GTP baseado em políticas

Por padrão, a rede móvel de terra pública (PLMN) que o dispositivo Juniper Networks protege está na zona trust. O dispositivo protege o PLMN na zona trust contra outras PLMNs em outras zonas. Você pode colocar todas as PLMNs contra as quais você está protegendo sua PLMN na zona Não Confiável, ou criar zonas definidas pelo usuário para cada PLMN. Um PLMN pode ocupar uma zona de segurança ou várias zonas de segurança.

Você deve criar políticas para permitir que o tráfego flua entre zonas e PLMNs. As políticas contêm regras que permitam, negam ou tráfego de túnel. O dispositivo executa a filtragem de políticas de protocolo de tunelamento GPRS (GTP), verificando todos os pacotes GTP contra políticas que regulam o tráfego GTP e, até lá, encaminhando, caindo ou tunelando o pacote com base nessas políticas.

Ao selecionar o serviço GTP em uma política, você permite que o dispositivo permita, nega ou tráfego GTP de túnel. No entanto, isso não permite que o dispositivo inspecione o tráfego GTP. Para que o dispositivo inspecione o tráfego GTP, você deve aplicar uma configuração GTP, também conhecida como um objeto de inspeção GTP, a uma política.

Você pode aplicar apenas um objeto de inspeção GTP por política, mas você pode aplicar um objeto de inspeção GTP a várias políticas. Usando políticas, você pode permitir ou negar o estabelecimento de túneis GTP de determinados pares, como um nó de suporte para GPRS (SGSN).

A partir do Junos OS Release 19.4R1, para acomodar casos de uso de IoT (Internet das Coisas) e firewall de roaming, a escala de túnel GTP por SPU é aumentada para os seguintes dispositivos SRX5000 (SRX5400, SRX5600, SRX5800) e SRX4600:

A partir do Junos OS Release 20.1R1, para habilitar casos de uso de IoT (Internet das Coisas) e firewall de roaming, a escala do túnel GTP é aumentada para os seguintes dispositivos SRX:

Para instâncias vSRX, o número de túneis suportados depende da memória do sistema disponível.

Você pode configurar políticas que especifiquem "Qualquer" como a zona de origem ou destino (incluindo todos os hosts da zona), e você pode configurar políticas que especifiquem vários endereços de origem e destino.

Nas políticas, você pode habilitar o registro de tráfego.

Este exemplo mostra como habilitar a inspeção de GTP em políticas.

Para que o dispositivo realize a inspeção do tráfego de protocolo de tunelamento GPRS (GTP), você deve criar um objeto de inspeção GTP e depois aplicá-lo a uma política. Use o comando a seguir para criar um objeto de inspeção GTP chamado la-ny: set security gprs gtp profile la-ny. Os objetos de inspeção GTP oferecem mais flexibilidade para que eles permitam que você configure várias políticas que aplicam diferentes configurações GTP. Você pode configurar o dispositivo para controlar o tráfego GTP de maneira diferente com base em zonas de origem e destino e endereços, ação e assim por diante.

Para configurar recursos GTP, você deve entrar no contexto de uma configuração GTP. Para salvar suas configurações na CLI, você deve primeiro sair da configuração GTP e, em seguida, entrar no commit comando.

Este exemplo mostra como criar um objeto de inspeção GTP.

O protocolo de tunelamento GPRS (GTP) estabelece um túnel GTP entre um nó de suporte GPRS (SGSN) e um nó de suporte para GPRS (GGSN) de gateway para estações móveis individuais (MS). A versão 2 do GTP (GTPv2) tem suporte do Junos OS Release 11.4.

O GTPv2 faz parte da Evolução de Longo Prazo (LTE), uma tecnologia de banda larga sem fio de quarta geração (4G) desenvolvida pelo Third-Generation Partnership Project (3GPP). 3GPP é o órgão padrão para o desenvolvimento de padrões de GPRS. O LTE foi projetado para aumentar a capacidade e a velocidade das redes de telefonia móvel. O GTPv2 é um protocolo projetado para redes LTE. Uma rede LTE inclui elementos de rede, interfaces LTE e protocolos.

GTPv0 e GTPv1 são implementados usando SGSNs e GGSNs. No entanto, no GTPv2, as SGSNs e GGSNs tradicionais são substituídas por três nós lógicos — um gateway de serviço (SGW), um gateway de rede de dados de pacotes (PGW) e uma entidade de gerenciamento de mobilidade (MME).

A Figura 1 mostra as seguintes interfaces LTE onde os dispositivos da Série SRX são implantados na rede móvel de terras públicas (PLMN).

Figura 1: Interfaces LTE

• S5 — Essa interface conecta um SGW e um PGW. Ele oferece recursos de tunelamento de plano de usuário e gerenciamento de túneis entre o SGW e o PGW. Ele também é usado para realocação de SGW que acontece devido à mobilidade de equipamentos de usuário ou conexão SGW a um PGW não colatado. A interface S5 é equivalente à interface Gn em uma rede móvel de terceira geração (3G).

• S8 — Essa interface conecta um SGW em um PLMN (VPLM) visitado e um PGW em uma PLMN doméstica (HPLMN). S8 é a variante inter-PLMN do S5. A interface S8 é equivalente à interface gp em uma rede móvel 3G.

