Obecn o GPRS ve vztahu k IP

Transkript

1 Obecn o GPRS ve vztahu k IP Autor: František Ryšánek <rysanek@fccps.cz> FCC Prmyslové systémy s.r.o. Úvod Všeobecn známou specifickou vlastností GPRS je paketový provoz. Koncové IP zaízení registrované do sít nezabírá v klidovém stavu žádnou kapacitu datového kanálu a mže proto být neustále online na internetu, aniž by blokovalo kapacitu kanálu ostatním úastníkm. Vtšina GSM operátor proto koncipuje své GPRS služby tak, že se neplatí za as, po který je zaízení registrováno do GPRS sít, ale za objem penesených dat k dispozici jsou odstupované paušály s volnými kilobajty. Rovnž všeobecn známá a zjevná je skutenost, že koncové zaízení (mobilní telefon, GPRS modem) se pipojuje k poítai pes sériový kabel (nebo infraervený penos) a PPP. Z ehož na první pohled plyne, že v tomto typickém uspoádání má vlastní IP osobnost pipojený poíta, nikoli koncové GSM zaízení. Skutenost je sice o nco složitjší, ale v zásad je tomu skuten tak. Jak jde vlastn dohromady paketová sí a PPP, tj. Point-to-Point Protokol? Kudy se data z mobilu dostanou až na veejný internet? Dá se pomocí GPRS pipojovat do privátní sít (VPN) a pokud ano tak jak? Pokud Vás zajímají podobné záludnosti, tte dál. Pokud Vás podrobnosti nezajímají, možná Vás bude zajímat kapitola Zádrhele (str.10). Hrubé schéma GPRS sít Infrastruktura pro pipojení do internetu (pípadn VPN) pes GPRS má nkolik základních ástí, které mají s vlastním GPRS více i mén spoleného viz obrázek na další stran. Zobrazené vrstevnaté schéma síových stack na jednotlivých zaízeních je zejména v GSM sekci zjednodušené v zájmu pehlednosti o nco úplnjší pitvu najdete v píloze (pvodní obrázky od firmy Cisco) a pochopiteln ve standardech GSM. Cílem ilustrace bylo pedevším pedvést nkolik relay (transparentních konverzí enkapsulace) pod vrstvou IP mezi koncovým úastnickým IP zaízením a GGSN bránou nižší vrstvy jsou v rámci tohoto lánku vcelku nezajímavé. Obrázek také neobsahuje pomocnou infrastrukturu, jako nap. adresáové/autentikaní servery. V níže uvedeném pehledu budeme jednotlivé ásti probírat zhruba ve smru od koncového zaízení k operátorov pátení síti a k internetu komunikace je ovšem pochopiteln obousmrná, úastní se jí mnoho vrstev atd.

