VoIP over VPN.docVIP

VoIP over VPN 分支机构之间采用VoIP的方式越来越流行，这样可以帮助企业减少长途通信费用。但是由于VoIP采用互联网络进行传输的特点，安全问题也随之加剧。一般常见的安全问题有呼叫拦劫，身份盗用和拒绝服务。这样我们可以采用ZyWALL 1050的VPN技术来提供VoIP的安全防护。 我们用一个简单的拓扑来逐步解释一下ZyWALL 1050是如何保护VoIP的。 我们将两台VoIP ATA（ZyXEL P2002系列）连接到机构网关。每一台VoIP ATA都有一个SIP号码用于远程ATA。这种应用叫做固定的VoIP线路应用。用户只需要安装和配置VoIP ATA设备，不需要到一台外部SIP服务器上进行注册。我们将使用VPN隧道来确保VoIP的通信安全。 步骤一、VoIP ATA P2002配置 1）P2002缺省的管理IP是192.168.5.1。登录到P2002的web配置界面，然后切换到Ethernet界面。设置Ethernet IP参数为“G IP address Automatically”。 2）切换到Maintenance菜单，然后检查它从ZyWALL 1050自动获得的IP地址。 3）连接到P2002的web配置界面，重复前面的步骤来找到它获得的IP地址。 4）设置分支机构的SIP号码。 5）设置总部的SIP号码。 6）在总部的P2002上的PHONEBOOK菜单中设置分支机构的SIP号码和IP地址。填写好后点击Add按钮在Speed Dial 电话本中添加该记录。 7）在分支机构的P2002上的PHONEBOOK菜单中设置总部的SIP号码和IP地址。填写好后点击Add按钮在Speed Dial 电话本中添加该记录。 这样我们就完成了两端VoIP ATA的设置。 步骤二、总部ZyWALL 1050的配置 1）登录到ZyWALL 1050的web配置界面，然后按照前面拓扑中的参数来设置ZyWALL 1050的WAN和LAN接口。 2）设置远程分支机构中ZyWALL 70后面的子网地址目标。 3）设置VPN隧道，强制VoIP数据流穿越VPN隧道到达分支机构。依次切换到菜单ZyWALL 1050 Configuration Network IPSec VPN VPN Gateway，添加一个新的VPN网关规则。 4）本地和远程策略的地址目标分别为LAN_SUBNET和zw70VPN_LAN。 5）依次切换到菜单ZyWALL 1050 Configuration Policy Route Policy Route来添加一条策略路由。通过该策略路由，本地子网的数据流可以通过与zw70VPN之间的隧道传送到总部的子网内。 6）现在我们可以为该VPN隧道设置安全检查规则了。请依次切换到菜单ZyWALL 1050 Configuration Network Zone来为VPN添加一个新的zone。 7）首先，我们可以配置防火墙规则以防范来自其它zone的未授权访问，以及添加更多的访问控制策略。 8）我们也可以使用IDP来检测和阻止对于VPN隧道的入侵。请依次切换到菜单ZyWALL 1050 Configuration Policy IDP，然后按下图的步骤添加针对VPN zone的IDP保护。 9）通过以上的步骤我们结束了VPN隧道的配置和针对VPN隧道的安全策略设置。 步骤三、分支ZyWALL 70的配置 1）登录到ZyWALL 70的web配置界面，然后按照前面拓扑中的参数来设置ZyWALL 70的WAN和LAN接口。 2）配置一条到ZyWALL 1050的VPN隧道。 这样我们经过ZyWALL 1050和ZyWALL 70之间的VPN隧道VoIP通话了。