在企業VPN上實現IP語音研究①

岳宏偉　楊朝啟

摘 要：本文將VOIP業務安全性與VPN業務擴展的需求相結合，提出了在VPN環境下傳輸VOIP的構想。并成功在復雜的因特網環境中使用花生殼加windows 2003 server單網卡組建了基于L2TP和PPTP的VPN服務器，并實現了語音的傳輸。

關鍵詞：虛擬專用網 IP隧道 網絡電話

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1672-3791（2013）03（b）-0039-03

虛擬專用網（VPN）作為一種安全而有效的商用通信技術，在網絡內部有著專線一樣的加密性，又沒有專線那樣高的費用，因此得到廣泛的應用。虛擬專用連接的業務類型較單一，因此VPN增值服務對多媒體實時應用提出了內在要求。隨著VPN應用和VOIP應用的日益廣泛，能不能將VPN技術和VOIP技術結合起來，將VOIP應用拓展到VPN中從而拓展了VPN技術的應用領域，為VPN增值服務提供新的增長點。

1 VPN簡介及優勢介紹

VPN是Virtual Private Network的縮寫，即虛擬專用網。簡單地說，VPN即是指在公眾網絡上所建立的企業網絡，并且此企業網絡擁有與專用網絡相同的安全、管理及功能等特點，它替代了傳統的撥號訪問，利用Internet公網資源作為企業專網的替代和補充，節省昂貴的長途費用。

VPN網絡具有較好的安全性，以多種方式增強了網絡的智能和安全性。專業的VPN產品都對遠端用戶的接入提供了非常嚴格的身份檢測和認證機制，確保用戶的合法性。另外，VPN通過加密協議的采用實現了對傳輸數據的封裝，避免數據的明文傳送帶來的安全隱患。

企業用戶可以使用VPN替代租用線路來實現分支機構的連接。網絡容量容易擴展，借助VPN，企業可以利用ISP的設施和服務，同時又完全掌握著自己網絡的控制權。

2 VOIP的關鍵技術

VOIP是Voice over Internet Protocol的縮寫，指的是將模擬的聲音信號經過壓縮與封包之后，以數據封包的形式在IP網絡的環境進行語音信號的傳輸，通俗來說也就是互聯網電話或者簡稱IP電話的意思。

VOIP的基本原理是：通過語音的壓縮算法對語音數據編碼進行壓縮處理，然后把這些語音數據按TCP/IP標準進行打包，經過IP網絡把數據包送至接收地，再把這些語音數據包串起來，經過解壓處理后，恢復成原來的語音信號，從而達到由互聯網傳送語音的目的。IP電話的核心與關鍵設備是IP網關，它把各地區電話區號映射為相應的地區網關IP地址。這些信息存放在一個數據庫中，數據接續處理軟件將完成呼叫處理、數字語音打包、路由管理等功能。

采用IP網絡承載話音業務與傳統的電話業務相比存在著諸多的優勢。VOIP可以使電話物理網絡和Internet或IP物理數據網絡合二為一，有效地簡化通信系統，減低系統成本和管理成本；利用IP分布式的、靈活而可擴展的通信方式，以及VOIP所提供的新功能可以使企業、雇員、合作伙伴和客戶更靈活而有效的溝通；VOIP可以使話音應用與原有的數據業務應用有機的融合在一起，開創新一代業務應用。

3 VOIP的基本傳輸過程

為了在一個IP網絡上傳輸語音信號，要求幾個元素和功能。最簡單形式的網絡由兩個或多個具有VOIP功能的設備組成，這一設備通過一個IP網絡連接。VOIP設備把語音信號轉換為IP數據流，并把這些數據流轉發到IP目的地，IP目的地又把它們轉換回到語音信號。兩者之音的網絡必須支持IP傳輸，且可以是IP路由器和網絡鏈路的任意組合。因此可以簡單地將VOIP的傳輸過程分為下列幾個階段。

3.1 語音-數據轉換

語音信號是模擬波形，通過IP方式來傳輸語音，不管是實時應用業務還是非實時應用業務，首先要對語音信號進行模擬數據轉換，也就是對模擬語音信號進行8位或6位的量化，然后送入到緩沖存儲區中，緩沖器的大小可以根據延遲和編碼的要求選擇。許多低比特率的編碼器是采取以幀為單位進行編碼。

