ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆdulieu.tailieuhoctap.vn/books/luan-van-de-tai/luan-van-de-tai-cd-dh/... · Có kèm theo phần thực nghiệm

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

Đỗ Văn Mạnh

BẢO MẬT TRONG VOIP

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Nghanh: Điên tƣ – Viên thông

HA NỘI - 2010

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

Đỗ Văn Mạnh

BẢO MẬT TRONG VOIP

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Nghanh: Điên tƣ – Viên thông

Cán bộ hƣớng dẫn: PGS.TS. Nguyên Kim Giao

HA NỘI - 2010

LỜI CẢM ƠN

Trƣớc hết em xin gửi tới PGS .TS. Nguyên Kim Giao lời cảm ơn chân thành và

long biết ơn sâu sắc! Thây đã trực tiếp hƣớng dẫn, chỉ bảo tận tình trong suốt quá trình

em làm khoa luận.

Em xin chân thanh cam ơn cac thây cô giáo trong phong thực tập hê thống viên

thông, các thây cô đa tao điêu kiên cho em mƣơn thiêt bi va chi bao tân tinh giup em

hoàn thành các bài lab trong khoa luận.

Em cũng xin chân thành cảm ơn các thây cô giáo trong Trƣờng Đại học Công Nghê

- Đại học Quốc Gia Hà Nội đã hết long dạy bảo, giúp đỡ em trong những năm học Đại

Học, giúp em co những kiến thức và kinh nghiêm quý báu trong chuyên môn và cuộc

sống. Những hành trang đo là một tài sản vô giá, giúp cho em tới đƣợc những thành công

trong tƣơng lai.

Cuối cùng, em xin cảm ơn những ngƣời thân trong gia đình và bạn bè đã giúp đỡ,

động viên em hoàn thành khoa luận.

Hà Nội, tháng 05 năm 2010

Sinh viên

Đỗ Văn Mạnh

TOM TẮT NÔI DUNG KHOA LUÂN

Khóa luân tập trung tim hiêu cơ ban vê bảo mật trong VoIP vơi nhƣng đăc điêm ,

giao thƣc va nhƣng yêu câu. Co kèm theo phân thực nghiêm và demo cuộc tấn công

trong VoIP.

Trên cơ sơ cai nhin tông quan về VoIP , khoa luận nghiên cứu cu thê cac ky thuât

đƣợc ứng dụng trong mạng VoIP nhƣ : Mô hình phân lớp mạng VoIP tham chiếu mô

hình OSI, chông giao thƣc sƣ dung cho VoIP , đăc biêt quan tâm đên hai giao thƣc bao

hiêu H.323 và SIP đƣợc sử dụng trong mạng VoIP. Một vấn đề quan trọng của khoa luận

nghiên cứu về bảo mật trong VoIP để thấy đƣợc các lỗ hổng, các nguy cơ tấn công và từ

đo co những kỹ thuật giải pháp hỗ trợ bảo mật cho VoIP.

Trong phân thực nghiêm, khoa luận trình bày cách cấu hình các thiết bị Cisco trong

một mạng VoIP cơ sở, khoa luận cũng đƣa ra một mô hình mạng VoIP dựa trên một

mạng LAN đƣợc ứng dụng từ phân mềm do 3CX cung cấp. Ngoài ra khoa luận con

demo một cuộc tấn công trong VoIP.

MỤC LỤC

Chƣơng 1. TỔNG QUAN VỀ MẠNG VOIP .............................................................. 1

1.1. Mạng điên thoại truyền thống và kỹ thuật chuyển mạch kênh [2], [4] .............. 1

1.1.1. Sơ lƣợc về phát triển mạng điên thoại truyền thống .................................. 1

1.1.2. Kỹ thuật chuyển mạch kênh ...................................................................... 2

1.2. Tổng quan vê VOIP [2], [3], [4] ....................................................................... 3

1.2.1. Kỹ thuật chuyển mạch goi ........................................................................ 3

1.2.2. Những ƣu điểm và nhƣợc điểm của VOIP................................................. 4

1.2.3. Các ứng dụng của VoIP ............................................................................. 6

1.2.4. Các yêu câu phát triển VoIP ...................................................................... 7

1.2.5. Mô hình mạng VoIP điển hình và các thành phân ...................................... 7

1.2.6. Các cấu hình mạng VoIP ........................................................................... 9

Chƣơng 2. MÔ HÌNH KIẾN TRÚC PHÂN TẤNG VÀ CÁC GIAO THỨC TRONG

MẠNG VOIP [2], [4], [1], [10] .................................................................................. 13

2.1. Lớp vật lý và lớp liên kết dữ liêu (Link & Physical Layer) [4] ....................... 13

2.2. Lớp mạng ...................................................................................................... 14

2.2.1. Giao thức IP ........................................................................................... 15

2.2.2. Giao thức ICMP ..................................................................................... 19

2.3. Tâng giao vận ................................................................................................ 19

2.3.1. Giao thức UDP ....................................................................................... 20

2.3.2. Giao thức TCP ........................................................................................ 20

2.3.3. Giao thức SCTP [10] .............................................................................. 23

2.4. Lớp ứng dụng ................................................................................................ 25

2.4.1. Giao thức RTP [10] ................................................................................. 26

2.4.2. Giao thức RTCP [10] .............................................................................. 29

Chƣơng 3. MẠNG VOIP VƠI CÁC GIAO THỨC BÁO HIÊU H .323/SIP .............. 32

3.1. Mạng VoIP với chuẩn H.323 [3], [4], [5] ........................................................ 32

3.1.1. Thành phân mạng VoIP với chuẩn H.323 ................................................ 32

3.1.2. Chồng giao thức H.323 ........................................................................... 36

3.1.3. Các thủ tục báo hiêu và xử lý cuộc gọi VoIP-H.323 ................................ 45

3.1.4. Nhận xét về mạng VoIP-H.323................................................................ 51

3.2. Mạng VoIP với giao thức báo hiêu SIP [1], [4], [7] ........................................ 51

3.2.1. Các thành phân co trong mạng VoIP - SIP ............................................... 51

3.2.2. Địa chỉ SIP ............................................................................................. 53

3.2.3. Các dịch vụ cung cấp bởi SIP ................................................................. 54

3.2.4. Bản tin trong SIP .................................................................................... 54

3.2.5. Cuộc gọi SIP........................................................................................... 59

3.3. Cuộc gọi liên mạng [1] .................................................................................. 62

3.3.1. Cuộc gọi liên mạng SIP – H.323 ............................................................. 62

3.3.2. Cuộc gọi liên mạng VoIP - PSTN ............................................................ 65

Chƣơng 4. LỖ HỔNG VÀ HỖ TRỢ BẢO MẬT TRONG VOIP .............................. 71

4.1. Lỗ hổng trong VoIP ........................................................................................ 71

4.1.1. Lỗ hổng đối với hê thống H.323 ............................................................. 71

4.1.2. Lỗ hổng đối với hê thống SIP ................................................................. 73

4.1.3. Lỗ hổng do mạng và mô trƣờng .............................................................. 75

4.1.4. Tấn công từ chối dịch vụ (DoS) hoặc phá vỡ dịch vụ VoIP ..................... 79

4.2. Hỗ trợ bảo mật trong H.323 và SIP ................................................................ 82

4.2.1. Hỗ trợ bảo mật cho H.323 ....................................................................... 82

4.3. Một số kỹ thuật hỗ trợ bảo mật cho VoIP ....................................................... 91

4.3.1. VLAN..................................................................................................... 94

4.3.2. VPN........................................................................................................ 95

4.3.3. Firewall .................................................................................................. 98

4.3.4. NAT (Network Address Translation) ....................................................... 99

4.3.5. Một số chú ý khi sử dụng NAT và firewall trong hê thống VoIP ............ 100

4.3.6. Một số giải pháp cho vấn đề firewall .................................................... 101

4.3.7. Giải pháp cho NAT ............................................................................... 104

4.3.8. NIDS (Network Intrusion Detection System) ........................................ 106

4.3.8. HIDS (Host-based Intrusion Detection System) .................................... 107

Chƣơng 5. CẤU HÌNH VOIP CƠ BẢN TRÊN THIẾT BỊ CISCO , TRIÊN KHAI MÔ

HÌNH VOIP TRONG MẠNG LAN VÀ DEMO TẤN CÔNG TRONG VOIP ......... 109

5.1. Cấu hình VoIP mô hình phong thƣc hanh ..................................................... 109

5.1.1. Câu hinh giao thƣc măc đinh cua Gateway ........................................... 109

5.1.2. Câu hinh vơi giao thƣc SIP ................................................................... 114

5.2. Câu hinh VoIP vơi giao thƣc H.323 co Gatekeeper ...................................... 117

5.2.1. Các câu lênh dùng trong cấu hinh mô hinh nay ..................................... 117

5.2.2. Thƣc hiên va kêt qua ............................................................................. 119

5.3. Thiêt lâp mang VoIP trong môt mang LAN ................................................. 122

5.3.1. Giơi thiêu va yêu câu cua hê thông ....................................................... 122

5.3.2. Cài đặt và đăng ký ................................................................................ 123

5.4. Demo một trong những hình thức tấn công mạng VoIP phổ biến .................. 131

KẾT LUẬN ............................................................................................................. 133

BẢNG CAC TỪ VIÊT TẮT

Kí hiêu viết

tắt

Viết đây đủ Ý nghĩa

ACELP Algebraic Code Excited

Linear Prediction

Bô ma hoa dƣ đoan tuyên tinh kich

đông băng ma

ACK Acknowledgment Bản tin báo nhận

ADPCM Adaptive Differential

Pulse Code Modulation

Điêu chê xung ma vi sai thich nghi

ATM Asynchronous Transfer

Mode

Chế độ truyền không đồng bộ

BES Back-End Server

CAC Call Admission Control Điêu khiên thu nap cuôc goi

CAS Channel Associated

Signaling

Báo hiêu kênh liên kết

CCS Common Channel

Signaling

Báo hiêu kênh chung

CDR Call Detail Record

CQ Custom queuing Hàng đợi tùy chỉnh

DTMF Dual-Tone

MultiFrequency

Báo hiêu đa tân Dual -Tone

GK Gatekeeper Thành phân điều khiển trong mạng

H.323

GW Gateway Thiêt bi chuyên kêt nôi hai mang khac

nhau

ICMP Internet Control Message Giao thƣc ban tin điêu khiên internet hô

Protocol trơ cho giao thƣc IP

IETF Internet Engineering Task

Force

Môt tô chƣc Viên thông quôc tê . Lƣc

lƣơng chuyên phu trach ky thuât kêt nôi

mạng.

IP Internet Protocol Giao thức Internet

IPv4 IP version 4 Giao thức Internet phiên bản 4

IPv6 IP version 6 Giao thức Internet phiên bản 6

ISDN Integrated Services Digital

Network

Mạng tích hợp dịch vụ số

ISUP ISDN User Part Phân ngƣời dùng ISDN

ITU-T International

Telecommunication

Union-

Telecommunication

Standardization Sector

Hiêp hội viên thông quốc tế

- Tổ chức chuẩn chuẩn hoa các kỹ thuật

Viên thông.

IUA ISDN User Adapter Bộ chuyển đổi ngƣời dùng ISDN

LAN Local Area Network Mạng cục bộ

M2PA MTP L2 Peer-to-Peer

Adapter

Bộ chuyển đổi bản tin lớp 2 ngang hàng

M2UA MTP2 User Adapter Bộ chuyển đổi ngƣời dùng MTP2

M3UA MTP3 User Adapter Bộ chuyển đổi ngƣời dùng MTP3

MC Multipoint Controller Bô phân điêu khiên đa điêm

MCU Multipoint Control Unit Đơn vi điêu khiên đa điêm

MG Media Gateway Thiết bị chuyển đổi thông tin đa phƣơng

tiên giữa các mạng khác nhau

MGC Media Gateway Controller Điêu khiên Media gateway

MGCP Media Gateway Control

Protocol

Giao thƣc điêu khiên Media gateway

MP Multipoint Processor Bô xƣ ly đa điêm

OSI Open System Interference Mô hinh tham chiêu mang

PABX Private Automatic Branch

Exchange

Tông đai ca nhân tƣ đông

PBX Private Branch Exchange Tông đai ca nhân

PCM Pulse Code Modulation Kỹ thuật điêu chê xung ma

POTS Plain old telephone

service

Dịch vụ điên thoại phát triển đâu tiên và

là hê thông điên thoại analog

PQ Priority queuing Hàng đợi ƣu tiên

PSTN Public Switch Telephone

Network

Mạng điên thoại công cộng

QoS Quality of Service Chất lƣợng dịch vụ

RAS Register Admission Status Kênh báo hiêu giữa gatekeeper và đâu

cuối H.323

RSVP Resource Reservation

Protocol

Giao thƣc đinh trƣơc nguôn tai nguyên

RTCP Real Time Control

Protocol

Giap thức điều khiển thời gian thực

RTP Real Time Protocol Giap thức thời gian thực

SAP Session Announcement

Protocol

Giao thức thông báo phiên

http://en.wikipedia.org/wiki/Plain_old_telephone_service

http://en.wikipedia.org/wiki/Plain_old_telephone_service

SCN Switched Circuit Network Mạng chuyển mạch kênh

SCP Signal Control Point Điểm điều khiển báo hiêu

SCTP Stream Control

Transmission Protocol

Giao thức truyền điều khiển luồng

SDP Session Description

Protocol

Giao thƣc mô tƣ phiên

SDP Session Description

Protocol

Giao thức mô tả phiên

SGCP Simple Gateway control

protocol

Giao thƣc điêu khiên gateway đơn gian

SIP Session Initiation Protocol Giao thức thiết lập phiên

SNMP Simple Network

Management Protocol

Giao thức quản trị mạng đơn giản

SS7 SignalingSystem No.7 Hê thống báo hiêu số 7

TCP Transmission Control

Protocol

Giao thức điều khiển truyền thông tin

ToS Type of Service Kiểu dịch vụ

UA User Agent Tác nhận ngƣời dùng

UDP User Datagram Protocol Giao thức Datagram ngƣời dùng

VoIP Voice over IP Công nghê truyền thoại trên mạng IP

WAN Wide Area Network Mạng diên rộng

WFQ Weighted fair queuing Hàng đợi cân băng trọng số

Bảo mật trong VoIP

1

Chƣơng 1. TỔNG QUAN VỀ MẠNG VOIP

1.1. Mạng điện thoại truyền thống va kỹ thuật chuyển mạch kênh [2], [4]

1.1.1. Sơ lƣợc về phát triển mạng điện thoại truyền thống

Điên thoại đã đƣợc sử dụng hàng trăm năm nay. Trong giai đoạn này có nhiều sự

thay đổi đáng kể về công nghê, thiết bị cho mạng điên thoại. Ngày nay VoIP là công

nghê đang phát triển mạch mẽ. Tuy nhiên, điều quan trọng là xem xét từ các công nghê

trong quá khứ để có cái nhìn chung nhất về lộ trình phát triển của hê thống điên thoại.

Một hê thống điên thoại gồm co bốn thành thành phân cơ bản:

Một điên thoại co chức năng chuyển đổi từ tiếng noi sang tín hiêu điên và

ngƣợc lại.

Một hay nhiều trung tâm chuyển mạch và quản lý mạng điên thoại.

Hê thống truyền dẫn kết nối từ thuê bao đến các tổng đài.

Hê thống truyền dẫn kết nối giữa các tổng đai với nhau.

Một thuê bao kết nối đến mạng điên thoại theo ba cách:

Sử dụng đƣờng dây nối trực tiếp từ máy điên thoại vào mạng điên thoại.

Kết nối với mạng điên thoại thông qua truy cập song vô tuyến.

Kết nối theo phƣơng thức VoIP.

Dịch vụ điên thoại Public Switched Telephone Network (PSTN) là loại hình dịch

vụ điên thoại đã phát triển hàng trăm năm nay. PSTN cung cấp cả hai dịch vụ thoại, dịch

vụ thoại tƣơng tự POTS và dịch vụ tích hợp số ISDN.

POTS là dịch vụ điên thoại phổ biến đâu tiên trên toàn thế giới. POTS cung cấp

một kết nối song công (full-duplex) tới thuê bao trên đƣơng thuê bao analog.

Ngoài viêc cung cấp dịch vụ đảm bảo cho cuộc gọi POTS con cung cấp nhiều

dịch vụ mở rộng khác nhƣ là: Dịch vụ tƣ vấn hỗ trợ từ xa, dịch vụ chuyển

hƣớng cuộc goi, dịch vụ hội nghị và nhiều dịch vụ khác.

ISDN là hƣớng phát triển ứng dụng kỹ thuật số của PSTN. Với sự phát triển của

kỹ thuật số, tiếng noi đã đƣợc số hoa với tốc độ 64kbps. Mạng ISDN cung cấp

cả dịch vụ truyền dữ liêu và dịch vụ thoại. ISDN định nghĩa 2 phƣơng thức truy

cập:

▪ Giao diên truy cập tốc độ cơ bản (BRI) cung cấp 2 kênh B tốc độ 64kbps và

1 kênhh D tốc độ 16kbps. Kênh B là kênh dùng để truyền tín hiêu thoại

PCM 64kbps. Kênh D dùng để truyền các bản tin báo hiêu và co thể dùng

truyền dữ liêu với tốc độ cho phép đến 9,6kbps.


2

▪ Giao diên truy cập tốc độ sơ cấp (PRI). Ở Bắc Mỹ PRI cung cấp 23 kênh B

tốc độ 64Kbps và một kênh D tốc độ 64kbps truyền trên đƣờng T1. Theo

chuẩn Châu Âu PRI cung cấp 30 kênh B tốc độ 64kbps và 1 kênh D tốc độ

64kbps. Tại giao diên truy cập này kênh D đƣợc sử dụng để truyền tải các

bản tin báo hiêu cho các kênh thoại mà no không đƣợc hỗ trợ để truyền dữ

liêu. Sử dụng giao diên PRI đặc trƣng cho kết nối đến các tổng đài cá nhân

(PBXs), các router, các gateway sử dụng trong mạng LAN hay truy cập

dial-up modem.

1.1.2. Kỹ thuật chuyển mạch kênh

Hình 1. Mô hình mạng PSTN

Mạng PSTN sử dụng kỹ thuật chuyển mạch kênh để chuyển mạch cuộc gọi. Hay

còn gọi là mạng chuyển mạch kênh. Từ khi kỹ thuật số phát triển, tất cả các tổng đài điên

thoại đều là tổng đài số. Tín hiêu thoại đƣợc số hóa với tốc độ 64kbps. Với kỹ thuật

chuyển mạch kênh thông tin cuộc gọi là trong suốt. Một kênh thoại 64kbps đƣợc dành

riêng cho cuộc gọi trong suốt quá trình diên ra cuộc gọi, nó chỉ bị ngắt khi một trong hai

thuê bao dập máy.

Kỹ thuật chuyển mạch kênh co những ƣu điểm, nhƣợc điểm và những vấn đề tồn

tại.

Ƣu điểm

Chuyển mạch kênh sử dụng kênh dành riêng nên co độ trê cố định, thấp đảm

bảo tính thời gian thực của cuộc đàm thoại.

Thông tin cuộc gọi đƣợc đảm bảo truyền liên tục không bị ngắt quãng.

Thiết bị của kỹ thuật chuyển mạch kênh đơn giản, co tính ổn định cao, chống

nhiêu tốt.


3

Nhƣợc điểm

Kênh vẫn đƣợc duy trì cho cuộc gọi mặc dù cuộc gọi tạm ngƣng.

Hiêu suất truyền dẫn thấp đối với lƣu lƣợng theo từng nhóm, điều này chứng

minh kỹ thuật chuyển mạch kênh sử dụng băng thông không kiêu quả.

Co tốc độ không đổi do đo không hỗ trợ tốc độ dữ liêu thay đổi.

Các vấn đề tồn tại của chuyển mạch kênh

Nhiều phiên dữ liêu co hiêu quả thấp.

Tốc độ cấp phát phiên phải đủ lớn tƣơng ứng với thời gian trê cân thiết. Khả

năng cấp phát này ngƣng lại khi kênh không co gì để gửi.

Chuyển mạch kênh đoi hỏi phải thiêt lâp cuộc gọi nhiều khi không cân thiết.

Nếu các bản tin ngắn hơn thời gian thiêt lâp cuộc gọi thì chuyển mạch kênh là

không hiêu quả.

1.2. Tổng quan vê VOIP [2], [3], [4]

Với sự phát triển lớn mạch của internet và xu hƣớng hội tụ công nghê của mạng

NGN. Các cuộc đàm thoại đã đƣợc truyền trên đƣờng truyền chung với các cuộc gọi dữ

liêu dựa trên cơ sở hạ tâng của mạng IP.

Hình 2. Mô hình mạng điện thoại hội tụ IP

1.2.1. Kỹ thuật chuyển mạch gói

Trong kỹ thuật chuyển mạch goi các bản tin đƣợc chia thành nhiều goi và đƣợc

đong goi theo các chuẩn quy định, trong mỗi goi co đây đủ các thông tin giúp cho viêc

định tuyến đƣờng đi của goi tin đến đích. Trong chuyển mạch goi các bản tin tƣơng tác

với các nút mạng. Các goi tin độc lập với nhau về đƣờng đi, các goi tin đến đích không

theo một thứ tự quy đi nh. Kỹ thuật chuyển mạch goi cũng nhƣ kỹ thuật chuyển mạch


4

kênh, no cũng co những ƣu điêm và những nhƣơc điểm.

Ƣu điêm

Tính mềm dẻo trong định tuyến, trong viêc thay đổi băng thông. Chuyển mạch

goi không cố định các kênh truyền thông hay các tuyến vì vậy hiêu suất sử dụng

đƣờng truyền rất cao, tận dụng tối đa hiêu năng đƣờng truyền.

Với một chồng các giao thức đi kèm, chuyển mạch goi co chế độ ƣu tiên cho

các ứng dụng khác nhau theo các mức khác nhau. Điêu nay cung la cơ sơ đê

phát triển mạng VoIP.

Khả năng cung cấp nhiều dịch vụ thoại và phi thoại.

Nhƣợc điểm

Độ trê thay đổi tùy thuộc vào từng tuyến và từng thời gian truyền thông tin.

Chuyển mạch goi thực hiên dựa trên cơ chế cố gắng tối đa vì vậy kho thỏa mãn

đƣợc chất lƣợng dịch vụ.

Các goi tin đến không theo thứ tự rất dê gây ra mất mát dữ liêu, tăng thời gian

xử lý dẫn đến trê truyền dẫn tăng lên.

1.2.2. Những ƣu điểm và nhƣợc điểm của VOIP

1.2.2.1. Ƣu điêm của VOIP

Hiên nay hâu hết các nhà cung cấp dịch vụ internet cũng nhƣ các công ty viên

thông đang đƣa vào khai thác sử dụng một hê thống mạng hội tụ IP. VOIP là một trong

những dịch vụ đo và no đem lại nhiều thuận lợi.

Hiêu quả sử dụng băng thông cao hơn: VoIP chia sẻ băng thông giữa nhiều

kênh logic. Co thể thay đổi băng thông dê dang tùy vào chất lƣợng dịch vụ cung

cấp, để thay đổi chất lƣợng cuộc gọi.

Giảm chi phí cho cuộc gọi: Đây là ƣu điểm nổi bật của VoIP so với điên thoại

đƣờng dài thông thƣờng. Chi phí cho cuộc gọi đƣờng dài chỉ băng chi phí cho

viêc truy cập Internet. Một giá cƣớc chung sẽ thực hiên đƣợc với mạng Internet

và do đo tiết kiêm đáng kể các dịch vụ thoại và fax. VoIP sử dụng cơ sở hạ tâng

mạng internet, nên hiêu quả sƣ dụng các thiết bị chia sẻ tăng nên. Đồng thời kỹ

thuật nén thoại sử dụng các chuẩn nén mới, làm giảm tốc độ xuống thấp hơn

nhiều so với tốc độ 64kbps của PSTN. Cơ chế phát hiên khoảng lặng làm giảm

băng thông sử dung.

Khả năng tích hợp nhiêu chức năng: Do viêc thiết kế cơ sở hạ tâng tích hợp nên

co khả năng hỗ trợ tất cả các hình thức thông tin cho phép chuẩn hoa tốt hơn và


5

giảm tổng số thiết bị. Các tín hiêu báo hiêu, thoại và cả số liêu đều đƣợc truyên

trên cùng mạng IP. Tích hợp đa dịch vụ sẽ tiết kiêm chi phí đâu tƣ nhân lực, chi

phí xây dựng cơ sơ ha tâng các mạng riêng lẻ.

Hỗ trợ truy cập vào các thiết bị thông tin hiên đại.

Thống nhất: Vì con ngƣời là nhân tố quan trọng nhƣng cũng dê sai lâm nhất

trong một mạng viên thông, mọi cơ hội để hợp nhất các thao tác, loại bỏ các

điểm sai sot và thống nhất các điểm thanh toán sẽ rất co ích. Trong các tổ chức

kinh doanh, sự quản lý trên cơ sở SNMP (Simple Network Management

Protocol) có thể đƣợc cung cấp cho cả dịch vụ thoại và dữ liêu sử dụng VoIP.

Viêc sử dụng thống nhất giao thức IP cho tất cả các ứng dụng hứa hẹn giảm bớt

phức tạp và tăng cƣờng tính mềm dẻo. Các ứng dụng liên quan nhƣ dịch vụ

danh bạ và dịch vụ an ninh mạng có thể đƣợc chia sẻ dê dàng hơn.

Tính mềm dẻo trong viêc sử dụng các thiết bị đâu cuối. Co rất nhiều cách lựa

chọn các thiết bị đâu cuối cho VoIP. Chỉ cân một phân mềm trên máy PC cũng

co thể thực hiên cuôc goi VoIP. Co thể dùng IP phone, hay các thiết bị đâu cuôi

hô trơ VoIP khác.

1.2.2.2. Nhƣơc điểm của VoIP

Bên cạnh những ƣu điểm vƣợt trội thì VoIP vẫn con tồn tại nhiều nhƣợc điểm cân

nghiên cứu và khắc phục.

Chất lƣợng dịch vụ chƣa cao: Các mạng số liêu vốn dĩ không phải xây dựng với

mục đích truyền thoại thời gian thực, vì vậy khi truyền thoại qua mạng số liêu

cho chất lƣợng cuộc gọi thấp. Sở dĩ nhƣ vậy là vì goi tin truyền trong mạng co trê

thay đổi trong phạm vi lớn, khả năng mất mát thông tin trong mạng hoàn toàn co

thể xảy ra. Một yếu tố làm giảm chất lƣợng thoại nữa là kỹ thuật nén để tiết kiêm

đƣờng truyền. Nếu nén xuống dung lƣợng càng thấp thì kỹ thuật nén càng phức

tạp, cho chất lƣợng không cao và đặc biêt là thời gian xử lý sẽ lâu, gây trê.

Một nhƣợc điểm khác của VoIP là vấn đề tiếng vọng. Nếu nhƣ trong mạng thoại,

độ trê thấp nên tiếng vọng không ảnh hƣởng nhiều, thì trong mạng IP do trê lớn

nên tiếng vọng ảnh hƣởng nhiều đến chất lƣợng thoại. Vì vậy, tiếng vọng là một

vấn đề cân phải giải quyết trong VoIP.

Vấn đề bảo mật trong VoIP: Voice là một loại dữ liêu quan trọng mà lại truyền

trên mạng IP co tính chất rộng khắp. Chịu sự tấn công của những kẻ phá hoại là

không thể tránh khỏi. Mạng VoIP con rất nhiều kẽ hở mà các nhà cung cấp dịch

vụ mạng cân khắc phục. Vấn đề này sẽ đƣợc tìm hiểu rõ hơn trong chƣơng 4.


6

1.2.3. Các ứng dụng của VoIP

Sự phát triển mạng VoIP không thể độc lập tách rời hoàn toàn với mạng PSTN, no

đƣợc xây dựng để hoạt động song song cùng tôn tai vơi mạng PSTN vì phân lớn khách

hàng trên thế giới sử dụng dịch vụ PSTN và hê thống cơ sở hạ tâng PSTN không thể dê

dàng bị phá vỡ. Mục đích của các nhà cung cấp dịch vụ VoIP mong muốn tạo ra một

mạng điên thoại với chi phí thấp hơn, vận hành tốt hơn nhƣng vẫn đảm bảo chất lƣợng

gân nhƣ PSTN. Và đƣa ra các giải pháp kỹ thuật để kết nối với mạng PSTN. Mạng điên

thoại này co thể dùng cho mọi nhu câu đàm thoại. Chất lƣợng âm thanh cũng co thể biến

đổi tùy theo ứng dụng. Ngoài ra với khả năng của internet, VoIP sẽ cung cấp thêm nhiều

tính năng tiên ích mới.

Một số các ứng dụng của VoIP sẽ đƣợc đề cập cụ thể dƣới đây.

Thoại thông minh: Điên thoại thông thƣơ ng chỉ co một số chức năng cơ bản

phục vụ cho cuộc đàm thoại. Trong những năm gân đây, ngƣời ta đã cố gắng

phát triển điên thoại thông minh, đâu tiên là các điên thoại để bàn sau đo là đến

các server. Giữa mạng máy tính và mạng điên thoại vốn tồn tại một mối liên hê.

Sự phát triển rộng khắp của internet đã tạo ra một bƣớc đột phá mơ i. Internet

gop phân tăng tính thông minh cho mạng điên thoại toàn câu. Internet cung cấp

giám sát và điều khiển các cuộc thoại một cách tiên lợi hơn. Với những bộ vi xử

lý siêu tốc, những CPU thông minh khả năng giám sát các cuộc gọi thông qua

mạng Internet tốt hơn rất nhiều.

Dịch vụ thoại Web: Sự ra đời của WWW (World Wide Web) đã tạo ra một cuộc

cách mạng trong các quan hê giao dịch thƣơng mại, giữa khách hàng với doanh

nghiêp và ngƣợc lại. Dịch vụ điên thoại Web hay bấm số (click to dial) cho

phép các nhà doanh nghiêp co thể đƣa thêm các phím bấm lên trang Web để kết

nối tới hê thống điên thoại của họ, tức là đƣa thêm các kênh trực tiếp từ các

trang web vào hê thống điên thoại. Các trang web đang là điểm dừng lý tƣởng

của hâu hết ngƣơi sƣ dung internet trên thế giới, các trang web là một thế giới

ảo cung cấp đây đủ những thông tin cân thiết cho mọi ngƣời.

Truy cập các trung tâm tư vấn: Dịch vụ này cho phép một khách hàng có câu

hỏi về một sản phẩm đƣợc chào hàng qua internet đƣợc các nhân viên của công

ty trả lời trực tuyến, viêc này gop phân thúc đẩy mạnh mẽ thƣơng mại điên tử.

Dịch vụ fax qua IP: Internet không chỉ đƣợc mở rộng cho thoại mà con cho

dịch vụ fax. Dịch vụ internet faxing sẽ tiết kiêm đƣợc chi phí và cả kênh thoại

khi gửi fax với số lƣợng lớn, đặc biêt là gửi ra nƣớc ngoài. Dich vụ này sẽ


7

chuyển trực tiếp từ PC qua kêt nối internet. Một trong những dịch vụ fax nổi

tiếng là comfax.

Dịch vụ tính cước cho phía bị gọi: Để thực hiên đƣợc dịch vụ này cân co một

PC kết nối internet và chƣơng trình phân mềm điều khiển nhƣ Quicknet`s

Technology –Internet Phone JACK chạy trên môi trƣờng Windows.

1.2.4. Các yêu cầu phát triển VoIP

Để tồn tại và pháp triển bền vững các nhà khai thác dịch vụ VoIP cân quan tâm đến

một số vấn đề về chất lƣợng, tính bảo mật… Cụ thể nhƣ sau:

Chất lƣợng thoại phải tƣơng đƣơng hoặc hơn mạng PSTN và các mạng điên

thoại khác.

Mạng IP cơ bản phải đáp ứng đƣợc các tiêu chí hoạt động khắt khe gồm: giảm

tối thiểu viêc từ chối cuộc gọi, mất mát goi và mất liên lạc, ngắt quãng trong

đàm thoại. Điều này đoi hỏi ngay cả khi mạng bị nghẽn hoặc khi co nhiều

ngƣời dùng cùng sử dụng chung nguồn tài nguyên của mạng tại một thời điểm.

Tín hiêu báo hiêu phải co khả năng tƣơng tác với các mạng khác để không gây

ra sự thay đổi khi chuyển giao giữa các mạng.

Liên kết các dịch vụ PSTN/VoIP bao gồm các gateway giữa các môi trƣờng

mạng thoại và mạng dữ liêu.

Quản lý hê thống an toàn, địa chỉ hoa và thanh toán phải đƣợc cung cấp, tốt

nhất là hợp nhất đƣợc với hê thống hỗ trợ hoạt động PSTN.

Từ khi ra đời VoIP đã đƣợc triển khai trên thực tế kiểm nghiêm và đã co nhƣng cải

tiến về công nghê, về các chuẩn giao thức phong phú, các nhà khai thác VoIP đang dân

khẳng định chất lƣợng dịch vụ của mình.

1.2.5. Mô hình mạng VoIP điển hình va các thanh phần

Từ khi ra đời đến nay, dịch vụ VoIP đã đƣợc nhiều tổ chức viên thông trên thế giới

quan tâm và phát triển các giao thức đi kèm. Co nhiều chuẩn mỗi chuẩn phù hợp cho một

loại giao thức đƣợc định nghĩa. Mỗi một chuẩn lại co mô hình mạng riêng và các thiết bị

phù hợp cho chuẩn đo. Nghiên cứu sâu vào từng chuẩn sẽ dành cho phân sau của khoa

luận. Trong phân này chỉ đƣa ra mô hình tổng quát nhất với mục đích giới thiêu sơ qua

về mô hình mạng VoIP. Các giao thức báo hiêu cơ bản trong VoIP.

H.323 giao thức báo hiêu đƣợc định nghĩa bởi ITU_T. H.323 định nghĩa một

kiến trúc phân phối cho viêc thiết lập các ứng dụng đa phƣơng tiên bao gồm cả

VoIP.


8

SIP đƣợc định nghĩa trong IETF RFC 2543. SIP định nghĩa kiến trúc phân phối

cho viêc thiết lập các ứng dụng đa phƣơng tiên bao gồm VoIP.

MGCP đƣợc định nghĩa trong IETF RFC 2705. MGCP định nghĩa một kiến

trúc tập trung hoa cho viêc thiết lập các ứng dụng đa phƣơng tiên bao gồm

VoIP.

Megaco/H248 là giao thức điều khiển gateway.

Mô hình mạng VoIP tổng quát.

