لا يزال هناك مواد قليلة بشكل مدهش في Runet حول مثل هذه الطريقة القديمة والبسيطة ، ولكنها مريحة وآمنة وذات صلة خاصة فيما يتعلق بتطوير تقنيات الأشياء على الإنترنت مثل VPN الخاصة بالشبكة (شبكة خاصة افتراضية خاصة). في هذه المقالة سوف أصف كيف ولماذا يمكنك تكوين الوصول إلى شبكتك الخاصة إلى أي جهاز باستخدام بطاقة SIM دون الحاجة إلى تكوين برنامج متخصص عليها.
المهام والقيود
بادئ ذي بدء ، سأجيب على السؤال "لماذا؟". يتم استخدام VPN كتكنولوجيا لحل مجموعة متنوعة من مشاكل الشبكة ، متحدة بواسطة ميزة شائعة - النقل المعزول للبيانات بين جهازين عبر عدد كبير من العقد الوسيطة. بناءً على ذلك ، يتم بالفعل إنشاء حلول أكثر تعقيدًا ويتم حل المهام المختلفة جدًا. في الحالة المعتادة التي تعود على الجميع ، يتم استخدام شبكة مشغل الخطوط الثابتة لإنشاء VPN (هناك
مواد رائعة لأولئك الذين يرغبون) أو العديد من بروتوكولات الشبكة المختلفة (GRE ، IPSec ، L2TP وغيرها - المؤلف نفسه
حول هذا الموضوع ) ومنتجات البرامج التي تعمل معهم (Cisco AnyConnect و OpenVPN و TOR - كما تعلم أنت بنفسك) ، لكن استخدامها على جهاز طرفي محدد يضع على الفور عددًا من المتطلبات لذلك ، يؤدي فشلها إلى قيود معينة.
القيد الخطير الأول هو أن الجهاز يجب أن يكون قادرًا على العمل مع واحد على الأقل من هذه البروتوكولات على مستوى الأجهزة والبرامج. يتم تحديد ذلك غالبًا بواسطة برنامج يسهل العثور عليه لجهاز كمبيوتر محمول أو هاتف ذكي ، ولكن هناك حالات عندما تكون المهمة تواجه جهازًا بسيطًا للغاية من وجهة نظر الأجهزة ، أو يكون للبرنامج الخاص به قيود: يرغب عداد المياه في استخدام VPN لنقل بايتاته المؤسفة مرة واحدة في الشهر لا تقل عن رغبتك في استخدام VPN لتعديل ملف تعريف LinkedIn الخاص بك.
القيد المهم الآخر هو الحاجة إلى التخصيص. إنه يعمل مع الأجهزة "الغبية" من الفقرة الأولى ، وكذلك بالنسبة للهواتف الذكية الكلاسيكية وأجهزة الكمبيوتر التي لم يكن التقييد السابق معروفًا لها. وإذا كان كل شيء في السابق بسيطًا نسبيًا ويعتمد على مقدار الوقت الذي يقضيه في الإعداد ، عندئذٍ مع الخيار الثاني هناك خيارات. غالبًا ما تستخدم المؤسسات الشبكات الخاصة الافتراضية (VPN) لأغراض أمنية لحماية محطة الخدمة من الوصول إلى الشبكة العامة دون حماية الشركة المناسبة أو من نقل بيانات الخدمة عبر القنوات العامة. ومع ذلك ، قد يقطع المستخدمون النهائيون أو ينسوا تمكين VPN ، لسبب ما ، مما يؤدي إلى ترك العديد من أنظمة الأمان الخاصة بالشركة.
يمكن إزالة كل من هذه القيود بسهولة إذا تم توفير الوصول إلى VPN على مستوى الشبكة. في حالة الاتصالات المتنقلة ، يمكن تنفيذ ذلك باستخدام "VPN VPN للهاتف المحمول". جهاز من أي تعقيد قادر على نقل البيانات سوف ينقلها إلى الشبكة الصحيحة. لا يهم الإعدادات التي يتم إجراؤها على الجهاز ، إذا تم تكوين الشبكة بشكل صحيح ، فسوف ينقلها في أي حال إلى المكان الذي تريده ، وليس في أي مكان آخر.
وكمكافأة رائعة ، سيتلقى الجهاز عنوانًا من الشبكة الداخلية ، ويتم تكوينه عن بُعد ، وسيكون الوصول إليه ممكنًا فقط من داخل هذه الشبكة (أو ماديًا). بالنسبة لفئة معينة من الأجهزة ، هذا مهم للغاية.
