Какой объем широковещательного трафика в GPRS/3G сетях?
Добрый день. Есть оборудование, которое работает типа в VPN - VPN оператора по умолчанию, который, как оказалось, дает статический IP из подсети 10.0.0.0/8 и отключает доступ к Интернету. Путем мозгового штурма и экспериментов выявил, что устройства, которые обслуживаются разными компаниями отлично обращаются друг к другу в этом VPN, хотя до моего прихода все думали об обратном.
Устройства мало того, что пингуются, так еще и при трассировке выявлено, что адресация получается прямая, то есть за один шаг. При этом в голове держу маску 255.0.0.0, которая говорит, что все это, с точки зрения сети, 16 с половиной миллионов потенциальных генераторов широковещательного трафика. Ясно, что мобильная связь устроена немного по другому, но хотелось бы понять, есть ли риски больших масштабов широковещательного флуда в таких сетях, которые в состоянии уложить пропускную способность модема в 20 кбит/с?
10.0.0.0/8 - это адресный пул.
Однако, каждый абонент живёт в отдельном Point-to-point-тоннеле.
Вообще, ip-броадкаста в мобильном интернете нет за ненадобностью.
Есть что-то вроде мультикаста (MBMS, прости Господи), который полностью управляется оператором и работает строго в одну сторону: из специального узла сети в сторону абонента.
Поэтому:
1. То, что несколько разных корпоративных клиентов оказались не просто в одной ip-подсети (это ещё ладно бы), а ещё и увидели друг друга - это, конечно, безобразие, стыд и позор.
2. То, что traceroute показывает один хоп, тоже нормально: ip-пакет из одного ppp-тоннеля в другой вполне можно переложить и без уменьшения TTL, а зациклить ip-пакет не даст проверка на совпадение source ip address и собственно ip-адреса, выделенного абоненту.
3. Запинговать/зафлудить кого-либо насмерть теоретически можно, но при условии, что uplink-канал отправителя шире, чем downlink жертвы (например, если флудить из более новой технологии пользователя более старой: 3G -> GSM или LTE -> GSM). Однако, нагадить всем разом не получится, гадить придётся поштучно и с постоянным страхом получить по ушам за хулиганство от оператора.
Спасибо за развернутый ответ. Вообще, изначально задался этим вопросом потому что статистика показала, что принимающие устройства, которые находятся все время под наблюдением, стабильнее работают в действительно VPN-е, с красивой точкой доступа и т.д. Есть, конечно, и другие факторы, которые могут повлиять на эту статистику, но они не настолько очевидные. В связи с этим вопрос, стоит ли заморачиваться с переходом на нормальный корпоративный VPN с красивыми IP-шниками и всем остальным?
Нестабильность работы заключается в частом(относительно) разрыве соединения, переподключениях, потери связи и т.д. Нагрузка на принимающие модемы не большая, за месяц он пропускает через себя всего несколько гигов трафика мелкими пакетами.
Вообще, с технологической точки зрения, при единообразном подходе к управлению абонентским трафиком, стабильность канала передачи не зависит от того, сидит ли абонент в общедоступной сети, либо в отдельной VPN, и упирается в радиоэфир, который для всех один - ну, с поправкой на существование механизмов Quality-Of-Service, параметры которых которые можно назначать даже не per-VPN, а на конкретного абонента по отдельности.
Поэтому, предполагаю, что бОльшая стабильность соединения в выделенном VPN - это , скорее всего, просто психологический эффект. Максимум, могут аукаться стабильности какие-либо страшные работы на системе тарификации. Но насколько часто надо ронять тарификатор с обравом сессий, чтобы абоненты заметили разницу... Думаю, здесь, скорее, психология.
Нормальный же корпоративный VPN нужен для:
- безопасности (это когда вы в нём только вы одни, а не как в вашем примере ;)
- упрощённой интеграции с центром обработки данных клиента: можно заказать Ip-подсеть не какая свободна у оператора, а какая удобна вам
В принципе, других преимуществ корпоративного мобильного VPN я не вижу
Ярослав, известны ли случаи, когда операторы связи соглашались на, скажем так, на повышение приоритета для набора номеров? Это какая то служебная функция или она вполне может распространяться за дополнительную плату в открытом виде?
