Assurer l’interopérabilité GTP entre les réseaux 2G et 3G

Les éléments d’information (IE) sont inclus dans tous les paquets de messages de contrôle GTP (GPRS Tunneling Protocol). Les IE fournissent des informations sur les tunnels GTP, telles que la création, la modification, la suppression et l’état. Junos OS prend en charge les IE conformément aux versions 6, 7, 8 et 9 du projet de partenariat de troisième génération (3GPP). Si vous avez des accords contractuels avec des opérateurs exécutant des versions antérieures de 3GPP, vous pouvez réduire les coûts réseau en limitant les messages de contrôle contenant des EE non pris en charge.

Si un nouvel élément d’information (IE) est introduit, il n’y aura pas de chute dans les messages GTP, car GTP les transmet même s’il rencontre de nouvelles IE inconnues.

La fonctionnalité de suppression des éléments d’information (EE) du projet de partenariat de troisième génération (3GPP) R6, R7, R8 et R9 vous permet de conserver l’interopérabilité en itinérance entre les réseaux 2GPP et 3GPP. Vous pouvez configurer l’équipement Juniper Networks conscient du protocole de tunnelisation GPRS (GTP), résidant à la frontière d’un réseau mobile terrestre public (PLMN) et d’un GPRS Roaming Exchange (GRX) et agissant comme un pare-feu Gp, pour supprimer les attributs spécifiques au 3GPP de l’en-tête de paquet GTP lorsque le paquet passe dans un réseau 2GPP. Vous pouvez configurer l’équipement pour supprimer les messages GTP de restriction RAT, RAI, Common Flags, ULI, MS Time Zone, IMEI-SV et APN (Access Point Name) des messages GTP avant de les transférer vers le nœud de prise en charge GPRS de la passerelle (GGSN).

Junos OS prend en charge tous les IE R6 3GPP pour GTP), comme indiqué dans le tableau 1.

Tableau 1 : Éléments d’information pris en charge

Valeur du type IE	Élément d’information
1	Cause
2	Identité internationale des abonnés mobiles (IMSI)
3	Identité de zone de routage (REI)
4	Identité de liaison logique temporaire (TLLI)
5	Packet TMSI (P-TMSI)
8	Récommandation requise
9	Triplet d’authentification
11	MAP Cause
12	P-TMSI Signature
13	Validé par MS
14	Récupération
15	Mode de sélection
16	Données d’identification des points de terminaison de tunnel I
17	Plan de contrôle de l’identifiant des points de terminaison du tunnel
18	Données d’identification de point de terminaison de tunnel II
19	Id de démontage
20	NSAPI
21	RANAP Cause
22	Contexte RAB
23	Priorité radio SMS
24	Priorité radio
25	ID de flux de paquets
26	Caractéristiques de charge
27	Référence de trace
28	Trace Type
29	Raison ms inaccessible
127	Id de facturation
128	Adresse de l’utilisateur final
129	Contexte MM
130	Contexte PDP
131	Nom du point d’accès
132	Options de configuration du protocole
133	Adresse GSN
134	Numéro MS International PSTN/ISDN (MSISDN)
135	Profil de qualité de service
136	Quintuplet d’authentification
137	Modèle de flux de trafic
138	Identification de la cible
139	Conteneur transparent UTRAN
140	Informations de configuration RAB
141	Liste des types d’en-têtes d’extension
142	Id de déclenchement
143	Identité OMC
144	Conteneur transparent RAN
145	Hiérarchisation du contexte PDP
146	Informations supplémentaires sur la configuration DU RAB
147	Numéro SGSN
148	Indicateurs communs
149	APN Restriction
150	Priorité radio LCS
151	RAT Type
152	Informations de localisation de l’utilisateur
153	Fuseau horaire MS
154	IMEI-SV
155	Conteneur d’informations de chargement CAMEL
156	Contexte UE MBMS
157	Identité de groupe mobile temporaire (TMGI)
158	Adresse de routage RIM
159	Options de configuration du protocole MBMS
160	Zone de service MBMS
161	Informations de contexte PDCP TNC source
162	Informations de trace supplémentaires
163	Compteur de sauts
164	ID PLMN sélectionné
165	Identifiant de session MBMS
166	Indicateur MBMS2G/3G
167	NSAPI amélioré
168	Durée de la session MBMS
169	Informations de suivi MBMS supplémentaires
173	Conteneur BSS
174	Identification des cellules
175	Numéros PDU
176	BSSGP Cause
178	Discriminateur d’adresses de routage RIM
179	Liste des SPPC configurés
180	Paramètres DU XID de la commande PS
188	INFORMATIONS FIABLES SUR LE PASSAGE À L’INTER RAT
251	Adresse de la passerelle de facturation
255	Extension privée

Junos OS prend en charge toutes les IE 3GPP R7 pour GTP, comme indiqué dans le tableau 2.

