دليل تشغيل OmniEPDG
OmniEPDG هو بوابة بيانات حزم متطورة (ePDG) تمكّن من إجراء مكالمات صوتية عبر WiFi (VoWiFi). يقوم بمصادقة المشتركين عبر الشبكات اللاسلكية غير الموثوقة باستخدام EAP-AKA، ويربطهم بشبكة النواة المحمولة عبر إشارات Diameter إلى HSS وأنفاق GTP إلى بوابة البيانات (PGW).
لوحة التحكم الخاصة بـ OmniEPDG تعرض جلسة مشترك نشطة مع إحصائيات حركة المرور في الوقت الحقيقي.
يدعم OmniEPDG وضعين تشغيليين:
- وضع GTP (افتراضي) - نفق كامل متوافق مع 3GPP عبر PGW عبر GTPv2-C و GTP-U
- وضع VPN بسيط - انقطاع محلي مع مجموعة IP مدمجة وواجهة Linux TUN، لا حاجة لـ PGW
الوثائق
التكوين والعمليات
- العمارة وتدفقات المكالمات - عمارة النظام، واجهات البروتوكول، آلات حالة UE، ومخططات تسلسل الرسائل لكلا الوضعين
- مرجع التكوين - وثائق كاملة للمعلمات لـ Diameter و GTPv2-C و GTP-U و VPN البسيط والتسجيل
- لوحة التحكم - واجهة مراقبة قائمة على الويب للجلسات، ونظراء Diameter، والسجلات
الأمان
- دليل الأمان - تحديد معدل المصادقة وحظر الدول باستخدام GeoIP
المراقبة واستكشاف الأخطاء وإصلاحها
- مرجع المقاييس - مقاييس Prometheus لمراقبة المصادقة، والجلسات، وإشارات Diameter، وصحة النظام
- استكشاف الأخطاء - مشكلات شائعة، وإجراءات تشخيصية، وخطوات الحل
الأوضاع التشغيلية
وضع GTP
الوضع الافتراضي. يقوم OmniEPDG بنفق جميع حركة مرور المشتركين عبر PGW باستخدام GTPv2-C للتحكم في الجلسات و GTP-U (عبر وحدة نواة Linux) لطبقة المستخدم. هذا متوافق تمامًا مع 3GPP ومناسب لنشر شركات الاتصالات مع بنية EPC الحالية.
مسار الحركة: UE → IPSec → OmniEPDG → GTPv2-C إنشاء جلسة → نفق GTP-U → PGW → الإنترنت
ا��بنية التحتية المطلوبة: HSS، PGW
وضع VPN بسيط
يقوم OmniEPDG بتخصيص عناوين IP من مجموعة محلية ويوجه حركة مرور المشتركين مباشرة عبر واجهة Linux TUN (tun_epdg) باستخدام توجيه النواة القياسي. لا حاجة لـ PGW أو بنية GTP. لا تزال المصادقة تحدث عبر Diameter SWx إلى HSS.
مسار الحركة: UE → IPSec → OmniEPDG → تخصيص IP محلي → واجهة TUN → توجيه Linux → الإنترنت
البنية التحتية المطلوبة: HSS فقط (لا حاجة لـ PGW)
تحسين اختياري: علم skip_sar يتجاوز طلب/إجابة تعيين الخادم HSS، مما يقلل من وقت إعداد الاتصال. وهذا يعني أن HSS لن تتعقب أي ePDG تخدم المشترك، وإجراءات HSS المبدوءة (إلغاء التسجيل، دفع الملف الشخصي) لن تعمل. مناسب للنشر الخاص دون متطلبات التجوال.
