Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

实现 2G 和 3G 网络之间的 GTP 互操作性

GPRS 隧道协议 (GTP) 由第三代合作项目 (3GPP) 标准定义,用于第三代 (3G) 或第四代 (4G) 网络内承载通用数据包无线服务 (GPRS)。信息元素 (IES) 提供有关 GPRS 隧道协议 (GTP) 隧道的信息,例如创建、修改、删除和状态。IES 包含在所有 GTP 控制消息数据包中。

了解 GTP 信息元素

所有 GPRS 隧道协议 (GTP) 控制消息数据包中都包含信息元素 (IES)。IEs 提供有关 GTP 隧道的信息,例如创建、修改、删除和状态。Junos OS 支持与第三代合作项目 (3GPP) 版本 6、版本 7、版本 8 和版本 9 一致的 IES。如果您与运行早期版本 3GPP 的运营商签订合同协议,您可以通过限制包含不支持的 IES 的控制消息来减少网络开销。

如果引入了新信息元素 (IE),GTP 消息不会下降,因为 GTP 即使遇到未知的新 IE,也会传递消息。

了解 R6、R7、R8 和 R9 信息元素移除

第三代合作项目 (3GPP) R6、R7、R8 和 R9 信息元素 (IES) 消除功能允许您在第二代合作伙伴项目 (2GPP) 和 3GPP 网络之间漫游时保持互操作性。您可以配置具有 GPRS 隧道协议 (GTP) 感知能力的瞻博网络设备,它位于公共陆地移动网络 (PLMN) 和 GPRS 漫游交换 (GRX) 边界,并充当 Gp 防火墙,以便在数据包传递到 2GPP 网络时从 GTP 数据包标头中移除 3GPP 特定属性。在将这些消息转发至网关 GPRS 支持节点 (GGSN) 之前,您可以将设备配置为从 GTP 消息中卸下 RAT、RAI、通用标志、ULI、MS 时区、IMEI-SV 和接入点名称 (APN) 限制 IES。

支持的 R6、R7、R8 和 R9 信息元素

Junos OS 支持用于 GTP 的所有 3GPP R6 IES,如 表 1 所列。

表 1:支持的信息元素

IE 类型值

信息元素

1

原因

2

国际移动用户身份 (IMSI)

3

路由区域标识 (REI)

4

临时逻辑链路标识 (TLLI)

5

数据包 TMSI (P-TMSI)

8

需要重新订购

9

身份验证三重

11

映射原因

12

P-TMSI 签名

13

MS 已验证

14

恢复

15

选择模式

16

隧道端点标识符数据 I

17

隧道端点标识符控制平面

18

隧道端点标识符数据 II

19

拆除 ID

20

NSAPI

21

RANAP 原因

22

RAB 环境

23

无线优先级 SMS

24

无线优先级

25

数据包流 ID

26

充电特性

27

跟踪参考

28

跟踪类型

29

MS 无法联系到的原因

127

收费 ID

128

最终用户地址

129

MM 上下文

130

PDP 环境

131

接入点名称

132

协议配置选项

133

GSN 地址

134

MS International PSTN/ISDN 编号 (MSISDN)

135

服务质量配置文件

136

认证五位位符

137

流量模板

138

目标识别

139

UTRAN 透明容器

140

RAB 设置信息

141

扩展头类型列表

142

触发 ID

143

OMC 身份

144

RAN 透明容器

145

PDP 上下文优先级

146

其他 RAB 设置信息

147

SGSN 编号

148

通用标志

149

APN 限制

150

无线优先级 LCS

151

RAT 类型

152

用户位置信息

153

MS 时区

154

IMEI-SV

155

CAMEL 充电信息容器

156

MBMS UE 上下文

157

临时移动组身份 (TMGI)

