1.1.2 Переваги передачі голосу через ІР мережі.
· IP-мережі володіють цілим рядом переваг, які розширюють послуги ISDN телефонії:
· IP-мережі усувають фізичні кордони, пов'язані з телефонією та її особливостями. При збереженні всього спектру традиційних телефонних послуг з'являються нові можливості, характерні для мережевих сервісів ЛОМ.
· IP-мережі не залежать від транспортного середовища, яке користувачі вибирають самостійно залежно від її місцезнаходження і вартості. IP можна передавати по АТМ, Ethernet, Frame Relay, ISDN і навіть по аналогових лініях.
· IP-мережі засновані на ряду універсальних глобальних стандартів. Завдяки цим стандартам стало можливим сполучення устаткування різних фірм-виробників. В результаті конкуренція виробників і провайдерів мережевих служб привела до зниження цін і розширення спектру послуг для кінцевого користувача.
Загальний принцип дії телефонних серверів IP-телефонії такий: Сервер приймає стандартний телефонний сигнал, оцифровує його (якщо він не цифровий), стискає, розбиває на пакети і відправляє через інтернет з використанням протоколу Інтернет (TCP/IP). Для пакетів, що приходять з мережі на телефонний сервер і вертаються в телефонну лінію, операція відбувається в зворотному порядку. Складової операції (вхід сигналу в телефонну мережу і його вихід з телефонної мережі) відбуваються практично одночасно, що дозволяє забезпечити повнодуплексну розмову. На основі цих базових операцій можна побудувати багато різних конфігурацій.
1.1.3 Переваги IP-АТС щодо класичних ATC (покоління канальної комутації).
· IP-АТС простота у встановленні і налаштуванні, у порівнянні з традиційними МІНІ-АТС.
· IP-АТС легко керувати, оскільки конфігураційний інтерфейс такої АТС доступний через WEB.
· IP-АТС приносить суттєву економію на міжміських і міжнародних телефонних дзвінках.
· Авто-секретар і голосове меню – на базовому рівні це голосова пошта, що виконує функції секретаря.
· Легко забезпечити "дешевий зв'язок" в межах зон Wi-Fi. Користувач, що знаходиться в межах безпровідної точки доступу 802.11 може застосовувати VoIP.
· Відсутня необхідність у виділеній телефонній лінії – використовується комп'ютерна мережа. Телефонна система VoIP дозволяє підключати звичайні IP-телефони до стандартного комп'ютерного мережевого інтерфейсу. Програмні телефони можуть підключатися безпосередньо до ПК. Це означає, що відсутня необхідність в встановлені і обслуговуванні телефонної мережі. Розміщуючись в новому офісі, де немає телефонної мережі, можна заощадити значну суму, проклавши лише комп'ютерну мережу.
· Відсутність прив'язки до постачальника телекомунікацій. Використовуються стандартні телефони: Телефонні системи VoIP засновані на відкритому стандарті – сучасні телефони VoIP використовують протокол SIP. Це означає, що можна використовувати будь-який VoIP телефон або апаратний шлюз VoIP.
· Апаратні АТС мають обмеження по кількості користувачів: збільшення телефонних лінії або нових номерів часто вимагає дорогого оновлення обладнання. З телефонною VoIP все по-іншому: стандартний комп'ютер може легко обслуговувати велику кількість телефонних ліній і додаткових номерів.
· Програмні телефони прості у використанні. На апаратних АТС важко використовувати розширені функції, наприклад, проведення конференцій ітд. Оскільки VoIP телефон побудовані на програмному забезпеченні, він простий в розробці і його простіше доповнювати новими функціями в майбутньому. Таким чином, більшість сучасних телефонних систем VoIP поставляються з набором функції, що включає автовідповідач, голосову пошту, підтримку черг викликів і так далі. Апаратні системи, що підтримують такі функції, дуже дорогі.
· Можливість «гарячого» підключення телефонів в будь-якому місці офісу. Користувач підключає свій телефонний апарат до будь-якого порту локальної мережі, при цьому його абонентський номер зберігається.
1.1.5 Вимоги до транспортної системи комунікації та апаратного забезпечення АТС для забезпечення якісного зв’язку.
Пропускна спроможність загального Інтернет каналу гарантовані 2 MB/с для повноцінних одночасних 62 ліній зв’язку.
Постійне з'єднання з фіксованою IP-адресом.
Round Trip Latency – Затримка звукового сигналу в IP-каналі при його проходженні в дві сторони – не більше 400 мс, тобто менше 200 мс при проходженні сигналу в одному напрямку.
Втрати IP-пакетів не більше 5% від загального числа в моменти пікового завантаження каналу.
PDD – Post Dial Delay – час завершення виклику - 30 секунд з моменту набору останньої цифри і відповіді тонального сигналу від абонента, що викликається
Для зв’язку між сервером Asterisk та клієнтами передбачається виділення окремої підмережі для можливістю надати голосовому трафіку пріоритету відносно трафіку даних.
Організований в рамках проекту VoIP сервер повинен відповідати наступним функціональним характеристикам : SIP сервер, шлюз VoIP в PSTN, Сервер для call-центру, Резервування маршрутів з використанням баз даних, Сервер і клієнт IP Телефонії
Створювана система, також, повинна надавати зручні механізми резервного копіювання даних та ідентифікації системних збоїв.
Система повинна реалізовувати можливість подальшої модернізації в плані нарощення апаратного забезпечення.
Обов’язковою вимогою є функціювання на сервері голосового IVR меню з українською мовою. Передбачається використання максимально простого та зручного для користувача WEB інтерфейсу.
Зокрема серверна частина повинна експлуатуватися на IBM-сумісному ПК з такими характеристиками:
Сервер:
1. процесор – тактова частота не менше 2,8 Гц;
2. оперативна пам’ять не менше 4 Гб;
3. об’єм жорсткого диску не менше 120 Гб.
4. Материнська плати із підтримкою 2 або більше процесорів для фізичного резервування та розпаралелення процесорного навантаження.
5. Апаратний RAID 10.
6. Digium TE420B PRI потік.
7. 2N VoiceBlue Lite GSM шлюз
Клієнтський ПК або звичайне робоче місце:
1. Характеристики ПК згідно вимог програмного ір-телефона.
2. Апаратний телефон серії SmartLink 4050
1.2 Огляд безкоштовних рішень для реалізації (VoIP).
В нашому ДП проекті будемо брати до уваги тільки безкоштовні рішення VoIP. Звичайно є безліч комерційних стабільних реалізації від провідних фірм Сisco, Avaya, Nortel які пропонують надзвичайно надійні, гнучкі і документовані рішення для побудов VoIP, єдиним недоліком залишається ціна реалізації проекту яка для України може бути ключовою в плані вибору устаткування. Тому нашим завданням буде вибір надійного ПЗ і розгортання його на потужній і надійній апаратній частині сервера. В кінцевому результаті отримаємо продукт аналогічний комерційній реалізації.
