SUR CETTE PAGE
Exemple : Définition du filtrage de la longueur du message GTP
Présentation de la limitation de débit pour les messages de contrôle GTP
Présentation de la limitation du débit de chemin pour les messages de contrôle GTP
Exemple : Activation de la validation des numéros de séquence GTP
Comportement de limitation du débit de messages GTP spécifique à la plate-forme
Vue d’ensemble du filtre de messages GTPv1
En savoir plus sur les filtres de messages GTPv1, y compris les filtres de longueur et de type de message. Cette rubrique explique comment les périphériques traitent les paquets GTP, appliquent les stratégies d’inspection et appliquent les règles de sécurité.
Le paquet GTP contient le corps du message, les en-têtes GTP, UDP et IP. Un paquet GTP est transmis ou abandonné en fonction des filtres de message GTP. Les messages GTP sont filtrés en fonction de leur longueur et de leur type.
Comprendre le filtrage des messages GTP
Lorsque l’équipement reçoit un paquet GTP (GPRS Tunneling Protocol), il vérifie le paquet par rapport aux stratégies configurées sur l’appareil. Si le paquet correspond à une stratégie, l’équipement inspecte le paquet en fonction de la configuration GTP appliquée à la stratégie. Si le paquet ne répond à aucun des paramètres de configuration GTP, l’équipement transmet ou abandonne les paquets en fonction de la configuration de l’objet d’inspection GTP.
Un paquet GTP se compose du corps du message et de trois en-têtes : GTP, UDP et IP. Si le paquet IP résultant est supérieur à l’unité de transmission maximale (MTU) sur la liaison de transfert, le nœud de support GPRS de service (SGSN) ou le nœud de support GPRS de passerelle (GGSN) d’envoi effectue une fragmentation IP.
Par défaut, l’appareil met en mémoire tampon les fragments IP jusqu’à ce qu’il reçoive un message GTP complet, puis inspecte le message GTP.
Filtre de longueur de message GTP
Les périphériques peuvent être configurés pour supprimer des paquets en dehors de la longueur minimale ou maximale autorisée des messages. Le champ de longueur du message dans l’en-tête GTP indique la taille (en octets) de la charge utile GTP, à l’exclusion des en-têtes GTP, UDP et IP.
-
Longueur minimale par défaut : 0 octet
-
Longueur maximale par défaut : 65 535 octets
Filtre de type message GTP
Les périphériques peuvent autoriser ou refuser les paquets GTP en fonction de leur type de message. Par défaut, tous les types de messages GTP sont autorisés.-
Le filtrage s’applique au niveau du type de message. Le refus d’un type de message (par exemple,
sgsn-context) entraîne le refus de tous les messages associés (request, response, acknowledge). -
Le filtrage des types de messages peut différer selon la version de GTP. Par exemple, un type peut être refusé dans une version mais autorisé dans une autre.
Exemple : Définition du filtrage de la longueur du message GTP
Cet exemple montre comment définir la longueur des messages GTP.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous configurez la longueur minimale du message GTP à 8 octets et la longueur maximale du message GTP à 1200 octets pour l’objet d’inspection GTP.
Configuration
Procédure
Procédure étape par étape
Pour configurer la longueur des messages GTP :
Spécifiez le profil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Spécifiez la longueur minimale du message.
[edit] user@host# set security gprs gtp profile gtp1 min-message-length 8
Spécifiez la longueur maximale du message.
[edit] user@host# set security gprs gtp profile gtp1 max-message-length 1200
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security gprs commande.
Types de messages GTP pris en charge
Le Tableau 1 répertorie les messages GTP pris en charge dans les versions 1997 et 1999 de GTP (y compris les messages de facturation pour GTP) et les types de messages que vous pouvez utiliser pour configurer le filtrage des types de messages GTP.
