GGSN Übersicht
Der Gateway GPRS Support Node (GGSN) wandelt den eingehenden Datenverkehr der mobilen Nutzer über den Service Gateway GPRS Support Node (SGSN) um und leitet ihn an das entsprechende Netzwerk weiter und umgekehrt. Das GGSN und das SGSN bilden zusammen die GPRS Support Nodes (GSN).
Grundlegendes zur GGN-Umleitung
Junos OS unterstützt GPRS Tunneling Protocol (GTP)-Datenverkehr und Gateway GPRS Support Node (GGSN)-Umleitung. Ein GGSN (X) kann create-pdp-context-Antworten senden, in denen er verschiedene GGSN-IP-Adressen (GGSN Y und GGSN Z) für nachfolgende GTP-C- und GTP-U-Nachrichten angeben kann. Folglich sendet das SGSN die nachfolgenden GTP-C- (GGSN-Tunneling-Protokoll-, Steuerungs- und GTP-U-Nachrichten (GGSN-Tunneling-Protokoll, Benutzerebene) an die GGSNs Y und Z statt an X.
Übersicht über GGSN-Pooling-Szenarien
Das GPRS-Tunneling-Protokoll (General Packet Radio Service) unterstützt während der Tunnelerstellung verschiedene GGSN-IP-Adressen (Gateway GPRS Support Node). Es gibt zwei GGSN-Pooling-Szenarien, die SGSN-Roaming (Serving GPRS Support Node) unterstützen.
Grundlegendes zum GGSN-Pooling für Szenario 1
In Abbildung 1 wird während der Erstellung eines GTP-Tunnels eine PDP-Kontextanforderung (Packet Data Protocol) von SGSN A an GGSN B gesendet. Nach dem Senden der PDP-Kontextanforderungsnachricht zeichnet GGSN D die Anforderungsinformationen auf und verwendet eine andere Ziel-IP-Adresse als die Ziel-IP-Adresse des Anforderungspakets, um die Antwortnachricht an SGSN A zu senden.
In diesem Szenario werden zwei GTP-Paketnachrichten vom zentralen Punkt an Services Processing Unit 1 (SPU1) und SPU2 gesendet, und die Nachrichten werden von SPU1 und SPU2 einzeln verarbeitet. Die Sitzung wird auf SPU1 und SPU 2 für jedes GTP-Paket erstellt. SPU1 zeichnet die Informationen zum Anforderungspaket und SPU2 die Informationen zum Antwortpaket auf.
Die PDP-Antwortnachricht, die von GGSN D an SGSN A gesendet wird, wird aufgrund fehlender Anforderungsinformationen verworfen. Somit wird der GTP-Tunnel nicht aufgebaut.
SPU2 kann keine Anforderungsinformationen von SPU1 abrufen.
Installieren von Anforderungsinformationen für Remote-SPU
In diesem Szenario wurde das PDP-Antwortpaket aufgrund fehlender Anforderungsinformationen verworfen, und der GTP-Tunnel wurde nicht eingerichtet. Dieses Problem kann behoben werden, indem die Anforderungsinformationen auf der richtigen SPU installiert werden.
In Abbildung 2 ändert sich beim Erstellen eines Tunnels die GGSN-IP-Adresse des Antwortpakets, wodurch eine neue Sitzung ausgelöst wird, und der zentrale Punkt verteilt die Nachricht an eine andere SPU.
Das Antwortpaket sendet immer an die Quelladresse des Anforderungspakets an die SPU. Dies hilft, die Anforderungsinformationen für das nächste Antwortpaket in der Remote-SPU zu installieren.
Installieren Sie die Anforderungsinformationen während der Verarbeitung des Anforderungspakets in der vorhersagbaren SPU, HASH-Funktion (req-src-ip). Nachdem die erwartete SPU-Nummer (Hash (10.1.1.1) = SPU2) anhand der Quell-IP-Adresse der PDP-Anforderungsnachricht berechnet wurde, werden die Anforderungsinformationen über das Juniper Message Passing Interface (JMPI) in der Remote-SPU2 installiert.
Jetzt werden die Anforderungsinformationen auf der lokalen SPU1 und der Remote-SPU2 installiert, sodass die PDP-Antwortnachricht zulässig ist.
Problemumgehungen für Szenario 1
In Szenario 1 erreichte die von SGSN A gesendete PDP-Kontextanforderungsnachricht die Junos OS-Standardanwendung junos-gprs-gtp , und die GTP-Prüfung wurde für die PDP-Kontextanforderungsnachricht aktiviert. Die von GGSN D gesendete PDP-Kontextantwortnachricht kann jedoch die Junos OS-Standardanwendung junos-gprs-gtpnicht erreichen. Daher wird das Paket nicht vom GTP-Modul überprüft.
