1 引言

　　當前，電信運營方式正面臨著巨大的變革，傳統的電信業務在概念、技術、業務、投資、管理和服務等方面正在發生深刻變革。新的通訊模式將統一到IP上來，VoIP(Voice over IP)是利用語音壓縮編碼技術、分組實時傳送技術和控制協議(RTP／RTCP)將語音信號通過IP網承載，實現話音通信的技術。VolP業務的產生和使用打破了傳統電信網絡必須以TDM方式傳送語音信號的舊框架，體現了電路交換網和分組交換網融合的趨勢，成為網絡統一的先驅技術和業務支撐點。

　　2 VoIP網絡的基本構成

　　2.1基本構成要素

　　一般來說，構成VoIP網絡的基本要素包括網關(GW)、網守(GK)、認證計費和綜合訪問管理中心(CAMS)、網管系統和終端設備。

　　網關位于公共電話網(PSTN／ISDN／GSM)與IP網的接口處，完成公共電話網和IP網間的橋接任務。主要功能包括：實現兩側網絡間電話／傳真信令、媒體流、管理信息和同步信號之間的轉換；完成PSTN／ISDN／GSM側的呼叫建立釋放、IP網絡側的呼叫建立釋放以及網絡QoS的測試；支持包括ITU-TG.711、G.723和G.729等多種語音編碼；實現ITU-TH.323、H.225、H.245、RTP、RTCP、ISUP、TUP、DSS1和SS7信令等。具有專線、Modem、ISDN、IP Phone、IP Fax、WAP用戶接入功能，并實現大量增值業務。

　　網守完成網關注冊管理、路由管理、呼叫控制和業務控制等功能，支持網關到網關、PC到網關的呼叫業務，可對已登錄的網絡電話終端進行規劃、監控及管理事項，使整個VoIP網絡系統通話運作正常，達到網絡電話的保密安全性、品質穩定性。

　　認證計費和綜合訪問管理中心采用大型關系數據庫系統，通過IP網與網守相連，使用RADI[JS協議接受網守發起的用戶接人(漫游)認證請求進行身份認證，并負責接收計費采集點采集的用戶計費信息，生成通信費用帳單。

　　網管系統完成對整個網絡系統的管理，降低網絡管理難度、提高網絡運行管理效率。對VoIP網絡進行配置管理、故障管理、性能管理、計帳管理、安全管理和用戶管理等。 終端設備通常包括與IP網直接相連的網絡電話、可視電話和通過小型VoIP網關接入到IP網的普通電話。這些終端符合H.323／SIP協議體系。

　　2.2 VoIP網絡的語音信令

　　VoIP網絡包括H.323、SIP、MGCP、MeGaCo／H.248多種語音信令，這些信令間存在競爭關系。

　　H.323：由ITU-T制定，它定義了無QoS保證在Internet或其他分組網絡上進行多媒體通信的協議和規程。H.323是一個協議族，包括H.225、H.245、H.450系列、T.120系列、H.235、H.261、G.711、G.723、G.729等。H.323結構體系由H.323終端、網關、關守和多點控制單元MCU組成。

　　SIP：IETF提出的基于文本的應用層控制協議，能建立、調整和終止多媒體的呼叫和會話，協議簡單，易于實現。

　　MGCP：IETF提出是媒體網關和媒體網關控制器之間的協議，它針對H.323在VoIP上應用的缺點進行了改進。

　　MeGaCo／H.248：IETF、ITU-T制定的媒體網關控制協議，用于媒體網關控制器和媒體網關之間的通信。MeGaCo／H.248將逐步取代MGCP。

　　目前由于H.323協議較成熟，國內多采用H.323協議，但其支持IP業務的能力弱，在靈活性、可擴展性上都存在缺陷。SIP簡單靈活，與IP結合緊密，業務能力強，但其協議不夠完善，廠商間的互通性差，實際應用少。業界多數廠商仍然推薦采用基于H.323協議體系的VoIP解決方案。

　　3 VoIP的組網運用

　　3.1 VoIP網絡的組織與運用

　　VoIP網絡的組織可根據網絡覆蓋范圍和用戶群的大小確定組網形式。在實際中，可以采用對等區域結構、二級或多級樹狀區域結構構建網絡。這里僅以二級樹狀區域結構來說明VoIP的網絡組織運用。

　　二級樹狀區域結構通常包括一級結點、二級結點和接人到各結點的用戶終端。一級結點位于整個結構的頂端，負責不同二級區域間的通話調度與管理。二級結點負責本區域內VoIP電話終端及PSTN接人間的通話、調度與管理，并將需要跨區域或跨網絡的通話發送到一級結點。這里，二級結點是實現本區域功能的主體，它通過網關與PSTN和用戶終端建立連接。VoiP網絡組成要素及分級組網結構圖如圖1所示。

　　在設備配置上，一級結點配置電信級或企業級VoIP網關接入IP網絡，二級結點和分支單位配置中小型VoIP網關。一級結點配置網守，網守采用主備用方式組織保證其可靠性。二級結點根據具體情況選擇是否配置網守。如果結點支持的接人設備數量不大，網守可采用專用硬件平臺保證其可靠性減小維護難度。一級結點配置網絡管理服務器，一級和二級結點配置網絡管理終端。