Подобный приоритет для голосовых вызовов назначается т.н. спецслужбам, а если проще - номерам МЧС: 112, 911.
Работает это так: если при наборе спецномера все ресурсы заняты обычными голосовыми вызовами, один из них разрывается и освободившиеся ресурсы отдаются звонку в МЧС.
Тут надо понимать разницу между относительными приоритетами в передаче данных (низкоприоритетный абонент просто получит скорость чуть ниже) и абсолютными в голосовой связи (низкоприоритетный абонент окажется без связи вообще).
Ставить это в коммерцию никто не будет - ни официально, ни втихушку.
Xilian: раньше это называлось M2M (machine-to-machine), а сейчас для этого придумали новое слово IoT: Internet Of Things.
Это всевозможная телеметрия, которой высокая скорость не нужна, зато нужна массовость: квартирные счётчики электроэнергии и водоснабжения, датчики занятости парковки, банкоматы, наконец, те же.
И, кстати, стоит различать VPN-клиент в мобильном терминале (телефоне, маршрутизаторе) и VPN, реализованный штатными средствами мобильной сети самом оператором.
У GSM, в отличие от 3G и LTE есть замечательное свойство: заметно бОльшее покрытие с лучшей проникающей способностью в ущерб, правда, плотности абонентов.
Кстати, пример protsey с одним типа-VPN на всех корпоративных клиентов разом прекрасно иллюстрирует известную шутку о том, что буква S в аббревиатуре IoT означает Security ;)
>>реализованный штатными средствами мобильной сети самом оператором.
Это не VPN, это VLAN, это Вы сами в терминах запутались. 10.х.х.х - серая сеть, заявление автора о том, что "это vpn отключенный от интернет" уже заявление о полной некомпетентности в вопросах построения сетей. Пусть сначала хоть азы освоит, а потом будет кричать об уязвимостях.
>>раньше это называлось M2M (machine-to-machine)
Раньше это называлось минимум десятком разных наименований. Siemens один штук 5 выкатил.
>>что буква S в аббревиатуре IoT означает Security ;)
Ага а буква C в протоколе RS-485, означала совместимость.
...работает !!!типа!!! в VPN - !!!VPN оператора!!! по умолчанию, который, !!!как оказалось!!!, дает статический IP из подсети 10.0.0.0/8 и отключает доступ к Интернету.
Извиняюсь за наглость, но хотелось бы услышать, какая патология может вызвать способность извлекать из строк выше вывод
заявление автора о том, что "это vpn отключенный от интернет"
Не кажется ли вам, что было сказано о том, что от этой функции оператора ожидалось получение закрытого сегмента сети ,с изолированными от стороннего вмешательства адресами, доступными только мне, как заказчику, а по факту получено статический IP без доступа к Интернету, который доступен всем представителям подсети 10.0.0.0/8, коих, на секундочку, на целую страну небольших габаритов хватит? По моему есть разница. Во времена нездоровой конкуренции на рынке возможность заспамить канал связи получив стандартную услугу оператора не повод ли "кричать об уязвимостях"?
Рядом стоит симка, которая работает с полученным в другое время APN того же оператора, которая работает в подсети 10.10.0.0/16, имеет милый глазу 10.10.0.1, к которому я никакими извращениями достучаться извне, по понятным всем причинам, не смог.
Xilian: мы, по всей видимости, оперируем разными определениями VPN.
К сожалению, ряд технических специалистов слишком упирается в протоколы, не видя в результате за деревьями леса.
Коллеги!
Мы сами по себе никому не нужны.
Наша ценность заключается в нашей способности реализовывать услуги, необходимые обычным людям, неспециалистам. Соответственно, и плясать надо от понятия "услуги" в противовес слишком часто встречающегося подхода "от реализации".
Давайте посмотрим, что такое услуга!
Я и, по-видимости, автор вопроса, VPN понимаем буквально: Virtual Private Network. Если попытаться передать смысл, то мы получаем набор узлов сети с особыми правилами маршрутизации потоков информации между ними.
Я специально формулирую это понятие максимально широко, поскольку в понятии Virtual Private Network вовсе не упоминается не то что протокол ip, но даже передача данных в принципе.
