Avaya呼叫中心網(wǎng)絡(luò)安全性設(shè)計(jì)

1、Avaya呼叫中心網(wǎng)絡(luò)安全性設(shè)計(jì) 面臨的安全威脅由于數(shù)據(jù)網(wǎng)絡(luò)協(xié)議的開放性，技術(shù)上的易掌握性，目前數(shù)據(jù)網(wǎng)絡(luò)上存在著大量的安全攻擊和威脅，例如：拒絕服務(wù)攻擊 SYN Flood，F(xiàn)lood Ping、IP碎片攻擊、Finger of death等；病毒攻擊 郵件蠕蟲、特洛伊木馬等 操作系統(tǒng)安全漏洞 大部分黑客都是通過(guò)OS的安全漏洞獲取超級(jí)用戶訪問(wèn)權(quán) 端口掃描 獲取網(wǎng)絡(luò)服務(wù)和拓?fù)鋱D，目前從互聯(lián)網(wǎng)上均可以下載到端口掃描的工具交換機(jī)、路由器、防火墻 SNMP V1本身存在安全弱點(diǎn)，超級(jí)權(quán)限用戶訪問(wèn)等數(shù)據(jù)攔截/竊聽交換式網(wǎng)絡(luò)上的中間人攻擊，IP欺騙，Sniffer由于統(tǒng)一通信的IP電話交換系統(tǒng)的語(yǔ)音服務(wù)器

2、和網(wǎng)關(guān)、統(tǒng)一消息、會(huì)議系統(tǒng)等均部署在IP網(wǎng)絡(luò)平臺(tái)上，因此也會(huì)面臨以上的安全威脅，這些威脅將會(huì)影響IP 語(yǔ)音系統(tǒng)的正常運(yùn)行，包括： 端口掃描/拒絕服務(wù)攻擊(DoS)從網(wǎng)絡(luò)攻擊的方法和產(chǎn)生的破壞效果來(lái)看，DoS算是一種既簡(jiǎn)單又有效的攻擊方式。攻擊者向服務(wù)器發(fā)送相當(dāng)多數(shù)量的帶有虛假地址的服務(wù)請(qǐng)求，但因?yàn)樗幕貜?fù)地址是虛假的，服務(wù)器將等不到回傳的消息，直至所有的資源被耗盡。VoIP技術(shù)已經(jīng)有很多知名的端口，像1719、1720、5060等。還有一些端口是產(chǎn)品本身需要用于遠(yuǎn)端管理或是私有信息傳遞的用途，總之是要比普通的某個(gè)簡(jiǎn)單的數(shù)據(jù)應(yīng)用多。只要是攻擊者的PC和這些應(yīng)用端口在同一網(wǎng)段，就可以通過(guò)簡(jiǎn)單的

3、掃描工具，如X-Way之類的共享軟件來(lái)獲得更詳細(xì)的信息。最近報(bào)道的一個(gè)安全漏洞是由NISCC(UKNationalInfrastructure SecurityCo-ordi-nationCenter)提出，測(cè)試結(jié)果表明：“市場(chǎng)上很多采用H.323協(xié)議的VoIP系統(tǒng)在H.245建立過(guò)程中都存在漏洞，容易在1720端口上受到DoS的攻擊，導(dǎo)致從而系統(tǒng)的不穩(wěn)定甚至癱瘓”。 OS漏洞和病毒攻擊目前IP Telephony最常用的話音建立和控制信令是H.323和SIP協(xié)議。盡管它們之間有若干區(qū)別，但總體上都是一套開放的協(xié)議體系。設(shè)備廠家都會(huì)有獨(dú)立的組件來(lái)承載包括IP終端登陸注冊(cè)、關(guān)守和信令接續(xù)。這些產(chǎn)

4、品有的采用WindowsNT的操作系統(tǒng)，也有的是基于Linux或VxWorks。越是開放的操作系統(tǒng)，也就越容易受到病毒和惡意攻擊的影響。尤其是某些設(shè)備需要提供基于Web的管理界面的時(shí)候，都會(huì)有機(jī)會(huì)采用Microsoft IIS或Apache來(lái)提供服務(wù)，而這些應(yīng)用都是在產(chǎn)品出廠的時(shí)候已經(jīng)安裝在設(shè)備當(dāng)中，無(wú)法保證是最新版本或是承諾已經(jīng)彌補(bǔ)了某些安全漏洞。 IP語(yǔ)音Sniffer 模擬話機(jī)存在并線竊聽的問(wèn)題，當(dāng)用戶使用了數(shù)字話機(jī)之后，由于都是廠家私有的協(xié)議，很難通過(guò)簡(jiǎn)單的手段來(lái)偵聽。但在IP環(huán)境下，這個(gè)問(wèn)題又被提了出來(lái)。一個(gè)典型的IP語(yǔ)音呼叫需要信令和媒體流兩個(gè)建立的步驟，RTP/RTCP是在基于包

