Configuration de GTP Handover Group
Un groupe de passage au protocole de tunnelisation GPRS (GTP) est un ensemble de SGSN ou de passerelle de service (SGW) avec une bibliothèque de livres d’adresses commune.
Présentation de GTP Handover Group
Un groupe de passage au protocole de tunnelisation GPRS (GTP) est un ensemble de SGSN ou de passerelle de service (SGW) avec une bibliothèque de livres d’adresses commune. Un administrateur peut configurer un profil GTP et associer un groupe de passage au profil GTP. Lorsque le nom d’un groupe de reprise GTP est référencé par un profil GTP, l’équipement vérifie si l’adresse SGSN/SGW actuelle et l’adresse SGSN/SGW proposée sont toutes deux contenues dans le même groupe de passage GTP. Si les deux adresses SGSN/SGW sont contenues dans le même groupe de passage GTP, alors le passage est autorisé. Si les adresses SGSN/SGW actuelles et proposées ne font pas partie du même groupe de passage gtp, alors le profil du groupe de passage par défaut est utilisé.
Le passage de GTP entre différents groupes de passage de GTP n’est pas autorisé.
Vous pouvez configurer le groupe de passage à l’aide de la set security gprs gtp profile profile-name handover-group commande. S’il n’y a pas de groupe de passage défini dans le profil GTP, et si le trafic atteint la stratégie configurée avec ce profil, le passage entre toutes les GTP correspondant à cette stratégie est autorisé par défaut. Le passage est refusé si la commande de configuration est définie à l’aide de la set security gprs gtp handover-default deny commande.
de handover GTP
Par exemple, l’équipement utilisateur accède à Internet via les tunnels GTP construits sur le SGSN et le nœud de support GPRS de la passerelle (GGSN). Le SGSN construit des tunnels GTP vers le GGSN pour transférer les données de l’équipement utilisateur, qui se rattachent au SGSN. Dans une architecture d’itinérance à domicile, un équipement utilisateur itinérant revient au GGSN d’un PLMN domestique (HPLMN) via un SGSN (VSGSN) visité d’un PLMN visité (VPLMN). Si le SGSN original et le SGSN cible 1 comme illustré sur la figure 1 appartiennent au même groupe de passage (HG-1), alors le passage a lieu. Si l’original du SGSN cherche à passer le contrôle à la cible 2 de SGSN, qui fait partie d’un autre groupe de passage (HG-2), alors la remise est refusée.
Comprendre les messages de passage à l’autre de GTP
À partir des versions 15.1X49-D40 et 17.3R1 de Junos OS, la prise en charge des messages de passage gtp est assurée. Pendant les procédures de transfert, des messages de contexte (demande, réponse et reconnaissance) ou de transfert sont envoyés entre la nouvelle et l’ancienne entité de gestion de la mobilité (MME) et SGSN (Service GpRS Support Node). Pour le protocole de tunnelisation GPRS (GTP) version 2, les messages doivent être des messages contextuels ou transférer des messages de déplacement. Par souci de simplicité, ces types de messages sont uniformément appelés messages de passage. Les informations de contexte PDP (Packet Data Protocol) sont acquises à partir de ces messages. Le contexte PDP est configuré sur l’équipement SRX Series lorsque ces messages sont reçus, puis les messages GTP suivants peuvent normalement être inspectés en fonction du nouveau contexte PDP.
Utilisez la commande pour activer la set security gprs gtp profile <profile-name> handover-on-roaming-intf configuration du contexte PDP par le passage de messages. Utilisez la commande pour désactiver la delete security gprs gtp profile <profile-name> handover-on-roaming-intf configuration du contexte PDP par le passage de messages.
Les adresses et les identifiants de points de terminaison de tunnel (TEID) pour le transfert du trafic de données sont également acquis à partir des messages de transfert. En outre, le tunnel de transfert peut être configuré sur les équipements SRX Series pour le transfert du protocole de tunnelisation GPRS et de la vérification du plan utilisateur (GTP-U).
Le passage entre différentes versions de GTP est pris en charge.
Les principales caractéristiques du passage de GTP sont les suivants :
Prise en charge des messages de passage entre GTP et SGSN pour GTPv0, v1 et v2
Inspection des messages de passage entre MME/SGSN
Configuration du contexte et du tunnel de transfert GTP PDP en fonction des informations contenues dans les messages de transfert
Inspection GTP-U pour le transfert du trafic de données
Prise en charge de la mise à jour du contexte PDP en mettant à jour et en modifiant les messages avec différentes versions
Journal et compteur système pour les messages de passage
À partir de la version 15.1X49-D70 de Junos OS et de la version 17.3R1 de Junos OS, le nœud de support GPRS de service (SGSN) et un nœud de support GPRS de passerelle (GGSN) des nœuds GTPv1 ou GTPv2 ne peuvent pas communiquer avec le nœud GTPv0. Si un équipement envoie un message GTPv1 ou GTPv2 pour mettre à jour les tunnels créés par GTPv0, ces messages sont supprimés et le tunnel GTPv0 ne sera pas mis à jour.