1.2.1 Asterisk
Asterisk - це повноцінна програмна АТС. Вона може працювати на таких операційних системах, як Linux, BSD, Windows і надає можливості, звичайної міні АТС і більше. Функціонування Asterisk засноване на протоколах, які забезпечують передачу голосу через IP мережі, завдяки цьому, дана АТС може працювати практично з будь-яким обладнанням для IP-телефонії, які використовують стандартні протоколи для VoIP, при цьому використовуючи відносно недороге апаратне забезпечення. Asterisk надає функції голосової пошти (Voicemail), конференцій, інтерактивного голосового меню (IVR), центру обробки викликів і обробки (Call Queuing). Він має підтримку таких сервісів, як переадресація викликів іншому абонентові, сервіс визначення і передачі номера абонента B (callerID). Повноціна підтримка протоколів:
Таблиця 1.1 - Підтримка Asterisk-ом кодеків
Аудіо кодеки
|
Відео кодеки
|
SIP;
|
H.261
|
IAX2;
|
H.263
|
H.323;
|
H.263
|
MGCP;
|
H.264
|
Skinny/SCCP;
|
|
Google Talk;
|
|
Skype;
|
|
Jabber(XMPP);
|
|
передача факсів T.38.
|
|
Asterisk не потребує додаткового апаратного забезпечення для реалізації передачі голосу через IP мережі (VoIP). Можна використовувати одного або декілька провайдерів VoIP для вхідних і вихідних викликів (вихідні виклики можуть оброблятися різними провайдерами Інтернет і звичайної телефонії).
Для забезпечення комунікацій між цифровим і аналоговим телефонним обладнанням, Asterisk має підтримку апаратних пристроїв, які можна позначити, як обладнання, яке виробляється спонсором проекту Asterisk - Digium. Digium виробляє інтерфейсні плати з інтерфейсами T1 і E1 для комунікацій з каналами PRI і channel banks. Інтерфейсні пристрої інших виробників можуть бути використані для організації каналів BRI (ISDN2) з чотирма і восьми портами BRI.
Для обладнання Digium включає можливість нарощування FXO (Зовнішній канал) або FXS (Внутрішній канал) портів, які можна використовувати як автономні пристрої з FXO або FXS портами, які можна просто підключити до IP мережі і зареєструвати їх на Asterisk, як телефонні канали.
Переваги Asterisk
· низька вартість і висока швидкість роботи АТС.
· хороші вбудовані засоби відладки (debug) при збоях системи.
· висока стабільність.
· висока якість і надійність передачі голосу
· сумісність багатьма протоколами передачі голосу
· можливість інтеграції системи з різноманітними апаратними виробниками.
Недоліки Asterisk.
· складність організації відмовостійких конфігурацій.
· складність кластеризації.
· складність в адмініструванні кластерної систем як одного цілого.
1.2.2 SER - SIP Express Router.
SIP Express Router (ser) - це високопродуктивний сервер, що легко конфігурується, безкоштовний. Він може виступати в ролі сервера реєстрацій, SIP проксі сервера або redirect сервера. SER містить інтерфейс для роботи, підтримує систему визначення наявності абонента (presence), гейт для системи SMS повідомлень, SIMPLE Jabber гейт, авторизацію і зберігання облікових записів з використанням RADIUS, моніторинг стану сервера, безпеки і так далі. Забезпечує користувачів Web інтерфейсом рис1.2.
Його висока продуктивність дозволяє справлятися з більшістю труднощів, що з'являються в процесі роботи, такими як наявність пошкоджених компонентів мережі, атаки по мережі, перезавантаження при збої живлення і лавиноподібному для користувача навантаженні. Можливості SER сервера дозволяють використовувати його для різних потреб - від малої офісної АТС до телефонної станції масштабів підприємства, або в ролі сервера для надання провайдерских послуг.
1.2.3 YATE - Yet Another Telephony Engine
Yate - це софтсвіч (softswitch), який містить PBX функції. Сам Yate є дуже гнучким в частині інтеграції. YATE може працювати під операційними системами Linux, BSD і Windows, рис1.3.
Yate можна використовувати в якості:
· VoIP сервер
· VoIP клієнт
· Шлюз VoIP в PSTN
· SIP маршрутизатор
· IAX сервер і клієнт
· Сервер для call-центру
· Маршрутизація і авторизація:
· Резервування маршрутів з використанням баз даних.
· Конференц зв'язок - кількість учасників обмежена лише продуктивністю апаратури сервера.
Вибір програмного забезпечення проходить між: Asterisk, Yate, SER. Відповідно до вимог кінцевої системи, вибір однозначно падає в сторону Астеріск так як останній є найбільш функціональним, із підтримкою різноманітної конфігурації системи, сумісністю із багатьма стандартами телефонії і є гігантом в сфері відкритої телефонії. Є можливість гнучко конфігурувати систему, існує стабільна команда розробки проекту, які регулярно реалізовують нові функції в ПЗ та випускаються оновлення системи для максимальної стабільності роботи АТС.
1.3 Принципи сигналізації в телефонних мережах
Необхідність сигналізації по міжстанційних сполучних лініях, як і сама концепція концентрації телефонного навантаження в комутаційних вузлах і станціях, зовсім природно випливають із неможливості організації безпосереднього з'єднання кожного з кожним для мільйонів абонентів, що бажають зв'язатися один з одним. Непереборні економічні обмеження обумовили іншу побудову телефонних мереж на базі комутаційних станцій, зв'язаних між собою сполучними лініями. І хоча існує кінцева ймовірність відмов через відсутність вільних з'єднувальних ліній, такий концептуальний підхід улаштовує велике число абонентів з урахуванням прийнятної вартості послуг зв'язку.
Телефонні мережі дуже складні як з погляду організації обслуговування викликів, так і з погляду інших технологій, необхідних для надання різноманітних послуг абонентам. Для виконання всіх цих функцій потрібна наявність сигналізації між комутаційними вузлами й станціями мережі електрозв'язку. Сигналізація забезпечує (рис1.4) можливість передачі інформації усередині мережі, а також між абонентами й мережею електрозв'язку.
Рисунок 1.4 - Розділення сигналізації в мережі
Без сигналізації мережі мертві, а із введенням ефективних систем сигналізації мережа стає потужним засобом, за допомогою якого абоненти можуть спілкуватися один з одним і користуватися всі спектром, що розширюється, послуг електрозв'язку.
Характерною рисою протоколів сигналізації є їхня швидка еволюція. Існуючі ще сьогодні системи сигналізації, що є просто механізмом передачі базової інформації рис1.5, поступово заміняються потужними протоколами передачі даних, що забезпечують безперешкодну й ефективну передачу інформації між комутаційними вузлами й станціями в мережі.
Рисунок 1.5 - Сценарій обміну повідомленнями
1.3.1 Вузькоспеціалізовані протоколи ІР - телефонії
На даний момент існує декілька чітко стандартизованих протоколів, на базі яких будуються системи IP-телефонії. Розглянемо деякі з них детальніше.
MGCP або Media Gateway Control Protocol— Протокол контролю медіа-шлюзів є протоколом зв'язку в розподілених VoIP системах передачі голосу по протоколу IP. Пакети MGCP відрізняються від багатьох інших протоколів. Він резервує порт UDP 2427, датаграми MGCP можуть містити і порожні значення, зовсім не будуються пакети в протоколах TCP. Пакет MGCP є командою (запитом) або відповіддю. Команди (запити) починаються з чотирьохбуквеного коду, відповіді починаються з тризначного цифрового коду.
SCTP (англ. Stream Control Transmission Protocol — «протокол передачі з управлінням потоком»), протокол транспортного рівня в комп'ютерних мережах. Як і будь-який інший протокол передачі даних транспортного рівня, SCTP працює аналогічно TCP або UDP. Але SCTP має ширший спектр новин, таких як багатопоточність, захист від SYN-flood атак, синхронне з'єднання між двома хостами по двох і більше незалежним фізичним каналам (multi-homing).
Протокол TCP надає основні засоби для передачі даних по мережі Internet. Проте TCP накладає обмеження на транспорт даних а саме:
· TCP надає надійну передачу даних в строгій послідовності. Проте одні дані вимагають передачі без управління і контролю послідовності, а інші вимагають впорядкованості.
· Обмежені рамки можливостей TCP сокетів ускладнює паралельність при передачі інформації по декількох каналах зв'язку.