5、的網(wǎng)絡(luò)上傳輸?shù)葧r(shí)話音信息的協(xié)議。由于協(xié)議本身是開放的，即使是一小段的媒體流都可以被重放出來(lái)而不需要前后信息的關(guān)聯(lián)。如果有人在數(shù)據(jù)網(wǎng)絡(luò)上通過(guò)Sniffer的方式記錄所有信息并通過(guò)軟件加以重放，會(huì)引起員工對(duì)話音通信的信任危機(jī)。 AVAYA IP語(yǔ)音系統(tǒng)的安全設(shè)計(jì)Avaya注意到了VOIP網(wǎng)絡(luò)平臺(tái)的安全性的問(wèn)題，在進(jìn)行產(chǎn)品架構(gòu)、功能設(shè)計(jì)時(shí)均充分考慮到IP網(wǎng)絡(luò)平臺(tái)的安全威脅，并進(jìn)行了全面的優(yōu)化設(shè)計(jì)。通過(guò)從媒體服務(wù)器，媒體網(wǎng)關(guān)到IP終端的多級(jí)安全設(shè)計(jì)，實(shí)現(xiàn)一個(gè)立體化的端到端的IP語(yǔ)音安全架構(gòu)。強(qiáng)化的Linux服務(wù)器及安全的管理S8510媒體服務(wù)器均采用專業(yè)的硬件設(shè)備及Linux操作系統(tǒng)，Avaya Co

6、mmunication Manager核心軟件運(yùn)行在該操作系統(tǒng)上提供呼叫處理功能。而運(yùn)行在S8510媒體服務(wù)器的Linux操作系統(tǒng)是經(jīng)過(guò)特別的安全強(qiáng)化設(shè)計(jì)的：強(qiáng)化的Linux操作系統(tǒng) S8510采用強(qiáng)化的操作系統(tǒng)，僅僅運(yùn)行必要的服務(wù)；入侵檢測(cè) S8510媒體服務(wù)器采用標(biāo)準(zhǔn)的安裝，可以很好的監(jiān)控系統(tǒng)和配置的變化，并會(huì)產(chǎn)生相應(yīng)的告警；Netfilter/IPTables (內(nèi)核級(jí)防火墻) 提供了對(duì)運(yùn)行在服務(wù)器上服務(wù)的更加增強(qiáng)的安全性接入；安全的Telnet (SSH),、FTP (SFTP)、文件拷貝(SCP)和Web (HTTPS) 方式管理 為系統(tǒng)管理和配置提供安全性保障；不需要使用root身

7、份登錄服務(wù)器 操作和維護(hù)S8510媒體服務(wù)器，均不使用root用戶名登錄，防止病毒和木馬程序的影響預(yù)防DoS攻擊由于S8000媒體服務(wù)器沒有直接連接在客戶開放的數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)上，它和媒體網(wǎng)關(guān)IPSI板卡之間控制信息的傳輸不會(huì)受到外界網(wǎng)絡(luò)DoS攻擊的影響。在客戶的數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)上部署IP電話，媒體網(wǎng)關(guān)上需要配置兩個(gè)接口卡板：CLAN和IP媒介 處理 器板 TN2602（IP Media Processor）。它們均通過(guò)標(biāo)準(zhǔn)的以太網(wǎng)接口與IP網(wǎng)絡(luò)連接。CLAN板卡主要為媒體服務(wù)器和IP電話之間提供IP語(yǔ)音控制信令的連接，提供類似H.323關(guān)守的功能，其中包括:H.323/H.225協(xié)議, 提供登錄、許

8、可及安全校驗(yàn)功能Q931協(xié)議，以提供信令控制功能和增值應(yīng)用H.245協(xié)議，用于用戶輸入指示消息 用于IP軟件電話和IP電話的CCMS協(xié)議而IP媒介處理器板（IP Media Processor）用于時(shí)分復(fù)用（TDM）總線與IP網(wǎng)絡(luò)之間音頻信息流的轉(zhuǎn)換處理。該板不具有任何信令處理功能：它只處理音頻業(yè)務(wù)的傳輸，而呼叫信令的處理由Avaya呼叫處理軟件來(lái)完成。由于CLAN板和IP媒介處理器板（IP Media Processor）才真正連接到客戶數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)上，但由于這兩快板卡均運(yùn)行特定的服務(wù)，只對(duì)相應(yīng)IP語(yǔ)音 TCP/UDP應(yīng)用進(jìn)行響應(yīng)，所以網(wǎng)絡(luò)當(dāng)中的病毒和DoS攻擊均無(wú)法影響到IP 語(yǔ)音系統(tǒng)的可

9、靠運(yùn)行。IP語(yǔ)音和普通數(shù)據(jù)邏輯隔離Avaya IP話機(jī)均提供2個(gè)以太網(wǎng)端口，一個(gè)連接網(wǎng)絡(luò)交換機(jī)，一個(gè)可以連接用戶PC，與網(wǎng)絡(luò)交換機(jī)連接端口通過(guò)802.1Q/p標(biāo)準(zhǔn)協(xié)議，可以實(shí)現(xiàn)IP語(yǔ)音和用戶PC分布屬于不同的VLAN。劃分VLAN是目前保護(hù)IP話音系統(tǒng)最為簡(jiǎn)單有效的方法，可以隔離病毒和簡(jiǎn)單的攻擊。而且IP語(yǔ)音包會(huì)帶上第二層和第三層的優(yōu)先級(jí)標(biāo)記，可以和客戶具有QoS支持的數(shù)據(jù)網(wǎng)絡(luò)相配合，還將有助于提高話音質(zhì)量。IP信令和RTP媒體流加密部署在客戶開放數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)上的Avaya 媒體網(wǎng)關(guān)和IP電話，支持IP信令和IP語(yǔ)音流的加密。Avaya的媒體服務(wù)器、媒體網(wǎng)關(guān)以及IP終端均支持對(duì)RTP語(yǔ)音媒體流

