Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

GTPv1 消息过滤

GTP 数据包包含消息正文以及 GTP、UDP 和 IP 报头。GTP 数据包会基于 GTP 消息过滤器进行传递或丢弃。根据消息长度和消息类型过滤 GTP 消息。

了解 GTP 消息过滤

当设备收到 GPRS 隧道协议 (GTP) 数据包时,将根据设备上配置的策略检查数据包。如果数据包与策略匹配,设备将根据应用于该策略的 GTP 配置来检查数据包。如果数据包无法满足任何 GTP 配置参数,设备将根据 GTP 检测对象的配置传递或丢弃数据包。

GTP 数据包由消息正文和三个报头组成:GTP、UDP 和 IP。如果生成的 IP 数据包大于传输链路上的最大传输单元 (MTU),则发送服务 GPRS 支持节点 (SGSN) 或网关 GPRS 支持节点 (GGSN) 将执行 IP 分片。

默认情况下,设备对 IP 分片进行缓冲,直到收到完整的 GTP 消息,然后检查 GTP 消息。

了解 GTP 消息长度过滤

您可以将设备配置为丢弃不符合您指定的最小或最大消息长度的数据包。在 GPRS 隧道协议 (GTP) 标头中,消息长度字段表示 GTP 有效负载的长度(以八位位位组表示)。它不包括 GTP 报头本身的长度、UDP 报头或 IP 报头的长度。默认最小和最大 GTP 消息长度分别为 0 和 65,535 字节。

了解 GTP 消息类型过滤

您可以将设备配置为过滤 GPRS 隧道协议 (GTP) 数据包,并根据其消息类型允许或拒绝这些数据包。默认情况下,设备允许所有 GTP 消息类型。

GTP 消息类型包括一个或多个消息。允许或拒绝某个消息类型时,会自动允许或拒绝指定类型的所有消息。例如,如果您选择丢弃 sgsn-context 消息类型,您将从而丢弃 sgsn-context-request、sgsn-context-response 和 sgsn-context-确认消息。

您可以根据 GTP 版本号允许和拒绝消息类型。例如,您可以拒绝一个版本的消息类型,而允许它们用于另一个版本。

示例:设置 GTP 消息长度过滤

此示例说明如何设置 GTP 消息长度。

要求

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,您为 GTP 检测对象配置最小 GTP 消息长度为 8 个八位位位组,将最大 GTP 消息长度配置为 1200 个八位位位组。

配置

程序

逐步过程

要配置 GTP 消息长度:

  1. 指定 GTP 配置文件。

  2. 指定最小消息长度。

  3. 指定最大消息长度。

  4. 完成设备配置后,提交配置。

验证

要验证配置是否工作正常,请输入 show security gprs 命令。

支持的 GTP 消息类型

表 1 列出了 GTP 1997 和 1999 版本支持的 GTP 消息(包括 GTP 的收费消息)以及可用于配置 GTP 消息类型过滤的消息类型。

表 1:GTP 消息

消息

消息类型

版本 0

版本 1

创建 AA pdp 上下文请求

create-aa-pdp

B

  

创建 AA pdp 上下文响应

create-aa-pdp

B

  

创建 pdp 上下文请求

create-pdp

B

B

创建 pdp 上下文响应

create-pdp

B

B

数据记录请求

数据记录

B

B

数据记录响应

数据记录

B

B

删除 AA pdp 上下文请求

delete-aa-pdp

B

  

删除 AA pdp 上下文响应

delete-aa-pdp

B

  

删除 pdp 上下文请求

delete-pdp

B

B

删除 pdp 上下文响应

delete-pdp

B

B

回显请求

回波

B

B

回显响应

回波

B

B

错误指示

错误指示

B

B

故障报告请求

故障报告

B

B

故障报告响应

故障报告

B

B

前向重新定位请求

fwd 搬迁

B

B

前向重新定位响应

fwd 搬迁

B

B

正向重新定位完成

fwd 搬迁

B

B

前向重新定位完成确认

fwd 搬迁

B

B

前向 SRNS 上下文

fwd-srns-context

B

B

正向 SRNS 上下文确认

fwd-srns-context

B

B

识别请求

识别

B

B

识别响应

识别

B

B

节点活动请求

节点活动

B

B

节点活动响应

节点活动

B

B

注意 MS GPRS 呈现请求

Note-ms-present

B

B

注意 MS GPRS 显示响应

Note-ms-present

B

B

pdu 通知请求

pdu 通知

B

B

pdu 通知响应

pdu 通知

B

B

pdu 通知拒绝请求

pdu 通知

B

B

pdu 通知拒绝响应

pdu 通知

B

B

RAN 信息中继

ran 信息

B

B

重定向请求

重 定向

B

B

重定向响应

重 定向

B

B

重新定位取消请求

重新定位-取消

B

B

重新定位取消响应

重新定位-取消

B

B

发送路由信息请求

发送路由

B

B

发送路由信息响应

发送路由

B

B

sgsn 上下文请求

sgsn-context

B

B

sgsn 上下文响应

sgsn-context

B

B

sgsn 上下文确认

sgsn-context

B

B

支持的分机头通知

支持的扩展

B

B

g-pdu

gtp-pdu

B

B

更新 pdp 上下文请求

update-pdp

B

B

更新了 pdp 上下文响应

update-pdp

B

B

版本不受支持

版本不受支持

B

B

示例:过滤 GTP 消息类型

此示例说明如何允许和拒绝 GTP 消息类型。

要求

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,对于 gtp1 配置文件,您将设备配置为丢弃版本 1 的错误指示和故障报告消息类型。

