SUR CETTE PAGE
Exemple : définition du filtrage GTP de la longueur du message
Comprendre la limitation du débit pour les messages de contrôle GTP
Comprendre la limitation du débit de chemin pour les messages de contrôle GTP
Exemple : limitation du débit des messages et du chemin pour les messages de contrôle GTP
Exemple : activation de la validation des numéros de séquence GTP
Filtrage des messages GTPv1
Un paquet GTP contient le corps du message, le protocole GTP, le protocole UDP et les en-têtes IP. Un paquet GTP est transmis ou abandonné en fonction des filtres de messages GTP. Les messages GTP sont filtrés en fonction de la longueur du message et du type de message.
Comprendre le filtrage des messages GTP
Lorsque l’équipement reçoit un paquet GTP (GPRS Tunneling Protocol), il vérifie le paquet en fonction des stratégies configurées sur l’équipement. Si le paquet correspond à une stratégie, l’unité inspecte le paquet en fonction de la configuration GTP appliquée à la stratégie. Si le paquet ne respecte pas l’un des paramètres de configuration GTP, l’unité transmet ou abandonne les paquets en fonction de la configuration de l’objet d’inspection GTP.
Un paquet GTP se compose du corps du message et de trois en-têtes : GTP, UDP et IP. Si le paquet IP résultant est plus grand que l’unité de transmission maximale (MTU) sur la liaison de transfert, le nœud d’assistance SGSN (Serving GPRS Support Node) ou le nœud de prise en charge GPRS (GGSN) de la passerelle en cours d’envoi effectue une fragmentation IP.
Par défaut, l’équipement met en mémoire tampon les fragments IP jusqu’à ce qu’il reçoive un message GTP complet, puis inspecte le message GTP.
Comprendre le filtrage gtp de la longueur du message
Vous pouvez configurer l’unité pour qu’elle dépose des paquets qui ne correspondent pas à vos longueurs de message minimales ou maximales spécifiées. Dans l’en-tête GTP (GPRS tunneling protocol), le champ de longueur du message indique la longueur, en octets, de la charge utile GTP. Il n’inclut pas la longueur de l’en-tête GTP lui-même, de l’en-tête UDP ou de l’en-tête IP. Les longueurs de message GTP minimales et maximales par défaut sont respectivement de 0 et 65 535 octets.
Comprendre le filtrage GTP de type de message
Vous pouvez configurer l’unité pour filtrer les paquets GTP (GPRS Tunneling Protocol) et les autoriser ou les refuser en fonction de leur type de message. Par défaut, l’unité autorise tous les types de messages GTP.
Un type de message GTP comprend un ou plusieurs messages. Lorsque vous autorisez ou refusez un type de message, vous autorisez ou refusez automatiquement tous les messages du type spécifié. Par exemple, si vous choisissez d’abandonner le type de message contextuel sgsn, vous déposez ainsi les messages sgsn-context-request, sgsn-context-response et sgsn-context-acknowledge.
Vous autorisez et refusez les types de messages en fonction du numéro de version de GTP. Par exemple, vous pouvez refuser les types de messages pour une version tandis que vous les autorisez pour l’autre version.
Exemple : définition du filtrage GTP de la longueur du message
Cet exemple montre comment définir la longueur du message GTP.
Exigences
Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous configurez la longueur minimale du message GTP à 8 octets et la longueur maximale du message GTP à 1 200 octets pour l’objet d’inspection GTP.
Configuration
Procédure
Procédure étape par étape
Pour configurer les longueurs de message GTP :
Indiquez le profil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Indiquez la longueur minimale du message.
[edit] user@host# set security gprs gtp profile gtp1 min-message-length 8
Indiquez la longueur maximale du message.
[edit] user@host# set security gprs gtp profile gtp1 max-message-length 1200
Si vous avez terminé la configuration de l’unité, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, saisissez la show security gprs commande.
Types de messages GTP pris en charge
Le tableau 1 répertorie les messages GTP pris en charge dans GTP versions 1997 et 1999 (y compris les messages de facturation pour GTP) et les types de messages que vous pouvez utiliser pour configurer le filtrage gtp de type message.