10、進(jìn)行加密傳輸。H.323關(guān)守（CLAN板）和H.323終端在IP語(yǔ)音呼叫信令建立過(guò)程中，會(huì)對(duì)媒體加密進(jìn)行協(xié)商，如果決定對(duì)一個(gè)呼叫進(jìn)行加密，它們之間會(huì)交換加密的相關(guān)關(guān)鍵參數(shù)。目前，Avaya IP語(yǔ)音系統(tǒng)中將支持AEA（Avaya私有加密算法）和高級(jí)加密標(biāo)準(zhǔn)（AES）。AEA采用對(duì)稱（共享密鑰）加密算法，兩部IP終端設(shè)備采用共享的密鑰，對(duì)語(yǔ)音流量進(jìn)行加密和解密，能實(shí)現(xiàn)很高的處理速度，僅僅增加小于3毫秒的端到端延遲 ，AEA密鑰針對(duì)會(huì)話逐一生成，并且在任何時(shí)候媒體流重新定向時(shí)重新產(chǎn)生。系統(tǒng)管理員接入安全網(wǎng)關(guān)接入安全網(wǎng)關(guān)（ASG）是一種用來(lái)保護(hù)系統(tǒng)管理和維護(hù)端口和/或登錄系統(tǒng)的驗(yàn)證接口。接入安全網(wǎng)關(guān)

11、使用詢問(wèn)/響應(yīng)協(xié)議來(lái)證實(shí)用戶的有效性和降低未授權(quán)接入的可能性。當(dāng)此功能與一兼容的密鑰通訊時(shí)，驗(yàn)證即告成功。一旦某用戶建立了RS-232 會(huì)話并提供了登錄ID，系統(tǒng)即會(huì)發(fā)起詢問(wèn)/響應(yīng)對(duì)話。驗(yàn)證過(guò)程中，系統(tǒng)基于用戶提供的登錄ID 發(fā)出詢問(wèn)，用戶必須對(duì)此作出正確的響應(yīng)。 安全性機(jī)制實(shí)施建議服務(wù)器安全配置要求：禁止在PBX設(shè)備的控制服務(wù)器上安裝其他任何第三方軟件。合理配置S8510服務(wù)器內(nèi)置防火墻設(shè)定：關(guān)閉所有非必須的服務(wù)。關(guān)閉PBX設(shè)備控制服務(wù)器的FTP服務(wù)：缺省狀態(tài)下，在PBX控制服務(wù)器中，F(xiàn)TP服務(wù)是被關(guān)閉的，如需使用，需要由管理員手工打開?？刂品?wù)器的網(wǎng)卡通訊方式設(shè)置為100M全雙工控制服務(wù)器

12、連接的以太網(wǎng)交換機(jī)的網(wǎng)口通訊方式設(shè)置為100M全雙工系統(tǒng)維護(hù)管理帳號(hào)及密碼安全配置要求：創(chuàng)建的系統(tǒng)管理員的數(shù)量應(yīng)達(dá)到最小化。所創(chuàng)建的系統(tǒng)管理員賬號(hào)的管理權(quán)限應(yīng)僅限于其完成職責(zé)范圍內(nèi)的工作，避免賦予其更高權(quán)限。系統(tǒng)管理員訪問(wèn)密碼應(yīng)嚴(yán)格管理、定期更換。禁止保留PBX系統(tǒng)缺省訪問(wèn)密碼。密碼長(zhǎng)度應(yīng)盡可能達(dá)到系統(tǒng)所能支持的最大長(zhǎng)度。密碼創(chuàng)建應(yīng)至少遵循以下原則：禁止使用相同字符創(chuàng)建密碼(例如, 1111, xxxx等)禁止使用順序字符串創(chuàng)建密碼(例如, 1234, abcd等)禁止使用與管理員本人相關(guān)的字符串創(chuàng)建密碼，例如姓名，生日，電話號(hào)碼等等 禁止使用單詞或常用名稱創(chuàng)建密碼。密碼應(yīng)盡量廣泛使用所有可用

13、的字符創(chuàng)建，例如，在密碼中應(yīng)同時(shí)使用數(shù)字、字符、區(qū)分大小寫等應(yīng)定期更換密碼，至少每季度更換一次密碼。禁止重復(fù)使用已經(jīng)使用過(guò)的舊密碼。建議采用一次性密碼替代固定密碼。應(yīng)當(dāng)對(duì)與PBX系統(tǒng)相連的其他附屬設(shè)備的密碼進(jìn)行同樣的嚴(yán)格管理，如CMS系統(tǒng)，語(yǔ)音信箱系統(tǒng)等。禁止將系統(tǒng)管理員賬號(hào)、系統(tǒng)訪問(wèn)密碼、系統(tǒng)連接等信息存儲(chǔ)在自動(dòng)執(zhí)行腳本文件中。PBX設(shè)備遠(yuǎn)程訪問(wèn)控制安全配置要求：建議使用一個(gè)未公開發(fā)布的電話號(hào)碼用于遠(yuǎn)程訪問(wèn)接入號(hào)碼。應(yīng)嚴(yán)格控制遠(yuǎn)程訪問(wèn)權(quán)限，建立嚴(yán)格的遠(yuǎn)程訪問(wèn)接入核實(shí)確認(rèn)機(jī)制。應(yīng)只允許必須的維護(hù)服務(wù)人員在必要時(shí)通過(guò)遠(yuǎn)程訪問(wèn)機(jī)制進(jìn)入系統(tǒng)，其他時(shí)刻禁止任何人通過(guò)遠(yuǎn)程訪問(wèn)機(jī)制進(jìn)入系統(tǒng)。為保證系統(tǒng)的安

