专利名称::用于安全且可靠的ip语音专用交换分机服务的智能交换的制作方法
技术领域:
:本发明涉及语音通信,且更明确地说,涉及在通信网络之间交换分组语音业务。更具体地说,本发明涉及使用VoIP在专用通信网络上交换分组语音业务。背景技水自从上世纪九十年代开始,计算机数据通信网络上的语音业务增长速率一直较显著。与其中使用时分多路复用(TDM)通过线路交换在PSTN网络上作为同步数据流承载语音的常规语音通信系统形成对比,计算机网络通常在分组交换数据网络上主要作为数据分组来承载语音业务。这种形式的语音业务通常称为分组语音业务,因为语音数据分组形成通信的基础。与使用常规独立且专用PABX系统来进行内部语音业务交换相比,由于在企业环境中使用专用内部网络(例如LAN)来承载分组语音业务的各种优点,承载分组语音业务的内部网络正越来越多地由企业使用以替代专用PABX系统。此类优点的实例包括更方便且有效的系统管理,因为单一网络基本设施可由语音和数据业务两者共享,以及增强的縮放性。分组语音数据业务的重要应用是在因特网上承载语音。因特网语音协议(VoIP)被广泛认为是用于此类用途的工业标准协议。当前,作为传输协议的VoIP已经广泛应用于因特网和非因特网应用。举例来说,VoIP还用于专用通信网络中的分组语音数据通信应用。因此,术语VoIP和标准协议其本身不再限于经由因特网的语音通信,且应当在此基础上理解以下描述。VoIP(尤其是使用会话起始协议(SIP)的VoIP)对于企业电话应用正变得越来越重要,因为可用较低成本提供优质语音业务且同时灵活性和可控制性得以增强。然而,安全性和可靠性至今仍是主要问题,且这些可能阻止在商业或企业环境中大规模部署IP电话。通常,IP电话网络建立在企业数据网络或LAN之上或嵌入在其中。这可能是由于最大程度上利用现有计算机网络或在公司环境内优选集中且增强的数据和语音业务管理或者其它实际原因引起的。然而,此常规设置意味着例如由于剽窃引起的数据网络中断还将导致公司电话系统的中断,这显然是不可接受的。因此,如果可减轻常规VoIP网络的缺点以使得受损数据网络(LAN或VLAN)将不会不利地影响组织的在物理上与数据网络连接的基于IP的语音网络,将是合乎需要的。因而,可部署一种安全且可靠的基于IP的语音网络以在可用时利用因特网或其它网络或网络协议。
发明内容本发明的目的因此,本发明目的是提供一种用于分组语音通信的智能交换机,其减轻用于分组电话的常规服务器的至少一些安全性缺点。至少向公众提供一种用于VoIP应用的智能交换机的有用选择。根据本发明的第一方面,提供一种用于在多个通信装置之间交换分组语音业务的交换设备,所述交换设备包含多层交换机、多个通信端口、控制构件和入口处理构件,所述分组语音业务包含经由所述通信端口在通信装置之间交换的呼叫控制分组和媒体分组,其中将从第一通信装置到第二通信装置的媒体分组业务分裂成第一呼叫片段和第二呼叫片段,所述第一呼叫片段起源于所述第一通信装置且终止于所述交换设备,所述第二呼叫片段起源于所述交换设备且终止于所述第二通信装置,来自所述第一通信装置的每一媒体分组在向前传输到所述第二通信装置之前由所述交换设备的所述入口处理构件处理。根据本发明的第二方面,提供一种用于在多个通信装置之间交换分组语音业务的交换设备,所述交换设备包含多层交换机、多个通信端口、控制构件和入口过滤构件,所述分组语音业务包含经由所述通信端口在通信装置之间交换的呼叫控制分组和媒体分组,所述入口过滤构件包含用于监控呼叫控制分组的数据速率的构件,其中只有数据速率低于所规定的阈值速率的呼叫控制分组才通过所述多层交换机交换。根据本发明的另一方面,提供一种包含以上交换设备的通信网络。根据本发明的再一方面,提供一种关于语音网络中的分组语音数据业务的方法,所述方法包含将传入分组的目的地地址转换成中间地址的地址,以及当所述传入分组通过具有所述中间地址的中间交换构件时,将所述传入分组的源地址转换成所述中间地址,借此后续业务通过所述中间交换构件。优选地,将从第一通信装置到第二通信装置的所述呼叫连接划分成第一呼叫片段和第二呼叫片段,所述第一和第二通信装置分别连接到第一通信端口和第二通信端口,所述第一呼叫片段含有作为源的第一通信装置的地址识别信息、作为目的地的交换设备的地址识别信息和作为中间收听端口的交换设备的端口识别信息,所述第二呼叫片段含有作为源的交换设备的地址识别信息、作为目的地的第二通信装置的地址信息和作为目的地收听端口的第二通信装置的端口识别信息。优选地,将从第二通信装置到第一通信装置的呼叫连接划分成第一呼叫片段和第二呼叫片段,所述第一和第二通信装置分别连接到第一通信端口和第二通信端口,所述第一呼叫片段含有作为源的第二通信装置的地址识别信息、作为目的地的交换设备的地址识别信息和作为中间收听端口的交换设备的端口识别信息,所述第二呼叫片段含有作为源的交换设备的地址识别信息、作为目的地的第一通信装置的地址信息和作为目的地收听端口的第一通信装置的端口识别信息。优选地,所述地址识别信息是IP地址。优选地,所述端口识别信息是层4端口编号。优选地,通过使呼叫控制分组在第一通信装置与处理构件之间以及所述处理构件与第二装置之间通过而建立所述第一通信装置与所述第二通信装置之间的呼叫连接以建立呼叫对话。优选地,除非已经建立了呼叫会话,否则所述交换设备排除装置之间的通信。优选地,通过使呼叫控制分组在第一通信装置与处理构件之间以及所述处理构件与第二装置之间通过而建立所述第一通信装置与所述第二通信装置之间的呼叫连接以建立呼叫对话。优选地,所述交换设备包含用于监控呼叫控制分组的数据速率的入口过滤构件,其中只有数据速率低于所规定的阈值速率的呼叫控制分组才通过所述多层交换机交换。