NESTA PÁGINA
Entendendo a limitação de taxa para mensagens de controle GTP
Entendendo a limitação da taxa de caminho para mensagens de controle GTP
Exemplo: limitação da taxa de mensagem e taxa de caminho para mensagens de controle GTP
Exemplo: habilitar a validação do número da sequência do GTP
Comportamento de limitação de taxa de mensagem GTP específico da plataforma
Visão geral do filtro de mensagem GTPv1
Saiba mais sobre os filtros de mensagem GTPv1, incluindo filtros de comprimento de mensagem e do tipo de mensagem. Este tópico explica como os dispositivos processam pacotes GTP, aplicam políticas de inspeção e aplicam regras de segurança.
O pacote GTP contém um corpo de mensagem e o GTP, UDP e os cabeçalhos IP. Um pacote GTP é passado ou descartado com base nos filtros de mensagem GTP. As mensagens GTP são filtradas com base no comprimento da mensagem e no tipo de mensagem.
Entendendo a filtragem de mensagens GTP
Quando o dispositivo recebe um pacote de protocolo de tunelamento GPRS (GTP), ele verifica o pacote contra políticas configuradas no dispositivo. Se o pacote corresponde a uma política, o dispositivo inspeciona o pacote de acordo com a configuração GTP aplicada à política. Se o pacote não atender a nenhum dos parâmetros de configuração do GTP, o dispositivo passará ou soltará os pacotes com base na configuração do objeto de inspeção GTP.
Um pacote GTP consiste no corpo da mensagem e três cabeçalhos: GTP, UDP e IP. Se o pacote IP resultante for maior do que a unidade de transmissão máxima (MTU) no link de transferência, o nó de suporte para GPRS (SGSN) ou o nó de suporte para GPRS (GGSN) de gateway realizará uma fragmentação de IP.
Por padrão, o dispositivo buffers fragmentos de IP até que ele receba uma mensagem GTP completa e, em seguida, inspeciona a mensagem GTP.
Filtro de comprimento de mensagem GTP
Os dispositivos podem ser configurados para soltar pacotes fora do comprimento mínimo ou máximo de mensagem permitido. O campo de comprimento de mensagem no cabeçalho GTP indica o tamanho (em octets) da carga de GTP, excluindo GTP, UDP e cabeçalhos IP.
-
Comprimento mínimo padrão: 0 bytes
-
Comprimento máximo padrão: 65.535 bytes
Filtro do tipo de mensagem GTP
Os dispositivos podem permitir ou negar pacotes GTP com base em seu tipo de mensagem. Por padrão, todos os tipos de mensagem GTP são permitidos.-
A filtragem se aplica no nível do tipo de mensagem. Negar um tipo de mensagem (por ex.,
sgsn-context) nega todas as suas mensagens relacionadas (request, response, acknowledge). -
A filtragem do tipo de mensagem pode ser diferente pela versão GTP. Por exemplo, um tipo pode ser negado em uma versão, mas permitido em outra.
Exemplo: definir a filtragem de comprimento de mensagem GTP
Este exemplo mostra como definir os comprimentos da mensagem GTP.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você configura o comprimento mínimo da mensagem GTP para 8 octets e o comprimento máximo da mensagem GTP para 1200 octets para o objeto de inspeção GTP.
Configuração
Procedimento
Procedimento passo a passo
Para configurar os comprimentos da mensagem GTP:
Especifique o perfil do GTP.
[edit] user@host# set security gprs gtp profile gtp1
Especifique o comprimento mínimo da mensagem.
[edit] user@host# set security gprs gtp profile gtp1 min-message-length 8
Especifique o comprimento máximo da mensagem.
[edit] user@host# set security gprs gtp profile gtp1 max-message-length 1200
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show security gprs comando.
Tipos de mensagem GTP com suporte
A Tabela 1 lista as mensagens GTP suportadas nas versões GTP 1997 e 1999 (incluindo mensagens de carregamento para GTP) e os tipos de mensagem que você pode usar para configurar a filtragem do tipo de mensagem GTP.
