3G в каждый подвал. Как устроена и как работает фемтосота

Приветствую всех!

Уже не раз я рассказывал про устройство сотовых сетей разных стандартов и годов. Но общим там было одно: базовая станция в любой сотовой сети — достаточно мощное, габаритное и дорогостоящее устройство. Но начиная со стандарта 3G появились их миниатюрные аналоги — фемтосоты.

Как же они устроены, что позволяют реализовать полноценную базовую станцию в корпусе устройства, занимающего места не больше, чем обычный Wi-Fi роутер? Сейчас и разберёмся. Заодно узнаем, как они вообще работают, а также немного поговорим о том, почему вам очень вряд ли удастся самим запустить такую штуку дома.

❯ Суть такова

Вообще, большинство пользователей телефонов могли никогда не сталкиваться с такими устройствами. Но порой бывает, что есть какое-то место, где телефон ловит сеть плохо, а обеспечить подключение нужно. Примеров тут много: от загородного дома, где для выхода в сеть надо выходить и долго искать приём на улице, до просто помещения, расположенного в неудачном месте. Порой вопрос уверенного приёма вообще даже не обсуждается, например, если речь идёт о каком-то магазине или офисе в подвале. Вариантов обеспечить этот самый уверенный приём немного: усилитель сотовой связи (к слову, штука довольно специфическая, неправильно установленный девайс с лёгкостью превращается в очень мощную глушилку) или те самые фемтосоты.

Мне всегда было интересно: а как вообще устроены эти штуки? Как мы хорошо знаем, базовая станция — довольно дорогое устройство (точнее, целый комплекс оборудования), а тут всё это умещается в небольшую коробочку размером с обычный неттоп, да ещё и с ценой, на порядок меньшей стоимости даже самой простенькой БС. Понятное дело, что мощность и пропускная способность её значительно меньше, но всё же наверняка внутри есть что-то интересное.

Так можно ли всё-таки?

Нет. Увы. Причин тут довольно много, и все они описаны ближе к концу статьи. Исключения хоть и есть, но всё же их очень-очень мало.

Ну что же, давайте разбираться!

❯ Немного истории

Первые массовые фемтосоты появились в середине нулевых и предназначались для сетей 3G. Вообще, некоторые изыскания были и раньше (скажем, уже в конце девяностых появилась опытная фемтосота 2G от Alcatel), но особого распространения такие решения не получили. Главной причиной были архитектурные ограничения сетей 2G: не было спецификации, позволявшей подключать такие устройства через стандартные имеющиеся у пользователя каналы, были проблемы с синхронизацией и распределением частот.

Но вот приходом сетей на тот момент ещё нового третьего поколения обнаружились и новые проблемы: из-за большой доли интернет-трафика нагрузка на сотовые сети возросла, а сигнал куда более высокой частоты, чем в 2G, не мог проникнуть в некоторые помещения. Именно это всё и должны были решить фемтосоты: немного разгрузить сети, перекинув часть трафика на пользовательские каналы, а также обеспечить стабильную связь там, где её нет.

❯ Так ли они дёшевы?

Вообще, обычному пользователю просто так купить фемтосоту невозможно.

Практически всегда она лишь арендуется у оператора, который сам настраивает и устанавливает её.

Многие наверняка могут подумать, что эта коробочка довольно проста и стоит не дороже обычного Wi-Fi роутера или абонентского GPON-терминала.

На самом деле это далеко не так, а цена таких устройств может доходить до нескольких сотен тысяч. Тем не менее, это всё ещё значительно дешевле обычных БС («макросот»). Также сами операторы несколько компенсируют стоимость данных устройств достаточно высокой абонентской платой и снижением нагрузки на макросоты.

❯ Фемтосоты в инфраструктуре сети

Чтобы понять, как вообще управляются эти устройства, посмотрим на архитектуру 3G-сети:

Группа БС (NodeB) подключается не как-то напрямую к ядру сети, а к контроллеру базовых станций (RNC). Контроллеры связываются по специальным протоколам: Iu-CS и Iu-PS - с ядром сети, Iur — с другими RNC, Iub — с NodeB. Все эти протоколы отвечают как за сигнальный, так и за пользовательский трафик.