Um dieses Problem zu umgehen, müssen Sie die GTP-Prüfung für die PDP-Kontextantwortnachricht aktivieren, indem Sie die benutzerdefinierte Richtlinie und die Anwendungen konfigurieren. Weitere Informationen finden Sie unter Konfigurieren einer benutzerdefinierten GGN-Richtlinie/-Anwendung.
Grundlegendes zum GGSN-Pooling für Szenario 2
In Abbildung 3 wird während der Erstellung eines GTP-Tunnels eine PDP-Kontextanforderung (Packet Data Protocol) von SGSN A an GGSN B gesendet. Nach Erhalt der PDP-Kontextanforderungsnachricht sendet GGSN B die PDP-Kontextantwortnachricht an SGSN A. Nach dem Empfang der PDP-Kontextantwortnachricht wird der GTP-C-Tunnel zwischen SGSN C und GGSN D erstellt. Dann sendet SGSN C eine Aktualisierungs-PDP-Kontextanforderungsnachricht an GGSN D, wobei andere Quell- und Ziel-IP-Adressen aus dem IP-Header des Anfragepakets verwendet werden.
In Szenario 2 erstellt die SGSN A die erste GTP-Kontextanforderung und sendet sie über den zentralen Punkt an die SPU. Die Sitzung wird für das Anforderungspaket auf SPU1 erstellt. Das Antwortpaket, das von GGSN B an SGSN A gesendet wird, erreicht die Sitzung ordnungsgemäß.
Das von SGSN A gesendete Anforderungspaket zeigt an, dass GTP-C auf der Kontroll-IP 10.1.1.2 und GTP-U auf der Daten-IP 10.1.1.3 eingerichtet ist. Ebenso gibt die von GGSN gesendete Antwortnachricht an, dass GTP-C auf der Kontroll-IP 10.2.2.3 und GTP-U auf der Daten-IP 10.2.2.4 eingerichtet ist.
Die GTP-C- und GTP-U-Tunnel werden auf der lokalen SPU1 erstellt, nachdem alle Endpunkte eingerichtet wurden. Da der Tunnel jedoch nicht auf SPU 2 eingerichtet ist, wird die von SPU2 empfangene PDP-Aktualisierungsanforderungsnachricht verworfen.
Installieren von Tunnelinformationen auf Remote-SPU
In Szenario 2 wird das Aktualisierungsanforderungspaket aufgrund fehlender Tunnelinformationen verworfen. Dieses Problem kann behoben werden, indem die Tunnelinformationen in der richtigen SPU installiert werden, nachdem die Anforderungs- und Antwortpakete verarbeitet wurden. Die SPU, die das Antwortpaket empfängt, installiert die Tunnelinformationen auf der lokalen oder Remote-SPU.
In Abbildung 4 werden nach dem Einrichten des Tunnels die Steuernachrichten an den Endpunkt des Steuerungstunnels gesendet. Die Ziel-IP-Adresse aller Steuernachrichten sollte die IP-Adresse des GGSN-Endpunkts des Steuerungstunnels sein. Dies hilft, die Remote-SPU-Nummer für die nachfolgende Steuermeldung im Voraus zu berechnen.
Installieren Sie die Tunnelinformationen in der vorhersagbaren SPU. Nachdem die SPU-Nummer von der GGSN-Endpunkt-IP des Steuerungstunnels berechnet wurde, werden die Tunnelinformationen über JMPI in der fernen SPU installiert.
Jetzt sind die Tunnelinformationen auf der Remote-SPU2 installiert, sodass die Antwortnachricht für das PDP-Update zulässig ist.
