浅谈VoIP组建和配置方法

    在中国，很多企业对VoIP的认识还是处于朦胧的阶段：知道VoIP可以为企业节省大量的话费成本，但不清楚如何节省成本，以及如何实现企业的VoIP。还有一种情况就是，基于一些政策的限制，我国的企业仍局限于在企业内部不同分公司之间的VoIP应用，也就是说这种IP电话可能传送的是企业内部的重要机密，我们也清楚Internet是一张极不安全的网络，每一次通话过程都有可能被人从中窃听。怎样做到既可以使用VoIP，又无需担忧牵涉到的安全问题呢？

　　聪明的人类马上就会想到，既然是企业内部使用这种VoIP，为什么不考虑在VPN平台上实现呢？IPSec VPN可以提供数据保密性、完整性、来源认证和抗重播保护等多重安全功能。保密性是指在传输前，对被发送的数据进行加密，使得即使被监听或截获也无法识别原始信息。完整性则是接收方可以验证数据在网络的传输过程中是否被更改。来源认证使接收方对数据分组的来源进行认证。抗重播保护可以做到接收方验证每个数据分组都是唯一的、不会重复。通过IP Sec可以防止企业内部的数据被窃听、伪造，篡改等，保障企业的信息安全，因此在VPN平台上运载VoIP信息可提供足够的安全保障。

　　但在VPN平台上实现VoIP还是有问题。VPN和VoIP是两类截然不同的技术和应用，与普通的路由和交换不同。企业为了要实现安全的VoIP，如果采用传统的组网方式，需要另外购买两台VPN设备和两台VoIP设备（仅考虑点对点的情况）。目前市面上这两类产品的品牌非常多，不同品牌的产品性能问题、兼容性问题，以及接入原有的数据网和语音网后是否会产生影响等等都应在考虑的范围之列。同时他们还要考虑管理人员的水平。现有的技术人员是否对这两类不同的技术都熟悉了？如果答案是否定的，我们要么就高薪聘请一位能力较强的同时熟悉这两类产品（以及两个品牌）的技术工程师，要么就是对原有的技术人员进行培训，但是这一切工作还是不足以应对网络故障。

　　这个时候我们或许可以考虑一款融合网络产品，来减轻企业主的负担。融合网络产品一般针对于企业的网络应用，提供多种网络功能，这当中包括VoIP和VPN。换言之，企业只需一台融合网络设备就可以简化网络，而运维人员也只是需要掌握管理这样一台设备的技能，就足以应付日常的运作。即使故障发生了，他们也只需使用一种技能来检查设备，排除故障。

　　因此选择一款高性能的融合网络产品，为企业同时提供安全的VPN和VoIP业务，确实可以为我们省去不少的麻烦。我们所熟知的目前市面上优秀的融合网络产品中，三星Ubigate iBG系列就是一个很不错的选择。

    下面我们结合三星Ubigate iBG系列给大家简单介绍一下如何配置一个点对点的企业级别的安全VoIP网络。

    我们可以在VoIP的两边网关设备Ubigate iBG3026中先配置VPN IPSec，再以常用的H.323协议为例进行VoIP配置介绍。

    VPN配置：
    （1） 配置接口IP地址
    3026A# configure terminal
    3026A /configure# interface ethernet 0/4
    3026A /configure/interface/ethernet (0/4)# ip address 10.10.10.1 24
    3026A /configure/interface/ethernet (0/4)# exit
    3026A /configure# interface ethernet 2/0
    3026A /configure/interface/ethernet (2/0)# ip address 192.168.1.2 24
    3026A /configure/interface/ethernet (2/0)# end
    3026A #
    （2） 启用防火墙策略
    3026A# configure terminal
    3026A /configure# firewall internet
    3026A /configure/firewall internet# interface ethernet0/4
    3026A /configure/firewall internet#exit