· TCP частково вразливий до атак класу «Відмову в обслуговуванні» (DOS), і SYN-flood.
Таблиця 1.2 - Порівняння транспортних протоколів
Параметр
|
UDP
|
TCP
|
SCTP
|
Встановлення з'єднання
|
Ні
|
Так
|
Так
|
Надійна передача
|
Ні
|
Так
|
Так
|
Збереження межі повідомлення
|
Так
|
Ні
|
Так
|
Впорядкована доставка
|
Ні
|
Так
|
Так
|
Неврегульована доставка
|
Так
|
Ні
|
Так
|
Контрольні суми даних
|
Так
|
Так
|
Так
|
Розмір контрольної суми (біт)
|
16
|
16
|
32
|
Шлях MTU
|
Ні
|
Так
|
Так
|
Мультипотоки
|
Ні
|
Ні
|
Так
|
Підтримка багатьох інтерфейсів
|
Ні
|
Ні
|
Так
|
Множина потоків
|
Ні
|
Так
|
Так
|
SCCP — Skinny Client Control Protocol, корпоративний протокол, розроблений Selsius Corporation, в даний час належить Cisco Systems Inc., яка придбала на нього права з покупкою Selsius Corporation в 1998 році. SCCP визначає набір повідомлень між Skinny-клієнтами для взаємодії провідних і безпровідних IP-телефонів Cisco 7900 серій, який забезпечує сигналізацію не лише SCCP але і більшості VoIP протоколів — H.323, SIP, і MGCP.
Окрім стандартних сигнальних функцій управлінням викликами, Skinny було додатково потрібно розширенні опції, такі, як переадресація дзвінка, перехоплення дзвінка (пікап), конференції, повідомлення голосової пошти. Всі ці опції були неможливі при використанні єдиного протоколу Skinny, що і послужило причиною створення SCCP, тому його називають інколи розширеним Skinny.
Unistim — закритий протокол передачі сигнальної інформації компанії Nortel. UNIStim протокол прикладного рівня і базується на RUDP протоколі також розроблений Nortel. Відмінність RUDP від UDP наявність номера пакету і механізму повторної передачі. Протокол забезпечує управління сервером тонких клієнтів для VoIP. Сервер (CS1000) управляє, отримує інформацію про стан клієнтів, обмінюється даними з іншими учасниками що підтримують протокол. Всі команди поділені на декілька секцій по функціональному призначенню.
Клієнт отримавши повідомлення від сервера виконує запит. Залежно від команди клієнт повинен повідомити про стан виконаної команди. Також клієнт може повідомляти про свій стан за запитом або встановленому тимчасовому проміжку. Сервер повністю керує станом клієнта і станом дзвінка. Завдання сервера при виконанні дзвінка здійснити налаштування 2 клієнтів для обміну RTP трафіку. RTP трафік клієнт передає/отримує самостійно використовуючи різні аудіо кодеки.
1.3.2 H.323
Стандарт H.323 був прийнятий міжнародним союзом електрозв'язку (МСЕ) для забезпечення сумісності (компонентів, протоколів і процедур) при багатосторонній комутації в режимі реального часу звукових сигналів, даних і відеосигналів по мережах з пакетною комутацією, таким як Інтернет та ЛОМ.
Термінал Стандарт H.323, визначає протоколи для передачі звукових сигналів у режимі реального часу між двома терміналами в мережі з комутацією пакетів, що не забезпечує гарантованої якості обслуговування. Повний стандарт H.323 набагато ширший, у ньому розглядаються питання конференц-зв'язку між багатьма терміналами, які підтримують не тільки передачу звукових сигналів, але також відео й даних. Для загальної реалізації H.323 потрібно чотири логічних об'єкти або компоненти: термінал, шлюз (GW), гейткіпер (gatekeeper, GK) і блоки керування багатостороннім зв'язком (MCU):
Термінал або клієнт - це кінцевий пункт, що є джерелом або одержувачем потоків даних H.323 і сигналізації. Це може бути ПК із H.323-сумісним стеком протоколів або автономний пристрій, такий як IP-Телефон з USB, що передбачає двосторонній зв'язок у реальному часі з іншим терміналом H.323, шлюзом або MCU.
Шлюз (GW) Пристрій, призначений для сполучення різнорідних мереж. Так, рекомендації ITU-T містять інформацію дял стику H.323-пристроїв із пристроями мереж ISDN, АТМ і ТФОП. Шлюз H.323 є кінцевим пунктом H.323, що забезпечує двосторонній зв'язок у реальному часі між терміналами, що ставляться до мереж з різними стеками протоколів. Шлюз забезпечує трансляцію формату даних, трансляцію керування-сигналізації, трансляцію аудіо й відео кодеків, а також налаштування з'єднання й функції завершення в обох кінцях мережі. Залежно від типу мережі, у якій потрібна трансляція, шлюз може підтримувати наступні кінцеві пункти: H.310, H.320, H.321, H.322 або H.324.
Гейткіпер (GK) Гейткіпер - дуже важливий, але необов'язковий компонент мережі з можливостями H.323. Гейткіпер забезпечує трансляцію адрес і управляє доступом до ресурсів для терміналів H.323, GW і MCU. Кінцевий пункт сам реєструється в GK. Всі кінцеві пункти H.323, зареєстровані в одному GK, утворять зону H.323. Гейткіпер надає кілька послуг для всіх кінцевих пунктів у цій зоні. До цих послуг ставляться наступні:
· Трансляція адрес - GK транслює імена H.323 в IP-Адреси сигналізації з'єднання (особливо корисно для кінцевих пунктів з динамічними IP-адресами). Гейткіпер підтримує базу даних для трансляції між іменами (такими як міжнародні телефонні номери) і мережними адресами.
· Авторизація - це керування допуском кінцевих пунктів ґрунтується на інформації про наявність пропускної здатності, обмеженнях на кількість одночасних викликів H.323 або про переваги кінцевих пунктів при реєстрації.
· Управління пропускною здатністю - можуть визначаючи обмеження на число одночасних викликів і обмежуючи авторизацію конкретних терміналів на посилку викликів у певний час.
· Можливості маршрутизації - GK можуть маршрутизувати усі вхідні або вихідні виклики у своїй зоні. Таким чином, можна зберігати облікову інформацію про виклики для рахунків (білінгу) і забезпечення безпеки. Гейткіпер може перенаправляти виклик у відповідний шлюз, ґрунтуючись на відомостях про наявність пропускної здатності. Перемаршрутизацію можна використовувати для розгортання додаткових послуг, таких як мобільна адресація, переадресація виклику й переадресація голосової пошти.
1.3.3 IAX2
IAX2 - це протокол, розроблений спеціально для Asterisk, у першу чергу як протокол для зв’язку між АТС-них стиків.
· повністю бінарний протокол (у відмінності від SIP) - економія трафіку
· використовується один єдиний UDP-Порт 4569, що спрощує конфігурацію фаєррвола й полегшує роботу через NAT
· підтримується транкінг, при цьому в кожному пакеті передаються дані відразу декількох паралельних каналів - економія трафіку. Об'єднання (trunking) каналів для економії смуги каналу. IAX має можливість передавати в одному пакеті дані відразу декількох паралельних каналів, що різко зменшує накладні витрати. При великій кількості одночасних каналів збільшення ефективності використання принаймні в 1.5–3 рази.
1.3.4 Сучасний і універсальних протокол IP-телефонії - SIP
SIP (англ. Session Initiation Protocol — протокол встановлення сесії) — протокол прикладного рівня, розроблений IETF MMUSIC Working Group, і пропонований стандарт на спосіб встановки, зміни і завершення користувацького сеансу, що включає мультимедійні елементи, такі як відео або голос, миттєві повідомлення (instant messaging), он-лайн ігри та віртуальну реальність.