优选地,所述入口处理构件包含装置认证构件,其用于査明一个或一个以上通信装置的身份,所述交换设备准许来自所述一个或一个以上通信装置的语音业务的传入数据分组进入以便向前传输到另一通信装置。优选地,语音业务基于会话起始协议,且所述控制构件包含用于将两个电话装置之间的呼叫分裂为包含两个呼叫片段的呼叫的构件,其中所述交换设备在所述两个呼叫片段中间,第一呼叫片段在源通信装置与所述交换设备之间,第二呼叫片段在所述交换装置与目的地通信装置之间,所述第一呼叫片段的目的地地址和所述第二呼叫片段的源地址是所述交换设备的地址。优选地,在至少由所述交换设备和所述通信装置形成的语音VLAN中,所述交换设备排除任何通信装置所作的广播和多播。优选地,在至少由所述交换设备和所述通信装置形成的语音VLAN中,所述交换设备排除未知的单播。下文将借助于实例并参看附图来进一步详细解释本发明的优选实施例,附图中图l展示示范性局域网(LAN),其中聚合数据和VoIP应用程序连接到常规LAN交换机且由IP电话服务器控制,图2说明图1的网络中的示范性常规VoIP呼叫会话,图3说明图1的网络中使用SIP的示范性呼叫建立序列,图4展示由本发明的智能交换机分离的示范性语音和数据网络配置,图5说明图4的网络中的且根据本发明实施的VoIP呼叫会话的示范性呼叫支路,图6说明图9的示范性网络中使用智能交换机的呼叫建立消息的序列,图7是说明用于示范性应用的示范性入口过滤的数据流程图,图8是利用并入有本发明的智能交换机的语音数据交换机(VDS)的第二示范性网络配置,以及图9是展示并入有本发明的智能交换机的优选实施例的示范性语音数据交换机(VDS)的高级系统结构的框图。具体实施例方式图1展示构建在示范性局域网(LAN)上并利用因特网语音协议(VoIP)的示范性常规语音通信网络。所述LAN包含层2LAN交换机、多个IP电话装置和IP电话服务器(ITS)。每一IP电话装置具有特征IP地址1"和内部电话扩展名(例如,本实例图3中的101、102)。ITS由IP地址(IPITS)表示,且所有相关网络实体均连接到LAN交换机。由于所有实体均连接到同一数据网络,因而向它们分派同一IP子网的IP地址。在本说明书中,除非上下文另外要求,否则术语层始终意指并指代在OSI(开放式系统互连)协议模型下定义的层。在图2中,说明两个IP电话装置F1与F2之间的示范性VoIP呼叫。正如所属领域的技术人员所知的,每一VoIP呼叫由两种类型的业务(即,呼叫控制业务和媒体业务)表征。在示范性实施例中,语音业务是媒体业务,且在已经由VoIP服务器建立语音呼叫连接之后,将媒体业务从一个指定端口交换或路由到另一指定端口。在已经建立呼叫之后,交换媒体流。另外,每一媒体流起源于一个用户,且终止于其它用户。图3展示根据会话起始协议(SIP)的电话装置之间的标准呼叫建立消息交换序列和后续媒体通信路径。当然,将了解,使用SIP协议作为便利的实例,因为其是流行标准之一。在任何情况下,应了解,本发明的应用不应限于例如SIP等任何特定协议,且应延伸到具有类似或等效特征的其它协议。在呼叫建立消息的初始交换期间,每一IP电话将针对特定会话的语音媒体传输而与另一电话协商层4端口(L4P)。L4P通常是1024与65535之间的数字。IP电话将留出所述特定端口作为收听端口,且此语音会话的所有传入语音分组将具有此L4P作为目的地用户数据报协议(UDP)端口编号。此端口将对呼叫的整个持续时间(称为呼叫会话)有效。当呼叫会话完成时,将释放层4端口。在普通VoIP呼叫建立过程中,电话还可能以点对点模式且在不涉及ITS的情况下直接呼叫另一电话。联网安全性、装置可信性和应用安全性是承载数据和语音业务两者的通信网络的较显著安全性问题。明确地说,联网安全性涉及上面承载语音业务的数据网络的安全性。装置可信性涉及可接受进入网络的真实装置的识别信息。应用安全性涉及应用层级处的安全性漏洞。在数据网络中,已知数据链路层是最容易遭受攻击的。另外,内部黑客构成的安全性威胁通常比外部黑客构成的威胁更受到关注。在常规企业环境中,语音和数据业务通常由例如局域网(LAN)等单一物理网络承载。在朝向安全语音网络的实施且同时保持单一物理网络的益处的第一步骤中,将物理LAN分离成语音网络和数据网络以减轻此类内部威胁的风险。所述分离可以是物理的或逻辑的,但优选逻辑分离,使得可使单一物理网络的优点最大化。通过数据和语音网络分离,可在各自网络中承载数据业务和分组语音业务,使得将不准许数据网络中的非语音数据横越进入语音网络中。因此,即使黑客造成数据网络瘫痪,语音网络也仍可操作。在以下说明书中,将参考示范性LAN来描述智能交换机的优选实施例,所述示范性LAN在逻辑上被分离成语音网络和数据网络。具体地说,通过采用虚拟LAN(VLAN)拓扑或其它恰当技术在逻辑上将物理LAN分离成语音子网和数据子网。对恰当VLAN技术的描述可査阅(例如)"IEEEStandardforInformationtechnology-Telecommunicationsandinformationexchangebetweensystems-IEEEstandardforlocalandmetropolitanareanetworks-Commonspecifications—第3部分Mediaaccesscontrol(MAC)Bridges,ANSI/IEEEStd802.1D,1998版本",且此文献以引用的方式并入本文中。通过采用VLAN分割技术,将单一物理LAN分割成多个逻辑上分离的LAN或子LAN。在层2和层2以外处将网络分离成语音和数据子网将确保数据网络中的普通数据业务不能横越进入语音网络而破坏语音网络。更明确地说,通过具有两个逻辑上分开的网络来完全分离语音网络和数据网络。这将减轻由于数据网络中的安全性危险而对语音网络造成不利影响的风险。类似于其它常见LAN环境(例如,DHCP、DNS、SNMP等),提供两组服务器,即一组用于普通数据业务控制且另一组用于语音业务控制。示范性网络配置图4展示采用本发明的智能VoIP认知交换设备(ipsw)("智能交换机")的示范性网络配置。所述网络包含语音子网和数据子网。语音子网和数据子网通过智能交换机ipsw连接和分离。在此实例中,智能交换机便利地提供IP电话服务器(ITS)和专用交换分机(pBX)的额外功能。这些功能打算用于处理SIP会话的所有呼叫控制,包括所有建立、呼叫停止和PBX型呼叫特征。在以下描述中,将参考连接到下文所陈述的示范性语音子网和数据子网装置的示范性装置来解释本发明。a)语音子网IPF1、IPF2、IPF3和IPF4;且b)数据子网IPP"和IPPC2。安全性策略概述为了在与智能交换机的有效利用联系的分离语音网络中增强安全性,在智能交换机处实施一组安全性策略。恰当安全性策略的一些实例如下。1.只准许来自经认证和/或认可的用户的语音业务进入语音网络,且所有准许语音业务进入语音网络均必须通过智能交换机。举例来说,只准许具有经认可MAC地址的预先注册装置进入语音网络。2.在语音LAN中禁止与非语音相关的数据分组。3.只有在已经建立语音连接之后才可允许两个语音装置之间的语音业务。换句话说,除非且直到已经由智能交换机建立语音连接,才可在网络内在两个语音装置之间允许语音业务。4.在语音网络中通过智能交换机禁止广播、端口之间的未知单播、多播和扩散。在典型语音网络中,广播业务始终保持在最小程度。举例来说,ARP(地址解析协议)广播和未知单播业务在网络中是常见的。虽然此类业务通常具有低体积,但恶意客户端仍可产生巨大量的此类业务来妨碍网络的正常操作。因此,出于增强安全性起见,必须禁止此类广播。5.通过智能交换机对语音业务进行速率监视,只允许低于预定带宽的业务。用于安全VoIP服务的多层基于会话的交换机下文参考图4的示范性网络来说明以上安全性策略的示范性实施方案。所述网络包含逻辑上分离的语音和数据网络,其通过本发明的智能交换机连接。智能交换机或语音数据交换机("VDS")构建在基于硬件的多层交换核心上且并入有本发明的新颖特征。所述多层交换核心包含用于在层2和层2以外(包括层2(数据链路层)、层3(网络层)和层4(传输层))处交换分组数据的构件。视情况,交换构件还适于层5交换。作为智能多层交换机,交换核心支持例如如下描述的VLAN标记、层2/3表查找、入口过滤、NAT/PAT和出口调度等特征。在例如US6,335,935中描述已知多层交换核心,所述US6,335,935的内容以引用的方式并入本文中。VLAN标记当VoIP电话的分组到达端口入口时,假定所述分组未经标记且将基于源电话装置的MAC地址将VLANID(VLAN识别信息)标签(例如,根据IEEE标准802.lq的VLAN标签)插入到所述分组中。此标签中的VLANID将所述分组识别为语音分组。另一方面,来自PC的分组可以经标记或未经标记的状态到达智能交换机。如果其未经标记,那么将用与源端口相关联的VLANID对其进行标记。当分组经标记时,使用所述分组的DA(目的地地址)和VLAN标签来确定出口端口。如果DA等于VDS的MAC地址,那么将在层3中对其进行处理,否则将在层2中对其进行处理。层2表查找首先,将确定分组的VLANID。将执行层2交换表査找以寻找目的地电话的匹配,以便识别出口端口。查找的关键包含2个要素,即MAC地址和VLANID,即(MAC地址,VLANID}。通常称为"目的地查找失败"(DLF)的失败将意味着交换机不知道伴随分组的目的地MAC地址。因而,将把所述分组转发到与所述分组相关联的VLAN中的所有端口(未知单播),从而使得这些端口中的每一者成为潜在出口端口。然而,在此阶段,查找表仅产生可能的出口端口的列表,且尚未将分组交换出去。层3表查找如果启用层3处理,那么将改为执行层3表查找。这在目的地地址(DA)与智能交换机的MAC地址匹配时发生。这种层3交换技术是用于横越VLAN边界的标准机制。基于分组的目的地IP地址,层3查找表中的匹配将指向出口端口、下一跳跃MAC地址、路由器MAC地址和VLANID。下一跳跃MAC地址将替代分组中的DA字段,路由器MAC地址将替代源地址(SA)字段。另一方面,查找失败通常将由默认路由表基于目的地IP子网来处理。在层2或层3表查找过程中,如果分组寻址到智能交换机的CPU,那么CPU将包括在潜在出口端口列表中。因此,在预期交换时,将CPU看作交换机的端口之一。在下文描述的智能交换机(其承载48个FE端口和4个GE端口)的情况下,保留端口53以用于CPU。分组过滤分组过滤是用以基于除正规层2或层3地址以外的信息来控制分组交换的额外过程。在此机制中,基于分组的L2或L3源/目的地地址、协议ID、TCP/UCP端口编号或类似控制协议来对分组进行匹配。在此过程中,可不考虑层2或层3表查找的结果,可将分组抛弃、重新引导到另一端口或转发到CPU,如下文所解释。因此,所得出口端口列表在层2或层3表査找之后可通过匹配分组过滤器而变为一个或一个以上端口。这个分组过滤过程被称为流分类,因为在已经过滤分组之后将分组分类到特定流中。示范性智能交换机支持16k流。根据与分组流相关联的服务类别(COS)对分组进行调度以使其离开交换机。在分组过滤过程中,必须在分组与冲突规则匹配时解决冲突,冲突规则针对对立或冲突的动作(例如,根据匹配规则的动作是交换具有较高优先级的分组,而其它动作是丢弃所述分组)。典型的分组过滤方案在分组与多个规则匹配的情况下具有预先界定的仲裁程序(tie-breaker)。它们可由分派给过滤规则的明确优先级、过滤掩码的索引(指示应过滤分组中哪些字段的表)、过滤规则的索引(指示所关注字段的值以便产生过滤匹配的表)等确定。实际的冲突解决或仲裁方案并不重要,因为本发明适用于任何冲突解决方案的交换核心。NAT/PAT网络地址转译(NAT)和端口地址转译(PAT)是入口过滤过程之后的可选步骤。在智能交换机是分组的中间穿越点的情况下需要NAT和PAT。起源站用交换机发送分组。了解分组起源和目的地后,交换机将分组的目的地地址从其自身转变为其真实目的地。此特征对于充当防火墙、穿隧起源点等的交换机来说是有用的。NAT/PAT可以是入口过滤分组匹配之后的动作,非常类似于分组丢弃动作或CPU转发动作,这因此使其成为入口过滤的一部分。其还可以是入口处理之后的单独步骤。本发明对于两种类型的NAT/PAT均是明显的。出口调度智能交换机进一步包含出口调度器。在智能交换机的端口出口处,出口调度器将决定分组将如何离开。分组的离开次序基于分组所属的流队列。在出口处维持(流队列,端口,类别,子类别)的映射以用于调度。对于每一端口,执行加权轮转(WRR)来确定将离开的分组的类别。在两个类别级别的情况下,在下文将描述的VDS中示范性智能交换机的出口调度器可支持总共64(8X8)个COS。示范性分组入口过程图7说明智能交换机入口处的典型入口分组处理方案。在此过程中,首先用虚拟LAN(VLAN)标签来标记到达入口的分组(如果其未经标记的话)。基于分组的源MAC地址或其入口端口来进行所述标记。如果传入分组已经被标记,那么将查找VLANID表以检索相关分组处理参数。此后,将根据其层2(以太网分组)或层3(IP)标头来对其进行处理,借此确定一个或一个以上出口端口候选者。在分组实际上前进到智能交换机的出口之前,其将穿过入口过滤器以查明所述分组是否满足将针对转发行为变化的所规定的某些条件。在智能交换机的入口处处理分组(尤其通过使用基于硬件的交换机)将有助于确保在会话中交换的语音分组是真实的且不是来自伪装者或中间人的。会话的完整性得以保持,因为不能将其引导到第三方而被偷听。通过设置基于硬件的入口过滤器以控制IP电话呼叫的所有语音会话的LAN交换来实现安全性和可靠性。明确地说,在语音网络中只允许来自已建立会话的VoIP呼叫控制业务、网络控制业务和媒体业务。另外,由于在交换机中禁止未知单播,因而当在层2交换过程中发生目的地査找失败(DLF)时,此类业务将不能够充斥所有物理端口。基于会话的多层交换将解决这一问题。类似ARP广播的网络控制业务将通过在智能交换机中实施的软件(例如,ARP中继代理)来处理。为了实施将实现上述安全性策略中的全部或一些安全性策略的智能交换机,在智能交换机中提供入口处理构件和出口调度构件。呼叫强制通过智能交换机为了确保语音网络中的每个呼叫会话将通过智能交换机,将此示范性网络中的每个语音呼叫会话分割成两个呼叫支路,其中智能交换机处于中间且连接所述两个呼叫支路。图5展示连接到图4的语音子网的两个IP电话装置F1和F2。智能交换机IPSW连接在电话装置F1与F2之间。当将在F1与F2之间发生语音呼叫时,将在装置F1(电话分机IOI)、装置F2(电话分机102)与中间智能交换机IPSW之间发生根据SIP的呼叫建立消息交换,如图6所说明的。首先,IP电话装置F1将通过向智能交换机发送"邀请"请求来起始呼叫信令序列。在满足来自Fl的"邀请"请求是合法的时,智能交换机将向电话装置F2发送"邀请"请求。此后,电话装置F2将经由智能交换机向电话装置F1传回"响铃"响应。当电话装置F2受到应答时,电话装置F2将经由智能交换机向电话装置F1发送OK消息,且将开始经由智能交换机在Fl与F2之间进行双向媒体业务。以上协议"邀请"、"响铃"和OK是标准的SIP消息。将注意到,智能交换机(ipsw)是语音子网中每个语音呼叫的第一呼叫支路的端点。如从图5的附随的分组标头叙述框可见,当呼叫通过智能交换机(ipsw)时转变呼叫的分组标头。显然,呼叫的第一支路的分组标头和所述呼叫的第二支路的分组标头是不同的。具体地说,出于下文将解释的原因,当呼叫通过智能交换机(IPSW)时,智能交换机(IPSW)转变分组标头。参看图5的示范性呼叫,示范性第一呼叫起源于具有IP地址IPF1的源IP电话装置,到达具有IP地址IPM的目的地装置。此呼叫的第一支路中的分组标头包含以下各项。呼叫1,第1支路,分组标头<table>tableseeoriginaldocumentpage15</column></row><table>在通过智能交换机时,如下转变分组标头。呼叫1,第2支路,分组标头<table>tableseeoriginaldocumentpage15</column></row><table>目的地端口类似地,对于起源于具有IP地址IPF2的源IP电话装置到达具有IP电话地址IP1的目的地IP电话装置的示范性第二呼叫,第一支路中的分组标头如下。呼叫2,第1支路,分组标头源目的地IPIPSW目的地端口p严当通过智能交换机时,如下转变分组标头。<table>tableseeoriginaldocumentpage16</column></row><table>下文将解释用以实现呼叫强制通过智能交换机的构件。入口处理为了实现以上各种安全性策略,智能交换机由入口处理构件表征,所述入口处理构件适于在将合法分组释放到语音网络中之前处理传入的分组。下文将参考单播业务来解释传入的分组的入口处理。明确地说,入口处理构件包含网络/端口地址转译构件、入口过滤构件和VLAN标记构件。