14、全性，建議將對(duì)PBX設(shè)備的遠(yuǎn)程訪問(wèn)控制權(quán)限設(shè)定為一次只允許一個(gè)撥入呼叫（Allow only one incoming call）。PBX系統(tǒng)數(shù)據(jù)信息安全配置要求：建議對(duì)IP語(yǔ)音信息進(jìn)行加密，對(duì)PBX G650遠(yuǎn)程網(wǎng)關(guān)設(shè)備與系統(tǒng)控制服務(wù)器之間的信令連接鏈路進(jìn)行加密。當(dāng)對(duì)PBX系統(tǒng)數(shù)據(jù)進(jìn)行備份時(shí)，應(yīng)對(duì)所備份的系統(tǒng)數(shù)據(jù)進(jìn)行加密。IP網(wǎng)絡(luò)部署安全配置要求：IP網(wǎng)絡(luò)應(yīng)采用全交換式網(wǎng)絡(luò)。將PBX設(shè)備CLAN 板、IPSI板、IP語(yǔ)音壓縮板的以太網(wǎng)端口通訊方式設(shè)置為100M全雙工。將IP電話機(jī)與相連接的以太網(wǎng)交換機(jī)之間的通訊方式固定為100M全雙工。PBX設(shè)備的控制信令網(wǎng)絡(luò)應(yīng)與其他網(wǎng)絡(luò)進(jìn)行隔離。在網(wǎng)絡(luò)上進(jìn)

15、行物理隔離是最佳方式，在無(wú)法進(jìn)行無(wú)理隔離的情況下，應(yīng)進(jìn)行VLAN劃分并從邏輯上進(jìn)行網(wǎng)絡(luò)隔離。應(yīng)對(duì)PBX設(shè)備所涉及到的不同的數(shù)據(jù)流進(jìn)行VLAN劃分，并制定嚴(yán)格的訪問(wèn)控制策略進(jìn)行邏輯隔離，包括IP語(yǔ)音信息，PBX控制信令信息，維護(hù)管理信息等，并與網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行隔離。進(jìn)行訪問(wèn)控制列表設(shè)定：只允許來(lái)自IPSI板IP地址的數(shù)據(jù)流訪問(wèn)S8510服務(wù)器，拒絕其他任何IP地址的主機(jī)對(duì)S8510服務(wù)器控制信令網(wǎng)絡(luò)端口的訪問(wèn)。應(yīng)對(duì)IP語(yǔ)音進(jìn)行QOS/COS設(shè)定。對(duì)于交換式網(wǎng)絡(luò)，需進(jìn)行802.1P/Q設(shè)定；對(duì)于路由網(wǎng)絡(luò)中，需進(jìn)行DSCP設(shè)定，建議將IP語(yǔ)音流標(biāo)記為DSCP 46 (EF) ，建議將IPSI 板的

16、控制信令流標(biāo)記為DSCP 36 (AF42)。盡量減少IP語(yǔ)音VLAN中廣播消息包的數(shù)量，建議值為小于500個(gè)/秒。在與PBX系統(tǒng)連接的以太網(wǎng)交換機(jī)的端口上啟用spanning tree fast start功能，或禁用端口的spanning tree 功能。如果不支持spanning tree fast start功能，可以考慮禁用端口的spanning tree 功能。但不要在整臺(tái)交換機(jī)范圍內(nèi)或VLAN范圍內(nèi)禁用spanning tree 功能。如果采用的是CISCO的以太網(wǎng)交換機(jī)，禁用Cisco以太網(wǎng)交換機(jī)的一些特殊功能，這些功能包括：auxiliaryvlan，channeling,

17、cdp和inline power。 IP語(yǔ)音的服務(wù)質(zhì)量和帶寬要求AVAYA提供的全部IP語(yǔ)音產(chǎn)品均提供豐富的服務(wù)質(zhì)量保障手段。呼叫中心作為地稅部門納服系統(tǒng)重要的一個(gè)環(huán)節(jié)，其穩(wěn)定性、擴(kuò)展性和業(yè)務(wù)功能多樣性受到了越來(lái)越多的關(guān)AVAYA提供的全部IP網(wǎng)關(guān)和IP電話均支持如下協(xié)議：IEEE 802.1p/QDiffServRSVP除支持標(biāo)準(zhǔn)的協(xié)議標(biāo)記外，系統(tǒng)還提供如下附加語(yǔ)音質(zhì)量保證手段：動(dòng)態(tài)延遲抖動(dòng)緩存器（Jitter Buffer）IP-IP直接IP語(yǔ)音傳輸IP語(yǔ)音包內(nèi)容加密(DES或3DES算法)Avaya 通信軟件提供對(duì)RTP語(yǔ)音和H.248鏈路的加密保護(hù):對(duì)RTP語(yǔ)音流量進(jìn)行加密保護(hù)采用“A

