Мобайл VPN (виртуал хувийн сүлжээ) гэх мэт зүйлсийн интернетийг хөгжүүлэхтэй холбоотой ийм хуучин бөгөөд энгийн, гэхдээ тохиромжтой, аюулгүй, ялангуяа хамааралтай технологийн талаар RuNet дээр маш бага материал байсаар байна. Энэ нийтлэлд би SIM карттай ямар ч төхөөрөмж дээр тусгай програм хангамжийг тохируулах шаардлагагүйгээр хувийн сүлжээндээ хэрхэн, яагаад нэвтрэхийг тохируулах талаар тайлбарлах болно.
Зорилго ба хязгаарлалт
Эхлээд би "яагаад?" Гэсэн асуултанд хариулна. Технологийн хувьд VPN нь олон тооны завсрын зангилаагаар дамжуулан хоёр төхөөрөмжийн хооронд тусгаарлагдсан өгөгдөл дамжуулах нийтлэг шинж чанараар нэгдсэн сүлжээний янз бүрийн асуудлыг шийдвэрлэхэд ашиглагддаг. Үүний үндсэн дээр илүү нарийн төвөгтэй шийдлүүд аль хэдийн баригдаж, янз бүрийн асуудлууд шийдэгдэж байна. Ердийн, танил тохиолдолд суурин утасны операторын сүлжээг VPN барихад ашигладаг (сонирхогчид дэлгэрэнгүй мэдээллийг үзнэ үү. ) эсвэл олон төрлийн сүлжээний протоколууд (GRE, IPSec, L2TP болон бусад - ижил зохиогч ) болон тэдэнтэй ажилладаг програм хангамжийн бүтээгдэхүүнүүд (Cisco AnyConnect, OpenVPN, TOR - үүнийг та өөрөө мэднэ), гэхдээ тэдгээрийг тодорхой эцсийн төхөөрөмж дээр ашиглах нь нэн даруй хэд хэдэн шаардлагыг тавьдаг бөгөөд үүнийг дагаж мөрдөхгүй байх нь тодорхой хязгаарлалтад хүргэдэг.
Эхний ноцтой хязгаарлалт бол төхөөрөмж нь техник хангамж, програм хангамжийн түвшинд эдгээр протоколуудын дор хаяж нэгтэй ажиллах чадвартай байх ёстой. Ихэнхдээ энэ нь зөөврийн компьютер эсвэл ухаалаг гар утсанд олоход хялбар програм хангамжаар тодорхойлогддог боловч даалгавар нь техник хангамжийн үүднээс хэт энгийн төхөөрөмжтэй тулгардаг эсвэл програм хангамж нь хязгаарлалттай байдаг: усны тоолуур нь VPN-г ашиглан LinkedIn профайлаа засахын тулд VPN-г ашиглахыг хүсч байгаагаас дор хаяж сард нэг удаа харамсалтай байт уншлагыг шилжүүлэхийг хүсч байна.
Өөр нэг чухал хязгаарлалт бол өөрчлөн тохируулах хэрэгцээ юм. Энэ нь эхний цэгээс "тэнэг" төхөөрөмжүүд болон өмнөх хязгаарлалтыг мэдэхгүй сонгодог ухаалаг гар утас, компьютерт хоёуланд нь ажилладаг. Хэрэв эхнийх нь бүх зүйл харьцангуй энгийн бөгөөд тохируулахад зарцуулсан цаг хугацаанаас шалтгаална бол хоёр дахь нь сонголтууд байдаг. Ихэнхдээ байгууллагууд VPN-ийг аюулгүй байдлын үүднээс үйлчилгээний төгсгөлийн цэгийг корпорацийн зохих хамгаалалтгүйгээр нийтийн сүлжээнд нэвтрэхээс эсвэл үйлчилгээний мэдээллийг олон нийтийн сувгаар дамжуулахаас хамгаалах зорилгоор ашигладаг. Эцсийн хэрэглэгчид ямар нэг шалтгааны улмаас VPN-г идэвхгүй болгох эсвэл идэвхжүүлэхээ мартаж болох бөгөөд үүний үр дүнд компанийн олон хамгаалалтын систем үлдэж магадгүй юм.