Тогда вдруг окажется, что услуга виртуальной АТС (она же Closed Subscriber Group) - это внезапно тоже VPN! Голосовая виртуальная частная сеть.
А если обратиться к такому частному случаю VPN, как IP VPN, то внезапно обнаружится, что IP VPN это набор экземпляров виртуальных IP-маршрутизаторов (VRF/VRF-Lite в терминологии Cisco, Routing Instance в терминологии Juniper, Context в терминологии Redback/Ericsson) и виртуальных каналов связи между ними.
Как именно это будет реализовано у оператора связи, заказчика совершенно волновать не должно. С его точки зрения, услуга заключается в том, чтобы "Из Ethernet-порта номер 5 в Москве, имея ip-адрес 1.2.3.4, достучаться до сервера в Сургуте, воткнутого в Ethernet-порт номер 10 с ip-адресом 5.6.7.8. И чтобы ни одна посторонняя скотина на это способна не была!"
Как это реализовать - уже наша головная боль, о которой, повторюсь, заказчику знать не надо вовсе. BGP L2VPN? BGP L3VPN? VPLS? Прямой Ethernet VLAN от Москвы до Сургута? ATM Virtual Circuit? Да чихал он на это! Ему надо доставить ip-пакет из точки A в точку B и обратно, причём так, чтобы сделать это мог только он и никто больше.
Так что довольно грустно видеть порой вроде бы технически грамотных инженеров, думающих, например, что IPSec - это VPN.
На самом деле, IPSec, наряду с OpenVPN, GRE и прочими - один из множества протоколов доступа к IP VPN - если проще, то способов туда попасть.
А IP VPN, на самом деле, это:
- сотрудники организации, подключенные по IPSec, плюс
- сотрудники организации, подключенные по OpenVPN, плюс
- сотрудники организации, подключенные через выделенный для организации APN (Access Point Name: человекочитаемый идентификатор виртуального маршрутизатора на BRAS/GGSN/PGW оператора мобильной связи), плюс
- сотрудники организации, сидящие в локальной вычислительной сети, плюс
- серверы, ip-сервисами которых все они пользуются, плюс
- экземпляры виртуальных ip-маршрутизаторов самой организации и всех задействованных операторов связи, делающие всё это возможным
Это не VPN, это VLAN, это Вы сами в терминах запутались. 10.х.х.х - серая сеть, заявление автора о том, что "это vpn отключенный от интернет" уже заявление о полной некомпетентности в вопросах построения сетей. Пусть сначала хоть азы освоит, а потом будет кричать об уязвимостях.
Я бы сказал, что:
1. В IP VPN зачастую можно задействовать действительно любую ip-адресацию независимо от Ip-адресации других IP VPN, включая её пересечение, реализованных на том же оборудовании.
2. Автор вопроса таки прав и, как правило, изоляция VPN от сети Интернет является одним из основных пунктов технического задания.
Со своей стороны, однако, хочу призвать автора изначального вопроса ещё раз очень внимательно перечитать договор на подключение, отдельно перечитать список того, что именно ему обещано согласно договору, сделав при этом поправку на слишком часто встречающуюся низкую техническую квалификацию сотрудника отдела по работе с корпоративными клиентами оператора связи при прекрасных, в то же время, его коммуникативных способностях.
Также, рекомендую при заключении подобных договоров:
- настаивать на участии в обсуждении со стороны оператора не только менеджеров, но и инженеров
- при формулировке требований техзадания руководствоваться одним из законов Мерфи: "то, что можно понять неправильно, будет понято неправильно"
3. VLAN это довольно узкий термин, относящийся к Ethernet, но, что удивительно, почему-то у ряда производителей оборудования Wi-Fi являющийся синонимом понятия "виртуальный ip-маршрутизатор", приводя к дикой путанице. Хочу, однако, напомнить, что ip-трафик не всегда ходит по Ethernet, а IP VPN, тем не менее, даже в таких случаях организовать можно ;)
Так что, из APN абонент попадает не в VLAN, а именно в виртуальный маршрутизатор узла BRAS/GGSN/PGW, который, в свою очередь, является частью VPN.
Простой
Простой
Простой