基于策略的 GTP
GPRS 通道协议 (GTP) 策略包含允许、拒绝或隧道信息流的规则。设备执行 GTP 策略过滤,根据监管 GTP 流量的策略检查每个 GTP 数据包,然后根据这些策略转发、丢弃数据包或建立隧道。
了解基于策略的 GTP
默认情况下,由 瞻博网络保护的公共陆地移动网络 (PLMN) 位于信任区域。设备可保护信任区域中的 PLMN,抵御其他区域中的其他 PLMN。您可以将用于保护 PLMN 的所有 PLMN 都放在不信任区域,或者为每个 PLMN 创建用户定义区域。PLMN 可以占用一个安全区域或多个安全区域。
您必须创建策略以使信息流在区域和 PLMN 之间流动。策略包含允许、拒绝或隧道流量的规则。设备执行 GPRS 通道协议 (GTP) 策略过滤,根据用于调节 GTP 流量的策略检查每个 GTP 数据包,然后根据这些策略转发、丢弃或隧道传输数据包。
通过在策略中选择 GTP 服务,使设备允许、拒绝或隧道传输 GTP 流量。但是,这不能使设备检查 GTP 流量。对于要检查 GTP 信息流的设备,您必须将 GTP 配置(也称为 GTP检测对象)应用于策略。
每个策略只能应用一个 GTP 检测对象,但是可以将 GTP 检测对象应用于多个策略。使用策略,您可以允许或拒绝从某些对等方(例如服务 GPRS 支持节点 (SGSN))建立 GTP 隧道。
从 Junos OS 版 19.4R1 开始,为了适应 IoT(物联网)和漫游防火墙用例,针对以下 SRX5000(SRX5400、SRX5600、SRX5800 和 SRX4600 设备)增加了每个 SPU 的 GTP 隧道规模:
Platform |
SRX5000 SPC2 |
SRX5000 SPC3 |
SRX4600 |
每个 SPU 19.4 前隧道规模 |
600K |
1.2 米 |
400K |
每个 SPC 19.4 前隧道规模 |
600K * 4 |
1.2 米 * 2 |
400k |
19.4 后按 SPU 的隧道规模 |
3 米 |
12 米 |
4M |
19.4 后按 SPC 的隧道规模 |
3M * 4 |
12 米 * 2 |
4M |
从 Junos OS 版20.1R1,为了启用 IoT (物联网) 和漫游防火墙用例,针对以下 SRX 设备增加了 GTP 隧道规模:
Platform |
SRX1500 |
SRX4100 |
SRX4200 |
每系统 20.1 前隧道规模 |
204800 |
409600 |
819200 |
20.1 后按系统扩展隧道 |
1024000 |
4096000 |
4096000 |
对于vSRX实例,支持的隧道数量取决于可用系统内存。
Platform |
Memory |
Tunnel Number |
vSRX |
4G/6G |
40K |
8G/10G/12G/14G |
200K |
|
16G/20G/24G/28G |
400K |
|
32G/40G/48G |
800K |
|
56G/64G |
1600K(1.6 米) |
您可以配置将"Any"指定为源或目标区域(由此包括区域内所有主机)的策略,并配置用于指定多个源地址和目标地址的策略。
在策略中,您可以启用信息流日志记录。
示例:在策略中启用 GTP 检测
此示例说明了如何在策略中启用 GTP 检测。
要求
开始之前,设备必须在启用 GTP 后重新启动。默认情况下,GTP 在设备上禁用。
概述
此示例将接口配置为 ge-0/0/1 和 ge-0/0/2,地址为 2.0.0.254/8 和 3.0.0.254/8。然后配置安全区域,然后将地址指定为 2.0.0.5/32 和 3.0.0.6/32。您可启用安全策略中的 GTP 服务,以允许同一 PLMN 内的两个网络之间的双向流量。
配置
程序
CLI快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit
set security gprs gtp profile gtp1 set interfaces ge-0/0/1 unit 0 family inet address 2.0.0.254/8 set interfaces ge-0/0/2 unit 0 family inet address 3.0.0.254/8 set security zones security-zone sgsn interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone sgsn host-inbound-traffic protocols all set security zones security-zone ggsn interfaces ge-0/0/2.0 host-inbound-traffic system-services all set security zones security-zone ggsn host-inbound-traffic protocols all set security address-book global address local-sgsn 2.0.0.5/32 set security address-book global address remote-ggsn 3.0.0.6/32 set security policies from-zone sgsn to-zone ggsn policy sgsn_to_ggsn match source-address local-sgsn destination-address remote-ggsn application junos-gprs-gtp set security policies from-zone sgsn to-zone ggsn policy sgsn_to_ggsn then permit application-services gprs-gtp-profile gtp1 set security policies from-zone ggsn to-zone sgsn policy ggsn_to_sgsn match source-address remote-ggsn destination-address local-sgsn application junos-gprs-gtp set security policies from-zone ggsn to-zone sgsn policy ggsn_to_sgsn then permit application-services gprs-gtp-profile gtp1
