如何采用Prosody X 或Prosody S实现VoIP监控?
Herbal Abel, Aculab产品经理
2006/04/21
一.介绍
VoIP日益成为商业通信不可缺少的一部分。企业对VoIP应用的监控和管理也在不断加强。同时,业务提供商和网络运营商也在不断努力,促使此类业务尽快达到能和PSTN业务相比拟的水平。VoIP网络业务的质量和性能方面的这些因素,促使企业用户更加关注该业务的监控。据Frost & Sullivan公司的分析,VoIP监控类应用的市场规模在2004年达到了US$50.7m,在2008年将达到US$297.1m。
二.QoS监控
业务运营商和企业用户都知道签订有效的业务级协议(SLA)的全方位重要性。厂商向客户提供SLA,也能提高他们的VoIP产品的附加值。SLA反映了业务运营商向企业客户提供的服务质量承诺,诸如:最大的通话端到端延迟、抖动和包丢失率等一些指标。此外,SLA也会约定在客户遇到麻烦时厂商技术支持的响应速度,以及系统宕机时的业务恢复时间等。在这样的背景下,业务提供商经常采用主动和被动方式的监控方案,来跟踪业务的质量,并把这些信息细节提供给用户,以免产生纠纷。
三.监控与安全
对被动方式的监控而言,除了用于业务性能分析的目的外,还有网络通信安全方面的原因。根据一些机构对VoIP应用的调查结果,大企业内部员工的违规网络使用所造成的不良影响,正日益超过外部攻击所造成的损失。根据Deloitte Touche 公司2005年针对全球前100家财经公司信息安全主管所作的调查,结果显示35%的被调查人承认在过去的12个月内出现过来自企业内部的攻击。此外,来自信息安全论坛( ISF )的报告指出,IP网络除了已经存在的安全问题外,VoIP业务还会面对新的、更加复杂的威胁,如:Caller ID的盗用、话音的篡改、垃圾语音邮件等。ISF认为:如果不能有效地解决这些风险,将严重地影响VoIP业务的健康发展。任凭信息以一种不可预测的、甚至是任意的方式出入企业的网络,往往是和公司的政策相违背的。一个安全的专用网络是无需对公司员工的信誉作任何假设的。用户绝对不是敌人,但从某种意义上讲,有时是一种风险。所以,有效实施VoIP网络的监控,能增加员工的责任感和透明度,也能期望借此解决潜在的内部安全问题。
四. 用Aculab产品实现监控
Aculab公司有两类产品适合开发并实施主动/被动式的VoIP监控。首先, Prosody X PCI/cPCI媒体处理板卡足可用于大容量的解决方案,其平均每监控通道的成本是最低廉的。其次,是基于软件实现的Prosody S,属于一种基于主机CPU的媒体处理平台(HMP)。该产品适合小容量的应用,无需任何额外的硬件投资。此外,对于那些计划在TDM网络内实施监控类应用的开发商而言,Prosody PCI/cPCI以及E1/T1 PCI/cPCI板卡可以胜任。所以,我们向客户们提供了适合IP和TDM两种网络环境下实施监控类应用的所有功能构件。
五.方案架构
VoIP应用的质量监控分为主动式和被动式两种实现方式。主动式的系统能产生呼叫,而被动式的系统只是监测进行中的呼叫。两种方法各有优势。VoIP监控方案的架构取决于网络Edge设备的类型和结构。有些大型企业采用的VoIP网络配备了一种特殊设备,叫SBC(Session boarder controller),除了完成类似路由器的功能外,还能完成流量分配、数据/语音信号加密以及业务质量控制等功能。此外,通过过滤和替换数据包内的、与用户有关的特定信息,SBC还能隐藏公司的网络拓扑结构和用户信息,不被外部的IP世界所知道。
1.主动监控
下图说明的是主动式的VoIP监控系统结构。路由器设备处于网络Edge的位置。
上图中的媒体和控制数据流表示通过Prosody S (HMP) 或Prosody X板卡建立的两个(或多个)端点之间的呼叫。媒体流(RTP)和信令信息都通过监控平台本身传输,高级的应用系统会记录所有SIP/H.323事件和消息。传真信息也可以存储,保存在TiFF格式的图形文件内。这里,系统可以在两端分别录制RTP流,也可以采用会议的方式录制在一起。
需要重点说明的是,基于Prosody X板卡的方案还允许在本地主机和远端主机同时实现这种高级的监控应用。而且,与呼叫流量监控有关的数据库可以位于远端服务器内。
2.被动监控
下图说明的是被动式的VoIP监控系统结构。此时,SBC设备处于网络Edge的位置。
这种情况下,基于Prosody S软件或Prosody X板卡的监控平台,只接收由SBC分配的、复制的RTP媒体流和信令消息。原始的媒体流和控制信息在网络内传输,旁路了IP被动式监控设备。
在一些小型企业的VoIP网络里,Edge位置不存在SBC这样的设备。此时,可以采用一种叫做网络测试访问端口(TAP)的设备来建立永久性的访问端口,从而建立被动式监控方案。TAP可以在任何两种网络设备之间建立,如交换机、路由器和防火墙。TAP可当作任何监控设备(完成包括入侵检测、协议分析、业务拒绝和远程监控等功能)所需的访问端口。连接TAP的监控设备,能接收目标被监控端口在网络内传输的、相同的流量数据。TAP通过分割或再生网络信号的方法向监控设备发送通信流量数据。无论是分隔法还是再生法,都不会产生额外的延迟,也不会改变数据包信息的内容和结构。
六.方案的设计
上文提及的监控方法,无论是主动式还是被动式的,都需要高级的解决方案,能够监测并录制所有适合的媒体流和信令信息。下图说明了这类系统的媒体流传播的结构,对基于Prosody S和Prosody X的方案都使用。图内连接"Data feed"方框的虚线表示呼叫建立,仅适用于主动式的VoIP监控。
七.保密通信里的IP被动式监控
两个端点在保密机制下进行通信时,实现被动式的IP监控的机会是很有限的。采用Prosody S 或Prosody X实现呼叫控制的主动式VoIP监控方案监视保密的VoIP会话是可能的,原因是主被叫之间的密钥协商是通过监控设备本身完成的。
被动监控方式下,Prosody S或Prosody X并不参与呼叫控制,仅仅用于监测被SBC或网络TAP分流的网络流量。所以,除非SBC设备显式授权,监控这种保密的IP呼叫是不可能的。要想监控保密IP通信,要求在两点(或多点)的呼叫建立前获得相应的密钥。可是,保密的RTP会话中的密钥交换是通过SIP在传输层保密协议(TLS)下完成的,换言之,密钥的交换也是在保密状态下进行的。在这种情况下,即使监控并录制到了通信各方之间的所有呼叫控制信息,也不能存取到主密钥,来解密经过加密处理的RTP媒体流。
八.结论
企业VoIP平台的广泛应用,也为这些组织在网络的高性能和安全方面带来额外的技术挑战。所以,VoIP监控方案的需求发展迅猛。网络的不同架构特点决定了是组建主动式的还是被动式的监控系统。开发商采用Aculab公司的Prosody S软件或Prosody X板卡,其优势是:能够迅速进入市场、多种功能的实现、免费的软件许可,从而能建立灵活的、易扩展的和成本经济的VoIP监控方案。
Aculab公司供稿 CTI论坛编辑
相关链接: