3．设计指南

园区网交换机的主要功能是交换数据、管理和语音流量，以便为公司、语音和管理服务器和用户提供连接。这些功能通过VLAN执行，并依赖主要系统上的HIDS和病毒扫描功能。语音邮件/电子邮件服务器必须放置在数据网中。

在第2层交换机内，VLAN功能是打开的，作用是防止从数据网对语音网发起攻击。由于园区网模块中没有第3层服务，因此，这种设计应特别重视应用和主机的安全性，HIDS安装在园区网内的主要系统上，包括公司服务器、呼叫处理管理器和管理系统。

这种设计使用了第3层和第4层过滤的功能，目的是限制已知管理系统对语音服务器的管理。应用级安全性用于为管理流量的配置和监控提供保密性和用户认证。IP电话可定期从呼叫处理管理器上下载最新配置和OS版本。

如果需要进一步完善，还可以部署两个语音网段：一个用于IP电话，另一个用于呼叫处理管理器。与单网段相比，这种设计加强连接管理。

分支机构与独立式配置

在分支机构设计中，由于语音服务位于远端，因此，防火墙路由器的配置将更加复杂。在公司互联网模块中，分支设计需要多个软件，以便在总部发生故障时支持路由器上的呼叫处理。分支机构支持的电话设备数量不但受总部呼叫处理管理器和语音邮件系统的限制，还受公司互联网模块中语音型路由器的限制，可能还会受到总部呼叫处理管理器和语音邮件系统的性能影响。

中型IP电话设计

在中型IP电话安全设计中，公司互联网模块不需要进行修改。园区网模块则经过了修改，以便支持IP电话、基于PC的IP电话、语音服务器、代理服务器、为WAN备份和本地呼叫推行的PSTN以及用于数据/语音分离的VLAN。




中型边缘设计

公司互联网模块为互联网用户提供了与互联网服务的连接，帮助互联网访问公共服务器上的信息。WAN模块通过专用网提供与远程连接。公司互联网模块无需修改就能支持IP电话。

园区网模块

园区网模块包括最终用户工作站、公司服务器、管理服务器以及支持设备所需的第2层和第3层相关基础设施。其主要目的是交换和管理流量，并为公司和用户的管理服务器提供连接。为支持IP电话，Cisco在IP电话、语音服务器、代理服务器、其他语音VLAN和呼叫处理器的基础上添加了状态防火墙，以便提供保护。

1． 主要IP电话设备

同小型网络设计相比，它增加了：

● 第3层交换机——在园区网模块内路由和交换数据、语音并管理流量，为大厦交换机提供分布层服务，支持流量过滤等服务。

● NIDS设备——NIDS设备为模块中的主要网段提供第4层到第7层监控。

● 状态防火墙——状态防火墙为呼叫处理管理器提供网络级保护，包括状态流量过滤、DoS预防和欺诈预防。

2． 保护语音安全的措施

同小型网络设计相比，它减少了“信任关系利用”，而增加了：

● IP欺诈——RFC 2827和1918过滤器放置在ISP边缘和本地防火墙路由器上。

转载地址:http://www.voipchina.cn/technology/2004-03-24/36572.shtml