Surveillance du trafic GTP
Le protocole GTP (GPRS Tunneling Protocol) établit un tunnel GTP pour un équipement utilisateur, entre un nœud de prise en charge SGSN (Passerelle de services) et un nœud de prise en charge GPRS de passerelle (GGSN) et une SGSN et une entité de gestion de la mobilité (MME). SgSN reçoit des paquets de l’équipement utilisateur et les encapsule dans un en-tête GTP avant de les faire passer par le tunnel GTP. Lorsque le GGSN reçoit les paquets, il décapant les paquets et les décapant vers l’hôte externe.
Comprendre l’inspection GTP-U
L’inspection du plan de l’utilisateur du protocole de tunneling GPRS (GTP-U) effectue des contrôles de sécurité sur les paquets GTP-U. Lorsque l’inspection GTP-U est activée, les paquets GTP-U non valides sont bloqués et le nœud de prise en charge GPRS (GSN) est protégé contre une attaque GTP-U.
Une fois l’inspection GTP-U activée et selon la configuration de l’équipement, l’inspection GTP-U peut inclure des vérifications sur les paquets GTP-in-GTP, l’autorisation de l’utilisateur final, la validité de la séquence des paquets et la validité du tunnel. En cas de problème de vérification configurée, le paquet GTP-U est abandonné.
Si l’inspection GTP-U est activée alors que la distribution GTP-U est désactivée, le message suivant s’affiche: Il est vivement recommandé que lorsque vous activez GTP-U inspection is enabled, please enable GTP-U distribution to ensure that GTP-U packets are inspected by the proper inspectors, and avoid dropping GTP-U packets wrongly. Execute CLI “set security forwarding-process application-services enable-gtpu-distribution" to enable GTP-U distribution. l’inspection GTP-U, la distribution GTP-U soit également activée.
À partir de Junos OS Release 15.1X49-D100 et Junos OS Release 17.3R1, sur les équipements SRX5400, SRX5600 et SRX5800, si le profil GTP est configuré, le module GTP sélectionne le processeur d’ancrage pour distribuer le trafic UDP à venir sur les ports 2123 et 2152. Si vous ne configurez pas le profil GTP, le module GTP ne fonctionne pas et il ne sélectionne pas le processeur d’ancrage pour le trafic UDP sur les ports 2123 et 2152.
La liste suivante décrit les différents types d’inspections GTP-U exécutées sur le trafic:
GTP-U tunnel check—Le module GTP-U vérifie que le paquet GTP-U est en correspondance avec un tunnel GTP. Si aucun tunnel ne correspond au paquet GTP-U, alors le paquet GTP-U est abandonné.
GTP-in-GTP check—Dans le processeur, le module GTP vérifie que la charge utile GTP-U n’est pas un paquet GTP. Si la charge utile est un paquet GTP, alors le paquet GTP est abandonné.
End-user address check—Si le tunnel utilisateur est trouvé pour le paquet GTP-U, le module GTP-U vérifie l’adresse de l’utilisateur final. Si l’adresse utile GTP-U ne correspond pas à l’adresse de l’utilisateur final, le paquet GTP-U est abandonné.
Depuis Junos OS version 15.1X49-D40 et Junos OS version 17.3R1, l’adresse de l’utilisateur final dans certains scénarios n’est pas transportée par des messages créés par GTP. Par exemple, si le DHCPv4 est utilisé pour l’allocation d’adresse IPv4, le champ d’adresse IPv4 dans le message de création gtP est
0.0.0.0définir. L’équipement utilisateur et le protocole GGSN/PGW obtiennent l’adresse du serveur DHCP. Dans ce scénario, le module GTP ne peut pas obtenir l’adresse de contrôle de l’adresse de l’utilisateur final. Si cette configuration est activée, le message de création gtP est supprimé.Sequence number check—Le module GTP-U compare le numéro de séquence de paquets GTP-U avec le numéro de séquence stocké dans le tunnel GTP-U. S’il ne se trouve pas dans la plage spécifiée, le paquet GTP-U est abandonné. S’il est à portée, le tunnel GTP-U actualise le numéro de séquence et permet au paquet GTP-U de passer.