Message |
Message Type |
Version 0 |
Version 1 |
|---|---|---|---|
créer une demande contextuelle AA pdp |
create-aa-pdp |
B |
|
créer une réponse contextuelle AA pdp |
create-aa-pdp |
B |
|
créer une demande de contexte pdp |
créer-pdp |
B |
B |
créer une réponse contextuelle pdp |
créer-pdp |
B |
B |
demande d’enregistrement de données |
enregistrement de données |
B |
B |
réponse aux enregistrements de données |
enregistrement de données |
B |
B |
supprimer la requête contextuelle AA pdp |
delete-aa-pdp |
B |
|
supprimer la réponse contextuelle AA pdp |
delete-aa-pdp |
B |
|
supprimer la requête contextuelle pdp |
delete-pdp |
B |
B |
supprimer la réponse contextuelle pdp |
delete-pdp |
B |
B |
requête d’écho |
Echo |
B |
B |
réponse d’écho |
Echo |
B |
B |
indication d’erreur |
indication d’erreur |
B |
B |
demande de rapport d’échec |
rapport de défaillance |
B |
B |
réponse au rapport d’échec |
rapport de défaillance |
B |
B |
demande de relocalisation de transfert |
fwd-relocalisation |
B |
B |
d’une relocalisation |
fwd-relocalisation |
B |
B |
transfert de relocalisation terminé |
fwd-relocalisation |
B |
B |
reconnaissance complète de la relocalisation à terme |
fwd-relocalisation |
B |
B |
transférer le contexte SRNS |
fwd-srns-context |
B |
B |
le contexte SRNS de transfert reconnaît |
fwd-srns-context |
B |
B |
demande d’identification |
Identification |
B |
B |
réponse d’identification |
Identification |
B |
B |
requête de nœud en cours d’application |
en vie de nœud |
B |
B |
réponse en cours de nœud |
en vie de nœud |
B |
B |
remarque de la demande de présence MS GPRS |
note-ms-present |
B |
B |
remarque : réponse actuelle du MS GPRS |
note-ms-present |
B |
B |
demande de notification pdu |
notification pdu |
B |
B |
Réponse de notification pdu |
notification pdu |
B |
B |
demande de rejet de notification pdu |
notification pdu |
B |
B |
Réponse rejet de la notification pdu |
notification pdu |
B |
B |
Relais d’informations RAN |
ran-info |
B |
B |
requête de redirection |
Redirection |
B |
B |
réponse de redirection |
Redirection |
b |
b |
demande d’annulation de relocalisation |
d’annulation de relocalisation |
b |
b |
relocalisation annule la réponse |
d’annulation de relocalisation |
b |
b |
envoyer une demande d’informations de routage |
routage d’envoi |
b |
b |
envoyer des informations de routage |
routage d’envoi |
b |
b |
Requête contextuelle sgsn |
contexte sgsn |
b |
b |
Réponse contextuelle sgsn |
contexte sgsn |
b |
b |
Reconnaissance du contexte sgsn |
contexte sgsn |
b |
b |
notification des en-têtes d’extension pris en charge |
extension prise en charge |
b |
b |
g-pdu |
gtp-pdu |
b |
b |
mettre à jour la demande contextuelle pdp |
update-pdp |
B |
B |
réponse contextuelle pdp mise à jour |
update-pdp |
B |
B |
version non prise en charge |
version non prise en charge |
B |
B |
Exemple : Filtrage des types de messages GTP
Cet exemple montre comment autoriser et refuser les types de messages GTP.
Exigences
Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, pour le profil gtp1, vous configurez l’équipement pour qu’il dépose les types de messages d’indication d’erreur et de rapport de défaillance pour la version 1.
Configuration
Procédure
Procédure étape par étape
Pour autoriser et refuser les types de messages GTP :
Configurez l’équipement.
[edit] user@host# set security gprs gtp profile gtp1
Déposez l’indication d’erreur.
[edit] user@host# set security gprs gtp profile gtp1 drop error-indication 1
Abandon des messages de rapport de défaillance.
[edit] user@host# set security gprs gtp profile gtp1 drop failure-report 1
Si vous avez terminé la configuration de l’unité, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, saisissez la show security gprs commande.