Hình 3. Mô hình mạng VoIP tổng quát

Hình trên cho ta mô hình tông quat với những yếu tố phổ biến nhất trong mạng

VoIP, cụ thể về các thiết bị nhƣ sau:

Telephone: Telephone co thể là các điên thoại IP (IP phone), các phân mềm hỗ

trợ hoạt động nhƣ một điên thoại đƣợc cài trên PC, hoặc là những điên thoại

truyền thống (tƣơng tự hay ISDN).

Gateway: Gateway liên kết mạng VoIP với mạng điên thoại truyền thống.

Thƣờng sử dụng các router hỗ trợ voice. Gateway cung cấp một số chức năng

sau:

Trên một giao diên gateway đƣợc cắm đƣờng dây điên thoại. Gateway kết

nối tới PSTN và thông tin với bất kỳ điên thoại nào trên thế giới.

Trên một giao diên khác, gateway kết nối tới mạng IP và thông tin với bất kỳ

máy tính nào trên thế giới.


9

Gateway thu tín hiêu điên thoại chuẩn, số hoa (nếu tín hiêu chƣa đƣợc số

hóa), nén, đong goi sử dụng IP, và định tuyến goi tin đến đích thông qua

mạng IP.

Gateway sắp xếp lại các goi tin đến và chuyển tiếp cho các điên thoại.

Multipoint control units (MCU): Một MCU đƣợc yêu câu cho các cuộc hội

nghị nhiêu bên. Tất cả các thanh phân của hội nghị đƣợc gửi tới MCU. MCU

xử lý, quản lý tất cả các thành phân của cuộc hội nghị này.

Application server: Application cung cấp dịch vụ XML cơ bản tới IP phone.

Những ngƣời sử dụng IP phone truy cập tới các thƣ mục và cơ sở dữ liêu thông

qua XML application.

Gatekeepers: Gatekeepers là rất hữu ích, nhƣng no là thành phân tùy chọn

trong mạng, co thể co, hoặc co thê không. Gatekeeper cung cấp chức năng đăng

ký, định tuyến và quản lý tất cả đâu cuối (terminals, gateways, và MCUs) trong

một miên mạng nhất định. Gatekeper cung cấp Call Admission Control (CAC).

CAC chuyển đổi số điên thoại hay tên tới địa chỉ IP để giúp định tuyến trong

mạng H.323.

Call agents: Call agents cung câp chƣc năng điều khiển cuộc gọi CAC, điều

khiển băng thông, dịch vụ chuyển đổi địa chỉ tới địa chỉ IP hay giao thức điều

khiển gateway đa phƣơng tiên.

Video endpoint: Video endpoint cung cấp các tính năng video cho ngƣời sử

dụng. Cũng nhƣ thoại cuộc điên thoại video cũng cân co một trung tâm giám

sát các cuộc gọi hội nghị video.

1.2.6. Các cấu hình mạng VoIP

Mạng VoIP cung cấp một số cấu hình cơ bản cho cuộc gọi nhƣ sau:

Cuộc gọi giữa các PCs hoặc giữa các IP phone. Trong cấu hình này cuộc gọi

hoàn toàn truyền trong mạng IP mà không kết nối với mạng ngoài.

`

Terminal

IP

PC

GateKeeper

`

Terminal

PC

Hình 4. Mô hình cuộc gọi giữa các PCs hoặc giữa các IP phone


10

Cuộc gọi giữa một đâu cuối VoIP trong mạng IP sang một đâu cuối trong mạng

PSTN. Cuộc gọi tiến hành từ một máy tính đa phƣơng tiên tới một thuê bao cố

định PSTN. Tín hiêu thoại đã đƣợc đong goi trong goi IP đƣợc truyền đến

gateway. Tại gateway các goi tin IP đƣợc chuyển đổi thành tín hiêu PCM

64kbps thông thƣờng và truyền tới tổng đài nội hạt của thuê bao bị gọi và từ đo

chuyển tới máy điên thoại bị gọi.

`

IP

PSTN/ISDN

PC

GateKeeper

GateWay

Analog Phone

Terminal

Hình 5. Mô hình cuộc gọi giữa đầu cuối VoIP sang đầu cuối trong mạng PSTN

Cuộc gọi giữa các thuê bao trong mạng PSTN truyền tải thông qua mạng IP.

Tín hiêu PCM 64kbps đƣợc chuyển đổi thành các goi tin IP và ngƣợc lại tại các

gateway. Dịch vụ này hiên nay rất phổ biến tại Viêt Nam do co nhiều nhà cung

cấp. Nhƣ VNPT với 171, Viettel với 178, EVN telecom với 179 …

IP

PSTN/ISDN

GateWay

GateWay

PSTN/ISDN

Gatekeeper GatekeeperAnalog Phone

Analog Phone

Hình 6. Mô hình cuộc gọi giữa các thuê bao trong mạng PSTN thông qua mạng IP

Co hai phƣơng thức điều khiển cuộc gọi: Điều khiển phân tán và điều khiển tâ p

trung. Trong quá khứ tất cả các cuộc gọi đều sử dụng kiến trúc điều khiển tập trung.

Trong đo các điểm đâu cuối đƣợc kiểm soát bởi một tổng đài trung tâm. Mặc dù mô hình

này làm viêc rất tốt cho các cuộc gọi cơ bản, nhƣng no cân cân băng giữa quản lý các

cuộc gọi đơn giản và dịch vụ mới. Quản lý phân tán là một loại hình thích hợp cho các

cuộc thoại đơn giản.


11

Với những thuận lợi VoIP cho phép cả 2 kiến trúc điêu khiển cuộc gọi là phân tán

và tập trung. Điều này cho phép các công ty xây dựng mạng lƣới đặc trƣng một cách linh

hoạt hơn. Đơn giản hoa quản lý các đâu cuối, tùy thuộc vào các giao thức đƣợc sử dụng.

Điều khiển cuộc gọi phân tán. Mô hình và các bƣớc chi tiết cuộc gọi nhƣ dƣới.

Hình 7. Điều khiển cuộc gọi phân tán

▪ Dƣới đây là 7 bƣớc xử lý quay số và định tuyến cuộc gọi.

1. Sau khi nhận đƣợc tín hiêu yêu câu của thuê bao, đâu tiên R1 phát một

tín hiêu dial-tone

2. Tiếp theo R1 tổng hợp số đƣợc gọi.

3. R1 tìm kiếm số đƣợc gọi trong bảng định tuyến của mình. Theo bảng

định tuyến số đƣợc gọi năm trong vùng quản lý của gateway R2.

4. R1 bắt đâu giai đoạn setup băng cách gửi bản tin thích hợp tới R2.

5. R2 thu bản tin từ R1.

6. R2 tìm kiếm số bị gọi trong bảng định tuyến của mình, theo bảng định

tuyến số đƣợc gọi năm trong cổng voice.

7. R2 gửi tín hiêu ring tới thuê bao qua công voice.

▪ Giám sát cuộc gọi: Trong suốt quá trình diên ra cuộc gọi. Cả R1 và R2 đều

giám sát chất lƣợng cuộc gọi. Nếu một trong hai gateway phát hiên ra chất

lƣợng cuộc gọi không đảm bảo thì no sẽ tự động chấm dứt cuộc gọi. Giám sát

cuộc gọi năm trong giai đoạn thứ 2 của cuộc gọi, giai đoạn duy trì cuộc gọi.

▪ Kết thúc cuộc gọi: Nếu ngƣời gọi kết nối với R1 chấm dứt cuộc gọi, R1 sẽ

gửi thông báo cho R2. Trong chế độ này gateway sẽ khởi tạo quá trình chấm

dứt cuộc gọi.


12

Điều khiển cuộc gọi tâp trung. Mô hình và quá trình cuộc gọi xảy ra.

Hình 8. Điều khiển cuộc gọi tập trung

▪ Quá trình quay số và định tuyến:

1. Sau khi nhận đƣợc tín hiêu off-hook của thuê bao, R1 gửi một request

tới call Agent của no.

2. Call Agent phát dial-tone và thu các số từ ngƣời gọi.

3. R1 chuyển 1 số đƣợc thu tới call Agent. Theo phƣơng thƣc One by one.

4. Call Agent tìm kiếm số đƣợc gọi trong bảng định tuyến cuộc gọi của

mình.

5. Call Agent gửi bản tin tới R2 yêu câu cuộc gọi thông qua cổng kết nối

với điên thoại.

▪ Giám sát cuộc gọi: Trong suốt quá trình gọi R1 và R2 giám sát chất lƣợng

cuộc gọi. Nếu một gateway phát hiên chất lƣợng cuộc gọi không đảm bảo,

no sẽ gửi bản tin đến call Agent. Call Agent sẽ chấm dứt cuộc gọi.

▪ Kết thúc cuộc gọi: Nếu một bên chấm dƣ t cuộc gọi thì gateway sẽ gửi bản

tin đến Call Agent. Call Agent thông báo đến hai gateway bản tin chấm dứt

cuộc gọi, giải phong tài nguyên cuộc gọi.

Kêt luân

Chƣơng này đã xem xét một cách tổng quát về các thành phân và cuộc gọi VoIP .

Nhƣng chƣơng sau của khoa luận sẽ đi sâu nghiên cứu tƣng mô hình với từng giao thức

cụ thể đƣợc sử dụng trong mạng VoIP.


13

Chƣơng 2. MÔ HÌNH KIÊN TRÚC PHÂN TẤNG VA CAC GIAO THỨC

TRONG MẠNG VOIP [2], [4], [1], [10]

Mạng VoIP đƣợc xây dựng trên nền tảng tham chiếu chuẩn mô hình OSI. Mạng

VoIP co mô hình kiến trúc phân tâng nhƣ sau.

Hình 9. Mô hình kiến trúc phân tầng của VoIP

2.1. Lớp vật lý va lớp liên kết dữ liệu (Link & Physical Layer) [4]

Lớp vật lý tƣơng ứng vơi lớp vật lý của mô hình OSI. Trong mô hình tham chiếu

OSI cũng nhƣ trong mô hình mạng internet, lớp vật lý là lớp thấp nhất chịu trách nhiêm

truyền tín hiêu trên các đâu cuối mạng. Co thể điểm qua một số chức năng của lớp vật lý

nhƣ sau:

Định nghĩa các phân cứng đặc biêt. Cung cấp các môi trƣờng truyền dẫn nhƣ:

truyền trên môi trƣờng co dây, môi trƣờng không dây , truyền qua cap quang

hay cap đồng.

Mã hóa tín hiêu. Lớp vật lý co chức năng mã hoa tín hiêu sao cho phù hợp với

môi trƣờng truyền dẫn.

Truyền và thu tín hiêu tại các đâu cuối mạng.

Lớp liên kết dữ liêu là phân lớp thứ hai trong mô hình OSI. Lớp liên kết dữ liêu

đảm bảo truyền dữ liêu tin cậy giữa các đâu cuối cạnh nhau. Lớp liên kết dữ liêu đƣợc

chia làm hai phân lớp con là: Điều khiển liên kết logic (LLC) và điều khiển truy cập

(MAC). Giao thức tâng liên kết dữ liêu định nghĩa khuôn dạng đơn vị dữ liêu cho trao

đổi giữa các nút ở mỗi đâu của đƣờng truyền. Công viêc của giao thức tâng liên kết dữ

liêu khi gửi và nhận frame bao gồm: Phát hiên lỗi, truyền lại, điều khiển lƣu lƣợng và

truy cập ngẫu nhiên. Giao thức tâng liên kết dữ liêu co thể cung cấp những dịch vụ sau:

Đong goi dữ liêu và truy cập đƣờng truyền: Đong goi các goi dữ liêu lớp 3

thành các frame và chuyển xuống cho lớp vật lý. Một frame bao gồm phân dữ


14

liêu và phân header của lớp 2 thƣờng là địa chỉ nguồn và địa chỉ vật lý và các

trƣờng đồng bộ, sửa lỗi. Lớp liên kêt dƣ liêu cung cấp chức năng điều khiển

truy cập khi nhiều đâu cuối sử dụng chung đƣờng truyền vật lý.

Kiểm soát lƣu lƣợng: Kiểm soát lƣu lƣợng đảm bảo cho các bộ đêm của các đâu

cuối không tràn, không xảy ra tắc nghẽn trên đƣờng truyền. Đảm bảo không

mất mát bản tin, nâng cao hiêu suất truyền tin.

Phát hiên lỗi và sửa lỗi: Nguyên nhân dữ liêu bị lỗi co thể do tín hiêu bị suy hao

hay nhiêu điên từ. Trong các frame dữ liêu lớp mạng co một trƣờng giúp cho

bên nhận phát hiên và co thể sửa đƣợc các lỗi đơn giản. Các phƣơng pháp phát

hiên và sửa lỗi co thể là: CRC, checksum, chẵn lẻ hay hamming. Đối với

Ethernet sử dụng CRC 32.

2.2. Lớp mạng

Lớp mạng là lớp thứ 3 trong mô hình tham chiếu OSI. Lớp mạng cung cấp những

giao thức lớp mạng nhăm đảm bảo truyền dữ liêu giữa các trạm không kề nhau sao cho

không co lỗi. Giao thức lớp mạng trong mô hình OSI chỉ ra cơ chế đánh địa chỉ cho goi

tin nhăm đong goi dữ liêu lớp transport và truyền đến đích. Cơ chế đong goi lớp mạng

cho phép nội dung của no đƣợc truyền tới đích trong các mạng LAN hoặc WAN với

lƣợng thông tin overhead là tối thiểu.

Lớp mạng thực hiên 4 nhiêm vụ chính sau:

Đánh địa chỉ cho goi tin, do vậy các goi tin co thể di chuyển đƣợc trong mạng.

Tất cả các host trong mạng đều đƣợc cung cấp một địa chỉ IP duy nhất. Địa chỉ

lớp mạng là địa chỉ logic, địa chỉ IPv4 hoặc địa chỉ IPv6. Địa chỉ IPv4 co 32 bit

và địa chỉ IPv6 là 128 bit.

Thực hiên phân mảnh và đong goi các segment của lớp transport rồi chuyển

xuống cho lớp datalink.

Định tuyến: Đây là chức năng rất quan trọng đối với lớp mang . Định tuyến là

tìm đƣờng đi cho goi tin trên mạng để đến đƣợc đích. Định tuyến sẽ tìm đƣờng

đi tối ƣu cho goi tin. Co nhiều giao thức định tuyến cho go i tin trong internet

nhƣ: RIP, OSPF, IGRP ...

Giải đong goi: Thực hiên khi goi tin đến đích, tại đây dữ liêu sẽ đƣợc giải đong

goi và gửi các segment lên lớp transport.

Trong mạng internet lớp mạng sử dụng giao thức IP để thực hiên chức năng của

mình.


15

2.2.1. Giao thức IP

Là một giao thức không hƣớng kết nối. Dữ liêu IP đƣợc gọi là các datagram sử

dụng cơ chế phân phát tốt nhất (best-effort). Không co cơ chế truyền tin cậy, và IP không

phụ thuộc vào phƣơng tiên truyền dẫn hay noi cách khác no độc lập với phƣơng tiên

truyền dẫn.

Truyền không tin cậy là các goi tin IP không co khả năng quản lý, khôi phục,

truyền lai các goi tin trong quá trình truyền thông giữa nguồn và đích. Chính vì vậy viêc

quản lý, khôi phục và truyền lại goi tin bị lỗi không năm trên lớp network.

Mỗi goi tin IP chứa địa chỉ nguồn và đích, dựa vào đo dữ liêu đƣợc truyền tới đích.

Dữ liêu co thể truyền đến đích theo nhiều đƣờng khác nhau tạo ra sự mềm dẻo linh hoạt

trong các dịch vụ mạng internet.

2.2.1.1. Giao thức IPv4

Giao thức IPv4 đƣợc thiết kế nhƣ một giao thức với thông tin overhead nhỏ, no chỉ

cung cấp chức năng cân thiết để chuyển goi tin từ nguồn tới đích thông qua mạng LAN

hoặc WAN.

Khuôn dạng của header IPv4 nhƣ sau:

Hình 10. Khuôn dạng gói tin IPv4

Chiều dài của goi tin IPv4 là bội của 4 byte. Trƣơng header của goi tin IPv4 co

chiều dài 20 byte chia thành các trƣờng khác nhau. Chức năng cụ thể của tƣng trƣờng

nhƣ sau:

Trƣờng Version: Co chiêu dài 4 bit chỉ phiên bản của giao thức. Ở IPv4 có giá

trị 0100.

Header length: Co độ dài 4 bit, chỉ độ dài của phân tiêu đề của goi tin IPv4.

Type of service: Co chiều dài 8 bit. Chỉ ra các kiểu khác nhau của goi tin IP.


16

Căn cứ vào các thông tin ở trƣờng này mà Router co thể co cơ chê ƣu tiên trong

quá trình chuyển tiếp goi tin. Đối với dịch vụ VoIP trƣờng này là rất quan trọng,

no là cơ sở để các giao thức thời gian thực hoạt động. Trƣờng này co 8 bit dƣới

đây:

1 2 3 4 5 6 7 8

Precedence D T R Reserves

▪ Precedence: 3bit, chỉ ra quyền ƣu tiên của datagram, co giá trị thay đổi từ 0

(goi tin bình thƣờng) đến 7 (goi tin kiểm soát mạng).

▪ D: 1 bit, chỉ ra độ trê yêu câu của datagram. D = 0 goi tin co độ trê bình

thƣơng, D = 1 goi tin co độ trê thấp.

▪ T: 1 bít, chỉ thông lƣợng yêu câu của goi tin. T = 0 thông lƣợng bình thƣờng,

T = 1 thông lƣợng cao.

▪ R: 1bit, chỉ độ tin cậy của goi tin. R = 0 độ tin cậy bình thƣờng, R = 1 độ tin

cậy cao.

▪ Reserves: 2 bit, là các bít dự trữ.

Total Length: Chiều dài 16 bit, chỉ độ dài toàn bộ goi tin, kể cả phân tiêu đề. Co

giá trị tối đa là 65535. Các host chỉ co khả năng xử lý goi tin co độ dài 576 byte

gồm 512 byte dữ liêu và 64 byte tiêu đề.

Identification: Dài 16 bit. Cùng với các tham số (địa chỉ nguồn, địa chỉ đích)

tham số này dùng để chỉ ra tính duy nhất của một datagram khi no con tồn tại

trong mạng,

Flag: Dài 3 bít. Dùng để điều khiển phân đoạn và tái lắp ghép goi dƣ liêu.

Trƣờng này co bit O, bit DF, bit MF.

▪ Bit 0: Luôn co giá trị = 0.

▪ Bit 1: DF. Nếu DF = 0 co phân đoạn, nếu DF = 1 không phân đoạn.

▪ Bit 2: MF. MF = 0 chỉ mảnh cuối cung, nếu MF = 1 không phải mảnh cuối

cùng.

Fragment Offset: Dài 13 bit. Chỉ rõ vị trí của đoạn ở trong datagram tính theo

đơn vị 64 bit.

Time to Live: Dài 8 bit. Chỉ ra thời gian tồn tại của goi tin trên mạng (đơn vị

giây). Thời gian này đƣợc gán bởi nơi gửi và giá trị giảm đi 1 khi đi qua một

router. Giá trị giảm đi 1 tại mỗi router với mục đích giới hạn thời gian tồn tại

của goi tin và không để xảy ra hiên tƣợng lặp vô hạn của goi tin làm tốn băng

thông đƣờng truyền.


17

Protocol: Dài 8 bit chỉ ra giao thức tâng trên kế tiếp sẽ nhận dữ liêu ở trạm đích.

Ví dụ: TCP co giá trị trƣờng Protocol là 6, UDP co giá trị trƣờng Protocol là 17

Header Checksum: Dài 16 bit. Kiểm lỗi phân header của goi tin theo phƣơng

pháp CRC .

Source Address: Dài 32 bit. Địa chỉ IP của host nguồn.

Destination Address: Dài 32 bit. Địa chỉ IP của host đích.

Options: Co độ dài thay đổi. Khai báo các lựa chọn do ngƣời gửi yêu câu.

Padding: Co độ dài thay đổi. Đảm bảo độ dài của header luôn là bội của 32 bit.

Data: Phân dữ liêu của lớp trên. Co độ dài thay đổi và bội số của 8 bit và tối đa

là 65535 byte.

Địa chỉ IPv4

Địa chỉ IPv4 co kích thƣớc 32 bit đƣợc chia làm 4 nhóm, mỗi nhom khi đƣợc biểu

diên sẽ đƣợc phân cách nhau bởi một dấu chấm. Dạng địa chỉ IPv4 co thể biểu diên dƣới

hai hình thức. Biểu diên băng số hê thập phân hoặc hê cơ số 2. Địa chỉ IPv4 gồm 2 phân,

phân đâu là network ID và phân sau là host ID.

Địa chỉ IPv4 đƣợc chia thành 3 loại:

Địa chỉ unicast. Là địa chỉ đƣợc gán cho các host.

Địa chỉ multicast. Là địa chỉ đƣợc gán cho một nhom các host.

Địa chỉ broadcast. Là địa chỉ đƣợc gán cho tất cả các host trong một miền

mạng.

Địa chỉ IPv4 đƣợc chia thành 5 lớp. A, B, C, D, E.

Hình 11. Lớp địa chỉ IPv4

Lớp A co 8 bit trong phân net ID và 24 bit trong phân host ID, đƣợc sử dụng

cho các mạng co số lƣợng host lớn.


18

Lớp B co 16 bit trong phân net ID và 16 bit trong phân host ID, đƣợc sử dụng

cho các mạng co số lƣợng host trung bình.

Lớp C co 24 bit trong phân net ID và 8 bit trong phân host ID, đƣợc sử dụng

cho các mạng co số lƣợng host it.

Lớp D dành cho mục đích multicast.

Lớp E đƣợc dùng cho mục đích nghiên cứu.

Một địa chỉ IPv4 mà trong phân host ID toàn băng 0 thì đo là địa chỉ mạng, trong

phân host ID toàn băng 1 thì đo là địa chỉ broadcast.

2.2.1.2. Giao thức IPv6

Với sự ra đời của nhiều loại hình dịch vụ mới, số lƣợng các thiết bị trong mạng cân

đánh địa chỉ là rất lơn thì số lƣợng địa chỉ IPv4 là không đáp ứng đƣợc. Ngoài ra, do sự

phát triển của Internet bảng định tuyến của router không ngừng lớn lên và khả năng định

tuyến đã bộc lộ hạn chế. Yêu câu nâng cao chất lƣợng dịch vụ và bảo mật đƣợc đặt ra.

IETF đã nghiên cứu và phát triển giao thức IPv6, nó là giao thức mới đƣợc kế thừa đặc

điểm chính của IPv4 và co nhiều cải tiến để khắc phục những hạn chế:

Tăng kích thƣớc địa chỉ từ 32 bit lên 128 bit.

Phạm vi định tuyến đa điểm: giao thức này hỗ trợ phƣơng thức truyền mới

―anycasting‖. Phƣơng thức này sử dụng để gửi các goi tin đến một nhom xác

định.

Phân tiêu đề của IPv6 đƣợc đơn giản hoa hơn IPv4. Điều đo cho phép xử lý goi

tin nhanh hơn. IPv6 cung cấp cơ chế nhận thực linh hoạt. Ngoài ra, IPv6 còn

cung cấp một số tiêu đề phụ cho phép giao thức IPv6 co thể sử dụng một cách

mềm dẻo hơn hẳn so với IPv4.

Khuôn dạng header của gói tin IPv6

Hình 12. Phần header của goi tin IPv6

Version: 4 bit. Co giá trị 0110, chỉ phiên bản IPv6.

Traffic class: 8 bit. Chỉ số xác định mức đô ƣu tiên.


19

Flow label: 20 bit. Xác định các goi dữ liêu đƣợc ƣu tiên trên đƣờng truyền nếu

xảy ra tranh chấp. Thƣờng đƣợc sử dụng cho các dịch vụ đoi hỏi chất lƣợng

dịch vụ cao hay thời gian thực.

Payload length: 16 bit. Chỉ ra độ dài phân dữ liêu không tính phân tiêu đề.

Next header: 8 bit. Chỉ rõ kiểu của header giao thức lớp trên.

Hop limit: 8 bit. Quy định thời gian tồn tại của datagram trên mạng.

Source address: 128 bit. Địa chỉ của host nguồn.

Destination address: 128 bit. Địa chỉ của host đích.

2.2.2. Giao thức ICMP

Giao thức IP là giao thức không hƣớng kết nối và không an toàn. Bên cạnh IP con

có các giao thức khác hỗ trợ chức năng điều khiển và định tuyến. Giao thức ICMP là một

trong số đo. ICMP gửi các thông điêp về các vấn đề, tình trạng xảy ra trong môi trƣờng

mạng.

Khuôn dạng bản tin ICMP

0 7 8 15 16 31

Type Code Checksum

Thông tin thêm

Các bản tin ICMP đƣợc xác định nhờ vào trƣờng code. Co các loại bản tin ICMP

sau:

Bản tin vọng và bản tin đáp ứng vong.

Bản tin Time Stamp và trả lời Time Stamp.

Bản tin không gặp đích.

Bản tin quench source.

Bản tin định hƣớng lại.

Bản tin báo tham số co lỗi.

2.3. Tầng giao vận

Tâng giao vận năm trên lớp 4 của mô hình tham chiếu OSI. Cung cấp dịch vụ

truyền thông giữa các tiến trình ứng dụng chạy trên các máy tính khác nhau. Tâng giao

vận của internet co 2 giao thức quan trọng TCP và UDP. Ngoài ra để phù hợp với các

dịch vụ truyền thời gian thực trong lớp giao vận con co giao thức SCTP.

Lớp transport có một số nhiệm vụ

Cho phép nhiều ứng dụng truyên thông qua mạng tại cùng một thời điểm, trên


20

cùng một thiết bị.

Đảm bảo dữ liêu đƣợc nhận tin cậy khi sử dụng giao thức TCP, sắp xếp đúng

goi tin cho từng loại ứng dụng khác nhau.

Cung cấp cơ chế truyền lại trong trƣờng hợp goi tin bị mất hoặc lỗi trong quá

trình truyền từ nguồn tới đích.

Chức năng của lớp transport

Đảm bảo duy trì các kết nối riêng biêt giữa các ứng dụng khác nhau trên host

nguồn và đích.

Thực hiên phân mảnh tại nguồn và co cơ chế quản lý các goi tin này.

Ghép các mảnh dữ liêu tại đích để tạo thành luồng dữ liêu ứng dụng trƣớc khi

đẩy lên lớp ứng dụng.

Co khả năng nhận diên các ứng dụng khác nhau. Điều này giúp cho lớp

transport co thể khởi tạo, duy trì, bảo dƣỡng và kết thúc nhiều ứng dụng khác

nhau trên cùng một thiết bị.

2.3.1. Giao thức UDP

UDP là giao thức đơn giản, không hƣớng kết nối, đƣợc mô tả trong RFC 768. UDP

co trƣờng header chỉ co 8 byte. Vì vậy UDP cung cấp ít các thông tin điều khiển. UDP

không co cơ chế truyền tin cậy, không co khả năng điều khiển luồng và không co cơ chế

truyền lại. Xử lý lỗi phải đƣợc xử lý bởi các giao thức lơp cao hơn.

Header của UDP gồm 8 byte chỉ co 4 trƣờng: Chỉ số cổng nguồn, chỉ số cổng đích,

chiều dài goi tin và kiểm lỗi băng trƣờng checksum.

Trên mang UDP thích hợp cho các ứng dụng nhậy với trê nhƣ: Voice, game online,

video, TFTP, DNS…

Trong mạng VoIP, UDP đƣợc sử dụng kết hợp với giao thức RTP của lớp trên đam

bảo tính thời gian thực trong truyền thoại. Tín hiêu thoại sau khi đƣợc mã hóa đƣợc đong

gói sẽ thêm phân header của RTP sau đo chuyển xuống lớp 4 sƣ dụng UDP để đảm bảo

độ trê cho tín hiêu thoại.

Hình 13. Khuôn dạng gói tin UDP

2.3.2. Giao thức TCP


21

TCP là giao thức hƣớng kết nối và tin cậy, đƣợc mô tả trong RFC 793. TCP thực

hiên phân mảnh goi tin tại nguồn và trƣớc khi gửi goi tin xuống lớp network no chèn

thêm môt số thông tin điều khiển gọi là TCP header. Mỗi segment của TCP có 20 byte

header.

TCP cung cấp các chức năng:

Truyền tin cậy với cơ chế ARQ, mỗi bản tin co số trình tự phát và trình tự thu

riêng.

Cung cấp thứ tự chính xác của các segment với cơ chế sắp xếp lại segments tại

đích. Co cơ chế loại bỏ các bản tin kep.

Cung cấp điểu khiển luồng để kiểm soát tắc nghẽn băng phƣơng pháp sử dụng

cửa sổ trƣợt.

Trong mạng giao thức TCP thích hợp cho các ứng dụng cân đảm bảo sự tin cậy và

không yêu câu thời gian thực nhƣ: Web, mail, truyền file.

Trong mạng VoIP, TCP đƣợc sử dụng để truyền các bản tin báo hiêu nhƣ: H.225,

H.245 vì các bản tin báo hiêu cân độ chính xác cao.

Header va ý nghĩa của các trƣờng trong phần header TCP:

Hình 14. Khuôn dạng bản tin TCP

Source Port và Destination Port: Chỉ số cổng nguôn và chỉ số cổng đích của

mỗi ứng dụng. Mỗi ứng dụng sẽ co chỉ số công nguồn và chi sô công đích khác

nhau. Cổng nguồn và đích đều co 16 bit do vậy co thể tạo đƣợc 65535 cổng

khác nhau.

Sequence number: Dài 32 bit. Đƣợc sử dụng nhăm đồng bộ dữ liêu truyền giữa

nguồn và đích và sắp sếp chính xác dữ liêu tại đích.

Acknowledgement number: Dài 32 bit. Chỉ số này đƣợc gửi đến host nguồn.

Thông báo cho host nguồn biết là đã nhận tốt byte thứ n và mong muốn nhận


22

đƣợc byte n + 1 trong lân truyền tiếp theo.

Windows: Dài 16 bit, đƣợc sử dụng để điều khiển luồng. Đích nhận goi tin căn

cứ vào tài nguyên của mình co thể gửi thông tin về cƣa sô trƣơt (slidding

windows) cho nguồn, yêu câu nguồn gửi dữ liêu kích thƣớc phù hợp.

Hlen: Dài 4 bit. Cho biết chiều dài phân header của bản tin TCP.

Reserved: Dài 6 bit. Là bit dự trữ chƣa đƣợc sử dụng, đƣợc gán giá trị băng 0.

Code bit: Dài 6 bit. Chứa các cờ điều khiển nhƣ: URG, ACK, PSH, RST, SYN,

FIN.

Checksum: Dài 16 bit. Dùng đê kiểm lỗi, sử dụng CRC 16.

Urgent Point: Dài 16 bit. Là con trỏ trỏ tới số hiêu tuân tự của byte đi sau dữ

liêu chuẩn, cho bên nhận biết đƣợc độ dài của dữ liêu.

Option: Co độ dài thay đổi, trong đo khai báo các lựa chọn của ngƣời dùng.

Padding: Dài 8 bit. Đảm bảo phân tiêu đề của TCP luôn là bội của 32 byte.

TCP data: Là phân dữ liêu của lớp trên, co giá trị tối đa là 536 byte, giá trị này

co thể thay đổi nhờ vào khai báo trong phân option.

Trong một phiên TCP co 3 pha: Khởi tạo kết nối, truyền tin và hủy kết nối. TCP

thực hiên kết nối với thủ tục bắt tay 3 bƣớc.

Khởi tạo kết nối:

1. Nguồn gửi bản tin SYN kèm theo sequence number đến đích để thiết lập kết

nối.

2. Đích gửi bản tin SYN chứa tham số ACK để khẳng định quá trình nhận dữ

liêu tốt tơi nguồn. Bản tin này cũng chứa chỉ số sequence number và chỉ số này

đƣợc sinh ra ngẫu nhiên.

3. Khi nguồn nhận đƣợc bản tin SYN kèm theo ACK no sẽ gửi bản tin thiết lập

tới đích.

Hình 15. Khởi tạo phiên TCP

Truyền tin: Sau khi thiết lập thông qua 3 bƣớc trên, nguồn và đích thực hiên

truyền dữ liêu kèm theo các thông tin điều khiển chứa trong header của TCP.


23

Kết thúc phiên truyền: Khi không con nhu câu truyền dữ liêu nữa, host sẽ gửi

cơ FIN để kết thúc phiên truyền dữ liêu giữa hai host. Sau khi kết thúc phiên

truyền dữ liêu, kết nối end-to-end giƣa nguồn và đích sẽ đƣợc giải phong.

Hình 16. Kết thúc phiên truyền dữ liệu

2.3.3. Giao thức SCTP [10]

SCTP cũng nhƣ TCP và UDP là một giao thức tâng giao vận. SCTP đƣợc thiết kế

để thay thế cho TCP/UDP khi truyền báo hiêu SS7 qua mạng internet. Ban đâu SCTP chỉ

đƣợc thiết kế với mục đích trên nhƣng ngày nay SCTP đã đƣợc sử dụng rộng rãi và no

đƣợc xem nhƣ một thế hê tiếp theo của giao thức TCP. SCTP là giao thức hƣớng kết nối

và tin cậy, đồng thời SCTP con đảm bảo tính thời gian thực cho dữ liêu không giống nhƣ

TCP. SCTP cung cấp các chức năng sau:

Hỗ trợ đa luồng: Các bản tin độc lập với nhau trên một liên kết SCTP. Mỗi bản

tin đƣợc gán cho một luồng riêng. Tất cả các bản tin trong một luồng đƣợc nhận

theo đúng thứ tự bên gửi đã đánh dâu. Mỗi dữ liêu của mỗi luồng sẽ đƣợc nhận

chính xác mà không bị lẫn lộn với các luồng khác. Với hỗ trợ đa luồng SCTP hỗ

trợ các ứng dụng liên quan đến hợp kênh dữ liêu nhƣ: Thoại, video trên mỗi

đƣờng liên kết giữa hai đâu cuối.

Liên kết đa điêm: Giữa hai đâu cuối trong quá trình thiết lập liên kết co thể xác

định liên kết đa điểm. Co nhiều giao diên sẽ cho phép dữ liêu gửi theo địa chỉ

khác khi xảy ra lỗi. Giao thức TCP không thể thực hiên đƣợc viêc này.

Hƣơng bản tin: Trong TCP, dữ liêu đƣợc gửi giữa hai đâu cuối là luồng các byte.

Nếu cân thiết các ứng dụng phải làm chức năng định dạng khung cho bản tin.

SCTP bản tin đƣợc giữ nguyên định dạng, bản tin không bị thay đổi ở hai đâu

cuối. UDP cũng cung cấp dịch vụ hƣơng bản tin nhƣng không tin cậy.