网络地址转译(NAT)和/或端口地址转译(PAT)当IP电话试图向语音网络中的另一IP电话发出呼叫时,将通过智能交换机处理呼叫建立消息交换。将把此呼叫建立消息和后续媒体会话分裂成两个呼叫支路,如图5中所说明。通过此过程,智能交换机将己经得知用于媒体流的两个支路的层4端口(L4P)。为了进一步确保电话装置之间的后续业务将通过智能交换机,使得语音网络中的数据业务将不会无人监督,智能交换机将执行网络地址转译(NAT)和/或端口地址转译(PAT)。在经历这些地址转译过程(NAT/PAT)之后,智能交换机将成为各个装置之间的强制中间装置,且同一会话的所有后续业务在到达目的地装置之前将必须通过智能交换机。为了迎合此类地址转译,将用于执行NAT/PAT的构件并入到智能交换机中。参考图5的示范性呼叫1作为便利的实例,当来自电话装置IPH的呼叫1(第一支路)的传入的分组朝向电话装置IPK时,将在物理端口PortA处接收到具有源IP=IPF1、目的地IP二IpSW和目的地端口二PtSW2的伴随的分组标头。在经由Port8将分组输出到电话装置IP^之前,智能交换机中的NAT/PAT转变构件将转变伴随数据分组的分组标头,使得分组标头中的地址将变为源IP-IPSW、目的地IP-IP^和目的地端口二Pt132。同样,当来自电话装置IP^的呼叫2(第一支路)的传入的分组朝向电话装置ipw时,将在物理端口PortB处接收到具有源IP二IpF2、目的地IP二IPSW和目的地端口二PtSWi的伴随的分组标头。在经由PortA将分组输出到电话装置ffFl之前,智能交换机中的NAT/PAT转变构件将转变伴随数据分组的分组标头,使得分组标头中的地址将变为源IP=IPSW、目的地IP=IPF1和目的地端口=PtF1。从以上实例中将了解,智能交换机的地址在所述两种情况下已经变为源和目的地的地址。此NAT/PAT过程通常是入口处理的最后步骤。作为一般规则,对于进入物理端口PortA的分组来说,如果源IP、目的地IP和目的地端口分别与IPF1、1Psw和PtS^的第一呼叫支路匹配,那么分组将被交换离开P0rt8,同时源IP、目的地IP和目的地端口分别转变为IPSW、IpF2和Pt132。对于进入物理端口PortB的分组来说,如果源IP、目的地IP和目的地端口分别与IPF2、ipsw和Ptsw的第一呼叫支路匹配,那么分组将被交换离开PortA,同时源IP、目的地IP和目的地端口分别转变为IPSW、IpW和PtH。由于除了网络控制业务和VoIP呼叫控制业务之外,将不允许任何业务交换到电话以确保网络安全性和可靠性,因而以上一般规则有利于将语音业务安全地交换到电话以使IP电话服务可操作。另外,应用带宽管理,使得保留预定带宽以用于交换语音分组。对于在以上一般规则中界定的语音业务流,由于语音压縮位速率通常是已知的,因而可保留预定带宽。因此,在语音网络中只允许来自已建立会话的VoIP呼叫控制业务、网络控制业务和媒体业务。入口过滤入口过滤构件检査传入的分组且操作以确定是否允许传入的分组进入语音网络。以下是将在智能交换机中实施的示范性入口过滤规则。规则l:将进入IP电话子网(IPF1、IPF2、IP^和IPF4)的所有分组或将在同一子网内在各电话之间传输的分组必须通过智能交换机和入口过滤构件。除非分组是来自经认证装置和/或经注册装置的经认可语音分组或经认可语音业务控制分组,否则将丢弃所述分组。经认可分组意指根据例如SIP等恰当协议的分组。举例来说,必须允许将含有例如DHCP响应、ARP响应等网络业务控制数据的分组交换到电话。应将此类网络控制数据配置到相应的过滤器表中。规则1的直接结果是除了网络控制业务和VoIP呼叫控制业务之外,不允许任何数据业务交换到电话以确保网络安全性和可靠性。规则2:对呼叫控制分组进行速率监控。举例来说,纯SIP语音数据分组通常不会超过几百千字节每秒。超过纯语音业务的合理阔值数据速率的数据(即使是SIP数据)很可能具有恶意性质且将被阻断。作为便利的实例,可将传入的业务数据速率限制在低于1MB/s的阈值速率。必须丢弃高于此阈值速率的任何SIP业务(合法或不合法的)。规则3:允许起源于ITS并到达IP电话的呼叫控制分组,其经受类似于以上规则2的速率监控。由于当数据分组在语音网络内传输或试图进入语音网络时,所有数据分组(包括业务控制数据分组和媒体业务数据分组)都必须通过作为中间代理的智能交换机。数据分组既不能绕过入口过滤构件,也不能在没有智能交换机的许可的情况下进入语音网络或在语音网络内行进。因此,常规VoIP环境中普遍的直接电话到电话通信模式被禁止。将注意到,分组可与规则1和3两者匹配。如果发生这种情况,将需要冲突解决方案来解决冲突(例如,规则l中的"丢弃"动作和规则3中的"交换"动作)。举例来说,编号较高的规则将胜过编号较低的规则。如果分组与多个入口过滤规则匹配,那么需要预先界定的冲突解决方案。出口调度智能交换机进一步包含出口调度器。在智能交换机的端口出口处,出口调度器将决定分组将如何离开。分组的离开次序基于分组所属的流队列。在出口处维持{流队列,端口,类别,子类别)的映射以用于调度。对于每一端口,执行加权轮转(WRR)来确定将离开的分组的类别。在两个类别级别的情况下,在下文将描述的VDS中示范性智能交换机的出口调度器可支持总共64(8X8)个COS。示范性语音和数据交换机图8-9说明并入有本发明智能交换机的示范性语音和数据交换机(VDS)。此VDS在企业环境中起三个主要联网和通信功能,即数据联网、电信和网络安全性。具体地说,此VDS组合了数据交换、VoIP和安全性的功能,且可縮放以适合小型、中型和大型企业的要求。