18、dvanced Encryption Standard” (AES)加密3DES加密算法對(duì)H.248鏈路進(jìn)行加密保護(hù) IP語(yǔ)音帶寬控制為滿足IP語(yǔ)音在數(shù)據(jù)網(wǎng)絡(luò)中心的實(shí)時(shí)傳輸，提供充足的數(shù)據(jù)帶寬為語(yǔ)音服務(wù)的同時(shí)，必須保證數(shù)據(jù)通信的流量，為此，有效的控制IP語(yǔ)音在不同廣域網(wǎng)段之間的數(shù)據(jù)帶寬對(duì)整個(gè)網(wǎng)絡(luò)的有效運(yùn)行是非常關(guān)鍵的。Avaya S8730系統(tǒng)可提供針對(duì)不同語(yǔ)音網(wǎng)關(guān)之間IP語(yǔ)音呼叫的控制手段，通過(guò)對(duì)不同網(wǎng)關(guān)之間IP語(yǔ)音呼叫并發(fā)數(shù)量或并發(fā)總數(shù)據(jù)流量的限制，可有效的實(shí)現(xiàn)帶寬控制。對(duì)不同網(wǎng)絡(luò)區(qū)域之間的VoIP呼叫實(shí)現(xiàn)帶寬控制: 不同網(wǎng)絡(luò)區(qū)域間通過(guò)有限帶寬的WAN連接 WAN電路帶寬有限, 要求按應(yīng)用

19、加以控制 可對(duì)直接連接或間接連接的網(wǎng)絡(luò)區(qū)域間的VoIP流量進(jìn)行控制中斷超過(guò)流量限制VoIP呼叫兩種流量控制方法： 語(yǔ)音流量總帶寬 并發(fā)的語(yǔ)音通話數(shù)量流量控制只對(duì)語(yǔ)音流量加以控制支持對(duì)全部 VoIP 呼叫類型的限制: 分機(jī) 中繼 端口網(wǎng)絡(luò)(Port Networks) 媒體網(wǎng)關(guān)(Media Gateways)如圖所示： VOIP數(shù)據(jù)網(wǎng)絡(luò)要求和QOS建議本次提供的IP語(yǔ)音系統(tǒng)架設(shè)在客戶的數(shù)據(jù)網(wǎng)絡(luò)之上，因此，數(shù)據(jù)網(wǎng)絡(luò)的性能對(duì)IP語(yǔ)音通信的完美實(shí)現(xiàn)起到重要的作用。首先必須考慮數(shù)據(jù)網(wǎng)絡(luò)的性能以滿足IP語(yǔ)音的需求；其次，由于數(shù)據(jù)網(wǎng)絡(luò)的特性，還要考慮在數(shù)據(jù)網(wǎng)絡(luò)上對(duì)IP語(yǔ)音通信設(shè)置QoS（服務(wù)質(zhì)量）的參數(shù)。最

20、后，VoIP對(duì)路由器的訪問(wèn)控制有特殊的要求，以下分別介紹這些方面。數(shù)據(jù)網(wǎng)絡(luò)建議：當(dāng)采用IP電話的時(shí)候。在布署VoIP時(shí)，影響話音質(zhì)量的主要因素是網(wǎng)絡(luò)延時(shí)、丟包和抖動(dòng)，而共享以太網(wǎng)上的碰撞是造成網(wǎng)絡(luò)延時(shí)和抖動(dòng)的主要原因，這在交換網(wǎng)絡(luò)里已得到根本清除。所以建議在本系統(tǒng)中所有IP電話都直接接入交換機(jī)的交換以太網(wǎng)接口，并設(shè)置交換機(jī)和IP電話的連接均為固定 100M全雙工， 以避免可能的匹配錯(cuò)誤。對(duì)網(wǎng)絡(luò)延時(shí)的要求（單向，任意兩個(gè)IP語(yǔ)音點(diǎn)之間）：小于80ms 將屬于最好的語(yǔ)音的質(zhì)量范圍內(nèi)。80ms至180ms屬于商業(yè)通信的質(zhì)量范圍內(nèi)。對(duì)抖動(dòng)的要求（延時(shí)變化，任意兩個(gè)IP語(yǔ)音點(diǎn)之間）：標(biāo)準(zhǔn)語(yǔ)音質(zhì)量的建議是

21、小于20ms或小于包的凈荷。對(duì)丟包率的要求（最大丟包率，任意兩個(gè)IP語(yǔ)音點(diǎn)之間）：小于1的丟包率屬于收費(fèi)標(biāo)準(zhǔn)語(yǔ)音質(zhì)量。小于3的丟包率屬于商業(yè)通訊的質(zhì)量范圍。對(duì)帶寬的要求：帶寬包括兩個(gè)部分，IP語(yǔ)音帶寬和信令帶寬。其中 IP語(yǔ)音的帶寬跟采用編碼方式、凈荷大小、封裝二層協(xié)議有關(guān)。為在保證語(yǔ)音質(zhì)量的條件下，盡可能的減少語(yǔ)音在數(shù)據(jù)網(wǎng)絡(luò)上的傳輸帶寬，AVAYA 提供的IP語(yǔ)音產(chǎn)品均支持多種語(yǔ)音壓縮模式（G.711, G.729A, G.729B, G.723-6.3, G.723-3）。其中G.729編碼標(biāo)準(zhǔn)的MOS(平均意見分?jǐn)?shù))為3.92，而G.711為4.1，一般認(rèn)為G.729的語(yǔ)音質(zhì)量可以達(dá)到商