Nhận bản tin không theo thứ tự: Giao thức TCP, tất cả các bản tin đƣợc nhận

theo đứng thứ tự bên gửi. Đối với SCTP, cung cấp cơ chế nhận bản tin không

theo thứ tự (giữa các luồng song song với nhau).

Quy định thời gian sống của bản tin: SCTP co một tùy chọn cho phép xác định

thời gian sống của bản tin. No cho phép ƣng dụng truyền tin xác định khoảng


24

thời gian mà bản tin con co ích. Nếu thời gian sống của bản tin không con

SCTP co thể hủy bỏ bản tin hoặc dừng viêc cố gắng gửi no vào mạng. Viêc này

giúp tiết kiêm băng thông trách tắc nghẽn trên đƣờng truyền.

Syn cookie: SCTP khởi tạo liên kết băng thủ tục bắt tay bốn bƣớc với viêc sử

dụng cookie co dấu hiêu định trƣớc.

Khả năng kiểm soát lỗi mạnh: Với TCP và UDP trƣờng checksum chỉ co 16 bit.

Con SCTP trƣờng này lên tới 32 bit.

Khuôn dạng bản tin SCTP:

Hình 17. Khuôn dạng gói tin SCTP

Source port: Dài 16 bit, chỉ số cổng nguồn của ứng dụng.

Destination port: Dài 16 bit, chỉ số cổng đích của ứng dụng.

Verification tag: 32 bit, thẻ xác minh. Ngƣời nhận sử dụng thẻ này để xác minh

tính hợp lê của ngƣời gửi goi SCTP này.

Checksum: 32 bit. Sử dụng để kiểm lỗi và sƣa lỗi bản tin SCTP.

Chunk: Co độ dài biến đổi. Chunk là một đơn vị thông tin đƣợc dùng trong goi

SCTP. Chunk chứa chunk header và chunk data:

Hình 18. Khuôn dang Chunk

▪ Chunk type: 8 bit. Định nghĩa kiểu thông tin chứa trong chunk data. Có 20

kiểu chunk đƣợc định nghĩa trong RFC 2690.

▪ Chunk flags: 8 bit. Đƣợc sử dụng phụ thuộc vào các kiểu chunk khác nhau.

▪ Chunk length: 16 bit. Chỉ độ dài của trƣờng chunk.

▪ Chunk data: Độ dài thay đổi. Trƣờng chứa dữ liêu của gói SCTP, kiểu dƣ

liêu đƣợc định nghĩa trong chunk type.

Giao thức SCTP thực hiên thiết lập một liên kết băng thủ tục bắt tay 4 bƣớc, và hủy


25

bỏ một liên kết trong 3 bƣớc.

So sánh tính năng dịch vụ của SCTP, TCP va UDP

Services/Features SCTP TCP UDP

Hƣớng liên kết Có Có Không

Song công Có Có Có

Tin cậy Có Có Không

Tin cậy cục bộ Tùy chọn Không Không

Nhận dữ liêu co thứ tự Có Có Không

Nhận dữ liêu không co thứ tự Có Không Có

Điều khiển luồng Có Có Không

Điều khiển tắc nghẽn Có Có Không

Cơ chế ECN Có Có Không

Selective ACKs Có Tùy chọn Không

Hƣớng bản tin Có Không có

Tìm lại đƣờng MTU Có Có Không

Phân mảnh PDU tâng ứng dụng Có Có Không

Đọc các PDU tâng ứng dụng Có Có Không

Đa luồng Có Không Không

Chống tấn công tràn SYN Có Không Không

Kết nối half-closed Không Có Không

Kiểm tra dữ liêu tới đích Có Có Không

2.4. Lớp ứng dụng

Lớp ứng dụng trong mạng VoIP là tâng liên quan trực tiếp đến ngƣời dùng. Tâng

ứng dụng chứa một loạt các giao thức phục vụ cho ứng dụng voice.

Các giao thức báo hiêu: H.323, SIP, MGCP, Megaco/H.248.

Các giao thức truyền tin thời gian thực: RTP, RTCP, RSVP.

Các chuẩn nén thoại, video: G.711, G.722, G.723.1, G.728, G.729, H.261,

H.263.

Các giao thức báo hiêu sẽ đƣợc trình bày cụ thể trong chƣơng sau. Trong chƣơng

này chỉ trình bày chi tiết về các giao thức hỗ trợ truyền tin thời gian thực.


26

2.4.1. Giao thức RTP [10]

RTP là giao thức đƣơ c xây dựng nhăm cung cấp khả năng truyền tải các dữ liêu

yêu câu thời gian thực nhƣ: Thoại, video trên các dịch vụ mạng multicast hay unicast.

RTP do tổ chức IETF đề xuất, no đảm bảo các cơ chế vận chuyển và giám sát phƣơng

thức truyền thông thời gian thực trên mạng. RTP đƣợc thiết kế chủ yếu cho viêc truyền

nhiều đối tƣợng, nhƣng nó vẫn có thể đƣợc sử dụng để truyền cho một đối tƣợng. RTP có

thể truyền tải một chiều nhƣ dịch vụ video theo yêu câu cũng nhƣ các dịch vụ trao đổi

qua lại nhƣ điên thoại Internet.

Các gói tin truyền trên mạng Internet có trê và jitter không dự đoán đƣợc. Nhƣng

các ứng dụng đa phƣơng tiên yêu câu một thời gian thích hợp khi truyền các dữ liêu và

phát lại. RTP cung cấp các cơ chế bảo đảm thời gian, số thứ tự và các cơ chế khác liên

quan đến thời gian. Băng các cơ chế này RTP cung cấp sự truyền tải dữ liêu thời gian

thực giữa các đâu cuối qua mạng.

Bản thân RTP không cung cấp một cơ chế nào cho viêc bảo đảm phân phối kịp thời

các dữ liêu tới các trạm mà nó dựa trên các dịch vụ của tâng thấp hơn để thực hiên điều

này. RTP cũng không đảm bảo viêc truyền các gói theo đúng thứ tự. Tuy nhiên, số thứ tự

trong RTP header cho phép bên thu xây dựng lại đúng thứ tự các gói của bên phát.

Giao thức RTP không tự cung cấp khả năng giám sát và điều khiển mà phải nhờ sự

hỗ trợ từ giao thức RCTP co chức năng giám sát và điều khiển chất lƣợng truyền tin.

RTP thƣờng kết hợp với giao thức tâng giao vận là UDP để tận dụng tính ƣu viêt về

thời gian của UDP. Qua tiến hành thỏa thuận phƣơng thức truyền thông, các bên tham

gia hội thoại mở 2 cổng UDP kề nhau, cổng chẵn cho truyền goi tin RTP, cổng lẻ cho

phép truyền thông tin giám sa t RTCP. Thông thƣờng hai cổng đƣợc chọn mặc định là

5004 và 5005. Sở dĩ UDP đƣợc sử dụng làm thủ tục truyền tải cho RTP bởi 2 lý do:

▪ Thứ nhất, RTP đƣợc thiết kế chủ yếu cho viêc truyền tin đa đối tƣợng, các

kết nối co định hƣớng, co báo nhận không đáp ứng tốt điều này.

▪ Thứ hai, đối với dữ liêu thời gian thực, độ tin cậy không quan trọng băng

truyền đúng theo thời gian. Hơn nữa, sự tin cậy trong TCP là do cơ chế báo

phát lại, không thích hợp cho RTP. Ví dụ khi mạng bị tắc nghẽn một số goi

co thể mất, chất lƣợng dịch vụ dù thấp nhƣng vẫn co thể chấp nhận đƣợc.

Nếu thực hiên viêc phát lại thì sẽ gây nên độ trê rất lớn dấn đến chất lƣợng

thấp và gây ra sự tắc nghẽn của mạng.

Một chức năng khác của RTP là xác định nguồn: Cho phép phía thu biết đƣợc dữ


27

liêu đến từ đâu. Ví dụ trong hôi nghi nhiêu bên, từ thông tin nhận dạng nguồn một ngƣời

sử dụng có thể biết đƣợc ai đang nói.

RTP chỉ cung cấp các dịch vụ phổ thông nhất cho hâu hết các ứng dụng truyền

thông hội nghị đa phƣơng tiên. Mỗi một ứng dụng cụ thể đều có thể thêm vào RTP các

dịch vụ mới sao cho phù hợp với các yêu câu của nó. Các khả năng mở rộng này đƣợc

mô tả trong một profile đi kèm. Profile này còn chỉ ra các mã tƣơng ứng sử dụng trong

trƣờng PT (Payload Type) của phân tiêu đề RTP ứng với các loại tải trọng mang trong

gói.

Các dong phƣơng thức truyền thông RTP co thể mã hoa thành mật mã dùng các

khoa, viêc mã hoa đảm bảo cho viêc thông tin trên mạng đƣợc an toàn hơn.

RTP header co 2 phân, phân cố định và phân mở rộng, cấu trúc này tạo sự linh hoạt

cho ngƣời dùng khi sử dụng các ứng dụng khác nhau.

Phần cố định:

Hình 19. Khuôn dạng bản tin RTP header cô đinh

Version: Dài 2 bit. Cho biết phiên bản của RTP.

Padding: Dài 1 bit. Nếu bit này đƣợc đăt, sẽ co thêm một vài byte thêm vào cuối

goi dữ liêu. Các byte này không phải là thông tin, chúng đƣợc thêm vào nhăm

mục đích:

▪ Phục vụ cho một vài thuật toán mã hoa thông tin cân kích thƣớc goi cố định.

▪ Dùng để cách ly goi RTP trong trƣờng hợp co nhiều goi tin đƣợc mang trong

cùng một đơn vị dữ liêu của giao thức tâng dƣới.

Extention: Dài 1 bit. Nếu bit này đƣợc đặt thì goi tin RTP co thêm phân header

mở rộng.

Contributing Source Count: Dài 4 bit. Chỉ số lƣợng các thành phân nhận dạng

nguồn CSRC năm trong phân header goi tin. Số này lớn hơn 1 nếu các goi tin

đến từ nhiều nguồn.

Marker: Dài 1bit. Co vai tro thay đổi tùy theo từng trƣờng hợp cụ thể, đƣợc chỉ

ra trong profile đi kèm.


28

Payload Type: Dài 7 bit. Chỉ ra loại tải tin mang trong gói tin. Các mã sử dụng

trong trƣờng này ứng với các loại tải trọng đƣợc quy định trong một profile đi

kèm.

Sequence Number: Dài 16 bit. Chỉ ra số thứ tự của gói RTP. Chỉ số này đƣợc sử

dụng để bên nhận phát hiên sự mất goi tin và giúp cho viêc khôi phục các goi

tin bị mất. Giá trị khởi đâu của trƣờng này là ngẫu nhiên.

Time stamp: Dài 32 bit. Chỉ ra thời điểm lấy mẫu của octet đâu tiên trong goi

RTP. Thời điểm này đƣợc lấy từ một đồng hồ tăng đều đặn và tuyến tính theo

thời gian để cho phép viêc đồng bộ và tính toán độ jitter. Tân số đồng hồ này

không cố định, tùy thuộc vào loại tải trọng. Giá trị khởi đâu đƣợc chọn ngẫu

nhiên. Một vài goi RTP co thể mang cùng một giá trị ―tem thời gian‖. Nếu gói

dữ liêu đƣợc phát ra đều đặn thì ―tem thời gian‖ đƣợc tăng một cách đều đặn.

Trong trƣờng hợp khác thì giá trị ―tem thời gian‖ tăng không đều. ―Tem thời

gian‖ tăng dân theo thời gian đối với mọi gói. Sau khi nhận đƣợc gói dữ liêu,

bên thu sử dụng các ―tem thời gian‖ này nhăm khôi phục thời gian gốc để chạy

các dữ liêu này với tốc độ thích hợp. Ngoài ra, nó còn đƣợc sử dụng để đồng bộ

các dòng dữ liêu khác nhau (chẳng hạn nhƣ giữa hình và tiếng). Tuy nhiên RTP

không thực hiên đồng bộ mà các ứng dụng phía trên sẽ thực hiên sự đồng bộ

này. ―Tem thời gian‖ là thành phân thông tin quan trọng nhất trong các ứng

dụng thời gian thực.

Synchronization Source Identifier: Dài 32 bit. Chỉ ra nguồn đồng bộ của gói

RTP, số này đƣợc chọn ngẫu nhiên. Trong môt phiên RTP có thể có nhiều hơn

một nguồn đồng bộ. Mỗi một nguồn phát ra một luồng các gói RTP. Bên thu

nhóm các gói của cùng một nguồn đồng bộ lại với nhau để phát lại tín hiêu thời

gian thực.

Contributing Source Identifier: Chiêu dài thay đổi từ 0 – 15 phân, mỗi phân 32

bit. Chỉ ra nhƣng nguồn đong gop thông tin vào phân tải trọng của goi RTP.

Giúp bên thu nhận biết đƣợc goi tin này mang thông tin của những nguồn nào.

Chức năng này rất cân thiết cho các cuộc thoại hội nghị.

Phần header mở rộng:

Co độ dài thay đổi. Sự tồn tại phụ thuộc vào bit Extension của phân cố định.


29

Hình 20. Header RTP mở rộng

16 bit đâu tiên đƣợc sử dụng với mục đích riêng cho từng ứng dụng đƣợc định

nghĩa bởi profile đi kem. Thƣờng đƣợc dùng để phân biêt các loại header mở

rộng.

Length: Dài 16 bit. Giá trị chiều dài phân header mở rộng tính theo đơn vị 32

bit, không bao gồm 32 bit đâu tiên của phân header mở rộng.

Thực tế RTP đƣợc thực hiên chủ yếu trong các ứng dụng mà tại các mức ứng dụng

này, có các cơ chế khôi phục lại gói bị mất, điều khiển tắc nghẽn.

Mạng Internet hiên nay vân chƣa thể đáp ứng đƣợc đây đủ các yêu câu của các dịch

vụ thời gian thực. Các dịch vụ RTP yêu câu băng thông cao có thể làm giảm chất lƣợng

các dịch vụ khác trong mạng đến mức nghiêm trọng. Trong quá trình triển khai phải chú

ý đến giới hạn băng thông sử dụng của các ứng dụng trong mạng.

2.4.2. Giao thức RTCP [10]

Giao thức RTCP hỗ trợ cho RTP co chức năng điều khiển, kiểm soát bản tin RTP.

Giao thức RTCP dựa vào viêc truyền đê u đặn các goi điều khiển tới tất cả các ngƣời

tham gia vào phiên truyền. RTCP cũng sử dụng các dịch vụ của giao thức UDP qua một

cổng độc lập với RTP. Các dịch vụ mà RTCP cung cấp là:

Giám sát chất lƣợng và điều khiển tắc nghẽn: Đây là chức năng cơ bản của

RTCP. No cung cấp thông tin phản hồi tới một ứng dụng về chất lƣợng phân

phối dữ liêu. Thông tin điều khiển này rất hữu ích cho các bộ phát, bộ thu và

giám sát. Bộ phát co thể điều chỉnh cách thức truyền dữ liêu dựa trên các thông

báo phản hồi của bộ thu. Bộ thu co thể xác định đƣợc tắc nghẽn là cục bộ, từng

phân hay toàn bộ. Ngƣời quản trị mạng co thể đánh giá đƣợc hiêu suất mạng.

Xác định nguồn: Trong các goi RTP, các nguồn đƣợc xác định bởi các số ngẫu

nhiên co độ dài 32 bit, các số này không thuận tiên đối với ngƣời sử dụng. RTCP

cung cấp thông tin nhận dạng nguồn cụ thể hơn ở dạng văn bản. No co thể bao

gồm tên ngƣời sử dụng, số điên thoại, địa chỉ e-mail và các thông tin khác.

Đồng bộ môi trƣờng: Các thông báo của bộ phát RTCP chứa thông tin để xác

định thời gian và nhãn thời gian RTP tƣơng ứng. Chúng co thể đƣợc sử dụng để


30

đồng bộ giữa âm thanh với hình ảnh.

Điều chỉnh thông tin điều khiển: Các goi RTCP đƣợc gửi theo chu kỳ giữa

những ngƣời tham gia. Khi số lƣợng ngƣời tham gia tăng lên, cân phải cân băng

giữa viêc nhận thông tin điều khiển mới nhất và hạn chế lƣu lƣợng điều khiển.

Để hỗ trợ một nhom ngƣời sử dụng lớn, RTCP phải cấm lƣu lƣợng điều khiển

rất lớn đến từ các tài nguyên khác của mạng. RTP chỉ cho phép tối đa 5% lƣu

lƣợng cho điều khiển toàn bộ lƣu lƣợng của phiên làm viêc. Điều này đƣợc

thực hiên băng cách điều chỉnh tốc độ phát của RTCP theo số lƣợng ngƣời tham

gia. Mỗi ngƣời tham gia một phiên truyền RTP phải gửi định kỳ các goi RTCP

đến tất cả những ngƣời khác cũng tham gia phiên truyền. Nhờ vậy mà co thể

theo dõi đƣợc số ngƣời tham gia.

Gói RTCP góp phân làm tăng tăc nghẽn mạng. Băng thông yêu câu bởi RTCP là

5% tổng số băng thông phân bổ cho phiên. Khoảng thời gian trung bình giữa các gói

RTCP đƣợc đặt tối thiểu là 5s.

Khuôn dạng gói tin RTCP

Hình 21. Khuôn dạng RTCP

Version: 2 bit. Chỉ phiên bản của giao thức RTCP, giá trị này giống phân verson

trong RTP.

Padding: 1bit. Khi bit đƣợc đặt phân cuối goi RTCP co thêm một số byte không

phải là thông tin điều khiển. Các byte này thêm vào làm mục đích khác.

Count: 5 bit. Giá trị từ 0 - 31, giá trị các khối trong goi RTCP.

Length: 16 bit. Chỉ ra chiều dài của goi RCTP bao gồm cả heaer và padding.

Đơn vị là một từ 32 bit.

Data: Chứa các bản tin điều khiển.

Type: 8 bit. Chỉ kiểu của bản tin điều khiển.


31

Bảng 1. Các kiểu bản tin điều khiển

Type Mô tả

192 FIR, full INTRA-frame request.

193 NACK,negative acknowledgement.

200 SR (sender report), chứa các thông tin thống kê liên quan tới kết quả truyền

nhƣ tỷ lê tổn hao, số gói dữ liêu bị mất, khoảng trê.

201 RR (receiver report). Chứa các thông tin thống kê liên quan đến kết quả nhận.

202 SDES (source description). Thông số mô tả nguồn.

203 BYE (goodbye). Kết thúc tham gia vào phiên truyền.

204 APP (application defined). Cho phép truyền các dữ liêu ứng dụng

205 RTPFB (Generic RTP Feedback). Phản hồi RTP chung.

206 PSFB (Payload-specific). Chỉ loại tải đặc biêt.

207 XR (RTCP extension). RTCP mở rộng.

Kêt luân

Trong chƣơng nay đa nghiên cƣu mô hinh phân tâng cua VoIP tham chiêu đên mô

hình OSI. Vơi cac giao thƣc quan trong đong vai tro then chốt ở các lớp trong mô hình.


32

Chƣơng 3. MẠNG VOIP VƠI CAC GIAO THƢC BAO HIÊU H.323/SIP

Trong chƣơng một của khoa luận đã đề cập đến một mô hình tổng quan về mạng

VoIP. Trên thực tế, từ khi dịch vụ mạng VoIP hình thành và phát triển các tổ chức quốc tế

và các nhà khai thác dich vụ mạng luôn tìm kiếm các công cụ khai thác mạng hiêu quả

nhât. Dựa trên các bộ giao thức báo hiêu khác nhau, mô hình mạng VoIP cũng thay đổi

theo với các chuẩn phù hợp với các giao thức đo. Trong chƣơng này của khoa luận sẽ

trình bày chi tiết về mô hình mạng với các chuẩn đƣợc ứng dụng.

3.1. Mạng VoIP với chuẩn H.323 [3], [4], [5]

Khi đề cập đến thoại IP, tiêu chuẩn quốc tế thƣờng đề cập đến là H.323. Giao thức

H.323 đƣợc phát triển bởi ITU_T, H.323 cung cấp nền tảng kỹ thuật cho truyền thông đa

phƣơng tiên nhƣ: Audio thời gian thực, video và thông tin dữ liêu qua mạng chuyển

mạch goi, bao gồm internet.

H.323 phiên bản đâu tiên đƣợc ITU_T đƣa ra vào năm 1996. Trong quá trình phát

triển H.323 đã đƣợc nâng cấp và sửa đổi để ngày càng hoàn thiên. Các phiên bản muộn

hơn của H.323 đƣợc đƣa ra vào các năm: H.323 v1 năm 1998, H.323 v2 năm 1999,

H.323 v3 năm 2000, H.323 v4 năm 2003, H.323 v5 năm 2005, H.323 v6 năm 2006.

Đi kèm theo chuẩn H.323 là một chồng các giao bao gồm chức năng thiết lập, điều

khiển, quản lý thông tin đa phƣơng tiên và quản lý băng thông, ngoài ra con cung cấp các

giao diên giữa LAN và các mạng khác.

3.1.1. Thành phần mạng VoIP với chuẩn H.323

Hình 22. Mô hình mạng VoIP với chuẩn H.323


33

Hình 22 chỉ ra các thành phân của một hê thống mang H .323. Bao gồm: Thiết bị

đâu cuối (terminal), gateway, gatekeepers, và đơn vị điều khiển đa điểm (MCU).

3.1.1.1. Terminals

Hình 23. Thiết bị đầu cuối H.323

Một đâu cuối H.323 phải co một đơn vị điều khiển hê thống (system control unit),

bộ phát đa phƣơng tiên (media transmission), bộ codec, một giao diên mạng. Các nhu

câu tùy chọn bao gồm bộ video codec và dữ liêu ứng dụng.

Những chức năng và khả năng bên trong phạm vi của thiết bị đâu cuối H.323 :

System Control Unit: Cung cấp chức năng điều khiển cuộc gọi RAS, H.225 và

H.245, khả năng trao đổi, nhắn tin, và tín hiêu lênh cho hoạt động tốt của thiết

bị đâu cuối.

Media Transmission: Định dạng các dữ liêu đƣợc truyền nhƣ: Audio, video,

dong điều khiển và các bản tin trên giao diên mạng. Media Transmission cũng

thu audio, video, dữ liêu, dong điều khiển và các bản tin từ giao diên mạng.

Audio Codec: Bô Mã hoa và giải mã các tín hiêu audio. Chức năng thực hiên bao

gồm mã hoa và giải mã tiếng noi theo chuân G.711 và chuyển đổi giữa luât µ và

luật a. Con hỗ trợ các luật mã hoa tùy chọn G.722, G.723.1, G.728, và G.729.

Network interface: Giao diên mạng cơ bản cung cấp khả năng kết nối end

-to-end và các giao thức TCP, UDP.

Video Code: Thành phân tùy chọn, nếu đƣợc hỗ trợ thì no co khả năng mã hóa

và giải mã các chuẩn video nhƣ: H.261, QCIF.

Data Channel: Hỗ trợ các ứng dụng giống nhƣ truy cập cơ sở dữ liêu, truyền

file, đƣợc đề cập trong T.120.


34

3.1.1.2. Gateway

Gateway thực hiên viêc kết nối mạng VoIP-H.323 với các mạng khác ví dụ PSTN.

Cung cấp chuyển đổi giữa các dạng audio, video và dữ liêu cũng nhƣ các giao thức trong

quá trình thiết lập, duy tri và kết thúc cuộc gọi ở cả hai phía mang H.323 và SCN.

Thành phân Gateway sẽ không cân thiết nêu VoIP – H.323 không kết nối với một

mạng khác. Vì vậy các điểm đâu cuối chuân H.323 co thể liên lạc trực tiếp không thông

qua kết nối với một Gateway. Gateway hoạt động nhƣ một terminal hay MCU trên mạng

VoIP và nhƣ SCN terminal hay MCU trên mạng SCN.

Hình 24. Giao diện liên kết gateway

Có 3 loại gateway:

Singnalling Gateway (SG): Cung cấp chức năng báo hiêu giữa mạng IP và

mạng SCN. Là phân tử trung gian chuyển đổi báo hiêu trong mạng IP với báo

hiêu trong SCN.

Media Gateway (MG): Cung cấp phƣơng tiên để thực hiên chức năng chuyển

đổi mã hoa giữa mạng IP và mạng SCN.

Media Gateway Controler (MGC): Kết nối MG, SG và Gatekeeper. Xƣ lý cuộc

gọi cho Gatekeeper, điều khiển MG nhận thông tin báo hiêu từ SG và thông tin

báo hiêu IP từ Gatekeeper.

3.1.1.3. Gatekeeper

Gatekeeper là một thành phân tùy chọn trong mạng, nếu Gatekeeper tồn tại trong

mạng thì no cung cấp chức năng quản lý viêc đăng ký, chấp nhận, lƣu giữ trạng thái của

các đâu cuối cũng nhƣ Gateway. No tham gia vào viêc quản lý vùng, xử lý, báo hiêu

cuộc gọi.

Khi Gatekeeper co mặt trong mạng thì chức năng của no đƣợc chia thành hai

nhóm: nhóm chức năng băt buôc và nhom chức năng không bắt buộc.


35

Chức năng bắt buộc của Gatekeeper:

Chức năng dịch địa chỉ: Gatekeeper sẽ thực hiên viêc chuyển đổi từ một địa chỉ

hình thức (dạng tên gọi) của các thiết bị đâu cuối và gateway sang địa chỉ

truyền dẫn thực trong mạng (địa chỉ IP). Chuyển đổi này dựa trên bảng đối

chiếu địa chỉ đƣợc cập nhật thƣờng xuyên băng bản tin đăng ký dịch vụ của các

đâu cuối. Cụ thể là: Chuyển đổi từ địa chỉ E.164 (số) sang tên gọi H.323 và

ngƣợc lại. Chuyển đổi từ tên gọi H.323 sang địa chỉ IP để truyền hoặc nhận các

bản tin H.225.

Điều khiển truy cập: Gatekeeper cho phép một truy cập mạng LAN băng cách

sử dụng các bản tin RAS (ARQ/ACF/ARJ). Viêc điều khiển này dựa trên sự

cho phép cuộc gọi, băng thông hoặc các thông số khác do nhà sản xuất quy

định.

Điều khiển băng thông:Quản lý băng thông cung cấp cho điểm cuối và đảm bảo

băng thông duy trì cuộc gọi băng cách sử dụng bản tin RAS (BRQ /BCF /BRJ).

Quản lý miền mạng: Một miền là một nhóm các đâu cuối H.323, các Gateway,

MCU đƣợc quản lý bởi một Gatekeeper. Trong một miền có tối thiểu một đâu

cuối H.323, mỗi miền chỉ có duy nhất một Gatekeeper. Một miền hoàn toàn có

thể độc lập với cấu trúc mạng, bao gồm nhiều mạng đƣợc kết nối với nhau.

Thông qua các chức năng: Dịch địa chỉ, điều khiển truy cập, điều khiển độ rộng

băng tân, Gatekeeper cung cấp khả năng quản lý miền.

Chức năng không bắt buộc của Gatekeeper:

Điều khiển báo hiêu cuộc gọi: Gatekeeper co thể lựa chọn giữa hai phƣơng

thức điều khiển để báo hiêu cuộc gọi. Một là kết hợp với kênh báo hiêu trực tiếp

giữa các đâu cuối để hoàn thành báo hiêu cuộc gọi. Hai là sử dụng các kênh báo

hiêu của no để xử lý báo hiêu cuộc gọi, theo phƣơng thức này thì Gatekeeper sẽ

không phải giám sát báo hiêu trên kênh H.225.

Hạn chế truy cập: Gatekeeper sử dụng kênh báo hiêu RAS để từ chối một cuộc

gọi của một thiết bị đâu cuối khi nhận thấy co lỗi trong viêc đăng ký.

Quản lý băng thông: Gatekeeper có thể từ chối một yêu câu kết nối của một đâu

cuối khi no nhận thấy không đủ băng thông.

Quản lý cuộc gọi: Một ví dụ cụ thể về chức năng này của Gatekeeper là nó lƣu

danh sách tất cả các cuộc gọi H.323 hƣớng đi đang thực hiên để chỉ thị các thuê

bao bị gọi nào đang bận và cung cấp thông tin cho chức năng quản lý độ rộng

băng thông.


36

3.1.1.4. Đơn vi điêu khiên đa điêm ( MCU )

MCU là một điểm cuối trong mạng, nó cung cấp khả năng điều khiển và quản lý

nhiều thiết bị đâu cuối cùng tham gia vào một liên kết đa điểm (multipoint conference),

với vai trò của ngƣời chủ tọa. MCU bao gồm một MC (Multipoimt Controller) bắt buộc

phải có và một MP (Multipoint Processor) có thể có hoặc không. MC và MP là các thành

phân của MCU nhƣng có thể chúng không tồn tại trong một thiết bị độc lập mà đƣợc

phân tán trong các thiết bị khác.

Multipoint control (MC): Hỗ trợ cuộc đàm thoại giữa ba hoặc nhiều hơn các

điểm đâu cuối trong một cuộc hội thoại đa điểm. Nhiêm vụ của MC là điều tiết

khả năng audio, video, data giữa các thiết bị đâu cuối theo giao thức H.245.

Chức năng MC co thể tồn tại trong terminal, Gateway, Gatekeeper hoặc MCU.

Multipoint processor (MP): Chức năng thu audio, video hay dong dữ liêu rồi

phân phối cho các thành phân trong cuộc đàm thoại.

3.1.1.5. H.323 Proxy Server

H.323 Proxy server hoạt động trên lớp ứng dụng. Proxy server co thể do tìm đích

của cuộc gọi và thực thi kết nối nếu no đƣợc yêu câu. Proxy hỗ trợ các chức năng sau:

Cung cấp dịch vụ đảm bảo QoS cho các đâu cuối băng cách sử dụng giao thức

RSVP.

Hỗ trợ khả năng định tuyến cho dong lƣu lƣợng H.323 từ luồng dữ liêu bình

thƣờng qua ứng dụng định tuyến đặc biêt.

Một Proxy server co khả năng chuyển đổi địa chỉ mạng, cho phép nút H.323

triển khai trong mạng với địa chỉ riêng của mình.

Proxy co thể đƣợc triển khai cùng với firewall nhăm cung cấp tính bảo mật cho

cuộc gọi H.323.

3.1.2. Chồng giao thức H.323

Hình 25. Kiến trúc phân tầng của H.323


37

Chồng giao thức H.323 dựa trên một vài giao thức đƣợc biểu diên trên hình 25.

Các giao thức báo hiêu và điều khiển gồm: RAS, H.225, H.245.

3.1.2.1. RAS signaling

RAS cung cấp điều khiển trƣớc cuộc gọi trong mạng H.323 co tồn tại Gatekeeper

và một vùng dịch vụ (do Gatekeeper đo quản lý). RAS đƣợc thiết lập giữa các thiết bị

đâu cuối và Gatekeeper qua mạng IP. Kênh RAS đƣợc mở trƣớc khi các kênh khác đƣợc

thiết lập và độc lập với các kênh điều khiển cuộc gọi và media khác. Báo hiêu RAS đƣợc

xem là ít tin cậy vì no đƣợc truyền trên UDP. Bởi vì các bản tin RAS đƣợc truyền trên

kênh không tin cậy nên chúng phải đƣợc đặt một khoảng thời gian timeout và số lân phát

lại khi không nhận đƣợc hồi âm. Một điểm cuối hoặc Gatekeeper không thể đáp ứng lại

một yêu câu trong thời gian timeout thì nó phải trả lại băng bản tin RIP (Request in

Progress) để cho biết nó đang xử lý yêu câu. Khi nhận đƣợc bản tin RIP, thời gian

timeout và số lân phát lại đƣợc khởi động lại. RAS thực hiên một số chức năng: Tìm

kiếm Gatekeeper, đăng ký, định vị điểm cuối, admissions và các chức năng khác.

Hình 26. Các bản tin RAS


38

Tìm kiếm Gatekeeper

Tìm kiếm Gatekeeper co thể đƣợc thực hiên thủ công hoặc tự động, mà một thiết bị

đâu cuối tìm kiếm Gatekeeper để no thực hiên đăng ký. Trong quá trình thủ công, điểm

cuối đƣợc cấu hình cùng địa chỉ IP của Gatekeeper, và vì vậy no sẽ đăng ký trực tiếp.

Nhƣng chỉ với một Gatekeeper định trƣớc. Trong phƣơng thức tự động cho phép một

điểm cuối không nhất thiết biết trƣớc Gatekeeper của no, no tìm kiếm Gatekeeper của no

thông qua bản tin multicast. Địa chỉ multicast tìm kiếm Gatekeeper là 224.0.1.41, với

trên cổng UDP 1718. Trong tìm kiếm tự động một đâu cuối sẽ gửi bản tin multicast

Gatekeeper Request (GRQ). Gatekeeper chấp nhận sẽ gửi bản tin Gatekeeper Confirm

(GCF) và không chấp nhận sẽ gửi bản tin Gatekeeeper Reject (GRJ).

Hình 27. Tìm kiếm Gatekeeper

Đăng ký với Gatekeeper

Đăng ký cho phép các Gateway, các điểm cuối và MCU tham gia vào một miền

dịch vụ do Gatekeeper quản lý và thông tin tới Gatekeeper địa chỉ IP và địa chỉ bí danh

của no. Tiến trình này thực hiên sau khi tiến trình tìm kiếm Gatekeeper thành công. Các

bản tin RAS dƣới đây đƣợc dùng để tiến hành đăng ký và hủy đăng ký :

Registration Request (RRQ): Gửi từ một điểm cuối tới địa chỉ kênh RAS của

Gatekeeper. Địa chỉ này đƣợc xác định trong quá trình tìm Gatekeeper.

Registration Confirm (RCF): Gửi từ Gatekeeper để xác nhận cho phép một

điểm cuối đƣợc đăng ký.

Registration Reject (RRJ): Gửi từ một điểm cuối hoặc Gatekeeper không chấp

nhận đăng ký.

Unregister Request (URQ): Gửi từ một điểm cuối hoặc Gatekeeper để hủy bỏ

đăng ký đã tồn tại.


39

Unregister Confirm (UCF): Gửi từ một điểm cuối hoặc Gatekeeper chấp nhận

hủy bỏ đăng ký.

Unregister Reject (URJ): Chỉ thị răng điểm cuối chƣa đƣợc đăng ký.

Các thủ tục đƣợc minh họa ở hình 28.

Hình 28. Điểm cuối đăng ký, điểm cuối và Gatekeeper hủy đăng ký

Định vị điểm cuối

Các điểm cuối và Gatekeeper sử dụng endpoint Location để co đƣợc những thông

tin khác khi chỉ co thông tin bí danh đƣợc chỉ ra. Bản tin định vị đƣợc gửi tới địa chỉ

kênh RAS của Gatekeeper hoặc gửi quảng bá tới địa chỉ multicast tìm kiếm Gatekeeper.

