岳宏偉　楊朝啟

摘 要：本文將VOIP業(yè)務安全性與VPN業(yè)務擴展的需求相結合，提出了在VPN環(huán)境下傳輸VOIP的構想。并成功在復雜的因特網(wǎng)環(huán)境中使用花生殼加windows 2003 server單網(wǎng)卡組建了基于L2TP和PPTP的VPN服務器，并實現(xiàn)了語音的傳輸。

關鍵詞：虛擬專用網(wǎng) IP隧道 網(wǎng)絡電話

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1672-3791（2013）03（b）-0039-03

虛擬專用網(wǎng)（VPN）作為一種安全而有效的商用通信技術，在網(wǎng)絡內部有著專線一樣的加密性，又沒有專線那樣高的費用，因此得到廣泛的應用。虛擬專用連接的業(yè)務類型較單一，因此VPN增值服務對多媒體實時應用提出了內在要求。隨著VPN應用和VOIP應用的日益廣泛，能不能將VPN技術和VOIP技術結合起來，將VOIP應用拓展到VPN中從而拓展了VPN技術的應用領域，為VPN增值服務提供新的增長點。

1 VPN簡介及優(yōu)勢介紹

VPN是Virtual Private Network的縮寫，即虛擬專用網(wǎng)。簡單地說，VPN即是指在公眾網(wǎng)絡上所建立的企業(yè)網(wǎng)絡，并且此企業(yè)網(wǎng)絡擁有與專用網(wǎng)絡相同的安全、管理及功能等特點，它替代了傳統(tǒng)的撥號訪問，利用Internet公網(wǎng)資源作為企業(yè)專網(wǎng)的替代和補充，節(jié)省昂貴的長途費用。

VPN網(wǎng)絡具有較好的安全性，以多種方式增強了網(wǎng)絡的智能和安全性。專業(yè)的VPN產(chǎn)品都對遠端用戶的接入提供了非常嚴格的身份檢測和認證機制，確保用戶的合法性。另外，VPN通過加密協(xié)議的采用實現(xiàn)了對傳輸數(shù)據(jù)的封裝，避免數(shù)據(jù)的明文傳送帶來的安全隱患。

企業(yè)用戶可以使用VPN替代租用線路來實現(xiàn)分支機構的連接。網(wǎng)絡容量容易擴展，借助VPN，企業(yè)可以利用ISP的設施和服務，同時又完全掌握著自己網(wǎng)絡的控制權。

2 VOIP的關鍵技術

VOIP是Voice over Internet Protocol的縮寫，指的是將模擬的聲音信號經(jīng)過壓縮與封包之后，以數(shù)據(jù)封包的形式在IP網(wǎng)絡的環(huán)境進行語音信號的傳輸，通俗來說也就是互聯(lián)網(wǎng)電話或者簡稱IP電話的意思。

VOIP的基本原理是：通過語音的壓縮算法對語音數(shù)據(jù)編碼進行壓縮處理，然后把這些語音數(shù)據(jù)按TCP/IP標準進行打包，經(jīng)過IP網(wǎng)絡把數(shù)據(jù)包送至接收地，再把這些語音數(shù)據(jù)包串起來，經(jīng)過解壓處理后，恢復成原來的語音信號，從而達到由互聯(lián)網(wǎng)傳送語音的目的。IP電話的核心與關鍵設備是IP網(wǎng)關，它把各地區(qū)電話區(qū)號映射為相應的地區(qū)網(wǎng)關IP地址。這些信息存放在一個數(shù)據(jù)庫中，數(shù)據(jù)接續(xù)處理軟件將完成呼叫處理、數(shù)字語音打包、路由管理等功能。

采用IP網(wǎng)絡承載話音業(yè)務與傳統(tǒng)的電話業(yè)務相比存在著諸多的優(yōu)勢。VOIP可以使電話物理網(wǎng)絡和Internet或IP物理數(shù)據(jù)網(wǎng)絡合二為一，有效地簡化通信系統(tǒng)，減低系統(tǒng)成本和管理成本；利用IP分布式的、靈活而可擴展的通信方式，以及VOIP所提供的新功能可以使企業(yè)、雇員、合作伙伴和客戶更靈活而有效的溝通；VOIP可以使話音應用與原有的數(shù)據(jù)業(yè)務應用有機的融合在一起，開創(chuàng)新一代業(yè)務應用。

3 VOIP的基本傳輸過程

為了在一個IP網(wǎng)絡上傳輸語音信號，要求幾個元素和功能。最簡單形式的網(wǎng)絡由兩個或多個具有VOIP功能的設備組成，這一設備通過一個IP網(wǎng)絡連接。VOIP設備把語音信號轉換為IP數(shù)據(jù)流，并把這些數(shù)據(jù)流轉發(fā)到IP目的地，IP目的地又把它們轉換回到語音信號。兩者之音的網(wǎng)絡必須支持IP傳輸，且可以是IP路由器和網(wǎng)絡鏈路的任意組合。因此可以簡單地將VOIP的傳輸過程分為下列幾個階段。