À l’issue de l’inspection GTP-U, le tunnel GTP-U actualise les compteurs et les compteurs.
Comprendre les améliorations apportées par le tunnel GTP
Un tunnel GTP (GPRS Tunneling Protocol) est un canal entre deux points de prise en charge DU GPRS par lequel deux hôtes échangent des données. Le tunnel GTP se compose du plan de contrôle GTP (GTP-C) et du plan d’utilisateur GTP-U. GTP-C est utilisé pour la signalisation entre le nœud de prise en charge GPRS de passerelle (GGSN) et le nœud de prise en charge GPRS en cours (SGSN), tandis que le tunnel GTP-U est utilisé pour encapsuler et router le trafic du plan d’utilisateur sur plusieurs interfaces de signalisation.
Le traitement GTP est amélioré pour mettre à jour le tunnel GTP et la durée de vie des sessions, afin d’éviter les problèmes de délai d’utilisation du tunnel GTP. La valeur d’timeout du tunnel GTP est configurée dans le profil GTP et liée au tunnel du plan d’utilisateur GTP (GTP-U). La valeur du timer est actualisé lorsque le trafic de données atteint le tunnel GTP-U et que la valeur du timer diminue lorsque le tunnel GTP-U est en état d’inactivité. Le tunnel GTP-U est supprimé lorsque la valeur du timer est zéro et que le tunnel GTP-C correspondant est également supprimé lorsque tous les tunnels GTP-U liés aux tunnels GTP-C sont supprimés.
Lorsque l’inspection GTP-U est désactivée, le trafic de données n’est pas en mesure de mettre à niveau le tunnel GTP-U après l’expiration de la valeur du timer et de l’ensemble des tunnels GTP, même si le trafic de données passe par les tunnels. Dans ce scénario, puisque les tunnels GTP doivent être mis à jour, l’équipement abandonne la demande de mise à jour car le tunnel GTP-U n’est pas présent.
Pour éviter les problèmes de délai d’utilisation du tunnel GTP, même si la validation de l’utilisateur GTP est désactivée, le trafic GTP-U peut actualiser le tunnel GTP. Le trafic GTP-U peut actualiser uniquement les tunnels GTPv1 et GTPv2, et non les tunnels GTPv0. Vous devez configurer la commande pour éviter le temps de vieillissement ou d’expiration des set security forwarding-process application-services enable-gtpu-distribution tunnels GTP.
Le tunnel GTP-U dispose d’un indicateur de session qui est contrôlé lors de l’analyse des tunnels GTP-U. Si le point d’attache de session est présent dans le tunnel, la valeur du timer ne diminue pas et empêche la suppression du tunnel lors de la création du tunnel.
Sur les équipements SRX5400, SRX5600 et SRX5800, le nombre de tunnels GTP pris en charge par SPU est passé de 200 000 à 600 000 tunnels par unité SPU, soit un total de 2 400 000 tunnels par carte SPC2.
Comprendre la validation d’une adresse IP dans les messages GTP
Les adresses IP du message GTP (GPRS Tunneling Protocol) sur Gp ou l’interface S8 sont validées avec la liste de groupe IP configurée afin de prévenir les attaques. La liste des groupes IP est une liste d’adresses IP appartenant à toutes sortes d’équipements réseau. Vous devez configurer les adresses IP qui appartiennent à l’équipement réseau dans la liste des groupes IP.
S8 - Cette interface connecte une SGW dans un PLMN visité (VPLM) et unPGW dans un PLMN à domicile (HPLMN). Le S8 est la variante inter-PLMN du S5. L’interface S8 est équivalente à celle d’un réseau mobile 3G Gp.
Le pare-feu GTP détermine si les adresses IP des messages GTP et s’correspondancent avec la liste de groupe IP configurée, puis les actions suivantes ont lieu-
Si les adresses IP se trouvent dans la liste des groupes IP, les messages GTP sont considérés comme valides et transmis au moteur de paquets et de commutation.
Si les adresses IP ne sont pas répertoriées dans la liste des groupes IP, les messages GTP sont supprimés.
