李清平

浙江育英職業(yè)技術(shù)學(xué)院信息技術(shù)與應(yīng)用系，浙江 杭州 310018

虛擬專用網(wǎng)中語(yǔ)音電話的應(yīng)用及網(wǎng)絡(luò)性能

李清平

浙江育英職業(yè)技術(shù)學(xué)院信息技術(shù)與應(yīng)用系，浙江 杭州 310018

為研究虛擬專用網(wǎng)（VPN）基于Internet協(xié)議安全性（IPSec）進(jìn)行語(yǔ)音電話（VoIP）數(shù)據(jù)的輸送及網(wǎng)絡(luò)性能的影響，在分析IPSec技術(shù)、隧道封裝技術(shù)和VPN技術(shù)原理的基礎(chǔ)上，設(shè)計(jì)了一個(gè)企業(yè)的VPN網(wǎng)絡(luò)拓?fù)洌瑢?duì)語(yǔ)音路由器、語(yǔ)音交換機(jī)和外網(wǎng)服務(wù)器的配置及其作用進(jìn)行了說(shuō)明，利用OPNET平臺(tái)對(duì)網(wǎng)絡(luò)性能進(jìn)行了仿真和分析．結(jié)果表明，VPN的隧道封裝技術(shù)以及數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、起源認(rèn)證等加密措施使得網(wǎng)絡(luò)配置變得復(fù)雜，語(yǔ)音數(shù)據(jù)在VPN隧道的傳輸過(guò)程中，丟包率不高，但傳輸速率變得緩慢，網(wǎng)絡(luò)延遲加大，IPSec采用的安全策略導(dǎo)致網(wǎng)絡(luò)抖動(dòng)明顯，收斂速度慢，語(yǔ)音質(zhì)量也隨之減低．

協(xié)議安全性；虛擬專用網(wǎng)；語(yǔ)音電話；網(wǎng)絡(luò)性能；網(wǎng)絡(luò)延遲

0 引言

基于TCP／IP體系的Internet存在網(wǎng)絡(luò)安全的缺陷，企業(yè)通過(guò)Internet來(lái)連接遠(yuǎn)程站點(diǎn)和傳輸數(shù)據(jù)，容易對(duì)內(nèi)部網(wǎng)絡(luò)構(gòu)成安全威脅．IPSec－VPN技術(shù)能夠讓企業(yè)在互聯(lián)網(wǎng)的基礎(chǔ)上創(chuàng)建私有網(wǎng)絡(luò)來(lái)提供機(jī)密性和安全性［1-4］．目前，采用IPSec標(biāo)準(zhǔn)的VPN技術(shù)日臻成熟，得到國(guó)際上幾乎所有主流網(wǎng)絡(luò)和安全供應(yīng)商的鼎力支持，可以斷定，IPSec將成為未來(lái)相當(dāng)一段時(shí)間內(nèi)企業(yè)構(gòu)筑VPN的主流標(biāo)準(zhǔn)［1-4］．

VoIP將模擬的語(yǔ)音訊號(hào)經(jīng)過(guò)壓縮與封包之后，經(jīng)過(guò)IP網(wǎng)絡(luò)將數(shù)據(jù)包傳送到目的地．VoIP可以低資費(fèi)甚至免費(fèi)傳送語(yǔ)音、傳真和視頻等業(yè)務(wù)，提供比傳統(tǒng)業(yè)務(wù)更多、更好的服務(wù)［5－6］．因此，一方面在企業(yè)內(nèi)部尤其是遠(yuǎn)程站點(diǎn)中，VoIP的應(yīng)用具有機(jī)密性和安全性的需求，利用現(xiàn)有的IPSec－VPN技術(shù)來(lái)提供支持和保障，不失為一種便捷經(jīng)濟(jì)的選擇，另一方面由于加載VoIP負(fù)荷而對(duì)網(wǎng)絡(luò)性能產(chǎn)生的影響以及語(yǔ)音在虛擬專用網(wǎng)中的傳輸質(zhì)量也是需要考量的因素．