SIP хоча і використовується в IP-телефонії, не є протоколом для передачі голосових даних - він взагалі не прив'язаний до передачі даних якогось певного вигляду. SIP забезпечує ініціацію, контроль і ліквідацію сеансів обміну інформацією, а інформацією може виступати що завгодно: мова (як в разі IP-телефонії), і музика, і відео, і, наприклад, текст (протокол дозволяє організовувати сеанси колективної роботи над документами, які підтримуються в MS Exchange або Lotus Notes).
Тип даних визначається окремим протоколом SDP (Session Description Protocol - протокол опису сеансу), який працює в парі з SIP і володіє чудовою здатністю міняти параметри сеансу під час обміну даними. Простий приклад: два співбесідники розмовляють по IP-телефону, і один хоче показати іншому фотографію - SDP дозволить зробити це в рамках того ж SIP-сеансу. Більш того, в принципі ніщо не заважає перейти по ходу справи на інший термінал (наприклад, якщо розмова відбувається по мобільному телефону, можете перейти на комп'ютер або на телефон з дисплеєм і там проглянути фотографію).
1.3.4.1 Особливості SIP
SIP дуже схожий на протокол HTTP, оскільки розроблявся по образі й подобі широко відомих специфікацій HTTP і SMTP. По суті це клієнт-серверний протокол, робота якого складається з низки запитів і відповідей, причому всі SIP-Заголовки передаються у форматі ASCII-Тексту, а тому легко читаються. SIP дозволяє використовувати логічну адресацію (URL) на базі протоколу TCP або UDP. Простіше всього як адреса в мережі SIP задавати адреси електронної пошти, це самий природний URL. При цьому допускається застосування різноманітних параметрів, що визначають функціональність SIP-Адреси або тип протоколу зв'язку. Наприклад, можна вказати, що з'єднання здійснюється зі звичайним телефонним номером мережі загального користування - sip:tel:+999999, і доповнити його додатковим номером postd=pp521, або визначити параметри модемного зв'язку - modem:+999999; type=v32b?7e1; type=v110.
SIP має кілька комплементарних протоколів, які служать для реалізації додаткових можливостей. Найбільш важливий з них:
SDP (Session Description Protocol, RFC 2327), протокол узгодження таких параметрів сеансу зв'язку, як види кодеків, номера UDP-Портів і т. буд. SDP забезпечує зміна параметрів сеансу зв'язку "на ходу", під час сеансу. Перенос повідомлень SDP заснований на протоколі Session Announcement Protocol (SAP, RFC 2974).
SIMPLE (SIP for Instant Messaging and Presence Levering Extension) це ще один вид комплементарного протоколу. Фактично це розширення SIP, що служить для надання інформації про події (presence) і для розсилання "миттєвих" повідомлень (instant messaging).
SIP-T (Trunk) - протокол переносу повідомлень SS7 у вигляді MIME об'єктів між контролерами сигналізації, а також SIGTRAN (Signaling Transport) - протокол переносу повідомлень сигналізації SS7 через IP-Мережу.
SIP клієнт (SIP user agent) - може бути представлений як пристроєм ( IP-Телефон, шлюз або користувальницький термінал), так і програмним додатком для ПК, PDA і т.д. Звичайно SIP-Клієнт містить клієнтську, і серверну частину (User Agent Client, або UAC, і User Agent Server, або UAS). Основні функції даного компонента - ініціювання й завершення викликів.
Проксі-Сервер SIP - управляє маршрутизацією викликів і роботою додатка. Проксі-Сервер не може ініціювати або термінувати виклики.
Redirect-Сервер SIP - перенаправляє дзвінки відповідно до заданих умов.
Сервер реєстрації SIP (registrar/location) - здійснює реєстрацію користувачів і веде базу відповідності імен користувачів їхнім адресам, телефонним номерам і т.д. Щоб переглянути черговість взаємодії сигналів під час зєднання проглянемо рис 1.6.
Рисунок 1.6 - Встановлення з’єднання через SIP проксі
ACK: Підтверджує надійну доставку повідомлення.
BYE: Завершує сесію між двома користувачами.
INVITE: Використовується, щоб встановить медійну сесію між агентами користувачів.
При ініціалізації зв’язку перш за все передається запит INVITE з ідентифікатором CALL-ID. У тілі повідомлення INVITE вказуються дані про функціональні вимоги сторони у форматі протоколу SDP. Сторона, що викликається, приймає запит INVITE і починає його обробку, про що повідомляє відповіддю 100 Trying зустрічному обладнанню для перезапуску його таймерів. Після завершення обробки запиту, що поступив, обладнання сторони, що викликається, повідомляє користувача про вхідний виклик, а зустрічній стороні передає відповідь 180 Ringing. Після прийому користувачем, що викликається, вхідного виклику віддаленій стороні передається повідомлення 200 OK, в якому містяться дані про функціональні можливості терміналу, що викликається, у форматі протоколу SDP. Термінал користувача підтверджує прийом відповіді запитом АСК. На цьому фаза встановлення з'єднання закінчена і починається розмовна фаза. Після закінчення розмовної фази будь-якої із сторін передається запит BYE, який підтверджується відповіддю 200 OK.
1.3.5 Порівняння IAX та SIP
· Протокол IAX використовує меншу смугу пропускання (bandwidth), тому що використовується передача бінарних даних, у відмінності від пересилання
· В IAX службові дані й сама розмова передаються разом, що дозволяє уникнути проблем з NAT, властивих SIP. Для встановлення з'єднання й передачі даних в SIP використовуються різні протоколи, чому й виникають проблеми з NAT. Аудіо потік повинен проходити через фаєрволи і роутери. Для Усунення проблем з NAT, SIP протоколу звичайно доводиться користуватися STUN сервером.
· SIP - це протокол, що давно стандартизований IETF, широко використовується виробниками програмного забезпечення й устаткування. IAX тільки очікує стандартизації. Цим обумовлена причина, чому він поки не знайшов широкого поширення.
· IAX використовує тільки один порт (UDP 4569) для встановлення з'єднання й передачі даних всіх дзвінків. Для здійснення цього, IAX використовує так звані транки (trunking system). Вся службова інформація, а так само аудіопотоки всіх дзвінків передаються через один User Datagram Protocol (UDP). SIP, навпаки, використовує один TCP порт (5060) для з'єднання й 2 RTP порти для кожного аудіо з'єднання (усього як мінімум 3 порти). Наприклад, якщо у нас є 100 одночасних дзвінків, для їхнього здійснення нам потрібно задіяти 200 RTP портів і один порт для з'єднання (5060). IAX використовує тільки один порт для всього (UDP 4569).
· В SIP встановлення з'єднання здійснюється завжди через сервер, а аудіопотік (RTP flow) може йти від користувача до користувача, минаючи сервер. В IAX з'єднання й передача даних завжди відбуваються через IAX сервер. Це збільшує вимоги до Internet каналів для IAX серверів під час пікового навантаження.
1.4 Особливості роботи і специфіка VoIP
1.4.1 Транзит трафіку VoIP
Для розуміння основних проблем і недостатків ІР телефонії потрібно детальніше розглянути транзит голосу в ІР мережах.
· Засоби Policing, як і засоби вирівнювання трафіку зазвичай ідентифікують перевищення швидкості аналогічно. Їхня головна відмінність полягає в тому, як вони реагують на ці порушення. Засоби обмеження швидкості (policer) зазвичай скидають трафік (буфер). Засіб вирівнювання трафіку затримує надлишковий трафік в буфері, використовуючи буфер для зберігання пакетів і вирівнювання потоку у випадку сплеску трафіку рис1.7.