2 Obr. 1 Hrubé schéma GPRS sít

3 Pedevším je tu rádiový segment GSM mezi mobilním telefonem a základnovou stanicí (BTS), se svými frekvenními kanály, timesloty, pidlováním pásma a signalizací. GPRS provoz je dále penášen pevnou GSM páteí k zaízením SGSN. Zdá se, že na SGSN zaízení je ukonován GSM hovor GPRS, tj. typické íslo *99***1# je patrn telefonním íslem SGSN až na to, že dost možná k vytáení ísla (signalizaci hovoru) v pravém slova smyslu nedochází autor v tomto bod tápe. SGSN tvoí bránu z pvodní GSM sít (rádiové a pevné) do GPRS pátee. Zatímco GSM sí používá protokoly z lna telco odvtví (GSM Association a ETSI), GPRS páte používá jako jednotný transport protokol IP. Ješt se ovšem nejedná o IP sí, do které se pímo pipojují úastnická koncová zaízení jde o ist privátní páte, skrz kterou je úastnický provoz transportován pomocí tunel, vytváených protokolem GTP. GTP je tedy svého druhu IP over IP tunel, dokonce s úastí UDP jakožto mezivrstvy. GTP penáší úastnická data mezi zaízeními SGSN a GGSN. GGSN je opt svého druhu brána tentokrát mezi GPRS IP páteí a istokrevnou IP páteí operátora. Na zaízení GGSN jsou totiž zakonovány GTP tunely jednotlivých úastník. Jedná se tedy v zásad o IP smrova (router). GGSN je z pohledu koncového GPRS úastníka prvním IP zaízením po cest prvním hopem v traceroutu. GGSN obsluhuje ást autentikace a pidlování služby pihlášenému úastníkovi podle jeho nakonfigurovaného profilu a na základ jeho identifikace. Tím jsme se dostali na pátení IP síku operátora. Následuje typicky ješt firewall (opevnný externí smrova) z pátení IP sít operátora do divokého internetu. V pípad, že operátor provozuje koncovému úastníkovi GPRS VPN, není provoz smrován do internetu, ale z externího firewallu ješt šifrovaným tunelem nebo pevným spojem do firemní sít na stran firemní sít je tento tunel i pevný spoj ukonen typicky opt na firewallu. Rádiový segment Pvodní datové služby v GSM síti používají komutovaný isochronní datový kanál, podobn jako hlasové služby. Tento datový kanál má v pípad datových služeb užitenou kapacitu 9,6 kbps (skutená surová kapacita je vyšší) a zabírá jeden z osmi timeslot v rádiovém kanálu. Na jednom rádiovém kanálu konkrétní základnové stanice (BTS) tedy mže bžet souasn osm hovor. Technologie HSCSD umožnila spažení nkolika isochronních kanál pro vyšší kapacitu. Základní alokaní jednotkou GPRS je také timeslot. Také GPRS umí využít timeslot nkolik. Rozdíl je v tom, že koncové zaízení si timeslot nezabere po dobu trvání spojení pro sebe, ale mže ho sdílet s dalšími koncovými zaízeními a v tom pípad se statisticky dlí o kapacitu (paketový multiplex). Timeslot nepedstavuje kolizní doménu tak jako u dalších podobných systém s jedním masterem (zde BSC) a mnoha koncovými zaízeními se i u GPRS používá metoda pidlování vysílacího asu. Vysílací as centráln spravuje a na vyžádání per paket pidluje BSC (ídící jednotka nkolika BTS) a proto nedochází ke kolizím. Pidlování vysílacího asu funguje i napí nkolika timesloty. Postupem asu vycházejí nové revize a doplky GSM a GPRS standard a postupn pibývá využitelná kapacita timeslotu:

4 Kódování CS-1 CS-2 CS-3 CS-4 Rychlost 9.05 Kb/s 13.4 Kb/s 15.6 Kb/s 21.4 Kb/s Je zejmé, že u nejnovjších revizí je využitelná kapacita timeslotu rovna surové bitové rychlosti standardního GSM. Dosavadní GPRS je v rámci timeslotu omezeno na pvodní modulaní schéma GSM (GMSK), ale existují návrhy na rozšíení standardu o schémata výkonnjší, s vtší bitovou hloubkou na symbol - nap. Edge (QPSK8). Zavedení Edge do sít se ovšem neobejde bez výmny i hardwarového upgradu BTS. Rzná koncová zaízení (a rzná zaízení na stran operátora) zvládají rzný maximální poet kanál. Mezi typické kombinace patí 2+1, 4+1 nebo 3+2 (downlink+uplink). Napíklad kombinace 4+1 CS-4 tedy v souasnosti umožuje maximální kapacitu downlinku cca 85 kbps. IP a koncová zaízení V nejobvyklejším pípad má vlastní IP osobnost (adresu v síti) až samotný pipojený poíta. Použitý mobilní telefon nebo GSM modem provádí pouze emulaci PPP serveru, resp. relay na GSM transport, bez složitjšího smrování v tetí vrstv. Tento mobilní telefon i GSM modem nemá vlastní IP adresu a nemá co mluvit do IP parametr. Na dohadování IPCP se tedy ásten úastní GGSN ovšem nikoli pímo v rámci PPP handshaku, ale zprostedkovan skrz GTP. Z výše uvedeného plyne, že koncové zaízení musí zvládat provoz PPP a TCP/IP stacku. Vtšina zaízení, se kterými koncové uživatele vbec kdy napadne pipojit se na internet, tyto požadavky pirozen spluje. Mže se vyskytnout problém v tom, že emulace PPP v mobilním telefonu bývá hodn spartánská, nepružná a otestovaná pouze proti nejrozšíenjšímu operanímu systému, takže si s ní jiné kvalitní implementace PPP nemusejí rozumt ale takový je život. V prmyslovém prostedí se ale mže také vyskytnout poteba pipojit pes GPRS zaízení, které vbec nemá systémové prostedky k tomu, aby provozovalo PPP a TCP/IP. Jedná se typicky o zaízení s mikrokontroléry, vtšinou bez operaního systému, které zvládnou nanejvýš primitivní komunikaci pes holou linku RS232. I v tomto pípad ovšem existuje ešení je teba použít GPRS modem, který má vlastní TCP/IP stack, tj. mj. také vlastní IP adresu ( osobnost v síti) a pedevším jednoduchý aplikaní software, který umožní nap. transparentní transport RS232 pes TCP spojení, a už navazované smrem ven, i dovnit. Takovým GPRS modemem je nap. Maestro 100 TCP/IP od firmy Fargo Telecom, který umí navíc jednoduchou obsluhu internetových aplikaních protokol FTP, SMTP, POP aj. Zstaneme-li v teoretické rovin, je zejmé, že takovýto modem nepotebuje vnitn sám sob emulovat PPP vybaluje si IP nativn pímo z GSM transportu a rovnž autentikace a registrace do GPRS sít mže probíhat pímo GSM signalizaci, bez zprostedkování skrz PPP emulaci.

