基于ＩＰ－ＶＰＮ技術的網絡視頻會議系統

摘要：本文介紹了一種基于IP網絡構建VPN網絡視頻會議系統的方案。首先簡要介紹了視頻會議系統的關鍵技術——基于IP的H.323 協議及這種技術的不足，簡要介紹VPN技術的基本原理，并分析和比較了基于IP網絡的VPN實現技術，最后給出了基于IP-VPN技術的大型企業視頻會議系統實現方案。

關鍵詞：IP；VPN；視頻會議系統

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)05-10000-00

視頻會議系統（Video Conferencing System）是隨著網絡、通信等多媒體技術的發展和普及而產生的，是一種針對多種媒體復合體的以多媒體形式支持多方通信和協同工作的多媒體應用系統。一個視頻會議系統包含了視頻、音頻、圖示和數據一體化的解決方案，實現即時且互動的溝通，因此該系統必須具有實時性和交互性的特點。

本文針對目前廣泛使用的基于IP網絡H.323協議的視頻會議系統方案，分析其不足，提出了以VPN技術搭建基于IP承載網絡視頻會議系統。

1 視頻會議系統的關鍵技術及存在的不足

1930年的4月，在ATT總部和他們的位于紐約市的貝爾實驗室之間實現了最早的網絡視頻會議。70年代，世界上第一個視頻會議系統Emisari和Forum-Planet出現。到了1990 年，H.320協議被引入視頻會議，該協議適用于當時的窄帶ISDN以及相似特性的專用網，傳輸速率是很大的瓶頸，且價格昂貴，不具備廣泛的適用性。直至1996年，ITU-T推出了H.323協議，它是基于IP網絡的多媒體通信系統的建議，主要描述無服務質量保障的LAN多媒體通信終端、設備和服務。它對網絡的帶寬要求較低，最低可達到128Kbps，并且由于它是基于IP的，與Internet有很好的兼容性，因此H.323視頻會議系統是目前在IP 網絡上應用較廣泛的視頻會議系統。

1.1 H.323協議

H.323制定了無服務質量保證的包交換網絡PBN（Packet Based Networks)上的多媒體通信系統標準，涉及到終端設備、視頻、音頻和數據傳輸、通信控制、網絡接口等方面的內容，還包括了組成多點會議的多點控制單元(MCU)、多點控制器(MC)、多點處理器(MP)、網關以及網守等設備。

H.323系統的基本組成單元是“域”，它是指一個由網守管理的網關、多點控制單元、多點控制器、多點處理器和所有終端組成的集合。一個域最少包含一個終端，而且必須有且只有一個網守。H.323系統中各個邏輯組成部份稱為H.323的實體，其種類有：終端、網關、多點控制單元、多點控制器、多點處理器。其中終端、網關、多點控制單元是H.323 中的終端設備，是網絡中的邏輯單元。終端設備是可呼叫的和被呼叫的，而有些實體是不可被呼叫的，如網守。

1.2 H.323視頻會議系統存在的不足

一是帶寬穩定性的不足，即擁塞控制技術上存在問題，在出現瞬時的網絡擁塞時，系統會以犧牲視頻質量來保證圖像的連續性，必然會產生諸如馬賽克、毛刺或動畫的現象。二是在安全性上沒有保障。對于政府部門這類對安全性要求較高的行業和管理部門，顯然基于公網的H1323視頻會議系統安全性是不能滿足需求的。三是費用的問題。為此，許多部門通過租用專線來解決以上問題。但租用專線的費用及其安裝和維護的費用太高，并且不能像公網那樣具備良好的可擴充性和通用性。

2 基于IP網絡構建VPN

鑒于上述不足，當前迫切需要一種新方案來提供高質量的、安全的，并且能夠充分利用現有網絡資源以達到節省資金目的的視頻會議系統。本文提出了基于IP網絡構建VPN視頻會議系統，是基于以下三點考慮：首先，能夠通過VPN特有的技術實現路由的動態配置，更充分的利用網絡資源，既使數據在帶寬有限的情況下實現更高質量的傳輸，又節省大量通信和設備費用，比使用專線的成本節省30%-50%。其次，高度的安全性。IP-VPN 綜合運用隧道技術、訪問控制技術、防火墻技術和加密技術，并通過適當的密鑰管理機制在IP網絡上建立企業自己專用的通信通道，確保資料在公網上傳輸時不被竊取，或者是即使被竊取了對方仍無法讀取資料的內容。這就可以在不影響現行業務系統正常運行的前提下進行，同時保證了網絡的安全性能。第三是良好的擴展性。企業能夠隨時根據業務的需要，擴大VPN 的容量和覆蓋范圍，還能夠實現與其他企業網絡的隨機連接。

2.1 VPN技術簡介

VPN（Virtual Private Networks，虛擬專用網）指依靠ISP（Internet 服務提供商）和其它NSP（網絡服務提供商），在公用網絡中建立專用的虛擬數據通信網絡的技術。在VPN 中， 任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理連接， 而是用某種公眾網的資源動態分配組成的。VPN用戶只需要連入本地提供VPN服務ISP的POP（Point of Presence，接入服務提供點），就可相互通信，特別是當兩個企業需要建立Extranet時，只要兩者都接入了VPN 服務，就可以直接通訊。當VPN建立起來后，就可以利用公網實現企業內部不受地域限制的連接。