Exemple : configuration de groupes de basculement
Cet exemple montre comment configurer des groupes de transition GTP sur des profils GTP.
Exigences
Avant de commencer, vous avez besoin d’un équipement SRX1500, SRX4100, SRX4200, SRX5400, SRX5600 ou SRX5800, ou d’une instance vSRX et d’un équipement utilisateur qui doit se connecter à Internet. Vous aurez également besoin d’un réseau central mobile 3G ou 4G et d’un réseau domestique et visité.
Aperçu
Un équipement utilisateur accède à Internet via SGSN ou Une passerelle de service (SGW) et GGSN ou une passerelle réseau de données de paquets (PGW) dans un réseau central 3G ou 4G. Le SGSN/SGW construit des tunnels GTP vers le GGSN/PGW pour transférer les données de l’équipement utilisateur, qui se rattachent au SGSN/SGW. Dans une architecture d’itinérance à domicile, un équipement utilisateur itinérant revient à son GGSN of home PLMN (HPLMN) via un SGSN (VSGSN) visité d’un PLMN visité (VPLMN). Si l’équipement utilisateur sort de la zone de couverture du SGSN/SGW visité, il est remis à un autre SGSN/SGW visité.
Dans cet exemple, voir figure 2 X-mobile est le PLMN à domicile et le PLMN visité est le Y-mobile et le Z-mobile. Vous pouvez configurer des groupes de passage GTP pour le X-mobile et effectuer le passage au sein du même groupe de passage.
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au [edit] niveau hiérarchique, puis entrez commit à partir du mode de configuration.
set security address-book global address X-mobile-hMME 10.10.10.1/32 set security address-book global address X-mobile-hPGW 10.10.10.2/32 set security address-book global address-set X-mobile address X-mobile-hMME set security address-book global address-set X-mobile address X-mobile-hPGW set security address-book global address-set X-mobile description hPLMN set security address-book global address Y-mobile-vMME-2a 20.20.20.1/32 set security address-book global address Y-mobile-vMME-2b 20.20.20.2/32 set security address-book global address Y-mobile-vSGW-2a 20.20.20.10/32 set security address-book global address Y-mobile-vSGW-2b 20.20.20.11/32 set security address-book global address-set Y-mobile address Y-mobile-vMME-2a set security address-book global address-set Y-mobile address Y-mobile-vMME-2b set security address-book global address-set Y-mobile address Y-mobile-vSGW-2a set security address-book global address-set Y-mobile address Y-mobile-vSGW-2b set security address-book global address-set Y-mobile description vPLMN2 set security address-book global address Z-mobile-vMME-3a 30.30.30.1/32 set security address-book global address Z-mobile-vMME-3b 30.30.30.2/32 set security address-book global address Z-mobile-vSGW-3a 30.30.30.10/32 set security address-book global address Z-mobile-vSGW-3b 30.30.30.11/32 set security address-book global address-set Z-mobile address Z-mobile-vMME-3a set security address-book global address-set Z-mobile address Z-mobile-vMME-3b set security address-book global address-set Z-mobile address Z-mobile-vSGW-3a set security address-book global address-set Z-mobile address Z-mobile-vSGW-3b set security address-book global address-set Z-mobile description vPLMN3 set security address-book global address-set as-AT address-set Z-mobile set security address-book global address-set as-AT address-set Y-mobile set security address-book global address-set as-AT address-set X-mobile set security gprs gtp handover-group hg-AT address-book global address-set as-AT set security gprs gtp profile Scenario-1 handover-on-roaming-intf set security gprs gtp profile Scenario-1 handover-group hg-AT set security zones security-zone vplmn set security zones security-zone hplmn set security policies from-zone vplmn to-zone hplmn policy ply-vh1 match source-address Y-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh2 match source-address Z-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh match destination-address X-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh match application junos-gprs-gtp set security policies from-zone vplmn to-zone hplmn policy ply-vh then permit application-services gprs-gtp-profile Scenario-1 set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match source-address X-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Y-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Z-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match application junos-gprs-gtp set security policies from-zone hplmn to-zone vplmn policy ply-vh-r then permit application-services gprs-gtp-profile Scenario-1
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de Junos OS CLI.
Pour configurer un groupe de handover GTP dans un profil GTP :
Spécifiez les adresses dans le carnet d’adresses.