配置

程序

逐步过程

要允许和拒绝 GTP 消息类型:

  1. 配置设备。

  2. 丢弃错误指示。

  3. 丢弃故障报告消息。

  4. 完成设备配置后,提交配置。

验证

要验证配置是否工作正常,请输入 show security gprs 命令。

了解 GTP 控制消息的速率限制

您可以将设备配置为限制流向 GPRS 支持节点 (GSN) 的网络流量速率。您可以为 GGSN 隧道协议、控制 (GTP-C) 消息设置单独的阈值(以数据包/秒)。由于 GTP-C 消息需要处理和回复,它们可能会使 GSN 不堪重负。通过在 GTP-C 消息上设置速率限制,可以保护您的 GSN 免受诸如以下情况的拒绝服务 (DoS) 攻击:

  • 边界网关带宽饱和 — 与公共陆地移动网络 (PLMN) 相同的 GPRS 漫游交换 (GRX) 的恶意运营商可以将大量网络流量定向到您的边界网关,导致合法流量缺乏进出 PLMN 的带宽,从而拒绝您的网络漫游访问。

  • GTP 泛洪 —GPRS 隧道协议 (GTP) 流量可能使 GSN 泛洪,迫使其花费 CPU 周期来处理非法数据。这可以防止用户漫游并将数据转发到外部网络,也可以阻止通用分组无线服务 (GPRS) 连接到网络。

此功能可限制从瞻博网络设备发送到每个 GSN 的流量速率。默认速率不受限制。

了解 GTP 控制消息的路径速率限制

您可以限制 SRX1500、SRX4100、SRX4200、SRX5400、SRX5600 和 SRX5800 设备上的特定控制消息的每秒最大数据包数。这些 GPRS 隧道协议 (GTP) 消息包括create-reqdelete-req和其他 GTP 消息。但是,您可以限制 GTP 消息每分钟echo-req的最大数据包数。

该功能 path-rate-limit 可控制前进方向和反向的特定 GTP 消息。可以为一条路径向前和反向的每个控制消息配置丢弃阈值和告警阈值。如果一条路径上的控制消息达到告警阈值,将生成告警日志。如果收到的控制消息数量达到丢弃阈值,将生成数据包丢弃日志,并且会丢弃以后接收的此类型所有其他控制消息。

要控制正向和反向的消息流量,请在设备上配置一个策略,以便将与配置的策略一致的方向定义为向前,而相反的方向定义为反向。 set security gprs gtp profile <profile-name> path-rate-limit 使用该语句限制路径上特定控制消息的每秒最大数据包数。

您可以同时配置选项 rate-limitpath-rate-limit 选项。

示例:限制 GTP 控制消息的消息速率和路径速率

此示例说明如何限制 GTP 控制消息的消息速率和路径速率。选项 rate-limit 可限制每秒 GTP 消息数, path-rate-limit 并控制前进方向和反向的特定 GTP 消息。

要求

此示例使用以下硬件和软件组件:

  • SRX5400 设备

  • Junos OS 12.1X45-D10 版

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,您将传入 GTP 消息的速率限制为每秒 300 个数据包,并限制正向和反向 GTP 控制消息的路径速率。您可以配置设备以限制流向 GPRS 支持节点 (GSN) 的网络流量速率,并限制路径上特定控制消息每秒或每分钟的最大数据包数。对于 create-reqdelete-reqother GTP 消息,可以限制每秒的最大数据包数。但是,对于 echo-req GTP 消息,您可以限制每分钟的最大数据包数。

该功能 path-rate-limit 可控制前进方向和反向的特定 GTP 消息。 alarm-threshold 配置参数以将设备配置为在路径上的 GTP 控制消息达到配置的限制时发出告警。配置为在 drop-threshold 每秒或每分钟数据包数超过配置的限制时丢弃流量。

配置

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 CLI 中 [edit] ,然后从配置模式进入 commit

程序

逐步过程

要配置 GTP 消息速率和路径速率限制:

  1. 指定 GTP 配置文件。

  2. 设置 GTP 消息速率限制。

  3. 指定消息类型以设置 GTP 控制消息的路径速率限制。

  4. 选择 GTP 控制消息类型。

  5. 为 GTP 控制消息类型设置告警阈值。

  6. 限制向前方向的控制消息。

  7. 限制相反方向的控制消息。

  8. 设置 GTP 控制消息类型的丢弃阈值。

  9. 限制向前方向的控制消息。

  10. 限制相反方向的控制消息。

结果

在配置模式下,输入命令以确认 show security gprs gtp profile profile-name 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

验证配置

目的

验证 GTP 消息速率和路径速率限制配置是否正确。

行动

在操作模式下,输入 show security gprs gtp counters path-rate-limit 命令。

意义

命令 show security gprs gtp counters path-rate-limit 显示自达到告警阈值或丢弃阈值以来接收的数据包数。如果将创建请求消息的值配置为 alarm-threshold 50 和 drop-threshold 80,并且设备在一秒或一分钟内收到 100 个数据包,则 Drop 编号为 20,告警编号为 50。

示例:启用 GTP 序列号验证

此示例说明如何启用 GTP 序列号验证功能。

要求

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,您将 gtp 配置文件设置为 gtp1,并启用序列号验证功能。

配置

程序

逐步过程

要启用 GTP 序列号验证功能,

  1. 设置 GTP 配置文件。

  2. 启用序列号验证。

  3. 完成设备配置后,提交配置。

验证

要验证配置是否工作正常,请输入 show security gprs 命令。