voip_settings
下面几节提供有关 VoIP 设置的信息:
有关 VoIP 的常规信息,请参见VoIP 概述。
针对 VoIP 部署配置 Dell SonicWALL 安全设备要以 SonicOS 管理界面中的基本网络配置为基础。本章假设 Dell SonicWALL 安全设备已针对网络环境进行配置。
支持的接口
下列 SonicOS 区域支持 VoIP 设备:
• 受信区域(LAN、VPN)
• 不受信区域 (WAN)
• 公共区域 (DMZ)
• 无线区域 (WLAN)
– 带宽管理
– 服务质量
SonicOS 的 VoIP 配置设置位于 VoIP > 设置页面。此页面分为三个配置设置部分:常规设置、SIP 设置 和 H.323 设置。
一致的 NAT 增强标准的 NAT 策略,为需要连接一致的 IP 地址的对等应用程序(如 VoIP)提供更好的兼容性。一致的 NAT 使用 MD5 散列方法始终为每个内部专用 IP 地址和端口对指定相同的映射公用 IP 地址和 UDP 端口对。
例如,NAT 会将专用 (LAN) IP 地址和端口对(192.116.168.10/50650 和 192.116.168.20/50655)转换为公用 (WAN) IP/端口对,如下所示:
|
启用一致的 NAT 后,来自主机 192.116.168.10 或 192.116.168.20(使用上述相同的端口)的所有后续请求将导致使用相同的转换过的地址和端口对。没有一致的 NAT,端口以及可能包括 IP 地址都会在每次请求时发生变化。
要启用一致的 NAT,请选择启用一致的 NAT 设置并单击接受。此复选框在默认情况下禁用。
Note 启用一致的 NAT 会导致整体安全性略微降低,因为地址和端口对的可预测性增强。大部分基于 UDP 的应用程序与传统的 NAT 兼容。因此,除非您的网络使用需要一致的 NAT 的应用程序,否则不要启用它。
默认情况下,SIP 客户端在其发送给 SIP 代理的 SIP 会话定义协议 (SDP) 消息中使用私有 IP 地址。如果 SIP 代理位于 Dell SonicWALL 安全设备的公共 (WAN) 端,SIP 客户端位于防火墙之后的私有 (LAN) 端,则 SDP 消息不会被转换,SIP 代理无法到达 SIP 客户端。
选择启用 SIP 转换,以在 LAN(受信)与 WAN/DMZ(不受信)之间转换 SIP 消息。若希望 Dell SonicWALL 安全设备执行 SIP 转换,则需要检查此设置。如果 SIP 代理位于 Dell SonicWALL 的公共 (WAN) 端,SIP 客户端位于 LAN 端,则 SIP 客户端在发送给 SIP 代理的 SIP/会话定义协议 (SDP) 消息中会默认嵌入/使用私有 IP 地址,因而这些消息不会被改变,SIP 代理不知道如何返回到 Dell SonicWALL 之后的客户端。选择启用 SIP 转换,使 Dell SonicWALL 能够浏览各条 SIP 消息,更改私有 IP 地址和分配的端口。启用 SIP 转换还能控制并开启 RTP/RTCP 端口,为使 SIP 会话呼叫发生,必须开启这些端口。NAT 转换第 3 层地址,但不转换第 7 层 SIP/SDP 地址,这就是需要选择“启用 SIP 转换”以转换 SIP 消息的原因。
Tip 一般而言,应当勾选启用 SIP 转换复选框,除非其它 NAT 遍历解决方案要求禁用此功能。SIP 转换以双向模式工作,LAN 与 WAN 之间的往来消息都会被转换。
选择在信号端口允许非-SIP 报文以支持 Apple iChat 和 MSN Messenger 等应用程序,这些程序使用 SIP 信令端口传输其它专有消息。勾选此复选框可能会使网络遭受畸形或无效 SIP 流量引起的恶意攻击。此复选框在默认情况下禁用。
当语音呼叫的两段均可被 Dell SonicWALL 安全设备看到时(例如,LAN 上的一部电话呼叫 LAN 上的另一部电话),应当选择启用 SIP 背对背用户代理 (B2BUA) 支持设置。此设置只应在 SIP 代理服务器用作 B2BUA 时启用。
Tip 如果 Dell SonicWALL 安全设备不可能看到语音呼叫的两段(例如,只能拨打或接听 WAN 上的电话时),则应禁用启用 SIP 背对背用户代理 (B2BUA) 支持设置,以避免不必要的 CPU 使用。