1 技術(shù)原理和隧道封裝模式

1.1 工作原理

IPSec的工作原理類似于包過(guò)濾防火墻，當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí)，通過(guò)查詢SPD（Security Po1icy Database，安全策略數(shù)據(jù)庫(kù)）決定對(duì)數(shù)據(jù)包進(jìn)行丟棄或轉(zhuǎn)發(fā)的處理［1，7］．通信雙方如果用IPSec建立一條安全的傳輸通道，需要雙方事先協(xié)商好采用的安全策略，包括加密算法、密鑰、密鑰的生存期等，安全策略可以由AH或ESP提供．IPSec既可以僅對(duì)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證，也可以同時(shí)實(shí)施二者，但無(wú)論是加密還是認(rèn)證，其工作模式都有兩種：傳輸模式和隧道模式．傳輸模式僅對(duì)IP有效負(fù)載進(jìn)行加密，只適合PC到PC的場(chǎng)景，而隧道模式對(duì)IP報(bào)頭和有效負(fù)載進(jìn)行加密，可以適用于任何場(chǎng)景［1－2，8］．

1.2 隧道封裝模式

隧道是封裝、路由與解封裝的整個(gè)過(guò)程．隧道將原始數(shù)據(jù)包隱藏（或封裝）在新的數(shù)據(jù)包內(nèi)部，該新數(shù)據(jù)包可能會(huì)有新的尋址與路由信息，從而使其能夠通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸．封裝的數(shù)據(jù)包到達(dá)目的地后，會(huì)拆除封裝，原始數(shù)據(jù)包頭用于將數(shù)據(jù)包路由到最終目的地．隧道是不可見(jiàn)的，而只能看到網(wǎng)絡(luò)路徑中的點(diǎn)對(duì)點(diǎn)連接，連接雙方并不關(guān)心隧道起點(diǎn)和終點(diǎn)之間的任何路由器、交換機(jī)、代理服務(wù)器或其它安全網(wǎng)關(guān)等．隧道模式下的IPSec報(bào)文要進(jìn)行分段和重組操作，將隧道和數(shù)據(jù)保密性結(jié)合使用時(shí)，可用于提供VPN［8－9］．

1.3 VPN技術(shù)原理

VPN（Virtual Private Network，虛擬專用網(wǎng)）．虛擬專用網(wǎng)絡(luò)可以理解為虛擬出來(lái)的企業(yè)內(nèi)部專線，它可以通過(guò)特殊加密的通訊協(xié)議使Internet上位于不同地方的多個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)之間建立一條專有的通訊線路［1，10］．VPN通過(guò)公眾IP網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支辦公室、商業(yè)伙伴、移動(dòng)辦公人員等連接起來(lái)，減輕了企業(yè)的遠(yuǎn)程訪問(wèn)費(fèi)用負(fù)擔(dān)，節(jié)省了電話費(fèi)用開(kāi)支，提供了安全的端到端數(shù)據(jù)通信．

2 網(wǎng)絡(luò)部署與配置

2.1 背景資料及拓?fù)鋱D

某公司總部和分部分別接入Internet，但總部和分部都只有一個(gè)公網(wǎng)IP地址，如圖1所示．總部和分部之間除了日常通信業(yè)務(wù)外，內(nèi)部還設(shè)置了語(yǔ)音話機(jī)，分別配置了語(yǔ)音交換機(jī)和語(yǔ)音路由器，并通過(guò)VPN集線器建立私有網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸．要保證公司總部和分部的用戶都能訪問(wèn)Internet，同時(shí)綜合考慮辦公、安全性和費(fèi)用等方面的要求，公司總部和分部的內(nèi)部PC和VoIP話機(jī)通過(guò)VPN互訪．

