タスクと制限
まず、「なぜ?」という質問に答えます。 テクノロジーとしてのVPNは、多くの中間ノードを介した2つのデバイス間でのデータの分離転送という共通の機能により、さまざまなネットワークの問題を解決するために使用されます。 これに基づいて、より複雑なソリューションがすでに構築されており、非常に異なるタスクが解決されています。 誰にとっても通常の通常のケースでは、固定回線オペレーターネットワークを使用してVPN(希望する人には素晴らしい資料があります)または多くの異なるネットワークプロトコル(GRE、IPSec、L2TPなど-同じ著者)およびそれらと連携するソフトウェア製品(Cisco AnyConnect、OpenVPN、TOR-まあ、ご存じのように)、しかし、特定の端末デバイスでそれらを使用すると、すぐに多くの要件が出され、それが失敗すると特定の制限が生じます。
最初の重大な制限は、デバイスがハードウェアおよびソフトウェアレベルでこれらのプロトコルの少なくとも1つで動作できる必要があることです。 これはほとんどの場合、ラップトップやスマートフォンで見つけやすいソフトウェアによって決定されますが、タスクがハードウェアの観点から単純すぎるデバイスに直面している場合、またはソフトウェアに制限がある場合があります:水道メーターはVPNを使用して測定値の不幸なバイトを送信したい場合があります月に一度、VPNを使用してLinkedInプロファイルを編集することもできます。
もう1つの重要な制限は、カスタマイズの必要性です。 これは、最初の段落の「愚かな」デバイスと、以前の制限が不明な古典的なスマートフォンとコンピューターの両方で機能します。 前者ですべてが比較的単純で、セットアップに費やされた時間に依存する場合、後者ではオプションがあります。 多くの場合、組織はセキュリティ目的でVPNを使用して、適切な企業保護なしでサービス端末がパブリックネットワークにアクセスしたり、パブリックチャネルを介してサービスデータを転送したりしないようにします。 エンドユーザーは、何らかの理由で、VPNを無効にしたり有効にしたりすることを忘れることがあります。その結果、会社のセキュリティシステムの多くが取り残される可能性があります。
VPNへのアクセスがネットワークレベルで提供される場合、これらの制限は両方とも簡単に削除できます。 モバイル通信の場合、これは「モバイルVPN」を使用して実装できます。 データを送信できる複雑なデバイスであれば、正しいネットワークに送信されます。 デバイスでどのような設定が行われていても問題ありません。ネットワークが適切に構成されていれば、どのような場合でも必要な場所に転送され、他の場所には転送されません。
また、おまけとして、デバイスは内部ネットワークからアドレスを受け取り、リモートで構成され、このネットワーク内から(または物理的に)アクセスできるようになります。 特定のクラスのデバイスでは、これは非常に重要です。
仕組み
PSコア
VPNは、B2Bセグメントのすべての通信事業者の古典的なサービスのように思えますが、なぜこれに焦点を当てるのでしょうか? 問題は、GPRS、HSPA、LTE、またはその他のモバイル通信技術を介して接続されたデバイス向けにデータ伝送ネットワークをどのように配置するかです。 すべてのネットワーク管理者になじみのあるVLANはありません。スイッチはありません。通常の意味でのルーターさえありません。 ただし、無線アクセスネットワーク(RAN)とパケットコア(PSコア)があります。
モバイルオペレーターの簡略化されたパケットネットワーク図。 LTEではわずかに異なりますが、一般的な意味は変わりません。
一般に、パケットネットワークに登録されたSIMカードを持つ各デバイス(GPRS接続手順などに合格している)は、どこかでデータの転送を開始する前に、パケットネットワークコアルーターGGSNでデータ転送セッション(PDPコンテキスト)の作成を開始する必要があります。 。 これらのプロセスの詳細と目的については、 この記事で詳しく説明しています 。 私たちにとって重要なこと:セッションを開始するとき、GGSNへの要求には、とりわけ、多くの人が電話で見たパラメータや、たとえばUSBモデムのセットアップ時にそれらを処理したパラメータが含まれます。 これらは、APN、ログイン、およびパスワードの3つのフィールドです。 APN(アクセスポイント)は、GGSNのロジックにおいて非常に重要なエンティティです。セッションが開始されるAPNに応じて、GGSNはさまざまな方法で動作します。 ユーザー要求が正常に処理された結果、GGSNはデータ転送セッションをアクティブにし、デバイスにそのパラメーター、特にデバイスに指定されたIPアドレスとDNSアドレスを通知する必要があります。 多くの重要な非常に重要な機能があります。
- セッションを開始する要求では、デバイスは受信するIPアドレスを尋ねません。
- デバイスの設定で指定されたフィールド「APN」、「ログイン」、「パスワード」に加えて、GGSNへの要求は、サブスクライバー(以下「サブスクライバー」はエンドユーザー、SIMカードを備えた1台のデバイス)の電話番号(MSISDN) 「クライアント」-加入者を含むサービスの組織顧客。
- セッションがアクティブになると、GGSNはルーティングテーブルに新しいIPアドレスのレコードを作成します。 GGSNのすべての加入者は、プレフィックス/ 32のルーティングテーブルのエントリで示されます。 1人のサブスクライバー-テーブル内の1つのエントリー。 GGSNは非常に生産的なルーターです。
- オペレーターのネットワークは、さまざまな理由で(SGSNとGGSNの両方で)さまざまな段階で、セッションの開始要求のAPNフィールドを変更できます。 これにより、SIMカードを搭載したデバイスのネットワーク設定を削減したり、ネットワーク設定を完全に除外したりすることができます。
最初の3つのポイントでは、質問がすぐに発生します。加入者に発行されるIPアドレスの種類は何ですか?