逐步过程
要配置策略中的 GTP 检测:
创建 GTP 检查对象。
[edit] user@host# set security gprs gtp profile gtp1
配置接口。
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 2.0.0.254/8 user@host# set ge-0/0/2 unit 0 family inet address 3.0.0.254/8
配置安全区域。
[edit security zones] user@host# set security-zone sgsn interfaces ge-0/0/1.0 user@host# set security-zone sgsn host-inbound-traffic system-services all user@host# set security-zone sgsn host-inbound-traffic protocols all user@host# set security-zone ggsn interfaces ge-0/0/2.0 user@host# set security-zone ggsn host-inbound-traffic system-services all user@host# set security-zone ggsn host-inbound-traffic protocols all
指定地址。
[edit security address-book global] user@host# set address local-sgsn 2.0.0.5/32 user@host# set address remote-ggsn 3.0.0.6/32
在安全策略中启用 GTP 服务。
[edit security policies] user@host# set from-zone sgsn to-zone ggsn policy sgsn_to_ggsn match source-address local-sgsn destination-address remote-ggsn application junos-gprs-gtp user@host# set from-zone sgsn to-zone ggsn policy sgsn_to_ggsn then permit application-services gprs-gtp-profile gtp1 user@host# set from-zone ggsn to-zone sgsn policy ggsn_to_sgsn match source-address remote-ggsn destination-address local-sgsn application junos-gprs-gtp user@host# set from-zone ggsn to-zone sgsn policy ggsn_to_sgsn then permit application-services gprs-gtp-profile gtp1
结果
在配置模式下,输入 命令以确认 show security 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
为简洁起见, show 此输出仅包含与此示例相关的配置。系统上的其他任何配置已替换为椭圆 (...)。
[edit]
user@host# show security
...
gprs {
gtp {
profile gtp1;
}
}
zones {
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
...
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
}
address-book {
global {
address local-sgsn 2.0.0.5/32;
address remote-ggsn 3.0.0.6/32;
}
}
policies {
from-zone sgsn to-zone ggsn {
policy sgsn_to_ggsn {
match {
source-address local-sgsn;
destination-address remote-ggsn;
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile gtp1;
}
}
}
}
}
from-zone ggsn to-zone sgsn {
policy ggsn_to_sgsn {
match {
source-address remote-ggsn;
destination-address local-sgsn;
application junos-gprs-gtp;
}
}
then {
permit {
application-services {
gprs-gtp-profile gtp1;
}
}
}
}
default-policy {
permit-all;
}
}
...
