你好服务器故障的居民

我有一个大约 100 台计算机、2 个 Windows 域服务器和 12 部 VoIP 电话的 LAN 的恼人问题。自从他们大约一年前安装以来，每周左右，我们都会注意到 VoIP 电话会自行重置 - 偶尔在通话过程中。同时，经常会出现计算机连接暂时中断的迹象：访问网络共享时资源管理器冻结，由于与数据库服务器的连接中断导致我们的管理软件出错。

我一直在对 VoIP PBX 和网络其余部分之间的连接进行一些 Wireshark 监控。当我们记录电话重启时，Wireshark 会收集到一堆重新传输的 TCP 数据包。Wireshark 日志显示每天大约有 2 个重传集群，范围从 5 个数据包到数百个。每个集群中的那些主要在 PBX 和一些 VoIP 电话之间，但并不总是同一组。通常同时重传是针对连接到同一交换机的电话，但有时重传会同时发生在网络两端的电话上。在传递 TCP 流量时通常会有一些重传，例如在客户端机器和文件服务器之间。

重传和电话重置的尖峰与网络负载过重的时间没有很好的相关性。它们似乎在白天发生得稍微多一些，但大多数发生在晚上，此时交通应该会减少。当大多数计算机关闭并且流量应该最低时，它们经常发生在深夜。

您有什么想法可以帮助诊断此类问题的原因吗？我还没有尝试过但应该尝试的一件事是更新所有交换机的固件。

在我们的纽约办事处，我们已经等待了将近一个月的时间，Verizon Business 才能修复我们当地 CO 的问题。他们一直说飓风桑迪造成的破坏非常广泛，以至于他们无法使 CO 恢复正常。日期一直在下滑，我的上司越来越焦躁不安。

当然，VoIP 是一种选择，但他们需要电路交换质量的通话，而使用互联网 VoIP 提供商则无法获得这种质量。有没有人对如何在不涉及本地交换运营商的情况下将电话连接到建筑物有任何其他想法？

任何人都可以解释为什么开源 Asterisk 与来自 NEC/Syntel/Matrix 或 Siemens 等供应商的传统 PBX 系统相比更受欢迎。

Asterisk 是一个开源的 PBX，而 FreeSWITCH 是一个开源的软交换机。来源：http : //www.freeswitch.org/node/117

你能用较少的技术术语解释 PBX 和软交换之间的区别吗？

将高度赞赏说明两者之间差异的示例。

我在 IT 工作了很长时间，现在从事软件开发和一些系统/服务器管理，但主要都是与软件相关的服务。我想用 Asterisk 帮助建立一家小型企业（约 50 名员工），但我对整个 T1、数据/语音通道等的工作方式不是很熟悉。我已经设置了个人 Asterisk 服务器（功能性），但还没有使用像 T1 这样的管道（听起来比住宅电缆/DSL 更复杂）。

是否有任何资源可以帮助我了解我可能需要什么来帮助使用 Asterisk 建立这项业务并重新使用他们现有的 T1 管道？

任何帮助将不胜感激。

当前配置

下图显示了我们当前的网络架构。所有连接都以 100 Mbps 全双工运行，但TalkSwitch 电话系统以 10 Mbs 半双工运行（图表右上角）除外。每个 TalkSwitch 盒提供 8 个模拟和 8 个基于 IP 的电话连接，因此我们总共可以拥有 16 个模拟和 16 个基于 IP 的电话。

注意：四台 HP ProCurve 2524 管理型交换机未配置单独的 VLAN。

我担心将两个交换机、两个 TalkSwitch 盒和连接到我们总部的 RV082 VPN 路由器的无线桥接器的性能影响。

建议配置

我建议我们更改我们的配置，如下所示。我的想法是，这会将 RV082 限制为只能看到 Internet 绑定的流量，但不为动态客户端提供 DHCP；但是，鉴于客户端租用时间设置为 24 小时，我认为这不会对性能产生太大影响。

想法？担忧？推荐？

一个问题是在#2 和#3 建筑中，基于IP 的电话与TalkSwitch 盒以10 Mbps 半双工通信。这会对网络其余部分的性能产生不利影响吗？

所以我读了很多关于Asterisk的好东西。然而，我并不打算经营呼叫中心或小型企业。我仍然对它作为“高级用户”有哪些潜在用途以及我可以利用哪些功能来满足我的通信需求感兴趣。

