

Asterisk軟件運(yùn)行在Linux服務(wù)器上，Linux操作系統(tǒng)本身的安全也會對整個(gè)VoIP電話系統(tǒng)的安全性產(chǎn)生重要的影響。所以Asterisk電話系統(tǒng)中所有的關(guān)鍵服務(wù)器需要結(jié)合外圍的網(wǎng)絡(luò)安全，針對性的實(shí)施一些安全策略。例如：確保所有Linux服務(wù)器使用最新的安全內(nèi)核；啟用系統(tǒng)內(nèi)置的Iptables，配置安全策略，僅開放服務(wù)端口；使用復(fù)雜的操作系統(tǒng)用戶密碼；制定嚴(yán)格的用戶和組權(quán)限和訪問策略；及時(shí)給操作系統(tǒng)升級必要的安全補(bǔ)丁，堵住安全漏洞；關(guān)閉不必要的系統(tǒng)網(wǎng)絡(luò)服務(wù)；對于系統(tǒng)登錄等進(jìn)行嚴(yán)格的記錄；采用加密方式來進(jìn)行系統(tǒng)管理和數(shù)據(jù)傳輸；做好重要數(shù)據(jù)的備份，防止數(shù)據(jù)被破壞和丟失。

2.3 VoIP軟件系統(tǒng)

Asterisk軟件系統(tǒng)本身的安全性同樣是需要關(guān)注的。如果沒有很好的安全性，攻擊者也會滲透到系統(tǒng)中，從而進(jìn)一步獲取系統(tǒng)的控制權(quán)限。所以可以在其基礎(chǔ)上按照自身的安全需求來完善架構(gòu)，例如引入第三方認(rèn)證服務(wù)器來加強(qiáng)安全性。

另外通常多數(shù)學(xué)校所采用的方案主要都采用了支持SIP協(xié)議的終端設(shè)備，而SIP協(xié)議本身基于明文文本的傳輸方式，既便利但也埋下了安全隱患。不良用戶會利用Sniffer、ARP欺騙等技術(shù)，來竊取用戶通信的報(bào)文，從而輕松獲取其他合法用戶的帳號、密碼等關(guān)鍵信息。所以，還應(yīng)該加強(qiáng)SIP的安全性。

IETF在RFC3261中提出了安全SIP機(jī)制，用于在傳輸層安全加密信道中發(fā)送SIP消息。通過部署基于SIP并支持安全SIP的設(shè)備，網(wǎng)絡(luò)管理員便可以提高其VoIP網(wǎng)絡(luò)的安全級別，保證網(wǎng)絡(luò)的安全。針對安全SIP的通信，RFC3261定義了SIPS統(tǒng)一資源識別符(URI),其作用就像是HTTPS在安全HTTP連接中發(fā)揮的作用一樣[4]。SIPS URI可以確保每兩個(gè)節(jié)點(diǎn)之間使用SIP，從而對連接進(jìn)行驗(yàn)證和加密，提供一個(gè)安全的連接。

3 管理維護(hù)問題

對于校園網(wǎng)電話系統(tǒng)來說，設(shè)備安裝好并配置調(diào)試通過后，最重要的是管理維護(hù)整個(gè)網(wǎng)絡(luò)，解決運(yùn)營過程中出現(xiàn)的各種問題。例如分配資源、計(jì)費(fèi)、查詢、管理用戶等。Asterisk本身具有強(qiáng)大的功能和很好的擴(kuò)展能力，但如果單單作實(shí)際運(yùn)營，還需要解決很多的運(yùn)營支撐問題。因?yàn)樵跇?gòu)建好網(wǎng)絡(luò)之后，管理人員不可能針對任何維護(hù)都去修改配置文件，這樣效率極其低下，并且有可能因?yàn)槭韬龌蛘`操作導(dǎo)致整個(gè)系統(tǒng)癱瘓。因此解決這些問題，基本上有兩種途徑可以選擇。

3.1 購買現(xiàn)有的較為完善的第三方系統(tǒng)平臺

購買現(xiàn)有的較為完善的第三方系統(tǒng)平臺比較節(jié)省精力，縮短實(shí)施周期，但同樣需要花費(fèi)時(shí)間去認(rèn)真測試和評估系統(tǒng)，以確定系統(tǒng)是否滿足實(shí)際的需要，另外還有是否超出預(yù)算。

3.2 自行開發(fā)管理平臺

自行開發(fā)管理平臺比較靈活，完全可以根據(jù)自身的基礎(chǔ)設(shè)施情況和應(yīng)用需求，有計(jì)劃性的逐步開發(fā)管理功能模塊，但這樣就要求維護(hù)人員要有很強(qiáng)的開發(fā)和維護(hù)能力，對于具備條件的學(xué)校可以采取這種方式。

當(dāng)然不同的高校在面臨這個(gè)問題時(shí)，一定要根據(jù)自身業(yè)務(wù)需求、運(yùn)營模式，并結(jié)合經(jīng)濟(jì)預(yù)算來做。作為這個(gè)問題的一部分，通常為了降低成本，可以選擇開源的網(wǎng)絡(luò)管理軟件來對VoIP網(wǎng)絡(luò)和業(yè)務(wù)進(jìn)行監(jiān)控和管理，Nagios、OpenNMS、Zabix都是這個(gè)領(lǐng)域的極其優(yōu)秀的開源免費(fèi)軟件。選擇一款合適的監(jiān)控軟件，可以幫助校園網(wǎng)管理團(tuán)隊(duì)隨時(shí)隨地掌握VoIP電話網(wǎng)絡(luò)的運(yùn)行情況，包括各種Asterisk服務(wù)器和網(wǎng)關(guān)的性能指標(biāo)、運(yùn)行狀態(tài)、網(wǎng)絡(luò)利用率、實(shí)時(shí)呼叫進(jìn)行監(jiān)控，準(zhǔn)確的定位各種已發(fā)生或潛在的故障，并根據(jù)對歷史數(shù)據(jù)的分析，可以對未來升級擴(kuò)展提供參考依據(jù)。當(dāng)然不同的校園網(wǎng)電話系統(tǒng)在實(shí)際運(yùn)營中還有其它的問題存在，這也需要進(jìn)一步的實(shí)踐，做更好的完善。

[1]楊毅. VoIP技術(shù)的基本原理與應(yīng)用. 現(xiàn)代企業(yè)教育,2003. 6(1):177-181.

[2]劉薇.初探Asterisk技術(shù)在高校網(wǎng)絡(luò)中的應(yīng)用.濟(jì)南職業(yè)學(xué)院學(xué)報(bào)，2009，10(5)：96-97.

[3]王小波.VoIP業(yè)務(wù)的QoS保障.網(wǎng)絡(luò)世界,2002,4(03)12-14.

[4]三大技術(shù)有效提升呼叫中心品質(zhì),2010.4.27.