كيف يعمل؟
PS الأساسية
يبدو أن VPN هي خدمة كلاسيكية لجميع مشغلي الاتصالات لقطاع B2B ، ولماذا ، إذن ، التركيز على هذا؟ الشيء هو كيفية ترتيب شبكة البيانات للأجهزة المتصلة عبر جي بي آر إس ، HSPA ، LTE أو غيرها من تكنولوجيا الاتصالات المتنقلة. لا توجد شبكة محلية ظاهرية مألوفة لدى جميع مسؤولي الشبكات ، ولا توجد مفاتيح ، ولا توجد حتى أجهزة التوجيه بمعناها المعتاد. ولكن هناك شبكة وصول لاسلكية (RAN) وحزمة أساسية (PS Core).
رسم تخطيطي مبسط لشبكة حزم مشغل المحمول. الأمر مختلف قليلاً بالنسبة لـ LTE ، لكن المعنى العام يظل كما هو.بشكل عام ، يجب أن يبدأ كل جهاز مزود ببطاقة SIM مسجلة في شبكة الحزمة (بعد اجتياز إجراء إرفاق GPRS أو ما شابه) ، قبل البدء في نقل البيانات في مكان ما ، إنشاء جلسة نقل البيانات (سياق PDP) على جهاز توجيه شبكة الحزمة ، GGSN . يتم وصف تفاصيل هذه العمليات والغرض منها جيدًا هنا في
هذه المقالة . ما هو مهم بالنسبة لنا: عند بدء الجلسة ، يتضمن طلب GGSN ، من بين أمور أخرى ، معلمات شاهدها الكثيرون على هواتفهم أو حتى تعاملوا معها عند إعداد ، على سبيل المثال ، أجهزة مودم USB. هذه ثلاثة حقول: APN ، تسجيل الدخول وكلمة المرور. APN (نقطة الوصول) هي كيان مهم للغاية في منطق GGSN: اعتمادًا على APN التي بدأت الجلسة ، تعمل GGSN بطرق مختلفة. نتيجة للمعالجة الناجحة لطلب المستخدم ، يجب على GGSN تنشيط جلسة نقل البيانات وإبلاغ الجهاز بمعلماته ، ولا سيما عنوان IP وعناوين DNS المعطاة للجهاز. هناك عدد من الميزات الهامة للغاية:
- في طلب بدء جلسة ، لا يسأل الجهاز أبدًا عن عنوان IP الذي يرغب في استلامه ؛
- بالإضافة إلى حقول "APN" و "تسجيل الدخول" و "كلمة المرور" المحددة في إعدادات الجهاز ، ينقل طلب GGSN أيضًا رقم الهاتف (MSISDN) للمشترك (المشار إليه فيما يلي باسم "المشترك" هو المستخدم النهائي وجهاز واحد به بطاقة SIM و "العميل" - الزبون التنظيمي للخدمة ، والذي يشمل المشتركين) ؛
- عند تنشيط الجلسة ، تنشئ GGSN سجلًا بعنوان IP الجديد في جدول التوجيه الخاص بها. تتم الإشارة إلى جميع المشتركين في GGSN عن طريق إدخالات في جدول التوجيه مع البادئة / 32 ، أي مشترك واحد - إدخال واحد في الجدول. GGSN هو جهاز توجيه مثمر للغاية.
- يمكن لشبكة المشغل في مراحل مختلفة (سواء في SGSN و GGSN) لأسباب مختلفة تغيير حقل APN في طلب لبدء جلسة. يسمح ذلك في بعض الحالات بالحد ، وفي بعض الحالات يستبعد إعدادات الشبكة تمامًا على الأجهزة المزودة ببطاقة SIM.
في النقاط الثلاث الأولى ، يطرح السؤال على الفور: ما نوع عنوان IP الذي يتم إصداره للمشترك؟
يتم تحديد ذلك من خلال إعدادات APN التي جاء بها طلب تنشيط الجلسة. يستخدم حوالي 99٪ من مستخدمي بيانات الجوال الوصول المنتظم إلى الإنترنت. هذه هي internet.mts.ru ، internet.beeline.ru ، وهكذا ، نقاط وصول معروفة. في حالة الوصول إلى الإنترنت ، تصدر GGSN العناوين وفقًا لمبدأ DHCP الكلاسيكي من الشبكات الفرعية الرمادية المحددة في الإعدادات. عند الوصول إلى الشبكة العامة ، يتم إغلاقها بواسطة NAT الكلاسيكية (أو بالأحرى ، بواسطة إصدارها ، وهو PAT).