3.2 原數據到IP轉換

一旦語音信號進行數字編碼，下一步就是對語音包以特定的幀長進行壓縮編碼。大部份的編碼器都有特定的幀長，若一個編碼器使用15 ms的幀，則把從第一來的60 ms的包分成4幀，并按順序進行編碼。每個幀合120個語音樣點（抽樣率為8 kHz）。編碼后，將4個壓縮的幀合成一個壓縮的語音包送入網絡處理器。網絡處理器為語音添加包頭、時標和其它信息后通過網絡傳送到另一端點。語音網絡簡單地建立通信端點之間的物理連接（一條線路），并在端點之間傳輸編碼的信號。

3.3 傳送

在這個通道中，全部網絡被看成一個從輸入端接收語音包，然后在一定時間（t）內將其傳送到網絡輸出端。

3.4 IP包-數據的轉換

目的地VOIP設備接收這個IP數據并開始處理。網絡提供一個可變長度的緩沖器，該緩沖器可容納許多語音包。其次，解碼器將經編碼的語音包解壓縮后產生新的語音包，這個模塊也可以按幀進行操作，完全和解碼器的長度相同。若幀長度為15 ms，是60 ms的語音包被分成4幀，然后它們被解碼還原成60 ms的語音數據流送入解碼緩沖器。在數據報的處理過程中，去掉尋址和控制信息，保留原始的原數據，然后把這個原數據提供給解碼器。

3.5 數字語音轉換為模擬語音

播放驅動器將緩沖器中的語音樣點（480個）取出送入聲卡，通過揚聲器按預定的頻率（例如8 kHz）播出。簡而言之，語音信號在IP網絡上的傳送要經過從模擬信號到數字信號的轉換、數字語音封裝成IP分組、IP分組通過網絡的傳送、IP分組的解包和數字語音還原到模擬信號等過程。

4 網絡電話技術的信令協議淺析

與VOIP相關的網絡技術協議很多，常見的有控制實時數據流應用在IP網絡傳輸的RTP和RTCP；有保證網絡QoS質量服務的RSVP和IP different Service等，還有傳統語音數字化編碼的一系列協議如G.711、G.728、G.723、G.729等等。這里我們要討論信令（signaling）協議，在網絡電話系統基礎組成部分之間如何進行呼叫控制與交換的標準規程。

4.1 H.323

由ITU-T工業標準組織為VOIP制定的標準化信令協議，定義為基于包交換的多媒體傳輸系統。H.323結構體系由H.323終端、網關、關守和多點控制單元MCU組成。H.323的目標是可以使H.323的節點之間交換媒體數據流。

4.2 SIP（Session Initiated Protocol）

SIP是IETF定義多媒體數據和控制體系結構中的重要組成部分。SIP是一種信令協議，用來建立、修改和終結多媒體會話。它還結合其他幾個IETF的協議SDP、RSVP和SAP協同工作，一般采用RTP/RTCP協議進行傳輸控制。

4.3 MGCP（Media Gateway Control Protocol）和Megaco/H.248

用來控制媒體網關通信的協議。在企業VOIP網絡與電信運營商VOIP服務網絡相連接的網關系統上支持。

5 基于WINDOWS 2003的VPN語音傳輸

本文實現環境為ADSL下使用路由器，然后在路由器下面的一臺主機作為VPN服務器。網絡拓撲結構如圖1。

5.1 獲取VPN服務器的地址

花生殼是完全免費的桌面式域名管理和動態域名解析（DDNS）等功能為一體的客戶端軟件。本例是通作在ADSL貓之后又使用了桌面路由器接入Internet的，通過這種方式一定要在路由器中作端口映射，由于windows 2003的VPN服務用的是1723端口，將1723端口映射到192.168.0.5這臺設有VPN服務的機器。然后，在訪問策略中要允許VPN通過路由器。由于路由器支持DDNS，所以填入申請的花生殼賬號和密碼，這樣省去了在VPN服務器上安裝花生殼的麻煩，這樣，在網絡上訪問域名yangc haoqishou.gicp.net的時候，Internet自動就找到了這臺路由器，并通過端口映射把地址映射到了VPN服務器。