Message |
Message Type |
Variante 0 |
Variante 1 |
|---|---|---|---|
create AA pdp context request |
create-aa-pdp |
b |
|
créer une réponse contextuelle AA pdp |
create-aa-pdp |
b |
|
Créer une demande de contexte PDP |
create-pdp |
b |
b |
Créer une réponse contextuelle PDP |
create-pdp |
b |
b |
Demande d’enregistrement de données |
enregistrement_données |
b |
b |
Réponse de l’enregistrement de données |
enregistrement_données |
b |
b |
Supprimer la demande de contexte PDP AA |
delete-aa-pdp |
b |
|
Supprimer la réponse contextuelle PDP AA |
delete-aa-pdp |
b |
|
Supprimer la demande de contexte PDP |
delete-pdp |
b |
b |
Supprimer la réponse contextuelle PDP |
delete-pdp |
b |
b |
demande d’écho |
écho |
b |
b |
Réponse de l’écho |
écho |
b |
b |
Indication d’erreur |
indication d’erreur |
b |
b |
Demande de rapport d’échec |
rapport d’échec |
b |
b |
Réponse au rapport d’échec |
rapport d’échec |
b |
b |
Transférer la demande de relocalisation |
relocalisation à l’avant |
b |
b |
Réponse de relocalisation en amont |
relocalisation à l’avant |
b |
b |
Déplacement vers l’avant terminé |
relocalisation à l’avant |
b |
b |
Transfert de la réinstallation Accusé de réception complet |
relocalisation à l’avant |
b |
b |
contexte SRNS en amont |
fwd-srns-contexte |
b |
b |
Reconnaissance de contexte SRNS vers l’avant |
fwd-srns-contexte |
b |
b |
Demande d’identification |
identification |
b |
b |
Réponse d’identification |
identification |
b |
b |
requête Node Alive |
noeud-vivant |
b |
b |
Réponse Node Alive |
noeud-vivant |
b |
b |
note MS GPRS présente la demande |
note-ms-present |
b |
b |
note MS GPRS présente la réponse |
note-ms-present |
b |
b |
Demande de notification de PDU |
notification d’unité de traitement |
b |
b |
Réponse aux notifications de PDU |
notification d’unité de traitement |
b |
b |
Demande de rejet de notification PDU |
notification d’unité de traitement |
b |
b |
PDU Notification Rejet Réponse |
notification d’unité de traitement |
b |
b |
Relais d’informations RAN |
ran-info |
b |
b |
demande de redirection |
redirection |
b |
b |
Réponse de redirection |
redirection |
b |
b |
Demande d’annulation de la réinstallation |
relocalisation-annuler |
b |
b |
Relocalisation Annuler la réponse |
relocalisation-annuler |
b |
b |
Envoyer une demande d’informations d’itinéraire |
send-route |
b |
b |
Envoyer une réponse aux informations d’itinéraire |
send-route |
b |
b |
Demande de contexte SGSN |
sgsn-contexte |
b |
b |
Réponse contextuelle SGSN |
sgsn-contexte |
b |
b |
Accusé de réception de contexte SGSN |
sgsn-contexte |
b |
b |
Notification des en-têtes d’extension pris en charge |
extension_prise en charge |
b |
b |
Unités de surveillance de l’alimentation en électricité |
gtp-pdu |
b |
b |
Mettre à jour la demande de contexte PDP |
mise à jour-pdp |
b |
b |
Mise à jour de la réponse contextuelle PDP |
mise à jour-pdp |
b |
b |
Version non prise en charge |
version-non prise en charge |
b |
b |
Exemple : Filtrage des types de messages GTP
Cet exemple montre comment autoriser et refuser les types de messages GTP.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, pour le profil gtp1, vous configurez l’équipement pour qu’il supprime les types de message d’indication d’erreur et de rapport d’échec pour la version 1.
Configuration
Procédure
Procédure étape par étape
Pour autoriser ou refuser les types de messages GTP :
Configurez l’appareil.
[edit] user@host# set security gprs gtp profile gtp1
Supprimez l’indication d’erreur.
[edit] user@host# set security gprs gtp profile gtp1 drop error-indication 1
Supprimez les messages de rapport d’échec.
[edit] user@host# set security gprs gtp profile gtp1 drop failure-report 1
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security gprs commande.