- Configuration de groupe IP dans le message GTP
- Messages GTP pris en charge
- IE impliqués dans la validité des adresses IP
Configuration de groupe IP dans le message GTP
Le groupe IP est une liste d’adresses IP appartenant à toutes sortes d’équipements réseau. Les noms de(s) groupe(s) IP sont référencés dans les profils GTP. Le pare-feu GTP applique des stratégies configurées dans les adresses IP entrantes et sortantes dans le message gtP (GPRS tunneling protocol) mentionné dans les tableaux 2 et 3.
Par exemple, le trafic entre le client et le serveur sur la Figure 1, deux stratégies sont configurées.
GTP Policy Out pour le trafic entre le client et le serveur.
GTP Policy In pour le trafic entre les serveurs et les clients.
Toutes les adresses IP du client et du serveur doivent être configurées dans la liste des groupes IP et liées aux GTP Policy Out GTP Policy In stratégies et aux stratégies.
Deux types de groupes sont introduits pour différentes adresses IP. L’une concerne les groupes d’adresses IP NE, et les autres pour les adresses IP des équipements utilisateurs (UE), répertoriées dans le tableau 1.
Types de réseau |
Adresse IP de l’équipement réseau |
Adresse IP de l’équipement utilisateur |
|---|---|---|
2G (GPRS) et 3G (UMTS) |
RNC, SGSN et GGSN |
Adresse de l’utilisateur final |
4G (LTE) |
eNodeB, MME, SGW et PGW |
Allocation d’adresses PDN (PAA) |
Lorsque les messages GTP viennent à la phase du handler des messages, les adresses IP des équipements réseau groupe d’adresses IP et les groupes d’adresses IP de l’équipement utilisateur sont validés respectivement en fonction des éléments d’informations parés et des informations d’en-tête de l’adresse IP.
Groupe d’adresses IP des équipements réseau: l’en-tête d’adresse IP et l’élément d’information adresse IP dans le message GTP sont comparés avec la liste de groupe d’adresses IP de l’équipement réseau configuré (si nécessaire). Si l’adresse IP NE se trouve dans le groupe configuré d’adresses IP NE, transmettre le paquet de données au groupe d’adresses IP UE autrement le laisser tomber.
Groupe d’adresses IP des équipements utilisateurs: Toutes les adresses IP des utilisateurs finaux sont validées par rapport à la liste des adresses IP de l’équipement utilisateur configuré. Si l’adresse IP de l’équipement utilisateur se trouve dans le groupe d’adresses IP de l’équipement utilisateur configuré, transmettre le paquet de données autrement le laisser tomber.
Messages GTP pris en charge
Il existe de nombreux types de messages qui passent par les interfaces Gp ou S8; certains des messages GTP pris en charge suivent.
Message Type |
GTP Message |
Référence dans TS 29.060 |
|---|---|---|
1 |
Demande d’écho |
7.4.1 |
2 |
Réponse d’écho |
7.4.2 |
16 |
Créer une demande de contexte PDP |
7.5.1 |
17 |
Créer une réponse context propre au PDP |
7.5.2 |
18 |
Mettre à jour la demande de contexte PDP |
7.5.3 |
19 |
Mettre à jour la réponse au contexte du PDP |
7.5.4 |
20 |
Supprimer la demande de contexte PDP |
7.5.5 |
21 |
Supprimer la réponse au contexte PDP |
7.5.6 |
22 |
Créer une demande de contexte PDP AA |
7.5.7 |
23 |
Créer une réponse contextée AA PDP |
7.5.8 |
24 |
Supprimer la demande de contexte AA PDP |
7.5.9 |
25 |
Supprimer la réponse contextcée AA PDP |
7.5.10 |
Message Type |
GTP Message |
Référence dans TS 29.060 |
|---|---|---|
1 |
Demande d’écho |
7.2.1 |
2 |
Réponse d’écho |
7.2.2 |
16 |
Créer une demande de contexte PDP |
7.3.1 |
17 |
Créer une réponse context propre au PDP |
7.3.2 |
18 |
Mettre à jour la demande de contexte PDP |
7.3.3 |
19 |
Mettre à jour la réponse au contexte du PDP |
7.3.4 |
20 |
Supprimer la demande de contexte PDP |
7.3.5 |
21 |
Supprimer la réponse au contexte PDP |
7.3.6 |
Message Type |
GTP Message |
Référence 3GPP TS 29.274 |
|---|---|---|
1 |
Demande d’écho |
23.007 |
2 |
Réponse d’écho |
23.007 |
32 |
Créer une demande de session |
29.274 |
33 |
Créer une réponse de session |
29.274 |
36 |
Supprimer la demande de session |
29.274 |
37 |
Supprimer la réponse de session |
29.274 |
34 |
Modifier la demande de support |
29.274 |
35 |
Modifier la réponse de Bearer |
29.274 |
95 |
Créer une demande de support |
29.274 |
96 |
Créer la réponse de Bearer |
29.274 |
97 |
Mettre à jour la demande de Bearer |
29.274 |
98 |
Mettre à jour la réponse de Bearer |
29.274 |
99 |
Supprimer la demande de bearer |
29.274 |
100 |
Supprimer la réponse Bearer |
29.274 |
IE impliqués dans la validité des adresses IP
Voici les éléments d’information (IE) appartenant à l’interface 3GPP Gp ou S8.
