Выделенный APN/Мобильный VPN
Типы услуги Выделенный APN
ISO APN. Сеть с APN типа ISO представляет собой изолированную группу SIM-карт. Доступ к внешним серверам и извне к устройствам
Кейс службы охраны- Все устройства охраны должны из разных мест стабильно и безопасно передавать сигналы на центральный сервер.
Кейс службы лифтового хозяйства Все лифты должны из разных мест стабильно и безопасно передавать сигналы на центральный сервер
1.06M
Категория: ИнтернетИнтернет
Похожие презентации:
Протоколы защищенных каналов. Канальный уровень
Протоколы защищенных каналов. Канальный уровень
Защита межфилиальной связи. Лекция 10
Защита межфилиальной связи. Лекция 10
Принципы организации VPN
Принципы организации VPN
Маршрутизаторы
Маршрутизаторы
VPN. Виртуальные частные сети
VPN. Виртуальные частные сети
Телеметрия. Определение сервиса
Телеметрия. Определение сервиса
VPN (Virtual Private Network) – виртуальная частная сеть
VPN (Virtual Private Network) – виртуальная частная сеть
Защита информации в компьютерных сетях
Защита информации в компьютерных сетях
Виртуальные частные сети VPN. (Лекция 7)
Виртуальные частные сети VPN. (Лекция 7)
VPN. Виртуальные частные сети
VPN. Виртуальные частные сети

Выделенный APN Презентация

1. Выделенный APN/Мобильный VPN

2. Типы услуги Выделенный APN

2
Типы услуги Выделенный APN
ISO — Изолированная сеть.
ACL — Сеть с доступом на ограниченный список IP адресов
GRE — Виртуальный частный туннель между сетью оператора и оборудованием клиента.
GRE + IPsec — GRE туннель с шифрованием
Физический стык — Прямое физическое соединение между сетью оператора и сервером клиента
Ниже разберем типы APN на примере APN OOO «Ромашка»- romashka.t2.ru
Блокировки сети и APN
Блокировкам со стороны контролирующих органов подвержены все сим-карты с доступом в публичный интернет
(без учета блокировок РЭБ и полного отключения интернета, частот, диапазонов)
Поэтому использование Выделенного APN без доступа в публичный интернет (доступ только до сервера клиента)
может решить эту проблему для клиента.
Не блокируются APN с закрытым доступом в публичный интернет типов- ISO, GRE, GRE + Ipsec, с Физическим
стыком
Блокируется- APN с ACL

3. ISO APN. Сеть с APN типа ISO представляет собой изолированную группу SIM-карт. Доступ к внешним серверам и извне к устройствам

3
ISO APN. Сеть с APN типа ISO представляет собой изолированную группу SIM-карт. Доступ к внешним серверам и
извне к устройствам сети возможен исключительно через шлюз (роутер/модем), также использующий SIM-карту из
этого пула.
Публичный
интернет
Вариант 1
Закрытая APN
сеть
Romashka.t2.ru
Публичный
интернет
Закрытая APN
сеть
Romashka.t2.ru
Зона ответственности
T2
Вариант 2
Сервер
клиента
Зона ответственности
клиента

4. Кейс службы охраны- Все устройства охраны должны из разных мест стабильно и безопасно передавать сигналы на центральный сервер.

Кейс службы охраныВсе устройства охраны должны из разных мест стабильно и безопасно передавать сигналы на центральный сервер.
Как это решить через подключение ISO APN.
1.В диспетчерской устанавливается роутер с
основной SIM-картой. Тариф на сим-карте
выбирается исходя из того, что через нее
пройдет весь трафик клиента с других сим.
Закрытая APN сеть
ohrana.t2.ru
10.25.23.191
2.Эта сим-карта также имеет свой
статический серый IP.
3.Все остальные приборы охраны знают этот
адрес и отправляют данные напрямую к
нему по защищённому каналу связи.
10.25.23.192
10.25.23.193
10.25.23.196
10.25.23.19
Сервер
диспетчерской
клиента
4.Результат: надёжное соединение между
сервером и удалёнными устройствами,
которое не блокируется при общих
блокировках
ISO APN подходит для небольших сетей с небольшим количеством трафика. Пропускная
способность ограничена одной сим-картой и возможностями роутера.
4

5.