智能交换机的ffi置除了层2和层3查找表以及用于标准分组处理的标准组件外,还利用额外组件(即,a)VLANMemberMap表、b)SW一FLOW—FILTER表、c)SW—FLOW—TRANSLATE表、d)VoiceMAC表、e)VoiceVID表)来实施安全性策略,如下文所描述。a)VLANMemberMap表VLANMemberMap表承载针对每一VLAN的端口位映射,使得合法装置能够得以认可。b)SW—FLOW—FILTER表分组过滤构件可主要负责实施语音网络安全性策略。此SW—FLOW—FILTER表中的条目将由驱动过滤构件或过滤引擎的过滤规则使用。根据一组预定过滤规则来过滤每一传入的分组。具体地说,对照SW—FLOW—FILTER中所设定的规则来匹配每一分组的标头。如果产生匹配,那么将发生例如分组抛弃或分组重新引导等预定动作。在SW—FLOW一FILTER表中,过滤器的数字次序将决定过滤器的优先级,且以线性次序通过过滤器对分组进行过滤。由于第一过滤匹配将停止匹配过程,因而较高优先级的过滤器应当放置在较低优先级的过滤器前面。举例来说,虽然对于去往语音网络的所有业务可能存在普遍否定策略,但如果已经建立明确的SIP对话,那么将在两个电话之间允许语音业务的较高优先级策略将获得优先权。可通过将较高优先级过滤器放置在较低索引处而将较低优先级过滤器放置在较高索引处来实施此策略。c)SW—FLOW—TRANSLATE表此表中的条目构成决定修改哪些分组以及如何修改的NAT/PAT规则。e)VoiceMAC表由端口编号索引的VoiceMAC表承载连接到所述端口的语音客户端的经认证MAC地址。将只准许来自所述MAC地址的业务进入语音VLAN。f)VoiceVID表由端口编号索引的VoiceVID表承载语音VLAN的VLANID。VDS的示范性应用参考图8的网络配置,其中VDS分离数据和语音网络。在此配置中,1)只允许端口之间的已知单播,2)禁止多播、未知单播和广播,且3)业务不能横越VLAN边界而进入其它VLAN,且反之亦然。当将发出电话装置之间的电话呼叫时,电话装置与VDS之间的呼叫信令交换将利用语音分组的传输在电话装置之间建立两个RTP会话。如上文所述,将每一RTP会话分割成两个支路,其中VDS作为强制中点。在图8的实例中,在电话1与电话2之间的示范性呼叫中,将从电话1(10.5.2.1)到电话2(10.5.2.2)的RTP会话分割成2个支路,其中VDS(10.5.2.200)作为中点。为了便于说明,以下示范性UDP端口用作这两个支路中的实例。<table>tableseeoriginaldocumentpage20</column></row><table>下文进一步描述用以支持语音安全性策略的相关特定硬件配置。示范性VLANMEMBERMAP表对于基于端口的VLAN,将除端口41以外的所有FE端口分派给默认VLAN143以用于数据业务。如果不是起源于SIP电话的分组以未经标记的状态到达端口入口,那么将用VLANID=143来对其进行标记,因为VLAN40用作语音VLAN。<table>tableseeoriginaldocumentpage20</column></row><table>示范性SWFLOWFILTER表1下表展示SW一FLOW—FILTER中用以启用安全语音联网的示范性过滤规则。具有下划线的字段是用于对分组进行匹配的字段。<table>tableseeoriginaldocumentpage21</column></row><table>在上表中,过滤器1和2是经创建以仅用于呼叫持续期间的动态过滤器。所有其它过滤器是永久或静态过滤器,其是在系统初始化期间在VDS和服务器场已经获得其各自IP地址之后在过滤器表中创建的。如所述表中可见,在交换机入口处对所有业务进行带宽监控。根据业务容量的预定可接受级别来定制最大可允许带宽或带宽阈值,如下列举。NlKb/s—针对电话的许可容量,Nl的示范性值为100千位/秒,N2Kb/s—针对语音服务器场的许可容量,N2的示范性值是10千位/秒,N3Kb/s—针对VDSCPU的许可语音业务容量,N3的示范性值是10千位/秒,N4Kb/s—针对VDSCPU的许可数据业务容量,N4的示范性值是10千位/秒。下文将解释此特定实例的相关过滤器的操作。1.交换所有RTP分组(源IP=10.5.2.1,目的地IP二10.5.2.200,目的地端口=57280)。这些分组将单独被重新引导到端口38。此业务流不能超过特定容量(NlKb/s):因此任何伪装电话的剽窃PC不能使其它电话超载。在入口处理之后,分组将被放置到流队列(Fl)中以用于此特定语音会话。2.交换所有RTP分组(源IP二10.5.2.2、目的地IP二10.5.2.200、目的地端口=52420)。这些分组将单独被重新引导到端口15。此业务流也不能超过特定容量(NlKb/s)。在入口处理之后,分组将被放置到流队列(F2)中以用于此特定语音会话。示范件SWFLOWTRANSLATE表以下SW—FLOW—TRANSLATE表说明示范性分组NAT过程。对语音分组的第一支路(电话1到VDS)和第二支路(VDS到电话2)执行NAT过程。在相反方向上对RTP会话执行类似的NAT操作。在以下实例中陈述所述两个示范性呼叫的两个支路上的详细条目。在以下实例中,假定端口57280、57336、52420和50020是服务器和客户端在呼叫建立期间所协商的仅有的样本端口。<table>tableseeoriginaldocumentpage21</column></row><table><table>tableseeoriginaldocumentpage22</column></row><table>将了解,SW—FLOW—TRANSLATE表中的条目是动态条目,且只对呼叫持续期间有效。