Les adresses E/S sont configurées sur Gp ou l’interface S8. Si un IE inattendu apparaît dans le message, il peut être ignoré et ne pas être vérifié même s’il s’agit d’une adresse IP NE.
GTP Message |
Type d’adresse |
IE Type |
|---|---|---|
Créer une demande de contexte PDP Créer une demande de contexte AA PDP |
Adresse de l’utilisateur final SGSN pour la signalisation adresse SGSN pour le trafic utilisateur |
Adresse de l’utilisateur final Adresse GSN Adresse GSN |
Créer une réponse de contexte PDP Créer une réponse contextée AA PDP |
Adresse de l’utilisateur final GGSN Pour la signalisation Adresse GGSN pour le trafic utilisateur |
Adresse de l’utilisateur final Adresse GSN Adresse GSN |
Mettre à jour la demande de contexte PDP |
Adresse SGSN pour la signalisation Adresse SGSN pour le trafic utilisateur |
Adresse GSN Adresse GSN |
Mettre à jour la réponse au contexte du PDP |
Adresse GGSN pour la signalisation Adresse GGSN pour le trafic utilisateur |
Adresse GSN Adresse GSN |
GTP Message |
Type d’adresse |
IE Type |
|---|---|---|
Créer une demande de contexte PDP |
Adresse de l’utilisateur final SGSN pour la signalisation adresse SGSN pour le trafic utilisateur |
Adresse de l’utilisateur final Adresse GSN Adresse GSN |
Créer une réponse context propre au PDP |
Adresse de l’utilisateur final GGSN Pour la signalisation Adresse GGSN pour le trafic utilisateur Adresse GGSN alternative pour plan de contrôle Adresse GGSN alternative pour le trafic utilisateur |
Adresse de l’utilisateur final Adresse GSN Adresse GSN Adresse GSN Adresse GSN Adresse GSN |
Mettre à jour la demande de contexte PDP (lancée par SGSN) |
Adresse SGSN pour la signalisation Adresse SGSN pour trafic utilisateur Adresse SGSN alternative pour plan de contrôle Adresse SGSN alternative pour le trafic utilisateur |
Adresse GSN Adresse GSN Adresse GSN Adresse GSN Adresse GSN |
Mettre à jour la demande de contexte PDP (lancée par GGSN) |
Adresse de l’utilisateur final |
Adresse de l’utilisateur final |
Mettre à jour la réponse au contexte PDP (par GGSN) |
Adresse GGSN pour la signalisation Adresse GGSN pour le trafic utilisateur Adresse GGSN alternative pour plan de contrôle Adresse GGSN alternative pour le trafic utilisateur |
Adresse GSN Adresse GSN Adresse GSN Adresse GSN Adresse GSN |
Mettre à jour la réponse au contexte PDP (par SGSN) |
Adresse SGSN pour le trafic utilisateur |
Adresse GSN |
Message GTP/Contexte de l’ours |
Type d’adresse |
IE Type |
|---|---|---|
Créer une demande de session |
Expéditeur pour plan de contrôle Allocation des adresses PDN H(e)NB Adresse IP locale MME/S4-SGSN Identifier |
Adresse IP F-TEID PAA Adresse IP |
Créer une demande de session (soutenir le contexte pour être créé) |
S5/S8-U SGW F-TEID |
F-TEID |
Créer une réponse de session |
PGW S5/S8 F-TEID pour l’allocation d’adresse PDN de l’interface du plan de contrôle |
F-TEID PAA |
Créer une réponse de session (contexte Bearer à créer) |
S5/S8-U PGW F-TEID |
F-TEID |
Créer une demande de support (contexte Bearer) |
S5/8-U PGW F-TEID |
F-TEID |
Créer la réponse de Bearer |
Identifiant MME/S4-SGSN |
Adresse IP |
Créer La réponse de Bearer (contexte Bearer) |
S5/8-U SGW F-TEID S5/8-U PGW F-TEID |
F-TEID F-TEID |
Modifier la demande de support |
Adresse de l’expéditeur pour plan de contrôle H(e)NB Adresse IP locale MME/S4-SGSN Identifier |
Adresse IP F-TEID |
Modifier la demande de Support (contexte Bearer) |
S5/8-U SGW F-TEID |
F-TEID |
Supprimer la demande de session |
Adresse de l’expéditeur pour le plan de contrôle |
F-TEID |
Supprimer la réponse Bearer |
Identifiant MME/S4-SGSN |
Adresse IP |
Mettre à jour la réponse de Bearer |
Identifiant MME/S4-SGSN |
Adresse IP |
Exemple: Configurer la validité de l’adresse IP dans les messages GTP
Cet exemple illustre comment vous configurez la validité des adresses IP dans le message GTP (GPRS Tunneling Protocol).
Exigences
SRX Series équipement avec version Junos OS version 19.3R1 ou ultérieure. Cet exemple de configuration est testé sur Junos OS version 19.3R1.
Cet exemple utilise les composants matériels et logiciels suivants:
Vous avez besoin de l’une des instances SRX1500, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 et vSRX instance.
Équipement d’utilisateur qui doit se connecter à Internet. Vous aurez également besoin d’un réseau mobile central 3G ou 4G et d’un réseau à domicile ou visité.
Aperçu
Dans cet exemple, vous configurez la validité de l’adresse IP dans le message GTP (GPRS Tunneling Protocol).
Vous pouvez empêcher une variété d’attaques en validant les adresses IP des paquets entrants et sortants dans les messages GTP par rapport aux adresses IP configurées dans la liste de groupe IP. Le groupe IP est une liste d’adresses IP appartenant à toutes sortes d’équipements réseau. Les noms de(s) groupe(s) IP sont référencés dans les profils GTP. Le pare-feu GTP applique des stratégies configurées dans les adresses IP entrantes et sortantes dans les messages GTP (GPRS Tunneling Protocol).
Configurer l’adresse IP dans les messages GTP
CLI configuration rapide
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez-les et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez en mode [edit] commit de configuration.
Procédure
CLI configuration rapide
set security gprs gtp profile gtp1 timeout 1 set security gprs gtp profile gtp1 log forwarded detail set security gprs gtp profile gtp1 log state-invalid detail set security gprs gtp profile gtp1 log prohibited detail set security gprs gtp profile gtp1 log gtp-u all set security gprs gtp profile gtp1 log gtp-u dropped set security gprs gtp profile gtp1 restart-path echo set security gprs gtp profile gtp1 req-timeout 30 set security gprs gtp traceoptions file debug_gtp set security gprs gtp traceoptions file size 1000m security gprs gtp traceoptions flag all set security gprs gtp gsn timeout 1 set security zones security-zone SGSN_1 set security zones security-zone SGSN_0 set security zones security-zone SGSN_2 set security address-book global address att-mme 192.0.2.0/24 set security address-book global address att-sgw 192.51.100.0/24 set security address-book global address china-mobile-pgw 203.0.113.0/24 set security address-book global address ue-mobile 203.0.113.1/24 set security address-book global address-set ne-group-as address china-mobile-pgw set security address-book global address-set ne-group-as address att-mme set security address-book global address-set ne-group-as address att-sgw set security address-book global address-set ue-group-as address ue-mobile set security gprs gtp ip-group ng1 address-book global address-set ne-group-as set security gprs gtp ip-group ug1 address-book global address-set ue-group-as set security gprs gtp profile gtp1 ne-group ng1 set security gprs gtp profile gtp1 ue-group ug1 set security policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match source-address any set security policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match destination-address any set security policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match application any set security policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 then permit application-services gprs-gtp-profile gtp1 set security policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match source-address any set security policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match destination-address any set security policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match application any set security policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN then permit application-services gprs-gtp-profile gtp1 set security policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match source-address any set security policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match destination-address any set security policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match application any set security policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 then permit application-services gprs-gtp-profile gtp1
Pour configurer l’adresse IP dans les messages GTP:
L’exemple suivant vous oblige à naviguer dans différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.