APN ACL. Access Control List (список управления доступом).
ACL —ограниченный список IP адресов для данной APN на которые сим-карта имеет доступ.
Требуется для закрытых сетей, которые отправляют данные на облачные сервисы, фиксированные IP адреса
оборудования, при необходимости ограничения на работу сим только с одним приложением и тд..
Эта сеть не попадает под категорию «без доступа в публичный интернет», так как IP адреса на которые APN
имеет доступ- публичные. Поэтому такой тип APN блокируется при блокировках
Публичный
интернет
Закрытая APN
сеть
Romashka.t2.ru
Список доступных IP адресов:
IP адрес сервера (оборудования клиента)
IP адрес сайта
IP адрес WEB облака…
5

6.

6
APN с GRE-туннелем создает прямое соединение между операторской сетью и сервером клиента. Весь
трафик от SIM-карт передается по выделенному каналу, обеспечивая прямое сетевое подключение.
IPsec поверх GRE добавит шифрование, обеспечивая конфиденциальность и целостность данных в туннеле.
Публичный
интернет
Закрытая APN
сеть
Romashka.t2.ru
ПримерРоутер MIKROTIK
RB4011iGS+RM,
VPN Туннель (GRE, GRE +Ipsec)
GPRS комплекс
T2
Сервер клиента
Маршрутизатор
клиента
Зона ответственности
T2
Зона ответственности
клиента

7. Кейс службы лифтового хозяйства Все лифты должны из разных мест стабильно и безопасно передавать сигналы на центральный сервер

(диспетчерская). Как это решить через подключение APN с GRE туннелем.
1. В диспетчерской должен быть маршрутизатор который поддерживает
создание/принятие GRE туннеля
10.25.23.191
Закрытая APN сеть
lift.t2.ru
2. Мы «прокладываем» виртуальный туннель через наше оборудование до
маршрутизатора клиента. Сообщаем клиенту его параметры и клиент
прописывая их принимает GRE туннель.
3. Все лифты через APN с GRE туннелем отправляют свои данные через этот
туннель до оборудования клиента.
10.25.23.192
10.25.23.196
10.25.23.19
4. Данный канал не блокируется во время блокировок публичного интернета.
VPN Туннель
(GRE, GRE +Ipsec)
GPRS комплекс
T2
Маршрутизатор
клиента
Сервер
диспетчерской
клиента
7

8.

APN с физическим стыком — это прямое подключение нашей сети к сети клиента
через выделенный кабель (линию).
Публичный
интернет
Закрытая APN
сеть
Romashka.t2.ru
Фиксированный канал связи
GPRS комплекс
T2
Сервер клиента
Маршрутизатор
клиента
Зона ответственности
T2
Зона ответственности
клиента
8

9.

Популярные вопросы по опросному листу
Динамические IP-адреса
Адреса выдаются из пула динамически, меняются каждую сессию.
Статические IP-адреса
Назначаются при подключении услуги на SIM-карту, закрепляется за сим-картой на все
время работы услуги.
LNS- оборудование которое отвечает за распределение внутренних IP адресов.
Наличие LNS заказчика (L2TP) Дорогостоящее оборудование, в основном свое есть у операторов связи. Для большей
части клиентов с APN LNS на стороне T2.
IP адрес хоста (сервера)
Белый фиксированный IP адрес на оборудовании клиента до которого будет проложен
туннель.
IP стыковочных подсетей
(Со стороны Оператора два
LNS)
Помимо публичного IP, для настройки IP связности нужны внутренние IP на стороне
Клиента и оператора, поэтому мы просим еще клиента выделить сеть для стыка /30 (из
приватного диапазона).
IP адрес хоста,
доступный для icmp
IP хоста на стороне корпоративной сети клиента, например сервер, требуется для проверки
прохождения пакетов внутри тоннеля
Рекомендации если клиенту
необходим трафик на свой
внешний публичный IP
Владелец технологической сети (Клиент, не Оператор Связи) должен самостоятельно
зарегистрироваться на портале заявителя Роскомнадзора
https://service.rkn.gov.ru/monitoring/vts и внести данные об используемых IP-адресах.
9
English     Русский Правила