مقارنة الأوضاع
| القدرة | وضع GTP | وضع VPN بسيط |
|---|---|---|
| متوافق مع 3GPP | نعم | لا (مع skip_sar)، جزئي (بدون) |
| مطلوب PGW | نعم | لا |
| مطلوب HSS | نعم | نعم (للمصادقة فقط) |
| تخصيص IP | من PGW | مجموعة محلية (CIDR) |
| طبقة المستخدم | وحدة GTP-U لنواة Linux | Linux TUN + توجيه |
| دفع الملف الشخصي HSS | نعم (PPR/PPA) | لا |
| إلغاء تسجيل HSS | نعم (RTR/RTA) | لا (مع skip_sar) |
| إنهاء مبدوء من PGW | نعم | غير متاح |
| دعم التجوال | نعم | لا |
| IPv6 / دعم مزدوج | نعم | IPv4 فقط |
واجهات البروتوكول
| الواجهة | البروتوكول | النقل | الوضع | النظير | الغرض | المرجع |
|---|---|---|---|---|---|---|
| SWu | IKEv2 / IPSec | UDP | كلاهما | UE | نفق آمن ومصادقة EAP-AKA | 3GPP TS 33.402 |
| SWx | Diameter | SCTP | كلاهما | HSS | متجهات المصادقة وتعيين الخادم | 3GPP TS 29.273 القسم 8 |
| S6b | Diameter | SCTP | GTP فقط | PGW | تفويض الجلسة والسياسة | 3GPP TS 29.273 القسم 9 |
| S2b | GTPv2-C / GTP-U | UDP | GTP فقط | PGW | التحكم في النفق وطبقة المستخدم | 3GPP TS 29.274 |
الميزات
الوظائف الأساسية
- مصادقة EAP-AKA - مصادقة كاملة لمشتركي 3GPP عبر HSS
- إدارة نفق IPSec - نفق آمن قائم على IKEv2 بين UE و ePDG
- وضعين تشغيليين مزدوجين - نفق GTP إلى PGW أو انقطاع محلي مع VPN بسيط
- آلات حالة لكل UE - FSM Erlang مستقلة لكل مشترك لإدارة دورة حياة الجلسة
- دعم مزدوج للطبقات - IPv4 و IPv6 وأنواع عناوين PDP IPv4v6 (وضع GTP)
ميزات وضع GTP
- إنشاء نفق GTP - إنشاء جلسة GTPv2-C وطبقة مستخدم GTP-U عبر وحدة نواة Linux
- إنهاء مبدوء من PGW - يرسل PGW طلب حذف الحامل، ePDG يقوم بإنهاء الجلسة إلى UE
- إنهاء مبدوء من الشبكة - يقوم HSS بتحفيز إلغاء التسجيل عبر SWx RTR، ePDG يقوم بإنهاء جميع الجلسات
- إعادة المصادقة - دفع الملف الشخصي المبدوء من HSS وإعادة التفويض لكل 3GPP TS 29.273 القسم 7.1.2.5.1
ميزات وضع VPN بسيط
- مجموعة IP محلية - تخصي�� عنوان IPv4 قائم على CIDR مع تتبع لكل IMSI
- توجيه واجهة TUN - جهاز TUN قياسي لـ Linux (
tun_epdg) مع طرق مضيف لكل UE - تكوين DNS - خوادم DNS قابلة للتكوين مقدمة إلى UEs عبر PCO
- تجاوز SAR اختياري - تجاوز تسجيل HSS لإعداد اتصال أسرع
ميزات الأمان
- تحديد معدل المصادقة - حماية من هجمات القوة الغاشمة لكل IP و IMSI مع عتبات قابلة للتكوين
- حظر الدول باستخدام GeoIP - التحكم في الوصول القائم على الدول باستخدام MaxMind GeoLite2
- كشف الأقران الميتة - مراقبة حيوية نشطة مع استقصاءات قابلة للتكوين
- حماية ضد إعادة التشغيل ESP - نافذة انزلاق 64 بت متوافقة مع RFC 4303
تكامل HSS (SWx Diameter)
- طلب/إجابة المصادقة متعددة الوسائط (MAR/MAA) - استرجاع متجهات المصادقة EAP-AKA (كلا الوضعين)
- طلب/إجابة تعيين الخادم (SAR/SAA) - تنزيل ملف تعريف المشترك وتكوين APN (يمكن تخطيه في الوضع البسيط)
- طلب/إجابة دفع الملف ال��خصي (PPR/PPA) - استلام ملفات تعريف المشتركين المحدثة من HSS (وضع GTP)
- طلب/إجابة إنهاء التسجيل (RTR/RTA) - إلغاء تسجيل المشترك المبدوء من HSS (وضع GTP)
تكامل PGW (وضع GTP فقط)
Diameter S6b:
- طلب/إجابة AA (AAR/AAA) - تفويض جلسات PGW
- طلب/إجابة إنهاء الجلسة (STR/STA) - إنهاء جلسات PGW
- طلب/إجابة إعادة التفويض (RAR/RAA) - إعادة تفويض الجلسات النشطة
- طلب/إجابة إنهاء الجلسة (ASR/ASA) - إنهاء الجلسات بالقوة
GTPv2-C S2b:
- طلب/استجابة إنشاء جلسة - إنشاء أنفاق GTP مع تخصيص TEID
- طلب/استجابة حذف الجلسة - إنهاء أنفاق GTP
- طلب/استجابة حذف الحامل - إدارة الحامل المبدوء من PGW
البدء السريع
هيكل التكوين
يتم التكو��ن في config/runtime.exs أو عبر متغيرات البيئة. يحدد معلمة vpn_mode بين أوضاع GTP و VPN البسيط. انظر مرجع التكوين لوثائق المعلمات الكاملة.