Рисунок 1.7 – Види обмеження трафіку
· Технології компресії, такі як Compressed Real-Time Protocol (cRTP), мінімізують вимоги по ширини пропускання і надзвичайно ефективні на низькошвидкісних каналах. Заголовок IP пакету в 40 байт може скласти практично дві третини всього пакету. Для того, щоб уникнути неефективного використання доступної ширини пропускання каналу застосовується механізм cRTP (він працює не глобально, а на окремому каналі –РРР). Використання cRTP дозволяє зменшити IP/UDP/RTP заголовок з 40 до 2-5 байт.
Таблиця 1.3 - “Базові Основи QOS” компанії Cisсo при маркуванні трафіка
Тип інформації
|
Приорітет
|
Маршрутна інформація
|
6
|
Голос
|
5
|
Інтерактивне відео
|
4
|
Потокове відео
|
4
|
Дані чутливі до втрат
|
3
|
Сигналізація дзвінків
|
3
|
Транзакційні дані
|
2
|
Управління мережею
|
2
|
Об'ємний клас
|
1
|
Інтернет/scavenger
|
1
|
Все інше
|
0
|
· Трафік VoIP відрізняється чутливістю до затримок – одному з параметрів, який регулюється за допомогою механізмів QOS (таб 1.3). Тому, спеціально розроблених для глобальних мереж передачі даних, – Frame Relay, АТМ, – механізми QOS є вбудованими. У нашому випадку для Ethernet трафік необхідно розділити за допомого тегування, розділ на під мережі або використання VPN. Структурний вигляд роботи розділеного трафіку за пріоритетами і терміновістю можна спостерігати на рис 1.8
Рисунок 1.8 - Модель спрощеної реалізації QOS в ITSP
1.4.2 Вимоги та рекомендації для забезпечення високої якості голосу в IP-мережах.
1. Голосовий трафік має бути промаркований як DSCP EF, відповідно до “ Базових основ QOS ” і RFC 3246.
2. Сигналізація має бути промаркована як CS3, відповідно до “ Базових Основ QOS” (під час транзиту можна використовувати AF31).
3. Втрати пакетів в магістралях спроектованих для надання VoIP сервісу високої якості не повинні перевищувати 0.25 відсотків.
4. Одностороння затримка не повинна перевищувати 150ms, відповідно до International Telecommunication Union (ITU) G.114.
5. Для кожної розмови (залежно від частоти квантування, кодека і заголовка другого рівня) потрібно 21-106 kbps гарантованої пріоритетної смуги пропускання.
6. Для трафіку сигналізації потрібно 150 bps (плюс заголовок другого рівня) гарантованої смуги пропускання.
Оператори повинні гарантувати відповідну смугу пропускання для VoIP застосувань корпоративних клієнтів. Планування має бути достатньо точним і враховувати декілька чинників. Лімітуючим чинником для виділення відсотка загальної смуги пропускання є параметри затримки і коливань затримки, а також загальна пропускна спроможності останньої милі. Трафік потрапляє в пріоритетні черги (LLQ або PQ) піддається затримці унаслідок рівня утилізації каналу і затримки серіалізації одного VoIP пакету.
1.4.3 Параметри які впливають на якість зв’язку в ІР мережах.
Затримка (latency). При передачі голосу або відео існують певні вимоги до максимально допустимої затримки. Різні дослідження показують, що для ведення нормального діалогу необхідне, аби "подвійна затримка" при передачі голосу не перевищувала 250-300 мс затримки. При перевищенні цього порогу учасники починають випробовувати дискомфорт і прагнуть закінчити розмову. Таким чином, для ведення комфортної розмови однобічна затримка не повинна перевищувати 150 мс (затримка каналу + алгоритмічна затримка кодека), що збігається з рекомендацією ITU-T G.114. Для зменшення затримки, мережею, що вноситься, необхідно використовувати QOS (Quality of Service). У стандарті Міжнародного Союзу Електрозв'язку для технології VoIP (G.711) говориться, що затримка величиною в 150 мс в одному напрямі є прийнятною для якість голосового зв'язку. Було продемонстровано, що різниця як голос між мережами із затримкою в 150 мсек і 200 мсек є незначною і практично непомітною для користувача.
Джіттер (jitter). Ethernet є мережею з комутацією пакетів. У загальному випадку це означає, що пакети можуть бути отримані клієнтом не в тому порядку, в якому вони були йому відправлені рис 1.9 (для доставки пакетів можуть використовуватися різні маршрути).
Рисунок 1.9 Джіттер
Для вирішення проблеми використовуються спеціальні "jitter buffers" (згладжувальний буфер). Завданням буферів є попереднє накопичення пакетів перед їх подальшою передачею декодеру. Буфер тремтіння також вносить деяку затримку до процесу передачі голосу, потрібно використовувати такий розміру згладжувального буфера, яке, з одного боку, забезпечує прийнятну якість мови, а з іншої - мінімізує загальне значення бюджету двосторонньої затримки до значення 300 мс.
Втрата пакетів. Як відомо, в мережах Ethernet допускається втрата пакетів. Вплив втрати пакетів на якість мови визначається розміром пакету, а також використовуваним алгоритмом стиску мови. Мовна інформація більшою мірою стійка до пропажі окремих пакетів, аніж цілих серій. У будь-якому випадку, згідно рекомендації ITU-T, для нормальної роботи систем IP-телефони допускається втрата не більше 1% пакетів, інакше погіршення якості мови буде помітне. Для поліпшення якості в умовах завантажених мережі можна використовувати QOS або, якщо пакети втрачаються через природу самої мережі (наприклад, безпровідна мережа), то для поліпшення якості можна використовувати більш стабільніший кодек.
Існує два способи проникнення ехо в телефонії із передавального тракту в приймальний: акустичний і електричний.
Акустичний це попадання звуку з динаміків телефонного апарату або колонок комп'ютера в мікрофон або в мікрофонну гарнітуру. Тому, при використанні різних софтфонів, не рекомендується використовувати динаміки комп'ютера і мікрофон. Як правило, розробники телефонних апаратів із спікерфонами використовують місцеві схеми для захисту від завороту звуку динаміка в мікрофон рис 1.10
Рисунок 1.10 - Схема взаємодії проблемних факторів в кінцевому пункті
Електричне проникнення можливе лише в аналогових трактах. У цифрових системах передачі голосу, до яких відносяться ISDN, ІКМ, VIOP транки і спеціалізовані цифрові інтерфейси телефонів такі як, GSM, IP телефони, станційні цифрові телефони. Зазвичай місцями проникнення є або точки переходу з цифрових транків на аналогові двопровідні, або переходи з чотирьох провідних аналогових транків на двопровідні. Найчастішим джерелом еха на пострадянському просторі є, різні фізичні характеристики жил в парі кабелю. Намокання, погані контакти, не дозволяють диференціюючим системам на телефонних станціях і телефонних апаратах в достатній мірі компенсувати місцевий ефект.