5 Existují také klasické mobilní telefony, u kterých lze zprovoznit autonomní IP osobnost takové telefony se vyznaují tím, že zvládají WAP pes GPRS, vybírání u pes POP3 z internetu, odesílání pes SMTP ven do internetu (autonomní, tj. nikoli pes SMS), prohlížení HTTP webu a pípadné další služby, které si jen operátor dokáže vymyslet. Díky pítomnosti IP sít je rozšiitelnost prakticky neomezená, zejména v kombinaci s Javou (pípadn s konkurenními technologiemi od Microsoftu, pokud se uchytí). IP na páteích Varování: obsah této a následující kapitoly vychází z implementace GGSN a APN od firmy Cisco. Jedná se pouze o jednu z nkolika implementací, proto níže uvádné detaily nemusí být všeobecn platné. Jak již výše uvedeno, zaízení GGSN je v podstat IP smrova má v nejjednodušším pípad dv IP rozhraní zvaná Gn (do GPRS pátee) a Gi (do internetové pátee). V pípad GGSN od firmy Cisco to platí doslova Cisco GGSN se skládá z klasického hardwaru Cisco 7200 VXR a speciální verze operaního systému Cisco IOS, obohaceného o funkce GGSN. Nov lze použít také platformu Cisco Catalyst 6500/7600, povinn rozšíenou o modul MWAM. Z toho plynou následující rysy Cisco GGSN zaízení: - nezávislost na médiích GPRS a IP pátee. Ob IP rozhraní mohou být realizována nkterou ze široké palety modulárních karet, které jsou k dizpozici od synchronních sériových linek pes E1, E3, ATM a Fast Ethernet až po STM1 POS nebo Gigabit Ethernet. - pimený výkon. Funkce GGSN jsou procesorov náronjší než bžný routing a jsou he hardwarov akcelerovatelné, takže je pochopitelný požadavek na vyšší modely procesorové karty (NPE300/400 na platform Cisco 7200) a povinné rozšíení platformy 6500/7600 o modul MWAM (tato platforma je pvodem ethernetový switch switche vykazují vysoký jmenovitý výkon pi hardwarovém switchování L2/L3, ale procesorov bývají od pírody relativn slabé). - modularita a jistá škálovatelnost - kompatibilita s dalšími produkty Cisco nejen s dalšími smrovai, ale také s podprnou infrastrukturou, jako jsou systémy pro centrální autentikaci a pidlování systémových zdroj koncovým úastník, správu konfigurací, dohled sít atd. (Radius, DHCP, DDNS, CiscoWorks...) - obchodní model firmy Cisco Zaízení Cisco 7200 je pístupový smrova stední tídy, který se tradin používá na páteích internetových provider pro agregaci zákaznických sériových pevných linek (synchronních okruh) a pop. dial-up polí menšího rozsahu. Zaízení Cisco Catalyst 6500/7600 je ethernetový pepína nejvyšší výkonnostní kategorie. Pístupové smrovae firmy Cisco mají historicky kvalitní a otevenou (nebo pinejmenším svéráznou avšak rozšíenou) softwarovou výbavu pro obsluhu dial-up klient, spoívající na protokolech Radius, Bootp/DHCP a OSPF. Novji pibyly speciality z rodiny MPLS, z nichž nejzajímavjší je patrn MPLS VPN a s ní související schopnost vytváet virtuální smrovae zvané VRF. A nemli bychom zapomínat na možnost práce s virtuálními sítmi (VLAN) v rámci Ethernetu. Smrem ven se také uplatní tunelové technologie Cisco s protokoly GRE a IPSec. To vše jsou díly skládaky, ze které lze budovat pokroilejší vlastnosti GGSN smrem do venkovní IP sít.