    3026A /configure# firewall corp
    3026A /configure/firewall corp# interface ethernet2/0
    3026A /configure/firewall corp#exit
    （3） 配置crypto ike策略
    3026A /configure# crypto
    3026A /configure/crypto# ike policy pol1 20.20.20.1
    3026A /configure/crypto/ike/policy pol1 20.20.20.1# local-address 10.10.10.1
    （4） 配置crypto ike策略密钥
    3026A /configure/crypto/ike/policy pol1 20.20.20.1# key samsung 123
    （5） 配置crypto ipsec策略
    3026A /configure# crypto
    3026A /configure/crypto# ipsec policy pol1 20.20.20.1
    3026A /configure/crypto/ipsec/policy pol1 20.20.20.1# match address 192.168.1.0/24  192.168.2.0/24
    3026A /configure/crypto/ipsec/policy pol1 20.20.20.1# proposal 1
    3026A /configure/crypto/ipsec/policy pol1 20.20.20.1#end

    VoIP配置：
    （1） 配置H.323 Gateway
    3026A# configure terminal
    3026A/configure# voip-gateway
    3026A/configure/voip-gateway# shutdown
    3026A/configure/voip-gateway# host domain-name 3026A
    3026A/configure/voip-gateway# bind control interface ethernet 0/4
    3026A/configure/voip-gateway# bind media interface ethernet 0/4
    3026A/configure/voip-gateway# host ip address 10.10.10.1
    3026A/configure/voip-gateway# h323-gateway
    3026A/configure/voip-gatway/h323-gateway#h323-id abc
    3026A/configure/voip-gateway/h323-gateway #no shutdown
    3026A/configure/voip-gateway/h323-gateway# exit
    3026A/configure/voip-gateway#no shutdown
    3026A/configure/voip-gateway#end
    3026A#
    （2） 配置CODEC
    3026A# configure terminal
    3026A/configure# voice class codec 10
    3026A/configure/voice/class/codec 10# codec-preference 1 g711alaw 20
    3026A/configure/voice/class/codec 10# codec-preference 2 g711ulaw 20
    3026A/configure/voice/class/codec 10# codec-preference 3 g729 20
    3026A/configure/voice/class/codec 10# codec-preference 4 g726 20
    3026A/configure/voice/class/codec 10# codec-preference 5 g723r53 30
    3026A/configure/voice/class/codec 10# codec-preference 6 g723r63 30
    3026A/configure/voice/class/codec 10# end

    （3） 配置呼叫控制功能
    3026A# configure terminal
    3026A/configure# voice class h323 323
    3026A/configure/ voice /class/ h323 323# h255
    3026A/configure/ voice /class/ h323 323/h255# call-start fast
    3026A/configure/ voice /class/ h323 323/h255# h245-tunnel on
    3026A/configure/ voice /class/ h323 323/h255# early-h245 off
    3026A/configure/ voice /class/ h323 323/h255# T301 180
    3026A/configure/3026A/class/ h323 323/h255# T303 5
    3026A/configure/3026A/class/ h323 323/h255# end

    （4） 配置dial peer
    3026A# configure terminal
    3026A/configure# dial-peer 3026A voip 123
    3026A/configure/dial-peer/3026A/voip 123# destination-pattern ...T
    3026A/configure/dial-peer/3026A/voip 123# session protocol h323
    3026A/configure/dial-peer/3026A/voip 123# session target ip-address ipv4:20.20.20.1:1721
    3026A/configure/dial-peer/3026A/voip 123# 3026A-class codec 10
    3026A/configure/dial-peer/3026A/voip 123# 3026A-class h323 323
    3026A/configure/dial-peer/3026A/voip 123# no shutdown
    3026A/configure/dial-peer/3026A/voip 123# end
    3026A#

    　　通过分别对两端的Ubigate iBG3026进行上述配置之后，我们就可以在企业的两个分公司之间实现安全保密的IP电话通信。当然，对企业的实际运作过程来说，我们可能还会需要另外建立一套GK系统，来对两端的用户进行管理。

    　　总而言之，Samsung Ubigate融合网络平台可以为企业打造一个简单、方便、安全的VoIP解决方案。