• S4 — Essa interface conecta um S4 SGSN e um SGW. Ele oferece suporte relacionado a controle e mobilidade entre a rede núcleo GPRS e a função Âncora 3GPP. Ele também fornece tunelamento de plano de usuário se o tunelamento direto não for estabelecido. A interface S4 não tem nenhuma interface equivalente na rede móvel 3G, porque oferece interoperabilidade entre redes 3G e 4G.

O protocolo de tunelamento GPRS versão 2 (GTPv2) implementa um mecanismo de política que verifica todos os pacotes GTPv2 contra políticas de segurança que regulam o tráfego GTPv2. Com base na política de segurança, o pacote é então encaminhado, descartado ou tunelado.

Uma política de segurança GTPv2 permite que você encaminhe, negue ou faça o tráfego GTPv2 do túnel. No entanto, a política de segurança não permite a inspeção de tráfego GTPv2 no dispositivo. Para habilitar a inspeção de tráfego, você deve aplicar um objeto de inspeção GTPv2 a uma política de segurança. Um objeto de inspeção GTPv2 é um conjunto de parâmetros de configuração para processamento do tráfego GTPv2.

Você só pode aplicar um objeto de inspeção GTPv2 por política de segurança. No entanto, você pode aplicar um objeto de inspeção a várias políticas de segurança.

Por padrão, um objeto de inspeção GTPv2 não é aplicado a uma política de segurança. Você precisa aplicar explicitamente um objeto de inspeção a uma política de segurança.

Usando políticas de segurança GTPv2, você pode permitir ou negar o estabelecimento de túnel GTPv2 de determinados pares, como um gateway de serviço (SGW). Você pode configurar políticas de segurança GTPv2 que especificam vários endereços de origem e destino, grupos de endereços ou uma zona inteira.

Este exemplo mostra como habilitar a inspeção do GTPv2 em políticas.

Reiniciar um caminho de protocolo de tunelamento GPRS (GTP) encerra todos os túneis GTP entre dois dispositivos. Cada gateway GTP está associado a um número de reinicialização. Você pode obter um número de reinicialização do elemento de informações de recuperação (IE) de uma mensagem GTP.

Você pode detectar uma reinicialização comparando o número de reinicialização armazenado localmente com o recém-obtido. O número de reinicialização armazenado localmente é um valor não zero e não combina com o novo número de reinicialização.

Você pode usar a declaração de set security gprs gtp profile name restart-path (echo | create | all) configuração para reiniciar um caminho GTP.

Depois de configurar esse comando, o dispositivo detecta o número de reinicialização alterado obtido a partir do Recovery IE nas mensagens. Você pode usar a opção echo para obter um novo número de reinicialização de mensagens de eco, a opção create de obter um número de reinicialização de mensagens de criação ou a opção all de obter um novo número de reinicialização de todos os tipos de mensagens GTP.

Este exemplo mostra como reiniciar um caminho GTPv2.

Um túnel de protocolo de tunelamento GPRS versão 2 (GTPv2) permite a transmissão do tráfego GTPv2 entre nós de suporte de GPRS (GSNs).

Ao transmitir tráfego, os túneis GTPv2 podem ser pendurados por várias razões. Por exemplo, mensagens de solicitação de delete-pdp podem se perder na rede, ou uma GSN pode não ser desligada corretamente. Nesse caso, você pode remover túneis GTPv2 pendurados automaticamente ou manualmente.

Para remover automaticamente um túnel GTPv2 pendurado, você precisa definir um valor de tempo limite do túnel GTPv2 no dispositivo. O dispositivo identifica e remove automaticamente um túnel que fica ocioso pelo período especificado pelo valor do tempo limite. O valor de tempo limite do túnel GTPv2 padrão é de 36 horas.

Você pode usar a declaração de set security gprs gtp profile name timeout configuração para configurar esse valor no dispositivo. O intervalo de tempo é de 1 a 1000 horas.

Para remover manualmente um túnel GTPv2 pendurado, você precisa usar o comando do clear security gprs gtp tunnel modo operacional.

Este exemplo mostra como definir o valor de tempo limite para túneis GTPv2.

Você pode usar o console ou o syslog para ver registros de tráfego do protocolo de tunelamento GPRS versão 2 (GTPv2). Você pode configurar o dispositivo para registrar pacotes GTPv2 com base no status deles. O status do pacote GTPv2 pode ser qualquer um dos seguintes:

• Encaminhado — o pacote GTPv2 foi encaminhado porque era válido.

• Inválido pelo estado — o pacote GTPv2 foi descartado porque falhou na inspeção stateful ou em uma verificação de sanidade. Em caso de falha na verificação de sanidade, o pacote é marcado como sanidade.

• Proibido — o pacote GTPv2 foi descartado porque falhou nas verificações de comprimento de mensagem, tipo de mensagem ou identidade de assinante móvel internacional (IMSI).

• Limitado por taxa — o pacote GTPv2 foi descartado porque excedeu o limite de taxa máxima do nó de suporte de GPRS de destino (GSN).

Por padrão, o registro gtPv2 é desativado no dispositivo. Você pode usar a declaração de set security gprs gtp profile name log configuração para habilitar o registro do GTPv2 no dispositivo.

Este exemplo mostra como habilitar o registro de tráfego GTPv2 em um dispositivo.