5.2 WINDOWS 2003中配置VPN

選擇“開始”“所有程序”“管理工具”“路由和遠程訪問”，打開路由和遠程訪問的配置界面，在配置中選擇“遠程訪問（撥號或VPN）”，在遠程訪問中選擇“VPN”，在IP地址指定中選擇“來自一個指定的地址范圍”，這里添加一個范圍，即VPN連接的客戶端撥入的時候使用的地址，比如從“10.0.0.100”到“10.0.0.110”。RADIUS服務器配置比較復雜，這里由于對安全性不高，所以在管理多個遠程訪問服務器中，選擇使用路由和遠程訪問自己的認證方式進行鑒權。要登錄到VPN服務器，必須要知道該服務器的一個有撥入權限的用戶，打開計算機管理頁面，在本地用戶和組里邊新建一個用戶，給這個用戶遠程登錄的權限，一定要在“遠程訪問權限”處選擇“允許訪問”，不然就無法登錄。創建好了賬號之后，點擊賬號屬性，授予賬號遠程撥入的權限。

5.3 VPN客戶端的設置

先用本機測試過程如下：右鍵“網上鄰居”“屬性”，打開網絡連接后點擊“新建連接向導”。

打開新建連接向導，選擇“連接到我的工作場所的網絡選項”要建立的是VPN， “虛擬專用網絡連接”。公司名只起到識別網絡連接的作用，這里，填入VPN。因為現在做的是本機的測試，所以填入的IP地址為本機的地址192.168.0.5，用戶VPN就是剛才新建的用戶。在可用連接中選擇“任何人使用”點擊完成之后出現了（如圖2）的界面，填入有遠程接入權限的賬號密碼。

到這里，基于PPTP的連接就建立完成了。打開CMD窗口，使用IPCONFIG/ALL的命令查看網絡連接，會看見三個網卡，其中一個IP地址為192.168.0.5的就是本機網卡，另外兩個是剛才做本機測試時建立的，它們的IP地址為10.0.0.xxx，這是VPN默認的IP地址連接的撥入地址和播出地址。

上面的服務器中的測試完成后，就可以在任何有Internet接入的地方進行遠程連接了，其過程和在本機連接測試的過程一樣，在實際連接時到“連接VPN”這一步時，輸入VPN服務器所在的公網IP，因為是動態的IP，所以填入DDNS，即激活了花生殼動態域名解析服務的域名。

5.4 實現IP語音

本論文使用了小小程序員編寫的局域網語音視頻工具。界面（如圖3），這個軟件的缺點是必須知道要通話方的IP地址。

如果是LAN環境，填入IP，這里使用在VPN環境，所以要使用VPN連接獲取到的IP地址。可以用IPCONFIG獲得。（如圖4）顯示，VPN連接獲取的IP為169.254.157.53。

打開軟件之后，填入要連接的IP地址，如果網絡正常，就會有連接成功的提示，之后，就可以向對方發送語音了，發送之后，對方只要接受就可以聽到語音（如圖5）。

6 結論

本文先介紹了VPN的種類，常見的加密協議等，然后對VOIP進行了詳盡的介紹，最后在WINDOWS 2003 SERVER組建的VPN環境中成功的實現了語音的傳輸。文中使用花生殼解決了ADSL撥號上網IP不固定的問題，使用端口映射解決了VPN服務器在虛擬LAN環境不能直接從Internet訪問的問題，達到了預期的效果。

參考文獻

[1] 高海英，薛元星，辛陽.VPN技術[M].北京：機械工業出版社，2004（4）.

[2]（美）佩皮賈克.MPLS和VPN體系結構CCIP版[M].趙斌，譯.北京：人民郵電出版社，2003（4）.

[3]Marcus Goncalves.IP網絡語音技術[M].北京：機械工業出版社，1999（11）.

[4]劉洪林，蔣昌茂，張建永.IP語音通信原理設計及組網應用[M].北京：電子工業出版社，2009（10）.

[5]王占京，張麗諾，雷波.VPN網絡技術與業務應用[M].北京：國防工業出版社，2012（5）.