22、用標(biāo)準(zhǔn)。本項(xiàng)目中，在跨廣域網(wǎng)絡(luò)我們建議采用G.729 ，30 ms包長(zhǎng)的編碼方式，在局域網(wǎng)絡(luò)中采用G.711，20ms包長(zhǎng)的編碼方式。在局域網(wǎng)絡(luò)上采用G.729編碼方式，以 30ms的包長(zhǎng)進(jìn)行傳輸。IP語(yǔ)音帶寬計(jì)算如下：每個(gè)IP包含的語(yǔ)音有效負(fù)荷為：64000bps*20ms/1000=1280bit=160byte，其中 IP、UDP、RTP和以太網(wǎng)的開銷分別為20、8、12和26 byte。則每個(gè)Packet的長(zhǎng)度為160+20+8+12+26226 byte，每路IP語(yǔ)音所需的帶寬為 226byte*8*1000/20ms=90.4kbps，在局域網(wǎng)中，N路并發(fā)語(yǔ)音傳輸對(duì)以太網(wǎng)Trunk

23、線路的消耗值為：N90.4Kbps。對(duì)信令帶寬的要求：信令的帶寬主要是針對(duì)廣域網(wǎng)絡(luò)，在局域網(wǎng)絡(luò)內(nèi)，由于媒體服務(wù)器和媒體網(wǎng)關(guān)均處在同一網(wǎng)段內(nèi)，且連接帶寬為10/100M，所以信令帶寬可以忽略不計(jì)。速率和全雙工不匹配將直接影響IP語(yǔ)音。為了方便管理和維護(hù)， 需要交換機(jī)支持自動(dòng)協(xié)商能力。VLAN，為避免廣播包對(duì)語(yǔ)音質(zhì)量的影響，在各個(gè)局域網(wǎng)中，需要給所有IP語(yǔ)音設(shè)備（IP電話，IP語(yǔ)音服務(wù)器網(wǎng)關(guān)）分配獨(dú)立的VLAN，與數(shù)據(jù)應(yīng)用在數(shù)據(jù)鏈路層隔開。生成樹（Spaning Tree），在局域網(wǎng)中應(yīng)用生成樹算法可避免環(huán)路且增加冗余性，但在一些以太網(wǎng)交換機(jī)上，端口的生成樹算法可能造成接入設(shè)備后端口啟動(dòng)較慢，對(duì)于

24、IP電話的接入，可能造成IP電話顯示找不到網(wǎng)關(guān)的錯(cuò)誤，所以建議把連接IP電話的接口設(shè)為Port Fast，來(lái)避免可能的錯(cuò)誤發(fā)生。其他，建議關(guān)閉其他的Cisco特有協(xié)議。如 auxliaryvlan、channeling、cdp。Qos 配置建議：為了保證IP語(yǔ)音的服務(wù)質(zhì)量建議在所有網(wǎng)絡(luò)設(shè)備中采用DiffServ（差分服務(wù)）服務(wù)質(zhì)量保障方式。同時(shí)在交換機(jī)端口上要支持硬件優(yōu)先即隊(duì)列，并能夠硬件支持QOS。另建議在網(wǎng)絡(luò)中對(duì)IP語(yǔ)音的信令和負(fù)荷打上DSCP 標(biāo)記，另可以指定IP語(yǔ)音的TCP/UDP端口的范圍。根據(jù)這個(gè)這些信息，以太網(wǎng)交換機(jī)把IP語(yǔ)音的數(shù)據(jù)包和其它數(shù)據(jù)包取分開，并將IP語(yǔ)音的數(shù)據(jù)放置在高

25、優(yōu)先級(jí)的硬件隊(duì)列中，以保證IP語(yǔ)音的最高優(yōu)先級(jí)。IP語(yǔ)音的QoS設(shè)置可以在多個(gè)層面上進(jìn)行，Avaya支持在第二層數(shù)據(jù)鏈路層、第三層IP層和第四層傳輸層設(shè)置QoS參數(shù)。對(duì)于本次項(xiàng)目來(lái)說(shuō)，在局域網(wǎng)中只需要考慮第二層數(shù)據(jù)鏈路層的QoS參數(shù)，在廣域網(wǎng)中需要考慮更多的QoS配置，一下分別描述。局域網(wǎng)上的QoS配置：建議在IP電話連接的以太網(wǎng)交換機(jī)端口上加入802.1p設(shè)置，使得所有進(jìn)入此端口的數(shù)據(jù)包為802.1p 高優(yōu)先級(jí)。廣域網(wǎng)上的Qos配置：AVAYA提供的全部IP網(wǎng)關(guān)和IP電話均支持IEEE802.1p/Q 、DiffServ等標(biāo)準(zhǔn)標(biāo)簽協(xié)議，可以其他廠家的網(wǎng)絡(luò)設(shè)備（如Cisco的網(wǎng)絡(luò)設(shè)備）互動(dòng)配合

