疑案,为什么呢?
近日,XX市的X先生向客服热线反映,他们公司参加某招标代理机构的招投标活动,他们按照招标代理机构的要求,通过手机向招标代理机构指定的网站服务器上传了投标文件,但是后来被告知,他们公司上传投标文件所用的手机IP地址和XX市另外一家公司投标所使用的IP地址相同,因此被判定为“串标”,不仅被取消本次投标资格,还被列入“黑名单”禁止参与其后的招投标活动。
X先生还委屈地说,从一开始他们都不知道到底都还有哪些家公司参与了这次招投标活动,更不要说和“八竿子打不着”的X某公司“串标”了,他们是被“冤枉”的,为此,一定要找电信运营商“讨个说法”还他们“清白”。
事实真如X先生所言吗?
X先生所在的公司到底有没有“串标”呢?
如果不是“串标”那何来的“IP地址相同”呢?
是招标代理机构“误判”?
还是另有“隐情”?
我们来解读,这个IP地址的问题
手机IP地址的分配机制
X先生所说的这个事,其实涉及到手机用户上网时所使用IP地址的分配机制。
通常情况下,手机直接获取的IP地址为IPv4格式的“私网地址”,比如:10.10.0.1(因为IPv4公网地址总数毕竟有限,为了实现各省移动分组网上IP地址的“复用”,所以给手机直接分配的IPv4格式的地址都是私网地址,类似局域网内给各个电脑终端分配IP地址)。
手机IP地址的分配,一般有以下几种方式:
1、HSS(Home Subscriber Server,归属签约用户服务器)签约静态分配
采用这种方式手机每次上网所使用的私网IP均“相同”且唯一,不同用户之间IP地址不同。
2、GGSN/PGW(Gateway GPRS Support Node/PDN GateWay,网关GPRS支持节点/PDN网关)网元动态分配
这种方式下,就是GGSN/PGW网元在用户上网请求流程中,从一个事先定义好的“地址池”当中随机选择一个IP来供用户在“本次”上网过程中使用,用户“下线”或关机后,该IP会被“回收”到地址池当中,再被别的用户重复使用。由于在这种方式下,用户每次上网获取的私网IP不尽相同,因此称为动态分配。目前,电信运营商大都采用这种手机IP地址分配方式。
3、 AAA(Authentication Authorization Accounting,认证、授权和记账)服务器分配
这种方式有点像前面2种IP分配方式的结合,AAA服务器中按照用户MSISDN (Mobile Station International ISDN number,即指手机号码)和事先规划好的IP地址做“绑定”,用户每次上网时,由GGSN/PGW到AAA服务器当中查询用户所对应的IP,然后分配给用户使用。这种方式,用户每次上网所使用的私网IP也均“相同”且唯一,而且不同“企业网”之间的IP地址段也可以复用,一般用于物联网集团客户组网。
以上说完了手机的IP地址分配机制,由于手机终端获取的IP地址为私网IP地址,光有私网IP地址,还不能直接访问互联网。要访问Internet互联网,还需要通过防火墙NAT(Network Address Translation,网络地址转换)功能转换为公网IP地址才行。
需要说明的是,GGSN/PGW覆盖下的用户共享IP地址池中的地址,经过防火墙进行NAT转换时,并不是按照一个私网IP地址对应一个公网IP地址的方式来进行转换的,而是采用多个私网IP(对应多个手机用户)共同使用一个公网IP地址,并根据不同端口号来区分不同用户的工作机制。
也就是说,2个手机号码同时访问互联网时,存在使用相同公网IP地址的可能,但是这2个手机号码使用的“端口号”是不相同的,因此能够“区分”用户。这样做的好处是显而易见的,既节约了公网IP地址,也可以同时支持更多数量的用户同时上网。
假如NAT地址转换后使用的公网IP地址为256个,每一个公网IP又可以关联0-65535个端口号,所以理论上一个GGSN/PGW下就可以承载256*65535个用户(私网地址分配数量也需要满足),这个数量是相当大的。
4、除了以上的情况,还有另一种特别情况
用户网络使用地未进行本地化接入改造的话,都会送回号码归属地进行签约,分配IP,简单的说,如果你是号码归属地是广东的,在上传时手机接入网络,没有进行本地化接入改造,那分配IP是要回到广东的GGSN的,分配的IP可能就是广东的公网IP。
现在再回过头来,看看X先生所说的事。
学懂了以上知识就不难看出,如果XX市的X先生和XX的某投标公司上传投标文件时,所用手机终端处于同一个GGSN/PGW业务覆盖区或者当地网络未进行本地化接入改造,而且两个手机的号码又刚好是同一个归属地,那么2部手机获取并使用“相同的公网IP地址”(招标代理机构判定“IP地址”相同,一定是指公网IP地址相同,因为互联网上网站服务器是不可能获取到手机终端的私网IP地址的)的可能性是存在的,如果NAT地址转换后使用的公网IP地址只有256个的话,那这种公网IP地址相同的概率还是很大的。
令人欣慰的是,XX市的牛先生通过我们给出的“技术原理”知道了自己被“冤枉”的原因,最后也从招标代理机构那里讨回了公道。
总结和建议
1、通常情况下,手机直接获取的IP地址为IPv4格式的“私网地址”,访问互联网时要通过防火墙NAT转换为公网IP地址。
2、手机IP地址分配有四种方式:HSS签约静态分配、GGSN/PGW网元动态分配、AAA服务器分配、回归属地签约分配。
3、 GGSN/PGW覆盖下的用户共享IP地址池中的地址,经过防火墙进行NAT转换时,采用的是多个私网IP(对应多个手机用户)共同使用一个公网IP地址,并根据不同端口号来区分不同用户的工作机制。
4、招标网站仅靠手机使用的公网IP相同就判断投标人“串标”是不严谨的,需要完善判断方法。比如增加公网IP“端口号”的识别,或者增加具体手机号码的判别等信息。
本章节节讲的是手机用户获取的IP地址为IPv4格式场景下的案例,那么用户获取IPv6格式的情况下,还会出现上文中的“冤案”吗?手机用户如何获得IPv6服务呢?这些内容留后期再聊聊。