Сүлжээний түвшинд VPN хандалт өгсөн тохиолдолд эдгээр хязгаарлалтыг хоёуланг нь амархан арилгадаг. Мобайл холбооны хувьд үүнийг "мобайл VPN" ашиглан хийж болно. Өгөгдөл дамжуулах чадвартай ямар ч төвөгтэй төхөөрөмж нь үүнийг зөв сүлжээнд дамжуулах болно. Зөв тохируулсан сүлжээгээр төхөөрөмж дээр ямар тохиргоо хийсэн нь хамаагүй, энэ нь ямар ч тохиолдолд тэдгээрийг шаардлагатай газар, өөр хаана ч шилжүүлэхгүй.
Сайхан урамшууллын хувьд төхөөрөмж нь алсаас тохируулсан дотоод сүлжээнээс хаягийг хүлээн авах бөгөөд зөвхөн энэ сүлжээнээс (эсвэл физик байдлаар) хандах боломжтой болно. Тодорхой ангиллын төхөөрөмжүүдийн хувьд энэ нь маш чухал юм.
Яаж энэ ажлыг хийдэг
PS Core
VPN бол B2B сегментийн бүх харилцаа холбооны операторуудын сонгодог үйлчилгээ юм шиг санагдаж байна, яагаад энэ тохиолдолд анхаарлаа хандуулж байна вэ? Энэ нь GPRS, HSPA, LTE эсвэл бусад хөдөлгөөнт холбооны технологиор холбогдсон төхөөрөмжүүдэд өгөгдлийн сүлжээг хэрхэн зохион бүтээсэн тухай юм. Бүх сүлжээний администраторуудад танил болсон vlan байхгүй, унтраалга байхгүй, ердийн утгаараа чиглүүлэгч ч байхгүй. Гэхдээ радио хандалтын сүлжээ (RAN) ба пакет цөм (PS Core) байдаг.
Үүрэн холбооны операторын багц сүлжээний хялбаршуулсан диаграмм. Энэ нь LTE-ийн хувьд арай өөр боловч ерөнхий санаа нь нэг юм.
Ерөнхийдөө пакетийн сүлжээнд бүртгэгдсэн SIM карттай төхөөрөмж бүр (GPRS хавсаргах процедурыг давсан эсвэл үүнтэй төстэй) хаана ч өгөгдөл дамжуулахаасаа өмнө пакетийн сүлжээний цөм дээр өгөгдөл дамжуулах сесс (PDP контекст) үүсгэх ёстой. чиглүүлэгч, GGSN. Эдгээр үйл явцын нарийвчилсан мэдээлэл, зорилгыг маш сайн тайлбарласан болно . Бидний хувьд чухал зүйл бол: сесс эхлүүлэх үед GGSN-д өгөх хүсэлт нь бусад хүмүүсийн дунд утсан дээрээ үзсэн эсвэл бүр USB модем тохируулах үед харагдсан параметрүүдийг агуулдаг. Эдгээр нь гурван талбар юм: APN, нэвтрэх, нууц үг. APN (хандах цэг) нь GGSN-ийн логикийн маш чухал зүйл юм: аль APN-ээр сесс эхлүүлснээс хамааран GGSN өөр өөрөөр ажилладаг. Хэрэглэгчийн хүсэлтийг амжилттай боловсруулсны үр дүнд GGSN нь өгөгдөл дамжуулах сессийг идэвхжүүлж, төхөөрөмжид түүний параметрүүд, тухайлбал, төхөөрөмжид өгсөн IP хаяг, DNS хаягийг мэдээлэх ёстой. Энд хэд хэдэн маш чухал шинж чанарууд байдаг:
- Сеанс эхлүүлэх хүсэлтэд төхөөрөмж хэзээ ч аль IP хаягийг хүлээн авахыг хүсдэггүй;