Các điển cuối và Gatekeeper co thể chứa một hoặc nhiều địa chỉ E.164 bên ngoài miền

dịch vụ theo yêu câu. Co thể sử dụng ba bản tin sau để xác định vị trí điểm cuối:

Location Request (LRQ): Gửi bởi điểm cuối hay Gatekeeper để đạt đƣợc thông

tin cho một hay nhiều địa chỉ dạng E.164.

Location confirm (LCF): Gửi bởi Gatekeeper và chứa địa chỉ kênh báo hiêu

cuộc gọi hoặc địa chỉ kênh RAS của chính no hay điểm cuối đƣợc yêu câu.

Location Reject (LRJ): Gửi bởi Gatekeeper, để thông báo từ chối yêu câu của

LRQ khi yêu câu của điểm cuối là không đăng ký hoặc tài nguyên không co

sẵn.


40

Admission

Bản tin admission giữa các điểm cuối và Gatekeeper cung cấp cơ sở cho điều khiển

thiết lập cuộc gọi và băng thông. Gatekeepr cho phép truy cập vào mạng H.323 băng

cách xác nhận hay từ chối một yêu câu admission. Một yêu câu admission bao gồm các

băng thông yêu câu, mà Gatekeeper co thể rút gọn sự xác nhận. Các bản tin nhƣ sau:

Admission Request (ARQ): Gửi bởi điểm cuối để thiết lập cuộc gọi

Admission Confirm (ACF): Cho phép thiết lập cuộc gọi. Bản tin này co chứa

địa chỉ IP của thiết bị đƣợc gọi hay gatekeeper và cho phép gatekeeper nguồn

thiết lập cuộc gọi.

Admission Reject (ARJ): Không cho phép điểm cuối thiết lập cuộc gọi

Thông tin trạng thái

Gatekeeper co thể sử dụng kênh RAS để co đƣợc thông tin trạng thái từ một điểm

cuối. Ta co thể sử dụng thông tin này để theo dõi trạng thái online hay offline của điểm

cuối trong tình trạng mạng bị lỗi. Chu kỳ của bản tin thăm do trạng thái là 10 giây. Trong

suốt cuộc gọi, Gatekeeper cũng co thể yêu câu điểm cuối gửi định kỳ thông tin trạng thái.

Ba bản tin sau đây co thể cung cấp thông tin trạng thái trên kênh RAS:

Information Request (IRQ): Đƣợc gửi từ Gatekeeper tới điểm cuối yêu câu

cung cấp thông tin trạng thái.

Information Request Response (IRR): Đƣợc gửi từ điểm cuối tới Gatekeeper

trả lời cho bản tin IRQ. Bản tin này cũng đƣợc gửi theo chu kỳ.

Status Enpuiry Sent: Điểm cuối hoặc Gatekeeper co thể gửi bản tin này tới

điểm cuối khác để xác thực trạng thái cuộc gọi.

Điều khiển băng thông

Các điểm cuối sử dụng các bản tin RAS để yêu câu thay đổi băng thông trong suốt

quá trình cuộc gọi. Các bản tin điều khiển băng thông nhƣ sau:

Bandwidth Request (BRQ): Đƣợc gửi bởi điểm cuối tới Gatekeeper để yêu câu

tăng hoặc giảm băng thông cho cuộc gọi.

Bandwidth Confirm (BCF): Đƣợc gửi bởi Gatekeeper trả lời chấp nhận viêc

yêu câu thay đổi băng thông.

Bandwidth Reject (BRJ): Đƣợc gửi bởi Gatekeeper trả lời từ chối yêu câu thay

đổi băng thông (gửi đi, nếu băng thông yêu câu hiên không co sẵn).

Kết thúc cuộc gọi

Trƣớc khi kết thúc cuộc gọi, thiết bị đâu cuối dừng hết mọi kết nối và đong các


41

kênh logic la i. Sau đo no sẽ ngắt phiên H.245 và gửi tín hiêu RLC trên kênh báo hiêu

cuộc gọi. Nếu không có Gatekeeper thì cuộc gọi sẽ đƣợc hủy, con nếu co Gatekeeper thì

những bản tin sau sẽ đƣợc sử dụng truyền trên kênh RAS để kết thúc cuộc gọi:

Disengage Request (DRQ): Gửi bởi thiêt bi đâu cuối hoặc Gatekeeper để yêu

câu kết thúc cuộc gọi.

Disengage Confirm (DCF): Gửi bởi thiêt bi đâu cuối hoặc Gatekeeper để chấp

nhận kết thúc cuộc gọi.

Disengage Reject (DRJ): Gửi bơi thiêt bi đâu cuối hoặc Gatekeeper thông báo

không chấp nhận kết thúc cuộc gọi.

3.1.2.2. Giao thức điều khiển báo hiệu cuộc gọi (H.225)

Giao thức H.225 dùng để thiết lập liên kêt giữa các điểm cuối H.323, thông qua

liên kết đo các dữ liêu thời gian thực sẽ đƣợc truyền đi.

Quá trình báo hiêu cuộc gọi đƣợc bắt đâu bởi bản tin Setup đƣợc gửi đi trên kênh

báo hiêu H.225. Theo sau bản tin này là một chuỗi các bản tin phục vụ cho quá trình thiết

lập cuộc gọi. H.225 sử dụng các bản tin báo hiêu Q.931. Một kênh điều khiển cuộc gọi

tin cậy đƣợc thiết lập dựa trên giao thức TCP/IP tại cổng 1720. Đây là cổng khởi tạo bản

tin điều khiển cuộc gọi Q.931 giữa hai điểm cuối với mục đích kết nối, bảo trì và ngắt kết

nối cuộc gọi.

Các bản tin Q.931 và Q.932 thƣờng đƣợc sử dụng trong báo hiêu cuộc gọi VoIP:

Setup: Đƣợc gửi từ thực thể H.323 chủ gọi để cố gắng thiết lập kết nối tới thực

thể H.323 bị gọi qua cổng 1720 TCP/IP.

Call Proceeding: Thực thể bị gọi gửi bản tin này tới thực thể chủ gọi để thông

báo răng thủ tục thiết lập đã đƣợc khởi tạo.

Alerting: Gửi từ thực thể bị gọi, thông báo chuông bên bị gọi bắt đâu rung.

Connect: Đƣợc gửi từ thực thể bị gọi thông báo đã trả lời cuộc gọi. Bản tin

connect co thể chứa địa chỉ truyền vận UDP/IP cho tín hiêu điều khiển H.245.

Release Complete: Đƣợc gửi bởi điểm cuối để khởi tạo ngắt kết nối, bản tin chỉ

thị cuộc gọi đang đƣợc giải phong. Bản tin này chỉ co thể gửi đi nếu kênh báo

hiêu cuộc gọi đƣợc mở hoặc đang hoạt động.

Facility: Đây là một bản tin Q.932 dùng để yêu câu hoặc phúc đáp các dịch vụ

bổ sung. No cũng đƣợc dùng để cảnh báo răng một cuộc gọi sẽ đƣợc định tuyến

trực tiếp hay thông qua Gatekeeper.


42

Các bản tin trong quá trình thiết lập cuộc gọi

Hình 29. Báo hiệu thiết lập cuộc gọi

Các kênh báo hiêu cuộc gọi đƣợc định tuyến theo một trong hai phƣơng thức:

Gatekeeper định tuyến báo hiêu cuộc gọi và báo hiêu cuộc gọi trực tiếp giữa hai điểm

cuối.

Thứ nhất là các bản tin báo hiêu cuộc gọi giữa hai điểm cuối đƣợc định tuyến

thông qua gatekeeper (hình 30).

Thứ hai là các bản tin báo hiêu cuộc gọi đƣợc gửi trực tiếp giữa hai điểm cuối

(hình 31).

Hình 30. Gatekeeper định tuyến báo hiệu cuộc gọi giữa hai điểm cuối


43

Hình 31. Báo hiệu cuộc gọi trực tiếp giữa hai điểm cuối

Cả hai phƣơng thức này đều sử dụng các kết nối giống nhau với cùng mục đích,

dạng bản tin đƣợc sử dụng cũng giống nhau, các bản tin thiết lập báo hiêu đƣợc trao đổi

trên kênh RAS của Gatekeeper, sau đo tới trao đổi bản tin báo hiêu cuộc gọi trên kênh

báo hiêu cuộc gọi. Tiêp theo thiết lập kênh điều khiển H.245.

Trong phƣơng thức Gatekeeper định tuyến các bản tin thì Gatekeeper có thể đong

kênh báo hiêu cuộc gọi khi viêc thiết lập cuộc gọi hoàn thành hoặc vẫn duy trì kênh này

để hỗ trợ các dịch vụ bổ sung. Chỉ có Gatekeeper mới có thể đong kênh báo hiêu cuộc

gọi, nhƣng khi Gateway tham gia vào cuộc gọi thì các kênh này không đƣợc phép đong.

3.1.2.3. Giao thức điều khiển cuộc gọi H.245

Giao thức điều khiển H.245 dùng để thực hiên viêc giám sát các hoạt động của các

thực thể H.323. Chức năng H.245 là thiết lập các kênh logic cho viêc truyền audio, video,

data và thông tin kênh điều khiển. Giữa hai điểm cuối đƣợc thiết lập một kênh H.245 cho

một cuộc gọi. Kênh điều khiển tin cậy đƣợc tạo trên nền IP với cổng TCP đƣợc cấp phát

động. H.245 co khả năng giám sát các hoạt động của các thực thể H.323 bao gồm: Trao

đổi khả năng của các đâu cuối, đong mở các kênh logic, điều khiển luông, quyết định

chủ tơ và chỉ thị khác.

Trao đổi khả năng: Bao gồm các bản tin đảm bảo trao đổi khả năng giữa hai

điểm cuối. Bản tin chỉ khả năng truyền và khả năng nhận của thiết bị đâu cuối

về audio, video, data tới một phân của thiết bị đâu cuối. Với audio, trao đổi khả

năng bao gồm chuyển mã tiếng giống nhƣ: G.729, G.728, G.711, G.723, G.722.

Thƣơng lƣợng chủ tớ: Thủ tục này đƣợc sử dụng để xác định chủ, tớ trong một

cuộc gọi. Quan hê này đƣợc tồn tại trong suốt cuộc gọi và đƣợc sử dụng để giải

quyết xung đột giữa các điểm cuối. Luật chủ tớ cũng đƣợc sử dụng khi cả hai

điểm cuối co yêu câu giống nhau tại cùng một thời gian.


44

Round-Trip Delay: Xác định thời gian trê giữa phía phát và phía thu. Dựa vào

thông số này để xác định trạng thái hoạt động của kết nối.

Báo hiêu trên kênh logic: Để thực hiên viêc mở và đong các kênh logic (nó

mang audio, video và thông tin dữ liêu). Các kênh này đƣợc thiết lập trƣớc khi

thông tin đƣợc truyền trên đo. Báo hiêu này co thể thiết lập kênh đơn hƣớng

hoặc song hƣớng. Sau khi kênh logic thiết lập thành công, cổng UDP cho kênh

truyền thông RTP đƣợc mở từ phía nhận tới phía phát. Khi sử dụng định tuyến

qua Gatekeeper thì Gatekeeper sẽ chuyển hƣớng luồng RTP băng cách cung

cấp địa chỉ UDP/IP thực của thiết bị đâu cuối. Luồng RTP sẽ truyền trực tiếp

giữa hai thiết bị đâu cuối với nhau.

Nếu trong mạng co sự tồn tại của Gatekeeper thì viêc định tuyến kênh H.245 sẽ

thực hiên theo hai cách: Thông qua Gatekeeper hoặc kênh điều khiển H.245 đƣợc thiết

lập trực tiếp giữa hai điểm cuối. Tùy chọn này phụ thuộc vào Gatekeeper.

Hình 29. Kênh H.245 được thiết lập thông qua Gatekeeper

Hình 30. Kênh H.245 được thiết lập trực tiếp


45

3.1.3. Các thủ tục báo hiệu va xử lý cuộc gọi VoIP-H.323

Cuộc gọi trong H.323 đƣợc chia thành 5 giai đoạn:

Giai đoạn 1: Thiết lập cuộc gọi giữa hai điêm cuối. Trong cuộc gọi VoIP thiết

lập cuộc gọi đƣợc thực hiên theo hai cách: Thiết lập trực tiếp giữa các điểm

cuối hoặc thiết lập cuộc gọi thông qua Gatekeeper. Thiết lập cuộc gọi co thể

phân ra các trƣờng hợp sau:

Báo hiêu trực tiếp giữa hai điểm cuối, trong mạng không tồn tại Gatekeeper.

Cả hai điểm cuối đều đăng ký với một Gatekeeper.

Chỉ co điểm cuối chủ gọi đăng ký với Gatekeeper.

Hai điểm cuối đăng ký với hai Gatekeeper.

Thiết lập cuộc gọi thông qua Gateway.

Giai đoạn 2: Thiết lập kênh điều khiển và trao đổi khả năng. Các điểm cuối

thiết lập kênh điều khiển H.245. Bản tin đâu tiên đƣợc trao đổi giữa các điểm

cuối là TerminalCapabilitySet để các bên thông báo cho nhau khả năng làm

viêc của mình. Mỗi một điểm cuối đều co đặc tính riêng noi lên khả năng về chế

độ mã hoa, truyền, nhận và giải mã các tín hiêu đa dịch vụ. Kênh điều khiển co

thể do bên thuê bao bị gọi thiết lập sau khi no nhận đƣợc bản tin Set-up hoặc do

thuê bao chủ gọi thiết lập khi no nhận đƣợc bản tin Alerting hoặc Call-

-Proceeding. Trong trƣờng hợp không nhận đƣợc bản tin Connect hoặc điểm

cuối gửi Release Complete, thì kênh điều khiển H.245 sẽ đƣợc giải phong.

Giai đoạn 3: Thiết lập kênh thông tin truyền thông tín hiêu audio, video, data.

Sau khi thực hiên xong giai đoạn 2 và các kênh logic đã đƣợc mở để truyền tín

hiêu băng giao thức RTP và RTCP.

Giai đoạn 4: Dịch vụ cuộc gọi. Ở giai đoạn này cuộc gọi co thể thực hiên một số

dịch vụ nhƣ: Thay đổi băng thông, giám sát trạng thái hoạt động, hội nghị đặc

biêt và các dịch vụ bổ sung.

Giai đoạn 5: Kết thúc cuộc gọi. Khi một điêm cuối muốn kết thúc một cuộc gọi

no thực hiên nhƣ sau:

Dừng truyền các tín hiêu audio, video, dữ liêu sau đo đong tất cả các kênh

logic phục vụ cho cuộc gọi.

Truyền bản tin H.245 EndSessionComand trên kênh điều khiển H.245 để

báo cho thuê bao đâu kia biết no muốn kết thúc cuộc gọi. Sau đo no dừng

truyền các bản tin H.245 và đong kênh điều khiển H.245.

Chờ nhận bản tin EndSessionCommand từ phía đâu kia và đong kênh H.245.

Nếu kênh báo hiêu cuộc gọi đang mở thì no sẽ truyền đi bản tin


46

Release -Comlete sau đo đong kênh báo hiêu.

Trong cuộc gọi không co sự tham gia của Gatekeeper thì điểm cuối chỉ cân thực

hiên các thủ tu c nhƣ trên là xong. Nhƣng nếu trong cuộc gọi co sự tham gia của

Gatekeeper thì ngoài thực hiên các thủ tục trên điểm cuối con phải thực hiên các hoạt

động giải phong băng tân với Gatekeeper thông qua bản tin RAS (DRQ /DCF).

Các giai đoạn của một cuộc gọi trong từng trƣờng hợp cụ thể co thể khác nhau.

Dƣới đây là một số cuộc gọi thƣờng xảy ra trong mạng VoIP-H.323.

3.1.3.1. Cuộc gọi không có sự tham gia của Gatekeeper

Đây là cuộc gọi đơn giản, các thủ tục đƣợc thực hiên trực tiếp giữa hai điểm cuối

H.323. Do không co mặt Gatekeeper nên để thực hiên kết nối trực tiếp các đâu cuối phải

biết chích xác địa chỉ của phía bị gọi mà không phải là bí danh.

Trên hình biểu diên các bƣớc thiêt lâp cuộc gọi.

Hình 31. Thiết lập cuộc gọi không có mặt Gatekeeper

1. Phía gọi sẽ khởi tạo một phiên H.225. Mở một kết nối TCP trên cổng 1720 cho

các bản tin Q.931.

2. Thủ tục Setup dựa trên bản tin Q.931 tạo một kênh báo hiêu cuộc gọi giữa hai

điểm cuối. Bản tin Setup đƣợc bên gọi gửi đến điêm cuối bị gọi.

3. Điểm cuối mở kênh điều khiển H.245. H.245 cung cấp chức năng đàm phán

khả năng và thay đổi các kênh logic.

4. Các kênh logic đƣơc mở phục vụ cho một phiên RTP.

5. Khi các kênh logic đã đƣợc mở. Các điểm đâu cuối sẽ truyền thông tin của mình

qua các kênh logic này.


47

6. Khi một đâu cuối co nhu câu chấm dứt cuộc gọi no sẽ gửi bản tin End Session

-Command đến đâu cuối kia. Và chờ nhận đƣợc phản hồi từ đâu cuối kia. Sau

khi nhận đƣợc phản hồi no sẽ gửi bản tin Release Complete để hoàn thành kết

thúc cuộc gọi.

3.1.3.2. Cuộc gọi giữa hai điểm đầu cuối đăng ký chung một Gatekeeper

3.1.3.2.1. Định tuyến các kênh báo hiệu va điêu khiển không thông qua gatekeeper

Trong cuộc gọi loại này mặc dù co tồn tại Gatekeeper, các điểm đâu cuối vẫn phải

thực hiên đây đủ các thủ tục tìm kiếm, đăng ký với gatekeeper thông qua kênh báo hiêu

RAS, nhƣng khi định tuyến các kênh báo hiêu H.255 và kênh điều khiển cuộc gọi H.245

thì các điêm cuối thực hiên trực tiếp với nhau.

Một ví dụ về cuộc gọi cho trƣờng hợp này đƣợc biểu diên ở hình 32.

Ban đâu điểm đâu cuối gọi sẽ thực hiên khởi tạo các bản tin admission để thông

báo cho Gatekeerper về cuộc gọi. Các bản tin Admission (ARQ/ACF) đƣợc gửi thông

qua kênh RAS. Sau khi nhận đƣợc trả lời ACF từ Gatekeeper, (trong bản tin ACF co địa

chỉ kênh báo hiêu) phía chu gọi căn cứ vào địa chỉ này gửi bản tin setup tới phía bị gọi.

Nếu chấp nhận cuộc gọi, phía bị gọi sẽ thực hiên thông báo cho Gatekeeper của no thông

qua bản tin RAS. Gatekeeper cũng cung cấp cho phía bị gọi địa chỉ kênh báo hiêu, sau

đo phía bị gọi gửi bản tin Alerting và bản tin Connect tới chủ gọi, thông báo hoàn thành

thiết lập cuộc gọi. Bƣớc tiếp theo các đâu cuối sẽ mở kênh điều khiển H.245. Các bản tin

H.245 sẽ đƣợc gửi và xác nhận bởi hai đâu cuối để thực hiên một số chức năng điều

khiển nhƣ: Thƣơng lƣợng chủ tớ, trao đổi khả năng, mở kênh logic. Lúc này các kênh

logic phục vụ cho truyền dữ liêu cuộc gọi đã đƣợc mở, hai bên đâu cuối bắt đâu truyền

các thông tin của ngƣời dùng. Trong suốt quá trình của cuộc gọi kênh điều khiển H.245

vẫn tồn tại, no thực hiên giám sát và cung cấp các dịch vụ mà đâu cuối yêu câu. Khi một

đâu cuối co nhu câu chấm dứt cuộc gọi, no sẽ gửi bản tin End SessionCommand đến đâu

cuối kia và đợi nhận trả lời từ đâu cuối kia, sau đo no sẽ gửi tiếp bản tin Release

-Complete và đong các kênh điều khiển để hoàn tất cuộc gọi. Trong cuộc gọi co mặt của

Gatekeeper, vì vậy để hoàn tất kết thúc cuộc gọi thì các điểm đâu cuối và G atekeeper

phải thực hiên quá trình giải phong băng thông qua cặp bản tin (DRQ/DCF).


48

Hình 32. Cuộc gọi có mặt của Gatekeeper nhưng không tham gia định tuyến

3.1.3.2.2. Định tuyến các kênh báo hiệu thông qua Gatekeeper

Trong cuộc gọi này các bƣớc thực hiên tƣơng tự nhƣ cuộc gọi ở phân trên nhƣng ở

cuộc gọi này mọi thông tin báo hiêu đều phải thông qua Gatekeeper. Ban đâu, đâu cuối

gọi sẽ thực hiên thông báo với Gatekeeper thông qua kênh RAS băng bản tin (ARQ

-/ACF). Khi nhận đƣợc ACF co chứa địa chỉ kênh báo hiêu của Gatekeeper, phía chủ gọi

sẽ căn cứ vào địa chỉ này gửi bản tin Setup tới Gatekeeper. Sau đo Gatekeeper sẽ gửi

Setup tới phía bị gọi. Nếu phía bị gọi chấp nhận cuộc gọi, no sẽ trao đổi ARQ/ACF với

Gatekeeper. Nếu nhận đƣợc ARJ thì phía bị gọi sẽ gửi bản tin Release Complete tới

Gatekeeper. Tiếp theo đâu cuôi bị gọi sẽ gửi các bản tin Alerting và bản tin Connect tới

chủ gọi thông qua gatekeeper để báo hiêu hoàn thành thiết lâp cuộc gọi. Sau khi cuôc goi

đƣơc thiêt lâp, các bƣớc thiết lập kênh điều khiển cũng nhƣ duy trì và kết thúc cuộc gọi

tƣơng tự nhƣ cuộc gọi phân tích ở phân trên.


49

Hình 33. Báo hiệu cuộc gọi được định tuyến thông qua một gatekeeper

3.1.3.3. Cuộc gọi của hai đầu cuối ở hai miên mang khac nhau

Trên thực tế hê thống mạng VoIP-H.323 đƣợc phát triển với nhiều khu vực, mỗi

khu vực đƣợc gọi là các miên (zone), mỗi miên co một Gatekeeper kiểm soát các điểm

cuối. Nhƣ vậy cuộc gọi giữa các đâu cuối thuộc hai vùng khác nhau sẽ thiết lập các kênh

báo hiêu thông qua hai Gatekeeper mà no đăng ký.

Hình 34. Mạng VoIP – H.323 với nhiều vùng dịch vụ


50

Hình 35. Thiêt lâp cuộc gọi giữa hai điểm cuối thuộc hai vùng dịch vụ

Trong trƣờng hợp này ban đâu cuộc gọi đƣợc khởi tạo và kênh báo hiêu chỉ đƣợc

định tuyến bởi Gatekeeper 1, nhƣng Gatekeeper 2 muốn sử dụng Gatekeeper định tuyến

kênh báo hiêu nên nó gửi địa chỉ kênh báo hiêu cuộc gọi của no trong bản tin ARJ(7).

Điểm cuối bị gọi gửi bản tin Facility(8) tới Gatekeeper 1 để yêu câu setup lại cuộc gọi.

Gatekeeper 1 gửi lại bản tin setup (10) tới Gatekeeper 2. Gatekeeper 2 gửi bản tin setup

(11) tới điểm cuối 2. Điểm cuối 2 gửi khởi tạo ARQ /ACF cùng Gatekeeper 2. Điểm

cuối 2 sẽ gửi tiếp bản tin Connect (15) chứa địa chỉ kênh điều khiển H.245 của no tới

Gatekeeper 2. Gatekeeper 2 gửi bản tin Connect (16) tới Gatekeeper 1 chứa địa chỉ kênh

H.245 của điểm cuối 2 hoặc địa chỉ kênh H.245 của chính no tùy thuộc vào chọn chế độ

định tuyến kênh H.245. Gatekeeper 1 sẽ gửi bản tin Connect (17) tới điểm cuối 1. Sau đo

kênh điều khiển H.245 sẽ đƣợc mở để thực hiên các chức năng điều khiển. Sau khi

H.245 mở kênh logic, hai điểm cuối bắt đâu truyền thông tin của ngƣời dùng. Khi một

điểm cuối co nhu câu chấm dứt cuộc gọi thì no thực hiên các thủ tục chấm dứt cuộc gọi

nhƣ chỉ ra ở phân trên.


51

3.1.4. Nhận xét về mạng VoIP-H.323

Mạng H.323 là một hê thống lai ghép đƣợc xây dựng bởi thành phân trung tâm

gatekeepers thông minh, MCUs thông minh và các đâu cuối kém thông minh . Mặc dù

chuân H.323 đã đƣợc phát triển, cải tiến qua nhiều phiên bản nó vẫn con một số mặt tồn

tại nhƣ: Thời gian thiết lập cuộc gọi nhiêu, quá nhiều chức năng phụ thuộc vào

gatekeeper.

3.2. Mạng VoIP với giao thức báo hiệu SIP [1], [4], [7]

SIP là giao thức báo hiêu lớp ứng dụng đƣợc dùng để khởi tạo, duy trì và kết thúc

một phiên truyền thông đa phƣơng tiên. Phiên truyền thông đa phƣơng tiên bao gồm

điên thoại internet, các cuộc hội nghị và các ứng dụng tƣơng tự khác nhƣ: audio, video,

data. SIP hỗ trợ các phiên truyền thông unicast và multicast giống nhƣ cuộc gọi

point-to-point và mutipoint. SIP là một giao thức luân phiên đƣợc phát triển bơi IETF ,

phiên bản đâu tiên đƣợc đề cập trong RFC 3261, SIP đƣợc phổ biến vào năm 1999. SIP

là một giao thức dựa vào cấu trúc của giao thức trao đổi thông tin của web là HTTP.

SIP hoạt động dựa trên nguyên lý của phiên mời gọi (invitation). Thông qua

invitation, SIP khởi tạo một phiên hay tham gia vào một phiên đã đƣợc khởi tạo. Biểu

diên một phiên đƣợc mô tả một hay hai phƣơng thức, bao gồm SAP đƣợc định nghĩa

trong RFC 2947. SIP sử dụng các giao thức khác của IETF để định nghĩa một vài phân

bổ trợ cho VoIP và phiên truyền thông đa phƣơng tiên, ví dụ nhƣ: URLs cho viêc đánh

địa chỉ, DNS cho dịch vụ định vị và Telephony Routing over IP (TRIP) cho định tuyến

cuộc gọi.

SIP hỗ trợ ngƣời dùng di động và thuê bao điên thoại trong mạng thông minh (IN)

thông qua viêc ánh xạ tên và dịch vụ chuyển hƣớng. Ngƣời dùng di động đƣợc cấp phát

một địa chỉ nhận dạng trong một phiên no đƣợc định nghĩa bởi số hay tên duy nhất của

thuê bao đo. SIP đƣơc phát triển với rất nhiều tính năng, no co khả năng hoạt động độc

lập và cũng co khả năng kết hợp với các giao thức báo hiêu khác để thực hiên một cuộc

gọi liên mạng co nhiều giao thức.

Nghiên cứu giao thức SIP khoa luận tập trung quan tâm một số vấn đề về mạng

VoIP - SIP sẽ đƣợc trình bày chi tiết dƣới đây.

3.2.1. Các thanh phần có trong mạng VoIP - SIP

SIP là giao thức peer-to-peer. Mỗi một phía của một phiên đƣợc gọi là UAs. Một

UA chứa hai thành phân chức năng.

User Agent Client (UAC): Một ứng dụng client tạo một yêu câu SIP. Hoạt động


52

nhƣ một agent của ngƣời gọi.

User Agent Server (UAS): Một ứng dụng server thu nhận yêu câu và đáp ứng

lại yêu câu của bên gọi. Hoạt động nhƣ là một đâu cuối bị gọi.

Thông thƣờng một SIP-UA co thể đảm nhận chức năng là một UAC hoặc là một

UAS trong suốt một phiên, nhƣng không đồng thời là hai chức năng trong cùng một

phiên giống nhau. Chức năng của UA phụ thuộc vào no co là UA yêu câu hay UA đáp

ứng. Trong một kiến trúc chuẩn, các thành phân vật lý của một mạng SIP đƣợc nhom lại

thành hai loại: SIP user agent va SIP server .

Hình 36. Các thành phần của SIP

3.2.1.1. SIP User agents

SIP User agents bao gồm các thiết bị:

IP telephone: Hoạt động nhƣ một UAS hoặc UAC trong một phiên cơ bản. Các

phân mềm điên thoại và hê thống điên thoại IP của Cisco khởi tạo một yêu câu

và đáp ứng yêu câu.

Gateway: Hoạt động nhƣ một UAS hoặc một UAC cung cấp các chƣc năng

điều khiển cuộc gọi. Gateway cung cấp nhiều dịch vụ, thông thƣờng là chức

năng chuyển đổi giữa user agent và các đâu cuối khác loại. Chức năng này bao

gồm chuyển đổi các định dạng và các thủ tục truyền thông. Một Gateway

chuyển đổi các tín hiêu audio, video và thực hiên khởi tạo, kết thúc cuộc gọi

trong cả mạng IP và mạng SCN.


53

3.2.1.2. SIP server

SIP server bao gồm một số loại sau:

Proxy server: Là một thiết bị trung gian nhận các SIP request từ một client sau

đo chuyển yêu câu của client tới một SIP server kế tiếp trong mạng. Server kế

tiếp co thể là một Proxy server khác hay là một UAS. Một Proxy server thực

hiên các chức năng nhƣ: Nhận thực, giới hạn quyền, điểu khiển truy cập, định

tuyến, truyền các request một cách đảm bảo và chức năng bảo mật trong mạng.

Redirect server: Chấp nhận một SIP request và gửi redirect reponse trở lại

client chứa địa chỉ của server kế tiếp. Redirect server co thể không chấp nhận

cuộc gọi, không xử lý các cuộc gọi hay chuyển hƣớng các SIP request.

Registrar server: Là server nhận bản tin SIP REGISTER yêu câu và cập nhật

thông tin từ bản tin request vào ―location database‖ năm trong Location server.

Xử lý các yêu câu đăng ký của một UA. Một Registrar server thƣờng định xứ

cùng một miền với Redirect server, Proxy server và Location server.

Location server: Cung cấp các giải pháp địa chỉ tới một Proxy server hay

Redirect server. Môt Location server là một thiết bị phân giải địa chỉ. Location

server thƣờng sử dụng các công cụ để thực hiên bài toán về địa chỉ nhƣ: Finger,

rwhois, Lightweight Direcoty Access protocol (LDAP). Một Registrar server

co thể trở thành một modul hay một hê thống con của một Location server;

Registrar server có thể đáp ứng một phân cho một cơ sở dữ liêu của Location

server mà no liên kết.

3.2.2. Địa chỉ SIP

Ngƣời dùng trong mạng SIP đƣợc định nghĩa bởi một địa chỉ SIP. Địa chỉ SIP đƣợc

gọi là SIP Universal Resource Locators (URLs), no co dạng giống nhƣ dạng một địa chỉ

mail và no đƣợc định dạng: userID@host. Phân userID co thể là tên hay là số điên thoại

của ngƣời dùng, phân host chứa tên miền hay một địa chỉ mạng IP. Môt số ví dụ địa chỉ

SIP

sip:[email protected]

sip:[email protected]

Các thiết bị trong mạng phải đăng ký cho mình một địa chỉ SIP với Registrar server.

Để co đƣợc một địa chỉ SIP của một đâu cuối khác, UA sử dụng nhiều phƣơng thức nhƣ:

Tra bảng co trong host, tìm kiếm DNS, ENUM, finger, rwhois, hay LDAP.


54

3.2.3. Các dịch vụ cung cấp bởi SIP

Để thực hiên khởi tạo, duy tri và kết thúc một phiên truyền thông đa phƣơng tiên,

SIP cung cấp năm dịch vụ sau: Userlocation servises, user capabilities servises, user

availability services, call setup services, call handling services. Chi tiết các dịch vụ đƣợc

trình bày dƣới đây.

User location servises: Các bên tham gia cuộc gọi co thể di chuyển từ một tới

vài hê thống trong một thời gian. Vì vậy SIP phải linh hoạt trong viêc xác định

vị trí của các user để phục vụ cho cuộc gọi. SIP hỗ trợ các giải pháp đánh địa

chỉ, ánh xạ tên và chuyển hƣớng cuộc gọi cho viêc định vị các điểm cuối.

User capabilities servises: Dịch vụ xác định khả năng cho phép của môi trƣờng

truyền thông của một điểm đích. SIP xác định khả năng ở mức thấp nhất của

các dịch vụ thông thƣờng giữa các điểm cuối thông qua phiên SDP. Các cuộc

hội thoại đƣợc thiết lập chỉ sử dụng những năng lực media mà đƣợc hỗ trợ bởi

tất cả các điểm cuối.

User capabilities servises: Dịch vụ này xác định khả năng sẵn sàng của điểm

cuối.

Call setup services: Dịch vụ thiết lập cuộc gọi giữa các thành phân của cuộc gọi.

Nếu cuộc gọi co thể thực hiên đƣợc, SIP sẽ khởi tạo một phiên giữa các đâu

cuối. SIP cũng hỗ trợ những thay đổi giữa cuộc gọi, giống nhƣ viêc thêm một

thành phân vào một cuộc hội nghị nhiều bên, hay thay đặc tính của một phƣơng

tiên truyền thông.

Call handling services: Dịch vụ này cho phép xử lý viêc chuyển giao và chấm

dứt cuộc gọi. SIP hỗ trợ viêc chuyển giao từ một điểm cuối tới một điểm cuối

khác trong mạng. Trong thời gian của cuộc gọi chuyển giao, SIP chỉ cân thiết

lập một phiên giữa bên đƣợc chuyển giao và một điểm cuối mới (điểm cuối này

đƣợc xác định bởi bên chuyển giao), chấm dứt phiên giữa bên đƣợc chuyển

giao và bên chuyển giao. Vào cuối cuộc gọi, SIP chấm dứt các phiên giữa tất cả

các bên.

3.2.4. Bản tin trong SIP

Trong một phiên hoạt động của SIP tồn tại hai loại bản tin: Bản tin Request đƣợc

gửi bởi client, và bản tin Response đƣợc gửi từ servers. Tất cả các bản tin đều chứa phân

header và phân thân bản tin. SIP là một giao thức text cơ bản cùng với cấu trúc bản tin và

trƣờng header đƣợc định nghĩa nhƣ trong HTTP. Bản tin SIP đƣợc gửi trên TCP hay

UDP. Co thể co nhiều bản tin đƣợc mang trong một kết nối TCP hay UDP.