3.1 語音-數(shù)據(jù)轉換

語音信號是模擬波形，通過IP方式來傳輸語音，不管是實時應用業(yè)務還是非實時應用業(yè)務，首先要對語音信號進行模擬數(shù)據(jù)轉換，也就是對模擬語音信號進行8位或6位的量化，然后送入到緩沖存儲區(qū)中，緩沖器的大小可以根據(jù)延遲和編碼的要求選擇。許多低比特率的編碼器是采取以幀為單位進行編碼。

3.2 原數(shù)據(jù)到IP轉換

一旦語音信號進行數(shù)字編碼，下一步就是對語音包以特定的幀長進行壓縮編碼。大部份的編碼器都有特定的幀長，若一個編碼器使用15 ms的幀，則把從第一來的60 ms的包分成4幀，并按順序進行編碼。每個幀合120個語音樣點（抽樣率為8 kHz）。編碼后，將4個壓縮的幀合成一個壓縮的語音包送入網(wǎng)絡處理器。網(wǎng)絡處理器為語音添加包頭、時標和其它信息后通過網(wǎng)絡傳送到另一端點。語音網(wǎng)絡簡單地建立通信端點之間的物理連接（一條線路），并在端點之間傳輸編碼的信號。

3.3 傳送

在這個通道中，全部網(wǎng)絡被看成一個從輸入端接收語音包，然后在一定時間（t）內將其傳送到網(wǎng)絡輸出端。

3.4 IP包-數(shù)據(jù)的轉換

目的地VOIP設備接收這個IP數(shù)據(jù)并開始處理。網(wǎng)絡提供一個可變長度的緩沖器，該緩沖器可容納許多語音包。其次，解碼器將經(jīng)編碼的語音包解壓縮后產(chǎn)生新的語音包，這個模塊也可以按幀進行操作，完全和解碼器的長度相同。若幀長度為15 ms，是60 ms的語音包被分成4幀，然后它們被解碼還原成60 ms的語音數(shù)據(jù)流送入解碼緩沖器。在數(shù)據(jù)報的處理過程中，去掉尋址和控制信息，保留原始的原數(shù)據(jù)，然后把這個原數(shù)據(jù)提供給解碼器。

3.5 數(shù)字語音轉換為模擬語音

播放驅動器將緩沖器中的語音樣點（480個）取出送入聲卡，通過揚聲器按預定的頻率（例如8 kHz）播出。簡而言之，語音信號在IP網(wǎng)絡上的傳送要經(jīng)過從模擬信號到數(shù)字信號的轉換、數(shù)字語音封裝成IP分組、IP分組通過網(wǎng)絡的傳送、IP分組的解包和數(shù)字語音還原到模擬信號等過程。

4 網(wǎng)絡電話技術的信令協(xié)議淺析

與VOIP相關的網(wǎng)絡技術協(xié)議很多，常見的有控制實時數(shù)據(jù)流應用在IP網(wǎng)絡傳輸?shù)腞TP和RTCP；有保證網(wǎng)絡QoS質量服務的RSVP和IP different Service等，還有傳統(tǒng)語音數(shù)字化編碼的一系列協(xié)議如G.711、G.728、G.723、G.729等等。這里我們要討論信令（signaling）協(xié)議，在網(wǎng)絡電話系統(tǒng)基礎組成部分之間如何進行呼叫控制與交換的標準規(guī)程。

4.1 H.323

由ITU-T工業(yè)標準組織為VOIP制定的標準化信令協(xié)議，定義為基于包交換的多媒體傳輸系統(tǒng)。H.323結構體系由H.323終端、網(wǎng)關、關守和多點控制單元MCU組成。H.323的目標是可以使H.323的節(jié)點之間交換媒體數(shù)據(jù)流。

4.2 SIP（Session Initiated Protocol）

SIP是IETF定義多媒體數(shù)據(jù)和控制體系結構中的重要組成部分。SIP是一種信令協(xié)議，用來建立、修改和終結多媒體會話。它還結合其他幾個IETF的協(xié)議SDP、RSVP和SAP協(xié)同工作，一般采用RTP/RTCP協(xié)議進行傳輸控制。

4.3 MGCP（Media Gateway Control Protocol）和Megaco/H.248

用來控制媒體網(wǎng)關通信的協(xié)議。在企業(yè)VOIP網(wǎng)絡與電信運營商VOIP服務網(wǎng)絡相連接的網(wǎng)關系統(tǒng)上支持。

5 基于WINDOWS 2003的VPN語音傳輸

本文實現(xiàn)環(huán)境為ADSL下使用路由器，然后在路由器下面的一臺主機作為VPN服務器。網(wǎng)絡拓撲結構如圖1。

5.1 獲取VPN服務器的地址

花生殼是完全免費的桌面式域名管理和動態(tài)域名解析（DDNS）等功能為一體的客戶端軟件。本例是通作在ADSL貓之后又使用了桌面路由器接入Internet的，通過這種方式一定要在路由器中作端口映射，由于windows 2003的VPN服務用的是1723端口，將1723端口映射到192.168.0.5這臺設有VPN服務的機器。然后，在訪問策略中要允許VPN通過路由器。由于路由器支持DDNS，所以填入申請的花生殼賬號和密碼，這樣省去了在VPN服務器上安裝花生殼的麻煩，這樣，在網(wǎng)絡上訪問域名yangc haoqishou.gicp.net的時候，Internet自動就找到了這臺路由器，并通過端口映射把地址映射到了VPN服務器。