Beispiel: Konfigurieren einer benutzerdefinierten GGN-Richtlinie und -Anwendung
In diesem Beispiel wird gezeigt, wie eine benutzerdefinierte Richtlinie und Anwendung für den Gateway GPRS Support Node (GGSN) konfiguriert wird, um GGSN-Poolingszenario 1 zu unterstützen.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
SRX5400 Gerät
Einen PC
Junos OS Version 12.1X44-D10
Konfiguration
Konfigurieren einer benutzerdefinierten GGN-Richtlinie
Übersicht
Dieses Beispiel zeigt, wie Sicherheitsrichtlinien für GTP-Datenverkehr konfiguriert werden, damit der Datenverkehr funktioniert, falls GTP-Pooling auftritt. Im selben Beispiel wird auch der GTP-Datenverkehr korrekt fließen, wenn die GTP-Verteilungsfunktion aktiviert ist, mit oder ohne GTP-Prüfung. Was wir hier tun, ist, die Sicherheitsrichtlinien in beide Richtungen gespiegelt zu konfigurieren. In beide Richtungen verwenden wir die gleichen Adressobjekte und die gleichen Anwendungen. Neben der regulären GTP-Anwendung junos-gprs-gtp erstellen wir eine benutzerdefinierte Reverse-GTP-Anwendung mit dem Namen reverse-junos-gprs-gtp. Diese Reverse-GTP-Anwendung sorgt dafür, dass GTP-Pakete mit der Sicherheitsrichtlinie übereinstimmen, selbst wenn nur ihr Quell-UDP-Port ein bekannter GTP-Port ist. Auf diese Weise wird der gesamte GTP-Datenverkehr von den Richtlinien abgeglichen und korrekt als GTP-Datenverkehr behandelt.
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
Falls die GTP-Verteilungsfunktion ohne GTP-Prüfung verwendet wird, erstellen Sie das GTP-Profil nicht und wenden Sie das gtp-Profil application-services nicht auf die Sicherheitsrichtlinien an.
set security address-book global address local_GSN_range 10.1.1.0/24 set security address-book global address remote_GSN_range 10.2.2.0/24 set security gtp profile GTP-Profile set security policies from-zone trust to-zone untrust policy t-u match source-address local_GSN_range set security policies from-zone trust to-zone untrust policy t-u match destination-address remote_GSN_range set security policies from-zone trust to-zone untrust policy t-u match application junos-gprs-gtp set security policies from-zone trust to-zone untrust policy t-u match application reverse-junos-gprs-gtp set security policies from-zone trust to-zone untrust policy t-u then permit application-services gtp-profile GTP-Profile set security policies from-zone untrust to-zone trust policy u-t match source-address remote_GSN_range set security policies from-zone untrust to-zone trust policy u-t match destination-address local_GSN_range set security policies from-zone untrust to-zone trust policy u-t match application reverse-junos-gprs-gtp set security policies from-zone untrust to-zone trust policy u-t match application junos-gprs-gtp set security policies from-zone untrust to-zone trust policy u-t then permit application-services gtp-profile GTP-Profile
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine benutzerdefinierte GGSN-Richtlinie:
Konfigurieren Sie die Quelladresse.
[edit security] user@host# set security policies from-zone trust to-zone untrust policy t-u match source-address local_GSN_range
Konfigurieren Sie die Zieladresse.
[edit security] user@host# set security policies from-zone trust to-zone untrust policy t-u match destination-address remote_GSN_range
Konfigurieren Sie die Richtlinienanwendungen.
[edit security] user@host#set security policies from-zone trust to-zone untrust policy t-u match application junos-gprs-gtp user@host#set security policies from-zone trust to-zone untrust policy t-u match application reverse-junos-gprs-gtp
-
Konfigurieren Sie den Aktivitätstyp und geben Sie den Namen des GTP-Profils an.
[edit security]user@host# set security policies from-zone trust to-zone untrust policy t-u then permit application-services gtp-profile GTP-Profile
Für den Fall, dass die GTP-Verteilungsfunktion ohne GTP-Inspektion verwendet wird:
[edit security] user@host# set security policies from-zone trust to-zone untrust policy t-u then permit
-
Konfigurieren Sie dasselbe erneut, wobei die Vertrauenswürdigkeit und die Aufhebung der Vertrauenswürdigkeit der Sicherheitszonen umgekehrt sind.
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy t-u {
match {
source-address local_GSN_range;
destination-address remote_GSN_range;
application [ junos-gprs-gtp reverse-junos-gprs-gtp ];
}
then {
permit {
application-services {
gtp-profile GTP-Profile;
}
}
}
}
}
from-zone untrust to-zone trust {
policy u-t {
match {
source-address remote_GSN_range;
destination-address local_GSN_range;
application [ reverse-junos-gprs-gtp junos-gprs-gtp ];
}
then {
permit {
application-services {
gtp-profile GTP-Profile;
}
}
}
}
}
Bevor wir die Konfiguration bestätigen können, müssen wir die Reverse-GTP-Anwendung konfigurieren.