1.4.4 Інтерфейси телефонії
Найбільш часто використовуваним устаткуванням в IP-телефонії є шлюзи. Як було сказане вищим, завданням шлюзу є сполучення "звичайних" телефонних мереж з IP. З одного боку шлюзу кількість портів завжди буде, рівна кількісті інтерфейсів з іншого боку. Розглянемо найбільш відомі "телефонні" інтерфейси, рис - 1.11:
FXS (Foreign eXchange Subscriber) - аналоговий інтерфейс телефонних станцій. До голосових шлюзів з таким інтерфейсом можуть підключатися звичайні телефонні апарати, факси і інші абонентські пристрої. Фактично, інтерфейс FXS це те, що приходить до нас по телефонному кабелю від АТС. У завданні пристроїв, що реалізовують цей інтерфейс, входять: генерація сигналу готовності АТС (готовність в лінію), сигналів виклику абонента і так далі
FXO (Foreign eXchange Office) - аналоговий інтерфейс абонентських пристроїв телефонних станцій. Пристрої з таким інтерфейсом підключаються до інтерфейсу FXS. Так ті ж самі факсимільні апарати, телефони, модеми реалізують інтерфейс FXO.
Рисунок - 1.11 FXS та FXO інтерфейси
E1 - цифровий інтерфейс, використовуваний для створення високошвидкісних магістралей. У цифровому потоці E1 є 32 канали (2 з них службові) по 64 кБіт. Таким чином, використовуючи 1 потік E1, можливо організувати до 30 одночасних телефонних розмов. У IP-телефонії такі інтерфейси часто використовуються для організації зв'язку з ТФОП або для організації зв'язку між АТС. У каналах E1 може використовуватися різна сигналізація (CAS, SS7, R2, R1.5, Q.931), і при підключенні пристроїв по E1 це необхідно враховувати.
1.4.5 Порівняння і вибір кодека для трансляції розмов
Одним з важливих чинників ефективного використання пропускної спроможності IP-каналу, є вибір оптимального алгоритму кодування/декодування мовної інформації – кодека.
Всі типи мовних кодеків, що існують сьогодні, за принципом дії можна розділити на три групи:
1. Кодеки з Імпульсно Кодовою Модуляцією (ІКМ, рис 1.12) і Адаптивною Диференціальною Імпульсно Кодовою Модуляцією (АДІКМ), з'явилися в кінці 50 -х років і використовуються сьогодні в системах традиційної телефонії. В більшості випадків, є поєднанням АЦП/ЦАП
Рисунок 1.12 - ІКМ кодек
2. Кодеки з вокодерним перетворенням мовного сигналу виникли в системах мобільного зв'язку для зниження вимог до пропускної спроможності радіотракту. Ця група кодеків використовує гармонійний синтез сигналу на підставі інформації про його вокальні складові – фонеми. В більшості випадків, такі кодеки реалізовані як аналогові пристрої.
3. Комбіновані (гібридні) кодеки поєднують в собі технологію вокодерного перетворення/синтезу мови, але оперують вже з цифровим сигналом за допомогою спеціалізованих DSP. Кодеки цього типа містять в собі ІКМ або АДІКМ кодек і реалізований цифровим способом вокодер.
У голосових шлюзах IP-телефонії поняття кодека має на увазі не лише алгоритми кодування/декодування, але і апаратну реалізацію. Більшість кодеків, в IP-телефонії, описанні рекомендаціями сімейства "G" стандарту Н.323.
1.4.6 Кодек G.711
Рекомендація, затверджена МККТТ в 1984 р., описує кодек, що використовує ІКМ перетворення аналогового сигналу з точністю 8 біт, тактовою частотою 8 Кгц і простою компресією амплітуди сигналу. Швидкість потоку даних на виході перетворювача складає 64 Кбіт/с (8 Біт 8 КГц). Для зниження шуму квантування і поліпшення перетворення сигналів з невеликою амплітудою, при кодуванні використовується нелінійне квантування по рівню рис. 1.13)
Рисунок - 1.13 Кодек з нелінійним квантуванням
Перші ІКМ кодеки з нелінійним квантуванням з'явилися вже в 60-х рр. Кодек G.711 широко поширений в системах традиційної телефонії з комутацією каналів. Не дивлячись на те, що рекомендація G.711 в стандарті Н.323 є основною і первинною, в шлюзах IP-телефонії даний кодек застосовується рідко із-за високих вимог до смуги пропускання і затримок в каналі передачі. Використання G.711 в системах IP-телефонії обгрунтоване лише в тих випадках, коли потрібно забезпечити максимальну якість кодування мовної інформації при невеликому числі одночасних розмов. Одним з прикладів вживання кодека G.711 можуть послужити IP-телефони компанії CISCO.
1.4.7 Кодек G.723
Рекомендація G.723.1 описує гібридні кодеки, що використовують технологію кодування мовної інформації, скорочено звану – MP-MLQ (Multy-Pulse – Multy Level Quantization – Множинне Імпульсне, Багаторівневе Квантування), дані кодеки можна охарактеризувати, як комбінацію АЦП/ЦАП вокодера. Як вже згадувалося вищим, своїм виникненням гібридні кодеки зобов'язані системам мобільного зв'язку. Вживання вокодера дозволяє понизити швидкість передачі даних в каналі, що принципово важливе для ефективного використання як радіотракту, так і IP-каналу. Основний принцип роботи вокодера – синтез вихідного мовного сигналу за допомогою адаптивної заміни його гармонійних складових відповідним набором частотних фонем і погодженими шумовими коефіцієнтами. Кодек G.723 здійснює перетворення аналогового сигналу в потік даних із швидкістю 64 Кбіт/с (ІКМ), а потім за допомогою багатосмугового цифрового фільтра/вокодера виділяє частотні фонеми, аналізує їх і передає по IP-каналу інформацію лише про поточне полягання фонем в мовному сигналі. Даний алгоритм перетворення дозволяє понизити швидкість кодованої інформації до 5,3 – 6,3 Кбіт/с без видимого погіршення якості мови. Кодек має дві швидкості і два варіанти кодування: 6,3 Кбіт/с з алгоритмом MP-MLQ і 5,3 Кбіт/с з алгоритмом CELP. Перший варіант призначений для мереж з пакетною передачею голосу і забезпечує кращу якість кодування в порівнянні з варіантом CELP, але менш адаптований до використання в мережах із змішаним типом трафіку (голос/данні).
Процес перетворення вимагає від DSP 16,4 – 16,7 MIPS (Million Instructions Per Second) і вносить затримку 37 мс. Кодек G.723.1 широко застосовується в голосових шлюзах і інших пристроях IP-телефонії. Кодек поступається за якістю кодування мови кодеку G.729а, але менш вимогливий до ресурсів процесора і пропускної спроможності каналу.
1.4.8 Гібридні кодеки G.729.
Сімейство включає кодеки G.729, G.729 Annex А, G.729 Annex B (містить VAD і генератор комфортного шуму). Кодеки G.729 скорочено називають CS-ACELP Conjugate Structure - Algebraic Code Excited Linear Prediction – Зв'язана структура з керованим кодом алгебри лінійним передбаченням. Процес перетворення використовує 21,5 MIPS і вносить затримку 15 мс. Швидкість кодованого мовного сигналу складає 8 Кбіт/с. У пристроях VoIP даний кодек займає перше місце, забезпечуючи найкращу якість кодування мовної інформації при досить високій компресії.
1.4.8 Кодек G.726
Рекомендація G.726 описує технологію кодування з використанням Адаптивної Диференціальної Імпульсно-кодової Модуляції (АДІКМ) з швидкостями: 32 Кбіт/с, 24 Kбіт/с, 16 Kбіт/с. Процес перетворення не вносить істотної затримки і вимагає від DSP 5,5 - 6,4 MIPS. Кодек може застосовуватися спільно з кодеком G.711 для зниження швидкості кодування останнього. Кодек призначений для використання в системах відеоконференцій.
1.4.9 Кодек G.728.