55

3.2.4.1. Bản tin request

Co sau loại bản tin request đặc trƣng cho một phiên liên lac SIP. Các bản request

đƣợc đề cập đến nhƣ là những phƣơng thức cho phép User agents và các server trong

mạng định vị, mời, và quản lý các cuộc gọi. Cụ thể các bản tin nhƣ sau:

INVITE

Phƣơng thức INVITE đƣợc dùng để thiết lập phiên truyền thông giữa các User

agent. Hoặc thay đổi các đặc tính của phiên đã tồn tại trƣớc đo. Một bản tin INVITE luôn

co phân thân bản tin chứa thông tin của ngƣời gọi. Thân của bản tin co thể chƣa các

thông tin khác nhƣ thông tin về chất lƣợng dịch vụ hoặc là thông tin bảo mật. INVITE

không chƣa thông tin media. Ví dụ dƣới đây là một bản tin INVITE cùng với thân bản

tin là bản tin SDP.

INVITE sip:[email protected];user=phone SIP/2.0

Via: SIP/2.0/UDP salzburg.edu.at:5060;branch=z9hG4bK1d32hr4

Max-Forwards:70

To: <sip:[email protected];user=phone>

From: Christian Doppler <sip:[email protected]>

;tag=817234

Call-ID: [email protected]

CSeq: 1 INVITE

Subject: Train Timetables

Contact: sip:[email protected]

Content-Type: application/sdp

Content-Length: 151

v=0

o=doppler 2890842326 2890844532 IN IP4 salzburg.edu.at

s=Phone Call

c=IN IP4 50.61.72.83

t=0 0

SIP Request Messages 73

m=audio 49172 RTP/AVP 0

a=rtpmap:0 PCMU/8000


56

ACK

Bản tin ACK đƣợc gửi sau khi đã nhận đƣợc bản tin response cuối cùng của bản tin

INVITE. ACK xác nhận bản tin response cuối cùng của bản tin INVITE . Thân bản tin

ACK co thể chứa bản tin SDP nếu nhƣ bản tin INVITE không chứa bản tin SDP. ACK

cũng co thể không chứa bản tin SDP nếu bản tin INVITE đã chứa SDP. ACK không thể

chỉnh sửa đƣợc mô tả media đƣợc gửi đi bởi bản tin INVITE. Bản tin ACK co thể xác

nhận cho các bản tin reponse khác nhau. Nếu là bản tin reponse 2xx thì ACK là

end-to-end, nhƣng nếu bản tin response cuối cùng là bản tin khác thì ACK là một

hop-by-hop cơ bản.

Một ví dụ về bản tin ACK co chứa SDP.

ACK sip:[email protected] SIP/2.0

Via: SIP/2.0/TCP 128.5.2.1:5060;branch=z9hG4bK1834

Max-Forwards:70

To: Marquis de Laplace <sip:[email protected]>;tag=90210

From: Nathaniel Bowditch <sip:[email protected]>;tag=887865


CSeq: 3 ACK

Content-Type: application/sdp

Content-Length: 143

v=0

o=bowditch 2590844326 2590944532 IN IP4 salem.ma.us

s=Bearing

c=IN IP4 salem.ma.us

t=0 0

m=audio 32852 RTP/AVP 0

a=rtpmap:0 PCMU/8000

CANCEL

Bản tin CANCEL cho phép client và server hủy một request, ví dụ nhƣ INVITE.

No không ảnh hƣởng tới request đã hoàn thành trƣớc đo mà server đã gửi response. Một

bản tin CANCEL hop-by-hop không co phân thân bản tin.

CANCEL sip:[email protected] SIP/2.0

Via: SIP/2.0/UDP 10.downing.gb:5060

;branch=z9hG4bK3134134


57

Max-Forwards:70

To: Isaac Newton <sip:[email protected]>

From: Rene Descartes <sip:[email protected]>;tag=034323


CSeq: 32156 CANCEL

Content-Length: 0

OPPTION

UA sử dụng request này để truy vấn tới server về khả năng của no. Bản tin co thể

chứa phân thân bản tin. Dạng bản tin nhƣ sau:

OPTIONS sip:[email protected] SIP/2.0

Via: SIP/2.0/UDP cavendish.kings.cambridge.edu.uk

;branch=z9hG4bK1834

Max-Forwards:70

To: <sip:[email protected]>

From: J.C. Maxwell <sip:[email protected]>

;tag=34


CSeq: 1 OPTIONS

Content-Length: 0

REGISTER

Một client sử sụng REGISTER dùng để thông báo cho một SIP server địa chỉ liên

lạc dạng URI của no.

REGISTER sip:registrar.athens.gr SIP/2.0

Via: SIP/2.0/UDP 201.202.203.204:5060;branch=z9hG4bK313

Max-Forwards:70

To: sip:[email protected]

From: <sip:[email protected]>;tag=543131

Call-ID: 2000-July-07-23:59:[email protected]

CSeq: 1 REGISTER

Contact: sip:[email protected]

Contact: mailto:[email protected]

Content-Length: 0


58

BYE

Là bản tin dùng để kết thúc một phiên media đã đƣợc thiết lập. Trong điên thoại no

giống nhƣ bản tin Release. Bản tin này chỉ đƣợc gửi bởi một bên tham gia cuộc gọi. Một

Proxy server hay một bên thứ 3 không co quyền gửi bản tin này. Bản tin BYE là dạng

end-to-end.

BYE sip:[email protected] SIP/2.0

Via: SIP/2.0/UDP port443.hotmail.com:5060;branch=z9hG4bK312bc

Max-Forwards:70

To: <sip:[email protected]>;tag=63104

From: <sip:[email protected]>;tag=9341123


CSeq: 47 BYE

Content-Length: 0

3.2.4.2. Bản tin response

Bản tin response đƣợc gửi đáp lại các bản tin request. Các bản tin response chỉ thị

trạng thái thành công hay lỗi. Các bản tin response đƣợc chia thành các lớp với các ý

nghĩa khác nhau.

1xx: information: Là các bản tin đáp ứng tạm thời. Chỉ định răng các request

vẫn đang đƣợc response. Ví dụ nhƣ: bản tin đang thực hiên kết nối (100), bản

tin đang đổ chuông (180).

2xx: Successful: Chỉ thị các yêu câu kích hoạt và thành công. Ví dụ: Bản tin

báo thành công (200), bản tin chấp nhận (202).

3xx: Redirection: Ví dụ nhƣ: Bản tin chuyển vĩnh viên (301), bản tin chuyển

tạm thời 302.

4xx: Client error: Bản tin báo lỗi tới phía client. Chỉ thị bản tin request không

thể hoàn thành đƣợc. Ví dụ nhƣ: Bản tin không tìm kiếm đƣợc (400), bản tin do

tìm vòng (482).

5xx: Server failure: Bản tin báo lỗi ở phía server. Chỉ thị răng request là hoàn

toàn khả thi nhƣng server lỗi không thể hoàn thành đƣợc request. Ví dụ nhƣ:

Bản tin không thể thực hiên (501), bản tin Gateway lỗi (502).

6xx: Global falure: Bản tin báo lỗi toàn bộ. Chỉ thị răng request không thể thực

hiên băng bất kỳ cách nào. Vi dụ: (600) bận ở khắp nơi, (606) bản tin báo không

chấp nhận.


59

3.2.5. Cuộc gọi SIP

3.2.5.1. Cuộc gọi với thiết lập trực tiếp

Khi một UA nhận đƣợc địa chỉ của một điểm cuối khác từ thông tin lƣu trữ hoặc có

khả năng tìm, phân giải địa chỉ băng một số cơ chê. UAC co thể khởi tạo một phiên với

thủ tục setup cuộc gọi trực tiếp (UAC-to-UAC). Setup trực tiếp là nhanh nhất và rất hiêu

quả trong thủ tục setup cuộc gọi. Tuy nhiên, setup trực tiếp co một vài bất lợi. No dựa

vào thông tin lƣu trữ hoặc các cơ chế bên trong để phân giải địa chỉ, nó hoàn toàn co thể

bị lỗi khi đich là một mobile. Cuộc gọi với thủ tục setup trực tiếp gồm các bƣớc nhƣ sau:

1. UAC khởi tạo phiên băng cách gửi một bản tin mời (INVITE) tới UAS của

ngƣời nhận. Bản tin bao gồm mô tả điểm cuối của UAC và thông tin SDP.

2. Nếu UAS của phía nhận xác định chấp nhận đƣợc các thông số cuộc gọi, no

sẽ gửi bản tin reponses tới UAC. Bản tin trying (100) và bản tin Ring (180) chỉ thị

UAS đang cố gắng báo rung chuông cho ngƣời dùng.

3. Sau khi nhận đƣợc response cuối cùng thông báo thành công. UAC sẽ xác

nhận băng bản tin ACK.

4. Sau khi thiết lập phiên xong. UAC và UAS truyền tất cả các thông tin ngƣời

dùng băng giao thức RTP trên UDP.

5. Khi một bên co nhu câu chấm dứt cuộc gọi no sẽ gửi bản tin BYE và đợi bản

tin response 200 của phía bên kia để hoàn thành kết thúc cuộc gọi.

Hình 37. Cuộc gọi đươc thiêt lâp trực tiếp


60

3.2.5.2. Cuộc gọi với thiết lập cuộc gọi thông qua Proxy server

Thủ tục thiết lập cuộc gọi qua Proxy server là trong suốt tới một UA. Proxy server

nhận và chuyển tiếp bản tin mời tới UA đích. Proxy server sẽ điều khiển cuộc gọi tập

trung, quản lý thiêt lâp cuộc gọi, co khả năng câp nhât địa chỉ của UA một cách chính

xác. Trong trƣờng hợp này UA không cân học địa chỉ giao vận của UA đích. Sử dụng

Proxy server cũng co bất lợi là co quá nhiều bản tin thông qua Proxy server và UA phụ

thuộc hoàn toàn vào Proxy server, nếu Proxy server bị lỗi UA không thể hoàn thành thiết

lập cuộc gọi. Khi một Proxy server đƣợc sử dụng cuộc gọi đƣợc thực hiên nhƣ sau:

1. UAC từ phía khởi phát cuộc gọi sẽ gửi đi bản tin INVITE tới Proxy server.

2. Proxy server truy vấn Location server để xác đi nh đƣờng đi đến đích và lây

địa chỉ IP của đích.

3. Proxy server gửi một bản tin mời INVITE tới UAS của ngƣời nhận.

4. Nếu UAS xác định chấp nhận các thông số của cuộc gọi, no sẽ gửi bản tin

respond tới Proxy server. Bản tin 100, 180, 200.

5. Proxy server sẽ gửi bản tin response tới UAC. Các bản tin 100, 180, 200.

6. UAC sẽ gửi một bản tin xác nhận ACK tới Proxy server.

7. Proxy server chuyển tiếp ACK tới UAS của phía nhận.

8. Sau khi hoàn thành thiết lập cuộc gọi. UAS và UAC trao đổi thông tin của

ngƣời dùng băng giao thức RTP trên UDP.

9. Khi một ngƣời dùng muốn chấm dứt cuộc gọi, thì UA của ngƣời dùng đo sẽ

gửi bản tin BYE tới UA kia và đợi bản tin respond 200 để hoàn thành kết thúc

phiên gọi.

Hình 38. Thiết lập cuộc gọi thông qua Proxy server


61

3.2.5.3. Cuộc gọi với thiết lập cuộc gọi thông qua Redirect server

Một Reditrect server đƣợc lâ p trình để tìm kiếm các điểm cuối trong mạng. Thay

cho viêc chuyển tiếp một bản tin mời tới UAS, Redirect server trả lại cho UAC địa chỉ

giao vận của điểm đích và UAC tiếp tục thực hiên lại cuộc gọi. sử dụng một Redirect

server thuận lợi hơn sử dụng một Proxy server tuy nhiên chúng ta co thể thấy một

Redirect server thực hiên công viêc ít hơn nhiều so với một Proxy server. Trong cuộc gọi

sử dụng Redirect server các UA phải thực hiên một khối lƣợng công viêc nhiều hơn

trong trƣờng hợp sử dụng Proxy server. Quá trình thực hiên cuộc gọi nhƣ sau:

1. UAC của phía ngƣời gọi sẽ gƣi bản tin mời (INVITE) tới Redirect server.

2. Redirect server truy vấn Location server để co địa chỉ IP của bên nhận.

3. Redirect server gửi bản tin ―moved‖ tới UAC cùng với địa chỉ IP của phía

nhận.

4. UAC gửi bản tin mời trực tiếp đến UAS.

5. UAS gửi các bản tin responds trực triếp tới UAC. Các bản tin 100, 180, 200.

6. UAC xác nhận băng bản tin ACK.

7. UAC và UAS trao đổi thông tin của ngƣời dùng trên giao thức RTP và UDP.

8. Khi một ngƣời dùng muốn chấm dứt cuộc gọi, thì UA của ngƣời dùng đo sẽ

gửi bản tin BYE tới UA kia và đợi bản tin respond 200 để hoàn thành kết thúc

phiên gọi.

Hình 39. Thiết lập cuộc gọi thông qua Redirect server


62

3.3. Cuộc gọi liên mạng [1]

Sự phát triển của VoIP đã kéo theo hàng loạt các giao thức phục vụ cho no và hiên

tại đã và đang tồn tại nhiều chuẩn VoIP, mỗi chuẩn ứng với chùm các giao thức Báo hiêu

dành riêng cho nó.

Trong một hê thống viên thông, vấn đề đặt ra là sự liên kết giữa các chuẩn trong

cùng mạng VoIP và sự liên kết giữa mạng VoIP với mạng SCN nhƣ thế nào để ngƣời

dùng co thể thuận tiên nhất trong thông tin liên lạc của mình.

3.3.1. Cuộc gọi liên mạng SIP – H.323

Hiên nay các nhà cung cấp mạng VoIP đang co những giải pháp linh hoạt trong xây

dựng các kiến trúc mạng VoIP dựa trên các giao thức báo hiêu nhƣ: H.323 [International

Telecommunications Union (ITU)—T Recommendation H.323], Media Gateway

Control Protocol (MGCP), và giao thức khởi tạo phiên SIP. H.323 và SIP thƣờng đƣợc

so sánh và tƣơng phản với nhau. Trong phân này của khoa luận sẽ nghiên cứu cuôc gọi

liên mạng SIP – H.323. Để phục vụ nhu câu của khách hàng, một khách hàng sử dụng

H.323 co thể liên lạc đƣợc với một khách hàng sử dụng SIP.

Mỗi giao thức cung cấp những ƣu điểm và nhƣợc điểm riêng trong một mạng VoIP.

H.323 phát triển rất sơm và đƣợc sử dụng rộng rãi. Hiên nay giao thức SIP đang ngày

càng phổ biến bởi sự kết hợp dê dàng với voice và các dịch vụ internet cơ bản. SIP tồn tại

cùng H.323 là rất quan trọng tạo ra sự lớn mạnh của mạng VoIP và hỗ trợ những ứng

dụng mới triển khai trên cơ sở báo hiêu SIP.

Hình 40. Mô hình liên mạng H.323 – SIP


63

Các cuộc gọi từ một H.323 Gateway đƣợc định tuyến thông qua một mạng H.323

sử dụng H.323 gatekeeper và SIP Gateway sử dụng SIP redirect hay Cisco SIP Proxy

server để định tuyến cho cuộc gọi.

SIP/H.323 Gateway chuyển đổi báo hiêu giữa SIP và H.323 trong đo co chuyển đổi

địa chỉ, chuyển đổi các mã hóa audio, video. Trong giai đoạn thiết lập cuộc gọi, các

thông tin đƣợc truyền trên kênh của H.245 phải đƣợc chuyển đổi sang dạng thông tin của

SDP.

Chuyển đổi địa chỉ

H.323 và SIP co khuôn dạng địa chỉ khác nhau. Để định tuyến đƣợc trong từng

miền mạng thì Gateway phải thực hiên chuyển đổi địa chỉ. Một số ví dụ chuyển đổi từ

SIP to H.323.

SIP-―sip:[email protected] ‖ chuyển tới H.323.

H.323-{h323-ID=‖sip:[email protected]‖;

url-ID = ‖sip:[email protected]‖, email-ID = ―[email protected]‖ }.

SIP - ―sip:+1-212-555-1212:[email protected];user=phone‖ chuyển tới

H323.

H.323-{e164=‖12125551212‖,h323-ID=‖sip:+1-212-555-1212:1234@gatew-

ay.com‖,

url-ID=‖sip:+1-212-555-1212:[email protected]‖,

imail-ID=―+1-212-555-1212:[email protected]‖ }.

Chi tiết cuộc liên mạng H.323 – SIP đƣợc trình bày trong RFC 4123.

Ví dụ chi tiết một cuộc gọi từ H.323 tơi SIP

Trong ví dụ này, một đâu cuối H.323 gọi một SIP UA thông qua một H.323/SIP

Gateway. Gateway truyền báo hiêu giữa các giao thức báo hiêu nhƣng cho phép truyền

goi media trực tiếp giữa hai điểm đâu cuối. Các bƣớc thực hiên thiết lập cuộc gọi cụ thể

nhƣ sau:

1. Đâu cuối H.323 gửi đến Gatekeeper bản tin thông báo về cuộc gọi với bản tin

ARQ và gatekeeper trả lời băng bản tin ACF chứa địa chỉ kênh H.225 của

gatekeeper trên RAS.

2. Đâu cuối H.323 gửi bản tin setup đến Gatekeeper trên kênh H.225 theo địa

chỉ nhận đƣợc ở trên.

3. Gatekeeper nhận đƣợc bản tin và phân tích trƣờng địa chỉ của bản tin, no

nhận thấy đây là cuộc gọi ngoài mạng nên no sẽ gửi bản tin setup đến Gateway.

4. Gateway thực hiên trao đổi ARQ với Gatekeeper.

5. Tại Gateway các bản tin setup sẽ đƣợc chuyển đổi thành các bản tin INTIVE


64

trong SIP, vơi các chuyển đổi về địa chỉ, về khuôn dạng bản tin, hay thân bản tin .

Sau đo Gateway gửi bản tin mời INVITE đến Proxy server của đâu cuối SIP.

6. Proxy server chuyển tiếp bản tin đến đúng đâu cuối mình quản lý.

7. Đâu cuối SIP gửi bản tin báo thiết lập thành công đến Gateway thông qua

Proxy server. Các bản tin: 180, 200.

8. Tại Gateway các bản tin 180 và 200 sẽ đƣợc chuyển đổi thành các bản tin

Alerting và Connect. Rồi gửi đến đâu cuối H.323 thông qua Gatekeeper.

9. Đâu cuối H.323 và Gateway thực hiên các thủ tục trên kênh H.245 nhƣ: Xác

định chủ tớ, thiết đặt khả năng đâu cuối... và quan trọng là mở các kênh logic phục

vụ cho truyền dữ liêu thông qua Gatekeeper.

10. Gateway gửi bản tin ACK đến SIP-UA để xác nhận hoàn thành thiết lập cuộc

gọi. Một kênh logic giữa hai đâu cuôi đƣợc mở cho truyền thông tin ngƣời dùng.

Hình 41. Chi tiết cuộc gọi từ H323 tơi SIP


65

Trong một liên mạng H.323/SIP cũng co thể không tồn tại Gatekeeper hoặc không

tồn tại Proxy server và lúc đo các thủ tục giữa hai đâu cuối sẽ thực hiên chỉ thông qua

Gateway.

3.3.2. Cuộc gọi liên mạng VoIP - PSTN

VoIP ra đời và phát triển sau PSTN, VoIP co nhiều ƣu điểm. Nhƣng VoIP không thể

tồn tại độc lập mà no phải cùng tồn tại với PSTN. Vấn đề liên mạng VoIP và PSTN là rất

quan trọng. Vấn đề quan trọng nhất trong liên mạng VoIP và PSTN là chuyển đổi báo

hiêu, chuyển đổi các dạng địa chỉ và định tuyến trên hai mạng. Trong phân này của khoa

luận sẽ đi tìm hiểu về các giao thức chuyển đổi báo hiêu và giao thức mapping địa chỉ.

3.3.2.1. Giao thức SIGTRAN [9]

Năm 1999 một nhom làm viêc của IETF đƣợc thành lập để xây dựng một kiến trúc

cho truyền dữ liêu báo hiêu thời gian thực qua mạng IP để co thể tận dụng đƣợc những

ƣu điểm về mặt băng thông rộng của mạng IP. SIGTRAN đã đƣợc nhom làm viêc này

xây dựng trở thành một chồng giao thức phục vụ cho mục đích trên.

Thông thƣờng SIGTRAN đƣợc sử dụng để truyền báo hiêu trong suốt giữa SG –

MGC và SG - SG. Nhƣng SG cũng co thể đƣợc sử dụng để truyền báo hiêu giữa MGC –

MGC và MGC – MG.

Chồng giao thức SIGTRAN bao gồm giao thức truyền điều khiển dòng SCTP và

một số các lớp thích ứng với ngƣời sử dụng (SUA, IUA, M3UA, M2UA, M2PA, V5UA).

Với mô hình này SIGTRAN cung cấp đây đủ các chức năng báo hiêu của ss7 trên mạng

IP.

Hình 42. Mô hình chồng giao thức SIGTRAN


66

SIGTRAN định nghĩa 6 lớp thích ứng:

1. M2UA cung cấp các dịch vụ của MTP2 trong tình huống client – server nhƣ

SG tới MG. Ngƣời sử dụng là MTP3

2. M2PA cung cấp các dịch vụ của MTP2 trong tình huống peer – to – peer nhƣ

các kết nối SG –SG Ngƣời sử dụng là MTP3.

3. M3UA cung cấp các dịch vụ của MTP3 trong cả tình huống client-server

(SG to MGC) và peer-to-peer. Ngƣời sử dụng là SCCP and/or ISUP, TUP.

4. SUA cung cấp các dịch vụ của SCCP trong kiến truc peer-to-peer nhƣ SG tơi

IP SCP.

5. IUA cung cấp các dịch vụ của ISDN Data Link Layer (LAPD). Ngƣời sử

dụng là thực thể ISDN lớp 3 (Q.931).

6. V5UA cung cấp các dịch vụ của giao thức V.5.2.

Lớp M2UA

M2UA là giao thức định nghĩa bởi IETF cho phép truyền các bản tin báo hiêu lớp

ngƣời sử dụng MTP2 ( ví dụ nhƣ MTP3) qua mạng IP sử dụng giao thức SCTP. M2UA

cung cấp các dịch vụ cho lớp ngƣời sử dụng của no tƣơng tự nhƣ các dịch vụ do MTP2

cung cấp cho MTP3. M2UA co các mục đích sau:

Cung cấp một cơ chế cho phép truyền bản tin báo hiêu lớp ngƣời sử dụng của

MTP2 qua mạng IP sử dụng giao thức SCTP.

Tập trung lƣu lƣợng SS7 từ các link SS7 cách xa nhau về một điểm tập trung

trên mạng.

Băng viêc sử dụng M2UA, một vài điểm báo hiêu có thể hợp nhất thành một

điểm báo hiêu tập trung. Đổi lại, các điểm báo hiêu này khi đo co thể đƣợc đặt

gân các thành phân mạng khác hơn. Khi đo, viêc truyền báo hiêu giữa các

thành phân này sẽ là truyền qua các kênh dành riêng, do vậy sẽ giảm chi phí cho

viêc xây dựng các điểm trung để truyền báo hiêu.

Lớp M2PA

M2PA cho phép các lớp MTP3 ngang hàng của các SG co thể liên lạc trực tiếp với

nhau. Thực chất, no mở rộng mạng SS7 sang mạng IP. No co chức năng sau:

Duy trì hoạt động liên tục giữa các thực thể ngang hàng MTP3 giao tiếp với

nhau qua mạng IP.

Mặt cắt giao diên MTP2/MTP3, cho phép quản lý các phiên truyền dẫn SCTP

và lƣu lƣợng thay cho MTP2 link.

Thông báo những thay đổi trạng thái phục vụ cho mục đích quản lý điều hành.


67

Lớp M3UA

M3UA là giao thức hỗ trợ cho viêc truyền dẫn các bản tin báo hiêu MTP3 (ví dụ

nhƣ ISUP, SCCP) qua mạng IP sử dụng giao thức truyền dẫn SCTP. Về chức năng hoạt

động, M3UA tƣơng tự nhƣ M2UA. Giao thức này đƣợc sử dụng ở giao tiếp giữa SG và

MGC hay các IP SCP bên phía mạng IP. M3UA cho phép dịch vụ lớp MTP3 co thể đƣợc

cung cấp bởi một MGC năm trong mạng IP, do vậy no mở rộng mạng báo hiêu SS7 sang

phía mạng IP.

Lớp SUA

SUA là giao thức hỗ trợ truyền dẫn các bản tin lớp SCCP qua mạng IP sử dụng giao

thức SCTP. No cho phép truy nhập tới các lớp ứng dụng (ví dụ nhƣ TCAP) tại IP SCP

thông qua SG. Kiến trúc mạng sử dụng SUA cho phép một SG co thể kết nối đến nhiều

IP SCP. Các IP SCP không cân phải co lớp MTP3 cục bộ, do vậy không đoi hỏi phải co

địa chỉ SS7 point code riêng. SUA hỗ trợ các chức năng sau:

Truyền dẫn các bản tin SCCP (TCAP, MAP, INAP...).

Hỗ trợ dịch vụ không kết nối SCCP.

Hỗ trợ dịch vụ hƣớng kết nối SCCP.

Quản lý các phiên truyền dẫn của SCTP giữa SG và một hay nhiều nút báo hiêu

phía mạng IP.

Phân tán các nút báo hiêu phía mạng IP.

Thông báo về các thay đổi trạng thái phục vụ cho mục đích quản lý.

Lớp IUA và V5UA

IUA cung cấp dịch vụ của lớp ISDN Data Link. Con V5UA cung cấp dịch vụ của

giao thức V.5.2.

Trong mô hình SIGTRAN giao thức truyền tải (SCTP) đã trình bày ở chƣơng 2.

Giao thức SIGTRAN là giao thức mới ứng dụng cho mạng NGN, no cho phép các

nút mạng phía IP giao tiếp với các nút mạng SS7 nhăm nâng cao hiêu suất sử dụng và

phối hợp hoạt động giữa PSTN và VoIP.

3.3.2.2. Thực hiện cuộc gọi VoIP – PSTN

Trong môt liên mang VoIP – PSTN moi thu tuc chuyên đôi se đƣơc thƣc hiên tai

gateway. Trong môt liên mang VoIP – PSTN vân đê chuyên đôi bao hiêu la quan trong

nhât. Sao cho tƣ môt thông tin bao hiêu cua mang PSTN co thể chuyển đổi thành thông

tin bao hiêu cua VoIP để truyền trên mạng IP . Cuôc goi trong môt liên mang VoIP –


68

PSTN thƣơng xay ra 3 trƣơng hơp:

Cuôc goi tƣ đâu cuôi VoIP đên đâu cuôi PSTN . Cuôc goi loai nay la đơn gian

nhât.

Cuôc goi tƣ đâu cuôi PSTN đên đâu cuôi VoIP.

Cuôc goi giƣa hai đâu cuôi mang PSTN thông qua mang IP .

Trong phân nay khoa luận chỉ nghiên cứu cuộc gọi giữa SIP và PSTN .

3.3.2.21. Cuôc goi tƣ đâu cuôi SIP đên đâu cuôi PSTN

Hình 43. Cuôc goi giưa SIP tơi PSTN

Trong cuôc goi nay không tôn tai Proxy server hay Redirect server. Môt SIP-UA

gọi đến một telephone thông qua PSTN Gateway. Đâu cuối SIP thực hiên goi sô bên bi

gọi trong bản tin SIP. Tại gateway các bản tin SIP đƣợc chuyển đổi sang bản tin SS7 và

ngƣơc lai. Chi tiêt cac bƣơc cua cuôc goi nhƣ sau:


69

1. Đâu cuối SIP sẽ quay sô goi đên môt thuê bao trong mang PSTN, Sô goi đƣơc

goi trong bản tin INVITE gửi đến PSTN gateway .

2. Gateway chyên đôi ban tin INVITE sang ban tin ISUP IAM , và truyền bản

tin IAM nay đên tông đai kê tiêp trong mang PSTN. Trong hình 43 tông đai kê tiêp

này chính là tổng đài cá nhân của thuê bao PSTN. Tông đai cua thuê bao bi goi se

gƣi tin hiêu chuông đên thuê bao bi goi.

3. Telephone Switch gƣi ban tin ACM đên gateway bao cho gateway biêt đang

chuyên tin hiêu rung chuông đên thuê bao.

4. Bản tin ACM sẽ đƣợc gateway chuyển đổi thành bản tin 180. Bản tin 180 này

chƣa phân SDP chi ro công RTP se sƣ dung đê truyên audio đên tƣ PSTN.

5. Tƣ luc nhân đƣơc ban tin 180 SIP-UA thu cac goi RTP đƣơc gƣi tƣ gateway.

6. Cuôc goi thanh công khi thuê bao bi goi nhâc ông nghe . Lúc này telephone

gƣi ban tin ANM tơi gateway. Bản tin này đƣợc chuyển thành bản tin 200, báo hiêu

công trên gateway săn sang cho cuôc goi.

7. Sau khi thuê bao SIP tra lơi băng bản tin ACK thì luông RTP đƣơc thiêt lâp

hai chiêu giƣa gateway va SIP – UA truyền tải tín hiêu nhận đƣợc từ mạng PSTN.

8. Khi thuê bao SIP dâp may, no sẽ gửi bản tin BEY đên PSTN Gateway.

9. Bản tin BEY đƣợc gateway chuyển đổi sang bản tin REL đến tổng đài PSTN

để hủy bỏ kết nối. Sau khi Gateway gƣi ban tin 200 và nhận đƣợc tin RLC từ tổng

đai, cuôc goi chinh thƣc châm dƣt.

3.3.2.2.2. Cuôc goi tƣ đâu cuôi mang PSTN đên đâu cuôi SIP

Trong cuôc goi loai nay sƣ chuyên đôi bao hiêu giƣa hai mang vân đƣơc tiên hanh

bơi gateway. Phía mạng PSTN là một tổng đài ISDN , vơi giao thƣc bao hiêu đƣơc sƣ

dụng là Q.931. Cụ thể cuộc goi nhƣ sau:

1. Tông đai ISDN gƣi ban tin setup co chƣa thông tin vê cuôc goi tơi gateway .

2. Gateway chuyên đôi cac thông tin trong ban tin setup sang ban tin INVITE va

đƣơc gƣi tơi Proxy server. Trong cuôc goi nay co măt cua Proxy server đê đinh vi

đâu cuôi trong mang SIP .

3. Proxy server phai truy vấn Location server đê nhân đƣơc đia chi dang SIP

của thuê bao đƣợc gọi.

4. Sau khi nhân đƣơc kêt qua tra lơi cua Locatinon server, proxy server gƣi ban

tin INVITE đên đâu cuôi SIP căn cƣ vao đia chi no mơi đat đƣơc .

5. Đâu cuối SIP sau khi nhận đƣợc bản tin INVITE no sẽ gửi các bản tin 180 và

200 đến Proxy server. Proxy server chuyên tiêp cac ban tin nay đên Gateway


70

6. Tại Gateway ban tin 180 đƣơc chuyên đôi sang ban tin alterting va ban tin

200 đƣơc chuyên đôi sang ban tin Connect.

7. Sau khi nhân đƣơc ban tin 200 tƣ Proxy server Gateway se xac nhân băng ban

tin ACK trƣc tiêp đên SIP – UA .

8. Sau khi gửi bản tin ACK môt kênh logic đƣơc mơ giữa SIP – UA và

Gateway, môt kênh thoai giƣa tông đai ISDN đên Gateway cung đƣơc mơ .

Hình 44. thiêt lâp cuôc goi tư đâu cuôi PSTN đên đâu cuôi SIP

Kêt luân

Trong chƣơng nay nghiên cƣu hai mô hinh mang VoIP vơi hai giao thƣc bao hiêu

H.323 và SIP. Mô ta cu thê cac cuôc goi trong tƣng mô hinh mang va cac cuôc goi liên

mạng.


71

Chƣơng 4. LỖ HỔNG VA HỖ TRỢ BẢO MẬT TRONG VOIP

4.1. Lỗ hổng trong VoIP

Viêc thoại và dữ liêu hội tụ trên cùng một đƣờng truyền với bất kỳ giao thức nào

đƣợc sử dụng là một vấn đề đối với các kỹ sƣ bảo mật và các nhà quản trị. Hê quả của

vấn đề hội tụ này là các mạng chính co thể bị tấn công, kiến trúc viên thông thông tin của

các tổ chức sẽ co thể gặp phải rủi ro nguy hiểm.

Mô tả các cấp độ mà cấu trúc VoIP co thể bị tấn công:

Điểm yếu Mô tả

Cấu trúc IP Điểm yếu này liên quan đến các hê thống sử dụng mạng chuyển

mạch goi, no làm ảnh hƣởng đến cấu trúc hoạt động VoIP.

Hê điều hành Các thiết bị VoIP kế thừa điểm yếu của hê điều hành và các

firmware mà chúng chạt trên đo (windows và linux)

Cấu hình Cấu hình mặc định của các thiết bị VoIP luôn co những dịch vụ dƣ

thừa. Các port của các dịch vụ thừa này trở thành điểm yếu cho các

tấn công DoS, tràn bộ đêm hoặc tránh sự xác thực…

Mức ứng dụng Các công nghê mới con non yếu co thể bị tấn công bẻ gãy hoặc mất

điều khiển đối với các dịch vụ.

4.1.1. Lỗ hổng đối với hệ thống H.323

Do H.323 sử dụng phƣơng thức chứng thực tƣơng đối chắc chắn giữa các thành

phân H.323 và là giao thức co hỗ trợ bảo mật (H.235) nên luồng dữ liêu rất bảo mật. Tuy

vậy cũng co một vài lỗ hổng, nghiêm trọng nhất là tràn bộ đêm do no dùng định dạng

bản tin ASN.1, dê dàng bị DoS.

4.1.1.1. Can thiệp vao thông tin tính cƣớc

GK là nơi quản lý cuộc gọi, no co chức năng tập trung thông tin tính cƣớc và gửi về

cho BES, BES lƣu giữ thông tin này và gọi là CDR (Call Detail Record), thông tin này

tối thiểu phải gồm co:

Thời gian cuộc gọi: thời gian bắt đâu và kết thúc cuộc gọi, do GK theo dõi.

CallID: mỗi cuộc gọi co 1 giá trị duy nhất khác nhau do GK tạo ra.

UserID: duy nhất cho mỗi user đƣợc cấp quyền, giá trị này xác định tại thời

điểm đăng ký.