158

RIM 路由地址

159

MBMS 协议配置选项

160

MBMS 服务区域

161

源 TNC PDCP 上下文信息

162

其他追踪信息

163

跃点计数器

164

选定 PLMN ID

165

MBMS 会话标识符

166

MBMS2G/3G 指示灯

167

增强型 NSAPI

168

MBMS 会话持续时间

169

其他 MBMS 追踪信息

173

BSS 容器

174

信元识别

175

PDU 编号

176

BSSGP 原因

178

RIM 路由地址识别器

179

设置列表 PFCS

180

PS 上手 XID 参数

188

可靠的鼠间交接信息

251

充电网关地址

255

专用扩展

Junos OS 支持 GTP 的所有 3GPP R7 IES,如 表 2 所列。

表 2:支持的信息元素

IE 类型值

信息元素

172

PS 交接请求上下文

181

MS 信息更改报告操作

182

直通隧道标志

183

关联 ID

184

承载控制模式

Junos OS 支持 GTP 的所有 3GPP R8 IES,如 表 3 所列。

表 3:支持的信息元素

IE 类型值

信息元素

189

RFSP 索引

Junos OS 支持 GTP 的所有 3GPP R9 IES,如 表 4 所列。

表 4:支持的信息元素

IE 类型值

信息元素

190

完全限定域名 (FQDN)

191

不断演进的分配/保留优先级 1

192

不断演进的分配/保留优先级 2

193

扩展通用标志

194

用户 CSG 信息 (UCI)

195

CSG 信息报告行动

196

CSG ID

197

CSG 成员资格指示 (CMI)

198

聚合最大比特率 (AMBR)

示例:从 GTP 消息中卸下 R6、R7、R8 和 R9 信息元素

此示例说明如何从 GTP 消息中移除 R6 信息元素。

要求

配置此功能之前,无需设备初始化以外的特殊配置。

概述

在此示例中,您可配置安全设备的 Gp 接口,以便从 GTP 消息中移除新添加的 R6 IES(RAT、通用标志、ULI、IMEI-SV、MS 时区和 APN 限制)。

配置

程序

逐步过程

要从 GTP 消息中移除 R6 信息元素:

  1. 指定 GTP 配置文件。

  2. 指定信息元素。

  3. 如果完成设备配置,请提交配置。

验证

要验证配置是否正常工作,请输入 show security gprs 命令。

了解 GTPv1 信息元素移除

随着 3GPP 规格的多种版本的推出,移动网络中的网络元素数量也在不断增加。每个版本都会引入先前版本中未定义的较新信息元素 (IES)。因此,移动网络具有多种网络元素,可在不同设备版本之间产生互操作性问题。您可以使用以下命令配置 GPRS 隧道协议 (GTP) 防火墙,以删除信息元素 (IE)。

set security gprs gtp profile gtp1 remove-ie.

但是,未来版本中将引入的较新的 IES 也可能导致互操作性问题。每个信息元素都有一个唯一的 ID,即 IE 编号。IE 编号从 1 到 255 不等。您可以使用用户配置的 IE 编号配置 GTP 防火墙以移除特定的 IES。

配置 IE 卸下时,GTP 防火墙将删除 GTPv1 消息的相应 IES;更新了 GTP、UDP 和 IP 的长度;然后传递 GTPv1 消息GTP 防火墙还更新了循环冗余检查 (CRC) 代码。IE 编号卸下 IE 支持所有 IES,从 1 到 255 不等。

您可使用以下命令卸下 IE 卸下配置:

delete security gprs gtp profile gtp1 remove-ie—删除 GTP 配置文件 GTP1 的 IE 卸下配置。

delete security gprs gtp profile gtp1 remove-ie version v1 number 4—删除带有版本 v1 和 IE 编号 4 的 GTP 配置的 IE 移除配置。

从版本 20.2R1 开始,Junos OS 支持 GTPv1-C 和 GTPv2-C 的 IE 卸下功能。

另请参阅

示例:使用 IE 编号卸下 GTPv1 信息元素

此示例说明如何配置安全设备的 GPRS 调谐协议 (GTP) 接口,以便从 GTP 消息中移除用户配置的 IES。

要求

配置此功能之前,无需设备初始化以外的特殊配置。

概述

在此示例中,您可为称为 gtp1 的 GTP 配置文件配置 IE 卸下。IES 使用用户配置的 IE 编号 4 卸下。

配置

程序

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改任何必要的详细信息,以便与网络配置匹配,将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

要配置安全设备的 GTP 接口,从 GTP 消息中移除用户配置的 IES:

  1. 指定 GTP 配置文件。

    [编辑]

    user@host# set security gprs gtp profile gtp1

  2. 指定 IE 编号。

    [编辑安全 gprs gtp 配置文件 gtp1]

    user@host# set remove-ie version v1 number 4

结果

在配置模式下,输入 show security gprs 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

了解 GTPv2 信息元素

所有 GPRS 隧道协议版本 2 (GTPv2) 控制消息数据包中都包含信息元素 (IES)。IES 提供有关 GTPv2 隧道的信息,例如创建、修改、删除和状态。Junos 操作系统 (Junos OS) 支持与第三代合作项目 (3GPP) 版本 8 一致的 IES。

从新的 IE 实施功能 Junos OS 20.2R1 版本开始,必须进行 IE 检查,以检查 GTP 消息中应包含的 IES 是否存在。现有功能 IE 消除支持从 GTPv1-C 扩展到 GTPv1-C 和 GTPv2-C。

Must-IE check—您可以使用此功能检查 GTP 消息中应包含的 IES 是否存在。这是验证 GTP 消息完整性的功能。必须 IES 不限于 3GPP TS 中的强制性 IES。您可以根据 GTPv1 或 GTPv2 版本以及 GTPv1 或 GTPv2 接口在邮件中将任何 IE 定义为必须 IE。设备检查特定 GTP 消息的必须 IES 的存在,并且仅在存在必须 IES 时转发消息。我们已通过灵活的消息配置配置实施了 Must-IE 检查,可帮助您定义相关消息的 IES。除了适当的消息配置文件配置外,Must-IE 检查还可轻松容纳任何 GTP 版本、消息格式或 IE 状态。

IE removal— 您可以使用此功能保持第二代合作伙伴项目 (2GPP) 和第三代合作项目 (3GPP) 网络之间的互操作性。您可以从 GTPv1 和 GTPv2 的所有消息中删除特定类型的 IES。每个信息元素都有一个唯一的 ID,即 IE 编号。IE 编号从 1 到 255 不等。您可以使用卸下 IE 来配置 GTP 防火墙,以便使用用户配置的 IE 编号移除特定的 IES。它支持 GTP 实体之间的通信,这些实体的 GTP 协议具有不同的版本。卸下 IE 有助于移除所有指定的 IE 实例,例如支持 IE、组 IE、嵌入式 IE 或嵌入式分组 IE。

另请参阅

示例:为 GTPv1 和 GTPv2 配置必备 IE 检查

总结 您可以启用此功能以验证 GTPv1 和 GTPv2 消息中是否存在 IES。这有助于验证消息完整性。您可以根据 GTPv1 或 GTPv2 版本以及 GTPv1 或 GTPv2 接口在邮件中将任何 IE 定义为必须 IE。设备检查特定 GTP 消息的必须 IES 的存在,并且仅在存在必须 IES 时转发消息。

要求

此示例使用以下硬件和软件组件:

  • SRX 系列设备。

  • Junos OS 版本 20.2R1。

概述

所有 GPRS 隧道协议 (GTP) 控制消息数据包中都包含信息元素 (IES)。每个 GTP-C 消息都由一个 GTP 标头和多个 GTP 信息元素 (IE) 构建。每个 IE 类型都由 1 到 255 之间的编号标识。第三代合作项目 (3GPP) TS 定义 IE 列表,对于每个 GTP 消息,其中一些是强制性的,有些是可选的或有条件的。

GTPv1 的 IES 以电视或 TLV 格式进行编码。因此,GTPv1 使用 IE 编号识别 IES。GTPv2 的 IES 以 TLIV 格式进行编码。因此,GTPv2 使用 IE 编号和实例编号来识别 IES。

必须进行 IE 检查是检查 GTP 消息中应包含的 IES 的存在的一项功能,有助于验证 GTP 消息的完整性。必须 IES 不限于 3GPP TS 中的强制性 IES。您可以根据 GTPv1 或 GTPv2 版本以及 GTPv1 或 GTPv2 接口在邮件中将任何 IE 定义为必须 IE。设备检查特定 GTP 消息的必须 IES 的存在,并且仅在存在必须 IES 时转发消息。

