APN Restriction

4 июня 2010  |  Рубрики: GPRS Notes

Многие современные GPRS модемы и мобильные терминалы позволяют поднимать несколько PDP Context’ов в различные сети передачи данных [Packet Data Networks – PDN] с использованием нескольких точек доступа APN одновременно, т.е. например, установив подключение к сети Internet через точку доступа “Internet”, абонент в то же время может поднять контекст для доступа к корпоративной сети через другую точку доступа, например, “mycorp.opsos.com.ua”. Естественно в таком случае возникает некая вероятность (намеренная, либо нет), что пакеты из одной сети (т.е. из Internet) могут “попасть” в другую сеть (корпоративную LAN) через абонентское устройство, используя его в качестве роутера.


Для предотвращения такого “изъяна” в периметре безопасности корпоративной сети необходимо использовать фильтры на уровне Layer 3 TCP/IP стека протоколов, т.е. firewall системы на стороне абонентского оборудования, что естественно не всегда экономически целесообразно, а к тому же такое решение может легко быть “отключенно” самим абонентом (сознательно или нет).

В связи с этим организацией 3GPP в Rel-6 был стандартизирован метод, позволяющий контролировать возможность осуществлять поднятие нескольких PDP Context‘ов еще на уровне Layer 2, т.е. на уровне GTP протокола. Это решение позволяет контролировать количество поднятых контекстов на стороне GGSN‘a, передавая необходимые данные от SGSN‘а.

В настройках к каждой APN на GGSN‘е добавляется еще одно поле – APN Restriction, которое может принимать значение от 1 до 4 включительно (см. таблицу ниже).

Maximum APN
Restriction Value
Type of APN Application Example APN Restriction Value
allowed to be established
0 No Existing Contexts or Restriction All
1 Public-1 WAP or MMS 1, 2, 3
2 Public-2 Internet or PSPDN 1, 2
3 Private-1 Corporate (e.g. who use MMS) 1
4 Private-2 Corporate (e.g. who do not
use MMS)
None

 

В случае использования указанной выше функциональности, при поднятии очередного т.н. Primary PDP Context’а, SGSN “определяет” значение поля “Maximum APN Restriction” исходя из текущих поднятых (если таковые имеются у абонента) контекстов, а также определяет их тип и уже на основании этой информации передает значение поля “Maximum APN Restriction” к GGSN‘у, которое используется в запросе на активацию PDP Context‘a. Значение “Maximum APN Restriction” – это наибольшее значение из всех значений “APN Restriction” по всем поднятым в текущий момент PDP Context‘ам. В ситуации, когда у абонента уже поднят один Primary PDP Context со значением поля “APN Restriction” равным Private-2, SGSN в праве (напомню, что эта возможность опциональна) отказать в поднятии еще одного Primary PDP Context’а, не передавая дальнейший запрос к GGSN‘у, что позволяет снизить сигнальный трафик в Inter-PLMN сегменте оператора между SGSN‘ом и GGSN‘ом.

Сделаем небольшое отступление и уточним понятия Primary и Secondary PDP Context’ов. Итак, существую некоторая градация контекстов:

  • Primary PDP context
    Имеет уникальный IP адрес, ассоциированный с ним.
  • Secondary PDP context
    IP для таких контекстов, “разшарен” между несколькими контекстами, т.е. может быть назначен нескольким контекстам одновременно, а также такой контекст будет активирован на основании какого-нибудь уже созданного контекста. Secondary PDP Context может быть активирован с другими параметрами QoS.

 

APN types

Общее количество PDP Context’ов (включая Primary и Secondary) не может быть больше 11 одновременно и настраивается оператором на стороне SGSN‘а. Для идентификации различных PDP Context‘ов используются значения NSAPI.

Значение “APN Restriction” для каждого PDP Context‘a, если это возможно, обычно передается от GGSN‘а к новому SGSN‘у во время Inter-SGSN процедур, например SRNS Relocation и Routing Area Update (RAU). При этом новый SGSN определяет значение “Maximum APN Restriction” используя значение поля “APN Restriction” содержащееся в сообщениях на Update PDP Context Response, полученный от GGSN‘а.

Следует отметить, что данный функционал будет актуален, лишь для сетей операторов, которые разграничили различные сервисы по нескольким APN, например, APN – “Internet” для доступа к сети Internet, а APN – “MMS” для сервиса MMS и т.д.

Рекомендуется также, чтобы операторы конфигурировали APN для сервисов WAP и MMS с параметром “restriction type” – Public-1, а для доступа к сети internet – cо значением Public-2.

Во время PDP Context Modification процедур, т.е. во время модификаций PDP Context‘ов от GGSN‘а, а также во время любых Inter-SGSN изменений, SGSN “проверяет” подняты ли в настоящий момент абонентом контексты на различные APN, которые “нарушают” текущую конфигурацию по APN Restriction. В случае обнаружения таких различий в количестве поднятых контекстов и значении APN Restriction, SGSN отрелизит (деактивирует) некоторые из поднятых в текущий момент PDP Context‘ов, а также уведомит об этом MS с соответствующим релизом. Какие из PDP Context‘ов будут закрыты абоненту, определяется настройками оператора в SGSN‘е и исходя из этих настроек SGSN выполнит одно из следующих действий:

  • деактивирует “самый рестриктивный” контекст, который будет подпадать под действие значение APN Restriction, уведомив MS соответствующим релизом
  • деактивирует контекст с самым низким значение APN Restriction, уведомив MS соответствующим релизом
  • дективирует случайный PDP Context, уведомив MS соответствующим релизом

P.S.: этой небольшой заметкой, я хотел показать еще один метод, контроля периметра безопасности сети передачи данных основанных на технологиях GPRS/EDGE, которые уже сегодня стандартизированы и могут быть приняты на “вооружение” мобильными операторами для предоставления дополнительных услуг своим абонентам.

Небольшой помощник:

APN – Access Point Name

GGSN – Gateway GPRS Support Node

GPRS – General Packet Radio Service

MS – Mobile Station

PDN – Packet Data Networks

PDP – Packet Data Protocol

PLMN – Public Land Mobile Network

PSPDN – Packet Switched PDN

RAU – Routing Area Update

SGSN – Serving GPRS Support Node

SRNS – Serving Radio Network Subsystem

Ссылки по теме (en):

 

If you enjoyed this post, make sure you subscribe to my RSS feed!
Автор:
Теги: , ,
0 комментариев | 1 687 просмотров

Поля отмеченные * нужно в любом случае заполнить. Пожалуйста, не оставляйте ссылки на интернет-магазины, коммерческие сайты и аналогичные им сообщения - они будут расценены как спам и будут удаленны. Кстати, это dofollow блог.

 

?Раньше искали

CombiSGSN GGSN SGSN GPRS Attach PDP Context SMS over GPRS SMSC GTP-C GTP-U IMSI 

!На хостинг

#Счетчики

Rambler's Top100