Internet Breakout
La connectivité par défaut pour une carte SIM Bell est assurée via le service de Sortie Internet (Internet Breakout). Tous les appareils dotés d’une carte SIM Bell peuvent se connecter librement aux services hébergés sur l’internet public. La figure ci-dessus illustre le principe de fonctionnement de base de la Sortie Internet Bell. Veuillez noter que les IP indiquées dans la figure ne sont que des exemples. Pour les IP de Sortie Internet, veuillez consulter la liste ci-dessous pour l’ensemble du pool d’adresses disponible. Selon le paramétrage de la sortie (breakout) configuré dans le portail Bell, le comportement de la Sortie Internet sera différent.
Modes de sortie Internet
Le paramètre de Sortie Internet dans l’onglet de configuration vous permet de définir le flux réseau idéal pour vos cartes SIM, tant pour l’accès Internet public que pour la connectivité privée via VPN. La Sortie Internet Bell peut être configurée en deux variantes différentes, offrant des fonctionnalités distinctes.
- Mode automatique
- Mode manuel
Mode automatique
En mode automatique, le trafic de données de chaque SIM individuelle à destination d’Internet public est routé via le centre de données optimisé géographiquement en fonction de la localisation de la SIM, afin de garantir une faible latence d’accès. Le système automatique sélectionne la région de sortie idéale pour chaque SIM indépendamment. Il en résulte que les SIM sortent par des points différents selon leur position.
Bell utilise AWS pour fournir une Sortie Internet dynamique en mode automatique. La région de sortie la plus proche est choisie dynamiquement en fonction de la localisation de l’appareil. Différentes zones de disponibilité au sein de la région de sortie servent de secours afin d’éviter les interruptions.
Adresses IP de sortie Internet
Chaque région de sortie disponible possède son propre ensemble d’adresses IP. L’adresse IP spécifique sélectionnée pour la Sortie Internet d’une carte SIM est choisie aléatoirement et ne peut pas être gérée par le client.
Liste des adresses IP
Les IP actuellement utilisées pour sortir tout trafic à destination d’Internet sont listées dans le tableau ci-dessous. Veuillez noter que ces adresses IP peuvent évoluer au fil du temps, à mesure que de nouvelles ressources et mises à niveau sont introduites.
| Breakout Region | Public Internet Breakout IPs |
|---|---|
| Canada (Central), Quebec | 15.222.203.195 15.157.138.106 |
IP du Data Streamer et du Transfert SMS
Les IP publiques pour la région Europe (Francfort) sont également utilisées pour les services Bell Data Streamer et Transfert SMS. La mise sur liste blanche des IP Europe (Francfort) est requise pour utiliser ces services, car ils sont opérés indépendamment de la région de sortie configurée.
Traduction d’adresses réseau (NAT)
Par conception, l’accès Internet pour les SIM Bell est implémenté avec une traduction d’adresses réseau (NAT). Le NAT associe l’IP privée de la SIM à une IP publique de sortie Bell couramment utilisée. Cette conception simplifie la gestion de l’espace d’adressage IP et renforce la sécurité d’accès des appareils IoT connectés. En conséquence, les appareils utilisant une SIM Bell ne peuvent pas être directement accessibles depuis l’internet public, ce qui améliore la résilience face aux attaques et menaces externes ciblant les appareils IoT.
Avec la Sortie Internet Bell, l’établissement de connexion est unidirectionnel (par exemple, SIM vers serveur/service), tandis que le transfert de données sur une connexion déjà établie est bidirectionnel (par exemple, SIM vers serveur/service et serveur/service vers SIM). Le flux de la Sortie Internet Bell est présenté dans le diagramme de séquence ci-dessous. Un établissement de connexion bidirectionnel ne peut être obtenu qu’en utilisant le service VPN Bell.