- GGSN-д өгсөн хүсэлт нь төхөөрөмжийн тохиргоонд заасан "APN", "нэвтрэх" болон "нууц үг" талбаруудаас гадна захиалагчийн утасны дугаарыг (MSISDN) дамжуулдаг (цаашид "захиалагч" нь эцсийн хэрэглэгч, нэг төхөөрөмж юм. SIM карт, "үйлчлүүлэгч" нь захиалагчдыг багтаасан үйлчилгээг захиалсан байгууллага юм);
- Сеанс идэвхжсэн үед GGSN өөрийн чиглүүлэлтийн хүснэгтэд шинэ IP хаягийн тухай оруулгыг үүсгэдэг. GGSN дээрх бүх захиалагчдыг /32 угтвар бүхий чиглүүлэлтийн хүснэгтийн оруулгуудаар тодорхойлно, i.e. 1 захиалагч - хүснэгтэд 1 оруулга. GGSN бол маш чадварлаг чиглүүлэгч юм;
- Операторын сүлжээ янз бүрийн үе шатанд (SGSN болон GGSN дээр) янз бүрийн шалтгааны улмаас сесс эхлүүлэх хүсэлтийн APN талбарыг өөрчилж болно. Энэ нь зарим тохиолдолд SIM карттай төхөөрөмжүүдийн сүлжээний параметрийн тохиргоог багасгах, зарим тохиолдолд бүрмөсөн арилгах боломжийг олгодог.
Эхний гурван цэгийн тухайд тэр даруй асуулт гарч ирнэ: захиалагчдад ямар төрлийн IP хаяг өгдөг вэ?
Энэ нь сессийг идэвхжүүлэх хүсэлт ирсэн APN-ийн тохиргоогоор тодорхойлогддог. Мобайл сүлжээн дэх өгөгдөл хэрэглэгчдийн 99 орчим хувь нь интернетэд тогтмол ханддаг. Эдгээр нь алдартай нэвтрэх цэгүүд юм internet.mts.ru, internet.beeline.ru гэх мэт. Интернэт хандалтын хувьд GGSN нь тохиргоонд заасан саарал дэд сүлжээнүүдээс сонгодог DHCP зарчимд суурилсан хаягуудыг гаргадаг. Олон нийтийн сүлжээнд нэвтрэхдээ тэдгээрийг сонгодог NAT (эсвэл PAT хувилбар) -аар хаадаг.
Гэхдээ GGSN илүү ихийг хийх чадвартай. IP хаяг сонгохын тулд тэрээр зөвшөөрлийн серверт AAA хүсэлт гаргаж болно (жишээ нь радиус). Энэхүү логикийг зорилгоос хамааран APN-д зориулж тохируулсан болно. Хамгийн энгийн тохиолдол бол байнгын нийтийн IP хаяг өгөх үйлчилгээ юм. Дүрмээр бол ийм хаягийг операторын тооцооны системд (BSS) захиалагчдад хуваарилдаг бөгөөд мэдээллийн технологийн архитектураас хамааран GGSN хүсэлтийн дагуу нэг буюу өөр мэдээллийн санд ордог. Тэрээр хүсэлтэд агуулагдах захиалагчийн MSISDN (утасны дугаар)-ийг мэддэг тул ийм мэдээллийн сан нь маш энгийн бөгөөд зөвхөн дугаар, хаягийн хослолыг агуулсан байх болно. Нэмж дурдахад хэрэв үйлчлүүлэгч хэд хэдэн төхөөрөмжийг холбохын тулд нэг SIM карт ашиглахаар төлөвлөж байгаа бол (жишээлбэл, SIM карт нь алслагдсан оффисын WiFi чиглүүлэгчид байрладаг бол) энэ хүснэгтэд "хүрээтэй маршрут" гэж нэрлэгддэг байж болно. Сүлжээний угтвар " SIM картны ард байрлах бөгөөд энэ нь динамик чиглүүлэлтийн протоколуудыг ашиглан сүлжээнд байгаа бүх төхөөрөмжид мэдэгдэх болно.