Tableau 2 : Éléments d’information pris en charge

Valeur du type IE	Élément d’information
172	Contexte de la demande de passage d’un PS
181	Action du rapport de changement MS Info
182	Indicateurs de tunnel direct
183	ID de corrélation
184	Mode de contrôle du porteur

Junos OS prend en charge toutes les IE 3GPP R8 pour GTP, comme indiqué dans le tableau 3.

Tableau 3 : Éléments d’information pris en charge

Valeur du type IE	Élément d’information
189	Indice RFSP

Junos OS prend en charge toutes les IE 3GPP R9 pour GTP, comme indiqué dans le tableau 4.

Tableau 4 : Éléments d’information pris en charge

Valeur du type IE	Élément d’information
190	Nom de domaine complet (FQDN)
191	Allocation/rétention évoluée Priorité 1
192	Priorité 2 : allocation/rétention évoluée
193	Indicateurs communs étendus
194	Informations sur les utilisateurs CSG (UCI)
195	Action de reporting d’informations CSG
196	CSG ID
197	Indication d’adhésion À la CSG (CMI)
198	Débit maximal agrégé (AMBR)

Cet exemple montre comment supprimer des éléments d’information R6 des messages GTP.

Le nombre d’éléments réseau dans un réseau mobile augmente avec l’introduction de multiples versions des spécifications 3GPP. Chaque version introduit de nouveaux éléments d’information (IE) qui ne sont pas définis dans les versions précédentes. Par conséquent, les réseaux mobiles disposent d’un ensemble varié d’éléments réseau qui créent des problèmes d’interopérabilité entre les différentes versions des équipements. Vous pouvez configurer le pare-feu GPRS Tunneling Protocol (GTP) pour supprimer les éléments d’information (IE) en publiant la commande suivante.

set security gprs gtp profile gtp1 remove-ie.

Toutefois, les nouvelles IE qui seront introduites dans les futures versions peuvent également causer des problèmes d’interopérabilité. Chaque élément d’information a un ID unique, le numéro IE. Les nombres IE vont de 1 à 255. Vous pouvez configurer le pare-feu GTP pour supprimer des ADRESSES spécifiques à l’aide du numéro IE configuré par l’utilisateur.

Lorsque vous configurez la suppression d’IE, le pare-feu GTP supprime les IE correspondantes des messages GTPv1 ; met à jour la longueur du GTP, de l’UDP et de l’IP ; puis passe le message GTPv1. Le pare-feu GTP met également à jour le code de vérification de redondance cyclique (CRC). La suppression par numéro IE prend en charge toutes les IE, allant de 1 à 255.

Vous pouvez supprimer la configuration de suppression d’IE avec les commandes suivantes :

delete security gprs gtp profile gtp1 remove-ie: supprime la configuration de suppression d’IE pour le profil GTP GTP1.

delete security gprs gtp profile gtp1 remove-ie version v1 number 4: supprime la configuration de suppression d’IE pour le profil GTP avec les versions v1 et IE numéro 4.

À partir de la version 20.2R1, Junos OS prend en charge la fonctionnalité de suppression d’IE pour GTPv1-C et GTPv2-C.

Cet exemple montre comment configurer l’interface GTP (Tunelling Protocol) GPRS de l’équipement de sécurité afin de supprimer les e-mails configurés par l’utilisateur des messages GTP.

Les éléments d’information (IE) sont inclus dans tous les paquets de messages de contrôle GTPv2 (GPRS Tunneling Protocol version 2). Les IE fournissent des informations sur les tunnels GTPv2, telles que la création, la modification, la suppression et l’état. Le système d’exploitation Junos (Junos OS) prend en charge les IE conformément au projet de partenariat de troisième génération (3GPP) version 8.

À partir de la version 20.2R1 de Junos OS, une nouvelle fonction d’application IE, la vérification obligatoire est prise en charge pour vérifier la présence d’IE qui doivent être contenues dans un message GTP. La prise en charge d’une fonctionnalité existante de suppression d’IE est étendue de GTPv1-C à GTPv1-C et GTPv2-C.