6 Pozorný tená si na obrázku jist povšiml zkratky MPLS a podivného vrstvení protokol v píslušném segmentu. Aniž bychom zabíhali do detail, eknme si pouze, že pvodní myšlenkou MPLS je akcelerace smrování na bázi sdružování tok. V našem nártku je ovšem využita jiná, vedlejší vlastnost MPLS: podpora MPLS VPN. Dnešní MPLS umožuje provozovat nad jedinou L2 linkou nkolik vzájemn oddlených IP sítí, aniž by o tom linková vrstva musela nco vdt i to njak explicitn podporovat. A práv tuto vlastnost zaízení Cisco využívají k provozu nkolika virtuálních venkovních IP sítí na jediné fyzické síti. Na smrovai se konfigurují instance VRF, ovšem základní globální smrovací tabulka zstává. Tabulky uzavené ve VRF instancích jsou ovšem dokonale oddlené a na globální smrovací tabulce nezávislé. VRF instance na dvou a více smrovaích lze navzájem propojovat vyhrazenými fyzickými L2 médii, nebo pomocí MPLS nad jediným L2 médiem. Venkovní IP sí nemusí být a typicky není jediná pomocí VRF jich lze provozovat na jednom GGSN systému paraleln nkolik. Na jednom GGSN je typicky nakonfigurováno nkolik Access Point. Teoreticky lze zajisté nakonfigurovat nkolik access point do jediné IP sít, ale tato možnost nemá valný praktický význam. Mnohem zajímavjší je možnost mít jeden access point pro divoký internet, jeden pro WAP, další pro pístup do interní sít operátora, a N dalších pro zákaznické VPN. Pochopiteln je ovšem teba mít každý access point piazen k jiné IP síti, které budou navzájem neprodyšn oddleny. Navíc tyto IP sít mohou mít a typicky mají pekrývající se adresní prostory, protože zákazníci (a vlastn i operátoi) typicky používají ve vnitní síti privátní adresní prostor dle RFC1918. Z výše uvedeného plyne, že prakticky je možno položit rovnítko mezi zkratky APN a VRF jde o dv rzné vci, ale v reálných konfiguracích je velice obvyklé, že každému APN je pidlena samostatná instance VRF. Správci systému zbývá zvolit, zda ponechá veejný internet v globálním smrovacím procesu, nebo zda jej opouzdí do VRF a globální smrovací proces použije na režijní úely (remote management, Radius, logování). Podobn lze VRF instance vytváet na firewallu a zakonovat do nich nap. stálé IPSec tunely i fyzické pronajaté okruhy, vedoucí ze zákaznických podnikových sítí. Tímto zpsobem lze zaídit, aby jednoduchá mobilní GPRS zaízení (i bez možnosti provozovat IPSec) byla dostupná ze zákazníkovy podnikové privátní sít, bez pekladu adres a s pomrn vysokým stupnm zabezpeení. Toto uspoádání samozejm vyžaduje speciální dohodu s operátorem a vyplatí se spíše pi vtším potu mobilních zaízení. Sluování funkcí GGSN a firewallu není na zaízeních Cisco vyloueno, dokumentace tuto možnost dokonce místy explicitn zmiuje. Ušetil by se tím jeden smrova a jeden MPLS hop a s ním spojená režie dynamického smrování. Takovéto sluování funkcí ale z rzných praktických dvod není úpln bžné. Nejbžnjší praktickou pekážkou mže být tendence k nahromadní softwarových chyb, která složitjší kombinaci features na jediném stroji uiní prakticky nepoužitelnou. Už jen kombinace GGSN, MPLS VPN (VRF) a IP-Secu mže pinést mnoho zábavy. Nezapomínejme také na vysokou procesorovou náronost jednotlivých funkcí. V praktických konfiguracích se tedy využije schopnost MPLS rozprostít i vzájemn propojit/spárovat VRF instance mezi nkolika sousedními smrovai v našem pípad mezi GGSN a firewallem.