Procédure étape par étape
Configurez un profil GTP pour traiter le trafic qui va vers le pare-feu GTP.
[edit security gprs] user@host# set gtp profile gtp1 timeout 1 user@host# set gtp profile gtp1 log forwarded detail user@host# set gtp profile gtp1 log state-invalid detail user@host# set gtp profile gtp1 log prohibited detail user@host# set gtp profile gtp1 log gtp-u all user@host# set gtp profile gtp1 log gtp-u dropped user@host# set gtp profile gtp1 restart-path echo user@host# set gtp profile gtp1 req-timeout 30 user@host# set gtp traceoptions file debug_gtp user@host# set gtp traceoptions file size 1000m user@host# set gtp traceoptions flag all user@host# set gtp gsn timeout 1
Configurez la zone de sécurité pour prendre en charge le trafic entrant et sortant pour tous les services système pour toutes les interfaces connectées.
[edit security zones] user@host# set security-zone SGSN_1 user@host# set security-zone SGSN_0 user@host# set security-zone SGSN_2
Indiquez l’adresse IP du carnet d’adresses global, ces adresses IP sont utilisées pour valider les adresses IP dans les messages GTP entrants ou sortants.
[edit security address-book global] user@host# set address att-mme 192.0.2.0/24 user@host# set address att-sgw 192.51.100.0/24 user@host# set address china-mobile-pgw 203.0.113.0/24 user@host# set address ue-mobile 203.0.113.1/24 user@host# set address-set ne-group-as address china-mobile-pgw user@host# set address-set ne-group-as address att-mme user@host# set address-set ne-group-as address att-sgw user@host# set ddress-set ue-group-as address ue-mobile
Configurez l’équipement réseau défini et le groupe d’adresses IP du groupe d’adresses IP. Cette liste de groupe IP est utilisée dans les messages GTP.
[edit security gprs] user@host# set gtp ip-group ng1 address-book global address-set ne-group-as user@host# set gtp ip-group ug1 address-book global address-set ue-group-as
Appliquer le profil GTP aux groupes d’équipements réseau et d’utilisateurs.
[edit security gprs] user@host# set gtp profile gtp1 ne-group ng1 user@host# set gtp profile gtp1 ue-group ug1
Activez le service GTP dans les stratégies de sécurité.
[edit security] user@host# set policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match source-address any user@host# set policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match destination-address any user@host# set policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match application any user@host# set policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 then permit application-services gprs-gtp-profile gtp1 user@host# set policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match source-address any user@host# set policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match destination-address any user@host# set policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match application any user@host# set policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN then permit application-services gprs-gtp-profile gtp1 user@host# set policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match source-address any user@host# set policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match destination-address any user@host# set policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match application any user@host# set policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 then permit application-services gprs-gtp-profile gtp1
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant la show security gprs commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.
[edit]
user@host# show security gprs
gtp {
profile GTP {
timeout 1;
log {
forwarded detail;
state-invalid detail;
prohibited detail;
gtp-u all;
gtp-u dropped;
}
restart-path echo;
req-timeout 30;
}
profile gtp1 {
ne-group {
ng1;
}
ue-group {
ug1;
}
}
traceoptions {
file debug_gtp size 1000m;
flag all;
}
gsn {
timeout 1;
}
ip-group ng1 {
address-book global {
address-set {
ne-group-as;
}
}
}
ip-group ug1 {
address-book global {
address-set {
ue-group-as;
}
}
}
}
À partir du mode de configuration, confirmez votre configuration en entrant la show security zones commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.