2.2 IP-VPN實現技術及優缺點分析

基于IP的虛擬專用網技術（IP Based Virtual Private Networks，簡寫為IP-VPN）正受到人們的廣泛關注，它是未來網絡安全研究和Internet應用的一個重要方向。

目前，IP-VPN的技術實現主要有三種方式：（1）基于防火墻的VPN。這是最流行的集成方案，它既可以提供一個集中式管理，又可以兼顧防火墻的安全策略和需要建立的傳輸隧道。有兩種結合方式：一是采用單層防火墻，將隧道中斷器設置在防火墻以外；二是采用兩層防火墻，將隧道中斷器設置于兩層防火墻之間的非軍事區內。不管是哪一種方法，遠程用戶只能訪問網絡邊界處的連接點的網絡資源，防火墻可以防止非法用戶竊取企業網絡的信息。（2）基于路由器的VPN。把VPN安裝在邊界路由器上將能夠在數據流進人防火墻之前進行解密。這種方式必須注意處理負荷的大小的問題，避免造成路由器過載。（3）采用專用軟件或硬件。在用戶的防火墻和路由器都不支持VPN功能的情況下，可以用硬件或軟件的方法生成專門的VPN連接。該方式最大缺點是需要額外的管理和安全維護。若該設備位于防火墻外則存在地址欺騙性攻擊問題；若該設備位于防火墻內，則用戶可能無法使用防火墻安全策略進行訪問管理。

3 系統的實現

3.1 總體設計

本文提出為大型企業構建基于IP-VPN技術的視頻會議系統。考慮到企業用戶的會議內容涉及商業機密，對安全性能的要求較高，因此采用基于防火墻的VPN實現方式。

在傳輸協議的技術選擇上，考慮到傳統的以安全隧道技術為核心的網絡層協議族IPSe在安全性和支持遠程辦公、移動辦公方面具有優勢，但隨著VPN數量的增加、VPN規模的不斷擴大，其網絡的可擴展性和可維護性將會成為瓶頸，而MPLS（Mutiprotocol Label Switching，多協議標簽交換）VPN組網技術具有組網容易、易于擴展和維護等優點，能夠為企業節省了大量的人力、物力和財力。因此，本文提出的方案是：在公司總部與分公司之間采用MPLS技術構成VPN，總部和公司合作伙伴及移動用戶之間用IPSec技術構成VPN，該方案可以提供有區別的新型服務， 其范圍覆蓋了安全、數據機密性、QoS和流量控制。

3.2 網絡拓撲結構

根據方案，設計系統的網絡拓撲結構（見圖1），其中有三種VPN設備：CE（Custom Edge， 用戶接入設備)或移動PC、PE（Provider Edge Router，骨干網邊緣路由器)和P（Provider Router，骨干網核心路由器，可以兼做PE 路由器）。

圖1 系統的網絡拓撲結構圖

每個企業內部子網的互聯網入口都配置了PE（如圖中的PE1 、PE2、PE3、PE4），它不僅肩負了路由的任務，還作為安全網關，兼備防火墻功能。需要說明的是，本方案中規定移動節點（如移動PC）必須僅在一個PE所屬的子網中進行登記，此PE還必須能夠運行移動IP協議，具備移動代理的功能，發送代理通告，維護移動節點信息，為移動節點路由、轉發數據。當不同子網中的節點進行通信時，P和PE之間建立起基于MPLS或IPSec通信通道，對通信實體（包括其中的固定節點和移動節點）和數據流進行認證和保護。

4 小結

VPN憑借其費用低廉、安全、可靠、靈活性大等優點，正迅速成為網絡技術領域中的一個熱點。采用VPN技術構建基于IP網絡的視頻會議系統，能夠利用公用骨干網絡廣泛而強大的傳輸能力，降低企業內部網絡的建設成本，提高網絡運營和管理的靈活性，更好的發揮視頻會議系統實時性、交互性、多媒體性和共享性等優點，滿足企業的需求。

本文給出了大型企業視頻會議系統的解決方案，通過MPLS VPN技術建立企業總部與分公司之間的連接通道，通過IPSec VPN技術實現企業與其他合作伙伴和移動用戶的連接拓展，從而建立一個更大規模的擴展企業網。

參考文獻：

[1]何寶宏. IP虛擬專用網技術[M]. 北京:人民郵電出版社，2002.

[2]王達等. 虛擬專用網(VPN)精解[M]. 北京:清華大學出版社，2004.58-59.

[3]楊高波，韓龍. 視頻會議系統綜述[J]. 電視技術，2004.9.

[4]陳柏生，鄭建德，施華. IP視頻會議系統及其關鍵技術[J]. 廈門大學學報(自然科學版) 2004，(8):43.

[5]王柱. 基于IP城域網的MPLS VPN規劃與性能分析[D]. 天津:天津大學，2006.

收稿日期：2008-01-12

作者簡介：秦琴（1972-），女，重慶市，講師，主要研究方向：計算機網絡和數據庫應用技術。