SIP 信令不活动超时(秒数)和 SIP 媒体不活动超时(秒数)定义呼叫可以处于空闲状态(无流量交换)的时间量,经过该时间后,Dell SonicWALL 安全设备就会阻止后续流量。呼叫被置于保持时,便进入空闲状态。SIP 信令不活动超时的默认时间值是 1800 秒(30 分钟)。SIP 媒体不活动超时的默认时间值是 120 秒(2 分钟)。
用于转换的其它 SIP 信令端口 (UDP) 设置允许您指定非标准 UDP 端口用于承载 SIP 信令流量。一般情况下,SIP 信令流量通过 UDP 端口 5060 承载。但是,某些商用 VOIP 服务使用其它端口,例如 1560。使用此设置,安全设备便可在这些非标准端口上执行 SIP 转换。
Tip Vonage 的 VoIP 服务使用 UDP 端口 5061。
在 H.323 设置部分中选择启用 H.323 转换并单击接受,以允许 Dell SonicWALL 安全设备检查和修改可感知 H.323 协议状态的数据包内容。Dell SonicWALL 安全设备在 H.323 数据包内执行动态 IP 地址和传输端口映射,这对受信和不受信网络/区域中的 H.323 各方之间的通信是必要的。禁用启用 H.323 转换可绕过由 Dell SonicWALL 安全设备执行的 H.323 特定处理。
选择仅接受来自 Gatekeeper 的流入呼叫,确保所有来电都经过网关守卫进行身份验证。网关守卫会拒绝未通过身份验证的呼叫。
选择启用 LDAP ILS 支持,使 Microsoft NetMeeting 用户可通过 Internet 定位并连接用户以进行会议和协作。
H.323 信令/媒体不活动超时(秒数)字段指定呼叫可以处于空闲状态的时间量,经过该时间后,Dell SonicWALL 安全设备就会阻止后续流量。呼叫被置于保持时,便进入空闲状态。H.323 信令/媒体不活动超时的默认时间值是 300 秒(5 分钟)。
默认 WAN/DMZ Gatekeeper IP 地址字段的默认值为 0.0.0.0。在此字段中输入默认 H.323 Gatekeeper IP 地址,使基于 LAN 的 H.323 设备能够利用多播地址 225.0.1.41 发现网关守卫。如果不输入 IP 地址,基于 LAN 的 H.323 设备的多播发现消息将接受已配置的多播处理。
VoIP 的最大挑战之一是确保通过 IP 网络提供高质量语音通话。IP 主要设计用于传输可以容忍延迟的异步数据流量。但是,VoIP 对延迟和丢包非常敏感。管理接入和设置流量优先级是确保高质量实时 VoIP 通信的重要要求。
Dell SonicWALL 的集成带宽管理 (BWM) 和服务质量 (QoS) 特性提供了用于管理 VoIP 通信的可靠性和质量的工具。
有关带宽管理 (BWM) 的信息,请参见带宽管理概述。
QoS 包括多种方法,目的是提供可预测的网络行为和性能。网络可预测性对于 VoIP 和其它任务关键型应用至关重要。再多的带宽也无法提供这种可预测性,因为任何数量的带宽最终都会被网络用尽。只有正确配置并实施 QoS,才能妥善管理流量,保证网络服务达到所需的水平。
SonicOS 的 QoS 特性还能识别、映射、修改、产生工业标准 802.1p 和区分服务代码点 (DSCP) 服务类别 (CoS) 标志符。
默认情况下,Dell SonicWALL 安全设备上的数据包状态检查允许从 LAN 到 Internet 的所有通信,而阻止从 Internet 到 LAN 的所有流量。可以定义其它网络访问规则,以便扩展或覆盖默认访问规则。
若要定义客户端的 VoIP 访问以从 WAN 使用 VoIP 服务提供商,您可以配置来源与目标接口或区域之间的网络访问规则,使防火墙之后的客户端可发送和接收 VoIP 呼叫。
如果您的 SIP 代理或 H.323 网关在防火墙后面,则您可使用 Dell SonicWALL 公用服务器向导自动配置访问规则。
Tip 虽然可以创建允许入站 IP 流量的定制规则,但 Dell SonicWALL 安全设备不会禁用对“拒绝服务”(如“同步洪流”和“乒死”等)攻击的防御。
Note 配置网络访问规则的带宽管理之前,必须在网络 > 接口页面上选择 WAN 接口的带宽管理。
1. 要为 Dell SonicWALL 安全设备上的 VoIP 流量添加访问规则,请执行以下操作:
请转到防火墙 > 访问规则页面,并在视图样式下单击所有规则。
2. 单击访问规则表顶部的添加。随即显示添加规则窗口。
在常规选项卡中,选择操作列表中的允许以允许流量。
4. 从源区域和目标区域菜单中选择来源和目标区域。
5. 从服务列表中选择受该访问规则影响的一个或一组服务。
• 对于 H.323,选择下列项目之一,或选择创建新组并将如下服务添加到该组:
– H.323 呼叫信令
– H.323 Gatekeeper 发现
– H.323 Gatekeeper RAS
• 对于 SIP,选择 SIP
6. 从来源列表中选择受该访问规则影响的流量来源。选择创建新网络将显示添加地址对象窗口。
若要定义受该访问规则影响的来源 IP 地址,例如限制某些用户访问 Internet,请在类型:下拉菜单。然后在起始 IP 地址:和结束 IP 地址字段中输入该范围的最低和最高 IP 地址。
8. 从目标列表中选择受该访问规则影响的流量目标。选择创建新网络将显示添加地址对象窗口。
9. 从允许的用户菜单中,添加受该访问规则影响的用户或用户组。
10. 若要仅在指定时间允许 VoIP 访问,请从计划菜单中选择一个计划。默认计划是始终打开。可以在系统 > 计划页面指定计划对象。
11. 在注释字段中输入注释以帮助识别该访问规则。
12. 单击带宽选项卡。
13. 选择带宽管理,输入保证带宽 (Kbps)。
14. 在最大带宽字段中输入该规则在任意时间可使用的最大带宽量。
15. 在带宽优先级列表中中指定从 0(最高)到 7(最低)的优先级。要获得较高的 VoIP 呼叫质量,请确保 VoIP 流量具有较高的优先级。
Tip 使用带宽管理的规则,其优先级高于无带宽管理的规则。
Dell SonicWALL 公用服务器向导为在您网络上防火墙后面运行的 SIP 代理或 H.323 Gatekeeper 配置防火墙访问规则提供了一种简单方法。使用此向导可执行要让 VoIP 客户端访问 VoIP 服务器所需的所有配置设置。
1. 单击 SonicOS 导航栏上的向导。
2. 选择公用服务器向导并单击下一步。
从服务器类型列表中选择其他。
• 如果您要配置 SIP 代理服务器从 WAN 访问网络,请从服务菜单中选择 SIP。
• 如果您配置 H.323 Gatekeeper 从 WAN 访问网络,请选择 Gatekeeper RAS。
• 要启用从 WAN 到 LAN 的点到点 VoIP 呼叫,请选择 H.323 呼叫信令。
4. 单击下一步。
Note Dell SonicWALL 建议不要从服务菜单中选择 VoIP。选择此选项可打开超过所需数量的 TCP/UDP 端口,还有可能打开不必要的安全漏洞。
在服务器名称字段中输入服务器的名称。
6. 输入服务器的私有 IP 地址。指定分配到服务器所在区域的地址范围中的一个 IP 地址。公用服务器向导会自动将服务器分配到其 IP 地址所属的区域。您可以在“服务器注释”字段中输入可选描述性文本。
7. 单击下一步。
8. 输入服务器的公用 IP 地址。默认值是 WAN 公用 IP 地址。如果您输入另一个 IP,公用服务器向导将为该 IP 地址创建地址对象,并将地址对象与 WAN 区域绑定。
9. 单击下一步。
“摘要”页面显示您在向导中执行的所有配置的摘要。它应该显示:
• 服务器地址对象 - 向导创建新服务器的地址对象。因为本例中添加的服务器的 IP 地址在分配给 LAN 区域的 IP 地址范围内,向导将地址对象与 LAN 区域绑定。
• 服务器服务群组对象 - 向导为新服务器使用的服务创建服务群组对象。
• 服务器 NAT 策略 - 向导创建 NAT 策略以将具有新服务群组中一项服务并定址为 WAN 地址的所有入站数据包的目标地址转换为新服务器的地址。该向导还会创建环回 NAT 策略。
• 服务器访问规则 - 该向导会创建允许新服务 WAN 主要 IP 所有流量的访问策略。
11. 在公用服务器配置摘要页面单击接受完成向导,并对 Dell SonicWALL 应用配置。 :
Tip 用于从内部和外部访问新服务器的新 IP 地址显示在配置窗口的 URL 字段中。
12. 单击关闭关闭向导。
您可以允许在日志 > 类别页面中的 Dell SonicWALL 安全设备日志中记录 VoIP 事件。日志条目显示在日志 > 视图页面上。要启用日志,请执行以下操作:
1. 选择日志 > 类别。
2. 在日志类别部分的视图样式菜单中,选择扩展类别。
3. 在表中找到 VoIP(VOIP H.323/RAS、H.323/H.225、H.323/H.245 活动)条目。
4. 选择日志以使日志 > 视图页面上能显示 VoIP 日志事件。
5. 选择警报以启用该类别的警报发送。
6. 选择 Syslog 以使 Dell SonicWALL 安全设备的系统日志能够捕捉到这些日志事件。
7. 单击接受。
可以部署 Dell SonicWALL 安全设备。VoIP 设备可在各种网络配置中部署。本章节介绍以下部分方案:
• 常规部署方案
以下所有三种部署方案都要先执行以下基本配置程序:
1. 在网络 > 界面的 WAN 界面上启用带宽管理。
2. 在 VoIP > 设置上配置 SIP 或 H.323 的转化和不活动设置。
3. 在网络 > DHCP 服务器页面上配置 DHCP 服务器,将静态 IP 地址指定到 VoIP 客户端。
4. 在安全服务 > 入侵保护页面上,启用 Dell SonicWALL 入侵保护服务以为 VoIP 通信提供应用程序层保护。
5. 将 VoIP 客户端连接到网络。
点到点 VoiP 服务部署对于远程位置或小型企业环境很常用,它使用连接到防火墙之后网络的 VoIP 端点设备直接接收来自 WAN 的呼叫。因特网上的 VoIP 端点设备使用 Dell SonicWALL 安全设备的公用 IP 地址连接到防火墙后面 LAN 上的 VoIP 客户端设备。下图显示了点到点 VoIP 服务的拓扑。
此部署不需要 VoIP 服务器。Dell SonicWALL 安全设备的公用 IP 地址用作网络上主机的主要 VoIP 号码。这需要一个静态公用 IP 地址,或使用动态 DNS 服务来为 WAN 的呼叫者提供公用地址。流入呼叫请求通过 Dell SonicWALL 安全设备使用 NAT、DHCP 服务器和网络访问规则路由。
为使 Dell SonicWALL 安全设备后面的多个设备可以通过公用端访问,请配置一对一 NAT。如果配置了多对一 NAT,则将只有一个 SIP 和一个 NAT 设备可以从公用端访问。
有关配置此部署的信息,请参见“使用公用服务器向导”章节。
公用 VoIP 服务部署由 VoIP 服务提供商实施,他们还负责维护 VoIP 服务器(SIP 代理服务器或 H.323 Gatekeeper)。可以通过 Dell SonicWALL 安全设备公用 IP 地址连接由 VoIP 服务提供商运营的 SIP 代理服务器或 H.323 Gatekeeper。下图显示了公用 VoIP 服务的拓扑。
对于使用来自 WAN 的服务器注册的 VoIP 客户端,Dell SonicWALL 安全设备会自动管理 NAT 策略和访问规则。Dell SonicWALL 安全设备执行注册的状态监控,并在客户端已注册的情况下允许其流入呼叫。不需要对客户端进行配置。有关配置此部署的信息,请参见“使用公用服务器向导”章节。
组织在 DMZ 或 LAN 上部署其自己的 VoIP 服务器,以便使因特网上的 VoIP 客户端或安全网关后面的本地网络用户可以访问。下图显示了受信任的 VoIP 服务的拓扑。
对于使用 DMZ 或 LAN 上的服务器注册的 VoIP 客户端,Dell SonicWALL 安全设备会自动管理 NAT 策略和访问规则。Dell SonicWALL 安全设备执行注册的状态监控,并在客户端已注册的情况下允许其流入呼叫。不需要对 VoIP 客户端进行配置。
要使 WAN 上的客户端可以访问 LAN 上的服务器:
1. 使用服务器的区域和 IP 地址定义主机地址对象。
1. 定义 NAT 策略,将来自 Dell SonicWALL 安全设备的公用 (WAN) IP 地址和 VoIP 服务(SIP 或 H.323 Gatekeeper)的流量映射至服务器。
1. 定义允许 VoIP 服务通过防火墙的访问规则。
1. 有关配置此部署的信息,请参见“使用公用服务器向导”章节。
VoIP > 呼叫状态页面提供当前活动 VoIP 呼叫的列表。VoIP 呼叫状态表显示有关活动 VoIP 连接的以下信息:
• 呼叫方 IP
• 呼叫方 ID
• 呼叫的 IP
• 呼叫方 ID
• 协议
• 带宽
• 开始时间
单击全部清除以删除所有 VoIP 呼叫条目。