PacketTracer_5.3之Callmanger语音小综合.doc

PacketTracer5.3之Callmanger语音小综合自从ciscoPacketTracer5.3开始支持一点语音实验，小T构思了大半个月了，尽可能的用ciscoPacketTracer5.3的语音实验效果达到与现实工程效果一样。但由于ciscoPacketTracer5.3是一个初级模拟器，很多现实工程中的语音方案效果，它不能做。最为突出的表现是，它没模拟出语音接口（FXS、FXO等接口，用于与传统电话连接），没能模拟出PTSN网络，当然这也不能完全“怪罪”ciscoPacketTracer5.3，毕竟Cisco的高级模拟器也不能做到，虽说ciscoPacketTracer5.3是初级模拟器，但它的网络效果感，是其他模拟器所不能比拟的。所以，本次实验的重点是在突出小T我的这个语音设计思路和本次演示效果。上图，就是小T我根据ciscoPacketTracer5.3所能支持的语音，所构想的实验拓扑图。现在将我的构思阐述一下。关于图中的设备功能见我的博文【交流】浅聊CiscoPacketTracer5.3的新特性(附下载链接）一文。本拓扑的基本思路是，构建一个企业内网之间以及外出、移动办公之间的电话通信。由于ciscoPacketTracer5.3不支持语音接口，本实验不能模拟出拨打企业网外的真实的传统电话网。真实环境中，是用语音接口接入PSTN，实现拨打。本实验模拟的是企业纯VOIP语音。图中的设备及其在拓扑中所扮演的角色，小T一一简单介绍下。图中大体分为三块部分，右边区域是企业总部网络；中间模拟的是从Internet网络中通过VPN技术接入到内部；左边是分部网络。在总部和分部的网络中，我各用了一台2811路由器来做语音的Callmanger服务器，设想是各自为本网络中的语音设备提供电话注册，分配电话号以及电话路由。中间的Internet网络，模拟的是我们在外出、移动办公，需要与总部或分部打电话，通过各种无线技术（如3G、WIFI等）先VPN接入总部，然后支持软件IPhone的手机（PDA）和装有软件IPhone的笔记本，成功注册到Callmanger服务器上，然后就可以拨打总部和分部任何一台电话。与拨打传统电话网通信，VOIP的最大亮点就是通话没有电话费，所有的数据都被IP所承载，VOIP之所以没电话费（当然如果拨打传统PSTN中电话，从有语音模块的设备拨打到PSTN后，这是要收话费的），是网费我们早出了，只是充分使用网络而已。以上是我的本次实验的设想，但用ciscoPacketTracer5.3来模拟，确实给添加了不小的麻烦。比如：ciscoPacketTracer5.3模拟器中的语音设备不能手动指定TFTP的IP地址（这个TFTP服务器提供了是所有语音设备所需的组件），我不得不使用DHCP的150选项，在分配地址的时候将TFTP的IP地址下发给设备，在模拟器Internet网络VPN接入的时候，不得不使用一台路由器来做VPN接入，让PDA和笔记本在DHCP请求IP并获得TFTP的IP地址，这台路由器采用了DHCP中继，将PDA和笔记本的DHCP广播请求转换成IP单播来触发VPN，到总部的Callmanger服务器上获取IP地址、TFTP服务器IP地址，以及电话注册、电话号分配。下面是本次实验的IP规划：总部：CallmangerServer_1:53/24gateway:54总部CallmangerServer服务器的IP地址，以及它的网关zongbu_SW:52/24gateway:54总部交换的管理IP和网关zongburouter_to_neibu:54/24总部所有设备的网关IPzongburouter_to_Internetrouter:/24总部连接Internet的IP地址DHCP_Pool:zongbuneibu:-00总部内部的DHCP地址池vpnjieru:-00外出、移动办公接入的DHCP地址池Internet路由器：没有私网路由表的路由模拟。Internet_to_zongburouter:/24总部设备的下一跳IPInternet_to_fenburouter:/24分部设备的下一跳IPInternet_to_Airrouter:/24移动、外出办公模拟VPN接入的路由下一跳IPAirrotuer路由器：Airrotuer_to_Internerouter:/24移动、外出办公路由接Internet的IP地址Airrouter_to_AP:54/24移动、外出办公路由提供给PDA和笔记本的网关，在这做DHCP中继fenbu路由器：CallmangerServer:53/24gateway:54分部CallmangerServer服务器的IP地址，以及它的网关fenbu_SW：53gateway:54分部交换的管理IP和网关fenburouter_to_Internetrouer：/24分部连接Internet的IP地址fenburouter_to_neibu:54/24分部所有设备的网关IPDHCP_Pool:fenbuneibu：-00分部内部的DHCP地址池以上是我的IP规划，下面将讲述的部分语音配置，具体的配置说明见我的博文PacketTracer5.3之简单Callmanger语音一文。我的设想是将外出、移动的电话号码注册到总部的Callmanger服务器上，如果要拨打分部电话，则经过总部的Callmanger服务器查看电话路由到分部。