扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
聪明的人类马上就会想到,既然是企业内部使用这种VoIP,为什么不考虑在VPN平台上实现呢?IPSec VPN可以提供数据保密性、完整性、来源认证和抗重播保护等多重安全功能。保密性是指在传输前,对被发送的数据进行加密,使得即使被监听或截获也无法识别原始信息。完整性则是接收方可以验证数据在网络的传输过程中是否被更改。来源认证使接收方对数据分组的来源进行认证。抗重播保护可以做到接收方验证每个数据分组都是唯一的、不会重复。通过IP Sec可以防止企业内部的数据被窃听、伪造,篡改等,保障企业的信息安全,因此在VPN平台上运载VoIP信息可提供足够的安全保障。
但在VPN平台上实现VoIP还是有问题。VPN和VoIP是两类截然不同的技术和应用,与普通的路由和交换不同。企业为了要实现安全的VoIP,如果采用传统的组网方式,需要另外购买两台VPN设备和两台VoIP设备(仅考虑点对点的情况)。目前市面上这两类产品的品牌非常多,不同品牌的产品性能问题、兼容性问题,以及接入原有的数据网和语音网后是否会产生影响等等都应在考虑的范围之列。同时他们还要考虑管理人员的水平。现有的技术人员是否对这两类不同的技术都熟悉了?如果答案是否定的,我们要么就高薪聘请一位能力较强的同时熟悉这两类产品(以及两个品牌)的技术工程师,要么就是对原有的技术人员进行培训,但是这一切工作还是不足以应对网络故障。
这个时候我们或许可以考虑一款融合网络产品,来减轻企业主的负担。融合网络产品一般针对于企业的网络应用,提供多种网络功能,这当中包括VoIP和VPN。换言之,企业只需一台融合网络设备就可以简化网络,而运维人员也只是需要掌握管理这样一台设备的技能,就足以应付日常的运作。即使故障发生了,他们也只需使用一种技能来检查设备,排除故障。
因此选择一款高性能的融合网络产品,为企业同时提供安全的VPN和VoIP业务,确实可以为我们省去不少的麻烦。我们所熟知的目前市面上优秀的融合网络产品中,三星Ubigate iBG系列就是一个很不错的选择。
下面我们结合三星Ubigate iBG系列给大家简单介绍一下如何配置一个点对点的企业级别的安全VoIP网络。
我们可以在VoIP的两边网关设备Ubigate iBG3026中先配置VPN IPSec,再以常用的H.323协议为例进行VoIP配置介绍。
VPN配置:
(1) 配置接口IP地址
3026A# configure terminal
3026A /configure# interface ethernet 0/4
3026A /configure/interface/ethernet (0/4)# ip address 10.10.10.1 24
3026A /configure/interface/ethernet (0/4)# exit
3026A /configure# interface ethernet 2/0
3026A /configure/interface/ethernet (2/0)# ip address 192.168.1.2 24
3026A /configure/interface/ethernet (2/0)# end
3026A #
(2) 启用防火墙策略
3026A# configure terminal
3026A /configure# firewall internet
3026A /configure/firewall internet# interface ethernet0/4
3026A /configure/firewall internet#exit
3026A /configure# firewall corp
3026A /configure/firewall corp# interface ethernet2/0
3026A /configure/firewall corp#exit
(3) 配置crypto ike策略
3026A /configure# crypto
3026A /configure/crypto# ike policy pol1 20.20.20.1
3026A /configure/crypto/ike/policy pol1 20.20.20.1# local-address 10.10.10.1
(4) 配置crypto ike策略密钥
3026A /configure/crypto/ike/policy pol1 20.20.20.1# key samsung 123
(5) 配置crypto ipsec策略
3026A /configure# crypto
3026A /configure/crypto# ipsec policy pol1 20.20.20.1
3026A /configure/crypto/ipsec/policy pol1 20.20.20.1# match address 192.168.1.0/24 192.168.2.0/24
3026A /configure/crypto/ipsec/policy pol1 20.20.20.1# proposal 1
3026A /configure/crypto/ipsec/policy pol1 20.20.20.1#end
VoIP配置:
(1) 配置H.323 Gateway
3026A# configure terminal
3026A/configure# voip-gateway
3026A/configure/voip-gateway# shutdown
3026A/configure/voip-gateway# host domain-name 3026A
3026A/configure/voip-gateway# bind control interface ethernet 0/4
3026A/configure/voip-gateway# bind media interface ethernet 0/4
3026A/configure/voip-gateway# host ip address 10.10.10.1
3026A/configure/voip-gateway# h323-gateway
3026A/configure/voip-gatway/h323-gateway#h323-id abc
3026A/configure/voip-gateway/h323-gateway #no shutdown
3026A/configure/voip-gateway/h323-gateway# exit
3026A/configure/voip-gateway#no shutdown
3026A/configure/voip-gateway#end
3026A#
(2) 配置CODEC
3026A# configure terminal
3026A/configure# voice class codec 10
3026A/configure/voice/class/codec 10# codec-preference 1 g711alaw 20
3026A/configure/voice/class/codec 10# codec-preference 2 g711ulaw 20
3026A/configure/voice/class/codec 10# codec-preference 3 g729 20
3026A/configure/voice/class/codec 10# codec-preference 4 g726 20
3026A/configure/voice/class/codec 10# codec-preference 5 g723r53 30
3026A/configure/voice/class/codec 10# codec-preference 6 g723r63 30
3026A/configure/voice/class/codec 10# end
(3) 配置呼叫控制功能
3026A# configure terminal
3026A/configure# voice class h323 323
3026A/configure/ voice /class/ h323 323# h255
3026A/configure/ voice /class/ h323 323/h255# call-start fast
3026A/configure/ voice /class/ h323 323/h255# h245-tunnel on
3026A/configure/ voice /class/ h323 323/h255# early-h245 off
3026A/configure/ voice /class/ h323 323/h255# T301 180
3026A/configure/3026A/class/ h323 323/h255# T303 5
3026A/configure/3026A/class/ h323 323/h255# end
(4) 配置dial peer
3026A# configure terminal
3026A/configure# dial-peer 3026A voip 123
3026A/configure/dial-peer/3026A/voip 123# destination-pattern ...T
3026A/configure/dial-peer/3026A/voip 123# session protocol h323
3026A/configure/dial-peer/3026A/voip 123# session target ip-address ipv4:20.20.20.1:1721
3026A/configure/dial-peer/3026A/voip 123# 3026A-class codec 10
3026A/configure/dial-peer/3026A/voip 123# 3026A-class h323 323
3026A/configure/dial-peer/3026A/voip 123# no shutdown
3026A/configure/dial-peer/3026A/voip 123# end
3026A#
通过分别对两端的Ubigate iBG3026进行上述配置之后,我们就可以在企业的两个分公司之间实现安全保密的IP电话通信。当然,对企业的实际运作过程来说,我们可能还会需要另外建立一套GK系统,来对两端的用户进行管理。
总而言之,Samsung Ubigate融合网络平台可以为企业打造一个简单、方便、安全的VoIP解决方案。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。