2.2 主要配置命令及解析

2.2.1 企業(yè)語(yǔ)音路由器的配置以企業(yè)總部路由器Voice Enabled Router1（簡(jiǎn)稱VR1）的主要配置命令為例進(jìn)行解析，分部路由器Voice Enabled Router2的配置可以參考總部路由器，不再贅述．

圖1 企業(yè)IPSec－VPN虛擬專用網(wǎng)拓?fù)鋱DFig.1 The network topology of the enterprise’s IPSec－VPN

在VR1設(shè)置兩個(gè)DHCP池，分別為企業(yè)PC和語(yǔ)音話機(jī)動(dòng)態(tài)分配IP地址、網(wǎng)關(guān)和DNS服務(wù)器地址.Cisco語(yǔ)音話機(jī)需要從TFTP服務(wù)器下載配置文件，如果沒(méi)有相應(yīng)的TFTP服務(wù)器，則向DHCP動(dòng)態(tài)池發(fā)送option 150命令請(qǐng)求配置信息，配置命令如下.

VR1（config）＃ip dhcp pool//動(dòng)態(tài)池名稱

VR1（dhcp－config）＃network//動(dòng)態(tài)分配的地址范圍

VR1（dhcp－config）＃default－router//語(yǔ)音話機(jī)動(dòng)態(tài)獲取的默認(rèn)網(wǎng)關(guān)

VR1（dhcp－config）＃ip dhcp excluded－address //在獲取的動(dòng)態(tài)IP中剔除網(wǎng)關(guān)地址

VR1（dhcp－config）＃option 150 ip//Cisco語(yǔ)音話機(jī)請(qǐng)求配置信息

Cisco IP電話的呼叫控制由Cisco CallManager完成，支持各種標(biāo)準(zhǔn)通信協(xié)議的語(yǔ)音網(wǎng)關(guān)，如H．323／MGCP／SIP等，提供電話號(hào)碼注冊(cè)分配，完成信令控制和通話控制，配置命令如下：

VR1（config）＃telephony－service//開(kāi)啟電話服務(wù)

VR1（config－telephony）＃max－ephones//容許的最大電話數(shù)

VR1（config－telephony）＃max－dn//容許的最大目錄號(hào)

VR1（config－telephony）＃ip source－address//注冊(cè)到Callmanager上的IP和端口號(hào)

VR1（config）＃ephone－dn//邏輯電話目錄號(hào)

VR1（config－ephone－dn）＃number//電話號(hào)碼

VR1（config）＃ephone//電話物理參數(shù)配置

VR1（config－ephone）＃mac－address//綁定IP電話的MAC地址

VR1（config－ephone）＃type 7960//IP Phone電話類型

VR1（config－ephone）＃button 1：1//電話按鈕與電話目錄號(hào)綁定

VR1（config）＃dial－peer voice 1 voip//定義撥號(hào)對(duì)等體之間的端對(duì)端呼叫為語(yǔ)音

VR1（config－dial－peer）＃destination－pattern//指定通信對(duì)方的IP地址

VR1（config－dial－peer）＃session target ipv4：//定義VoIP路由

IPSec－VPN虛擬專用網(wǎng)提供的保護(hù)功能有數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和認(rèn)證等．

數(shù)據(jù)機(jī)密性（Data Confidentiality）用于對(duì)發(fā)送和接收的數(shù)據(jù)進(jìn)行加密和解密，加密算法大致可以分為對(duì)稱式加密和非對(duì)稱式加密兩類，對(duì)稱式加密算法包括DES、3DES、AES，非對(duì)稱式加密算法為RSA．?dāng)?shù)據(jù)完整性（Data Integrity）用于保證數(shù)據(jù)在傳輸過(guò)程中不被修改，發(fā)送方在發(fā)送數(shù)據(jù)時(shí)，為消息附加一個(gè)Hash值1，接收方在接收數(shù)據(jù)時(shí)，根據(jù)消息內(nèi)容和共享密鑰計(jì)算出Hash值2，兩者相符則說(shuō)明數(shù)據(jù)內(nèi)容沒(méi)有被篡改，目前常用的Hash值算法（散列算法）有兩種：HMAC－MD5和HMAC－SHA－1．認(rèn)證（Authentication）也叫起源認(rèn)證，即對(duì)對(duì)等體進(jìn)行驗(yàn)證，也稱對(duì)等體驗(yàn)證（Peer Authentication），是指對(duì)數(shù)據(jù)發(fā)送者的身份識(shí)別，確保信息的來(lái)源真實(shí)可靠，目前有兩種方法：預(yù)共享密鑰（PSK）、RSA簽名，配置命令如下：

VR1（config）＃crypto isakmp policy//建立isakmp策略

VR1（config－isakmp）＃hash md5//數(shù)據(jù)完整性加密算法

VR1（config－isakmp）＃encryption des//數(shù)據(jù)機(jī)密性對(duì)稱式加密算法

VR1（config－isakmp）＃authentication pre－share //預(yù)共享密鑰認(rèn)證

VR1（config）＃crypto isakmp key//IKE驗(yàn)證密碼，對(duì)等體兩端需一致

VR1（config）＃crypto ipsec transform－set＊ah－md5－h(huán)mac esp－des//為交換集命名和設(shè)定封裝方式，*為交換集名稱（下同），兩端可以不同，但ah－md5－h(huán)mac esp－des必須一致

VR1（config）＃crypto map*1 ipsec－isakmp//創(chuàng)建密碼圖，調(diào)用密鑰策略號(hào)，*為密碼圖名稱（下同）

VR1（config－crypto－map）＃set peer//密碼圖指向?qū)Χ送饩W(wǎng)端口IP

VR1（config－crypto－map）＃set transform－set＊//調(diào)用交換集

VR1（config－crypto－map）＃match address//應(yīng)用訪問(wèn)控制列表ACL

企業(yè)總部和分部的PC，除了通過(guò)虛擬專用網(wǎng)進(jìn)行通信外，還有訪問(wèn)外網(wǎng)獲取信息的需求，通過(guò)問(wèn)控制列表（ACL）和NAT地址轉(zhuǎn)換技術(shù)來(lái)實(shí)現(xiàn)這兩個(gè)目的．

VR1（config）＃access－list//配置ACL，控制企業(yè)私網(wǎng)內(nèi)部數(shù)據(jù)的流向

VR1（config－if）＃ip nat outside

//配置NAT，除VPN隧道外的其它流量都允許訪問(wèn)外網(wǎng)

VR1（config－if）＃crypto map*//將密碼圖放置在ACL上，迫使內(nèi)網(wǎng)流量（包括語(yǔ)音流量）走VPN隧道

VR1（config）＃ip route//默認(rèn)路由用于本地私網(wǎng)訪問(wèn)外網(wǎng)

2.2.2 企業(yè)語(yǔ)音交換機(jī)的配置Cisco語(yǔ)音交換機(jī)支持一種獨(dú)特的功能，稱為語(yǔ)音VLAN，它將Cisco IP電話和工作站加入不同的VLAN中．通過(guò)使用語(yǔ)音VLAN，可將端口的VoIP通信流加入到另一個(gè)VLAN中，而且只需要配置交換機(jī)，無(wú)需在Cisco IP電話上做額外的配置．企業(yè)總部語(yǔ)音交換機(jī)Voice Enabled Switch1（簡(jiǎn)稱VS1）的主要配置命令如下，分部語(yǔ)音交換機(jī)Voice Enabled Switch2的配置可參考之．

VS1（config－if）＃switchport access vlan//在Cisco IP電話連接交換機(jī)的端口設(shè)置VLAN

VS1（config－if）＃switchport voice vlan 1//語(yǔ)音VLAN

VS1（config－if）＃switchport mode trunk//語(yǔ)音路由器連接交換機(jī)的端口設(shè)置trunk干道

2.2.3 外網(wǎng)服務(wù)器的配置在WWW服務(wù)器中制作一個(gè)簡(jiǎn)單網(wǎng)頁(yè)index．html，網(wǎng)頁(yè)域名http：// www．lqp．com，作為企業(yè)內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)服務(wù)器中Web頁(yè)面的驗(yàn)證．在DNS服務(wù)器中建立對(duì)應(yīng)http：//www．lqp．com的域名解析，并使用公網(wǎng)IP地址202．101．172．1，如圖2所示．