7 Pro vzájemné propojování VRF mezi smrovai lze namísto MPLS tag alternativn použít VLANy nad Ethernetem, kanály v PDH trunku nebo ATM PVCka (azeno podle použitelnosti sestupn). Centralizovaná autentikace a pidlování zdroj Dležitou souástí jakékoli sít pro velké množství uživatel je identifikace, autentikace a pidlování systémových prostedk. Základem tchto funkcí je centralizovaná správa uživatelských út i profil. Uživatelské úty se spravují v databázi nkde na serveru. Když se nov píchozí uživatel pokusí o pipojení ke GPRS síti, pístupové aktivní prvky sít se dotazují autentikaních server, co mají s uživatelem dlat zda ho mají vpustit dál a kam vlastn, jakou má dostat IP adresu a nameservery apod. GPRS je hybridní systém, na pl cesty mezi GSM sítí a IP páteí. Podle toho vypadá skladba adresáových server všeho druhu, které se v síti vyskytují. Jedná se pinejmenším o tyto: - HLR jde o základní registr uživatel v GSM síti, nov s GPRS rozšíeními. Uživatel je identifikován a typicky také autentikován IMSI kódem SIM karty, ke kterému HLR server drží 1:1 íslo volajícího (též MSISDN). IMSI kód je považován za dvrnou informaci, není nikde navenek prezentován - aby se ztížilo jeho kopírování a pípadné zneužití. Díky GPRS rozšíením umí HLR server resolvovat APN jména, základní oprávnní uživatele ohledn pístupu k APN a pípadn i statickou IP adresu uživatele (tím ovšem s IP koní). Obrací se na nj mj. SGSN brána s dotazem, na kterou GGSN bránu se má smrovat hovor. Jinak eeno, když si necháváme u operátora povolit GPRS pro konkrétní SIM kartu, propadne tato informace skrz klikací zákaznickou databázi až do technologické konfiguraní databáze HLR serveru. - RADIUS jde o protokol pro centrální ovování uživatelských hesel, pidlování IP adres, smrování L2TP tunel apod. v IP sítích. Umožuje centralizovanou správu uživatelských út na jednom serveru, který ídí velký poet pístupových smrova. Výrazn snižuje asovou náronost konfigurace a správy smrova (oproti hypotetickému scénái, kdy je teba konfigurovat uživatelské úty pímo na smrovaích). Jde o otevený standard vyvinutý lidmi od firmy Livingston (svého asu slavný výrobce smrova), výrazn podporovaný a používaný firmou Cisco, ale nap. i Microsoftem. Je prakticky všudypítomný na velkokapacitních dial-in polích pipojených do JTS na této pozici jsou masivn nasazovány pístupové smrovae Cisco. S Radiusem se tedy v GPRS síti budou bavit pedevším smrovae Cisco, tj. prakticky výhradn GGSN (konfigurace Firewallu nebude mít mnoho dynamických prvk). - DHCP, (D)DNS a pípadn další. Kompetence HLR a Radiusu se na první pohled pekrývají a napíklad GGSN se baví s obma. Celá vc by se teoreticky dala zaídit výhradn s použitím HLR (bez Radiusu). Nkteré zdroje ovšem uvádjí, že prakticky se Radius používá pinejmenším pro pidlování IP adresy. Další podrobnosti se ovšem budou u rzných operátor lišit a v pípad problém je z pozice outsidera tžké íci, pro to nechodí a kde se stala chyba - díky dvojitému relayi L2 pod prvním IP hopem a díky nemožnosti debugovat z pozice koncového uživatele rádiové rozhraní mobilního telefonu. Pak nezbývá než zkoušet kombinovat rzné operátory / mobilní telefony / PPP stacky a zjišovat, co s ím funguje.