　　3.2 VoIP電話的呼叫建立

　　VoIP電話的傳輸有PC到PC、PC到電話、電話到PC、電話到電話等多種方式。這里主要介紹電話到電話的基本呼叫過程。

　　3.2.1區域內基本呼叫過程

　　區域內呼叫過程如圖2所示(VoIP電話的區域內呼叫過程在圖中已用序號標出)，具體呼叫過程為：主叫用戶摘機，聽到撥號音后撥VoIP電話接入碼，通過主叫網關啟動VoIP電話業務；主叫VoIP網關獲得用戶權限信息，并將呼叫請求發送到網守和CAMS服務器進行權限驗證，確認用戶有呼叫權限，待權限驗證通過后，主叫VoIP網關與用戶進行交互，獲得用戶需要接續的被叫指示，請求網守進行地址解析；網守進行地址解析，得到與被叫相連的網關的IP地址，并將該地址送到主叫VoIP網關；主叫VoIP網關向被叫所在的VoIP網關發起基于IP的呼叫接續請求；被叫VoIP網關接收到IP呼叫請求，向網守發送接入請求消息；網守驗證被叫VoIP網關的接人請求，通過后，向被叫VoIP網關返回確認消息；被叫VoIP網關在確認被叫用戶空閑的情況下，向被叫用戶發起基于PSTN的呼叫請求，被叫摘機，主被叫進行通話，在電話和該側的網關之間使剛PSTN話路接續，在兩個主被叫網關問使用IP通道接續。

　　3.2.2區域間基本呼叫過程

　　區域間呼叫過程如圖3所示，具體呼叫過程如下：主叫用戶摘機，聽到撥號音后撥VoIP電話接入碼，通過主叫網關啟動VoIP電話業務；主叫VoIP網關與用戶交互，獲得用戶權限信息，請求本地網守或AAA服務器進行權限驗證。權限驗證過后，主叫VoIP網關與用戶進行交互，獲得需要接續的被叫指示，請求網守進行地址解析；本地網守不能找到被叫電話用戶所對應的網關，將請求地址解析的消息傳到上級網守；上級網守將請求地址解析的消息傳到被叫網守；被叫網守獲得被叫信息，進行地址解析，得到與被叫相連的VoIP網關的IP地址，并將該地址送到上級網守；上級網守將得到的被叫網關的IP地址送到主叫網守；主叫網守將被叫網關地址送到主叫VoIP網關；主叫VOIP網關向被叫所在的VoIP網關發起基于IP的呼叫接續請求；被叫YoIP網關接收到IP呼叫請求，向被叫網守發送接人驗證請求消息；被叫網守驗證被叫VoIP網關的接入請求，驗證通過后，向被叫網關返回確認消息；被叫VoIP網關在確認被叫用戶空閑的情況下，向被叫用戶發起基于PSTN的呼叫請求，被叫摘機，主被叫進行通話，在電話和該側的網關之間使用PSTN話路接續，在兩個主被叫網關間使用IP通道接續。

　　4 VoIP網絡組網的安全策略

　　VoIP是基于IP網絡建立起來的，網絡固有的開放性影響了VoIP網絡的安全。為了保證VoIP網絡的組網安全，必須在網絡設備、用戶、計費和數據保護上建立有效的安全策略。

　　系統的安全策略包括：網管系統提供對系統管理員的安全管理，允許授權的系統管理員在網絡中不同地點對系統信息進行備份；VoIP網關利用系統本身提供的防火墻功能，對IP報文進行過濾，拒絕非法用戶的訪問，同時提供非法號碼過濾、拒絕不受歡迎用戶登錄等多種安全策略；網守對不合法注冊(例如：未知或未通過驗證)的網關和終端，拒絕其注冊或強制離線，并不允許離線設備發起或接受呼叫。終端用戶可采用帶有加密功能的終端設備，確保通信內容的可靠和安全。 用戶的安全策略包括：利用系統提供的安全策略，保障合法用戶安全接入網絡；啟動黑名單制度；系統根據主叫或被叫號碼啟動對呼叫的跟蹤，抵御來自內部或外部的攻擊。

　　認證計費的安全策略包括：提供多種訪問控制和加密措施，采用硬件防火墻，過濾非法報文；對角色和管理員的權限進行管理，限制不同級別管理員的操作權限；限定用戶從指定IP地址的機器訪問，通過認證計費系統提供的訪問控制功能，有效控制和屏蔽非法用戶連接。

　　網絡數據的安全策略為采用先進網絡存儲技術，對數據備份和災難恢復，確保數據安全性。 

　　5 結束語

　　VoIP網絡的構建是一個復雜的系統工程。在組網過程中，必須對網絡運用對象、覆蓋范圍作出準確分析，并在此基礎上合理選擇組網方式、設計網絡結構和安全策略，確保在VoIP網絡覆蓋范圍內用戶的正常使用。諸如信令和協議的選擇、業務的QoS保證、提供的服務類型對網絡結構和性能的影響等，也需要在VoIP網絡組網過程中綜合考慮。