Mensagem |
Tipo de mensagem |
Versão 0 |
Versão 1 |
|---|---|---|---|
criar solicitação de contexto AA pdp |
criar-aa-pdp |
b |
|
criar resposta de contexto AA pdp |
criar-aa-pdp |
b |
|
criar solicitação de contexto pdp |
criar pdp |
b |
b |
criar resposta de contexto pdp |
criar pdp |
b |
b |
solicitação de registro de dados |
registro de dados |
b |
b |
resposta de registro de dados |
registro de dados |
b |
b |
exclua a solicitação de contexto AA pdp |
delete-aa-pdp |
b |
|
exclua a resposta de contexto AA pdp |
delete-aa-pdp |
b |
|
exclua a solicitação de contexto pdp |
delete-pdp |
b |
b |
exclua a resposta de contexto pdp |
delete-pdp |
b |
b |
solicitação de eco |
eco |
b |
b |
resposta de eco |
eco |
b |
b |
indicação de erro |
indicação de erro |
b |
b |
solicitação de relatório de falha |
relatório de falhas |
b |
b |
resposta ao relatório de falhas |
relatório de falhas |
b |
b |
solicitação de realocação para encaminhamento |
relocação fwd |
b |
b |
resposta de realocação para o futuro |
relocação fwd |
b |
b |
transferência de encaminhamento completa |
relocação fwd |
b |
b |
reconhecimento completo da realocação |
relocação fwd |
b |
b |
contexto srns para a frente |
contexto fwd-srns |
b |
b |
reconhecimento do contexto srns para a frente |
contexto fwd-srns |
b |
b |
solicitação de identificação |
identificação |
b |
b |
resposta à identificação |
identificação |
b |
b |
solicitação de nó vivo |
nó vivo |
b |
b |
resposta viva a nós |
nó vivo |
b |
b |
observação solicitação presente do MS GPRS |
nota ms-presente |
b |
b |
nota MS GPRS apresentar resposta |
nota ms-presente |
b |
b |
solicitação de notificação de pdu |
pdu-notificação |
b |
b |
resposta à notificação de pdu |
pdu-notificação |
b |
b |
solicitação de rejeição de notificação pdu |
pdu-notificação |
b |
b |
resposta de rejeição de notificação pdu |
pdu-notificação |
b |
b |
Retransmissão de informações de RAN |
ran-info |
b |
b |
solicitação de redirecionamento |
redirecionamento |
b |
b |
resposta de redirecionamento |
redirecionamento |
b |
b |
solicitação de cancelamento de realocação |
cancelamento de realocação |
b |
b |
resposta de cancelamento de realocação |
cancelamento de realocação |
b |
b |
enviar solicitação de informações de rota |
send-route |
b |
b |
enviar resposta de informações de rota |
send-route |
b |
b |
solicitação de contexto sgsn |
contexto sgsn |
b |
b |
resposta ao contexto sgsn |
contexto sgsn |
b |
b |
reconhecimento do contexto da sgsn |
contexto sgsn |
b |
b |
notificação de cabeçalhos de extensão suportados |
extensão suportada |
b |
b |
g-pdu |
gtp-pdu |
b |
b |
atualizar solicitação de contexto pdp |
atualização pdp |
b |
b |
resposta de contexto pdp atualizada |
atualização pdp |
b |
b |
versão não suportada |
versão sem suporte |
b |
b |
Exemplo: Filtragem de tipos de mensagens GTP
Este exemplo mostra como permitir e negar tipos de mensagens GTP.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, para o perfil gtp1, você configura o dispositivo para soltar os tipos de mensagem de indicação de erro e relatório de falha para a versão 1.
Configuração
Procedimento
Procedimento passo a passo
Permitir e negar tipos de mensagem GTP:
Configure o dispositivo.
[edit] user@host# set security gprs gtp profile gtp1
Solte a indicação de erro.
[edit] user@host# set security gprs gtp profile gtp1 drop error-indication 1
Solte as mensagens de relatório de falha.