Гібридний кодек, описаний в рекомендації G.728 в 1992 г, відноситься до категорії LD-CELP – Low Delay - Code Excited Linear Prediction – Кодек з керованим кодом лінійним передбаченням і малою затримкою. Кодек забезпечує швидкість перетворення 16 Кбіт/с, вносить затримку при кодуванні від 3 до 5 мс і призначений для використання в системах відеоконференцій. У пристроях IP-телефонії даний кодек застосовується досить рідко. У звідній таблиці 1.4 представлені характеристики кодеків сімейства Н.323
Таблиця 1.4 - Характеристики Н.323 кодеків.
Кодек
|
Тип кодека
|
Швидкість кодування
|
Затримка при кодуванні
|
Ліцензія
|
G.711
|
ІКМ
|
64 Кбіт/с
|
0,75 мс
|
Не потрібна
|
G.726
|
АДІКМ
|
32 Кбіт/с
|
1 мс
|
Не потрібна
|
G.728
|
LD – CELP
|
16 Кбіт/с
|
Від 3 до 5 мс
|
Не потрібна
|
G.729
|
CS – ACELP
|
8 Кбіт/с
|
10 мс
|
Потрібна частково
|
G.723.1
|
MP – MLQ
|
6,3 Кбіт/с
|
30 мс
|
Потрібна
|
G.723.1
|
ACELP
|
5,3 Кбіт/с
|
30 мс
|
Потрібна
|
1.4.10 Технологія VAD
Механізм роботи VAD наступний: вхідний аналоговий сигнал поступає на вхід пристрою порівняння, в якому вимірюється його амплітуда і порівнюється із заданим пороговим значенням. При перевищенні амплітудою вхідного сигналу заданого порогу (червона лінія на мал. 5), сигнал поступає на вхід кодека і кодується по певному алгоритму (інтервал Т2 – Т3). Якщо амплітуда вхідного сигналу нижча за порогове значення (наприклад в інтервал Т1 – Т2), то у момент часу Т1 передається лише службова інформація (завдовжки в декілька біт) про початок паузи, а у момент Т2 про її закінчення. На приймальній стороні, під час паузи, для поліпшення суб'єктивного сприйняття кодованої мови може передаватися комфортний шум.
Рисунок 1.17 - Технологія VAD
1.4.11 Залежність якості зв’язку від застосованого кодека.
Існують різні методики оцінки якості систем IP-телефонії. Найбільш відомі з них MOS (Mean Opinion Score або "середня суб'єктивна оцінка "), що є чисельною оцінкою. Ідея MOS дуже проста: спеціально сформованій групі людей надають можливість скористатися системою зв'язку і просять поставити оцінку якості від 1 (жахливо) до 5 (відмінно) [14] . Усереднені дані такого дослідження і називаються MOS. Крім того, для оцінки якості мови також існують і об'єктивні методи, наприклад, рекомендація ITU-T G.113 (вимір якості мови системи телефонії на основі спотворень, що вносяться кожним її елементом), PSQM (оцінка якості роботи вокодерів), PESQ (розвиток PSQM для оцінки мереж телефонії).
Компанія CISCO Systems наводить результати тестування кодеків по критерію найкращої розбірливості мови. Оцінка кодеків проведена по традиційній 5-ти бальній шкалі, де найкращій якості звучання відповідає найбільший бал. Результати представлені в таблиці 1.5
Таблиця 1.5 - Оцінка кодеків
Кодек
|
Тип кодека
|
Швидкість кодування
|
Затримка при кодуванні
|
Оцінка MOS
|
G.711
|
ІКМ
|
64 Кбіт/с
|
0,125 мс
|
4,1
|
G.726
|
АДІКМ
|
32 Кбіт/с
|
0,125 мс
|
3,85
|
G.728
|
LD – CELP
|
16 Кбіт/с
|
0,625 мс
|
3,61
|
G.729
|
CS – ACELP (без VAD)
|
8 Кбіт/с
|
10 мс
|
3,92
|
G.729
|
2-х кратне кодування
|
8 Кбіт/с
|
10 мс
|
3,27
|
G.729
|
3-х кратне кодування
|
8 Кбіт/с
|
10 мс
|
2,68
|
G.729a
|
CS – ACELP
|
8 Кбіт/с
|
10 мс
|
3,7
|
G.723.1
|
MP – MLQ
|
6,3 Кбіт/с
|
30 мс
|
3,9
|
G.723.1
|
ACELP
|
5,3 Кбіт/с
|
30 мс
|
3,65
|
Net Coder
|
Закрита технологія
|
4,8 – 9,6 Кбіт/с
|
20 мс
|
*
|
В нашому випадку для забезпечення зв’язку хорошої якості вибираємо G 711 для внутрішньої роботи і G 729 для з’єднання з “ інтернет користувачами ”.
Узагальнюючи приведені вище висновки, для організації міжфілійної мережі ITSP буде достатнім виділений канал з пропускною спроможністю 2 Мбіт/с і два шлюзи з підключенням до комутованої телефонної мережі по цифровому тракту Е1. Цієї задіяної ємності буде цілком достатньо для вирішення поставленого завдання на початку розділу.
1.7 Огляд технологій забезпечення належної безпеки середовища для передачі VoIP даних
1.7.1 Загрози прослуховування VoIP системи
Теоретично прослуховувати чужі розмови при передачі голосу по IP набагато простіше, аніж в разі класичної телефонії. Це твердження стосується і ТмЗК мереж, але в першу чергу відноситься до з'єднань через Internet. Звичайно, для забезпечення конфіденційності можна застосовувати ті методи, що і при захисті традиційної передачі даних, а саме - шифрування або VPN. Проте їх впровадження повинне відповідати спеціальним вимогам до якості голосового зв'язку.
Системи передачі голосу по IP, так само як і традиційні телефонні системи, ні в якому разі не можна вважати захищеними від прослухування.
Багато комерційних аналізаторів сигналізації і якості передачі мови пропонують функцію декодування голосових даних. Відкрита документація на стандарти (наприклад, Н.323, SIP) дозволяє реалізувати таку можливість. Наприклад кросплатформена програма Wireshark є одним з кращих інструментів для дослідження мережевого VoIP трафіку рис - 1.27:
Рисунок - 1.27 Зафіксовані розмови у Wireshark
З сигнальної інформації, що передається між кінцевими пунктами, можна отримати IP-адреса і дані про одержувача, після чого голосові пакети, передані за допомогою протоколу передачі даних в реальному часі можна буде перехопити, і декодувати за допомогою відповідного голосового кодека, рис - 1.25:
Рисунок - 1.28 Відтворення розмов у Wireshark
В будь-якому разі сигнальні і голосові пакети необхідно ізолювати. Для цього існує маса можливостей, вибір яких залежить від середовища передачі - Internet, Intranet або Extranet.
1.7.2 Можливості прослухування голосу в Intranet і методи захисту
Під Intranet розуміють приватну мережу IP, по розмірах і покритті порівнянну з класичною телекомунікаційною системою. Якщо застосовується єдина мережа з концентраторами, то дані сигналізації, а також відповідні голосові дані доступні на кожному порту. Sniffer можна встановити в будь-якому місці мережі і прослухувати всі дані.
Аби отримати прийнятну продуктивність і якість передачі мови, IP-телефонію не варто застосовувати в мережах на базі концентраторів — краще всього вона функціонує в комутованих мережах (на канальному або мережевому рівні). В цьому випадку сигнальні, а також голосові пакети зазвичай поступають лише на ті порти, яким вони адресовані. Таким чином, стороннім складніше отримати доступ до пакетів. У більшості комутаторів для пошуку помилок передбачена можливість активації зеркалювання портів, а значить, відповідні пакети можна копіювати і декодувати. Перехоплювати пакети в мережі та змінювати напрям їх руху здатні так звані мережеві перехоплювачі. Отже, як сигнальні, так і голосові пакети необхідно шифрувати трафік користуючись відповідним ПЗ.