Comprendre la limitation du débit pour les messages de contrôle GTP
Vous pouvez configurer l’unité pour limiter le débit du trafic réseau à un nœud de prise en charge GPRS (GSN). Vous pouvez définir des seuils distincts, en paquets par seconde, pour les messages GTP-C (protocole de tunnelisation GGSN). Les messages GTP-C nécessitant un traitement et des réponses, ils peuvent potentiellement surcharger un GSN. En fixant une limite de débit aux messages GTP-C, vous pouvez protéger vos GSN contre d’éventuelles attaques par déni de service (DoS), telles que les attaques suivantes :
Saturation de la bande passante des passerelles de périphérie : un opérateur malveillant connecté au même GPRS Roaming Exchange (GRX) que votre réseau mobile sur site public (PLMN) peut diriger une telle quantité de trafic réseau à votre passerelle de périphérie que le trafic légitime est ingérateur de bande passante dans ou hors de votre PLMN, ce qui empêche l’accès itinérance à votre réseau ou à celui-ci.
Inondation GTP : le trafic GTP (GPRS Tunneling Protocol) peut inonder un GSN, l’obligeant à passer ses cycles de processeur à traiter des données illégitimes. Cela empêche les abonnés d’itinérance et de transfert de données vers des réseaux externes et empêche un service général de radiocommunication par paquets (GPRS) de se connecter au réseau.
Cette fonctionnalité limite le débit de trafic envoyé à chaque GSN à partir de l’équipement Juniper Networks. Le débit par défaut est illimité.
Comprendre la limitation du débit de chemin pour les messages de contrôle GTP
Vous pouvez restreindre le nombre maximal de paquets par seconde pour les messages de contrôle spécifiques sur un chemin sur les équipements SRX1500, SRX4100, SRX4200, SRX5400, SRX5600 et SRX5800. Ces messages GTP (GPRS tunneling protocol) incluent create-req, delete-reqet d’autres messages GTP. Toutefois, vous pouvez restreindre le nombre maximal de paquets par minute pour un echo-req message GTP.
La path-rate-limit fonction contrôle des messages GTP spécifiques dans les directions avant et inversée. Un seuil d’abandon et un seuil d’alarme peuvent être configurés pour chaque message de contrôle dans la direction avant et inversée pour un chemin unique. Si les messages de contrôle d’un chemin atteignent le seuil d’alarme, un journal d’alarme est généré. Si le nombre de messages de contrôle reçus atteint le seuil d’abandon, un journal de perte de paquets est généré et tous les autres messages de contrôle de ce type reçus ultérieurement sont supprimés.
Pour contrôler le trafic des messages dans les directions avant et inversées, configurez une stratégie sur l’équipement de sorte que la direction cohérente avec la stratégie configurée soit définie comme avant et que la direction opposée soit définie comme inversée. Utilisez l’instruction set security gprs gtp profile <profile-name> path-rate-limit pour restreindre le nombre maximal de paquets par seconde pour des messages de contrôle spécifiques sur un chemin.
Vous pouvez configurer simultanément les options et les rate-limit path-rate-limit deux.
Exemple : limitation du débit des messages et du chemin pour les messages de contrôle GTP
Cet exemple montre comment limiter le débit des messages et le taux de chemin des messages de contrôle GTP. L’option rate-limit limite les messages GTP par seconde et l’option path-rate-limit contrôle des messages GTP spécifiques dans les directions avant et inversées.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Équipement SRX5400
Junos OS version 12.1X45-D10
Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous limitez le débit des messages GTP entrants à 300 paquets par seconde et vous limitez le débit de chemin pour les messages de contrôle GTP dans les directions avant et inversées. Vous configurez l’unité de manière à limiter le débit du trafic réseau à un nœud de prise en charge GPRS (GSN), et vous restreignez le nombre maximal de paquets par seconde ou par minute pour les messages de contrôle spécifiques sur un chemin. Pour create-req, delete-reqet other les messages GTP, vous limitez le nombre maximal de paquets par seconde. Toutefois, pour un echo-req message GTP, vous limitez le nombre maximal de paquets par minute.