圖2 WWW和DNS服務(wù)器的配置Fig.2 The configuration of WWW server and DNS server

3 測(cè)試結(jié)果

企業(yè)總部的IP phone1及分部的IP phone4之間能相互通話．

企業(yè)內(nèi)網(wǎng)的PC通過(guò)域名http：//www．lqp．com訪問(wèn)WWW服務(wù)器中的Web頁(yè)面，如圖3所示．

圖3 企業(yè)內(nèi)網(wǎng)PC訪問(wèn)WWW服務(wù)器中的Web頁(yè)面Fig.3 The web page in WWW server accessed by the enterprise intranet PC

隧道模式中，IPSec的AH頭或ESP頭插入原來(lái)的IP地址之前，加密和認(rèn)證之后重新產(chǎn)生的IP頭加到AH頭或ESP頭之前.通過(guò)“show ip route”命令查詢VR1的路由信息可以看出，真正的IP源地址和目的地址都隱藏在Internet傳送的普通數(shù)據(jù)中，如下所示.

Gateway of last resort is 20．0．0．2 to network 0．0．0．0 C 20．0．0．0／8 is directly connected，Serial1／0 C192．168．10．0／24isdirectlyconnected，F(xiàn)astEthernet0／0．1

C192．168．20．0／24isdirectlyconnected，F(xiàn)astEthernet0／0．2

S*0．0．0．0／0［1／0］via 20．0．0．2

4 網(wǎng)絡(luò)性能影響

IPSec－VPN是需要消耗資源的保護(hù)性措施，一方面隧道模式加密的復(fù)雜性需要占有一定的網(wǎng)絡(luò)帶寬，另一方面IPSec保護(hù)的興趣流會(huì)觸發(fā)協(xié)商，觸發(fā)的過(guò)程通常是將數(shù)據(jù)包中的源、目的地址、協(xié)議以及源、目的端口號(hào)與ACL進(jìn)行匹配，協(xié)商的內(nèi)容主要包括雙方身份的確認(rèn)、密鑰種子刷新周期、AH／ESP的組合方式及各自使用的算法、封裝模式等，這些都是網(wǎng)絡(luò)延遲的影響因素．

在OPNET平臺(tái)上對(duì)網(wǎng)絡(luò)性能進(jìn)行仿真和分析［10～11］，圖4顯示，企業(yè)總部網(wǎng)絡(luò)的吞吐量和分部網(wǎng)絡(luò)的吞吐量基本相當(dāng)，說(shuō)明在IPSec－VPN隧道中數(shù)據(jù)的丟包率比較低，VoIP語(yǔ)音數(shù)據(jù)基本上能完整到達(dá)對(duì)方．

圖4 企業(yè)總部和分部網(wǎng)絡(luò)的吞吐量Fig.4 The network throughput of HQ and division

從圖5可以看出，企業(yè)總部PC機(jī)開(kāi)始時(shí)數(shù)據(jù)包的發(fā)送速度很快，VR1路由器接到數(shù)據(jù)包后進(jìn)行加密、封裝，接收速率逐漸緩慢下來(lái)，一直到數(shù)據(jù)發(fā)送完畢．在接收方，開(kāi)始時(shí)由于與發(fā)送方建立會(huì)話和協(xié)商，數(shù)據(jù)包的傳輸速率比較平緩，當(dāng)發(fā)送方的數(shù)據(jù)全部發(fā)送完成后，接收方VR2路由器進(jìn)行解密和解封裝，還原數(shù)據(jù)，企業(yè)分部PC機(jī)的輸送速率陡然提高，直到全部接受數(shù)據(jù)完畢．