[edit] user@host# set security address-book global address X-mobile-hMME 10.10.10.1/32 user@host# set security address-book global address X-mobile-hPGW 10.10.10.2/32 user@host# set security address-book global address-set X-mobile address X-mobile-hMME user@host# set security address-book global address-set X-mobile address X-mobile-hPGW user@host# set security address-book global address-set X-mobile description hPLMN user@host# set security address-book global address Y-mobile-vMME-2a 20.20.20.1/32 user@host# set security address-book global address Y-mobile-vMME-2b 20.20.20.2/32 user@host# set security address-book global address Y-mobile-vSGW-2a 20.20.20.10/32 user@host# set security address-book global address Y-mobile-vSGW-2b 20.20.20.11/32 user@host# set security address-book global address-set Y-mobile address Y-mobile-vMME-2a user@host# set security address-book global address-set Y-mobile address Y-mobile-vMME-2b user@host# set security address-book global address-set Y-mobile address Y-mobile-vSGW-2a user@host# set security address-book global address-set Y-mobile address Y-mobile-vSGW-2b user@host# set security address-book global address-set Y-mobile description vPLMN2 user@host# set security address-book global address Z-mobile-vMME-3a 30.30.30.1/32 user@host# set security address-book global address Z-mobile-vMME-3b 30.30.30.2/32 user@host# set security address-book global address Z-mobile-vSGW-3a 30.30.30.10/32 user@host# set security address-book global address Z-mobile-vSGW-3b 30.30.30.11/32 user@host# set security address-book global address-set Z-mobile address Z-mobile-vMME-3a user@host# set security address-book global address-set Z-mobile address Z-mobile-vMME-3b user@host# set security address-book global address-set Z-mobile address Z-mobile-vSGW-3a user@host# set security address-book global address-set Z-mobile address Z-mobile-vSGW-3b user@host# set security address-book global address-set Z-mobile description vPLMN3 user@host# set security address-book global address-set as-AT address-set X-mobile user@host# set security address-book global address-set as-AT address-set Y-mobile user@host# set security address-book global address-set as-AT address-set Z-mobile
Spécifiez le groupe de passage.
user@host# set security gprs gtp handover-group hg-AT address-book global address-set as-AT
Configurez les groupes de passage sur le profil GTP.
user@host# set security gprs gtp profile Scenario-1 handover-on-roaming-intf user@host# set security gprs gtp profile Scenario-1 handover-group hg-AT
Configurez des zones de sécurité pour le profil GTP.
user@host# set security zones security-zone vplmn user@host# set security zones security-zone hplmn
Définissez des stratégies de sécurité pour le profil GTP.
set security policies from-zone vplmn to-zone hplmn policy ply-vh1 match source-address Y-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh2 match source-address Z-mobile user@host# set security policies from-zone vplmn to-zone hplmn policy ply-vh match destination-address X-mobile user@host# set security policies from-zone vplmn to-zone hplmn policy ply-vh then permit application-services gprs-gtp-profile Scenario-1 user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match source-address X-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Y-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Z-mobile user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match application junos-gprs-gtp user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r then permit application-services gprs-gtp-profile Scenario-1
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le show security gprs gtp profile, show security address-booket show security policies la commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security gprs gtp
profile Scenario-1 {
handover-on-roaming-intf;
handover-group {
hg-AT;
}
}
handover-group hg-AT {
address-book global {
address-set {
as-AT;
}
}
}
[edit]
user@host# show security address-book
global {
address X-mobile-hMME 10.10.10.1/32;
address X-mobile-hPGW 10.10.10.2/32;
address Y-mobile-vMME-2a 20.20.20.1/32;
address Y-mobile-vMME-2b 20.20.20.2/32;
address Y-mobile-vSGW-2a 20.20.20.10/32;
address Y-mobile-vSGW-2b 20.20.20.11/32;
address Z-mobile-vMME-3a 30.30.30.1/32;
address Z-mobile-vMME-3b 30.30.30.2/32;
address Z-mobile-vSGW-3a 30.30.30.10/32;
address Z-mobile-vSGW-3b 30.30.30.11/32;
address-set X-mobile {
description hPLMN;
address X-mobile-hMME;
address X-mobile-hPGW;
}
address-set Y-mobile {
description vPLMN2;
address Y-mobile-vMME-2a;
address Y-mobile-vMME-2b;
address Y-mobile-vSGW-2a;
address Y-mobile-vSGW-2b;
}
address-set Z-mobile {
description vPLMN3;
address Z-mobile-vMME-3a;
address Z-mobile-vMME-3b;
address Z-mobile-vSGW-3a;
address Z-mobile-vSGW-3b;
}
address-set as-AT {
address-set Z-mobile;
address-set Y-mobile;
address-set X-mobile;
}
}
[edit]
user@host# show security policies
from-zone vplmn to-zone hplmn {
policy ply-vh {
match {
source-address [ Y-mobile Z-mobile ];
destination-address X-mobile;
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile Scenario-1;
}
}
}
}
}
from-zone hplmn to-zone vplmn {
policy ply-vh-r {
match {
source-address X-mobile;
destination-address [ Y-mobile Z-mobile ];
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile Scenario-1;
}
}
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement. La show security gprs gtp commande affiche tous les groupes de passage configurés pour le profil GTP Scénario 1.