1.7.3 Прослухування в Internet
У загальнодоступній мережі Internet користувач практично не може впливати на маршрут пакету. Теоретично на будь-якому вузлі пакети можна скопіювати. В порівнянні з мультиплексорами і телефонними комутаторами для голосового зв'язку, вузли Internet захищені гірше. Як показує статистика хакери можуть зламували їх, після чого можуть маніпулювати всіма пакетами, що проходять через вузли, або слухати їх. Крім того, закон про телекомунікації вимагає, аби спецслужби мали можливість прослухування в рамках оперативно-розшукової діяльності. Тому незашифровану передачу голосових даних через загальнодоступну мережу Internet не можна назвати безпечною. Додатково, на відміну від телефонної мережі, ідентифікувати що подзвонив практично неможливо. В крайньому випадку, це досягається додатковими заходами.
1.7.4 Використання SIPS, SRTP і сертифікатів SSL в передачі VoIP
Для забезпечення безпеки аж до кінцевого пристрою (IP-телефон або програмний клієнт) слід повністю захистити шлях передачі. Для цього служать протоколи SIP Secure/SIP over SSL (SIPS) для сигналізації і Secure RTP (SRTP) для передачі голосових даних, причому кінцевий пристрій або застосування VoIP повинні їх підтримувати. Крім того, можуть використовуватися сертифікати SSL.
Коли кінцевий пристрій встановлює контакт з реєстратором SIP, в першу чергу обумовлюється шифрування відповідно до сертифікату сервера. Як правило, застосовується 128-розрядне шифрування. Потім відбувається обмін відкритими кодами шифрування, званими як ключами (метод відкритого ключа). Лише після цього можна почати передачу даних, зашифрованих відкритим ключем. Метод порівнянний із з'єднаннями HTTPS в браузері Internet: кінцевий пристрій спочатку авторизується в корпоративній мережі, і лише потім йому стає доступно голосове застосування.
Таким чином, ідеально функціонуюча мережа передачі голосу по VPN передбачає наявність багатоступеневих механізмів QOS в кінцевих пунктах тунелю й усередині мережі. Шлюзи VPN, маршрутизатори і комутатори мають бути в змозі забезпечити QOS. Наприклад безперешкодного транспорту усередині загальнодоступної мережі оператори і провайдери послуг Internet зі свого боку можуть підтримати реалізацію за допомогою спеціальної функціональності АТМ або використання MPLS.
1.7.5 VоIP через VPN
Віртуальні приватні мережі організовуються, як правило, за допомогою стандартних рішень на базі IPSec. Вони дозволяють безпечно передавати дані по незахищених транспортних мережах. Для шифрування використовуються звичайний або потрійний стандарт шифрування даних (Data Encryption Standard, DES; Triple DES, 3DES). Пристрої для шифрування називають шлюзами VPN. Вони можуть бути реалізовані у вигляді спеціалізованого апаратного або програмного забезпечення на маршрутизаторі або брандмауері. При цьому розрізняють віртуальні приватні мережі між вузлами (Site-to-Site-VPN, S2S-VPN) і віртуальні мережі для видаленого доступу (Remote VPN). S2S-VPN з обох боків має по шлюзу VPN між надійною і ненадійною областями. Йдеться про постійному з'єднанні двох майданчиків. У разі ж VPN для видаленого доступу шлюз стоїть лише з одного боку, а з протилежного боку захищеного з'єднання знаходиться комп’ютер з клієнтом Remote VPN. Таким чином, мобільний VoIP абонент може спілкуватися з офісом по незахищеній мережі Internet.
Шифрування VPN підходить для будь-якого графіку у тому числі і голосового. З його допомогою IP-телефонія не прослуховується в транспортній мережі, і сигналізацією неможливо маніпулювати рисунок - 1.29.
Рисунок 1.29 Розмежування пристроїв методом VLAN
1.7.7 Специфіка роботи захищеного VoIP.
Специфіка VoIP є досить чутливою до затримок тому при організації захисту потрібно керуватись наступними вимогами:
При використанні VoIP із стандартними віртуальними приватними мережами IPSec необхідно брати до уваги наступні обставини:
• апаратні шлюзи VPN повинні мати достатню продуктивність шифрування 3DES, щоб навантаження на шлюз не призводило затримки часу. Гранично допустима межа затримки складає 20 мс;
• шлюзу VPN для шифрування і розшифровки вимагається деякий час (приблизно від 5 до 20 мс). Вона додається до повної затримки системи, яка при передачі голосу з кінця в кінець не повинна перевищувати 150 мс, причому від 40 до 50 мс спочатку відводиться для кодеків і стеків IР. Тим самим на затримку мережі залишається всього 100 мс (відома команда рing видає подвоєний час затримки);
• шлюзу VPN повинен розуміти заголовки IP тега 802.1p і значення точки коду диференційованої послуги (Differentiated Service Code Point, DSCP), добре маркурувати цими значеннями пакети IPSec, щоб транспортна мережа могла таким чином знати, що ці пакети мають пріоритет, і обробляла їх відповідним чином;
• кодек слід використовувати G.729 і його варіанти, оскільки він є компромісом між пропускною спроможністю, затримкою шифрування і якістю мови. Причому швидкість передачі даних повинна скласти від 20 до 30 Кбіт/с в кожному напрямку;
• не можна застосовувати жодних видів перетворення адрес (NAT, NAPT, dNAT), оскільки в більшості шлюзів VPN немає посередника застосувань стандарту H.323, а адресна інформація є і на більш високому рівні, чим мережевий. Тому маршрутизація може проводитися лише між вузлами, де підтримуються VPN, що помітно ускладнює конфігурацію VPN;
• якщо пропускна спроможність між вузлами достатня для організації VPN, то при використанні G.711 кодека підвищений час затримки (130 мс) і збільшена доля втрачених пакетів (2%) можуть бути цілком нормальними. Швидкість передачі даних в одному напрямі повинна складати від 80 до 90 Кбіт/с.
Брандмауери служать для захисту мереж передачі даних зовні (Internet) і зсередини (Intranet). Вони застосовуються як в Internet, так і усередині мереж між окремими підмережами. Технологія VoIP сама по собі незахищена і надає безліч можливостей для атаки. За допомогою спеціалізованого апаратного шлюзу VPN можна встановити захищений зв'язок між офісами. Проте шлюз VPN не має бути реалізований у вигляді програмного забезпечення на брандмауері, оскільки в такому разі різниця часу затримки залежатиме не лише від навантаження процесів VPN, але і від загального графіку даних.
Якщо ці аспекти не враховуються, то наслідком можуть стати значні затримки мови, ефекти ехо, шуми, що заважають телефонній розмові, і навіть повна відмова системи.
Разом із захистом від прослухування, а також використанням віртуальних приватних мереж і брандмауерів має велике значення має загальна надійність сервера VoIP. Основними складовими сервера VoIP є процеси і різноманітне за використанням ПЗ для управління зв'язком. Вони можуть бути зібрані в одній системі або розподілені по всій мережі. Наявність такої забезпечує можливість функціонування системи VOIP, не дивлячись на відмову однієї з компонентів.
В нашому випадку рішенням буде включення 2 філій в мережу ITSP через VPN, переваги такого включення для нашої специфіки мережі наведені вище. У випадку розширення мереж необхідно чітко реалізувати технологію децентралізованої архітектури та максималізувати використання апаратних а не програмних засобів захисту.
google-site-verification: google7bcfbbd9f6111478.html