[edit] user@host# set security gprs gtp profile gtp1 drop failure-report 1
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show security gprs comando.
Entendendo a limitação de taxa para mensagens de controle GTP
Você pode configurar o dispositivo para limitar a taxa de tráfego de rede que vai para um nó de suporte para GPRS (GSN). Você pode definir limites separados, em pacotes por segundo, para mensagens de protocolo de tunelamento GGSN, controle (GTP-C). Como as mensagens GTP-C exigem processamento e respostas, elas podem potencialmente sobrecarregar uma GSN. Ao definir um limite de taxa nas mensagens GTP-C, você pode proteger suas GSNs contra possíveis ataques de negação de serviço (DoS), como o seguinte:
Saturação de largura de banda de gateway de borda — um operador malicioso conectado ao mesmo GPRS Roaming Exchange (GRX) que sua rede móvel de terra pública (PLMN) pode direcionar tanto tráfego de rede em seu Border Gateway que o tráfego legítimo está faminto por largura de banda dentro ou fora de sua PLMN, negando assim o acesso de roaming para ou de sua rede.
Inundação GTP — o tráfego de protocolo de tunelamento GPRS (GTP) pode inundar uma GSN, forçando-a a passar seus ciclos de CPU processando dados ilegítimos. Isso pode impedir que os assinantes roaming e encaminhamento de dados para redes externas, e ele pode impedir que um Serviço geral de rádio de pacotes (GPRS) seja anexado à rede.
Esse recurso limita a taxa de tráfego enviado a cada GSN a partir do dispositivo Juniper Networks. A taxa de padrão é ilimitada.
Entendendo a limitação da taxa de caminho para mensagens de controle GTP
A path-rate-limit função controla mensagens GTP específicas nas direções avançada e inversa. Um limiar de queda e um limiar de alarme podem ser configurados para cada mensagem de controle na direção a frente e inversa para um único caminho. Se as mensagens de controle em um caminho atingirem o limiar de alarme, um log de alarme será gerado. Se o número de mensagens de controle recebidas atingir o limite de queda, um log de queda de pacotes será gerado e todas as outras mensagens de controle desse tipo recebidas posteriormente serão descartadas.
Para controlar o tráfego de mensagens nas direções futuras e inversas, configure uma política no dispositivo de modo que a direção que seja consistente com a política configurada seja definida como futura, e a direção oposta seja definida como reversa. Use a set security gprs gtp profile <profile-name> path-rate-limit declaração para restringir o máximo de pacotes por segundo para mensagens de controle específicas em um caminho.
Você pode configurar as opções e as rate-limit path-rate-limit opções ao mesmo tempo.
Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos.
Analise a seção de comportamento de limitação da taxa de mensagem GTP específica da plataforma para obter notas relacionadas à sua plataforma.
Exemplo: limitação da taxa de mensagem e taxa de caminho para mensagens de controle GTP
Este exemplo mostra como limitar a taxa de mensagem e a taxa de caminho para mensagens de controle GTP. A opção rate-limit limita as mensagens GTP por segundo e a opção path-rate-limit controla mensagens GTP específicas nas direções avançadas e inversas.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Versão Junos OS 12.1X45-D10
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você limita a taxa de mensagens GTP de entrada a 300 pacotes por segundo e limita a taxa de caminho para mensagens de controle GTP nas direções futuras e inversas. Você configura o dispositivo para limitar a taxa de tráfego de rede que vai para um nó de suporte para GPRS (GSN), e restringe os pacotes máximos por segundo ou por minuto para mensagens de controle específicas em um caminho. Para create-req, delete-reqe other mensagens GTP você restringe os pacotes máximos por segundo. No entanto, para uma echo-req mensagem GTP, você restringe o máximo de pacotes por minuto.
A path-rate-limit função controla mensagens GTP específicas nas direções avançada e inversa. Configure o alarm-threshold parâmetro para configurar o dispositivo para levantar um alarme quando as mensagens de controle GTP em um caminho atingirem o limite configurado. Configure a queda de drop-threshold tráfego quando o número de pacotes por segundo ou por minuto exceder o limite configurado.