8 V klasických dial-up systémech, jejichž klientskou ástí je typicky PPP, se k identifikaci a autentikaci používá striktn uživatelské jméno a heslo, v extrémním pípad ješt radiusový realm (ást loginu ped zavináem - v systémech s distribuovaným Radiusem). Tuzemští operátoi jméno a heslo nepoužívají. Autor má pouze nepímé indicie, že jde možná o platné/použitelné autentikaní atributy uživatelského profilu na HLR. Pinejmenším mobilní telefony a GSM modemy si typicky v rámci LCP dohodnou PAP nebo CHAP a následn ho vi klientovi uplatní. Což je s prázdným jménem a heslem mimochodem možná lehce nekorektní. Dále na GSM modemech Maestro 100 TCP/IP existují promnné prostedí pro autonomní TCP/IP režim, které jsou nazvány APN User Name a APN Password. Tžko íci, zda se nap. jméno a heslo dostane pes dvojitý relay až na GGSN (a teba do Radiusu). Veterána telefonického pipojení proto první setkání s tuzemským GPRS lehce šokuje i zhnusí jméno a heslo jsou ponechána prázdná, jako jediný identifikaní a autentikaní token je pijata SIM karta a well-known jméno APN, které je nota bene do telefonu zadáno po startu, pípadn se natrvalo zadává do custom settings v pipojeném poítai. Takhle pece nevypadá zabezpeený pístup do sít... Dokumentace Cisco mluví o tom, že krom výše popsaného klasického IP režimu s dvma relayi (v rámci PLMN) je novjšími GPRS standardy zakotven také režim s transportem PPP až na GGSN. Odpovídá tomu mimochodem první argument standardního modemového píkazu AT+CGDCONT, kterým je klasicky IP a alternativn PPP (následuje APN jméno). Cisco tento PPP režim podporuje a používá ho ke svým oblíbeným Radiusovým kejklím klasickým artistickým kouskem je distribuovaný Radius s realmy a podle nj navazovaný L2TP tunel na firewall zákazníka. S píchodem VPN-over-APN to na první pohled mírn postrádá smysl, ale nedotažená autentikace do APN mže být pro nkoho dost dobrým dvodem. Klasický IP režim se dvma retranslacemi Alternativní režim PPP over GTP V pípad, že istý PPP režim není k dispozici, umí si Cisco GGSN také regenerovat PPP z IP/GTP tunelu a výsledek forwardovat pes L2TP. Také je možné per-vrf nastavení Radiusových server (takže nejsou poteba realmy a Radius bží po vnitní síti). V obojím pípad je výsledek ten, že se zamstnanec firmy dostane pomocí APN Name do konkrétní VPNky a další speciality na stran IP nadiktuje Radius server pímo spravovaný zákazníkem. Po pravd eeno, distribuovaný Radius mezi firmami je prakticky dost utopie, nebo pinejmenším hraka extrémn nároná na koordinaci mezi partnery (zde mezi GSM operátorem a velkým zákazníkem) ale když se ho povede politicky prosadit a spolenými technickými silami nakonfigurovat, funguje moc hezky.

9 Ostatn end-to-end PPP režim v GPRS se prakticky také nepoužívá operátoi ho obvykle nemají nakonfigurovaný. Cisco dále samozejm podporuje DHCP a DDNS prakticky se ovšem DHCP na internetových a GSM páteích píliš nepoužívá, protože všechno potebné je pedáno pomocí PPP. Lze shrnout, že GPRS nezklamalo jakožto bod stetu mezi GSM a IP. Nkteré autentikaní funkce jsou zdánliv nebo i fakticky duplicitní. Cisco jakožto výrobce GGSN má na svou ást koláe vlastní názor (jako obvykle) a rádo by do této oblasti propašovalo co nejvíce svých osvdených access trik. Hlavní pekážkou je mu zejm neochota správc GGSN provtrávat za každou cenu všechny pentliky, které Cisco umí. Nkdy možná i na úkor bezpenosti. Roaming Základem roamingu jak v GSM tak v GPRS je celosvtov unikátní identifikace koncového uživatele (SIM karty) a distribuované zpracování autentikaních transakcí, které pochopiteln funguje jedin za pedpokladu vzájemného propojení GSM sítí. IMSI kód (identifikátor SIM karty) má pesn danou strukturu, která obsahuje údaj o zemi a operátorovi, kde byla SIM karta vydána. Na základ tchto údaj dotazovaný místní VLR server získá autoritativní autentikaní informace z domovského (HLR) serveru daného roamujícího úastníka. V rámci GPRS existuje možnost smrovat / relayovat GTP tunely na GGSN v cizí GPRS pátei. Z toho plyne, že GPRS pátee musí být vzájemn propojeny. A o tom je GPRS roaming. V této souvislosti je na míst poznámka o atributu APN Name. Zdá se, že se nejedná tak docela o tupý jednoslovný etzcový identifikátor. Nkteré zdroje uvádjí, že APN jména jsou resolvována interním/privátním DNS systémem v GPRS pátei. Tím dostává nový smysl zdánliv pihlouplá konvence operátor dávat APNkám jména jakoby z DNS, která ovšem ve veejném DNS neexistují. Zmínný smysl je v tom, že APN jména tak mohou být bez problém celosvtov unikátní a lze je také distribuovan resolvovat, což je užitené pi GPRS roamingu. Používání domén již registrovaných ve veejném DNS odstrauje velkou ást potenciáln duplicitní byrokracie a právních zádrhel spojených s registrací doménových jmen zstává pouze správa koenových server privátního jmenného prostoru a administrativa kolem pípadné delegace TLD a 2nd-level domén. Krom toho jsou veejn známé domény operátor pro zákazníky mnemotechnicky velmi dobe pochopitelné a odstraní se tak spousta peklep pi konfiguraci koncových zaízení (=> helpdesku ubyde spousta práce). Autor bohužel v tuto chvíli netuší, zda skuten existuje celosvtový systém GPRS DNS, nebo zda si ho pouze intern zavedli nkteí mezinárodní operátoi i aliance roamujících operátor, nebo zda je to od základu blábol. Pokud by skuten existovala souvislost mezi pseudo-doménovými APN jmény a GPRS roamingem, nco by to naznaovalo nap. o schopnostech GPRS roamingu u rzných operátor viz. Oskarovo APN ointernet versus T-mobilí internet.t-mobile.cz.