72

CDR đƣợc gửi từ GK tới BES, do đo co thể chặn các goi này, sửa thông tin thời

gian cuộc gọi. Để khắc phục phải chứng thực giữa GK và BES đồng thời phải đảm bảo

toàn vẹn dữ liêu.

4.1.1.2. Cuộc gọi trực tiếp

Tính cƣớc dựa trên viêc cuộc gọi đƣợc định tuyến thông qua GK. Tuy nhiên, đâu

cuối trong mạng H.323 co khả năng gọi trực tiếp mà không thông qua GK miên là no

biết đƣợc địa chỉ IP của ngƣời bị gọi.

Traffic RTP luôn đƣợc gửi trực tiếp giữa các đâu cuối, do đo chỉ cân 1 cuộc gọi là

co thể xác định đƣợc địa chỉ IP của bên bị gọi. Để khắc phục thì gateway chỉ cho phép

thông tin báo hiêu từ GK đi qua.

4.1.1.3. Giả dạng đầu cuối

Để khởi tạo cuộc gọi, EP phải tiến hành 3 bƣớc: đăng ký, xin chấp nhận cuộc gọi

(Call Admission) và Q.931 thiết lập cuộc gọi. Quá trình đăng ký và xin chấp nhận cuộc

gọi sử dụng bản tin RAS truyền qua UDP. Do đo, không co một phiên thực sự nào dành

cho bản tin RAS, kẻ tấn công co thể chèn các bản tin này vào. Thông tin báo hiêu thực sự

dùng bản tin Q.931 và đƣợc vận chuyển thông qua TCP.

Giả dạng EP trong giai đoạn đăng ký, sau đo kẻ giả dạng co thể thực hiên tất cả các

dịch vụ mà một user đƣợc phân quyền co. Kiểu giả dạng này thành công nếu user bị giả

dạng không đăng ký vào thời điểm giả dạng và nếu UserID là một IP thì chỉ co user trong

cùng mạng mới co thể giả dạng đƣợc.

Tấn công trong giai đoạn xin chấp nhận cuộc gọi, cũng phải cùng mạng mới tấn

công đƣợc vì phải biết đƣợc UserID của user muốn giả dạng.

Tấn công băng các bản tin Q.931. Các bản tin Q.931 đƣợc xác định băng trƣờng

CallID nên giá trị này phải hợp lê. CallID đƣợc sinh ra trong quá trình xin chấp nhận

cuộc gọi vì vậy kẻ tấn công hoàn toàn co đƣợc vì cuộc gọi đã đƣợc cho phép. Nhƣng nếu

giá trị CallID đã đƣợc dùng thì tấn công không thành công.

Bỏ qua giai đoạn xin chấp nhận cuộc gọi, dùng preGranted ARQ cho một nhom

user, GK không thể phát hiên ra và sẽ thiết lập cuộc gọi bình thƣờng. Chứng thực co thể

ngăn chặn đƣợc kiểu tấn công này.

Các kiểu tấn công trên chỉ co thể thực hiên khi không co các biên pháp bảo mật. Nếu

chứng thực đƣợc dùng thì độ bảo mật phụ thuộc vào độ phức tạp của password


73

4.1.1.4. Giả dạng Gatekeeper

Giả dạng một băng một GK khác: GK giả mạo chấp nhận yêu câu thiết lập cuộc gọi

do không co hỗ trợ bảo mật cho Q.931. Co thể ngăn chặn băng cách thông tin cho GK về

toàn bộ GK co trong mạng. Thông thƣờng thì các GK đăng ký với BES nên 1 GK co thể

lấy thông tin và địa chỉ IP khi đăng ký với BES.

4.1.1.5. Giả dạng BES

BES chỉ giao tiếp với GK băng 1 giao thức client-server riêng. Co thể tấn công

băng cách chặn 1 bản tin từ GK tới BES, sau đo thay đổi một số trƣờng nhƣ password

của EP.

4.1.2. Lỗ hổng đối với hệ thống SIP

SIP là một giao thức mới lại không co tích hợp công cụ bảo mật nào trong no nên

no co một số vấn đề về bảo mật. Tuy nhiên, theo khuyến nghị khuyên nên dùng các lớp

dƣới để bổ sung tính bảo mật cho SIP. Mặt khác là giao thức text-based nên cân dùng

TLS để mã hoa.

4.1.2.1. Chiếm quyền đăng ký (Registration Hijacking)

Bản tin đăng ký thƣờng đƣợc vận chuyển băng giao thức UDP (không đƣợc tin

cậy), hơn nữa các yêu câu đăng ký không cân phải đƣợc chứng thực bởi SIP registrars,

hoặc nếu co chứng thực thì cũng chỉ băng MD5 để mã hoa user name và password (MD5

là một thuật toán mã hoa yếu).

Cách tấn công:

Tìm một địa chỉ IP đã đƣợc đăng kí. (Đối với các user trong mạng dê dàng biết

đƣợc cấu trúc địa chỉ trong mạng, con với những user ngoài mạng thì dùng kĩ thuật

social engineering hay tool để quét ra địa chỉ của toàn mạng). Nếu co yêu câu chứng

thực thì co thể đoán password hoặc dùng kiểu từ điển. Đối với tấn công kiểu từ điển thì

mất thời gian do phải thử nhiều lân.

Gửi một yêu câu đăng kí đặc biêt co kí tự ―*‖ để xoa hết ràng buộc cho các địa chỉ

SIP bị gọi.

Gửi bản tin yêu câu đăng kí thứ hai chứa địa chỉ SIP của kẻ tấn công.


74

Hình 47. Tấn công bằng bản tin đăng ký

Một kiểu cƣớp quyền đăng kí khác là dùng tool chặn và thêm vào yêu câu đăng kí

khi no đƣợc gửi từ một UA và server đăng ký. Kiểu tấn công này ít phổ biến hơn.

4.1.2.2. Giả dạng proxy

Kẻ tấn công dùng một proxy để chặn cuộc gọi từ UA đến proxy bên phía bị gọi.

Cách tấn công này co thể lấy đƣợc tất cả bản tin SIP và do vậy co toàn quyền điều khiển

cuộc gọi.

Kiểu tấn công:

Chèn proxy giả vào băng DNS spoofing, ARP cache spoofing hay đơn giản chỉ là

thay đổi địa chỉ proxy cho SIP phone.

Hình 48. Giả dạng proxy


75

4.1.2.3. Message Tempering

Đây là kiểu tấn công chặn và thêm vào các goi mà các thành phân của SIP trao đổi

với nhau.

Co thể dùng các cách sau để chặn goi:

Cƣớp quyền đăng ký

Giả dạng proxy

Tấn công một trong các thành phân tin cậy trong mạng

Co thể dùng S/MIME (chứng thực và mã hoa văn bản) nhƣng nếu nhƣ văn bản ở

dạng plaintext thì kẻ tấn công vẫn co thể lấy đƣợc thông tin định tuyến.

4.1.2.4. Kết thúc session

Quan sát các thông số trong 1 session nhƣ ―To‖ và ―From‖ sau đo chèn bản tin

―BYE‖ hay re-INVITE để kết thúc cuộc gọi. Cách tấn công này co thể làm chuyển

hƣớng cuộc gọi. Kiểu tấn công này rất kho phong chống vì các trƣờng nhƣ địa chỉ đích

cân gửi đi ở dạng plaintext để cho phép định tuyến.

4.1.3. Lỗ hổng do mạng va mô trƣờng

VoIP đƣợc truyền qua cùng môi trƣờng vậy lý (router, Switch và firewall) với các

dịch vụ IP khác nên co thể bị ảnh hƣởng. Do đo xảy ra một số cách tấn công nhƣ: tấn

công reply, tấn công tràn bộ đêm, và các lỗ hổng trong DNS, ARP….

4.1.3.1. Tấn công replay

Tấn công replay là tấn công chủ động hƣớng về nghi thức. Đặc trƣng của ngƣời tấn

công này giành đƣợc goi dữ liêu gửi hoặc nhận đến host. Anh ta sửa đổi chúng và sử

dụng lại để truy cập vào một số dịch vụ nào đo. Một ví dụ tƣơng ứng với loại thoại IP là

ngƣời tấn công đạt đƣợc trong tay các goi dữ liêu gửi từ một user co quyền để thiết lập

cuộc gọi và gửi lại chúng sau khi đã sửa đổi địa chỉ IP nguồn. No co thể bị ngăn chặn

băng cách thực thi hai dịch vụ bảo mật: nhận thực thể ngang hàng (peer enity

authencation) và tính toán vẹn dữ liêu (data intergrity).

4.1.3.2. Tấn công tran bộ đệm

Đây là phƣơng thức tấn công phổ biến, là kết quả chính của viêc phát triển phân

mềm không đúng lúc. Kỹ thuật này lợi dụng trên thực tế là co một vài lênh không kiểm

tra đâu vào dữ liêu. Chúng đƣợc ứng dụng đặt biêt để xâu chuỗi xử lý các lênh. Quá trình

xâm nhập với nhiều đâu vào, các lênh hay là các chƣơng trình co khả năng làm cho bộ

nhớ hê thống bị viết đè lên. Nội dung của bộ nhớ này co thể bắt đâu hoặc quay trở lại địa


76

chỉ của các chƣơng trình con.

Trƣờng hợp xấu nhất ngƣời tấn công co thể thêm vào đoạn code nguy hiểm để

cung cấp cho anh ta các quyền quản lý của hê thống. Biên pháp đối pho là hủy tất cả các

code ―yếu‖, chính các lỗ hổng nhận thức đƣợc chứa trong các hê thống hoạt động và các

chƣơng trình ngôn ngữ.

4.1.3.3. DNS (Domain Name System)

Một hồ sơ DNS A đƣợc sử dụng cho viêc chứa các domain hay hostname ánh xạ

thành địa chỉ IP. Trong hê thống VoIP, DNS co chức năng phân giải địa chỉ đích của đâu

cuối hay cho phép gateway đăng ký với server hay GK băng hostname. Do là một giao

thức thành phân của mạng internet nên DNS không co sự bảo mật nào (nhƣ chứng thực,

mã hoa…).

SIP tạo ra viêc sử dụng rộng rãi hồ sơ SRV để xác định các dịch vụ SIP nhƣ là SIP

ủy quyền và đăng nhập. Các hồ sơ SRV thƣờng bắt đâu với gạch dƣới

(_sip.tcpserver.udp.domain.com) và chứa thông tin về miêu tả dịch vụ, vận chuyển, host

và thông tin khác. Các hồ sơ SRV cho phép ngƣời quản lý sử dụng một vài user cho một

domain, để di chuyển dịch vụ từ host đến host, và để bổ nhiêm một vài host nhƣ là các

server chính cho các dịch vụ.

Một ngƣời co mục đích tấn công, sẽ cố gắng đâu độc DNS hay tấn công giả mạo, sẽ

thay thế giá trị lƣu trữ hồ sơ DNS A, SRV với các bản tin mà trỏ đến các server của

ngƣời tấn công. Điều này co thể đƣợc hoàn thành băng cách bắt đâu dời vùng từ DNS

server của ngƣời tấn công đến DNS server nạn nhân, băng cách yêu câu server DNS nạn

nhân phân tích thiết bị mạng trong domain của ngƣời tấn công. Server DNS nạn nhân

không những chấp nhận yêu câu hồ sơ mà con chấp nhận và chứa các hồ sơ mà server

tấn công co.

Ví dụ nhƣ viêc thêm vào hồ sơ A cho www.attacker.com, server DNS nạn nhân co

thể nhận đƣợc hồ sơ giả là www.yourbank.com. Nạn nhân hƣớng đến

www.yourbank.com sẽ bị chuyển hƣớng lại đến www.attacker.com trang web mà hồ sơ

giả đƣợc lƣu trữ. SIP URL thay thế cho địa chỉ website, và vấn đề tƣơng tự cũng gặp phải

trong môi trƣờng VoIP.

Những đe dọa này dựa vào sự vắng mặt của bảo đảm nhận thực của ngƣời tạo ra

yêu câu. Các tấn công trong loại này cố gắng tìm kiếm để phá hoại tính toàn vẹn của dữ

liêu đàm thoại. Các thảm họa này chỉ ra răng viêc cân thiết phải bảo mật dịch vụ để co

khả năng nhận biết thực thể tạo ra yêu câu và để kiểm tra nội dung của thông điêp và


77

điều khiển các luồng không bị biến đổi khi phát.

4.1.3.4. ARP – Address Resolution Protocol

ARP là giao thức Ethernet cơ bản. Do no không co cơ chế chứng thực các truy vấn

và hồi đáp truy vấn nên co thể lợi dụng no để tấn công mạng VoIP. Một vài kỹ thuật hay

công cụ hiên tại cho phép bất kỳ user nào co thể tìm ra lƣu lƣợng mạng trên mạng bởi vì

ARP không co điều khoản cho câu hỏi nhận thực và câu hỏi trả lời. Thêm vào đo hâu hết

các hê thống hoạt động cập nhật bộ nhớ cache của no khi mà nhận một lời đáp ARP, bất

chấp no đƣợc gửi đi từ một yêu câu thực tế hay không.

Hình 49. Đánh lừa ARP (đầu độc cache)

Trong số những tấn công này, chuyển hƣớng ARP, đánh lừa ARP, đánh cắp ARP và

đâu độc cache ARP là các phƣơng pháp để phá hoại quá trình ARP bình thƣờng. Các

dạng này thƣờng xuyên đƣợc xen kẽ hoặc xáo trộn nhau. Dành cho mục đích của chƣơng

này, co thể xem đâu độc cache ARP và đánh lừa ARP nhƣ là cùng một quá trình. Sử dụng

các công cụ tùy thích co thể nhƣ là ettercap, cain, dsnif và các thiết bị IP co hại sẽ co thể

đánh lừa thiết bị IP thông thƣờng băng cách gửi một đáp ứng ARP không yêu câu đến

host mục tiêu. Một đáp ứng ARP giả chứa địa chỉ phân cứng của thiết bị bình thƣờng và

địa chỉ IP của thiết bị co ý đồ xấu. Trong hình 49, B là máy tính tấn công. Khi A

broadcast một câu hỏi ARP cho địa chỉ IP của C, B – ngƣời tấn công đáp ứng câu hỏi để

chỉ ra răng địa chỉ IP (10.1.1.2) liên quan đến địa chỉ MAC của B

(AB:AC:AD:AE:AF:FF). Các goi giả sử gửi từ A đến C sẽ đƣợc thay thế gửi đến B. A

sẽ hiểu lâm răng địa chỉ MAC của B tƣơng ứng với địa chỉ IP của C. Thực tế, B co thể

đâu độc cache ARP của A mà không cân đợi một yêu câu ARP từ hê thống windows

(9x/NT/2k), các mục ARP tĩnh đƣợc viết đè lên khi có một trả lời câu hỏi đƣợc nhận bất


78

chấp co hay không câu hỏi đƣợc phát. Mục này sẽ đƣợc giữ cho đến khi chúng hết hạn

hoặc mục mới thay thế.

Hình 50. Tấn công chuyển hướng ARP

Chuyển hƣớng ARP co thể hoạt động hai chiều và thiết bị đánh lừa co thể đƣa vào

ở giữa của cuộc đàm thoại giữa hai thiết bị IP trên mạng chuyển mạch (xem hình 50).

Vì tất cả lƣu lƣợng IP giữa ngƣời gửi thực và ngƣời nhận thực bây giờ đều đi qua

thiết bị của ngƣời tấn công, thật bình thƣờng để cho ngƣời tấn công tìm ra lƣu lƣợng sử

dụng băng công cụ tùy thích nhƣ là ethereal hay tcpdump. Bất kỳ thông tin nào không

đƣợc mã hoa (bao gồm email, username, password và lƣu lƣợng web) co thể bị chặn

đứng và bị xem.

Sự chặn đứng này co khả năng tác động mạnh đến lƣu lƣợng VoIP. Các công cụ

miên phí nhƣ là vomit hay rtpsnif, cũng nhƣ là các công cụ công cộng nhƣ là VoIP Crack,

cho phép chặn đứng và mã hoa lƣu lƣợng VoIP. Các nội dung chiếm đƣợc co thể bao

gồm thoại, báo hiêu, thông tin tính cƣớc, đa phƣơng tiên và số PIN. Đàm thoại qua nội

mạng IP co thể bị chặn và ghi âm lại khi sử dụng kỹ thuật này.

Trong các thủ tục giới hạn lỗi do thao tác ARP, ngƣời quản lý phải thực thi các

công cụ phân mềm để giám sát viêc ánh xạ địa chỉ IP thành địa chỉ MAC. Ở lớp mạng,

ánh xạ địa chỉ MAC/IP co thể đƣợc mật mã tĩnh trên switch, tuy nhiên no thƣờng xuyên

không đƣợc quản lý tốt. Các rủi ro của viêc mã hoa lƣu lƣợng VoIP co thể đƣợc giới hạn

bởi thực thi mật mã. Sử dụng viêc mật mã hoa media, các cuộc đàm thoại giữa hai đâu


79

cuối IP phải đƣợc sử dụng cùng một dạng mật mã hoa. Trong môi trƣờng bảo mật cao thì

các tổ chức cân phải đảm bảo cùng một phƣơng thức mật mã trong bộ codec IP.

Một hậu quả của kiểu tấn công chuyển hƣớng ARP là sự quá tải của Switch do

bảng CAM (Content Addressable Memory), bảng co kích thƣớc cố định, bị tràn.

Hãng Cisco co phát triển DAI (Dynamic ARP Inspection) trên dong Switch

Catalyst 6500 để phong chống các nguy cơ tấn công spoofing lớp 2 và lớp 3, trong đó có

chống tấn công chuyển hƣớng ARP. Hãng Avaya sử dụng giải pháp Media Encryption,

mã hoa băng AES, để trách viêc thông tin bị giải mã khi bị nghe trộm.

4.1.4. Tấn công từ chối dịch vụ (DoS) hoặc phá vỡ dịch vụ VoIP

Dịch vụ internet là một chƣơng trình chạy trên một host máy tính chờ đợi một kết

nối từ khách hàng. Tấn công DoS ngăn chặn không cho tiếp cận dịch vụ. Đây là loại tấn

công trực tiếp và chủ động. Ngƣời tấn công không co ý định ăn cắp một cái gì cả. Anh ta

chỉ muốn đơn giản là đặt dịch vụ ra khỏi khách hàng. Nhƣng không phải lúc nào dịch vụ

không đƣợc tiếp cận là nguyên nhân của tấn công DoS. No co thể là nguyên nhân của

cấu hình sai cũng nhƣ là nguyên nhân của viêc sử dụng sai.

Phụ thuộc vào các tính chất của các hành động trên mang lại mà các dịch vụ này co

thể gặp phân nào một số hậu quả kho khăn, ví dụ nhƣ một shop trực tuyến.

Một tấn công DoS co thể là một trong ba loại sau đây:

Đe dọa vật lý hoặc thay đổi các thành phân mạng.

Đe dọa hay thay đổi cấu hình thông tin.

Giới hạn hay không thể khôi phục nguồn tài nguyên.

Các sửa đổi một phân kiến trúc phân cứng của hê thống đƣợc xem nhƣ là truy cập

đến vùng của no. Một ngƣời tấn công chỉ co thể cố gắng phá hủy các phân cứng vật lý

thông qua làm đổi hƣớng phân mềm. Một tấn công DoS trên internet co thể chỉ là loại

thứ hai hay thứ ba. Sự thay đổi cấu hình thông tin cân phải truy cập đến host máy tính.

Điều này ám chỉ răng ngƣời tấn công đƣợc tiếp cận, quản lý hê thống khi xâm phạm hê

thống. Cách thức tấn công dê nhất của DoS là giới hạn nguồn tài nguyên, chẳng hạn nhƣ

băng thông dành cho dịch vụ internet. Biến thể của tấn công DoS đƣợc gọi là tấn công từ

chối phân bổ của dịch vụ DoS (DDoS).

Tấn công DoS co thể ảnh hƣởng đến tất cả các dịch vụ trong mạng IP. Hậu quả của

tấn công DoS co thể làm giảm chất lƣợng dịch vụ hoặc nặng hơn co thể làm mất dịch vụ.


80

Ta co các loại tấn công nhƣ sau:

DDoS (Distributed denial-of-service): Đây là kiểu tấn công mà các goi tin làm

tràn ngập mạng đích từ nhiều nguồn khác nhau bên ngoài, đƣợc mô tả trong

hình 51 và hình 52.

`

firewall

Hình 51. Mô hình truy cập internet tiêu biểu

Các luồng traffic trao đổi bình thƣờng giữa các host và server bên trong và ngoài

mạng. Hình 52 cho thấy sự tấn công luồng traffic IP trực tiếp từ giao diên của firewall.

`

firewall

` `

`

`

Hình 52. Tấn công DoS phân tán


81

Ví dụ trong năm 2004, các trang web của Yahoo, Google và Microsoft đã biến mất

trên internet trong vài giờ khi các server của họ bị làm tràn với hàng trăm ngàn yêu câu

từ các trang web khác. Điều này làm suy giảm băng thông và các server CPU không thể

xử lý nổi.

DoS (Denial of Service): Điều kiên tấn công DoS xảy ra khi thiết bị ở trong

mạng nội bộ là cái đích của viêc làm tràn ngập các goi, dẫn đến mất liên lạc

giữa các phân trong cấu trúc mạng liên quan đến thiết bị đo. Cũng giống nhƣ

DdoS ở trên, các dịch vụ cũng bị bẻ gãy và làm giảm băng thông và tài nguyên

CPU. Ví dụ: một vài điên thoại IP sẽ ngừng hoạt động nếu chúng nhận các goi

tin UDP lớn hơn 65534 bytes ở port 5060.

Hình 53. Tấn công DoS trong mạng nội bộ

Viêc kiểm tra tính toàn vẹn và kể cả viêc mã hoa cũng không thể ngăn chặn những

tấn công này. Đặc tính của tấn công DoS và DDoS là đơn giản băng cách gửi một lƣợng

lớn các goi tin đến máy nạn nhân. Mặc dù các goi tin này co đƣợc đăng ký với server hay

không, nguồn địa chỉ IP là thật hay giả, hoặc đƣợc mã hoa với một key không co thật đi

nữa thì viêc tấn công vẫn co thể xảy ra.

Tấn công DoS thật kho để chống lại bởi vì VoIP cũng chỉ là một trong những dịch

vụ trên mạng IP, no cũng dê bị tấn công nhƣ các dịch vụ trên mạng IP khác. Hơn nữa tấn

công DoS co ảnh hƣởng đặc biêt tới các dịch vụ nhƣ VoIP và các dịch vụ thời gian thực

khác, bởi vì các dịch vụ này rất ―nhạy cảm‖ với trạng thái mạng. Virus và worm năm

trong danh sách gây nên tấn công DoS hay DDoS dựa trên viêc tăng lƣu lƣợng mạng mà

chúng tạo ra băng cách tái tạo và nhân bản.


82

4.2. Hỗ trợ bảo mật trong H.323 va SIP

Do các điểm yếu bảo mật tồn tại trong bản thân của H.323 và SIP, ngƣời ta đƣa ra

các hỗ trợ bảo mật cho các giao thức này. Tùy vào yêu câu khả năng của mạng mà áp

dụng các hỗ trợ bảo mật này.

4.2.1. Hỗ trợ bảo mật cho H.323

4.2.1.1. H.235 ver 2

H.235v2 là một khuyến nghị của ITU-T, hỗ trợ tính năng bảo mật cho H.323 về

chứng thực và đảm bảo tính riêng tƣ.

Chứng thực: Quá trình chứng thực là xác định các bên tham gia cuộc gọi là ai. Có

hai phƣơng thức chứng thực là khóa chia sẻ và khóa công khai dựa vào chứng chỉ.

Chứng thực có thể là đơn hƣớng hay song hƣớng. Quá trình này thƣờng diên ra giữa EP

và Gateway hoặc GK.

H.235 cũng sử dụng các giao thức khác hỗ trợ bảo mật nhƣ IPsec và TLS. Để

chứng thực cuộc gọi, kênh điều khiển cuộc gọi (H.245) phải đƣợc bảo mật vì những

thông tin truyền trên kênh này bao gồm các bản tin thỏa thuận các thuật toán mã hóa và

khóa mã hóa.

H.235v2 gồm có các profile:

4.2.1.2. Base-line security profile

EP và GK dùng chung một khóa mật cho mã hoa, khoa này đƣợc lƣu trong BES.

Khi EP đăng ký với GK thì GK yêu câu khóa mật từ BES, dùng no để xác định các bản

tin đƣợc gửi từ EP và tính toán ra thẻ bài cho các bản tin mà GK gửi đến EP. Các thẻ bài

này là các giá trị đƣợc tính toán bởi thuật toán đi cùng bản tin kết hợp với khóa mật. Thẻ

bài sau khi đƣợc tính toán sẽ đính vào bản tin. EP sẽ xác thực bản tin từ GK băng khóa

mật.

Phƣơng thức chứng thực này hoạt động hop-by-hop. Tại mỗi hop, thông tin chứng

thực đƣợc xác nhận và tính lại.

Chức năng của dạng profile này chia làm 2 phân:

Phân cho báo hiêu cuộc gọi (H.225 và H.245): đây là chức năng chính, đảm bảo

chứng thực và toàn vẹn dữ liêu.

Phân mã hoa thoại: đây là chức năng tùy chọn.


83

Đặc điểm RAS H225 H245 RTP

Chứng

thực

HMAC-SHA1-96

Password

HMAC-SHA1-96

Password

HMAC-SHA1-96

Password

Toàn vẹn HMAC-SHA1-96

Password

HMAC-SHA1-96

Password

HMAC-SHA1-96

Password

Điều

khiển

truy nhập

168 bit

3DES

Quản lý

khóa

Subscription-based

password

Subscription-based

password/Diffie

Hellman

Intergrated H.235

Hình 54. H.235 Annex D Baseline security profile

4.2.1.3. Signature profile

Profile này dùng chữ ký số và không cân chỗ lƣu khoa mật nên giải pháp này linh

động và thích hợp hơn. Phƣơng pháp chứng thực cho user là băng chứng chỉ, quá trình

xác thực certificate giúp tránh bị tấn công theo kiểu man-in-the-middle-attack. Phƣơng

thức này con đảm bảo tính chất không thể chối cãi.

Đặc điểm RAS H225 H245

Chứng thực SHA1/MD5

Digital signature

SHA1/MD5

Digital signature

SHA1/MD5

Digital

signature

Toàn vẹn SHA1/MD5

Digital signature

SHA1/MD5

Digital signature

SHA1/MD5

Digital

signature

Quản lý khóa Certificate

allocation

Certificate allocation

Hình 55: H.235 Annex E: Signature profile


84

4.2.1.4. Hybird Security Profile (H.235 Annex F)

Profile này là kết hợp giữa H.325 Annex D và H.235 Annex E. Chứng chỉ và chữ

ký số dùng để chứng thực, đảm bảo toàn vẹn và chống chối bỏ trong quá trình bắt tay

giữa các thành phân trong H.323. Cuộc gọi trong giải pháp này phải đƣợc định tuyến qua

GK.

4.2.1.5. H.235 Annex G

Profile này hỗ trợ SRTP và MIKEY.

SRTP: là phƣơng thức hỗ trợ bảo mật cho RTP, no cung cấp khả năng chứng

thực, sự tin cậy và chống replay attack.

MIKEY: do SRTP không co một cơ chế quản lý khoa nên phải dùng MIKEY,

một cơ chế quản lý khoa độc lập, để hỗ trợ.

4.2.1.6. H.235 Annex H

Khi EP tìm kiếm và đăng ký với GK trên kênh RAS, khóa thỏa thuận sẽ đƣợc quản

lý và bảo mật băng giải thuật DH trong các bản tin GRQ, GCF.

4.2.1.7. H.235 Annex I

Áp dụng cho kiểu định tuyến trực tiếp giữa hai EP. GK lúc này đong vai tro phân

phối khóa băng thẻ bài. Có một thẻ bài chứa khoa mã hoa cho ngƣời gọi và một thẻ cho

ngƣời bị gọi, ngoài ra còn có một thẻ mang khóa phiên, xác định phiên kết nối.

4.2.2. Hỗ trợ bảo mật cho giao thức SIP

Để bảo mật các dịch vụ SIP, IETF phát triển ba giao thức TLS, S/MIME và SRTP

là những lớp hỗ trợ bảo mật thêm vào cho các giao thức của SIP chứ không phải hoàn

toàn là một giao thức bảo mật.


85

Hình 56. Các lớp bảo mật hỗ trợ cho các giao thức của SIP

Công cụ bảo mật Phƣơng thức chứng thực Tính tin cậy Toàn vẹn

S/MIME PKI Có Có

TLS PKI Có Có

HTTP Digest Pre-shared key Không Không

Hình 57. Các hỗ trợ bảo mật cho SIP

4.2.2.1. TLS: Trao đổi khóa và bảo mật cho các gói tin báo hiệu

TLS dựa trên SSL ver 3, chuẩn hóa bởi IETF. TLS cung cấp một kênh bảo mật,

trong suốt giữa hai đâu cuối. ―Trong suốt‖ ở đây co nghĩa là dữ liêu đi qua kênh này

không bị thay đổi, và nó cho phép các giao thức chạy trên TCP cũng co thể chạy trên

TLS. Vì vậy, TLS năm ngay phía trên giao thức TCP và dƣới SIP hay nói cách khác là

SIP đƣợc mã hóa bởi TLS và truyền qua kết nối TCP.

Nhìn chung, TLS đƣợc chọn để bảo mật các bản tin báo hiêu của SIP. SDU

(Service Data Unit) từ lớp trên đƣợc mã hoa trƣớc khi truyền đi, con phía bên kia PDU

(Protocol Data Unit) đƣợc giải mã và chuyển lên lớp bên trên. Hai phía đều phải có

chứng chỉ hợp lê do CA (Certificate Authority) cấp cho quá trình bắt tay của TLS.

Chứng chỉ và trao đổi khóa

Quá trình bắt tay giữa client và server nhăm thƣơng lƣợng các thuật toán bảo vê dữ

liêu và tạo một số khóa mật mã dùng bởi các thuật toán này.

Bản tin ClientHello và ServerHello trao đổi danh sách các thuật toán sẽ sử

dụng.

Chứng chỉ của server và khoa công khai đƣợc chứa trong bản tin chứng chỉ.

Khi client nhận bản tin chứng chỉ, no sẽ co khoa công khai và dùng khoa này để


86

mã hoa một khoa mật Pre-Master do no tự tạo ra và gửi kèm theo bản tin

ClientKeyExchange tới server. Trong khi đo, KDF (Key Derivation Function)

sẽ tạo ra một master key từ khoa mật Pre-Master.

Phía server, bản tin ClientKeyExchange đƣợc giải mã băng khoa riêng của

server, co đƣợc khoa mật Pre-Master và dùng cùng KDF để tạo ra master key.

Client dùng master key tạo ra tạo ra MAC (Message Authentication Code) của

toàn bộ bản tin mà no nhận đƣợc từ server trƣớc đo rồi gửi kèm theo bản tin

Finished tới server.

Server dùng master key tạo ra một MAC của toàn bộ bản tin mà no nhận đƣợc

từ client trƣớc đo rồi gửi kèm theo bản tin Finished tới server.

Cả client và server kiểm tra tính toàn vẹn của giá trị MAC với các bản tin chúng

đã gửi. Nếu đúng thì cả hai co chung Khoa mật Master.

Hình 58. Quá trình bắt tay giữa client và server trong SSL


87

Hình 59. Dữ liệu lớp trên đóng gói bởi TLS/SSL

4.2.2.2. SRTP(Secure Real-time Transport Protocol): Bảo mật cho gói tin

thoại/video

SRTP là giao thức phát triển hỗ trợ cho RTP để mã hóa, chứng thực bản tin, chống

nghe lén. Nó năm giữa lớp ứng dụng RTP và lớp vận chuyển RTP. SRTP cũng co SRTCP,

hỗ trợ các chức năng bảo mật cho RTCP. SRTP mã hóa các gói thoại dùng AES, thuật

toán mã hoa dùng khoa đối xứng và có khả năng nén RTP header. Phân tải RTP đƣợc mã

hoa sau đo đong goi vào trong goi SRTP.

Nhƣợc điểm: mất thời gian xử lý hơn nên co thể tăng trê.

Điều quan trọng nhất trong SRTP là sự an toàn của khoa trao đổi giữa hai bên bao

gồm: địa chỉ IP, số port UDP, SSRC (Synchronization Source RC). Cài đặt khóa cho tất

cả các máy điên thoại thì quá phức tạp, vì vậy RTP và SRTP nên ở chung một lớp hơn là

hai lớp tách biêt.

MIKEY (Multimedia Internet Keying)

Là một giải pháp quản lý khóa. Nó có ba cách vận chuyển và thiết lập khóa mã hóa

TEK (Traffic Encryption Keying): preshared key, public key và DH (Diffie Hellman).

Với preshared key, public key thì khoa đƣợc đƣa tới ngƣời nhận một cách an toàn, còn

với DH thì khoa đƣợc sinh ra dựa trên các giá trị trao đổi giữa hai bên.

SDP Security Descriptions

SDP Security Descriptions là thuộc tính mới của SDP, dùng để báo hiêu và thƣơng


88

lƣợng các thông số mã hóa cho luồng SRTP, gồm: bộ mật mã, thông số khóa, thông số

phiên cho luồng unicast.

a=crypto: <tag> <crypto-suite> <key params> [<session-params>]

Trong đo:

<tag>: số thập phân, nhận dạng thuộc tính crypto

<crypto - suit> thuật toán chứng thực và mã hoa

<key-params> phƣơng thức và thông tin khoa thực sự

<session-params > thông số tùy chọn chỉ giao thức vận chuyển

Thuộc tính này chỉ hạn chế cho các luồng unicast, các dịch vụ bên dƣới của giao

thức vận chuyển (IPsec, TLS, S/MIME) bảo đảm cho thuộc tính này của SRTP.

Ngoài TLS và SRTP còn phải có các thuật toán khác hỗ trợ chứng thực user,

xác thực chứng chỉ, trao đổi khóa mã hóa.

4.2.2.3. Bảo đảm sự tin cậy

Sự tin cậy đƣợc bảo đảm băng cách mã hóa tải mà chỉ co ngƣời có khóa mới đọc

đƣợc.

Hình 60. Mã hóa trong SRTP

Giá trị khởi tạo ban đâu + khóa = 128 bit block Bi,j (giá trị khởi tạo ban đâu đƣợc

tính băng 48 bit chỉ số gói, 32 bit SSRC, 112 bit salting key dịch trái và XOR). Mỗi một

block 128 bit này XOR với 1 block plaintext RTP để tạo ra 1 block cipher text.


89

4.2.2.4. Chứng thực bản tin

Toàn vẹn bản tin đƣợc đảm bảo nhờ hàm hash.