26、，采用LLQ、CRTP、CAC等技術(shù)保證端到端的IP語(yǔ)音質(zhì)量。LLQ采用LLQ，保證IP語(yǔ)音的優(yōu)先傳輸。LLQ是在CBWFQ( HYPERLINK /en/US/products/sw/iosswrel/ps1830/products_feature_guide09186a0080087a84.html Class-Based Weighted Fair Queuing )上提供PQ (priority queue)的一種隊(duì)列算法。它在CBWFQ類里插入一個(gè)嚴(yán)格的PQ隊(duì)列。利用LLQ，PQ隊(duì)列具有最高的優(yōu)先級(jí)。在所有的Avaya的語(yǔ)音產(chǎn)品中，Avaya建議對(duì)IP語(yǔ)音的信令和負(fù)荷打上DSCP 4

27、6，另可以指定IP語(yǔ)音的TCP/UDP端口的范圍。根據(jù)這個(gè)這些信息，路由器把IP語(yǔ)音的數(shù)據(jù)包和其它數(shù)據(jù)包取分開，并將IP語(yǔ)音的數(shù)據(jù)放置的PQ的隊(duì)列中，以保證IP語(yǔ)音的最高優(yōu)先級(jí)。CRTP在路由器上啟動(dòng)CRTP，對(duì)IP語(yǔ)音傳輸?shù)腞TP包進(jìn)行壓縮，可更有效地利用帶寬。采用頭RTP壓縮，可以將40Byte的IP,UDP,RTP的包頭壓縮到2-4 byte. 以G.729編碼方式，以 30ms的包長(zhǎng)進(jìn)行傳輸。每路語(yǔ)音所需的帶寬為：(30+4+7)byte*8*1000/30=13.6k bps，對(duì)于CRTP，由于對(duì)路由器的性能會(huì)有一定的影響，故建議慎重使用。CACAvaya Communication

28、 Manger 支持呼叫接入控制，媒體網(wǎng)關(guān)可以根據(jù)網(wǎng)絡(luò)帶寬的利用情況或呼叫連接數(shù)，判斷允許或拒絕廣域網(wǎng)絡(luò)上IP語(yǔ)音通道，被拒絕的IP語(yǔ)音呼叫將自動(dòng)通過(guò)PSTN路由。路由器的硬件及軟件建議對(duì)于Cisco路由器，對(duì)QoS支持較完整的是IOS 12.2， 所以推薦使用此版本或更高版本軟件。 訪問(wèn)控制：IP 語(yǔ)音要求端到端的IP連接,如果防火墻和路由交換機(jī)上有訪問(wèn)控制，則必需開放必要的端口，端口見附件。訪問(wèn)控制端口： QOS說(shuō)明IP語(yǔ)音QoS優(yōu)化廣域網(wǎng)：路由器上實(shí)施LLQ路由器上采用cRTP（RTP包頭壓縮）系統(tǒng)優(yōu)化：采用合理的編碼和區(qū)域設(shè)計(jì)采用CAC IP呼叫管理控制Avaya IP語(yǔ)音系統(tǒng)QoS參

29、數(shù)Layer 2Layer 2QOSLayer 3QOS系統(tǒng)優(yōu)化Call Admission ControlCall Adminssion Control：根據(jù)區(qū)域之間的廣域網(wǎng)帶寬設(shè)定并發(fā)呼叫的數(shù)量或帶寬占用防止并發(fā)呼叫數(shù)量超出網(wǎng)絡(luò)帶寬，造成已建立的IP語(yǔ)音通話質(zhì)量下降CAC限制設(shè)置：按呼叫數(shù)量設(shè)置按Kbits/秒設(shè)置按Mbits設(shè)置不限制網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)區(qū)域1網(wǎng)絡(luò)區(qū)域2512 Kbits網(wǎng)絡(luò)區(qū)域3并發(fā)10個(gè)呼叫網(wǎng)絡(luò)區(qū)域42 Mbits 無(wú)線網(wǎng)絡(luò)安全性設(shè)計(jì)8.1 思科無(wú)線局域網(wǎng)控制器支持的認(rèn)證方式思科無(wú)線局域網(wǎng)控制器所支持的認(rèn)證方式包括：開放式本地網(wǎng)絡(luò)認(rèn)證靜態(tài)WEP802.1x認(rèn)證WPA 認(rèn)證8.

30、2 開放式本地網(wǎng)絡(luò)認(rèn)證在本地網(wǎng)絡(luò)認(rèn)證方式中，需要在思科無(wú)線局域網(wǎng)控制器中加入本地網(wǎng)絡(luò)用戶(local net user)的用戶名，密碼，不需要配置認(rèn)證服務(wù)器（radius server）?？蛻舳顺枰渲谜_的SSID,不需要其他任何配置。使用時(shí)開啟客戶端軟件，開啟IE,無(wú)線關(guān)聯(lián)后會(huì)彈出相應(yīng)的airspace Web界面，輸入用戶名，密碼。思科無(wú)線局域網(wǎng)控制器比對(duì)自己內(nèi)部的用戶數(shù)據(jù)，正確即可正常連接網(wǎng)絡(luò)?？蛻舳诵枨螅篊isco ACU，Windows XP SP2 自帶客戶端即可。 8.3 Static WEP（靜態(tài)WEP）在靜態(tài)WEP方式中，需要在思科無(wú)線局域網(wǎng)控制器中加入靜態(tài)WEP的選項(xiàng),