[edit] user@host# show security zones security-zone SGSN_1; security-zone SGSN_0; security-zone SGSN_2;
À partir du mode de configuration, confirmez votre configuration en entrant la show security address-book commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.
[edit]
user@host# show security address-book
global {
address att-mme 192.0.2.0/24;
address att-sgw 192.51.100.0/24;
address china-mobile-pgw 192.51.100.0/24;
address ue-mobile 203.0.113.1/24;
address-set ne-group-as {
address china-mobile-pgw;
address att-mme;
address att-sgw;
}
address-set ue-group-as {
address ue-mobile;
}
}
À partir du mode de configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.
[edit]
user@host# show security policies
from-zone SGSN_1 to-zone SGSN_0 {
policy HSGSN_VSGSN1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
gprs-gtp-profile GTP;
}
}
}
}
}
from-zone SGSN_2 to-zone SGSN_0 {
policy VSGSN1_HSGSN {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
gprs-gtp-profile GTP;
}
}
}
}
}
from-zone SGSN_2 to-zone SGSN_1 {
policy HSGSN_VSGSN2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
gprs-gtp-profile GTP;
}
}
}
}
}
Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, exécutez les tâches suivantes:
Vérifier le groupe IP
But
Vérifiez que le groupe IP est configuré.
Action
Utilisez la show security gprs gtp ip-group commande pour obtenir les détails du groupe IP configuré.
All configured IP group:
Group name Address book name Address set name
ng1 global ne-group-as
ug1 global ue-group-as
Vérifier le profil GTP
But
Vérifiez que le profil GTP est configuré.
Action
Utilisez la show security gprs gtp configuration 1 commande pour obtenir les détails du groupe IP configuré.
Profile Details:
Index : 2
Min Message Length : 0
Max Message Length : 65535
Timeout : 24
Rate Limit : 0
Request Timeout : 5
Remove R6 : 0
Remove R7 : 0
Remove R8 : 0
Remove R9 : 0
Deny Nested GTP : 0
Validated : 0
Passive learning enable : 0
Restart Path : 0
Log Forwarded : 0
Log State Invalid : 0
Log Prohibited : 0
Log Ratelimited : 0
Frequency Number : 0
Drop AA Create PDU : 0
Drop AA Delete PDU : 0
Drop Bearer Resource : 0
Drop Change Notification : 0
Drop Config Transfer : 0
Drop Context : 0
Drop Create Bear : 0
Drop Create Data Forwarding : 0
Drop Create PDU : 0
Drop Create Session : 0
Drop Create Forwarding Tnl : 0
Drop CS Paging : 0
Drop Data Record : 0
Drop Delete Bearer : 0
Drop Delete Command : 0
Drop Delete Data Forwarding : 0
Drop Delete PDN : 0
Drop Delete PDP : 0
Drop Delete Session : 0
Drop Detach : 0
Drop Downlink Notification : 0
Drop Echo : 0
Drop Error Indication : 0
Drop Failure Report : 0
Drop FWD Access : 0
Drop FWD Relocation : 0
Drop FWD SRNS Context : 0
Drop G-PDU : 0
Drop Identification : 0
Drop MBMS Sess Start : 0
Drop MBMS Sess Stop : 0
Drop MBMS Sess Update : 0
Drop Modify Bearer : 0
Drop Modify Command : 0
Drop Node Alive : 0
Drop Note MS Present : 0
Drop PDU Notification : 0
Drop Ran Info : 0
Drop Redirection : 0
Drop Release Access : 0
Drop Relocation Cancel : 0
Drop Resume : 0
Drop Send Route : 0
Drop SGSN Context : 0
Drop Stop Paging : 0
Drop Supported Extension : 0
Drop Suspend : 0
Drop Trace Session : 0
Drop Update Bearer : 0
Drop Update PDN : 0
Drop Update PDP : 0
Drop Ver Not Supported : 0
Handover group name : N/A
NE group name : ng1
UE group name : ug1