العناوين الشبكية النموذجية (وضع GTP)
| المكون | عنوان IP | المنفذ | الملاحظات |
|---|---|---|---|
| OmniEPDG (GTP-U) | 10.74.0.11 | - | نقطة نهاية نفق GTP-U |
| OmniEPDG (Diameter S6b) | 10.74.0.12 | 3868 | مستمع Diameter S6b |
| HSS | 10.74.0.21 | 3868 | نظير Diameter SWx |
| PGW | 10.74.0.23 | 2123 | نظير GTPv2-C و S6b |
العناوين الشبكية النموذجية (وضع VPN بسيط)
| المكون | عنوان IP | الملاحظات |
|---|---|---|
| OmniEPDG (بوابة TUN) | 10.44.0.1 | عنوان البوابة على واجهة tun_epdg |
| مجموعة IP لـ UE | 10.45.0.0/16 | مجموعة CIDR قابلة للتكوين لعناوين المشتركين |
| HSS | 10.74.0.21:3868 | نظير Diameter SWx (للمصادقة فقط) |
مواصفات 3GPP
| المواصفة | العنوان | الأهمية |
|---|---|---|
| TS 29.273 | واجهات EPS AAA (SWx، S6b، SWm) | المواصفة الأساسية لواجهات Diameter ePDG |
| TS 29.274 | GTPv2-C و GTP-U | التحكم في نفق S2b وطبقة المستخدم (وضع GTP) |
| TS 33.402 | الأمان للوصول غير 3GPP | مصادقة EAP-AKA لشبكات WiFi غير الموثوقة |
| TS 23.402 | تحسينات العمارة للوصول غير 3GPP | العمارة العامة ePDG والإجراءات |
| TS 23.003 | الترقيم والعناوين والتعريف | تنسيق NAI، هيكل IMSI |
| TS 29.229 | Diameter Cx/Dx (تعريفات شائعة) | قيم نوع تعيين الخادم المستخدمة من قبل SWx |
| RFC 6733 | بروتوكول Diameter الأساسي | نقل Diameter، إدارة النظير، مراقبة |
| RFC 4187 | EAP-AKA | طريقة المصادقة المستخدمة عبر IKEv2 |
الوثائق حسب الدور
مشغلو الشبكة:
- ابدأ مع العمارة وتدفقات المكالمات لفهم النظام وكلا الوضعين التشغيليين
- راجع مرجع التكوين لمعلمات النشر
- راجع دليل الأمان لتكوين تحديد المعدل وحظر GeoIP
- قم بإعداد المراقبة باستخدام مرجع المقاييس لتكامل Prometheus
- احتفظ بدليل استكشاف الأخطاء متاحًا للعمليات
مُدمجو الأنظمة:
- راجع العمارة وتدفقات المكالمات لتفاصيل الواجهة وآلات الحالة
- استخدم مرجع التكوين لإعداد الاتصال بالنظراء
- قم بتكوين التنبيهات باستخدام مرجع المقاييس
- ارجع إلى جدول مواصفات 3GPP أعلاه للتوافق مع البروتوكولات