لكن GGSN قادرة على المزيد. لتحديد عنوان IP ، يمكنه تقديم طلب AAA إلى خادم التخويل (نصف القطر ، على سبيل المثال). تم تكوين هذا المنطق ل APNs الفردية اعتمادا على الغرض منها. أبسط الحالات هي خدمة توفير عنوان IP عام دائم. يتم تخصيص هذه العناوين ، كقاعدة عامة ، للمشتركين في فوترة المشغل (BSS) ، واعتمادًا على بنية تكنولوجيا المعلومات ، ينتهي بهم الأمر في قاعدة بيانات معينة ، يتم الوصول إليها من خلال طلب GGSN. نظرًا لأنه يعرف رقم MSISDN (رقم الهاتف) الخاص بالمشترك ، والذي سيتم تضمينه في الطلب ، ستكون قاعدة البيانات هذه بسيطة جدًا وقد تحتوي على مجموعة من الأرقام والعناوين فقط. بالإضافة إلى ذلك ، إذا كان العميل يخطط لاستخدام بطاقة SIM واحدة لتوصيل العديد من الأجهزة (إذا كانت بطاقة SIM موجودة في جهاز توجيه WiFi في المكتب البعيد ، على سبيل المثال) ، فقد يحتوي هذا الجدول أيضًا على ما يسمى "الطريق المؤطر" - توجد بادئة الشبكة " ل "بطاقة SIM ، والتي سيتم الإعلان عنها لجميع الأجهزة على الشبكة باستخدام بروتوكولات التوجيه الديناميكية.
ليست واحدة GGSN
بالإضافة إلى إصدار العناوين ، من الضروري أيضًا توصيل حركة مرور المشتركين إلى شبكات العملاء ، كل منها خاص به. هنا كل شيء يعمل بشكل أكثر تقليدية. في GGSN ، يتم توجيه حركة المرور المخصصة للعمل مع VPN APN إلى جهاز توجيه منفصل من شبكة المشغل (يمكن تسميته بشكل مختلف ، وأحيانًا يكون جهاز توجيه VPN) ، والذي يؤدي بدوره وظيفة PE الكلاسيكية في نظام L3VPN. إنه يضيف التسميات والرؤوس الضرورية وكل ذلك ويرسل كل تدفق الحركة عبر أجهزة توجيه شبكة النقل إلى المفاصل أو الأنفاق التي تم تكوينها مسبقًا إلى شبكة العميل. هذا الجزء هو بالفعل أكثر تقليدية بكثير ومرات عديدة موصوفة في مكان آخر ، لذلك لن أركز عليه في هذه المادة.
بالنظر إلى كل هذه التفاصيل ، يمكن أن يكون هناك عدة طرق لتنظيم VPN على الأجهزة المحمولة ، وستختلف عن بعضها البعض من خلال مجموعة من الميزات التالية:
- يمكن إصدار عناوين IP ، كما هو موصوف بالفعل ، بشكل حيوي (في كل مرة عنوان مختلف عن شبكة فرعية معينة) وبشكل ثابت (في كل مرة يكون العنوان نفسه لمشترك معين) ، والذي يتم تحديده بواسطة / أو إعدادات APN و / أو إعدادات خادم Radius .
- يمكن إصدار عناوين IP بواسطة خادم Radius تحت سيطرة المشغل أو تحت سيطرة العميل ؛
- يمكن للأجهزة المتصلة بشبكة VPN أن تتفاعل فقط مع بعضها البعض ، أو يمكنها الوصول إلى شبكة عملاء L3VPN منتظمة من خلال واجهة مباشرة (منفذ VPN) مع مشغل أو من خلال الاتصال النفقي عبر الإنترنت ؛
- في بعض الحالات ، قد يكون من الضروري استخدام اسم مستخدم وكلمة مرور لتنشيط الجلسة بنجاح ، وأحيانًا لا يكون من الضروري ملء حقل "APN".
هناك عدة عشرات من هذه المجموعات مع أنواع مختلفة من الأنفاق ، وموازنة حركة المرور بين قنوات الوصول إلى عميل VPN "الرئيسي" ومبدأ إصدار العناوين. بالنسبة لمعظم الحالات ، يكون المخطط العام كما يلي:
نتيجة لذلك ، بعد عملية سريعة إلى حد ما للتسجيل على الشبكة والحصول على عنوان IP ، يمكن للجهاز الوصول إلى شبكة العميل ، وشبكة العميل يمكنها الوصول إلى الجهاز. في الوقت نفسه ، يتم عزل المشترك عن جميع المشتركين الآخرين في المشغل غير المرتبط بعميل معين ، ولا يحتاج إلى أي إعدادات إضافية ، ويتم إرسال كل حركة المرور إلى شبكة العميل دون بديل ، حيث تتم معالجتها وفقًا للسياسات الداخلية للعميل.