Ганцхан GGSN биш
Хаяг гаргахаас гадна захиалагчийн урсгалыг үйлчлүүлэгчийн сүлжээнд хүргэх шаардлагатай бөгөөд тус бүр нь өөр өөрийн гэсэн сүлжээ рүү ордог. Энд бүх зүйл илүү уламжлалт байдлаар ажилладаг. GGSN дээр VPN-тэй ажиллахад зориулагдсан APN-ийн урсгалыг операторын сүлжээнд тусдаа чиглүүлэгч рүү чиглүүлдэг (үүнийг өөрөөр нэрлэж болно, заримдаа VPN чиглүүлэгч гэж нэрлэдэг) бөгөөд энэ нь эргээд L3VPN схемд сонгодог PE функцийг гүйцэтгэдэг. Энэ нь шаардлагатай шошго, толгой хэсгийг нэмж, бүхэл бүтэн замын хөдөлгөөний урсгалыг тээврийн сүлжээний чиглүүлэгчээр дамжуулан үйлчлүүлэгчийн сүлжээнд урьдчилан тохируулсан уулзвар эсвэл хонгил руу илгээдэг. Энэ хэсэг нь аль хэдийн илүү уламжлалт бөгөөд бусад газруудад олон удаа дүрслэгдсэн тул би энэ материалд анхаарлаа хандуулахгүй.
Эдгээр бүх нарийн ширийн зүйлийг харгалзан үзэхэд гар утасны VPN-ийг зохион байгуулах хэд хэдэн арга байж болох бөгөөд тэдгээр нь дараах шинж чанаруудын хослолоор бие биенээсээ ялгаатай байх болно.
- Өмнө дурьдсанчлан IP хаягуудыг динамик (өгөгдсөн дэд сүлжээнээс өөр хаяг бүрт) болон статик байдлаар (тодорхой захиалагчийн хувьд ижил хаяг бүрд) гаргаж болох бөгөөд үүнийг APN тохиргоо ба/эсвэл Radius серверээр тодорхойлно. тохиргоо;
- IP хаягийг операторын хяналтан дор эсвэл үйлчлүүлэгчийн хяналтан дор Radius сервер гаргаж болно;
- Хөдөлгөөнт VPN-д холбогдсон төхөөрөмжүүд нь зөвхөн өөр хоорондоо харилцах, эсвэл оператортой шууд холболтоор (VPN порт) эсвэл интернетээр дамжуулан туннел хийх замаар үйлчлүүлэгчийн ердийн L3VPN сүлжээнд хандах боломжтой;
- Зарим тохиолдолд сессийг амжилттай идэвхжүүлэхийн тулд нэвтрэх болон нууц үг ашиглах шаардлагатай байж болох бөгөөд заримдаа "APN" талбарыг бөглөх шаардлагагүй болно.
Төрөл бүрийн туннел хийх, "үндсэн" VPN клиент рүү нэвтрэх сувгуудын хоорондох урсгалыг тэнцвэржүүлэх, хаяг олгох зарчим зэрэг хэдэн арван ийм хослолууд байдаг. Ихэнх тохиолдолд ерөнхий схем дараах байдалтай байна.
Үүний үр дүнд сүлжээнд бүртгүүлж, IP хаягийг олж авсны дараа төхөөрөмж нь үйлчлүүлэгчийн сүлжээнд нэвтэрч, үйлчлүүлэгчийн сүлжээ нь төхөөрөмжид хандах боломжтой болно. Энэ тохиолдолд захиалагч нь тодорхой үйлчлүүлэгчтэй холбоогүй операторын бусад бүх захиалагчдаас тусгаарлагдсан бөгөөд түүнд ямар ч нэмэлт тохиргоо шаардлагагүй бөгөөд бүх траффик нь үйлчлүүлэгчийн сүлжээнээс өөр өөр зүйлгүйгээр чиглэгддэг бөгөөд үүнд нийцүүлэн боловсруулдаг. үйлчлүүлэгчийн дотоод бодлоготой.
Эх сурвалж: www.habr.com