如果完成设备配置,请从配置 commit 模式输入 。
了解 GTP 检查对象
要设备执行 GPRS 通道协议 (GTP) 信息流检查,您必须创建一个 GTP 检测对象,然后应用到策略。使用以下命令创建名为 : 的 GTP 检查 la-ny 对象 set security gprs gtp profile la-ny 。GTP 检测对象提供了更高的灵活性,允许您配置实施不同 GTP 配置的多个策略。您可根据源和目标区域以及地址、操作等配置设备以不同方式控制 GTP 流量。
要配置 GTP 功能,您必须输入 GTP 配置的上下文。要将其设置CLI,必须先退出 GTP 配置,然后输入 commit 命令。
示例:创建 GTP 检查对象
此示例演示如何创建 GTP 检测对象。
要求
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
此示例将创建一个名为 LA-NY 的 GTP 检测对象。您可保留大多数默认值,并启用序列号验证功能。
配置
程序
逐步过程
要配置 GTP 检查对象:
创建 GTP 检查对象。
[edit] user@host# set security gprs gtp profile la-ny
如果完成设备配置,请提交配置。
[edit] user@host# commit
了解 GTPv2
GPRS 通道协议 (GTP) 在服务 GPRS 支持节点 (SGSN) 和网关 GPRS 支持节点 (GGSN) 之间为各个移动站 (MS) 建立 GTP 通道。11.4 版支持 GTP Junos OS 2 (GTPv2)。
GTPv2 是长期演进 (LTE) 的一部分,这是由第三代合作伙伴项目 (3GPP) 开发的第四代 (4G) 无线宽带技术。3GPP 是开发 GPRS 标准的标准主体。LTE 旨在增加移动电话网络的容量和速度。GTPv2 是一种专为 LTE 网络而设计的协议。LTE 网络由网络元素、LTE 接口和协议组成。
GTPv0 和 GTPv1 使用 SGSN 和 GGSN 实施。但是,在 GTPv2 中,传统的 SGSN 和 GGSN 被三个逻辑节点取代:服务网关 (SGW)、数据包数据网络网关 (PGW) 和移动管理实体 (MME)。
图 1 显示以下 LTE 接口,其中 SRX 系列设备部署在公共陆地移动网络 (PLMN) 中。
S5 - 此接口连接一个 SGW 和一个 PGW。它在 SGW 和 PGW 之间提供用户平面通道和隧道管理功能。它还用于由于用户设备移动性或 SGW 连接到非连接 PGW 而发生的 SGW 重新定位。S5 接口等同于第三代 (3G) 移动网络的 Gn 接口。
S8 — 此接口连接访问的 PLMN (VPLM) 中的 SGW 和家用 PLMN (HPLMN) 中的 PGW。S8 是 S5 的 PLMN 间变体。S8 接口等同于 3G 移动网络的 Gp 接口。
S4 - 此接口连接 S4 SGSN 和 SGW。它在 GPRS 核心网络和 3GPP 锚功能之间提供相关控制和移动性支持。如果未建立直接通道,它还提供用户平面通道。S4 接口在 3G 移动网络中没有任何等效接口,因为它在 3G 和 4G 网络之间提供互操作性。
了解基于策略的 GTPv2
GPRS 隧道协议版本 2 (GTPv2) 实施策略机制,根据用于监管 GTPv2 流量的安全策略检查每个 GTPv2 数据包。然后根据安全策略转发、丢弃数据包或通过隧道传输数据包。
GTPv2 安全策略允许您转发、拒绝或隧道式 GTPv2 流量。但是,安全策略不会在设备上启用 GTPv2 流量检测。要启用流量检测,您必须将 GTPv2 检测对象应用于安全策略。GTPv2 检查对象是一组用于处理 GTPv2 信息流的配置参数。
根据安全策略,只能应用一个 GTPv2 检测对象。但是,您可以将检测对象应用于多个安全策略。
默认情况下,GTPv2 检测对象不会应用于安全策略。您需要明确地将检测对象应用于安全策略。
使用 GTPv2 安全策略,您可以允许或拒绝特定对等方(例如服务网关 (SGW))的 GTPv2 隧道建立。您可以配置 GTPv2 安全策略,以指定多个源和目标地址、地址组或整个区域。
示例:在策略中启用 GTPv2 检测
此示例说明了如何在策略中启用 GTPv2 检测。
要求
开始之前,设备必须在启用 GTPv2 后重新启动。默认情况下,GTPv2 在设备上禁用。
概述
此示例将接口配置为 ge-0/0/1 和 ge-0/0/2,然后分别分配接口地址 4.0.0.254/8 和 5.0.0.254/8。然后配置安全区域,然后将全局地址分别指定为 4.0.0.5/32 和 5.0.0.6/32。您可以在安全策略中启用 GTPv2 检测,以允许同一公共陆地移动网络 (PLMN) 内的两个网络之间实现双向流量。
配置
程序
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit
set security gprs gtp profile gtp2 set interfaces ge-0/0/1 unit 0 family inet address 4.0.0.254/8 set interfaces ge-0/0/2 unit 0 family inet address 5.0.0.254/8 set security zones security-zone sgw1 interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone sgw1 host-inbound-traffic protocols all set security zones security-zone pgw1 interfaces ge-0/0/2.0 host-inbound-traffic system-services all set security zones security-zone