Reverse-GTP-Anwendung konfigurieren
Wenn Sie die GTP-Verteilungsfunktion verwenden, werden die Flow-Sitzungen als unidirektional festgelegt. Diese Aktion, um sie als unidirektional festzulegen, wird vom GTP-ALG ausgeführt (auch wenn die GTP-Inspektion nicht verwendet wird). Aus diesem Grund ist es erforderlich, dass das GTP-ALG auf den gesamten GTP-Datenverkehr angewendet wird.
Die vordefinierte Anwendung junos-gprs-gtp wird mit dem GTP-ALG konfiguriert. In einigen Fällen stimmt der GTP-Datenverkehr jedoch möglicherweise nicht mit dieser Anwendung überein, was für den Rückverkehr der Fall ist, wenn ein anderer Quellport als die Standard-GTP-UDP-Ports verwendet wurde. In diesem Fall kann der Reverse-Session-Flügel einen zufälligen Zielport und den Standard-GTP-Port als Quellport haben. Um sicherzustellen, dass die GTP-ALG in diesem Fall auf diesen umgekehrten GTP-Datenverkehr angewendet wird, ist es erforderlich, allen GTP-Sicherheitsrichtlinien die folgende "umgekehrte" GTP-Anwendung hinzuzufügen.
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set applications application reverse-junos-gprs-gtp-c term t1 alg gprs-gtp-c set applications application reverse-junos-gprs-gtp-c term t1 protocol udp set applications application reverse-junos-gprs-gtp-c term t1 source-port 2123 set applications application reverse-junos-gprs-gtp-c term t1 destination-port 0-65535 set applications application reverse-junos-gprs-gtp-u term t1 alg gprs-gtp-u set applications application reverse-junos-gprs-gtp-u term t1 protocol udp set applications application reverse-junos-gprs-gtp-u term t1 source-port 2152 set applications application reverse-junos-gprs-gtp-u term t1 destination-port 0-65535 set applications application reverse-junos-gprs-gtp-v0 term t1 alg gprs-gtp-v0 set applications application reverse-junos-gprs-gtp-v0 term t1 protocol udp set applications application reverse-junos-gprs-gtp-v0 term t1 source-port 3386 set applications application reverse-junos-gprs-gtp-v0 term t1 destination-port 0-65535 set applications application-set reverse-junos-gprs-gtp application reverse-junos-gprs-gtp-c set applications application-set reverse-junos-gprs-gtp application reverse-junos-gprs-gtp-u set applications application-set reverse-junos-gprs-gtp application reverse-junos-gprs-gtp-v0
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der Konfiguration
Zweck
Vergewissern Sie sich, dass die benutzerdefinierte GGSN-Richtlinienkonfiguration korrekt ist.
Aktion
Bestätigen Sie die Konfiguration und beenden Sie sie. Geben Sie im Betriebsmodus den show security policies Befehl ein.
Beispielausgabe
Befehlsname
[edit]
user@host# show applications
application reverse-junos-gprs-gtp-c {
term t1 alg gprs-gtp-c protocol udp source-port 2123 destination-port 0-65535;
}
application reverse-junos-gprs-gtp-u {
term t1 alg gprs-gtp-u protocol udp source-port 2152 destination-port 0-65535;
}
application reverse-junos-gprs-gtp-v0 {
term t1 alg gprs-gtp-v0 protocol udp source-port 3386 destination-port 0-65535;
}
application-set reverse-junos-gprs-gtp {
application reverse-junos-gprs-gtp-c;
application reverse-junos-gprs-gtp-u;
application reverse-junos-gprs-gtp-v0;
}
[edit]
user@host# commit and-quit
commit complete
Exiting configuration mode
user@host> show security policies
Default policy: deny-all
Default policy log Profile ID: 0
Pre ID default policy: permit-all
From zone: trust, To zone: untrust
Policy: t-u, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1, Log Profile ID: 0
Source vrf group: any
Destination vrf group: any
Source addresses: local_GSN_range
Destination addresses: remote_GSN_range
Applications: junos-gprs-gtp, reverse-junos-gprs-gtp
Source identity feeds: any
Destination identity feeds: any
Action: permit, application services
From zone: untrust, To zone: trust
Policy: u-t, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1, Log Profile ID: 0
Source vrf group: any
Destination vrf group: any
Source addresses: remote_GSN_range
Destination addresses: local_GSN_range
Applications: reverse-junos-gprs-gtp, junos-gprs-gtp
Source identity feeds: any
Destination identity feeds: any
Action: permit, application services
Diese Ausgabe zeigt eine Zusammenfassung der Richtlinienkonfiguration.