Protocoles de données
Le modèle d’interconnexion de systèmes ouverts (OSI) s’applique à l’architecture du service de données Bell. Le protocole GPRS Tunneling Protocol (GTP) est utilisé en couche 3 pour transférer les données applicatives de l’utilisateur entre l’appareil doté d’une SIM Bell et Internet ou le serveur applicatif, et inversement. Tout le trafic de données est encapsulé dans le GTP; au-dessus de ce protocole (couche 4+), le client est libre d’utiliser n’importe quel protocole de transport (par ex. TCP, UDP, MQTT, CoAP, etc.) et n’importe quelle affectation de ports.
Système de noms de domaine (DNS)
Le Domain Name System (DNS) est utilisé pour résoudre les URL (Uniform Resource Locators) en une IP adressable. Lors de l’utilisation de la Sortie Internet Bell, l’IP publique 8.8.8.8 est utilisée comme DNS principal et 8.8.4.4 comme DNS secondaire par défaut. Une configuration manuelle d’un DNS sur l’appareil n’est généralement pas nécessaire, mais peut être effectuée si souhaité.
Taille de la MTU (Maximum Transmission Unit)
La MTU (Maximum Transmission Unit) est la taille du plus grand paquet IP (couche 4) pouvant être transféré dans une trame donnée en couche 3 sans fragmentation dans le réseau cœur à commutation de paquets. Si un paquet envoyé est plus grand que la MTU spécifiée, il doit être fragmenté, ce qui crée un surcoût et des délais supplémentaires.
Théoriquement, une taille de 1500 octets est possible avec le service de données Bell. D’après l’expérience avec les appareils IoT et les réseaux mobiles, il est recommandé de maintenir la taille de MTU en dessous d’environ 1200 octets.
Délai d’expiration de la sortie Internet
La Sortie Internet n’a pas de délai d’expiration NAT statique pour les connexions en attente. Veuillez tenir compte des délais d’inactivité pour les connexions TCP et UDP. Pour les connexions TCP établies, le délai est de 600 secondes et pour l’UDP de 120 secondes. Après le délai correspondant et en l’absence de nouvelle transmission de données, les connexions TCP/UDP seront fermées. De nouvelles connexions TCP et UDP peuvent être ouvertes à tout moment, sans qu’il soit nécessaire de rattacher l’appareil SIM avec un nouveau PDP.
Mise sur liste noire des IP de sortie
Le trafic de toutes les SIM Bell vers l’internet public est routé via un NAT avec les adresses IP publiques listées. Ces IP de sortie publiques sont indiquées ci-dessus sous « Adresses IP de sortie Internet ». L’adresse IP spécifique sélectionnée pour la Sortie Internet est choisie aléatoirement et ne peut pas être gérée par le client.
Assurez-vous que les IP de Sortie Internet Bell sont mises sur liste blanche pour toute infrastructure de service personnalisée à laquelle accèdent les SIM Bell via la Sortie Internet. De grandes quantités de SIM accédant au même service peuvent amener les mécanismes automatisés de pare-feu et de protection à bloquer les IP de sortie Bell.
Toutes les requêtes vers des services Internet publics semblent provenir de ces IP. La plupart des services et API publics (par ex. services de temps, API open source, etc.) appliquent une limite de requêtes et un filtrage intelligent pour détecter et bloquer les attaques de déni de service (DDoS) et similaires. Des requêtes très fréquentes (par ex. chaque seconde) provenant de multiples SIM vers un même endpoint peuvent déclencher ces mécanismes de filtrage. Cela entraînera le blocage par le service public des requêtes provenant des appareils SIM Bell, rendant le service inutilisable. La plupart des services publics ne peuvent pas différencier les SIM individuelles en raison de la structure NAT du réseau Bell. Il est fortement recommandé de programmer les appareils équipés de SIM Bell de manière à ne pas interroger de façon agressive ces ressources partagées. En utilisant des ressources contrôlées par le client (par ex. serveur personnalisé, service cloud comme AWS), les mécanismes de protection peuvent être configurés pour mettre sur liste blanche le trafic provenant de la Sortie NAT Bell.