我们已通过灵活的消息配置配置实施了 Must-IE 检查,可帮助您定义相关消息的 IES。我们将其称为感兴趣的信息,因为 IES 在 TS 中不是强制性的。除了适当的消息配置文件配置外,Must-IE 检查还可轻松容纳任何 GTP 版本、消息格式或 IE 状态。

配置

配置 GTPv1 的必备 IE 检查

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改任何必要的详细信息,以便与网络配置匹配,将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。如果您需要帮助,请参阅 CLI 用户指南中的配置模式下使用 CLI 编辑器

  1. 配置 GTPv1 消息- ie 配置文件 msgie-v1。在此示例中,我们创建了名为 msgie-v1 的配置文件。

  2. 创建消息-ie-profile-v1 并在消息-ie-profile-v1 中添加感兴趣的消息和 IES。GTPv1 使用 IE 编号识别 IES。在此示例中,在 3GPP TS 29.060 中,消息类型 2 是 Echo 响应,而消息类型 16 是创建 PDP 上下文请求。对于消息类型 2,IE 14 是恢复 IE,这是 Echo 回应中必需的。对于消息类型 16,所提供的 IES 是创建 PDP 上下文请求中的必需 IES。

  3. 将 message-ie 配置文件绑定到 GTP 配置文件作为必须 IE。必须使用消息配置文件配置实施必须进行 IE 检查,这可帮助您定义相关消息的 IES。

配置 GTPv2 的必备 IE 检查

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改任何必要的详细信息,以便与网络配置匹配,将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

  1. 配置 GTPv2 消息- ie 配置文件 msgie-v2。在此示例中,我们创建了名为 msgie-v2 的配置文件。

  2. 定义组-ie 配置文件和与 IES 的链路。分组 IE 是一组 IES 或一组分组 IES。例如,Bearer Context 是包含多个 IE 的分组 IE。PDN 连接是另一个分组的 IE,包含多个承载环境和其他 IES 实例。您必须仅将分组-ie 配置文件链接到分组 IE,否则您将收到错误:“错误:IE%d 不是组-ie”。

  3. 创建消息-ie-profile-v2,并在 message-ie-profile-v2 中添加感兴趣的消息和 IES。我们称这些消息为相关消息,因为 IES 在 TS 中不是强制性的。GTPv2 使用 IE 编号和实例编号识别 IES。实例在 3GPP TS 29.274 中定义,仅适用于 GTPv2。如果为不同用途发送多个相同类型的 IES,则这些 IES 的实例值会有所不同。如果不指定实例值,设备将自动将默认值视为 0。

  4. 将 message-ie 配置文件绑定到 GTP 配置文件作为必须 IE。必须使用消息配置文件配置实施必须进行 IE 检查,这可帮助您定义相关消息的 IES。

结果

在配置模式下,输入 show security gprs gtp 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

验证

要确认配置工作正常,请执行以下任务:

验证 GTPv1 消息-IE 配置文件

目的

要验证 GTPv1 消息-IE 配置文件。

行动

在操作模式下,输入 show security gprs gtp message-ie-profile-v1 (all | <msgie-prf-v1-name>) 命令。

意义

输出显示 GTPv1 消息-IE 配置文件的详细信息。

验证 GTPv2 消息-IE 配置文件

目的

要验证 GTPv2 消息-IE 配置文件。

行动

在操作模式下,输入 show security gprs gtp message-ie-profile-v2 (all | <msgie-prf-v2-name>) 命令。

意义

输出显示 GTPv2 消息-IE 配置文件的详细信息。

验证组 -ie 配置文件

目的

要验证组 -ie 配置文件。

行动

在操作模式下,输入 show security gprs gtp grouped-ie-profile (all | <grpie-prf-name>) 命令。

意义

输出显示分组-IE 配置文件的详细信息。

另请参阅

示例:为 GTPV1 和 GTPv2 配置 IE 卸下

总结 您可以启用此功能,从 GTPv1 和 GTPv2 的所有消息中删除特定类型的 IES。这有助于保持第二代合作项目 (2GPP) 和第三代合作伙伴项目 (3GPP) 网络之间的互操作性。

要求

此示例使用以下硬件和软件组件:

  • SRX 系列设备。

  • Junos OS 版本 20.2R1。

概述

随着 3GPP 规格的多种版本的推出,移动网络中的网络元素数量也在不断增加。每个版本都会引入先前版本中未定义的较新信息元素 (IES)。因此,移动网络具有多种网络元素,可在不同设备版本之间产生互操作性问题。.