pgw1 host-inbound-traffic protocols all set security address-book global address local-sgw1 4.0.0.5/32 set security address-book global address remote-pgw1 5.0.0.6/32 set security policies from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 match source-address local-sgw1 destination-address remote-pgw1 application junos-gprs-gtp set security policies from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 then permit application-services gprs-gtp-profile gtp2 set security policies from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 match source-address remote-pgw1 destination-address local-sgw1 application junos-gprs-gtp set security policies from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 then permit application-services gprs-gtp-profile gtp2
逐步过程
要配置策略中的 GTPv2 检测:
创建 GTPv2 检测对象。
[edit] user@host# set security gprs gtp profile gtp2
配置接口。
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 4.0.0.254/8 user@host# set ge-0/0/2 unit 0 family inet address 5.0.0.254/8
配置安全区域。
[edit security zones] user@host# set security-zone sgw1 interfaces ge-0/0/1.0 user@host# set security-zone sgw1 host-inbound-traffic system-services all user@host# set security-zone sgw1 host-inbound-traffic protocols all user@host# set security-zone pgw1 interfaces ge-0/0/2.0 user@host# set security-zone pgw1 host-inbound-traffic system-services all user@host# set security-zone pgw1 host-inbound-traffic protocols all
指定地址。
[edit security address-book global] user@host# set address local-sgw1 4.0.0.5/32 user@host# set address remote-pgw1 5.0.0.6/32
在安全策略中启用 GTPv2 检测。
[edit security policies] user@host# set from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 match source-address local-sgw1 destination-address remote-pgw1 application junos-gprs-gtp user@host# set from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 then permit application-services gprs-gtp-profile gtp2 user@host# set from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 match source-address remote-pgw1 destination-address local-sgw1 application junos-gprs-gtp user@host# set from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 then permit application-services gprs-gtp-profile gtp2
结果
在配置模式下,输入 命令以确认 show security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show security policies
from-zone sgw1 to-zone pgw1 {
policy sgw1_to_pgw1 {
match {
source-address local-sgw1;
destination-address remote-pgw1;
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile gtp2;
}
}
}
}
}
from-zone pgw1 to-zone sgw1 {
policy pgw1_to_sgw1 {
match {
