近日,有一则这样的提问:
通过有线上网(含无线路由器终端),ip地址都会分配当地的ip资源,也就可以通过ip地址反推终端的地理位置。但是我发现通过手机数据流量上网,即使是在异地,也会分配手机卡归属地的ip地址。比如手机卡归属地是北京,到了山东之后连接数据流量,这时候的ip地址还会是北京的ip。按照我的理解,在山东联网,终端连接山东的基站,那么分配的ip也应该是山东的。出现这样“异常”的情况,其中的原因是什么?也许问题标题和描述不太专业不太清晰,也请专业人士予以修改。
正文
在此分享一点看法。
无论手机漫游到天涯海角,手机漫游所在地的SGSN根据手机号码,可以查询到手机的归属地,还可以查询到该归属地的GGSN的IP地址,然后使用GTP(GPRS Tunnel Protocol)在漫游地与归属地建立一个GTP隧道,如下所示:
漫游地SGSN<------- GTP隧道------ > 归属地GGSN
漫游地把该手机所有的数据流量统统使用该GTP隧道,流到归属地的GGSN,归属地再剥离掉GTP隧道头,得到用户的报文,再做进一步的处理:
(1) 如果是手机请求分配IP地址等参数,GGSN将IP地址等参数返回给手机用户,通过GTP隧道传输
(2) 如果是访问互联网的流量,GGSN完成NAT,将用户流量发送到Internet
这样做的好处是,所有用户的数据流量都经过归属地的计费系统,方便统一计费。
否则,题主北京的手机卡,跑到山东,山东出一张账单,跑到海南,再出一张账单。。。麻烦哇?而统一计费则非常方便,再把漫游流量单独显示出来。
所以无论是开机漫游到外地,还是到外地重新开机,手机获得的IP都是归属地的IP地址。访问Internet显示的也是归属地GGSN的公网IP池子里的一个IP地址。显然,通过隧道将用户流量传输到归属地,可能会增加端到端访问的延迟。
有同学评论说,手机也有使用漫游地的IP地址上网的。对,是有这种模式,漫游地的GGSN分配IP地址,用户的上网由漫游地的GGSN做NAT,然后将流量发到Internet。
很显然,这种模式最大的弊端是,当用户漫游到国外时,归属地国家安全审计部门无法对流量进行审查,因为手机流量不会回流到归属地国家的过滤**。
全隧道模式(Full Tunnel Mode)
手机使用归属地IP上网,和全隧道模式远程访问很相似。比如一个公司出差的员工,有出差到欧洲的、也有美洲的,但这些用户都是先远程拨入位于上海的总公司安全**,然后员工的电脑与安全**之间建立安全隧道,用户访问的所有流量,包括访问公司内部资源、访问Internet都走安全隧道到达上海公司安全**,然后再进一步处理。那么这些员工在Internet上的IP地址,全部显示的是上海**的IP地址,无论他们移动到哪里。
全隧道模式,对于企业安全管理来说,是最理想的方案。出差用户访问Internet的流量都会流经公司防火墙,防火墙可以对报文进行1-7层的检查,会把报文中潜在的恶意代码过滤出来,这样保护用户电脑的安全,也是保护公司网络的安全。
隧道分割模式(Split Tunnel Mode)
手机用户使用漫游地IP上网,和隧道分割模式远程访问相似。隧道分割大体有两种流量:
(1) 访问公司内部资源
需要使用隧道传输到公司**
(2)访问Internet
可以直接使用当地分配的IP地址访问互联网,流量不回流公司,在Internet上 显示的IP地址,自然是漫游地IP地址。
这种模式用户需要自己做安全防护,这样每一个*露在Internet上的员工都是一个潜在的安全隐患,安全风险更大。
注:本文转载自车小胖谈网络微信公众号;文内观点仅供参考。
埃文科技——网络空间地图测绘领域技术专家,提供最全面、最精准的网络空间地图服务。
公司成立于2012年,专注于网络空间、地理空间和社会空间的相互映射,绘制三位一体的网络空间地图,对网络空间资源的静态属性和动态变化情况进行探测。拥有19项软件著作权及10项发明专利。