Так вот. Фемтосоты добавляют в эту схему ещё несколько узлов: сами БС (HomeNodeB), а также два шлюза: Security Gateway (SeGW) и HomeNodeB Gateway (HNB-GW). HNB-GW отвечает за связь с группой фемтосот по специальному протоколу Iu-h (или просто Iuh). Для ядра сети он выглядит как обычный RNC, с которым можно общаться через Iu-CS и Iu-PS. Для защиты соединения предусмотрен SeGW, поднимающий VPN-туннель (по протоколу IPSec) от HNB-GW до фемтосоты.

❯ Обзор оборудования

Так получилось, что мне достались на опыты два девайса — от NEC и Alcatel-Lucent, причём оба даже в штатной упаковке и практически новые.

Первый на очереди девайс от NEC.

Открываем.

Также в коробке монтажная планка, патч-корд, БП и немного бумажек. Впрочем, чего-то интересного в них нет.

А вот и само устройство.

Выглядит фемтосота как коробочка размером и массой примерно как обычный тонкий клиент. С торца имеются три светодиода.

Обратная сторона.

Порты для питания и подключения коробочки к сети.

Также по бокам находятся два разъёма для подключения внешних антенн.

Под крышечкой слот под SIM-карту. Рядом отверстие, где расположилась кнопка перезагрузки.

Симки ожидаемо нет.

Те самые индикаторы.

А пока перейдём к следующему устройству - от Alcatel-Lucent. Поставляется девайс всё так же в коробке без единой маркировки кроме небольшой наклейки.

Откроем её.

Под инструкцией (опять таки не сообщающей ничего интересного кроме банальных вещей, как воткнуть устройство в розетку и что нельзя с ним делать, дабы оно не сдохло) скрывается сама фемтосота, блок питания, патч-корд и всякие детали для крепления.

Довольно забавного вида патч-корд, по толщине уступающий даже телефонному шнуру.

А вот и сама фемтосота, даже всё ещё в плёнке.

На этот раз она заметно меньше предыдущей. Также видно и брендирование оператора. Видимо, когда-то они закупили партию их, но со сворачиванием сетей третьего поколения оставшиеся экземпляры были списаны и выложены на вторичку.

Обратная сторона.

Сзади разъём питания, порт WAN, порт для подключения роутера (девайс втыкается в разрыв между кабелем от провайдера и остальным сетевым оборудованием), дырка отверстие для кнопки перезагрузки и заводская наклейка.

❯ Зачем в фемтосоте симка?

Как мы только что увидели, в девайсе от NEC зачем-то имелась поддержка SIM-карты. И нет, это не SAM-модуль (как в POS-терминалах) и не какая-то другая смарт-карта, это именно полноценная симка. Внутри фемтосоты располагается полноценный GSM-модем, IMEI которого даже можно прочитать на заводской наклейке.

Всё дело в том, что зачастую фемтосоты ставятся именно для увеличения скорости соединения, а не для того, чтобы обеспечить его в удалённом помещении. Это даёт возможность разделить каналы связи: сигнальный трафик передавать по сотовому каналу, а сетевой — по обычному Ethernet. Как нетрудно догадаться, именно для подключения к «большой» сети и нужна эта симка.

❯ Внутренности

Перейдём к самому интересному: что же внутри коробочки?

Откручиваем все видимые винты и снимаем крышку.

Внутри нас ждёт весьма круто выглядящая начинка, больше наводящая на мысли о каком-то мини-ПК, чем о сетевом оборудовании. Сверху виден слот для SIM-карты, чуть ниже него на отдельной плате расположился процессорный модуль. Справа от него обвязка Ethernet-порта: сигнальный трансформатор и кучка мелких компонентов. Здесь же расположился и импульсный преобразователь питания. Чуть ниже массивный радиатор, отводящий тепло от модуля. Слева и справа от него две антенны.

Обратная сторона платы куда менее заполненная.

В глаза бросаются разъёмы, несколько экранов (что под ними, мы тоже обязательно посмотрим), коаксиальные кабели.

Продолжаем разбирать.

Под большим радиатором нет ничего, служит он исключительно для отвода тепла с процессорного модуля, которое передаётся на него по металлической пластине. Причина такого решения очевидна — чтобы сделать корпус куда более тонким, чем он мог бы быть.

На обратной стороне радиатора графитовая фольга.