每个信息元素都有一个唯一的 ID,即 IE 编号。IE 编号从 1 到 255 不等。您可以使用用户配置的 IE 编号配置 GTP 防火墙以移除特定的 IES。

在此示例中,您可以从 GTPv1 和 GTPv2 的所有消息中删除特定类型的 IES。它支持 GTP 实体之间的通信,这些实体的 GTP 协议具有不同的版本。此配置有助于移除所有指定的 IE 实例,例如支持 IE、组 IE、嵌入式 IE 或嵌入式分组 IE。

IE 卸下支持已适用于 GTPv1-C。从 Junos OS 版本 20.2R1 开始,IE 卸下功能正在扩展对 GTPv1-C 和 GTPv2-C 的支持。您可以使用此功能保留第二代合作项目 (2GPP) 和第三代合作项目 (3GPP) 网络之间的互操作性。

配置

为 GTPv1 配置 IE 卸下

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改任何必要的详细信息,以便与网络配置匹配,将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

  1. 配置 GTPv1 的 ieset。在此示例中,我们创建了一个名为 ieset-v1-r7 的 ieset。

  2. 在 ieset-v1-r7 中添加感兴趣的 IES。

  3. 将 ieset 绑定到 GTP 配置文件,即移除。在此示例中,将 ieset-v1 绑定为 remove-ie-v1。

为 GTPv2 配置 IE 卸下

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改任何必要的详细信息,以便与网络配置匹配,将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

  1. 配置 GTPv2 的 ieset。在此示例中,我们创建了一个名为 ieset-v2 的 ieset。

  2. 在 ieset-v2 中添加感兴趣的 IES。

  3. 将 ieset 绑定到 GTP 配置文件,即移除。在此示例中,将 ieset-v2 绑定为 remove-ie-v2。

结果

在配置模式下,输入 show security gprs gtp 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

验证

验证 GTPv1 和 GTPv2 IE 卸下配置文件

目的

要验证 GTPv1 和 GTPv2 IE 卸下配置文件。

行动

在操作模式下,输入 show security gprs gtp ie-set (all | <ieset-name>) 命令。

意义

输出显示 GTPv1 和 GTPv2 IE 卸下配置文件的详细信息。

另请参阅

了解 GTP APN 过滤

接入点名称 (APN) 是 GPRS 隧道协议 (GTP) 数据包标头中包含的信息元素 (IE),用于提供有关如何到达网络的信息。APN 包含两个元素:

  • 网络 ID — 标识外部网络(例如 example.com)的名称。

  • 运营商 ID — 唯一标识运营商的公共陆地移动网络 (PLMN),如 mnc123.mcc456。

默认情况下,设备允许所有 APN。但是,您可以将设备配置为执行 APN 过滤,以限制对外部网络漫游订户的访问。

要启用 APN 过滤,必须指定一个或多个 APN。要指定 APN,您需要知道网络的域名(例如 example.com)和运营商 ID。由于 APN 的域名 (网络 ID) 部分可能很长,并且包含许多字符,因此您可以使用通配符 (*) 作为 APN 的第一个字符。通配符表示 APN 不仅限于 example.com,还包括前面的所有字符。

您还可以为 APN 设置 选择模式 。选择模式表示 APN 的来源以及主机位置寄存器 (HLR) 是否验证了用户订阅。您可以根据网络的安全需求设置选择模式。可能的选择模式包括:

  • 移动站 — 移动站提供的 APN,订阅未经验证。

    此选择模式表示移动站 (MS) 提供了 APN,并且 HLR 未验证用户对网络的订阅。

  • 网络 — 网络提供的 APN,订阅未经验证。

    此选择模式表示网络提供了默认 APN,因为 MS 未指定一个,并且 HLR 未验证用户的网络订阅。

  • 已验证 — MS 或网络提供的 APN,已验证订阅。

    此选择模式表示 MS 或网络提供了 APN,并且 HLR 验证了用户对网络的订阅。

APN 过滤仅适用于 create-pdp-request 消息。执行 APN 过滤时,设备会检查 GTP 数据包,以查找与设置的 APN 匹配的 APN。如果 GTP 数据包的 APN 与您指定的 APN 匹配,设备将验证选择模式,并且只有在 APN 和选择模式与您指定的 APN 和选择模式匹配时才转发 GTP 数据包。由于 APN 过滤基于完美匹配项,因此在设置 APN 后缀时使用通配符 (*) 可以防止无意中排除您本来会授权的 APN。

此外,设备还可根据国际移动用户身份 (IMSI) 前缀和 APN 的组合过滤 GTP 数据包。根据 IMSI 前缀过滤 GTP 数据包时,还必须指定 APN。

APN 字符串对案例麻木不仁。例如,在以下示例中,您设置两个具有相同 IMSI 前缀值的 APN 字符串(WWW.EXAMPLE.COM 和 www.example.com)。在此配置中,小写字符串将在上部字符串之后显示,并且数据包将被丢弃。

user@host# show configuration security gprs gtp | display set

set security gprs gtp profile test apn WWW.EXAMPLE.COM imsi-prefix * action pass

set security gprs gtp profile test apn www.example.com imsi-prefix * action drop

如果 APN 配置了两个 IMSI 前缀条目,则优先处理匹配时间最长的 IMSI 前缀。例如,请参阅以下配置:

user@host# show configuration security gprs gtp | display set

set security gprs gtp profile test apn WWW.EXAMPLE.COM imsi-prefix 12345678 action pass

set security gprs gtp profile test apn www.example.com imsi-prefix 12345 action drop

如果传入数据包值与 IMSI 前缀值12345678匹配,则数据包将通过。IMSI 前缀值12345678优先于 IMSI 前缀值 12345,因为最长匹配的 IMSI 前缀优先。

示例:设置 GTP APN 和选择模式

此示例说明如何设置 GTP APN 和选择模式。

要求

配置此功能之前,无需设备初始化以外的特殊配置。

概述

在此示例中,您将 GTP APN 设置为示例.com.mnc123.mcc456.gprs 并使用通配符 (*) 字符。您还会设置 IMSI 前缀并将选择模式设置为网络。

配置

程序

逐步过程

要配置 GTP APN 和选择模式:

  1. 指定 GTP 配置文件。

  2. 设置 APN 的选择模式。

  3. 如果完成设备配置,请提交配置。

验证

要验证配置是否正常工作,请输入 show security gprs 命令。

了解 GTP 数据包的 IMSI 前缀过滤

GPRS 支持节点 (GSN) 通过其国际移动站身份 (IMSI) 标识移动站 (MS)。IMSI 包含三个元素:移动国家码 (MCC)、移动网络代码 (MNC) 和移动用户识别号 (MSIN)。MCC 和 MNC 组合构成 IMSI 前缀并识别移动用户的家庭网络或公共陆地移动网络 (PLMN)。

通过设置 IMSI 前缀,您可以将设备配置为拒绝来自非路由合作伙伴的 GPRS 隧道协议 (GTP) 流量。默认情况下,设备不会在 GTP 数据包上执行 IMSI 前缀过滤。通过设置 IMSI 前缀,可配置设备以过滤创建 pdp 请求消息,并且仅允许 GTP 数据包与设置的 IMSI 前缀匹配。该设备允许 GTP 数据包与您设置的任何 IMSI 前缀不匹配的 IMSI 前缀。要使用与任何 IMSI 前缀集不符的 IMSI 前缀阻止 GTP 数据包,请为 IMSI 过滤器使用显式通配符,而丢弃操作应该是最后一个 IMSI 前缀过滤策略。