31、及相應(yīng)的WEP的密鑰(40 bits 或104bits)。不需要配置認(rèn)證服務(wù)器（radius server）。客戶端需要配置正確的SSID,選用WEP開啟，配置相應(yīng)的WEP的密鑰即可?？蛻舳诵枨螅篶isco ACU，Windows XP SP2 自帶客戶端即可。8.4 8021x認(rèn)證使用 IEEE 802.1X 在 WLAN 中應(yīng)用增強(qiáng)型訪問(wèn)控制機(jī)制。這種方法必須與安全可擴(kuò)展驗(yàn)證協(xié)議 (EAP) 結(jié)合使用。選擇怎樣的 EAP 方法將定義 WLAN 驗(yàn)證用戶和計(jì)算機(jī)身份所用的證書類型。思科無(wú)線局域網(wǎng)控制器支持使用結(jié)合 MS-CHAP v2 協(xié)議的 PEAP 進(jìn)行密碼驗(yàn)證、使用 EAP-TLS 進(jìn)

32、行證書驗(yàn)證。PEAP 是安全通道中另一保護(hù) EAP 方法（如 MS-CHAP v2）的途徑。使用 PEAP 對(duì)于防范目標(biāo)是基于密碼的 EAP 方法的攻擊而言非常重要。在802.1X認(rèn)證方式中，思科無(wú)線局域網(wǎng)控制器支持EAP-PEAP-MSCHAPv2， 需要在思科無(wú)線局域網(wǎng)控制器中加入8021x認(rèn)證的選項(xiàng),及相應(yīng)的驗(yàn)證、授權(quán)和記帳(AAA)/RADIUS 服務(wù)器的地址，訪問(wèn)密鑰和動(dòng)態(tài) WEP(40 bits 或104bits)。需要配置認(rèn)證服務(wù)器（radius server）支持 802.1x協(xié)議。需要配置相應(yīng)的CA?？蛻舳诵枰渲谜_的SSID,選用8021x 開啟，及相應(yīng)的EAP-PEAP

33、-MSCHAPv2配置。需要配置同認(rèn)證服務(wù)器（radius server相應(yīng)的CA.客戶端需求：Windows XP SP2 自帶客戶端或?qū)Ｓ玫?02.1X客戶端軟件（必須配備支持 802.1X 和動(dòng)態(tài) WEP 或 WPA 加密的 WLAN 網(wǎng)絡(luò)適配器）IEEE 802.1x 身份驗(yàn)證提供對(duì) 802.11 無(wú)線網(wǎng)絡(luò)和對(duì)有線以太網(wǎng)網(wǎng)絡(luò)的經(jīng)驗(yàn)證的訪問(wèn)權(quán)限。IEEE 802.1x 通過(guò)提供用戶和計(jì)算機(jī)標(biāo)識(shí)、集中的身份驗(yàn)證以及動(dòng)態(tài)密鑰管理，可將無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)（例如，對(duì)網(wǎng)絡(luò)資源的非授權(quán)訪問(wèn)以及偷聽）減小到最低程度。IEEE 802.1x 支持 Internet 身份驗(yàn)證服務(wù) (IAS)，這種服務(wù)執(zhí)行遠(yuǎn)

34、程身份驗(yàn)證撥號(hào)用戶服務(wù) (RADIUS) 協(xié)議。在此執(zhí)行下，作為 RADIUS 客戶端配置的無(wú)線訪問(wèn)點(diǎn)將連接請(qǐng)求和記帳郵件發(fā)送到中央 RADIUS 服務(wù)器。中央 RADIUS 服務(wù)器處理此請(qǐng)求并準(zhǔn)予或拒絕連接請(qǐng)求。如果準(zhǔn)予請(qǐng)求，根據(jù)所選身份驗(yàn)證方法，該客戶端獲得身份驗(yàn)證，并且為那個(gè)會(huì)話生成唯一密鑰（從產(chǎn)生 WEP 密鑰的地方）。IEEE 802.1x 為可擴(kuò)展的身份驗(yàn)證協(xié)議 (EAP) 安全類型提供的支持使您能夠使用諸如智能卡、證書以及 Message Digest 5 (MD5) 算法這樣的身份驗(yàn)證方法。認(rèn)證和域控制器的結(jié)合是通過(guò)認(rèn)證服務(wù)器（radius server）選用外部數(shù)據(jù)庫(kù)（包括域服務(wù)器）來(lái)實(shí)現(xiàn)的。通過(guò)域成員身份對(duì)訪問(wèn)進(jìn)行控制可使與 WLAN 有關(guān)的額外管理開銷降到最低。本種方式可以登錄域就可以登錄整個(gè)域網(wǎng)絡(luò)。8.5 WPA認(rèn)證盡管使用 802.1X 動(dòng)態(tài)重新加密的 WEP 對(duì)于多個(gè)實(shí)際用途比較安全，但仍存在一些有待解決的問(wèn)題，包括：WEP 使用單獨(dú)的靜態(tài)密鑰用于諸如廣播數(shù)據(jù)包這樣的全局傳輸。與根據(jù)用戶的密鑰不同，全局密鑰并不定期更新。盡管機(jī)密數(shù)據(jù)不可能使