10 Praktické zádrhele GPRS Blues o dlouhém pingu Nevýhodou per-packet pidlování pásma je vyšší a nepravidelná doba odezvy => horší interaktivní odezva a nižší reálná prchodnost. Nejlepší dosažitelnou dobou odezvy (ping round trip) je asi 500 ms, ale pomrn bžné jsou hodnoty až do 1 s (bez zátže). Nízká kapacita, pirozen vysoká a kolísavá doba odezvy oba tyto faktory mají neblahý vliv na chování TCP flow control. Jinak eeno, reálná rychlost downloadu nemusí zcela odpovídat jmenovité maximální bitové rychlosti použitých zaízení. Registrace do GPRS sít: jen na popud koncového zaízení A už IP stack bží na koncovém poítai nebo pímo na mobilním telefonu, platí obvykle zásada, že registraci do GPRS sít (tzv. sestavení PDP kontextu ) musí vyvolat koncové úastnické zaízení. Nové verze GGSN softwaru Cisco podporují i obrácený smr, tj. registraci konkrétního koncového zaízení na žádost GGSN (ekvivalent dial-outu z pístupového smrovae) taková vc se ale musí konfigurovat pro konkrétní SIM kartu a statickou IP adresu natvrdo na GGSN (tj. nejde to pes Radius i HLR) a krom toho patrn neexistuje mnoho koncových zaízení, která by tuto variantu podporovala. Na rozdíl od tradiních telefonních modem, které byly v zásad peer-to-peer, komunikace pes GPRS je od základu jaksi asymetrická. Seteno a podtrženo, pipojit koncové zaízení do GPRS sít lze jedin na popud tohoto koncového zaízení. Z toho plyne, že na koncové zaízení se dá zvení z internetu dostat jedin v pípad, že se naped samo aktivn pihlásí do GPRS sít. Pouení pro prmyslové aplikace zní: pokud mají být koncová zaízení kdykoli dostupná zvení, musí se ihned po zapnutí automaticky pihlásit do GPRS sít. Pístup do internetu: ano, ale pouze pes NAT Aneb statická veejná IP adresa pouze za další peníze. GSM operátoi pidlují GPRS adresy pro pístup na veejný internet dynamicky a pedevším z privátních pool (dle RFC1918), takže na rozhraní mezi operátorovou IP páteí a veejným internetem je NAT. Z toho plyne, že na IP zaízení pipojené pes GPRS se nedá dostat z veejného internetu navenek je vidt pouze venkovní adresa firewallu, která se používá pro NAT. Což je v prmyslových aplikacích (typicky dálkové ovládání i sledování) obvykle pekážka. Pokud potebujeme ovládat koncová zaízení ze serveru nkde v internetu, existuje nkolik ešení: a) bu se musí koncová zaízení pravideln dotazovat serveru na instrukce, pípadn ihned po zapnutí spustit GPRS a navázat na server trvalé TCP spojení (pak už zaízení mže fungovat jako slave). b) nebo je teba u operátora objednat statickou veejnou IP adresu (jedná se typicky o placenou doplkovou službu) c) nebo lze koncová zaízení osahávat také pes GPRS modem, pipojený k témuž operátorovi. V rámci privátn íslované IP pátee operátora by ml fungovat pímý pístup. Nevýhodou je, že už tak dost dlouhá odezva rádiového segmentu GPRS se rázem zdvojnásobí.