下文进一步详述所述条目。1.基于以下各项来认可从电话l到VDS的分组入口端口二15,源IP=10.5.2.1,目的地IP二10.5.2.200,且目的地UDP端口=57280。最后的参数将所述分组识别为从电话1到电话2的语音会话的RTP分组。当RTP分组得以认可时,将转译所述分组中的以下字段。电话2作为目的地,其中DA变为MAC2且目的地IP变为10.5.2.2;VDS作为源,其中SA变为MAC_V,且源IP变为10.5.2.200;目的地端口变为57336,其是电话2正收听以获得语音分组的UDP端口;2.基于以下各项来认可从电话2到VDS的分组入口端口=38,源IP=10.5.2.2,目的地IP=10.5.2.200,且目的地UDP端口=52420。类似地,最后的参数将所述分组识别为从电话2到电话1的此语音会话中的RTP分组。当得以认可时,将转译所述分组中的以下字段。电话l作为目的地,其中DA变为MAC1且目的地IP变为10.5.2.1;.VDS作为源,其中SA变为MAC—V,且源IP变化为10.5.2.200;目的地端口变为50020,其是电话l正收听以获得语音分组的UDP端口;示范性VoiceMAC表VoiceMAC表用于存储经认证语音装置(SIP电话)的合法MAC地址。将只准许此类经认证装置进入语音网络(VLAN40)。<table>tableseeoriginaldocumentpage23</column></row><table>示范性VOICEVID表以下示范性VoiceVID表展示与每一端口相关联的语音VLAN的VLANID。在此实例中,针对所有经认证SIP电话装置使用单一VLAN。索引(端口编号)VLANID154038404140示范性层2表层2转发表中的条目不是由网络管理员预设的。事实上,当具有特定MAC地址和VLANID的分组第一次到达智能交换机时,在入口处理期间自动了解并更新所述条目。下表展示在了解并更新之后具有相关字段的层2条目。MACVLANID<table>tableseeoriginaldocumentpage23</column></row><table>示范性层3表存在许多方式来配置层3转发表。可通过如RIP或OSPF等标准路由协议来对其进行自动配置和周期性更新。也可对其进行静态配置。此表中特别相关的字段包括下一跳跃MAC地址,其将成为所路由分组的新DA;,路由器MAC地址,其将成为所路由分组的新SA;,新VLANID;以及出口端口ID。假定路线是静态配置的,那么层3表将具有以下条目<table>tableseeoriginaldocumentpage24</column></row><table>在以上层3路由表中,路由器本身也批准进入。这仅指示应当将分组路由到端口53(即,CPU)。侵入防御通过实施上文提及的安全性策略,大大增强了系统安全性和可靠性。以下实例将说明VDS的侵入防御机制可如何操作以支持系统可靠性。1.伪装成语音分组的数据分组如上文所提及,在语音VLAN中禁止数据分组。因此,将不会用语音VLAN标签来标记到达交换机的未经标记的分组。为了尝试未授权进入,恶意PC可能用语音VLAN标签来标记数据分组以冒充语音分组。举例来说,PC可能冒充其所附接的SIP电话的MAC和IP地址。PC可能尝试替代SIP电话且接着传输语音VLAN广播/未知单播。因为在此特殊语音VLAN中禁止广播和未知单播,所以这种尝试将会失败。已知单播分组也将会失败,因为PC不具有到达交换机的安全连接,所述安全连接只有在预先界定的认证程序之后才会建立。2.用伪造语音VLANID标记的数据分组PC可能在使用其自身MAC地址的同时产生用语音VLANID标记的分组。举例来说,具有IP地址10.5.4.1的PC连接到与VLANID=40的语音网络连接的经认证SIP电话,当PC向VDS发送用VLANID40标记的分组时,所述分组将在到达出口端口之前被停止。这是因为端口入口中的VLAN分类组件将检査分组的SA是否与所述端口处经认证SIP电话的SA匹配。由于其不匹配,因而VLAN分类组件将丢弃所述分组以防试图冒充。不管分组是广播/未知单播还是已知单播,都会发生这个动作。因此,将不会准许具有伪造VLANID标签的分组进入语音VLAN。尽管已经参考上文描述的实例或优选实施例解释了本发明,但将了解这些仅仅是用以帮助理解本发明的实例,且不应解释为对发明范围具有限制性。明确地说,对于所属领域的技术人员来说明显或常见的变化或修改以及对其所作的改进应视此外,尽管已经参考使用SIP的VoIP系统解释了本发明,但应了解本发明可在不损失一般性的情况下经修改或不经修改而应用于其它分组语音通信系统。权利要求1.一种用于在多个通信装置之间交换分组语音业务的交换设备,所述交换设备包含多层交换机、多个通信端口、控制构件和入口处理构件,所述分组语音业务包含经由所述通信端口在所述通信装置之间交换的呼叫控制分组和媒体分组,其中将从第一通信装置到第二通信装置的媒体分组业务分裂成第一呼叫片段和第二呼叫片段,所述第一呼叫片段起源于所述第一通信装置且终止于所述交换设备,所述第二呼叫片段起源于所述交换设备且终止于所述第二通信装置,来自所述第一通信装置的每一媒体分组在向前传输到所述第二通信装置之前由所述交换设备的所述入口处理构件处理。2.根据权利要求1所述的交换设备,其中将从第一通信装置到第二通信装置的呼叫连接划分成第一呼叫片段和第二呼叫片段,所述第一和第二通信装置分别连接到第一通信端口和第二通信端口,所述第一呼叫片段含有作为源的所述第一通信装置的地址识别信息、作为目的地的所述交换设备的地址识别信息和作为中间收听端口的所述交换设备的端口识别信息,所述第二呼叫片段含有作为源的所述交换设备的地址识别信息、作为目的地的所述第二通信装置的地址信息和作为目的地收听端口的所述第二通信装置的端口识别信息。