APN Restriction
Многие современные GPRS модемы и мобильные терминалы позволяют поднимать несколько PDP Context’ов в различные сети передачи данных [Packet Data Networks – PDN] с использованием нескольких точек доступа APN одновременно, т.е. например, установив подключение к сети Internet через точку доступа “Internet”, абонент в то же время может поднять контекст для доступа к корпоративной сети через другую точку доступа, например, “mycorp.opsos.com.ua”. Естественно в таком случае возникает некая вероятность (намеренная, либо нет), что пакеты из одной сети (т.е. из Internet) могут “попасть” в другую сеть (корпоративную LAN) через абонентское устройство, используя его в качестве роутера.
Для предотвращения такого “изъяна” в периметре безопасности корпоративной сети необходимо использовать фильтры на уровне Layer 3 TCP/IP стека протоколов, т.е. firewall системы на стороне абонентского оборудования, что естественно не всегда экономически целесообразно, а к тому же такое решение может легко быть “отключенно” самим абонентом (сознательно или нет).
В связи с этим организацией 3GPP в Rel-6 был стандартизирован метод, позволяющий контролировать возможность осуществлять поднятие нескольких PDP Context‘ов еще на уровне Layer 2, т.е. на уровне GTP протокола. Это решение позволяет контролировать количество поднятых контекстов на стороне GGSN‘a, передавая необходимые данные от SGSN‘а.
В настройках к каждой APN на GGSN‘е добавляется еще одно поле – APN Restriction, которое может принимать значение от 1 до 4 включительно (см. таблицу ниже).
Maximum APN Restriction Value |
Type of APN | Application Example | APN Restriction Value allowed to be established |
0 | No Existing Contexts or Restriction | All | |
1 | Public-1 | WAP or MMS | 1, 2, 3 |
2 | Public-2 | Internet or PSPDN | 1, 2 |
3 | Private-1 | Corporate (e.g. who use MMS) | 1 |
4 | Private-2 | Corporate (e.g. who do not use MMS) |
None |
В случае использования указанной выше функциональности, при поднятии очередного т.н. Primary PDP Context’а, SGSN “определяет” значение поля “Maximum APN Restriction” исходя из текущих поднятых (если таковые имеются у абонента) контекстов, а также определяет их тип и уже на основании этой информации передает значение поля “Maximum APN Restriction” к GGSN‘у, которое используется в запросе на активацию PDP Context‘a. Значение “Maximum APN Restriction” – это наибольшее значение из всех значений “APN Restriction” по всем поднятым в текущий момент PDP Context‘ам. В ситуации, когда у абонента уже поднят один Primary PDP Context со значением поля “APN Restriction” равным Private-2, SGSN в праве (напомню, что эта возможность опциональна) отказать в поднятии еще одного Primary PDP Context’а, не передавая дальнейший запрос к GGSN‘у, что позволяет снизить сигнальный трафик в Inter-PLMN сегменте оператора между SGSN‘ом и GGSN‘ом.
Сделаем небольшое отступление и уточним понятия Primary и Secondary PDP Context’ов. Итак, существую некоторая градация контекстов:
- Primary PDP context
Имеет уникальный IP адрес, ассоциированный с ним.- Secondary PDP context
IP для таких контекстов, “разшарен” между несколькими контекстами, т.е. может быть назначен нескольким контекстам одновременно, а также такой контекст будет активирован на основании какого-нибудь уже созданного контекста. Secondary PDP Context может быть активирован с другими параметрами QoS.
Общее количество PDP Context’ов (включая Primary и Secondary) не может быть больше 11 одновременно и настраивается оператором на стороне SGSN‘а. Для идентификации различных PDP Context‘ов используются значения NSAPI.
Значение “APN Restriction” для каждого PDP Context‘a, если это возможно, обычно передается от GGSN‘а к новому SGSN‘у во время Inter-SGSN процедур, например SRNS Relocation и Routing Area Update (RAU). При этом новый SGSN определяет значение “Maximum APN Restriction” используя значение поля “APN Restriction” содержащееся в сообщениях на Update PDP Context Response, полученный от GGSN‘а.
Следует отметить, что данный функционал будет актуален, лишь для сетей операторов, которые разграничили различные сервисы по нескольким APN, например, APN – “Internet” для доступа к сети Internet, а APN – “MMS” для сервиса MMS и т.д.
Рекомендуется также, чтобы операторы конфигурировали APN для сервисов WAP и MMS с параметром “restriction type” – Public-1, а для доступа к сети internet – cо значением Public-2.
Во время PDP Context Modification процедур, т.е. во время модификаций PDP Context‘ов от GGSN‘а, а также во время любых Inter-SGSN изменений, SGSN “проверяет” подняты ли в настоящий момент абонентом контексты на различные APN, которые “нарушают” текущую конфигурацию по APN Restriction. В случае обнаружения таких различий в количестве поднятых контекстов и значении APN Restriction, SGSN отрелизит (деактивирует) некоторые из поднятых в текущий момент PDP Context‘ов, а также уведомит об этом MS с соответствующим релизом. Какие из PDP Context‘ов будут закрыты абоненту, определяется настройками оператора в SGSN‘е и исходя из этих настроек SGSN выполнит одно из следующих действий:
- деактивирует “самый рестриктивный” контекст, который будет подпадать под действие значение APN Restriction, уведомив MS соответствующим релизом
- деактивирует контекст с самым низким значение APN Restriction, уведомив MS соответствующим релизом
- дективирует случайный PDP Context, уведомив MS соответствующим релизом
P.S.: этой небольшой заметкой, я хотел показать еще один метод, контроля периметра безопасности сети передачи данных основанных на технологиях GPRS/EDGE, которые уже сегодня стандартизированы и могут быть приняты на “вооружение” мобильными операторами для предоставления дополнительных услуг своим абонентам.
Небольшой помощник:
APN – Access Point Name
GGSN – Gateway GPRS Support Node
GPRS – General Packet Radio Service
MS – Mobile Station
PDN – Packet Data Networks
PDP – Packet Data Protocol
PLMN – Public Land Mobile Network
PSPDN – Packet Switched PDN
RAU – Routing Area Update
SGSN – Serving GPRS Support Node
SRNS – Serving Radio Network Subsystem
Ссылки по теме (en):
- Wiki: PS Core Network – PDP Context (en)
- GSMA IR.33 – GPRS Roaming Guidelines
Какой унифицированый метод получения правильного APN от любого оператора существует сегодня и как его правильно использовать на стороне клиента?
https://www.youtube.com/watch?v=ZEmLVYyVtZ0
ZEmLVYyVtZ0
смотреть человека паука 8 серия в онлайн
клипы человек паук лучшие
pc человек паук torrent
полные прохождения игры человек паук 1
комикс человек паук 3 том читать
Zyo5URtkTvc
человек паук катается на полицейской машине игры
spider man house of m
дэдпул vs человека паука
скачать песню с человек паук высокое напряжение
совершенный человек паук дэдпул 2 сезон