Кому-то такой термоинтерфейс покажется экзотикой, но в своё время его можно было встретить даже в обычных ПК: именно этот материал был нанесён на боксовые кулеры процессоров 478 сокета (и отдирался навсегда при первой же чистке компа).

Снимем термораспределительную пластину.

А вот и процессорный модуль отдельно.

Под ним ничего особенного.

Сердце модуля, а заодно и самого девайса — чип Broadcom BCM61670, он же 3G Enterprise Small Cell Digital Baseband SoC.

Как ясно из названия, это специализированный baseband-процессор базовой станции, реализующий в себе контроллер приёмопередатчика, GSM-модем для связи с другой вышкой, сетевой интерфейс, доверенный платформенный модуль и много чего ещё. Как водится в этой области, даташит его находится под NDA, найти его не удалось, поэтому о том, что он умеет ещё, остаётся только догадываться.

Рядом с процессором расположились чипы памяти.

Под пластиковой крышечкой находится TCXO — кварцевый генератор с температурной стабилизацией.

Отдельно стоит обратить внимание на прорези в плате. Обычно мы привыкли видеть их в различной силовой электронике (горячих частях импульсных БП, источниках высокого напряжения, инверторах ламповых ЖК-телевизоров и мониторов, платах лазерных принтеров), где они размещаются с целью повышения напряжения пробоя. Здесь же всё совершенно иначе. Как мы знаем, одной из наиболее критичных составляющих работы базовой станции является точность частоты сигнала. Именно для её обеспечения и сделаны эти отверстия: так осциллятор меньше получает через текстолит платы тепло от горячего процессора, а, значит, и частота его почти не плывёт.

Под большим экраном RF-фронтенд: трансивер MAX2550 с обвязкой, балуны, фильтры и другие компоненты. Сам чип обеспечивает передачу сигнала на частотах 3G и предназначен специально для использования в фемтосотах.

На удивление, даташит на него ищется. Из него мы узнаём, что чип обеспечивает работу всех трёх каналов соты (коаксиальные кабели которых мы видели чуть ранее): самой базовой станции и связи с другой вышкой.

Перейдём к обратной стороне платы. Под самым большим экраном скрывается некий KSZ8051MNL. Его можно было бы принять за 8051-совместимый МК, но тут всё проще - это трансивер Ethernet.

Под другим экраном усилитель сигнала AWB7227R.

Под последним ничего примечательного не нашлось.

Сами антенны тоже весьма интересны. Их можно принять за металлические рамки, но нет, на деле они керамические.

❯ Alcatel-Lucent

Вообще, конкретно этот экземпляр я не разбирал: так и не нашёл защёлки, а ковырять пластик было откровенно жалко. Поэтому будем довольствоваться фотографиями с просторов ^[1].

А вот и плата.

На ней опять таки несколько экранов, осциллятор (помечен 3), чип SPI Flash (помечен 4). Прорезей в плате на этот раз нет. Нет тут и канала GSM, отчего коаксиальных кабелей всего лишь два. Слот под симку тоже не завезли. Снизу видна металлическая деталь хитрой формы — это одна из антенн.

Обратная сторона.

Здесь две теплораспределительные пластины, Ethernet-свитч Realtek RTL8306G, чипы памяти (DRAM и NAND Flash).

Вторая антенна.

Построен девайс на процессоре Picochip PC302.

Как и в прошлом случае, это специализированный чип для фемтосот, реализующий в себе управление трансивером, контроллер базовой станции и интерфейс для взаимодействия с ней, Ethernet, аппаратное ускорение шифрования и прочие функции.

А вот и самое интересное: RF-фронтенд. Слева ADF4602 - ещё один трансивер, ориентированный на фемтосоты. Справа AD9963 - скоростной ЦАП и АЦП.

Двадцать мегаватт! ^[2] Слабо высосать чипом размером с тетрадную клеточку столько мощности? (шучу)

❯ Конфигурация

Как известно, сотовая связь — изрядно зарегулированная отрасль, так что разместить кому попало базовую станцию никто не даст. Поэтому все фемтосоты вообще не предназначены для конфигурации пользователем. С точки зрения клиента, HomeNodeB — этакий чёрный ящик, которому требуется только источник питания и сетевое подключение, ну и на этом всё. Девайс не имеет ни веб-интерфейса, ни консоли, ни чего-то ещё, доступного пользователю и настраивается полностью централизованно. 3GPP для этого предусматривает протокол TR-069, стандартный для многого абонентского сетевого оборудования.