Must-IE check: vous pouvez utiliser cette fonction pour vérifier la présence d’IE qui doivent être contenues dans un message GTP. Il s’agit d’une fonction de vérification de l’intégrité du message GTP. Les IE obligatoires ne se limitent pas aux IE obligatoires dans le TS 3GPP. Vous pouvez définir n’importe quel IE comme un élément indispensable dans un message en fonction de vos versions GTPv1 ou GTPv2 et de vos interfaces GTPv1 ou GTPv2. L’équipement vérifie la présence d’IE obligatoires de messages GTP spécifiques et transfère les messages uniquement si des IE obligatoires sont présents. Nous avons mis en œuvre la vérification obligatoire avec des configurations de profil de message flexibles, ce qui vous aide à définir des IE obligatoires pour les messages intéressés. Outre les configurations de profil de message appropriées, la vérification obligatoire peut facilement prendre en charge n’importe quelle version GTP, format de message ou statut IE.

IE removal— Vous pouvez utiliser cette fonctionnalité pour conserver l’interopérabilité entre les réseaux des projets de partenariat de deuxième génération (2GPP) et des projets de partenariat de troisième génération (3GPP). Vous pouvez supprimer des adresses IP de types spécifiques de tous les messages pour GTPv1 et GTPv2. Chaque élément d’information a un ID unique, le numéro IE. Les nombres IE vont de 1 à 255. Vous pouvez utiliser la suppression d’IE pour configurer le pare-feu GTP afin de supprimer des adresses d’accès spécifiques à l’aide du numéro IE configuré par l’utilisateur. Il permet de communiquer entre les entités GTP dont les protocoles GTP sont de versions différentes. La suppression d’IE permet de supprimer toutes les instances d’IE spécifiées, telles que la prise en charge d’IE, d’un IE groupé, d’un IE intégré ou d’un IE groupé intégré.

RÉSUMÉ  Vous pouvez activer cette fonction pour vérifier la présence d’IE dans les messages GTPv1 et GTPv2. Cela permet de vérifier l’intégrité des messages. Vous pouvez définir n’importe quel IE comme un élément indispensable dans un message en fonction de vos versions GTPv1 ou GTPv2 et de vos interfaces GTPv1 ou GTPv2. L’équipement vérifie la présence d’IE obligatoires de messages GTP spécifiques et transfère les messages uniquement si des IE obligatoires sont présents.

RÉSUMÉ  Vous pouvez activer cette fonction pour supprimer des ADRESSES de type spécifique de tous les messages pour GTPv1 et GTPv2. Cela permet de conserver l’interopérabilité entre les réseaux des projets de partenariat de deuxième génération (2GPP) et des réseaux du projet de partenariat de troisième génération (3GPP).

Un nom de point d’accès (APN) est un élément d’information (IE) inclus dans l’en-tête d’un paquet GTP (GPRS Tunneling Protocol) qui fournit des informations sur la façon d’atteindre un réseau. Un APN comprend deux éléments :

• ID réseau : identifie le nom d’un réseau externe tel que example.com.

• ID de l’opérateur : identifie de manière unique le réseau mobile des terrains publics (PLMN) de l’opérateur, tel que mnc123.mcc456.

Par défaut, l’équipement autorise tous les APN. Toutefois, vous pouvez configurer l’équipement pour qu’il effectue un filtrage APN afin de restreindre l’accès des abonnés en itinérance aux réseaux externes.

Pour activer le filtrage APN, vous devez spécifier un ou plusieurs APN. Pour spécifier un APN, vous devez connaître le nom de domaine du réseau (par exemple, example.com) et, éventuellement, l’ID de l’opérateur. Étant donné que la partie nom de domaine (ID réseau) d’un APN peut potentiellement être très longue et contenir de nombreux caractères, vous pouvez utiliser le caractère générique (*) comme premier caractère de l’APN. Le caractère générique indique que l’APN ne se limite pas seulement à example.com, mais inclut également tous les caractères qui pourraient le précéder.

Vous pouvez également définir un mode de sélection pour l’APN. Le mode de sélection indique l’origine de l’APN et si le registre de localisation à domicile (HLR) a vérifié ou non l’abonnement de l’utilisateur. Vous définissez le mode de sélection en fonction des besoins de sécurité de votre réseau. Les modes de sélection possibles sont les suivants :

• Mobile Station : APN fourni par une station mobile, abonnement non vérifié.

