В Intranet через GPRS

4 июня 2010  |  Рубрики: How it works?

В сегодняшней заметки на тему пакетной передачи данных в мобильных сетях операторов, я бы хотел затронуть тему реализации доступа к корпоративной сети с помощью сервисов GPRS/EDGE, а также вкратце «пробежаться» по основным моментам предоставления такой услуги со стороны мобильного оператора.

Description

Многие операторы предоставляют корпоративным клиентам услугу доступа к Intranet компании через свою мобильную сеть с помощью GPRS/EDGE. Особенно актуальной эта услуга является для компаний, которые имеют в своем штате наемных работников, работающих из дому, либо в командировках. Удаленные работники могут таким образом получить доступ к электронной почте, локальной сети корпорации, контактам, файловым серверам и ресурсам внутри компании, оставаясь при этом в «мобильном» состоянии.

Такая услуга также будет актуальна для клиентов в следующих случаях:

  1. банковская сфера – подключение банкоматов и POS-терминалов к процессинговым центрам для проведения финансовых операций.
  2. промышленное применение – использование различных приборов, датчиков и счётчиков для сбора и передачи телеметрической информации.
  3. охранные сигнализации – оповещение об экстренных ситуациях, критических происшествиях и контроля аварий.
  4. сфера транспорта – удаленный мониторинг за транспортом в связке с GPS/ГЛОНАСС аппаратурой.

В общем случае, схема получения доступа в корпоративную сеть через сеть оператора выглядит следующим образом:

GPRS Intranet

Для организации доступа к корпоративному сегменту, со стороны оператора и абонента необходимо выполнение нескольких обязательных условий, к которым можно отнести следующие:

  1. абонент и оператор организовывают между своими PDN связность с определенными заранее оговоренными требованиями безопасности, использую при этом как открытые, так и закрытые каналы передачи данных.
  2. на стороне оператора, в GGSN‘е создается новая APN (например, privatcorp.opsos.com.ua), которая «привязывается» к абоненту и определяет однозначную связность сети оператора и корпоративной сети клиента.
  3. абонентs (множественное число абонентов) на своих терминалах использует выделенную оператором APN в качестве основной точки доступа.
  4. оператор на своем локальном DNS сервере определяет какой из нескольких (в случае наличия нескольких GGSN в сегменте пакетной подсети) GGSN‘ов* обслуживает назначенную абоненту APN, фактически определяя GGSN, который имеет выход на корпоративную сеть клиента.

* – В случае наличия нескольких GGSN‘ов в пакетной сети оператора, возможна ситуация, когда одну APN будут «обслуживать» несколько GGSN‘ов, очередность которых будет определятся в зависимости от нагрузки на каждый из них (см. рис ниже). Данный механизм выбора GGSN называется Round Robin.

GPRS Round Robin

Из схемы выше мы видим, что некоторые APN в сети оператора обслуживаются несколькими GGSN‘ами и в случае если очередной абонент обратится в сеть для предоставления, например сервиса MMS, SGSN передает запрос к локальному DNS серверу оператора и «отрезолвит» какой же из GGSN’ов (в нашем случае это будет GGSN#2, либо GGSN#5 для APN – MMS) в данный момент будет менее нагружен и организует PDP туннель на этот GGSN.

Security

Одним из основных моментов в организации доступа к корпоративному сегменту сети, является вопрос безопасности, который позволит обеспечить необходимый уровень доступа абонентов и исключит утечку конфиденциальной информации наружу.

Обычно для организации доступа абонентов в Intranet, используют VPN туннели с шифрованием трафика в связке с дополнительной аутентификацией и авторизацией на серверах внутри корпоративного сегмента.

В случае организации такого доступа к Intranet, появляется возможность использовать мобильный терминал/модем в качестве шлюза/роутера, т.к. возможно поднять одновременно несколько PDP Context‘ов на различные APN, т.е. абонент намеренно, либо нет подключается к корпоративной сети используя APN – privatecorp.opsos.com.ua, например, а одновременно с этим открывает PDP Context для выхода в Internet с APN – Internet. Естественно в данном случае возникает некоторая вероятность, что пакеты из одно сети могут попасть в другую. Для предотвращения этого изъяна, необходимо использовать Firewall системы на самом абонентском устройстве, что не всегда является эффективным, т.к. сам абонент может отключить систему (преднамеренно, либо нет опять же). Одним из решений этой проблемы является использование ограничение открытия нескольких контекстов на стороне оператора, т.н. APN Restriction. Более подробно об этом механизме можно прочесть в этой заметке.

Outro

Могу сказать от себя, что абоненты и операторы порой уделяют достаточно мало внимания вопросам безопасности доступа к корпоративному Intranet‘у с помощью технологий пакетной передачи данных — GPRS/EDGE, что в свою очередь может привести, а иногда и приводит к утечке конфиденциальной информации наружу… но это уже совсем другая история.

Небольшой помощник:

APN – Access Point Name
GGSN – Gateway GPRS Support Node
MMS – Multimedia Messaging Service
PDN – Packet Data Network
PDP – Packet Data Protocol
POS – Point Of Sale
RADIUS – Remote Authentication Dial In User Service
SGSN – Serving GPRS Support Node

If you enjoyed this post, make sure you subscribe to my RSS feed!
Автор:
Теги: , , ,
0 комментариев | 823 просмотров

Поля отмеченные * нужно в любом случае заполнить. Пожалуйста, не оставляйте ссылки на интернет-магазины, коммерческие сайты и аналогичные им сообщения - они будут расценены как спам и будут удаленны. Кстати, это dofollow блог.

 

?Раньше искали

CombiSGSN GGSN SGSN GPRS Attach PDP Context SMS over GPRS SMSC GTP-C GTP-U IMSI 

!На хостинг

#Счетчики

Rambler's Top100