Как именно производится первичная настройка, когда эти коробочки закупаются оператором, мне неведомо. Найти что-то по этой теме так же не вышло, судя по всему, эта информация является коммерческой тайной, а каких-то слитых материалов я не нашёл. Скорее всего, используется какой-то спецсофт от производителя, подключающийся по какому-то технологическому порту, который по окончании данной операции закрывается. Также запросто может быть, что при заказе партии брендированных устройств оператор сразу сообщает производителю, какие параметры туда следует зашить.

При запуске фемтосота получает IP-адрес и пытается установить соединение с зашитым в неё адресом SeGW. После прохождения аутентификации устанавливается IPSec-туннель, а девайс подключается к серверу конфигурации, получает от него настройки и записывает их, если с момента последнего обращения они изменились. В число этих данных входят частоты, таблица абонентов, параметры связи и многое другое. Некоторые устройства могут сканировать эфир и подстраивать мощность и частотный канал согласно текущей обстановке. После обновления параметров коробочка готова к работе и обмену данными с HNB-GW.

Также оператору очень важно контролировать, что фемтосота размещена именно в том месте, где должна находиться согласно договору. Причин для этого много: в другом месте девайс может создавать помехи, где-то оператор может терять свою прибыль (скажем, если его ноду перевезут в другую страну, поставят в подвале и будут звонить без роуминга), а в каких-то странах это и вовсе требуется законом (например, в США обязательна возможность получения координат абонента при звонке в 911). Вариантов реализации определения местоположения много. Где-то стоит обычный GPS-модуль, где-то коробочка определяет локацию по сети.

❯ Про защиту этих девайсов

Как известно, регуляторы довольно ревностно относятся к какому-то самодельному или просто несертифицированному оборудованию связи. Поэтому фемтосоты, как и ожидалось, защищены по самое не хочу.

Первым делом, на всех baseband-процессорах имеется secure boot, не позволяющий просто так взять и модифицировать прошивку. Само соединение тоже шифруется, а поменять сертификат IPSec, как нетрудно догадаться, простому пользователю не представляется возможным. Какие-то внешние интерфейсы вроде UART на продакшн-версиях фемтосот обычно тоже поголовно отрублены.

Из интересного: некоторые (но не все) фемтосоты оснащены тамперами.

❯ Osmocom и фемтосоты

Разумеется, всем известный проект не мог не приложить руку и к этой теме.

Их реализация называется OsmoHNBGW.

На этом моменте у меня часто спрашивают: а почему бы не взять вместо дорогого SDR дешёвую фемтосоту (из числа списанных на вторичке) и не прикрутить её к этому софту? Но, увы, всё не так просто. Чтобы заставить это работать, на железке необходимо получить root и поменять параметры соединения, чтобы она пыталась связываться с нашим шлюзом, а не операторским.

Реализовать всё это им удалось на одной-единственной линейке фемтосот: Qualcomm ip.access Nano3G, да и то какой-то детальной информации о её перенастройке там нет. Так что, увы, использовать что-то подобное для любительских целей пока не выйдет.

❯ Вместо итога

Вот такими вот своеобразными девайсами оказались эти штуки. Как оказалось, весь их секрет в крайне специализированном железе: в отличие от дорогих процессоров, ПЛИС и трансиверов здесь используются проприетарные baseband'ы и прочие специализированные чипы, ориентированные исключительно на сотовые сети. С одной стороны, это делает устройство простым, надёжным, стабильно работающим и сравнительно дешёвым, но именно из-за этого какие-то «сторонние» варианты его применения практически исключены.
Но не всё так плохо. На некоторых экземплярах всё же есть возможность получить root-доступ и изменить настройки. Если когда-нибудь ко мне в руки попадёт один из таких, я обязательно расскажу и о нём.

Такие дела.

❯ Ссылки

• Сам OsmoHNBGW ^[3]

• Ещё больше внутренностей фемтосот и пикосот ^[4]

• Gaining root on Samsung FemtoCells ^[5]

• 4G LTE Man in the Middle Attack with a Hacked Femtocell ^[6]

---