5.2 WINDOWS 2003中配置VPN

選擇“開始”“所有程序”“管理工具”“路由和遠程訪問”，打開路由和遠程訪問的配置界面，在配置中選擇“遠程訪問（撥號或VPN）”，在遠程訪問中選擇“VPN”，在IP地址指定中選擇“來自一個指定的地址范圍”，這里添加一個范圍，即VPN連接的客戶端撥入的時候使用的地址，比如從“10.0.0.100”到“10.0.0.110”。RADIUS服務器配置比較復雜，這里由于對安全性不高，所以在管理多個遠程訪問服務器中，選擇使用路由和遠程訪問自己的認證方式進行鑒權。要登錄到VPN服務器，必須要知道該服務器的一個有撥入權限的用戶，打開計算機管理頁面，在本地用戶和組里邊新建一個用戶，給這個用戶遠程登錄的權限，一定要在“遠程訪問權限”處選擇“允許訪問”，不然就無法登錄。創(chuàng)建好了賬號之后，點擊賬號屬性，授予賬號遠程撥入的權限。

5.3 VPN客戶端的設置

先用本機測試過程如下：右鍵“網(wǎng)上鄰居”“屬性”，打開網(wǎng)絡連接后點擊“新建連接向導”。

打開新建連接向導，選擇“連接到我的工作場所的網(wǎng)絡選項”要建立的是VPN， “虛擬專用網(wǎng)絡連接”。公司名只起到識別網(wǎng)絡連接的作用，這里，填入VPN。因為現(xiàn)在做的是本機的測試，所以填入的IP地址為本機的地址192.168.0.5，用戶VPN就是剛才新建的用戶。在可用連接中選擇“任何人使用”點擊完成之后出現(xiàn)了（如圖2）的界面，填入有遠程接入權限的賬號密碼。

到這里，基于PPTP的連接就建立完成了。打開CMD窗口，使用IPCONFIG/ALL的命令查看網(wǎng)絡連接，會看見三個網(wǎng)卡，其中一個IP地址為192.168.0.5的就是本機網(wǎng)卡，另外兩個是剛才做本機測試時建立的，它們的IP地址為10.0.0.xxx，這是VPN默認的IP地址連接的撥入地址和播出地址。

上面的服務器中的測試完成后，就可以在任何有Internet接入的地方進行遠程連接了，其過程和在本機連接測試的過程一樣，在實際連接時到“連接VPN”這一步時，輸入VPN服務器所在的公網(wǎng)IP，因為是動態(tài)的IP，所以填入DDNS，即激活了花生殼動態(tài)域名解析服務的域名。

5.4 實現(xiàn)IP語音

本論文使用了小小程序員編寫的局域網(wǎng)語音視頻工具。界面（如圖3），這個軟件的缺點是必須知道要通話方的IP地址。

如果是LAN環(huán)境，填入IP，這里使用在VPN環(huán)境，所以要使用VPN連接獲取到的IP地址?？梢杂肐PCONFIG獲得。（如圖4）顯示，VPN連接獲取的IP為169.254.157.53。

打開軟件之后，填入要連接的IP地址，如果網(wǎng)絡正常，就會有連接成功的提示，之后，就可以向對方發(fā)送語音了，發(fā)送之后，對方只要接受就可以聽到語音（如圖5）。

6 結論

本文先介紹了VPN的種類，常見的加密協(xié)議等，然后對VOIP進行了詳盡的介紹，最后在WINDOWS 2003 SERVER組建的VPN環(huán)境中成功的實現(xiàn)了語音的傳輸。文中使用花生殼解決了ADSL撥號上網(wǎng)IP不固定的問題，使用端口映射解決了VPN服務器在虛擬LAN環(huán)境不能直接從Internet訪問的問題，達到了預期的效果。

參考文獻

[1] 高海英，薛元星，辛陽.VPN技術[M].北京：機械工業(yè)出版社，2004（4）.

[2]（美）佩皮賈克.MPLS和VPN體系結構CCIP版[M].趙斌，譯.北京：人民郵電出版社，2003（4）.

[3]Marcus Goncalves.IP網(wǎng)絡語音技術[M].北京：機械工業(yè)出版社，1999（11）.

[4]劉洪林，蔣昌茂，張建永.IP語音通信原理設計及組網(wǎng)應用[M].北京：電子工業(yè)出版社，2009（10）.

[5]王占京，張麗諾，雷波.VPN網(wǎng)絡技術與業(yè)務應用[M].北京：國防工業(yè)出版社，2012（5）.