本页内容
配置 GTP 切换组
GPRS 隧道协议 (GTP) 切换组是一组 SGSN 或服务网关 (SGW), 带有通用地址簿库。
GTP 切换组概述
GPRS 隧道协议 (GTP) 切换组是一组 SGSN 或服务网关 (SGW), 带有通用地址簿库。管理员可以配置 GTP 配置文件,并将 GTP 切换组关联到 GTP 配置文件。当 GTP 配置文件引用 GTP 切换组名称时,设备会检查当前 SGSN/SGW 地址和提议的 SGSN/SGW 地址是否都包含在同一 GTP 切换组内。如果两个 SGSN/SGW 地址都包含在同一 GTP 切换组中,则允许进行切换。如果当前和提议的 SGSN/SGW 地址不在同一 GTP 切换组中,则使用默认切换组的配置文件。
不允许跨不同 GTP 切换组进行 GTP 切换。
您可以使用命令配置切换组 set security gprs gtp profile profile-name handover-group 。如果 GTP 配置文件中未定义切换组,并且流量达到使用此配置文件配置的策略,则默认情况下,允许在所有匹配此策略的 GTP 之间切换。如果使用命令设置 set security gprs gtp handover-default deny 配置命令,则切换被拒绝。
例如,用户设备通过基于 SGSN 和网关 GPRS 支持节点 (GGSN) 构建的 GTP 隧道访问互联网。SGSN 会构建到 GGSN 的 GTP 隧道,以传输连接到 SGSN 的用户设备数据。在家庭路由漫游架构中,漫游用户设备通过已访问的 PLMN (VPLMN) 的已访问 SGSN (VSGSN) 漫游回家庭 PLMN (HPLMN) 的 GGSN。如果原始 SGSN 和图 1 所示的 SGSN 目标 1 属于同一切换组 (HG-1),则会发生切换。如果 SGSN 原始版寻求移交给位于不同切换组 (HG-2) 中的 SGSN 目标 2,则切换被拒绝。
了解 GTP 切换消息
从 Junos OS 15.1X49-D40 版和 Junos OS 17.3R1 版开始,提供 GTP 切换消息支持。在切换过程中,在新旧移动管理实体 (MME) 和 SGSN 之间发送服务 GPRS 支持节点 (SGSN) 上下文消息(请求、响应和确认)或转发重新定位消息。对于 GPRS 隧道协议 (GTP) 版本 2,消息应为上下文消息或转发重新定位消息。为简单起见,这些类型的消息统一称为切换消息。从这些消息获取数据包数据协议 (PDP) 上下文信息。收到这些消息时,将在 SRX 系列防火墙上设置 PDP 上下文,然后可以根据新的 PDP 上下文正常检查后续 GTP 消息。
set security gprs gtp profile <profile-name> handover-on-roaming-intf使用命令通过切换消息启用 PDP 上下文设置。delete security gprs gtp profile <profile-name> handover-on-roaming-intf使用命令通过切换消息禁用 PDP 上下文设置。
用于转发数据流量的地址和隧道端点标识符 (TEID) 也是从切换消息中获取的。此外,可以在 SRX 系列防火墙上设置转发隧道,用于转发 GPRS 隧道协议、用户平面 (GTP-U) 状态检查。
支持在不同 GTP 版本之间切换。
GTP 切换的主要功能包括:
支持 GTP MME/SGSN 切换消息,适用于 GTPv0、v1 和 v2
MME/SGSN 切换消息检测
根据切换消息中的信息设置 GTP PDP 上下文和转发隧道
转发数据流量的 GTP-U 检测
通过更新和修改不同版本的消息,支持 PDP 上下文更新
切换消息的系统日志和计数器
从 Junos OS 15.1X49-D70 和 Junos OS 17.3R1 版开始,GTPv1 或 GTPv2 节点的提供服务 GPRS 支持节点 (SGSN) 和网关 GPRS 支持节点 (GGSN) 无法与 GTPv0 节点通信。如果设备发送 GTPv1 或 GTPv2 消息以更新 GTPv0 创建的隧道,则这些消息将被丢弃,并且不会更新 GTPv0 隧道。
示例:配置切换组
此示例说明如何在 GTP 配置文件上配置 GTP 切换组。
要求
开始之前,您需要一个 SRX1500、SRX4100、SRX4200、SRX5400、SRX5600 或 SRX5800 设备,或者一个 vSRX 虚拟防火墙实例和需要连接到互联网的用户设备。您还需要一个 3G 或 4G 移动核心网络以及一个家到户的网络。
概述
用户设备通过 3G 或 4G 核心网络中 SGSN 或服务网关 (SGW) 以及 GGSN 或数据包数据网络网关 (PGW) 访问互联网。SGSN/SGW 将 GTP 隧道构建到 GGSN/PGW,以传输连接到 SGSN/SGW 的用户设备数据。在家庭路由漫游架构中,漫游用户设备通过已访问的 PLMN (VPLMN) 的已访问 SGSN (VSGSN) 漫游回其家庭 PLMN (HPLMN) 的 GGSN。如果用户设备设备移出所访问的 SGSN/SGW 的覆盖区域,它将移交给另一个被访问的 SGSN/SGW。
在此示例中,请参阅 图 2 X-mobile 是家庭 PLMN,访问的 PLMN 是 Y-mobile 和 Z-mobile。您可以为 X-mobile 配置 GTP 切换组,并在同一切换组内执行切换。
配置
程序
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 CLI 中 [edit] ,然后从配置模式进入 commit 。
set security address-book global address X-mobile-hMME 10.10.10.1/32 set security address-book global address X-mobile-hPGW 10.10.10.2/32 set security address-book global address-set X-mobile address X-mobile-hMME set security address-book global address-set X-mobile address X-mobile-hPGW set security address-book global address-set X-mobile description hPLMN set security address-book global address Y-mobile-vMME-2a 20.20.20.1/32 set security address-book global address Y-mobile-vMME-2b 20.20.20.2/32 set security address-book global address Y-mobile-vSGW-2a 20.20.20.10/32 set security address-book global address Y-mobile-vSGW-2b 20.20.20.11/32 set security address-book global address-set Y-mobile address Y-mobile-vMME-2a set security address-book global address-set Y-mobile address Y-mobile-vMME-2b set security address-book global address-set Y-mobile address Y-mobile-vSGW-2a set security address-book global address-set Y-mobile address Y-mobile-vSGW-2b set security address-book global address-set Y-mobile description vPLMN2 set security address-book global address Z-mobile-vMME-3a 30.30.30.1/32 set security address-book global address Z-mobile-vMME-3b 30.30.30.2/32 set security