圖5 企業(yè)總部和分部PC數(shù)據(jù)包的傳輸速率Fig.5 The data packet transmission rate of HQ and division

IPSec－VPN的機(jī)制對(duì)網(wǎng)絡(luò)延遲的影響比較明顯．圖6顯示，企業(yè)總部網(wǎng)絡(luò)隨著IPSec的會(huì)話協(xié)商、數(shù)據(jù)的加密認(rèn)證和VoIP數(shù)據(jù)包的發(fā)送出現(xiàn)3次較為明顯的延遲現(xiàn)象，分部網(wǎng)絡(luò)由于沒(méi)有VPN隧道的數(shù)據(jù)發(fā)送，網(wǎng)絡(luò)延遲有所減緩．

圖6 企業(yè)總部和分部網(wǎng)絡(luò)的網(wǎng)絡(luò)延遲Fig.6 The network delay of HQ and division

5 結(jié)語(yǔ)

隨著企業(yè)組織機(jī)構(gòu)區(qū)域性擴(kuò)展及員工日益分散，分支機(jī)構(gòu)采用VPN方式與總部建立一個(gè)大的虛擬專用網(wǎng)并進(jìn)行集中管理操作，從而達(dá)到節(jié)省成本和實(shí)時(shí)管理的目的．基于IPSec標(biāo)準(zhǔn)的VPN技術(shù)為企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸提供了技術(shù)保障，但VPN的數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、起源認(rèn)證等加密措施和隧道封裝技術(shù)使得網(wǎng)絡(luò)配置變得復(fù)雜．在IPSec－VPN專用網(wǎng)中雖然數(shù)據(jù)包的傳送基本上是完整的，但I(xiàn)PSec采用的安全策略對(duì)數(shù)據(jù)包的傳輸速率尤其是網(wǎng)絡(luò)延遲的變化無(wú)疑會(huì)產(chǎn)生較大的影響，導(dǎo)致網(wǎng)絡(luò)抖動(dòng)明顯，收斂速度慢，VoIP語(yǔ)音的質(zhì)量也隨之減低．因此，采取諸如數(shù)據(jù)高速透明壓縮、流量整形、智能帶寬分配、VPN數(shù)據(jù)雙向加速等技術(shù)，提高上／下行帶寬速度，減少網(wǎng)絡(luò)延遲，以獲得高速應(yīng)用性能，是IPSec－VPV技術(shù)關(guān)注和研發(fā)的重點(diǎn)．

致謝

感謝學(xué)院同仁和合作企業(yè)提供的大力支持和幫助！

［1］崔北亮．CCNA認(rèn)證指南（640－802）［M］．北京：電子工業(yè)出版社，2009：551－556．

CUI Bei－liang．CCNA certification guide（640－802）［M］．Beijing：Electronic Industry Press，2009：551－556．（in Chinese）

［2］王妍．基于IPSec的VPN系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［D］．成都：電子科技大學(xué)，2013：5－28．

WANG Yan．Design and implementation of VPN system based on IPSec［D］．Chengdu：Electronic Technology U-niversity，2013：5－28．（in Chinese）

［3］郭賽球，陳偉宏，文乾德．基于IPSec VPN的應(yīng)用性組網(wǎng)研究與設(shè)計(jì)［J］．湖南城市學(xué)院學(xué)報(bào)：自然科學(xué)版，2013，22（6）：70－74．

GUO Sai－qiu，CHENG Wei－h(huán)ong，，WEN Qian－de．The research and design of virtual private network application construct based on IPSec VPN［J］．Journal of Hunan City University:Natural Science，2013，22（6）：70－74．（in Chinese）

［4］李淑梅．中小企業(yè)基于IPSec VPN的網(wǎng)絡(luò)構(gòu)建［J］．現(xiàn)代計(jì)算機(jī)，2011（5）：99－101．