Configuração
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.
set security gprs gtp profile gtp1 rate-limit 300 set security gprs gtp profile gtp1 path-rate-limit message-type create-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type other alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type create-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type other drop-threshold forward 80 reverse 80
Procedimento
Procedimento passo a passo
Para configurar a taxa de mensagem GTP e o limite de taxa de caminho:
Especifique o perfil do GTP.
[edit] user@host# set security gprs gtp profile gtp1
Definir o limite da taxa de mensagem GTP.
[edit security gprs gtp profile gtp1] user@host# set rate-limit 300
Especifique o tipo de mensagem para definir o limite de taxa de caminho para mensagens de controle GTP.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type
Selecione tipos de mensagem de controle de GTP.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type create-req user@host# set path-rate-limit message-type delete-req user@host# set path-rate-limit message-type echo-req user@host# set path-rate-limit message-type other
Definir o limiar de alarme para os tipos de mensagem de controle GTP.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req alarm threshold user@host# set message-type delete-req alarm threshold user@host# set message-type echo-req alarm threshold user@host# set message-type other alarm threshold
Limite as mensagens de controle na direção futura.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold forward 50 user@host# set delete-req alarm threshold forward 50 user@host# set echo-req alarm threshold forward 50 user@host# set other alarm threshold forward 50
Limite as mensagens de controle na direção inversa.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold reverse 50 user@host# set delete-req alarm threshold reverse 50 user@host# set echo-req alarm threshold reverse 50 user@host# set other alarm threshold reverse 50
Definir o limite de queda para os tipos de mensagem de controle GTP.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req drop threshold user@host# set message-type delete-req drop threshold user@host# set message-type echo-req drop threshold user@host# set message-type other drop threshold
Limite as mensagens de controle na direção futura.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold forward 80 user@host# set delete-req drop threshold forward 80 user@host# set echo-req drop threshold forward 80 user@host# set other drop threshold forward 80
Limite as mensagens de controle na direção inversa.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold reverse 80 user@host# set delete-req drop threshold reverse 80 user@host# set echo-req drop threshold reverse 80 user@host# set other drop threshold reverse 80
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security gprs gtp profile profile-name comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security gprs gtp profile p1
rate-limit 300;
path-rate-limit {
message-type create-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type delete-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type echo-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type other {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Verificando a configuração
Propósito
Verifique se a taxa de mensagem GTP e a configuração do limite de taxa de caminho estão corretos.
Ação
A partir do modo operacional, entre no show security gprs gtp counters path-rate-limit comando.
Path-rate-limit counters:
Drop Alarm
Create Request 20 50
Delete Request 20 50
Echo Request 20 50
Others 20 50
Significado
O show security gprs gtp counters path-rate-limit comando exibe o número de pacotes recebidos desde que o limiar de alarme ou o valor limite de queda foram atingidos. Se você configurar o alarm-threshold valor como 50 e o drop-threshold valor como 80 para a mensagem De criar solicitação, e se o dispositivo receber 100 pacotes em um segundo ou minuto, então o número de queda será de 20 e o número de alarme será 50.
Exemplo: habilitar a validação do número da sequência do GTP
Este exemplo mostra como habilitar o recurso de validação de números de sequência de GTP.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você define o perfil gtp como gtp1 e também habilita o recurso de validação de números de sequência.
Configuração
Procedimento
Procedimento passo a passo
Para habilitar o recurso de validação de números de sequência de GTP:
Defina o perfil do GTP.
[edit] user@host# set security gprs gtp profile gtp1
Habilite a validação do número da sequência.
[edit] user@host# set security gprs gtp profile gtp1 seq-number-validated
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show security gprs comando.
Comportamento de limitação de taxa de mensagem GTP específico da plataforma
Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos.
Use a tabela a seguir para revisar os comportamentos de mídia de armazenamento específicos da plataforma para sua plataforma:
| Plataforma |
Diferença |
|---|---|
| Série SRX |
|