  Ce mode de sélection indique que la station mobile (MS) a fourni l’APN et que le HLR n’a pas vérifié l’abonnement de l’utilisateur au réseau.

• Réseau : APN fourni par le réseau, abonnement non vérifié.

  Ce mode de sélection indique que le réseau a fourni un APN par défaut parce que le MS n’en a pas spécifié un, et que le HLR n’a pas vérifié l’abonnement de l’utilisateur au réseau.

• Vérifié : MS ou APN fourni par le réseau, abonnement vérifié.

  Ce mode de sélection indique que le MS ou le réseau a fourni l’APN et que le HLR a vérifié l’abonnement de l’utilisateur au réseau.

Le filtrage APN s’applique uniquement aux messages create-pdp-request. Lorsqu’il effectue un filtrage APN, l’équipement inspecte les paquets GTP pour rechercher des APN qui correspondent aux APN que vous avez définis. Si l’APN d’un paquet GTP correspond à un APN que vous avez spécifié, l’équipement vérifie alors le mode de sélection et transfère le paquet GTP uniquement si l’APN et le mode de sélection correspondent à l’APN et au mode de sélection que vous avez spécifié. Le filtrage APN étant basé sur des correspondances parfaites, l’utilisation du caractère générique (*) pour définir un suffix APN peut empêcher l’exclusion accidentelle d’APN que vous autoriseriez autrement.

En outre, l’équipement peut filtrer les paquets GTP en fonction de la combinaison d’un préfixe IMSI (International Mobile Subscriber Identity) et d’un APN. Lorsque vous filtrez des paquets GTP en fonction d’un préfixe IMSI, vous devez également spécifier un APN.

Une chaîne APN est sensible à la casse. Par exemple, dans l’exemple suivant, vous définissez deux chaînes APN, WWW.EXAMPLE.COM et www.example.com, avec la même valeur de préfixe IMSI. Dans cette configuration, la chaîne minuscule s’affiche après la chaîne en majuscule et le paquet est supprimé.

user@host# show configuration security gprs gtp | display set

set security gprs gtp profile test apn WWW.EXAMPLE.COM imsi-prefix * action pass

set security gprs gtp profile test apn www.example.com imsi-prefix * action drop

Si un APN est configuré avec deux entrées de préfixe IMSI, alors le préfixe IMSI avec la correspondance la plus longue prend la priorité. Par exemple, consultez la configuration suivante :

user@host# show configuration security gprs gtp | display set

set security gprs gtp profile test apn WWW.EXAMPLE.COM imsi-prefix 12345678 action pass

set security gprs gtp profile test apn www.example.com imsi-prefix 12345 action drop

Si la valeur d’un paquet entrant correspond à la valeur du préfixe IMSI 12345678, le paquet passera. La valeur de préfixe IMSI 12345678 a priorité sur la valeur de préfixe IMSI 12345, car le préfixe IMSI correspondant le plus long prend la priorité.

Cet exemple montre comment définir un APN GTP et un mode de sélection.

Un nœud de support GPRS (GSN) identifie une station mobile (MS) par son identité de station mobile internationale (IMSI). Un IMSI se compose de trois éléments : le code de pays mobile (MCC), le code de réseau mobile (MNC) et le numéro d’identification des abonnés mobiles (MSIN). Le MCC et le MNC combinés constituent le préfixe IMSI et identifient le réseau domestique de l’abonné mobile, ou le réseau mobile terrestre public (PLMN).

En définissant les préfixes IMSI, vous pouvez configurer l’équipement pour refuser le trafic GTP (GPRS Tunneling Protocol) provenant de partenaires non-utilisateurs. Par défaut, un équipement n’effectue pas de filtrage de préfixe IMSI sur les paquets GTP. En définissant les préfixes IMSI, vous configurez l’équipement pour filtrer les messages create-pdp-request et n’autoriser que les paquets GTP avec des préfixes IMSI qui correspondent à ceux que vous avez définis. L’équipement autorise les paquets GTP avec des préfixes IMSI qui ne correspondent à aucun des préfixes IMSI que vous avez définis. Pour bloquer les paquets GTP avec des préfixes IMSI qui ne correspondent à aucun des préfixes IMSI définis, utilisez un caractère générique explicite pour le filtre IMSI, et l’action de drop doit être la dernière stratégie de filtrage de préfixe IMSI.

Lorsque vous filtrez des paquets GTP en fonction d’un préfixe IMSI, vous devez également spécifier un APN.