LI Shu－mei．Network construction based on IPSec VPN in small and medium－sized enterprises［J］．Modern Comupter，2011（5）：99－101．（in Chinese）

［5］張光劍，李軍英，李仁發(fā)，等．基于VPN的安全VoIP述評(píng)［J］．計(jì)算機(jī)應(yīng)用研究，2004（2）：1－3．

ZHANG Guang－jian，LI Jun－ying，LI Ren－fa1，et al．Introduction to secure VoIP based on VPN［J］．Application Research of Computers，2004（2）：1－3．（in Chinese）

［6］司聿宣，蘇遠(yuǎn)興，楊正芳．分布式環(huán)境實(shí)時(shí)語(yǔ)音通訊系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］．武漢工程大學(xué)學(xué)報(bào)，2012，34（5）：60－63．

SI Yu－xuan，SU Yuan－xing，YANG Zheng－fang．Design and realization of real－time audio communication system based on distributed environment［J］．Journal of Wuhan Institute of Technology，2012（5）：2012，34（5）：60－63．（in Chinese）

［7］肖耿毅．IPSec虛擬專用網(wǎng)絡(luò)服務(wù)質(zhì)量研究與仿真［J］．計(jì)算機(jī)仿真，2009，26（8）：137－142．

XIAO Geng－yi．Research and simulation of QoS of IPSec virtual private network［J］．Computer Simulation，2009，26（8）：137－142．（in Chinese）

［8］王澤澤．基于IPSec的IKE協(xié)議研究與實(shí)現(xiàn)［D］．太原：太原理工大學(xué)，2011：5－35．

WANG Ze ze．Based on IPSec research and implementation of IKE protocol［J］．Taiyuan：Taiyuan University of Technology，2011：5－35．（in Chinese）

［9］張莉．采用IKE協(xié)議提高IPSec安全性的應(yīng)用［J］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（7）：12－14．

ZHANG Li．Adopt IKE protocol to increase application of IPSec’s security［J］．Network Security Technology＆Application，2011（7）：12－14．（in Chinese）

［10］邢金萍．基于OPNET的IPSec VPN的性能分析［J］．通信技術(shù)，2009，42（9）：91－93．

XING Jin－ping．Performance analysis of IPSec VPN based on OPNET［J］．Communications Technology，2009，42（9）：91－93．（in Chinese）

［11］李清平．隧道技術(shù)在新增IPv6校園網(wǎng)中的實(shí)現(xiàn)及分析［J］．計(jì)算機(jī)系統(tǒng)應(yīng)用，2010，19（6）：162－165．

LI Qing ping．Implementation and analysis of newly added IPv6 campus network based on tunneling technique［J］．Computer Systems＆Applications，2010，19（6）：162－165．（in Chinese）

Application of voice－over－IP in virtual private network and network performance

LI Qing－ping
Department of Information Technology＆Application，Zhejiang Yuying College of Vocational Technology，Hangzhou 310018，China

To study the voice－over－internet protocol（VoIP）data transmission through virtual private network（VPN）based on internet protocol security（IPSec）and the influence on network performance，an enterprise＇s VPN network topology was designed based on the analysis of IPSec technology，tunnel encapsulation technology and VPN technology．The configuration and the function were explained on the voice router and the voice switch and the outgoing server，the network performance was simulated and analyzed based on OPNET performance．The results show that VPN can further complicate the configuration because of its tunnel encapsulation technology and encryption measures，such as data confidentiality，data integrity and authentication，etc.；in the process of the VPN tunnel transmission，VoIP voice data has low packet lost rate，but the transfer rate becomes slow and the network delay increases；the obvious network jitter，slow convergence speed，low VoIP quality are caused by IPSec security policy．

internet protocol security；virtual private network；voice-over－IP；Network Performance；Network Delay

TP391

A

10.3969/j.issn.1674-2869.2015.06.015

1674－2869（2015）06－0073－06

本文編輯：陳小平

2014－10－15

李清平（1969－），男，江西萍鄉(xiāng)人，副教授.研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)．