Présentation de la limitation de débit pour les messages de contrôle GTP
Vous pouvez configurer l’équipement pour limiter le débit du trafic réseau à destination d’un nœud de support GPRS (GSN). Vous pouvez définir des seuils distincts, en paquets par seconde, pour les messages GTP-C (GGSN Tunneling Protocol, Control). Étant donné que les messages GTP-C nécessitent un traitement et des réponses, ils peuvent potentiellement submerger un GSN. En définissant une limite de débit pour les messages GTP-C, vous pouvez protéger vos GSN contre d’éventuelles attaques par déni de service (DoS) telles que les suivantes :
Saturation de la bande passante de la passerelle de bordure : un opérateur malveillant connecté au même échange d’itinérance GPRS (GRX) que votre réseau mobile terrestre public (PLMN) peut diriger une telle quantité de trafic réseau vers votre passerelle frontalière que le trafic légitime manque de bande passante à l’entrée ou à la sortie de votre réseau PLMN, refusant ainsi l’accès en itinérance vers ou depuis votre réseau.
Flooding GTP : le trafic GTP (GPRS Tunneling Protocol) peut inonder un GSN, l’obligeant à passer ses cycles CPU à traiter des données illégitimes. Cela peut empêcher les abonnés de faire de l’itinérance et de transférer des données vers des réseaux externes, et cela peut empêcher un service général de radiocommunication par paquets (GPRS) de se connecter au réseau.
Cette fonctionnalité limite le débit de trafic envoyé à chaque GSN à partir de l’équipement Juniper Networks. Le taux par défaut est illimité.
Présentation de la limitation du débit de chemin pour les messages de contrôle GTP
La path-rate-limit fonction contrôle des messages GTP spécifiques dans les directions avant et arrière. Un seuil d’abandon et un seuil d’alarme peuvent être configurés pour chaque message de commande dans le sens avant et arrière pour un chemin. Si les messages de commande sur un chemin atteignent le seuil d’alarme, un journal d’alarmes est généré. Si le nombre de messages de contrôle reçus atteint le seuil d’abandon, un journal d’abandon de paquets est généré et tous les autres messages de contrôle de ce type reçus ultérieurement sont abandonnés.
Pour contrôler le trafic des messages dans le sens aller et arrière, configurez une stratégie sur l’appareil de sorte que le sens cohérent avec la stratégie configurée soit défini comme aller et le sens opposé soit défini comme inverse. Utilisez l’instruction set security gprs gtp profile <profile-name> path-rate-limit pour restreindre le nombre maximal de paquets par seconde pour des messages de contrôle spécifiques sur un chemin.
Vous pouvez configurer les options et les rate-limit path-rate-limit options en même temps.
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Consultez la section Comportement de limitation du débit des messages GTP spécifique à la plate-forme pour obtenir des remarques relatives à votre plate-forme.
Exemple : Limitation du débit de messages et du débit de chemin d’accès pour les messages de contrôle GTP
Cet exemple montre comment limiter le débit de messages et le débit de chemin d’accès pour les messages de contrôle GTP. L’option rate-limit limite le nombre de messages GTP par seconde et contrôle path-rate-limit des messages GTP spécifiques dans les directions avant et arrière.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 12.1X45-D10
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous limitez le débit des messages GTP entrants à 300 paquets par seconde et vous limitez le débit de chemin des messages de contrôle GTP dans les sens aller et arrière. Vous configurez l’équipement de manière à limiter le débit du trafic réseau acheminé vers un nœud de support GPRS (GSN) et vous limitez le nombre maximal de paquets par seconde ou par minute pour des messages de contrôle spécifiques sur un chemin. Pour create-reqles messages , delete-req, et other GTP, vous limitez le nombre maximal de paquets par seconde. Toutefois, pour un echo-req message GTP, vous limitez le nombre maximal de paquets par minute.