これは、セッションをアクティブ化する要求が来たAPNの設定によって決まります。 モバイルデータユーザーの約99%が通常のインターネットアクセスを使用しています。 これらは、よく知られたアクセスポイントであるinternet.mts.ru、internet.beeline.ruなどです。 インターネットアクセスの場合、GGSNは、設定で指定されたグレーのサブネットからの古典的なDHCP原則に従ってアドレスを発行します。 パブリックネットワークに入ると、クラシックNAT(または、そのバージョンであるPAT)によって閉じられます。
しかし、GGSNにはさらに多くの機能があります。 IPアドレスを選択するには、承認サーバー(Radiusなど)にAAAリクエストを送信します。 このロジックは、目的に応じて個々のAPNに対して構成されます。 最も単純なケースは、永続的なパブリックIPアドレスを提供するサービスです。 このようなアドレスは、通常、オペレーターの請求(BSS)で加入者に割り当てられ、ITアーキテクチャに応じて、GGSNリクエストによってアクセスされる特定のデータベースになります。 リクエストに含まれるサブスクライバのMSISDN(電話番号)を知っているため、このようなデータベースは非常に単純であり、一連の番号とアドレスのみを含む場合があります。 さらに、クライアントが1つのSIMカードを使用して複数のデバイスを接続する予定がある場合(SIMカードがリモートオフィスのWiFiルーターにある場合など)、このテーブルには、いわゆる「フレーム化されたルート」-ダイナミックルーティングプロトコルを使用してネットワーク上のすべてのデバイスにアナウンスされるSIMカード。
単一のGGSNではない
アドレスの発行に加えて、それぞれ独自のクライアントネットワークにサブスクライバトラフィックを配信する必要もあります。 ここでは、すべてがはるかに伝統的に機能します。 GGSNでは、VPN APNの操作に特化したトラフィックは、オペレーターのネットワークの別のルーターにルーティングされます(異なる方法で呼ばれることもありますが、VPNルーターの場合もあります)。これにより、L3VPNスキームの従来のPEの機能が実行されます。 必要なラベル、ヘッダーを追加し、これですべてのトラフィックフローがトランスポートネットワークのルーターを介して、事前に設定されたジョイントまたはクライアントネットワークへのトンネルに送信されます。 この部分は、すでにはるかに伝統的であり、他の場所で何度も説明されているので、この資料では取り上げません。
これらすべての詳細を考慮すると、モバイルVPNを編成する方法はいくつかありますが、次の機能の組み合わせによって互いに異なります。
- すでに説明したように、IPアドレスは、動的に(特定のサブネットから異なるアドレスを使用するたびに)および静的に(特定の加入者の同じアドレスを使用するたびに)発行できます。これは、APN設定および/またはRadiusサーバーの設定の両方によって決定されます;
- IPアドレスは、オペレーターの制御下またはクライアントの制御下で、Radiusサーバーによって発行できます。
- モバイルVPNに接続されたデバイスは、相互にのみ相互作用するか、オペレーターとの直接インターフェース(VPNポート)またはインターネット上のトンネリングを介して通常のL3VPNクライアントネットワークにアクセスできます。
- 場合によっては、セッションを正常にアクティブ化するためにユーザー名とパスワードを使用する必要があり、「APN」フィールドに入力する必要がないこともあります。
さまざまな種類のトンネリングとの組み合わせが数十あり、「メイン」VPNクライアントへのアクセスチャネルとアドレス発行の原則の間でトラフィックのバランスを取ります。 ほとんどの場合、一般的なスキームは次のとおりです。
その結果、ネットワークに登録してIPアドレスを取得するというかなり迅速なプロセスの後、デバイスはクライアントのネットワークにアクセスし、クライアントのネットワークはデバイスにアクセスします。 同時に、サブスクライバーは、特定のクライアントに関係のないオペレーターの他のすべてのサブスクライバーから隔離され、追加の設定は必要ありません。すべてのトラフィックは、クライアントの内部ポリシーに従って処理される代替手段なしでクライアントのネットワークに送信されます。