我要说的是，我目前使用其他技术，例如Google Voice、Skype和手机。那么，对于像我这样的用户，Asterisk PBX 有哪些潜在用途（如果有的话）？

（移自 SO）

我有 iptables 保护 sip 服务器。除了我特别打开的 IP 之外，它会阻止所有 IP，并且它似乎对几乎所有人都有效。我已经从许多未列入白名单的 IP 地址进行了测试，它们都被删除了。

但是，我找到了一个似乎能够绕过 iptables 规则的“黑客”。他试探性的邀请成功了，我不知道是怎么做到的，或者甚至是可能的。10 年来，我从未见过这种情况。

我想这一定是我做过的事情，但我看不到它。

像这样创建的 iptables（在顶部定义的 MYIP - 已编辑）：

iptables -F
iptables -X
iptables -N ALLOWEDSIP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -d $MYIP --dport 22 -j ACCEPT
iptables -t filter -A INPUT -j ALLOWEDSIP

# This is my white …

我正在使用 Ubuntu Server 16.04 打包的 Asterisk 13.1.0 来运行纯 VoIP 电话系统。Asterisk 有一个模块——phoneprov允许它模板化特定行的配置文件并从其内置的 HTTP 服务器提供它们。我想用它来配置我的 Polycom IP 电话，但我不知道如何安全地这样做。更复杂的是，我已经在使用内置的 HTTP 服务器进行 SIP over WebSockets。

据我所知，该phoneprov模块根本没有身份验证或授权机制。它似乎只是向任何询问的人提供任何文件。由于生成的配置文件包含注册为一行所需的所有凭据，因此可以向内置 HTTP 服务器发出 HTTP 请求的任何人都可以注册为通过phoneprov. 这似乎是一个太明显的安全问题，不可能存在于像 Asterisk 这样备受瞩目的软件中，而在文档中甚至（据我所知）在整个 Internet 上都没有看到它。我在这里错过了什么吗？

TLS 相互认证

至少在我看来，验证用于配置的硬件 IP 电话的理想方法是通过 TLS 客户端证书。几乎所有主要制造商的手机都带有由私有 CA 签署的客户端证书，该证书通过 MAC 地址识别手机。由于配置文件也由 MAC 地址提供服务，因此将证书中的 MAC 与 URL 中的 MAC 进行匹配并以这种方式控制访问非常简单。

这就是我的基于 nginx 的配置服务器（它处理除线路凭据之外的所有配置）所做的。然而，Asterisk 永远不支持 TLS 客户端身份验证。它有一个 TCP 和 TLS 套接字侦听器的常见实现，我通过阅读源代码确认它不支持请求客户端证书。

更正：Asterisk 的tcpctls系统确实支持客户端证书验证，但它只能验证客户端证书是否有效以及（可选）是否commonName与客户端的主机名匹配。虽然可以为 Asterisk HTTP 服务器启用该选项，但它对保护没有多大帮助，phoneprov因为该模块不使用主机名（或其他任何内容）进行授权。它也会通过 …

我们目前在单个节点上运行 FreePBX。我想要一组星号实例来共享负载，但主要用于故障转移。我很好奇其他人是如何解决这个问题的。理想情况下，我想使用“免费”（如啤酒）软件。

谢谢你的帮助！

编辑

需要更多信息……但说实话，如果这是一个好的解决方案，我们会尝试任何方法:)

我们并不真正关心调用在故障转移期间是否中断。这将是理想的，但我可以想象，由于必须在节点之间复制的状态量，实现这一点将非常复杂。

我不认为我们不使用 SIP 重新邀请。尽管运行 freepbx 已经一年多了，但我实际上从未遇到过这个词。我们的用例只是允许人们使用软电话拨打出站电话，并根据 DID 路由一些入站电话。

现在我们在 LXC 容器中运行 FreePBX。这是可行的，因为我们的上游运营商也是 SIP（​​不是 ISDN）。我们有使用 KVM 的经验，但出于效率原因，我们最好在 LXC 容器中运行。