Hình 61. Chứng thực gói SRTP

HMAC-SHA1 băm header và phân tải với khóa mật. Giá trị này là thẻ chứng thực

của ngƣời gửi. Ngƣời nhận cũng tính toán tƣơng tự và so sánh với thẻ, nếu không đúng

thì chứng thực thất bại và gói bị bỏ.

4.2.2.5. Replay Protection

ROC và sliding window đƣợc dùng để chống ghi lén. 16 bit số thứ tự trong header

và 32 bit ROC trong bảng mật mã tạo thành 48 bit, là chỉ số của gói. Chỉ số goi đƣợc mã

hóa cùng với các thông số khác để tạo các chuỗi khóa.

Hình 12. Chống ghi lại bằng Sliding Window

Chỉ số gói nhận đƣợc phải năm trong phạm vi của sliding window và bit Received

tƣơng ứng phải là thứ tự gói xử lý tiếp theo, nếu không gói sẽ bị hủy. Nếu kẻ tấn công


90

chọn một số ngẫu nhiên, kích thƣớc cửa số là 64 thì 99% (1-64/216

) gói bị hủy.

4.2.2.6. S/MIME: Chứng thực bản tin

S/MIME mã hóa băng khoa công khai, đong goi theo định dạng MIME. Cung cấp

các dịch vụ bảo mật cho các ứng dụng bản tin (HTTP, SIP) nhƣ: chứng thực, toàn vẹn

bản tin, không chối cãi (nếu dùng chữ ký số), an toàn dữ liêu (do đƣợc mã hóa).

SIP gồm có header và phân bản tin SDP. Phân bản tin SDP đƣợc mã hóa băng

S/MIME, tuy nhiên các trƣờng trong header nhƣ To, From, Call-ID, Cseq và Contact là

cân thiết đối với các thành phân trung gian nhƣ SIP proxy server, firewall, UAS để thiết

lập một cuộc gọi đƣợc yêu câu nên nó phải ở dạng plaintext.

Hình 63. Quá trình gửi bản tin của S/MIME

Quá trình trao đổi khóa và bản tin giữa hai hệ thống:

Bản tin gốc đƣợc băm băng một thuật toán băm, nếu không co quá trình này thì


91

sẽ mất nhiều thời gian xử lý hơn khi ký số vì bản tin quá dài.

Alice ký bản tin đƣợc băm băng thuật toán chữ ký số và đính chữ ký đo kèm

theo bản tin gốc.

Một session key đƣợc sinh ra ngẫu nhiên để mã hoa bản tin, chứng chỉ và chữ

ký băng một thuật toán mã hoa.

Key session đƣợc mã hoa băng public key của Bob dùng thuật toán mã hoa

public key, rồi đính kèm bản tin đã đƣợc mã hoa.

Phía bên nhận, dùng private key của Bob và cùng thuật toán mã hoa để giải mã

ra session key.

Dùng session key vừa giải mã đƣợc giải mac cho bản tin, chứng chỉ và chữ ký

số.

Bob kiểm tra xem bản tin co phải gửi từ Alice không và no co bị thay đổi khi

truyền không băng cách:

- Dùng thuật toán băm nhƣ bƣớc 1

- Bob xác nhận chứng chỉ của Alice là hợp lê

- Dùng thuật toán trong bƣớc 2, giá trị băm đƣợc ký bởi public key của Alice.

- Chữ ký đƣợc so sánh với chữ ký nhận đƣợc, nếu không đúng thì bản tin đã bị

can thiêp.

4.3. Một số kỹ thuật hỗ trợ bảo mật cho VoIP

Cơ sở của cấu trúc bảo mật hiện hanh.

Chúng ta bắt đâu quá trình bảo mật cấu trúc VoIP băng cách xem lại các cấu trúc

bảo mật hiên hành. viêc các thành phân VoIP hoạt động với dữ liêu mạng là một cơ hội

tốt để xem lại và bổ sung các chính sách bảo mật hiên co, cũng nhƣ cấu trúc và quá trình

xử lý của chúng.

Hình bên dƣới mô tả các thành phân cấu trúc bảo mật.


92

Hình 64. Các thành phần cấu trúc bảo mật

Interface giữa dữ liêu và thoại với mạng bên ngoài đƣợc mô tả băng những vong

tron từ 1 đến 6. Thêm vào đo, dữ liêu và thoại chia sẻ interface với giao diên vật lý và

Social. Interface từ data mạng bao gồm VPN, điên thoại và modem, các loại web và dịch

vụ mail điên tử, các kết nối từ các công ty con bên ngoài thông qua đƣờng WAN. Các kỹ

thuật bảo mật nhƣ là Firewall, IDS và ACLs hữu dụng cho những Interface này.

Interface từ 7 đến 9 mô tả ứng với admin, user và các tổ chức kết nối mạng.

Interface 10 đến 12 là những interface giữa phân vật lý với dữ liêu và thoại. Gân

đây, một số vấn đề xảy ra trong khu vực này, kết quả là làm mất dữ liêu quan trọng

Cuối cùng interface 13 miêu tả VLAN (Virtual LAN) interface.

Viêc liêt kê các danh sách này thực ra cũng không cân thiết, nhƣng no cũng chỉ cho

chúng ta biết nơi mà viêc thực hiên bảo mật đạt hiêu quả nhất. Mục đích của phân này là

giúp chúng ta củng cố lại các khái niêm với nhiều thành phân mà bạn đƣợc yêu câu đảm

bảo trên mạng VoIP/data.

Phƣơng pháp va chính sách bảo mật

Từ lợi ích của thông tin liên lạc, yêu câu đảm bảo hê thống mạng và bao gồm cả cơ

sở kiến trúc thông tin liên lạc. Quá trình bảo mật hội tụ mạng VoIP/Data bắt đâu băng sự

đƣa ra, sự bổ sung, sự liên lạc hiêu quả của các chính sách bảo mật. Một chính sách khi

đƣợc viết ra, thì cũng cân thêm một khoảng thời gian để đƣa ra thảo luận. Một chính

sách có những ƣu điểm thuận lợi đƣợc xây dựng dựa trên hê thống báo cáo của một tổ

chức nào đo cân phải đảm bảo các tiêu chuẩn về chất lƣợng, tính tin cậy, tính toàn diên.


93

Khi đạt đƣợc điều này, viêc bảo mật thông tin trở nên dê dàng đối với ngƣời quản trị

cũng nhƣ gánh nặng về kỹ thuật, và thêm nhiều thuận lợi khác nữa.

Viêc đề ra chính sách là một bƣớc quan trọng tiến đến viêc chuẩn hoa các hoạt

động tổ chức kinh doanh. Chính sách của tổ chức là phƣơng tiên truyền tải quản lý đảm

bảo các vấn đề bảo mật IT, đồng thời cũng làm sang rõ đối với các bên cộng tác, liên

quan hoặc những ngƣời co trách nhiêm. Những chính sách đề ra phải thiết lập các chuẩn

cho viêc bảo vê tài nguyên thông tin băng cách đƣa ra các chƣơng trình quản lý, những

nguyên tắc cơ bản, những định nghĩa, những hƣớng dẫn cho mọi ngƣời bên trong tổ

chức. Mục tiêu chính của chính sách bảo mật là ngăn chặn những hành vi co thể dẫn tới

nguy hiểm.

Không co một quá trình tốt nhất cho sự phát triển các chính sách bảo mật. Những

quá trình này phụ thuộc vào các biến nhƣ kích thƣớc, tuổi và vị trí của tổ chức đo, sự

điều chỉnh tác động của tổ chức, tính nhạy cảm của tổ chức về các nguy cơ.

Vậy ta tìm hiểu thế nào là chính sách tốt ?

Bất chấp điểm xuất phát, sự phát triển của những chính sách kia là một quá trình

lặp lại, chính sách đâu tiên đƣợc loại bỏ. Các tài liêu các chính sách bảo mật phác thảo

đƣợc đánh giá an toàn dựa trên một số đặc trƣng:

- Phạm vi của tài liêu co thích hợp?

- Áp dụng chính sách đối với những ai?

- Thông tin của tổ chức đƣợc định nghĩa toàn diên?

- Chính sách này co phù hợp với chỉ thị, hƣớng dẫn của tổ chức, co phù hợp với

luật pháp hay không?

- Và con nhiều điều kiên khác nữa…

Những hƣớng dẫn, những chính sách, những thủ tục co hiêu quả cho viêc bảo vê hê

thống mạng của bạn:

- Chính sách điều khiển truy cập

- Chính sách quản lý tài khoản

- Chính sách sẵn sàng

- Chính sách quản lý cấu hình và những thủ tục

- Chính sách quản lý tƣờng lửa (Firewall)

- Chính sách mã hóa chung

- Chính sách điều khiển truy cập Internet

- Chính sách giáo dục và ý thức an toàn Internet


94

- Chính sách do tìm xâm nhập

- Chính sách quản lý mật khẩu

- Chính sách tài khoản ngƣời dùng

- Chính sách ngăn ngừa virus

…

Tuy nhiên, kết quả của sự thi hành các chính sách bảo mật trên lại là quá trình khác.

4.3.1. VLAN

Sự tích hợp thoại, dữ liêu và video trên cùng một mạng làm cho sự bảo mật của hê

thống VoIP cũng bị ảnh hƣởng bởi các dịch vụ khác. Để có thể giải quyết đƣợc vấn đề

này ta tách biêt về luận lý giữa các dịch vụ băng VLAN.

Hình 65. VLAN

Lợi ích của VLAN:

Giảm lƣu lƣợng broadcast và multicast vì chỉ có các máy trong cùng một VLAN

mới có thể thông tin đƣợc với nhau. VLAN đƣợc cấu hình trên switch.

VLAN dê dàng quản lý, giúp quản lý thiết bị một cách tập trung. VLAN có thể sắp

xếp và quản lý các PC hay softphone dựa vào chức năng, lớp dịch vụ, tốc độ kết nối hoặc

những tiêu chuẩn khác.

Giảm delay và jitter, do đo cải thiên QoS.

Hê thống VoIP có thể bị ảnh hƣởng bởi sự thiếu bảo mật của các dịch vụ khác của

mạng dữ liêu.


95

Hình 66. VLAN phân theo chức năng

VLAN góp phân trong bảo mật hê thống VoIP. Lƣu lƣợng giữa các VLAN đƣợc

đảm bảo (trừ khi sử dụng router). Nó làm giảm các broadcast lƣu lƣợng trên mạng mà

điên thoại phải nhận.

Quản lý lƣu lƣợng băng VLAN giúp cho lƣu lƣợng SNMP và syslog không bị

nhiêu với dữ liêu, dê dàng hơn trong viêc quản lý mạng.

VLAN còn làm giảm nguy cơ DoS. Do muốn liên lạc giữa các VLAN thì phải đi

qua lớp mạng, các lƣu lƣợng này sẽ bị lọc bởi các ACL trên lớp mạng.

Để bảo đảm an toàn cho lƣu lƣợng tại lớp 2 thì cân hạn chế quyền truy cập băng

cổng console của Switch băng cách sử dụng những phƣơng pháp chứng thực mạng nhƣ

RADIUS hay AAA.

4.3.2. VPN

Công nghê VPN cung cấp một phƣong thức giao tiếp an toàn giữa các mạng riêng

dựa trên hạ tâng mạng công cộng (Internet). VPN thƣờng đƣợc dùng để kết nối các văn

phòng, chi nhánh với nhau, các ngƣời dùng từ xa về văn phong chính. Công nghê này có

thể triển khai dùng các giải pháp sau: Frame Relay, ATM hay Leased line.

Các giao thức và thuật toán đƣợc dùng trong VPN bao gồm DES (Data Encryption

Standard), Triple Des (3DES), IP Security (IPSec) và Internet key Exchange (IKE).

Có hai loại kết nốit VPN:

- Client – to – LAN


96

- LAN – to – LAN

Hình 67. Client-to-LAN VPN

Công nghê VPN dựa trên kỹ thuật đƣờng hâm (tunneling). Kỹ thuật này bao gồm

đong goi, truyền đi, giải mã, định tuyến. VPN có ba loại: Point – to – Point Tunneling

Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP), IPsec.

4.3.2.1. Point – to – Point Tunneling Protocol

Đây là một giao thức phát triển bởi Microsoft, làm viêc ở lớp 2 trong mô hình OSI.

PPTP đong goi frame PPP vào gói IP băng cách sử dụng GRE (General Routing

Encapsulation).Các hình thức đảm bảo sự bảo mật gồm: chứng thực, mã hóa dữ liêu, lọc

gói PPTP.

PPTP dùng các giao thức chứng thực PPP gồm: EAP, MS-CHAP (ver 1 và ver 2),

PAP, trong đo MS-CHAP ver2 và EAP-TLS đƣợc xem là bảo mật nhất vì cả VPN server

và VPN client đều chứng thực lẫn nhau. Tải trong PPP frame đƣợc mã hóa băng RSA

(Rivest, Shamir and Adleman), RC4 (Rivest Cipher 4).

Trong MS-CHAP ver1 giá trị băm của LAN và của Windows NT đƣợc sinh ra dựa

trên cùng một password và đƣợc gửi song song từ client đến server. Vì giá trị LAN

manager hash đƣợc bảo mật kém nên các chƣơng trình bẻ password có thể tấn công

đƣợc, khi đã biết đƣợc giá trị băm của LAN, có thể dùng no để tìm ra giá trị của

Windows NT. MS-CHAP ver 2 khắc phục đƣợc lỗi trên nhờ dùng cơ chế mã hóa.

RSA và RC4 cũng co các điểm yếu do khóa mã hóa dựa trên password của user và

cả client và server đều dùng chung khóa mã hóa.

4.3.2.2. Layer 2 Tunneling Protocol

L2TP là giao thức chuẩn của IETF (RFC 2661). Khác với PPTP, L2TP có thể chạy

trên nhiều chuyển mạch khác nhau nhƣ X.25, Frame Relay, ATM, nhƣng thƣờng thì

L2TP đong goi PPP frame trong L2TP frame và dùng UDP để truyền đi (không dùng


97

GRE). Dùng UDP tốt hơn cho các dịch vụ thời gian thực.

Bản thân L2TP không đảm bảo bảo mật, nó cân các giao thức vận chuyển bên dƣới

làm điều này. Điều này đƣợc thực hiên qua viêc bảo mật trong PPP hoặc dùng IPsec.

Hình 68. Cấu trúc L2PT

4.3.2.3. IP Security

Với đặc điểm là dê bị bắt gói trong mạng IP nên yêu câu mã hóa là cân thiết cho hê

thống VoIP. IPsec có thể bảo mật thông tin của EP và luồng dữ liêu. IPsec là tập giao

thức phát triển bởi IETF, bảo mật ở lớp IP.

IPSec bao gồm 4 thành phân: thành phân mã hoa (Encryption), trao đổi khóa

(Security Association), đảm bảo toàn vẹn dữ liêu (Data Integrity) và kiểm tra nguồn gốc

dữ liêu (Origin Authentication).

IPsec gồm hai giao thức: Authenticaion Header (AH) và Encapsulating Security

Payload (ESP).

AH: chứng thực data và chống replay, dùng giao thức IP số 51

ESP: dùng giao thức IP số 50

ESP chỉ mã hóa và chứng thực trên goi ban đâu (không có header), còn AH thì

chứng thực toàn bộ gói (có header) và không mã hóa.


98

Hình 69. Chứng thực và mã hóa của AH và ASP

IPsec gồm 2 mode:

Tunnel mode: tạo thêm một IP header mới gồm một địa chỉ nguồn và một địa

chỉ đích (co thể khác với địa chỉ nguồn và địa chỉ đích trong goi IP). ESP chứng

thực và mã hoa trên goi IP, con AH chứng thực thêm một phân của header mới.

Transport mode: ESP mã hoa và chứng thực goi IP (không co phân header), AH

thì co chứng thực thêm một phân header mới.

Hình 70. Cấu trúc gói IPsec ở transport mode

Hình 71. Cấu trúc gói IPsec ở tunnel mode

Trong quá trình thiết lập kết nối, VPN client và VPN server sẽ thƣơng lƣợng thuật

toán mã hoa đƣợc sử dụng trong số các thuật toán sau: DES, MD5, SHA, DH

Security Association (SA) thƣờng đƣợc quản lý bời IKE. SA thƣờng có thể dùng

pre-shared key, mã hóa RSA hoặc chữ ký số. IPsec chứng thực băng shared secret và

certificate, bảo mật hơn so với PPTP chứng thực băng password của user.

4.3.3. Firewall


99

Đong vai tro rất quan trọng trong viêc bảo mật mạng dữ liêu khỏi những tấn công

từ bên ngoài. Một số loại firewall cơ bản sau có thể bảo vê dữ liêu ở các lớp khác nhau

trong mô hình OSI:

Packet filtering firewall

Circiut level gateway firewall

Personal firewall

Chức năng cơ bản của firewall đƣợc thiết kế không phải dành cho các ứng dụng

thời gian thực nhƣ VoIP nên viêc thiết lập firewall cho hê thống VoIP sẽ làm cho hê

thống phức tạp hơn ở một số quá trình: port động trunking, thủ tục thiết lập cuộc gọi.

Ngoài ra, firewall còn có nhiêm vụ điều khiển luồng thoại và dữ liêu. Nếu không

cài đặt firewall thì tất cả các lƣu lƣợng đến và đi từ IP phone đều phải đƣợc cho phép vì

RTP dùng port UDP động, và nhƣ vậy thì tất cả các port UDP đều phải mở, thiếu bảo mật.

Vì vậy, IP phone thƣờng đặt sau firewall để tất cả các lƣu lƣợng đều đƣợc kiểm soát mà

không cân phải mở tất cả các port UDP firewall đƣợc sử dụng để cách ly về mặt luận

lý giữa thoại và dữ liêu.

4.3.4. NAT (Network Address Translation)

Là kỹ thuật mà địa chỉ nguồn hay địa chỉ đích thay đổi khi đi qua thiết bị có chức

năng NAT, cho phép nhiều host trong mạng nội bộ dùng chung một địa chỉ IP để đi ra

mạng bên ngoài.

Ngoài one-to-one mapping thì còn có many-to-one mapping hay còn gọi là NAPT

(Network Address Port Translation).

NAT có 4 chính sách:

Full: tất cả các yêu câu từ cùng các host bên trong (địa chỉ IP và port) đƣợc ánh

xạ tới cùng một IP hay port đại diên bên ngoài, vì vậy bất kỳ một host bên ngoài

co thể gửi goi tới 1 host bên trong nếu biết địa chỉ đƣợc ánh xạ đo.

Restricted: chỉ cho phép 1 host bên ngoài với IP X gửi goi cho host mạng bên

trong nếu host của mạng bên trong đã gửi tới IP X một goi trƣớc đo.

Port restricted: Giống Restricted one nhƣng co thêm port. Chính sách này đƣợc

sử dụng để co thể dùng chung một địa chỉ IP đại diên bên ngoài.

Symmetric: tất cả các request từ cùng 1 IP hay port đến 1 đích nào đo đƣợc ánh

xạ đi băng 1 IP đại diên, nếu đi tới 1 đích khác thì no sẽ đi băng IP đại diên khác

Chỉ co những host bên ngoài nhận đƣợc goi thì mới gửi goi ngƣợc trở lại các

host bên trong đƣợc.


100

Hình 72. Quá trình thay đổi địa chỉ trong NAT

Lợi ích của NAT:

Giảm bớt số IP cân dùng băng cách sử dụng chung 1 IP đại diên để đi ra bên ngoài.

Với viêc sử dụng chung 1 IP đại diên để đi ra bên ngoài nhƣ vậy thì mọi lƣu lƣợng muốn

truy nhập vào mạng bên trong thì phải qua NAT, bảo mật hơn.

4.3.5. Một số chú ý khi sử dụng NAT và firewall trong hệ thống VoIP

Ảnh hưởng đến QoS:

Viêc thiết lập firewall và NAT gây ra trêvà jitter, làm giảm QoS. Về bản chất, muốn

cải thiên QoS thì quá trình xử lý gói khi qua firewall phải nhanh, mà khả năng xử lý gói

của firewall lại phụ thuộc vào năng lực của CPU. CPU xử lý gói chậm là do: header của

gói thoại phức tạp hơn goi IP bình thƣờng nên thời gian xử lý lâu hơn; số lƣợng gói RTP

quá lớn có thể làm firewall CPU bị qua tải.

Cuộc gọi tới:

Khi một có một cuộc gọi tới thì các lƣu lƣợng báo hiêu tới đi qua firewall, cân phải

mở một số port, điều này có thể gây nguy hiểm.

Với NAT điều này càng kho khăn vì NAT dùng port động, mà một host bên ngoài

chỉ có thể gọi cho 1 host năm sau NAT nếu biết chính xác địa chỉ IP và port của nó.

Voice Stream:

RTP dùng port động (1024-65534), còn RTPC quản lý luồng thoại băng một port

ngẫu nhiên, khó mà đồng bộ port của RTP và RTPC. Nếu cả hai host đều năm sau NAT

thì càng kho khăn.

NAT chỉ ánh xạ địa chỉ bên trong và địa chỉ đại diên đi ra bên ngoài trong 1 khoảng

thời gian t(s). Nếu kết nối bị đứt hay không co lƣu lƣợng đi qua NAT trong t(s) thì ánh xạ

này sẽ biến mất.

Nếu dùng TCP thì khi kết nối TCP kết thúc thì cuộc gọi cũng kết thúc. Nếu dùng


101

UDP thì không nhận biết đƣợc vì UDP là phi kết nối. Nếu sử dụng VAD thì có khả năng

thông tin kết nối bị xoa trƣớc khi cuộc gọi thật sự kết thúc.

Mã hóa:

Viêc mã hoa giúp đảm bảo tính toàn vẹn dữ liêu nhƣng ta cũng gặp một số vấn đề

với nó khi sử dụng NAT và firewall:

Firewall sẽ chặn các goi co header đƣợc mã hóa.

NAT dấu đi IP bên trong với mạng bên ngoài nên phƣơng pháp chứng thực ESP

và AH của Ipsec là không hợp lê.

4.3.6. Một số giải pháp cho vấn đề firewall

4.3.6.1. DMZ (Demititarized Zone)

DMZ là vùng trung gian giữa mạng tin cậy bên trong và mạng bên ngoài nhƣ

Internet, là giải pháp ngăn ngừa sự tƣơng tác trực tiếp giữa ngƣời bên trong và bên ngoài

hê thống, đƣợc xây dựng với mục đích làm cho hê thống an toàn hơn. Co hai cấu hình

thƣờng thấy là DMZ một firewall và DMZ đƣợc đặt giữa hai firewall nhƣ hình vẽ.

Hình 73. Kiến trúc DMZ và một firewall


102

Hình 74. Vùng DMZ nằm giữa hai firewall

H.323 gatekeeper hay SIP proxy đƣợc đặt trong vùng DMZ có thể đƣợc giải quyết

đƣợc vấn đề port động, chỉ cân cấu hình firewall sao cho đâu cuối có thể liên lạc đƣợc

với gatekeper/proxy. Nhƣ vậy, vấn đề port động vẫn có thể khắc phục đƣợc bên ngoài

firewall mà vẫn năm trong vùng an toàn.

4.3.6.2. ALG (Application Level Gateway)

ALG là giải pháp cho vấn đề firewall/NAT trong mô hình doanh nghiêp. ALG là

một phân mềm cài đặt trên firewall. Nó cho phép một ứng dụng đƣợc yêu câu co đƣợc

phép không, giúp cho những ứng dụng đuợc cho phép trong hê thống đƣợc quản lý một

cách dê dàng.

Firewall có tích hợp ALG có khả năng phân tích và nhận biết các giao thức báo

hiêu SIP/H.323 và đong/mở các port một cách linh động băng cách đọc các bản tin báo

hiêu SIP/H.323.

Hình 75. Hoạt động của ALG


103

Khi co cài đặt NAT thì ALG cân phải mở gói thoại và sửa lại thông tin header cho

tƣơng ứng với địa chỉ IP của mạng nội bộ hay IP bên ngoài đối với lƣu lƣợng đi ra. Vấn

đề của NAT đƣợc giải quyết khi ALG thay thế địa chỉ IP của mạng nội bộ băng IP của

chính ALG, không những thế nó còn ánh xạ lƣu lƣợng RTP đến những port mà ALG có

thể đọc và chuyển đến đúng các ứng dụng bên trong.

Giải pháp này đoi hỏi phải nâng cấp phân mềm hoặc thay thế hê thống

firewall/NAT cũ. Hơn nữa, tất cả các lƣu lƣợng thoại đều đƣợc định tuyến qua ALG nên

khi lƣu lƣợng tăng lên thì nhu câu các port cho RTP và RTPC không đủ. Vì vậy mặc dù

đâu cuối có port thích hợp để thực hiên cuộc gọi nhƣng cuộc gọi vẫn bị ALG từ chối.

Nhược điểm của ALG:

ALG tốn kém do phải nâng cấp khi chuẩn thay đổi.

ALG xử lý các gói thoại thì gây ra trê và jitter, khi số lƣợng cuộc gọi tăng lên co

thể gây nghẽn mạng.

ALG đƣợc cài đặt trên firewall nên có thể làm firewall mất ổn định.

4.3.6.3. Middlebox Communication (MIDCOM)

ALG đƣợc cài đặt trên firewall nên có thể gây trê và nghẽn. MIDCOM là giải pháp

giải quyết vấn đề của ALG băng cách đƣa các chức năng của ALG vào một thiết bị năm

ngoài firewall gọi là Midcom agent. Thƣờng thiết bị này là H.323 gatekeeper/SIP proxy

năm trong vùng DMZ vì đây là thành phân đáng tin cậy và có tham gia vào quá trình

điều khiển phiên kết nối. Các thiết bị này bây giờ có thể phân tích lƣu lƣợng VoIP và ra

lênh cho firewall mở/đong các port dựa trên yêu câu báo hiêu thông qua giao thức

MIDCOM.

Hình 76. Hệ thống dùng Middlebox Com


104

Giải pháp này có thể tăng tính linh động và giảm chi phí nâng cấp mạng. Ngoài ra

còn cải tiến hơn về mặt hoạt động vì tách rời viêc phân tích và chặn gói.

Nhược điểm của MIDCOM:

Phải cấu hình cho firewall để Midcom agent điều khiển nó.

Midcom agent phải đƣợc bảo vê an toàn vì nó có khả năng điều khiển firewall,

nếu kẻ tấn công nắm đƣợc quyền điều khiển Midcom agent thì có thể mở bất cứ

port nào trên firewall, nên phải đặt thêm một firewall thứ 2 để bảo vê nó.

4.3.6.4. Session Border Controller

Ngoài giải pháp ALG và MIDCOM, giải pháp SBC (Session Border Controller)

cũng đƣợc phát triển dành cho doanh nghiêp. SBC thƣờng đặt trong vùng DMZ và cung

cấp các chức năng sau:

Firewall/NAT: SBC có thể hoạt động nhƣ một thiết bị NAT hay firewall hay kết

hợp với firewall trong cùng DMZ. SBC có thể mở các lỗ (pinhole) để cho lƣu

lƣợng báo hiêu và thoại đi qua. Cho phép lƣu lƣợng báo hiêu và lƣu lƣợng thoại

nhận và chuyển tới các thiết bị năm sau firewall và NAT tạo biên của mạng mà

không cân phải nâng cấp firewall hay thiết bị.

Điều khiển chấp nhận cuộc gọi: SBC điều khiển các cuộc gọi báo hiêu qua

mạng, có thể từ chối cuộc gọi khi cân thiết, vì vậy có thể bảo vê mạng khỏi tấn

công DoS. Điều khiển chấp nhận cuộc gọi có thể đảm bảo các thỏa thuận về

mức độ dịch vụ, nhƣ vậy thuê bao có thể đảm bảo tốc độ kết nối trong giới hạn

của mạng đƣờng trục.

Ngoài ra, SBC còn có các chức năng khác:

QoS: Đảm bảo tài nguyên mạng cho thiết lập cuộc gọi và các dịch vụ cuộc gọi

khẩn.

Báo hiêu liên mạng: báo hiêu giữa H.323 và SIP.

4.3.7. Giải pháp cho NAT

4.3.7.1. STUN (Simple Traversal of UDP through N)

Cho phép các ứng dụng nhận biết sự có mặt và các loại NAT và firewall giữa nó và

Internet. Có thể xác định địa chỉ IP đi ra bên ngoài do NAT tạo ra. Giải pháp này đoi hỏi

client phải hỗ trợ STUN.

STUN nhận biết NAT băng cách gửi các bản tin binding request đến STUN server

yêu câu địa chỉ và số cổng dùng để truyền và nhận lƣu lƣợng. STUN server hồi đáp cho

STUN client băng bản tin binding response mang thông tin địa chỉ IP đi ra bên ngoài và


105

số port của NAT. Các thông tin này sẽ dùng thiết lập bản tin thiết lập cuộc gọi.

Thực tế thì rất ít sản phẩm hỗ trợ STUN nên giải pháp này không đƣợc phổ biến.

4.3.7.2. TURN (Traversal Using Relay NAT)

TURN là giao thức cho phép một thiết bị năm sau NAT/firewall nhận dữ liêu qua

TCP/UDP, bổ sung cho hạn chế của STUN là có thể sử dụng đƣợc NAT đối xứng vì

TURN năm trên đƣờng báo hiêu.

STUN không năm trên đƣờng báo hiêu cuộc gọi nên khi sử dụng NAT đối xứng,

NAT sẽ ánh xạ cho lƣu lƣợng đi ra một địa chỉ khác, đối với lƣu lƣợng bên ngoài đi vào

cũng tƣơng tự.

4.3.7.3. ICE (Interactive Connectivity Establishment)

Các giải pháp STUN và TURN đều có những thuận lợi và hạn chế riêng. IETF đã

phát triển một giải pháp khác là ICE. Nó không phải là một giao thức mà nó là một phân

làm viêc cùng với STUN hay TURN, cho phép client khảo sát tìm ra cách thông tin với

bên ngoài. Các ICE client sẽ trao đổi thông tin (IP private và public kể cả khi có sự thay

đổi) và thƣơng lƣợng tìm ra các con đƣờng có thể kết nối giữa chúng và chọn con đƣờng

có chất lƣợng tốt nhất (trê và jitter thấp nhất).

4.3.7.4. Đƣờng hầm

Giải pháp này giải quyết vấn đề firewall/NAT băng cách tạo đƣờng hâm cho báo

hiêu và cả lƣu lƣợng thoại đi qua firewall/NAT. Giải pháp này đoi hỏi một server trong

mạng nội bộ và một ở mạng bên ngoài. Hai server này sẽ tạo ra một đƣờng hâm mang tất

cả lƣu lƣợng SIP, đƣờng hâm này thƣờng không cân mã hóa.

Hình 77. Hoạt động của Tunneling


106

Ngoài ra con co ƣu điểm là thay đổi ít nhất chính sách bảo mật sẵn có. Tuy nhiên

nó sẽ gây trê trên lƣu lƣợng thoại, làm giảm chất lƣợng cuộc gọi.

4.3.8. NIDS (Network Intrusion Detection System)

NIDS là hê thống giám sát tất cả các lƣu lƣợng trong mạng. NIDS là thiết bị thụ

động, lƣu lƣợng không đi qua no, mà no chỉ lấy tất cả các gói trên mạng để phân tích.

Nếu co lƣu lƣợng không bình thƣờng bản thân nó sẽ phát cảnh báo cho ngƣời quản trị

mạng biết.

Hình 78. Vị trí của NIDS trong hệ thống

Hoạt động của IDS:

IDS theo dõi tất cả những trạng thái bình thƣờng của hê thống và do đo phát hiên ra

những tấn công bất thƣờng vào hê thống. Kiến trúc của nó gồm Call State Fact Base,

chứa các trạng thái điều khiển và các biến trạng thái, cho phép theo dõi tiến trình của

cuộc gọi. Thông tin trạng thái đƣợc cập nhật từ Event Distributor. Attack Scenarino

chứa những kiểu tấn công đã biết.

IDS quản lý sự thay đổi trạng thái của các goi đƣợc phân tích băng chức năng Call

basis. Tất cả gói của một cuộc gọi đƣợc phân thành một nhóm, rồi lại chia thành các

nhóm nhỏ dựa trên loại giao thức, rồi đƣa vào các bộ máy phân tích khác nhau, các bộ

máy này đƣợc đồng bộ băng các tham số chung và các sự kiên nội bộ. Event Destributor

cũng phân loại các gói nhận đƣợc cho Attack Scenarino.

Các gói từ Event Destributor và thông tin trạng thái từ Attack Scenarino/ Call State

Fact Base đƣợc đƣa đến Analysis Engine. Khi có sự bất thƣờng nào về giao thức hay

trùng với một kiểu tấn công biết trƣớc thì IDS sẽ bật cờ cảnh báo cho ngƣời quản trị phân

tích thêm.


107

Hình 79. Cấu trúc bên trong của thiết bị NIDS

4.3.8. HIDS (Host-based Intrusion Detection System)

Hê thống phát hiên xâm nhập Host(HIDS) là một ứng dụng hoạt động dựa trên

thông tin đƣợc tập hợp từ những máy tính riêng lẻ. Điểm lợi thế này cho phép HIDS

phân tích các hoạt động trên các host để theo dõi với mức độ chi tiết cao hơn. No co thể

xác định quá trình hoặc user nào liên quan đến các hoạt động phá hoại. Hơn nữa, không

giống nhƣ NIDS, HIDS co thể phát hiên ra tấn công trên một máy bởi vì chúng co thể

truy cập trực tiếp hoặc theo dõi các file dữ liêu và quá trình hê thống nhắm tới những tấn

công này.

Cách khác, HIDS co thể dùng những nguồn thông tin theo hai kiểu, kiểm soát vận

hành hê thống và nhật ký hê thống. Viêc kiểm soát hê điều hành hình thành ở mức trong

cùng của hê điều hành (nhân), bởi vậy nhật ký hê thống bảo vê tốt hơn và chi tiết hơn.

Hâu hết các phân mềm HDIS, thiết lập một file ―kiểm kê số‖ và những thuộc tính

của chúng. Viêc sử dụng những kiểm kê này nhƣ một đƣờng mốc cho viêc theo dõi sự

thay đổi của hê thống. ―Kiểm kê‖ thông thƣờng là một file chứa đựng các file kiểm tra cá

nhân và các thƣ mục riêng đƣợc mã hoa băng thuật toán MD5.


108

Sự giám sát HIDS đặc biêt quan trọng đối với phƣơng tiên truyền thông VoIP,

proxy, registration server và nên xem xét các phân khởi đâu của viêc thiết lập goi. Thật

vậy, những nhà cung cấp nhƣ Cisco thậm chí đang làm cài đặt mặc định cho phân này

vào thiết bị của họ.

Tuy nhiên HDIS không thể ngăn chặn tấn công DoS cũng nhƣ không thể phát hiên

các cuộc do quét mạng. HIDS cân tài nguyên trên host để hoạt động.