根据 IMSI 前缀过滤 GTP 数据包时,还必须指定 APN。

示例:设置组合 IMSI 前缀和 APN 过滤器

此示例说明如何设置和组合 IMSI 前缀和 APN 过滤器。

要求

配置此功能之前,无需设备初始化以外的特殊配置。

概述

在此示例中,您将 example.com.mnc123.mcc456.gprs 设置为 APN 并使用通配符 (*)。您可以允许为此 APN 选择所有模式。您还会为已知 PLMN 设置 IMSI 前缀,该 PLMN 246565。MCC-MNC 对可以是五位数或六位数。

配置

程序

逐步过程

要设置并组合 IMSI 前缀和 APN 过滤器:

  1. 设置 GTP 配置文件。

  2. 设置 APN 的选择模式。

  3. 如果完成设备配置,请提交配置。

验证

要验证配置是否正常工作,请输入 show security gprs 命令。

了解 GTPv2 IMSI 前缀和 APN 过滤

GPRS 支持节点 (GSN) 通过其国际移动用户身份 (IMSI) 标识移动站 (MS)。IMSI 包含三个元素:移动国家代码 (MCC)、移动网络代码 (MNC) 和移动订阅者标识号 (MSIN)。MCC 是一个三位数的数字,而 MNC 是一个两位数或三位数的数字。MCC 和 MNC 组合构成 IMSI 前缀并识别移动用户的家庭网络或公共陆地移动网络 (PLMN)。因此,IMSI 前缀充当 PLMN 标识符,用于识别有效的漫游合作伙伴。

默认情况下,设备不会在 GPRS 隧道协议版本 2 (GTPv2) 数据包上执行 IMSI 前缀过滤。通过设置 IMSI 前缀,您可配置设备以过滤创建会话请求消息,并且仅允许具有与您设置的相符的 IMSI 前缀的 GTPv2 数据包。

根据 IMSI 前缀过滤 GTPv2 数据包时,还必须指定接入点名称 (APN)。

APN 是 GTPv2 数据包标头中包含的信息元素 (IE),提供有关如何访问网络的信息。APN 包含两个元素:

  • 网络 ID — 标识外部网络的名称,例如 example.com。

  • 运营商 ID — 唯一标识操作员的 PLMN,例如 mnc123.mcc789.gprs。

例如,com.mnc123.mcc789.gprs 是一种 APN,用于通过 mnc123.mcc789.gprs 运营商接入 example.com 网络。

默认情况下,设备不会在 GTPv2 数据包上执行 APN 过滤。但是,您可以将设备配置为执行 APN 过滤,以限制对外部网络漫游订户的访问。

您可以使用set security gprs gtp profile profile name apn pattern-string imsi-prefix imsi-prefix-digits action (pass |drop |selection)配置语句根据 IMSI 前缀和 APN 的组合过滤数据包。

要指定 APN,您需要了解网络 ID 或网络的域名(例如 example.com)以及运营商 ID。由于 APN 的网络 ID 部分可能很长,因此您可以使用通配符 (*) 作为 APN 字符串的第一个字符。例如,如果将 *.example.com 用作网络 ID,通配符表示 APN 不仅仅限于 example.com,还包括前面的所有字符。

您可以使用 选项 selection 为 APN 设置 选择模式 。选择模式表示 APN 的来源以及主机位置寄存器 (HLR) 是否验证了用户订阅。您可以根据网络的安全需求设置选择模式。可能的选择模式包括:

  • ms - MS 提供的 APN,未验证订阅。

  • net — 网络提供的 APN,未验证订阅。

  • vrf — MS 提供的或网络提供的 APN,已验证订阅。

您可以使用 选项 drop 来丢弃所有 APN,并 pass 可选择在任何选择模式下通过所有 APN。

执行 APN 过滤时,设备会检查数据包以查找与设置的 APN 匹配的 APN。如果数据包的 APN 与您指定的 APN 匹配,则设备将验证选择模式并转发 GTPv2 数据包。

只有在 APN 和选择模式均与 APN 和您指定的选择模式匹配时,设备才会转发 GTPv2 数据包。

由于 APN 过滤基于完美匹配项,因此在设置 APN 后缀时使用通配符 (*) 可以防止无意中排除您本来会授权的 APN。

IMSI 前缀和 APN 过滤仅适用于创建会话请求消息。

相关文档