3.根据权利要求2所述的交换设备,其中将从第二通信装置到第一通信装置的呼叫连接划分成第一呼叫片段和第二呼叫片段,所述第一和第二通信装置分别连接到第一通信端口和第二通信端口,所述第一呼叫片段含有作为源的所述第二通信装置的地址识别信息、作为目的地的所述交换设备的地址识别信息和作为中间收听端口的所述交换设备的端口识别信息,所述第二呼叫片段含有作为源的所述交换设备的地址识别信息、作为目的地的所述第一通信装置的地址信>息和作为目的地收听端口的所述第一通信装置的端口识别信息。4.根据权利要求3所述的交换设备,其中所述地址识别信息是IP地址。5.根据权利要求4所述的交换设备,其中所述端口识别信息是层4端口编号。6.根据权利要求1所述的交换设备,其中通过使呼叫控制分组在第一通信装置与处理构件之间以及所述处理构件与第二装置之间通过而建立所述第一通信装置与所述第二通信装置之间的呼叫连接以建立呼叫会话。7.根据权利要求6所述的交换设备,其中除非已经建立了呼叫会话,否则所述交换设备排除装置之间的通信。8.根据权利要求7所述的交换设备,其中所述处理构件包含与所述交换设备共同定位的服务器。9.根据权利要求8所述的交换设备,其中所述服务器包含会话起始协议服务器。10.根据权利要求9所述的交换设备,其中基于针对所述呼叫会话建立的IP地址和端口而在装置之间交换媒体分组。11.根据权利要求10所述的交换设备,其中通过所述交换设备对媒体分组进行网络地址转译以交换到目的地装置。12.根据权利要求1所述的交换设备,其中对从所述交换设备到通信装置的呼叫控制分组传递进行速率监控,其中只有数据速率低于所规定的闳值数据速率的呼叫控制分组才由所述多层交换机进行交换。13.根据权利要求12所述的交换设备,其中所述通往电话装置的阈值数据速率是100千位/秒。14.根据权利要求1所述的交换设备,其进一步包含用于监控呼叫控制分组的数据速率的入口过滤构件,其中只有数据速率低于所规定的阈值速率的呼叫控制分组才通过所述多层交换机交换。15.根据权利要求1所述的交换设备,其中所述入口处理构件包含装置认证构件,其用于查明一个或一个以上通信装置的身份,所述交换设备准许来自所述一个或一个以上通信装置的语音业务的传入数据分组进入以便向前传输到另一通信装置。16.根据权利要求12所述的交换设备,其中所述装置认证构件包含用于査明起源通信装置的MAC地址的构件,只有来自具有经认证MAC地址的装置的分组才被准许进入语音网络。17.根据权利要求12所述的交换设备,其中所述入口过滤构件包含用于监控数据分组的带宽的构件和用以阻止超过预定阈值数据带宽的数据分组的构件,其中超过预定阖值数据带宽指示非语音业务。18.根据权利要求l所述的交换设备,其中语音业务基于会话起始协议,且所述控制构件包含用于将两个电话装置之间的呼叫分裂为包含两个呼叫片段的呼叫的构件,其中所述交换设备在所述两个呼叫片段中间,所述第一呼叫片段在源通信装置与所述交换设备之间,所述第二呼叫片段在所述交换装置与目的地通信装置之间,所述第一呼叫片段的目的地地址和所述第二呼叫片段的源地址是所述交换设备的地址。19.根据权利要求1所述的交换设备,其中在至少由所述交换设备和所述通信装置形成的语音VLAN中,所述交换设备排除任何通信装置所作的广播和多播。20.根据权利要求1所述的交换设备,其中在至少由所述交换设备和所述通信装置形成的语音VLAN中,所述交换设备排除未知的单播。21.—种用于在多个通信装置之间交换分组语音业务的交换设备,所述交换设备包含多层交换机、多个通信端口、控制构件和入口过滤构件,所述分组语音业务包含经由所述通信端口在所述通信装置之间交换的呼叫控制分组和媒体分组,所述入口过滤构件包含用于监控呼叫控制分组的数据速率的构件,其中只有数据速率低于所规定的阈值速率的呼叫控制分组才通过所述多层交换机交换。22.—种通信网络,其包含分离的语音和数据网络以及根据权利要求1所述的交换设备,其中从所述数据网络穿越到所述语音网络的所有数据分组均通过所述交换设备。23.根据权利要求n所述的通信网络,其中多个ip电话装置连接到所述交换设备以用于VoIP应用。24.—种关于语音网络中的分组语音数据业务的方法,所述方法包含将传入分组的目的地地址转换成中间地址的地址,以及当所述传入分组通过所述中间地址的中间交换构件时,将所述传入分组的源地址转换成所述中间地址,借此后续业务通过所述中间交换构件。25.根据权利要求24所述的方法,其进一步包含监控传入分组的带宽且当所述带宽超过预定阈值时阻止所述传入分组的步骤,其中所述带宽超过预定阈值指示所述传入分组是非语音分组。全文摘要本发明提供一种用于在多个通信装置之间交换分组语音业务的交换设备,所述交换设备包含多层交换机、多个通信端口、控制构件和入口处理构件,所述分组语音业务包含经由所述通信端口在所述通信装置之间交换的呼叫控制分组和媒体分组,其中将从第一通信装置到第二通信装置的媒体分组业务分裂成第一呼叫片段和第二呼叫片段,所述第一呼叫片段起源于所述第一通信装置且终止于所述交换设备,所述第二呼叫片段起源于所述交换设备且终止于所述第二通信装置,来自所述第一通信装置的每一媒体分组在向前传输到所述第二通信装置之前由所述交换设备的所述入口处理构件处理。文档编号H04Q7/20GK101288318SQ200680028672公开日2008年10月15日申请日期2006年8月17日优先权日2005年8月18日发明者坤沈,罗家泳,陆永熙申请人:香港应用科技研究院有限公司