La path-rate-limit fonction contrôle des messages GTP spécifiques dans les directions avant et arrière. Configurez le alarm-threshold paramètre pour configurer l’appareil afin qu’il déclenche une alarme lorsque les messages de contrôle GTP sur un chemin ont atteint la limite configurée. Configurez le drop-threshold pour abandonner le trafic lorsque le nombre de paquets par seconde ou par minute dépasse la limite configurée.
Configuration
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security gprs gtp profile gtp1 rate-limit 300 set security gprs gtp profile gtp1 path-rate-limit message-type create-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type other alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type create-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type other drop-threshold forward 80 reverse 80
Procédure
Procédure étape par étape
Pour configurer le débit de messages GTP et la limite de débit de chemin d’accès :
Spécifiez le profil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Définissez la limite de débit de messages GTP.
[edit security gprs gtp profile gtp1] user@host# set rate-limit 300
Spécifiez le type de message pour définir la limite de débit de chemin pour les messages de contrôle GTP.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type
Sélectionnez Types de messages de contrôle GTP.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type create-req user@host# set path-rate-limit message-type delete-req user@host# set path-rate-limit message-type echo-req user@host# set path-rate-limit message-type other
Définissez le seuil d’alarme pour les types de messages de contrôle GTP.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req alarm threshold user@host# set message-type delete-req alarm threshold user@host# set message-type echo-req alarm threshold user@host# set message-type other alarm threshold
Limitez les messages de contrôle dans le sens suivant.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold forward 50 user@host# set delete-req alarm threshold forward 50 user@host# set echo-req alarm threshold forward 50 user@host# set other alarm threshold forward 50
Limitez les messages de contrôle dans le sens inverse.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold reverse 50 user@host# set delete-req alarm threshold reverse 50 user@host# set echo-req alarm threshold reverse 50 user@host# set other alarm threshold reverse 50
Définissez le seuil d’abandon pour les types de messages de contrôle GTP.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req drop threshold user@host# set message-type delete-req drop threshold user@host# set message-type echo-req drop threshold user@host# set message-type other drop threshold
Limitez les messages de contrôle dans le sens suivant.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold forward 80 user@host# set delete-req drop threshold forward 80 user@host# set echo-req drop threshold forward 80 user@host# set other drop threshold forward 80
Limitez les messages de contrôle dans le sens inverse.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold reverse 80 user@host# set delete-req drop threshold reverse 80 user@host# set echo-req drop threshold reverse 80 user@host# set other drop threshold reverse 80
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security gprs gtp profile profile-name commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security gprs gtp profile p1
rate-limit 300;
path-rate-limit {
message-type create-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type delete-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type echo-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type other {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la configuration
But
Vérifiez que la configuration du débit de messages GTP et de la limite de débit de chemin est correcte.
Action
À partir du mode opérationnel, entrez la show security gprs gtp counters path-rate-limit commande.
Path-rate-limit counters:
Drop Alarm
Create Request 20 50
Delete Request 20 50
Echo Request 20 50
Others 20 50
Signification
La show security gprs gtp counters path-rate-limit commande affiche le nombre de paquets reçus depuis que le seuil d’alarme ou la valeur du seuil d’abandon a été atteint. Si vous configurez la alarm-threshold valeur 50 et la drop-threshold valeur 80 pour le message Créer une demande, et si l’équipement reçoit 100 paquets en une seconde ou une minute, le numéro d’abandon sera 20 et le numéro d’alarme sera 50.
Exemple : Activation de la validation des numéros de séquence GTP
Cet exemple montre comment activer la fonctionnalité de validation du numéro de séquence GTP.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous définissez le profil gtp sur gtp1 et vous activez également la fonctionnalité de validation du numéro de séquence.
Configuration
Procédure
Procédure étape par étape
Pour activer la fonctionnalité de validation des numéros de séquence GTP :
Définissez le profil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Activez la validation du numéro de séquence.
[edit] user@host# set security gprs gtp profile gtp1 seq-number-validated
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security gprs commande.
Comportement de limitation du débit de messages GTP spécifique à la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Utilisez le tableau suivant pour examiner les comportements des supports de stockage spécifiques à votre plate-forme :
| Plateforme |
Différence |
|---|---|
| SRX Series |
|