address-book global address Z-mobile-vSGW-3a 30.30.30.10/32 set security address-book global address Z-mobile-vSGW-3b 30.30.30.11/32 set security address-book global address-set Z-mobile address Z-mobile-vMME-3a set security address-book global address-set Z-mobile address Z-mobile-vMME-3b set security address-book global address-set Z-mobile address Z-mobile-vSGW-3a set security address-book global address-set Z-mobile address Z-mobile-vSGW-3b set security address-book global address-set Z-mobile description vPLMN3 set security address-book global address-set as-AT address-set Z-mobile set security address-book global address-set as-AT address-set Y-mobile set security address-book global address-set as-AT address-set X-mobile set security gprs gtp handover-group hg-AT address-book global address-set as-AT set security gprs gtp profile Scenario-1 handover-on-roaming-intf set security gprs gtp profile Scenario-1 handover-group hg-AT set security zones security-zone vplmn set security zones security-zone hplmn set security policies from-zone vplmn to-zone hplmn policy ply-vh1 match source-address Y-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh2 match source-address Z-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh match destination-address X-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh match application junos-gprs-gtp set security policies from-zone vplmn to-zone hplmn policy ply-vh then permit application-services gprs-gtp-profile Scenario-1 set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match source-address X-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Y-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Z-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match application junos-gprs-gtp set security policies from-zone hplmn to-zone vplmn policy ply-vh-r then permit application-services gprs-gtp-profile Scenario-1
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。
在 GTP 配置文件中配置 GTP 切换组:
指定通讯簿中的地址。
[edit] user@host# set security address-book global address X-mobile-hMME 10.10.10.1/32 user@host# set security address-book global address X-mobile-hPGW 10.10.10.2/32 user@host# set security address-book global address-set X-mobile address X-mobile-hMME user@host# set security address-book global address-set X-mobile address X-mobile-hPGW user@host# set security address-book global address-set X-mobile description hPLMN user@host# set security address-book global address Y-mobile-vMME-2a 20.20.20.1/32 user@host# set security address-book global address Y-mobile-vMME-2b 20.20.20.2/32 user@host# set security address-book global address Y-mobile-vSGW-2a 20.20.20.10/32 user@host# set security address-book global address Y-mobile-vSGW-2b 20.20.20.11/32 user@host# set security address-book global address-set Y-mobile address Y-mobile-vMME-2a user@host# set security address-book global address-set Y-mobile address Y-mobile-vMME-2b user@host# set security address-book global address-set Y-mobile address Y-mobile-vSGW-2a user@host# set security address-book global address-set Y-mobile address Y-mobile-vSGW-2b user@host# set security address-book global address-set Y-mobile description vPLMN2 user@host# set security address-book global address Z-mobile-vMME-3a 30.30.30.1/32 user@host# set security address-book global address Z-mobile-vMME-3b 30.30.30.2/32 user@host# set security address-book global address Z-mobile-vSGW-3a 30.30.30.10/32 user@host# set security address-book global address Z-mobile-vSGW-3b 30.30.30.11/32 user@host# set security address-book global address-set Z-mobile address Z-mobile-vMME-3a