Cet exemple montre comment définir et combiner le préfixe IMSI et le filtre APN.

Un nœud de support GPRS (GSN) identifie une station mobile (MS) par son identité d’abonné mobile international (IMSI). Un IMSI comprend trois éléments : le code de pays mobile (MCC), le code de réseau mobile (MNC) et le numéro d’identification des abonnés mobiles (MSIN). Le MCC est un nombre à trois chiffres, et le MNC est un nombre à deux ou trois chiffres. Le MCC et le MNC combinés constituent le préfixe IMSI et identifient le réseau domestique de l’abonné mobile ou le réseau mobile terrestre public (PLMN). Par conséquent, le préfixe IMSI agit comme l’identifiant PLMN et est utilisé pour identifier les partenaires d’itinérance valides.

Par défaut, un équipement n’effectue pas de filtrage de préfixes IMSI sur les paquets GPRS tunneling protocol version 2 (GTPv2). En définissant les préfixes IMSI, vous configurez l’équipement pour filtrer les messages de création de session-demande et n’autoriser que les paquets GTPv2 avec des préfixes IMSI qui correspondent à ceux que vous avez définis.

Lorsque vous filtrez des paquets GTPv2 en fonction d’un préfixe IMSI, vous devez également spécifier un nom de point d’accès (APN).

Un APN est un élément d’information (IE) inclus dans l’en-tête d’un paquet GTPv2 qui fournit des informations sur la façon d’atteindre un réseau. Un APN comprend deux éléments :

• ID réseau : identifie le nom d’un réseau externe, comme example.com.

• ID de l’opérateur : identifie de manière unique le PLMN des opérateurs, par exemple mnc123.mcc789.gprs.

Par exemple, example.com.mnc123.mcc789.gprs est un APN permettant d’atteindre le réseau example.com via l’opérateur mnc123.mcc789.gprs.

Par défaut, un équipement n’effectue pas de filtrage APN sur les paquets GTPv2. Toutefois, vous pouvez configurer l’équipement pour qu’il effectue un filtrage APN afin de restreindre l’accès des abonnés en itinérance aux réseaux externes.

Vous pouvez utiliser l’instruction set security gprs gtp profile profile name apn pattern-string imsi-prefix imsi-prefix-digits action (pass |drop |selection) de configuration pour filtrer les paquets en fonction de la combinaison d’un préfixe IMSI et d’un APN.

Pour spécifier un APN, vous devez connaître l’ID du réseau ou le nom de domaine du réseau (par exemple, example.com) et, éventuellement, l’ID de l’opérateur. Comme la partie ID réseau d’un APN peut être très longue, vous pouvez utiliser le caractère générique (*) comme premier caractère de la chaîne APN. Par exemple, si vous utilisez *.example.com comme ID réseau, le caractère générique indique que l’APN ne se limite pas seulement à example.com, mais inclut également tous les caractères susceptibles de le précéder.

Vous pouvez utiliser l’option selection pour définir un mode de sélection pour l’APN. Le mode de sélection indique l’origine de l’APN et si le registre de localisation à domicile (HLR) a vérifié ou non l’abonnement de l’utilisateur. Vous définissez le mode de sélection en fonction des besoins de sécurité de votre réseau. Les modes de sélection possibles sont les suivants :

• ms — APN fourni par MS, l’abonnement n’est pas vérifié.

• net : L’APN fourni par le réseau, l’abonnement n’est pas vérifié.

• vrf : APN fourni par MS ou fourni par le réseau, l’abonnement est vérifié.

Vous pouvez utiliser l’option drop d’abandonner tous les APN et l’option pass de passer tous les APN pour n’importe quel mode de sélection.

Lors du filtrage APN, l’équipement inspecte les paquets pour rechercher des APN qui correspondent aux APN que vous avez définis. Si l’APN d’un paquet correspond à un APN que vous avez spécifié, l’équipement vérifie le mode de sélection et transfère le paquet GTPv2.

L’équipement transfère le paquet GTPv2 uniquement si l’APN et le mode de sélection correspondent à l’APN et au mode de sélection que vous avez spécifié.

Le filtrage APN étant basé sur des correspondances parfaites, l’utilisation du caractère générique (*) pour définir un suffix APN peut empêcher l’exclusion accidentelle d’APN que vous autoriseriez autrement.

Le préfixe IMSI et le filtrage APN s’appliquent uniquement à la création de messages de demande de session.