Kết Luận:

Trong chƣơng này đã nghiên cứu bảo mật trong VoIP để thấy đƣợc các lỗ hổng, các

nguy cơ tấn công và từ đo co những kỹ thuật giải pháp hỗ trợ bảo mật cho VoIP.


109

Chƣơng 5. CẤU HÌNH VOIP CƠ BẢN TRÊN THIÊT BỊ CISCO, TRIÊN KHAI

MÔ HINH VOIP TRONG MANG LAN VÀ DEMO TẤN CÔNG TRONG VOIP

[6], [11]

5.1. Cấu hình VoIP mô hình phong thực hanh

Router 2801

Gateway 2Gateway 1

Router 2801

F0/1: 192.169.2.1 F0/1: 192.169.2.2

192.169.1.2

F0/0

192.169.1.1F0/0

192.169.3.1

192.169.3.2

Soft-phone Soft-phone

Ng i ngNg i ng

Hình 80. Mô hinh bai lab 1

Trong mô hình hình 80 sử dụng 2 router 2801 trên phong thƣc tâp hê thông v iên

thông, đong vai trò là 2 Gateway hỗ trợ VoIP. Thiết bị đâu cuối sử dụng 2 máy tính co cài

đặt phân mềm Cisco IP Communication. Để sử dụng phân mềm Cisco IP

Communication hoạt động nhƣ một ephone phải cài đặt goi quản lý CME(Call Manager

Express) cho router.

5.1.1. Câu hinh giao thƣc măc đinh cua Gateway

5.1.1.1. Các câu lệnh trong bai lab

Cấu hình giao diện cho router

Router(config)# interface fastethernet 0/0. Lênh chọn giao diên fastethernet.

Router(config-if)#ip address ip-address subnetmask. Lênh cấu hình địa chỉ IP

và subnetmask cho giao diên fastethernet 0/0.

Router(config-if)#no shutdown. Lênh chuyên giao diên sang chê đô online.

Router(config-if)#exit. Lênh nay thoat khoi mode câu hinh cho giao diên f0/0.

Router(config)#interface serial 0/0. Chọn giao diên cổng serial 0/0.

Router(config-if)#ip address ip-address subnetmask. Lênh cấu hình địa chỉ IP

và subnetmask cho cổng serial 0/0.

Router(config)#clockrate 6400. Lênh cấu hình xung clock cho cổng serial 0/0.

Câu hinh đinh tuyên cho Gateway

Co nhiều giao thức định tuyến khác nhau co thể đƣợc chọn để định đƣờng đi cho

goi tin. Trong bai lab nay se câu hinh đinh tuyên vơi giao thƣc RIP.

Router(config)#router rip. Chọn giao thức định tuyến RIP.


110

Router(config-router)#network net-ip-address. Khai bao cac mang ma router

kêt nôi trƣc tiêp, để thông qua các mạng đo RIP se hoc đƣơc mạng khác không

kêt nôi trƣc tiêp vơi router . Trong môt router co thê co nhiêu kêt nôi trƣ c tiêp,

nên khi dung giao thƣc RIP thi phải khai báo đây đủ các kết nối trực tiếp này.

Router(config-router)#exit. Thoát khỏi mode cấu hình định tuyến.

Cấu hình quản lý ephone

Muốn cấu hình quản lý một cisco CME phone, co thể cấu hình rất nhiều tham số

đây đủ để một phone hoạt động và hiển thị đây đủ các hiên thị giờ, bí danh, tên, hay các

kiểu chuông... Dƣới đây là một số câu lênh cơ bản để hỗ trợ CME phone đăng ký và

quản lý CME phone.

Router(config)#tftp-server flash:P00307020300.bin. lênh đặt goi quản lý

P00307020300.bin làm tftp-server. Goi hỗ trợ quản lý CME.

Router(config)#telephony-service. Lênh này chon chế độ cấu hình dịch vụ là

telephone.

Router(config-telephony)#max-ephones digit. Lênh đặt sô IP phone tối đa

đƣợc hỗ trợ bởi Gateway.

Router(config-telephony)#max-dn digit.

Router(config-telephony)#load 7960 P0030700300. Lênh này cho phép chọn

loại IP phone là 7960 và tải kiểu firmware mà ephone dùng để đăng ký với

Gateway.

Router(config-telephony)#ip source-address ip-address : 2000. Lênh này chỉ

ra địa chỉ IP và cổng của router mà tại đo ephone sẽ đăng ký.

Router(config-telephony)#create cnf-files. Lênh cho phép cấu hình file XML.

Router(config-telephony)#secondary-dialtone 9. Lênh này để tạo một âm

khác khi ấn số 9 gọi ra ngoài mạng.

Router(config-telephony)#timeouts interdigit digit. Lênh thiết lập thời gian

timeout giữa các lân nhấn số liên tiếp. Đơn vị thời gian tính băng giây.

Router(config-telephony)#timeouts ringing digit. Lênh thiết lập thời gian ring

chuông cho phép. Nếu quá thời gian trên mà bên kia không nhấc máy thì cuộc

gọi chấm dứt.

Router(config-telephony)#date-format dd-mm-yy. Lênh đặt kiểu hiển thị thời

gian trên ephone.

Router(config-telephony)#exit. Kêt thuc mode telephone-service.

Router(config)#ephone-dn 1 dual-line. Tạo một đƣờng điên thoại với hai dây.


111

Router(config-ephone-dn)#number ephone-number. Thiết lập số điên thoại

cho ephone. Số điên thoại co thể theo quy tắc E.164. Co chiều dài từ 3 đến 5 số.

Router(config-ephone-dn)#name name. Lênh này cho phép đặt tên thay cho số

điên thoại.

Router(config)#ephone 1. Cấu hình cổng giao diên vật lý cho ephone.

Router(config-ephone)#mac-address MAC. Khai báo địa chỉ MAC của máy

tính cài đặt ephone.

Router(config-ephone)#type 7960. Chọn loại IP phone là loại 7960.

Router(config-ephone)#button 1:1.

Router(config-ephone)#exit. Kêt thuc mode.

Cấu hình Dial-peer cho Cisco CME Phones

Router(config)# voice service voip. Lênh câu hinh và chỉ rõ loại hình dịch vụ

voice la voip.

Router(config-voi-serv)# allow-connections h323 to sip. Lênh cho phép một

đâu cuôi H.323 co thể kết nối đƣợc với một đâu cuối SIP trong mô hình IP – to

IP Gateway.

Router(config-voi-serv)#exit.

Router(config)# dial-peer voice tag Peer type. Lênh đinh nghia môt dial - peer

cụ thể. Giá trị tag thay đôi tƣ 1 đến 2147483647. Peer type bao gôm co POST,

VoIP, VoFR, VoATM, đây la nhƣng kiêu kêt nôi . Kiêu POST kêt nôi đên

(PSTN, PBX, telephone, and fax) hay la cac WAN riêng sƣ dung VoIP, VoFR,

VoATM. Trong bai lab nay kiêu ta dung la VoIP.

Router(config-dial-peer)#destination-pattern [+] string [T]. Lênh xac đinh

đich cho cuôc goi dial-peer, môt day sô đâu hoăc môt sô đây đu kiêu E.164.

Router(config-dial-peer)#session target ipv4:ipaddress. Lênh c hỉ ra địa chỉ

của dial-peer ma tai đo cuôc goi đƣơc nhân.

Router(config-dial-peer)# dtmf-relay type-channel. Lênh nay cho phep chon

phƣơng thƣc mang thông tin bao hiêu dtmf. Router cisco hô trơ cac phƣơng

thƣc mạng dtmf nhƣ hinh dƣơi đây.

Hình 81. Các phương thức mạng thông tin dtmf


112

Router(config-dial-peer)# codec g711ulaw. Lênh chi ra chuân ma hoa voice .

Trong router cisco hô trợ nhiêu chuân ma hoa:

Hình 82. Các chuẩn mã hóa router cisco hỗ trơ

Router(config-dial-peer)# no vad. Không cho phep tự đông do tìm voice trong

các cuôc goi dial-peer.

Router(config-dial-peer)#end. Câu hình xong và thoát khỏi mode cấu hình.

5.1.1.2. Thƣc hiên va kêt qua

Thƣc hiên câu hinh va cài đặt phân mềm Cisco IP Communicator trên cac PC đê no

là các soft-phone.

Thƣc hiên câu hinh cho hai router đong vai tro hai gateway quan ly cac soft-phone.

Router 2801 trên phong thƣc tâp điên tƣ viên thông không co công serial vì thế ta thay

công serial băng công fastethernet 0/1. Tƣc la kêt nôi hai router băng công f0/1.

Trên giao diên f0/0 của gateway 1 câu hinh đia chi IP: 192.168.3.1. Giao diên nay

kêt nôi trƣc tiêp đê n PC cai phân mêm Cisco IP C ommunicator. PC co đia chi IP :

192.169.3.2. Sô cua soft-phone la 101.

Trên giao diên f0/0 của gateway 2 câu hinh đia chi IP: 192.168.1.3. Giao diên nay

kêt nôi vơi môt PC khac co cai phân mêm Cisco IP communicator . PC co đia chi I P:

192.168.1.4. Sô cua soft-phone la 202.

Giao diên f1/0 của gateway 1 câu hinh đia chi IP: 192.168.2.1. Giao diên f1/0 của

gateway 2 câu hinh đia chi IP: 192.168.2.2.

Dƣơi đây la môt sô kêt qua câu hinh. Băng cach sƣ dung cac lênh show và debug

để thấy đƣợc sự hoạt động của mạng.


113

Hình 83. Kêt qua show run của voice gateway 2

Trong kêt qu ả show run này co một số lê nh cung câp cac dinh vu tiên ich cho

ephone nhƣ: Transfer cuôc goi, hiên thi ngay giơ, dịch vụ chọn nhạc chuông báo hiêu...

Trong mô hinh cơ ban nay nêu giao thƣc không đƣơc chi ra thi gateway mặc định

sƣ dung giao thƣc H.323 low, Tƣc H.323 version 1. Cũng co thể cấu hình giao thƣc khac

băng cach chi ro giao thƣc trong phân dial-peer.

Lênh show h323 gateway, cho ta biêt trang thai cac ban tin đƣơc gƣi va nhân trong

cuôc goi. Trên hình 84 các bản tin H.225 đƣơc chi ra. Ở đây chi ro sô ban tin n hân, sô

bản tin gửi và số bản tin bị lỗi.


114

Hình 84. Kết quả lệnh show h323 gateway

Trong cuôc goi nay bao hiêu trƣc tiêp giƣa hai Gateway đong vai tro la hai đâu cuôi,

quá trình thiết lập cuộc gọi trực tiếp giống nhƣ hình 31(phân 3.1.3.1 trang 46).

Sau khi đa thiêt lâp câu hinh đây đu cho cac Gateway va PC, kêt qua nhân đƣơc khi

kêt nôi cac cuôc goi hình 85. Do thƣc hiên trên hai router thât vơi khoang cach ngăn va

đƣơng truyên chi co tin hiêu voice nên chât lƣơng thoai rât tôt.

Giao diên ephone khi đa kêt nôi nhƣ sau:

PC 2 PC 1

Hình 85. Giao diên cac soft-phone khi đa kêt nôi thanh công

5.1.2. Câu hinh vơi giao thƣc SIP


115

Trong mô hinh trên hình 80 ta co thê cho n giao thƣc SIP va câu hinh cho cac

SIP-UA. Vơi cac câu lênh chi ra dƣơi đây . Các câu lênh câu hinh giao diê n va quan ly

ephone nhƣ phần 5.1.1.1 trang 108 đã noi rõ.

Câu hinh chon giao thƣc SIP trong dial-peer

Router(config)# dial-peer voice tag voip. Lênh nay nhƣ noi ơ phần 5.1.1.1, để

vào một dial-peer cu thê. Trong bài lab này ta cấu hình chọn kiểu voip.

Router(config-dial-peer)#session target ipv4:ipaddress. Đia chi giao diên

quản lý CME của bên bị gọi.

Router(config-dial-peer)#session protocol sipv2. Lênh chi ra giao thƣc sƣ

dụng là SIP phiên bản 2.

Router(config-dial-peer)#dtmf-relay sip-notify. Chọn hình thức mang thông

tin dtmf trên thông bao cua sip.

Router(config-dial-peer)#codec g711ulaw. Chọn kiểu mã hoa thoại vơi chuân

64kbps.

Router(config-dial-peer)#no vad.

Router(config-dial-peer)#exit. Kêt thuc mode.

Câu hinh cho SIP – UA

Router(config)# sip-ua. Chọn mode cấu hình cho các UA.

Router(config-sip-ua)# registrar dns:manh.com.vn. thƣc hiên đăn g ky vơi

domain name.

Router(config-sip-ua)# registrar ipv4:ipadress. Đia chi nhân cuôc goi.

Router(config-sip-ua)# retry register 10. Lênh nay chi ra sô ban tin register

mà gateway nên gƣi trong môt phiên. Giá trị này thay đổi từ 1 – 10

Router(config-sip-ua)# timers register 500. Xét thời gian đợi của sip – UA đơi

trƣơc khi gƣi tiêp register requests.

Router(config-sip-ua)# retry invite 3. Sô ban tin invite ma UA nên gƣi trong

môt phiên. Ở đây chọn giá trị 3.

Router(config-sip-ua)# retry register 3. Sô ban tin re gister ma UA nên gƣi

trong môt phiên. Ở đây chọn giá trị 3.

Router(config-sip-ua)#exit.

Tiên hanh câu hinh trên hai router băng cac câu lênh ơ trên . Các giao diên và các

đia chi nhƣ chi ra ơ phân 5.1.1 trang 108.

Sƣ dung câu lênh show và debug để kiểm tra kêt qua câu hinh. Dƣơi đây la trich

môt đoan cua lênh show run, đoan câu hinh dial-peer sƣ dung giao thƣc SIP .


116

!

dial-peer voice 400 voip

destination-pattern 4..

session protocol sipv2

session target ipv4:192.169.2.2

dtmf-relay cisco-rtp

codec g711ulaw

no vad

!

sip-ua

no redirection

retry invite 2

retry bye 2

!

Sƣ dung lênh show sip-ua statistics ta co thê thây đƣơc sô lƣơng cac ban tin đƣơc

gƣi, sô bản tin gƣi thanh công va sô ban tin không gƣi thanh công trong môt phiên SIP .

Hình 86. Kết quả show sip-ua statistics


117

Sƣ dung câu lênh debug ccsip messages cho ta cac ban tin SIP trong qua trinh

thiêt lâp cuôc goi cung nhƣ trong cuôc goi và kết thúc cuộc gọi . Dƣơi đây là minh hoa

môt ban tin response 200.

Hình 87. Bản tin SIP 200

5.2. Câu hinh VoIP vơi giao thƣc H.323 có Gatekeeper

Trong bai lab nay se đi sâu xem xet va câu hình cụ thể một mô hình mạng VoIP co

sử dụng giao thức báo hiêu H.323 và co mặt của Gatekeeper. Nhƣ đa chi ra trong phân ly

thuyêt, Gatekeeper la thanh phân tuy chon trong mang VoIP nhƣng no đong môt vai tro

rât quan trong trong hê thống mạng VoIP . Nêu trong mang co măt cua G atekeeper thi

các đâu cuối H.323 phải tuân thủ đây đủ các thủ tục với Gatekeeper.

5.2.1. Các câu lệnh dung trong câu hinh mô hinh nay

5.2.1.1. Câu hinh cho Gateway H .323

Trong mô hinh cua bai lab na y cac Gateway cung nôi trƣc tiêp vơi cac PC co cai

đăt cac soft-phone. Vì vậy viêc cấu hình các giao diên, câu hinh quan ly CME, câu hinh

đinh tuyên vơi cac câu lênh nhƣ trinh bay trong bai lab thƣ nhât. Ở đây chỉ đƣa ra nhƣng

câu lênh đê câu hinh cho Gateway thƣc hiên viêc nhân vung cua gakeeper va đăng ky

trong miên quan ly bơi Gatekeeper.


118

Câu hình giao diện liên kết với Gakeeper

Giao diên nay phai la giao diên kêt nôi trƣc tiêp đên cac thiêt bi đâu cuôi.

Router(config)# interface fastethernet 0/0. Truy nhâp vao giao diên kêt nôi

vơi gatekeeper. Ở đây chọn giao diên f0/0.

Router(config-if)#h323-gateway voip interface. Khai bao giao diên f 0/0 trơ

thành giao diên H.323 – Gateway.

Router(config-if)#h323-gateway voip id domain-name-gatekeeper ip-address

Ras-port. Lênh nay chi ra ID va đia chi IP cua Gatekeeper ma Gateway đăng

ký. Trong đo domain-name là tên domain của Gatekeeper mà Gateway đăng ký.

Ip-address là địa chỉ IP của giao diên trên Gatekeeper của vùng quản lý mà

gateway đăng ky . Ras-port là chỉ số cổng kênh RAS , chỉ số cổng mặc định là

1718.

Router(config-if)#h323-gateway voip h323-id [gateway name]. Lênh cho

phép cấu hình ID cho thƣc thê H.323 đăng ky cung vơi Gatekeeper. Gatekeeper

thƣa nhân Gateway căn cƣ vao ID nay.

Router(config-if)#h323-gateway voip tech-prefix 1#. Đăng ky môt tiên tô

điên thoai.

Router(config-if)#h323-gateway voip bind srcaddr [ip-address]. Lênh chi ra

nguôn cua goi H.323. Đia chi nay chinh la đia chi giao diên cua Gateway đang

làm viêc, tƣc la đia chi cua giao diên f0/0.

Câu hinh dial-peer

Router(config)# dial-peer voice tag (Peer type). Lênh nay chi ra môt k ênh

cuôc goi cu thê.

Router(config-dial-peer)#destination-pattern [+] string [T]. Lênh xac đinh

đich cho cuôc goi dial-peer, môt day sô đâu hoăc môt sô đây đu kiêu E.164.

Router(config-dial-peer)#session target ras. Chọn phiên làm viê c vơi kênh

báo hiêu RAS.

5.2.1.2. Câu hinh cho Gatekeeper

Router(config)# gatekeeper. Lênh goi đên mode cua gatekeeper đê thƣc hiên

các cấu hình chức năng cho gatekeeper .

Router(config-gk)# zone local zone-name domain-name [ras-ip-address]

[port]. Trong đo zone-name chỉ tên của Gatekeeper do ngƣơi quan tri đăt cho

no. Domain name là tên domain của G atekeeper. [ras-ip-address] là thành

phân tuy chon, chỉ ra địa chỉ IP của giao diên ma cac điêm cuôi H.323 hoăc cac


119

gateway liên lac vơi Gatekeeper. [port-RAS] cũng là thành phân tùy chọn , chỉ

ra chi sô công cua kênh bao hiêu RAS . Giá trị cổng thay đổi từ 1 – 65535 và

công măc đinh cua no la 1719. Ví dụ : Router(config-gk)# zone local

gk-zone2.com com 192.168.6.1 1719.

Router(config-gk)#zone remote zone-name domain-name ip-address [port].

Trong đo zone-name là tên của một vù ng ngoai nao đo. Domain-name là tên

domain cua môt vung xa . Ip-address là địa chỉ IP của vùng remote . [port] là

thành phân tùy chọn, co giá trị mặc định là 1719. Môt gatekeeper co thê co rât

nhiều zone-remote. Ví dụ : Router(config-gk)#zone remote gk-zone1.com

com 192.168.4.1 1719.

Router(config-gk)# zone prefix gatekeeper-name e164-prefix. Lênh đƣa cac

tiên tô vao danh sach vung cua G atekeeper. Ví dụ: Router(config-gk)# zone

prefix gk-zone1.com 4..

Router(config-gk)#no shutdown. Chuyên trang thai cho G atekeeper sang

trạng thái online.

Nhƣng câu lênh trên là cơ bản để một Gatekeeper hoạt động trong một mạng VoIP.

5.2.2. Thƣc hiên va kêt qua

Gateway R1

Router 2801

Gatekeeper R2

Gatekeeper R3 Gateway R4

Gatekeeper R5

Gateway R6

Switch 2

Switch 1

Switch 3

Soft-phone

Soft-phone

Soft-phone

Router

7200

Router

2801

Router

2650

Router

7200

Router

7200

Hình 88. Mô hinh bai lab 2

Trong mô hinh trên tôn tai 3 miên mạng với 3 Gatekeeper quan ly . Các router R1

R4, R6 đong vai tro la các Gateway, kêt nôi trƣc tiêp vơi các PC co cai soft-phone băng


120

giao diên fast ethernet 0/0. R2, R3, R5 đong vai tro la cac G atekeeper quan ly 3 miên

mạng. Các Gateway và Gatekeeper đƣơc câu hinh theo cac câu lênh đa chi ra ơ trên.

Trong mô hinh nay chon cac router 7200 đong vai tro la cac gatekeeper . Chỉ co

dong router 7200 trơ lên mơi hô trơ chƣc năng gatekeeper .

Quá trình thực hiên tìm G atekeeper thƣc hiên băng căp ban tin GRQ /GCF. Quá

trình đăng ký với gatekeeper của Gateway thƣc hiên băng căp ban tin RRQ/RCF. Khi

thƣc hiên môt cuôc goi end-to-end giƣa hai đâu cuôi H .323 của hai miềm mạng khác

nhau, thì quá trình setup cuộc gọi đƣợc thực hiên theo sơ đồ hình 59. Trong sơ đô này

các bản tin báo hiêu H .225 sẽ đƣơc gƣi trƣc tiêp giƣa 2 Gateway ma không thông qua

Gatekeeper. Co thể thấy đƣợc điều này thông qua lênh show gatekeeper performance

stats trên hình 92. Trên hình 92 các bản tin mà Gatekeeper thƣc hiên không co cac ban

tin bao hiêu H.225. Gatekeeper trong bai lab nay chi co nhiêm vu quan ly điêm cuôi cua

mình và co nhiêm vụ định tuyến cho các cuộc gọi. Sau khi Gatekeeper nhân đƣơc ban tin

ARQ cua đâu cuôi H.323 thông bao vê cuôc goi, no sẽ gửi lại bản tin ACF để thông báo

cho điêm cuôi biêt đƣơc đia chi kênh bao hiêu cua điêm cuôi đich. Điêm cuôi H.323 sẽ

căn cƣ vao đia chi kênh H.225 vƣa nhân đƣơc đê thiêt lâp cuôc goi trƣc tiêp đên phia đâu

cuôi bi goi.

Các kênh điều khiển H.245 cũng đƣợc truyên trƣc tiêp giƣa cac Gateway. Khi kêt

thúc cuôc goi, do co măt cua Gatekeeper cac điêm cuôi phai thƣc hiên giai phong kênh

vơi Gatekeeper băng bản tin DRQ/DCF.

Hình 89. Setup cuôc goi

Dƣơi đây la môt sô kêt qua thu đƣơc tƣ lênh show


121

Hình 90. Kêt qua show Gatekeeper calls

Hình 91. Kêt qua show Gatekeeper

Hình 92. Kết quả của lệnh show performance stats


122

5.3. Thiêt lâp mạng VoIP trong một mạng LAN

5.3.1. Giơi thiêu va yêu câu cua hê thông

Hiên nay co nhiều nhà cung cấp đã đƣa ra các phân mềm hỗ trợ, để tạo ra các tổng

đai IP mêm. Kèm theo nhiêu phân mêm đong vai tro la cac soft-phone. 3CX la nha cung

câp phân mêm 3CX rât đƣơc ƣa chuông hiên nay. 3CX cung câp phân mêm cho các máy

tính chạy hê điều hành windows trơ thanh cac tông đai hoăc cac soft-phone.

Hê thống Điên thoại 3CX chạy trên Windows là một hê thống IP PBX băng phân

mềm thay thế cho các hê thống PBX / PABX băng phân cứng truyền thống. IP PBX của

3CX đƣợc phát triển riêng cho Microsoft Windows và đƣợc dựa trên chuẩn SIP – dê

dàng hơn trong viêc quản lý mà cho phép bạn sử dụng bất kỳ điên thoại SIP nào (phân

cứng hoặc phân mềm). Hê thống IP PBX /PABX băng phân mềm cung cấp nhiều lợi ích:

Không cân đƣờng dây điên thoại riêng – các điên thoại sử dụng mạng máy tính

Cấu hình và theo dõi hê thống dê dàng thông qua giao diên trên web

Chi phí mua thấp hơn rất nhiều so với hê thống PBX / PABX băng phân cứng

Loại bỏ viêc chạy dây điên thoại nên viêc chuyển văn phong dê dàng hơn

Có thể chọn nhiều loại điên thoại phân cứng chuẩn SIP thay vì phải dùng cố

định một nhà sản xuất

Nghe & Gọi qua đƣờng PSTN (điên thoại thông thƣờng) băng Gateways

Giảm chi phí gọi đƣờng dài và giữa các văn phong với nhau

Ở đây ta không bàn đến cuộc gọi dùng điên thoai cƣ ng hay cuôc goi ra mang

PSTN. Vì để thực hiên no cân các thiết bị hỗ trợ khác . Trong phân nay chỉ đề cập đến

viêc sƣ dung hê thông điên thoai 3CX đê tao ra môt mang VoIP sƣ dung cac soft-phone

đƣơc cai trên cac PC trong môt mang LAN. Mô hinh nay rât hƣu ich cho cac phong ban

và doanh nghiêp.

Yêu câu cua hê thông:

Tôn tai môt mang LAN , co kết nối internet.

Co phân mềm 3CXPhoneSystem8.0 và 3CXPhone4. Hai phân mêm nay chung

ta co thê download hoan toàn miên phí tại trang web: www.3cx.vn.

Môt may tính co bộ nhớ RAM tối thiểu 1 Gigabyte và CPU tối thiểu Pentium 4,

dùng để cài phân mềm 3CXPhoneSystem8.0, để biến máy tính đo thành một

tông đai IP PBX.

Các máy trong mạng LAN cài đặt phân mềm 3CXPhone4, no là những

soft-phone. Các may tinh cân trang bi các thiết bị nghe gọi nhƣ : tai nghe va

microphone.

http://www.3cx.vn/


123

5.3.2. Cai đặt va đăng ký

Cai đặt 3CXPhoneSystem8.0

Sau khi download phân mêm 3CXPhoneSystem8.0 từ web www.3cx.vn ta tiên

hành cài đặt trên máy co cấu hình yêu câu nhƣ trên . Các bƣớc cài đặt sẽ đƣợc

chỉ rõ trong lúc chúng ta cài . Chú ý tại bƣớc cài ở hình 93. Sau đây là một số

bƣớc chính cân chú ý :

Hình 93. Bước cần chú ý khi cài 3CXPhoneSystem8.0

Bƣớc tiếp theo tạo ra hê thống IP PBX hoặc khôi phục lại hê thống, hình 94.

Hình 94. Giao diên đê đăng ky va thiêt lâp IP PBX

http://www.3cx.vn/


124

Bƣơc tiêp theo la bƣơc chon sô chƣ sô trong sô phone cua hê thông IP PBX ,

hình 95. Ở đây IP PBX hô trơ tƣ 2 đến 5 chƣ sô.

Hình 95. Chọn số chữ số của hệ thống tổng đài

Bƣớc tiêp theo la bƣơc đăng ky SIP domain cho IP PBX.

Hình 96. Khai bao SIP domain cho IP PBX


125

Bƣơc tiêp theo la khai bao SMTP va mail server.

Hình 97. Khai báo SMTP mail

Bƣơc tiêp theo la đăng ky username va p assword đê logon vao 3CX IP PBX

băng công console.

Hình 98. Đăng ky để login vào PBX bằng cổng console


126

Bƣơc tiêp la ta câu hinh các sô phone cho cac softphone. Trong câu hin h đê

quản lý các soft phone, cân yêu câu nhâp đây đu cac thông sô đê IP PBX quan

lý. Chú ý địa chỉ mac viết liên nhau. Tại bƣớc này ta co thể cấu hình cho tât ca

các số cung câp cho môt LAN.

Hình 99. Câu hinh quan ly các soft-phone

Tiêp theo chọn nhà cung cấp VoIP.

Hình 100. Chọn nhà cung cấp VoIP


127

Tiếp theo nhập ID xác thực, mật khẩu và số tài khoản của bạn.

Hình 101. Nhập xác thực, mật khẩu và số tài khoản của bạn.

Đăng ky online vơi 3CX va kêt thuc câu hình.

Hình 102. Đăng ky online


128

Cai đặt va đăng ký 3CXPhone4

Viêc cai đăt kha đơn gian chi cân chon next la xong , sau khi cai đăt xong

soft-phone co giao diên nhƣ hinh

Hình 103. Giao diên sau khi cai đặt 3CXPhone4

Nhƣ ta thây trên giao diên VoIP phone chƣa đƣơc đăng ky, cân tiên hanh đăng

ký cho VoIP phone, hình 104.

Hình 104. Giao diên đăng ky vơi IP PBX


129

Sau khi đăng ky thanh công co giao diên sau, hình 105.

Hình 105. Giao diên đa kêt nôi đươc vơi IP PBX

Quản lý IP PBX

Chúng ta co thể hoàn toàn quản lý đƣợc IP PBX tai may chu cai phân mêm

3CXPhoneSystem8.0 khi login vao công console vơi username va password đa đăng ky

ở trên hình 98. Sau khi đăng nhâp giao diên web quan ly IP PBX đƣơc chi ra ơ hình 106 .


130

Hình 106. Giao diên quan ly cua IP PBX

Trong giao diên nay ta thây tông đai IP PBX đo co nhiêu ƣng dung va no co đây đu

tính năng nhƣ một tổng đài . Đây la môt phân mêm rât nhiêu chƣc năng nên trong khoa

luân không nghiên cƣu ky vê no, mà chỉ quan tâm đến phân quản lý các soft-phone trong

mạng LAN. Các thông số đăng ký, trạng thái của thuê bao đƣợc lƣu trong tƣng danh mục

đƣợc đánh số theo số phone nhƣ hình 106. Khi một soft-phone kich hoat no se co trang

thái kêt nôi biêu thi đa đƣơc đăng ky (Registered). Con các soft-phone không hoat đông

(hoặc chƣa đăng ký), thì trạng thái biểu thị chƣa đăng ky (Not Registered) nhƣ hình 106.

Hình 107 là kết quả thực hiên thành công cuộc gọi giữa thuê bao co số 100 và thuê

bao co sô 102. Chât lƣơng cuôc goi VoIP kha tôt , vì thực hiên trong LAN này có băng

thông kha thoai mai va khoang cach không đang kê nên đô trê rât thâp .


131

PC1-van manh PC2-van thao

Hình 107. Hiên thi kêt qua kêt nôi thanh cuôc goi giưa 2 soft-phone

Yêu câu cơ sơ ha tâng đơn gian, chât lƣơng cuôc goi VoIP lai kha tôt nên sƣ dung

mô hinh VoIP trong LAN sẽ là sự lựa chọn cho cac phong ban hay cơ quan co môt mang

LAN.

5.4. Demo một trong những hình thức tấn công mạng VoIP phổ biến

Phân Demo này đƣợc viết băng chƣơng trình flash, đƣợc thực hiên với mục đích

chính là mô tả một cách chi tiết và trực quan một trong những kiểu tấn công đơn giản

nhƣng phổ biến. Đo là kiểu tấn công ARP Spoofing

Tuy đã cố gắng nhƣng phân Demo này mới chỉ mô tả về quá trình tấn công nhƣng

vẫn chƣa mô tả cụ thể đƣợc các giải pháp chống lại kiểu tấn công này. Sau đây là giao

diên của phân Demo.


132

Kêt luân

Trong chƣơng này, qua thực nghiêm cấu hình VoIP cơ bản trên thiết bị CISCO,

triển khai mô hình VoIP trong mạng LAN và demo cuộc tấn công trong VoIP. Đã làm rõ

những vấn đề trong phân lý thuyết con tồn tại, thấy đƣợc yếu điểm dê bị tấn công trong

VoIP. Đƣa ra một số mô hình VoIP ứng dụng trong thực tế.


133

KÊT LUẬN

Do thơi gian co han cung nhƣ kinh nghiêm thƣc tiên chƣa nhiêu nên khoa luân chỉ

mơi giải quyết đƣợc các vấn đề sau:

Lý thuyết

Chỉ ra những ƣu điểm, nhƣơc điêm cua VoIP va so sanh VoIP vơi cac mang

điên thoai truyên thông khac.

Nghiên cƣu cac mô hinh mang VoIP vơi cac chuân giao thƣc khac nhau. Cụ thể

là với hai giao thức H.323/SIP.

Chỉ ra các yếu tố ảnh hƣởng đế n chât lƣơng dich vu VoIP va đƣa ra cac giai

pháp nâng cao chất lƣợng dịch vụ VoIP .

Thƣc nghiêm

Thiêt lâp mạng VoIP trong phong thực tâp hê thông viên thông vơi cac thiêt bi

của cisco.

Thiêt lâp mô hinh mang VoIP trong môt mạng LAN với phân mêm 3CX.

Thiêt lâp mang VoIP – H.323 co sử dụng thiết bị gatekeeper bă ng phân mêm

mô phong dynamips.

Sau khi hoàn thành nội dung khoa luận này, em đã học hỏi đƣợc rất nhiều và đã

chắp nối khá tốt các kiến thức đƣợc học trên lớp về mạng viên thông. Nó giúp em phát

triển phƣơng pháp luận, cách đặt vấn đề và giải quyết vấn đề.

Em xin chân thành cảm ơn!


134

TAI LIỆU THAM KHẢO

Tai liệu tiêng Anh:

[1] Alan B.Johnson. SIP Understanding The Session Initiation Protocol. Artech

House.

[2] CCNP: Optimizing Converged Networks V5.0. Cisco.

[3] Cisco - Cisco Voice Over IP CVOICE Student Guide V4.2(2004)

[4] Jonathan Davidson, James Peters, Manoj Bhatia, Satish Kalidindi,

Sudipto Mukherjee. Voice over IP Fundamentals, 2nd Edition. Cisco Press.

[5] McGraw.Hill. Session.Initiation.Protocol.SIP.Jun.2008.

[6] Michael E. Flannagan & Jason Sinclair. Congifguring Cisco Voice Over IP.

[7] RFC 3261. SIP - Session Initiation Protocol.

[8] T-REC-H.323-200606-I!!PDF-E.

Tai liệu tiếng Việt

[9] Đỗ Thành Chung. SIGTRAN (Signalling Transport). Trung tâm ƢDCN mơi-Viên

KHKT Bƣu điên.

Tai liệu từ các website

[10] Http://www.networksorcery.com/enp/protocol.

[11] Http://www.3cx.com.vn

http://www.networksorcery.com/enp/protocol

Documents

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆdulieu.tailieuhoctap.vn/books/luan-van-de-tai/luan-van-de-tai-cd-dh/... · Có kèm theo phần thực nghiệm