user@host# set security address-book global address-set Z-mobile address Z-mobile-vMME-3b user@host# set security address-book global address-set Z-mobile address Z-mobile-vSGW-3a user@host# set security address-book global address-set Z-mobile address Z-mobile-vSGW-3b user@host# set security address-book global address-set Z-mobile description vPLMN3 user@host# set security address-book global address-set as-AT address-set X-mobile user@host# set security address-book global address-set as-AT address-set Y-mobile user@host# set security address-book global address-set as-AT address-set Z-mobile
指定切换组。
user@host# set security gprs gtp handover-group hg-AT address-book global address-set as-AT
在 GTP 配置文件上配置切换组。
user@host# set security gprs gtp profile Scenario-1 handover-on-roaming-intf user@host# set security gprs gtp profile Scenario-1 handover-group hg-AT
为 GTP 配置文件配置安全区域。
user@host# set security zones security-zone vplmn user@host# set security zones security-zone hplmn
为 GTP 配置文件定义安全策略。
set security policies from-zone vplmn to-zone hplmn policy ply-vh1 match source-address Y-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh2 match source-address Z-mobile user@host# set security policies from-zone vplmn to-zone hplmn policy ply-vh match destination-address X-mobile user@host# set security policies from-zone vplmn to-zone hplmn policy ply-vh then permit application-services gprs-gtp-profile Scenario-1 user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match source-address X-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Y-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Z-mobile user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match application junos-gprs-gtp user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r then permit application-services gprs-gtp-profile Scenario-1
结果
在配置模式下,输入 、 show security address-book和 show security policies 命令,show security gprs gtp profile以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security gprs gtp
profile Scenario-1 {
handover-on-roaming-intf;
handover-group {
hg-AT;
}
}
handover-group hg-AT {
address-book global {
address-set {
as-AT;
}
}
}
[edit]
user@host# show security address-book
global {
address X-mobile-hMME 10.10.10.1/32;
address X-mobile-hPGW 10.10.10.2/32;
address Y-mobile-vMME-2a 20.20.20.1/32;
address Y-mobile-vMME-2b 20.20.20.2/32;
address Y-mobile-vSGW-2a 20.20.20.10/32;
address Y-mobile-vSGW-2b 20.20.20.11/32;
address Z-mobile-vMME-3a 30.30.30.1/32;
address Z-mobile-vMME-3b 30.30.30.2/32;
address Z-mobile-vSGW-3a 30.30.30.10/32;
address Z-mobile-vSGW-3b 30.30.30.11/32;
address-set X-mobile {
description hPLMN;
address X-mobile-hMME;
address X-mobile-hPGW;
}
address-set Y-mobile {
description vPLMN2;
address Y-mobile-vMME-2a;
address Y-mobile-vMME-2b;
address Y-mobile-vSGW-2a;
address Y-mobile-vSGW-2b;
}
address-set Z-mobile {
description vPLMN3;
address Z-mobile-vMME-3a;
address Z-mobile-vMME-3b;
address Z-mobile-vSGW-3a;
address Z-mobile-vSGW-3b;
}
address-set as-AT {
address-set Z-mobile;
address-set Y-mobile;
address-set X-mobile;
}
}
[edit]
user@host# show security policies
from-zone vplmn to-zone hplmn {
policy ply-vh {
match {
source-address [ Y-mobile Z-mobile ];
destination-address X-mobile;
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile Scenario-1;
}
}
}
}
}
from-zone hplmn to-zone vplmn {
policy ply-vh-r {
match {
source-address X-mobile;
destination-address [ Y-mobile Z-mobile ];
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile Scenario-1;
}
}
}
}
}
完成设备配置后,请从配置模式进入 commit 。
验证
确认配置工作正常。命令 show security gprs gtp 将显示为 GTP 配置文件场景 1 配置的所有切换组。