source-address remote-pgw1;
destination-address local-sgw1;
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile gtp2;
}
}
}
}
}
default-policy {
permit-all;
}
如果完成设备配置,请从配置 commit 模式输入 。
了解 GTP 路径重启
重新启动 GPRS 通道协议 (GTP) 路径可终止两台设备之间的所有 GTP 隧道。每个 GTP 网关都与重新启动编号相关联。您可从 GTP 消息的恢复信息元素 (IE) 获取重新启动编号。
您可以将本地存储的重新启动编号与新获得的重新启动编号进行比较,以检测重新启动。本地存储的重新启动编号是非零值,与新重新启动编号不匹配。
您可以使用配置 set security gprs gtp profile name restart-path (echo | create | all) 语句重新启动 GTP 路径。
配置此命令后,设备将检测到从消息中的恢复 IE 获取的更改的重新启动编号。您可以使用 选项从回应消息获取新的重新启动编号,使用 选项从 create-session 消息获取重新启动编号,或使用 选项从所有类型的 echo create all GTP 消息获取新重新启动编号。
示例:重新启动 GTPv2 路径
此示例显示如何重新启动 GTPv2 路径。
要求
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
为简洁起见,此示例使用了 GTPv2。
此示例将重新启动名为 gtp2 的 GTPv2 检测对象的 GTPv2 路径。您可从回应消息中的恢复信息元素 (IE) 获取新的重新启动编号。
配置
程序
逐步过程
要重新启动 GTPv2 路径:
指定 GTPv2 配置文件。
[edit] user@host# set security gprs gtp profile gtp2
重新启动路径。
[edit] user@host# set security gprs gtp profile gtp2 restart-path echo
如果完成设备配置,请提交配置。
[edit] user@host# commit
了解 GTPv2 隧道清理
GPRS 通道协议版本 2 (GTPv2) 隧道允许 GPRS 支持节点 (GSN) 之间传输 GTPv2 流量。
在传输流量时,GTPv2 隧道可能由于许多原因而挂起。例如,delete-pdp-request 消息可能会丢失网络,或者 GSN 可能无法正确关闭。在这种情况下,您可以自动或手动移除悬挂式 GTPv2 隧道。
要自动移除悬挂式 GTPv2 隧道,需要在设备上设置 GTPv2 隧道超时值。设备会自动识别并删除在超时值指定的时间内空闲的隧道。默认的 GTPv2 隧道超时值为 36 小时。
您可以使用 配置 set security gprs gtp profile name timeout 语句 在设备上配置该值。超时范围为 1 到 1000 小时。
要手动卸下悬挂式 GTPv2 隧道,您需要使用 操作 clear security gprs gtp tunnel 模式命令。
示例:设置 GTPv2 隧道的超时值
此示例显示如何设置 GTPv2 隧道的超时值。
要求
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
此示例为名为 gtp2 的 GTPv2 检测对象设置隧道超时值 40 小时。
配置
程序
逐步过程
要配置 GTPv2 隧道超时值:
指定 GTPv2 配置文件。
[edit] user@host# set security gprs gtp profile gtp2
指定超时值。
[edit] user@host# set security gprs gtp profile gtp2 timeout 40
如果完成设备配置,请提交配置。
[edit] user@host# commit
了解 GTPv2 流量日志
您可以使用控制台或系统日志查看 GPRS 隧道协议版本 2 (GTPv2) 流量日志。您可以将设备配置为根据数据包的状态记录 GTPv2 数据包。GTPv2 数据包状态可以是以下任何一项:
已转发 — GTPv2 数据包已转发,因为它有效。
状态无效 — GTPv2 数据包因状态检测或理智检查失败而丢弃。如果理智检查失败,数据包会标记为理智。
禁止使用 — GTPv2 数据包因消息长度、消息类型或国际移动用户标识 (IMSI) 前缀检查失败而丢弃。
速率受限 — 由于 GTPv2 数据包超出了目标 GPRS 支持节点 (GSN) 的最大速率限制,因此被丢弃。
默认情况下,设备上禁用 GTPv2 日志记录。您可以使用配置 set security gprs gtp profile name log 语句在 设备上启用 GTPv2 日志记录。
示例:启用 GTPv2 流量日志记录
此示例演示如何在设备上启用 GTPv2 流量日志记录。
要求
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
此示例为转发的 GTPv2 数据包启用 GTPv2 信息流日志记录。
配置
程序
逐步过程
要为转发的 GTPv2 数据包启用 GTPv2 流量日志记录:
指定 GTPv2 配置文件。
[edit] user@host# set security gprs gtp profile gtp2
为 GTPv2 转发的数据包启用日志记录。
[edit] user@host# set security gprs gtp profile gtp2 log forwarded basic
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show security gprs 命令。