11 Paketový provoz, ale stále point-to-point. Kontrolní otázka: Když mám vedle sebe na stole dva notebooky a dva telefony pipojené ke GPRS a pingám z jednoho na druhý, kam až pakety generované pingem cestují? Mezi mobily, na BTSku, na MSC, na SGSN, nebo na GGSN? Odpov: pakety se obracejí na cestu zpt na GGSN. Dvod: teprve GGSN je první IP hop. Což ovšem neteba považovat v jakémkoli smyslu za problém. Literatura - odkazy Cisco GGSN introduction GPRS White paper (obchodnické, povrchní - složité obrázky bez vysvtlení) 5.shtml Configuration Information for GGSN c5df2.html Configuring PPP support on the Cisco GGSN d.html#93211 GSM & GPRS prezentace Slovníek zkratek Zkratka APN Význam Access Point Name (nikoli Access Point Network). Jde o termín ze žargonu GPRS. Access Point je pístupový bod do sít operátora v pípad IP tedy pístupový bod do IP sít. Parametr APN je jménem pístupového bodu, jeho unikátním identifikátorem v síti konkrétního operátora. Jinak eeno, jde o jméno sít, do které chceme pipojit náš mobilní telefon.

12 BSC BTS BSS GTP HLR IMSI IMEI MPLS MS MSC Base Station Controller ídící jednotka nkolika základnových stanic (BTS) Base Transceiver Station základnová stanice rádiového segmentu Base Station System = BSC + nx BTS (ídící jednotka + nkolik základnových stanic) GPRS Tunneling Protocol svého druhu IP over IP tunel (pop. PPP over IP) Home Location Register adresáový server pro remote autentikaci v síti GSM (a GPRS komunikuje s ním hlavn SGSN, ale také GGSN). Nabízí se srovnání s autoritativním DNS serverem. International Mobile Subscriber Identifier identifikaní íslo SIM karty. Používá se jako interní primární identifikátor uživatele v GSM síti. Není totožné se sériovým íslem SIM karty. HLR server vydávajícího operátora drží jeho vazbu 1:1 na konkrétní úastnické telefonní íslo (MSISDN). International Mobile Equipment Identifier identifikaní íslo mobilního telefonu (aparátu) nezávislé na SIM kart. MultiProtocol Label Switching švýcarský armádní nž moderních IP páteí. MPLS mechanismus umožuje pvodn v zásad automatizovanou agregaci tok v pátení síti, jejich znaení tzv. MPLS tagem nebo labelem a zjednodušené akcelerované switchování podle tohoto tagu, namísto náronjšího routingu podle cílové IP adresy. Na tuto základní myšlenku se ovšem postupem asu nabalila spousta sousedních technologií, jako je QoS, symbióza s ATM signalizací, transport všeho možného over MPLS, a také MPLS VPN. Mobile Station - koncové GSM zaízení, tj. mobilní telefon nebo GSM modem. Mobile Switching Center ústedna obsluhující vyšší územní segment GSM sít. Smruje/pepojuje hovory uvnit sít a funguje též jako gateway mezi GSM sítí a JTS. Sí konkrétního operátora se skládá typicky z nkolika MSC. MSISDN Mobile Station ISDN number - mezinárodní telefonní íslo úastníka v jednotném formátu E.164. HLR server vydávajícího operátora ho váže 1:1 na IMSI konkrétní SIM karty. PLMN Public Land Mobile Network GSM a GPRS pátee RADIUS Remote Authentication Dial-in User Service protokol pro centrální autentikaci, autorizaci a accounting. RAN VLR VRF Radio Area Network rádiový segment (pop. i pevná GSM infrastruktura) Visitor Location Register pomocný/podízený registr autentikaních údaj. Vyizuje autentikaní transakce (tj. dotazuje se HLR server), zvládá distribuovanou autentikaci mezi operátory (pi roamingu), funguje také jako cache udržuje po omezenou dobu autentikaní údaje návštvník. Nabízí se srovnání s neautoritativním DNS serverem. Virtual Routing and Forwarding. VRF instance je virtuální smrova, nakonfigurovaný v operaním systému fyzického smrovae (jde patrn o specialitu firmy Cisco a jejího softwaru IOS)

13 Píloha pvodní obrázky Pro poádek následují pvodní, nezjednodušené obrázky GPRS stack od firmy Cisco. Tytéž diagramy lze najít i v jiných zdrojích, zajisté pedevším ve standardizaních dokumentech GSM. Cisco ostatn uvádí u obrázk jako zdroj ETSI. GSM vrstvy pod GPRS rádiový a pevný segment GSM sít Vrstvy GPRS spojení od mobilního telefonu po GGSN bránu

14 Tradiní IP režim se dvma retranslacemi PPP je pouze mezi PC a mobilem Režim PPP-over-GTP PPP je transportováno z PC až na GGSN

15 Další schematický obrázek GPRS sít od fy. Cisco