电话路由配置如下：总部：dial-peervoice1voipdestination-pattern20.（一个点表示一个位号码任意配置）sessiontargetipv4:53（到达20.的所有电话，所有数据交给53）exit分部：dial-peervoice1voipdestination-pattern10.sessiontargetipv4:53exitdial-peervoice2voipdestination-pattern30.sessiontargetipv4:53Exit本实验最值得注意的就是VPN配置，要分析清楚感兴趣流量，如果稍配置不当，VPN就不能成功。我的思路总部做了条VPN策略，提供分部和外出移动办公的VPN接入。总部与分部的流量分析很好理解，重点是分析配置外出移动办公的流量策略。先看我做的VPN配置：总部：cryptoisakmppolicy10authenticationpre-shareencryption3deshashmd5group2exitcryptoisakmpkeyxiaot1addresscryptoisakmpkeyxiaot2addresscryptoipsectransform-settimesp-3desesp-md5-hmaccryptomaptom10ipsec-isakmpsetpeersettransform-settimmatchaddress101exitcryptomaptom20ipsec-isakmpsetpeersettransform-settimmatchaddress102exitaccess-list100denyip5555access-list100denyip5555access-list100permitip55anyaccess-list101permitip5555access-list101permitip5555access-list102permitip5555access-list102permitip5555ipnatinsidesourcelist100interfaceFastEthernet1/0overloadinterfacefastEthernet0/0ipnatinsideexitinterfacefastEthernet1/0ipnatoutsidecryptomaptomexit分部：cryptoisakmppolicy10authenticationpre-shareencryption3deshashmd5group2exitcryptoisakmpkeyxiaot1addresscryptoipsectransform-settimesp-3desesp-md5-hmaccryptomaptom10ipsec-isakmpsetpeersettransform-settimmatchaddress101exitaccess-list100denyip5555access-list100denyip5555access-list100permitip55anyaccess-list101permitip5555access-list101permitip5555ipnatinsidesourcelist100interfaceFastEthernet1/1overloadinterfacefastEthernet0/0ipnatinsideexitinterfacefastEthernet1/1ipnatoutsidecryptomaptomExit外出、移动办公路由：cryptoisakmppolicy10authenticationpre-shareencryption3deshashmd5group2exitcryptoisakmpkeyxiaot2addresscryptoipsectransform-settimesp-3desesp-md5-hmaccryptomaptom10ipsec-isakmpsetpeersettransform-settimmatchaddress101exitaccess-list100denyip5555access-list100denyip5555access-list100permitip55anyaccess-list101permitip5555access-list101permitip5555ipnatinsidesourcelist100interfaceFastEthernet0/0overloadinterfacefastEthernet0/1ipnatinsideiphelp-address53exitinterfacefastEthernet0/0ipnatoutsidecryptomaptomExit关于IPsecVPN的配置见我的博文PacketTracer5.2的IPsecVPN实验说明(附PacketTracer5.2下载地址)重点注意我红色字体标注的ACL策略，本实验VPN我做了隧道分离配置，上网和VPN连接不影响，ACL100的配置就是隧道分离了，我们简单分析下外出、移动办公的数据流。从PDA或的设备到达总部后，源IP是段的，目标是段的，查找到达的是要做VPN才能穿越公网，故要让这个IP流量触发VPN，所以在到达分部的ACL101的中要配置到并绑定到到达分部的加密图中，数据时双向那么在分部回