La path-rate-limit fonction contrôle des messages GTP spécifiques dans les directions avant et inversée. Configurez le alarm-threshold paramètre pour configurer l’unité afin de lever une alarme lorsque les messages de contrôle GTP d’un chemin ont atteint la limite configurée. Configurez le drop-threshold mode d’abandon du trafic lorsque le nombre de paquets par seconde ou par minute dépasse la limite configurée.
Configuration
Configuration rapide CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au [edit] niveau hiérarchique, puis entrez commit à partir du mode de configuration.
set security gprs gtp profile gtp1 rate-limit 300 set security gprs gtp profile gtp1 path-rate-limit message-type create-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type other alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type create-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type other drop-threshold forward 80 reverse 80
Procédure
Procédure étape par étape
Pour configurer la vitesse de message GTP et la limite du débit de chemin :
Indiquez le profil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Définissez la limite de débit de message GTP.
[edit security gprs gtp profile gtp1] user@host# set rate-limit 300
Indiquez le type de message pour définir la limite de débit de chemin pour les messages de contrôle GTP.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type
Sélectionnez les types de messages de contrôle GTP.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type create-req user@host# set path-rate-limit message-type delete-req user@host# set path-rate-limit message-type echo-req user@host# set path-rate-limit message-type other
Définissez le seuil d’alarme pour les types de messages de contrôle GTP.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req alarm threshold user@host# set message-type delete-req alarm threshold user@host# set message-type echo-req alarm threshold user@host# set message-type other alarm threshold
Limitez les messages de contrôle dans la direction de transfert.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold forward 50 user@host# set delete-req alarm threshold forward 50 user@host# set echo-req alarm threshold forward 50 user@host# set other alarm threshold forward 50
Limitez les messages de contrôle dans la direction inverse.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold reverse 50 user@host# set delete-req alarm threshold reverse 50 user@host# set echo-req alarm threshold reverse 50 user@host# set other alarm threshold reverse 50
Définissez le seuil d’abandon des types de messages de contrôle GTP.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req drop threshold user@host# set message-type delete-req drop threshold user@host# set message-type echo-req drop threshold user@host# set message-type other drop threshold
Limitez les messages de contrôle dans la direction de transfert.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold forward 80 user@host# set delete-req drop threshold forward 80 user@host# set echo-req drop threshold forward 80 user@host# set other drop threshold forward 80
Limitez les messages de contrôle dans la direction inverse.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold reverse 80 user@host# set delete-req drop threshold reverse 80 user@host# set echo-req drop threshold reverse 80 user@host# set other drop threshold reverse 80
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show security gprs gtp profile profile-name commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.
[edit]
user@host# show security gprs gtp profile p1
rate-limit 300;
path-rate-limit {
message-type create-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type delete-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type echo-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type other {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
}
Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la configuration
But
Vérifiez que la configuration de la limitation de débit de message et de chemin GTP est correcte.
Action
Dans le mode opérationnel, saisissez la show security gprs gtp counters path-rate-limit commande.
Path-rate-limit counters:
Drop Alarm
Create Request 20 50
Delete Request 20 50
Echo Request 20 50
Others 20 50
Signification
La show security gprs gtp counters path-rate-limit commande affiche le nombre de paquets reçus depuis que le seuil d’alarme ou la valeur de seuil de perte a été atteint. Si vous configurez la alarm-threshold valeur comme 50 et la drop-threshold valeur 80 pour le message Créer une demande, et si l’équipement reçoit 100 paquets dans une seconde ou une minute, le numéro d’abandon sera de 20 et le numéro d’alarme de 50.
Exemple : activation de la validation des numéros de séquence GTP
Cet exemple montre comment activer la fonction de validation des numéros de séquence GTP.
Exigences
Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous définissez le profil gtp comme gtp1 et vous activez également la fonction de validation des nombres de séquence.
Configuration
Procédure
Procédure étape par étape
Pour activer la fonctionnalité de validation des numéros de séquence GTP :
Définissez le profil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Activez la validation du numéro de séquence.
[edit] user@host# set security gprs gtp profile gtp1 seq-number-validated
Si vous avez terminé la configuration de l’unité, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, saisissez la show security gprs commande.