GTP basée sur les stratégies
Les stratégies GTP (GPRS tunneling protocol) contiennent des règles autorisant, niant ou tunnelisant le trafic. L’équipement effectue le filtrage des stratégies GTP en vérifiant chaque paquet GTP en fonction des stratégies qui régissent le trafic GTP, puis en redirigeant, rejetant ou tunnelisant le paquet en fonction de ces stratégies.
Comprendre le GTP basé sur des stratégies
Par défaut, le réseau mobile public (PLMN) que l’équipement Juniper Networks protège se trouve dans la zone de confiance. L’appareil protège le PLMN dans la zone de confiance contre les autres PLMN d’autres zones. Vous pouvez placer tous les PLMN sur lesquels vous protégez votre PLMN dans la zone Untrust, ou créer des zones définies par l’utilisateur pour chaque PLMN. Un PLMN peut occuper une zone de sécurité ou plusieurs zones de sécurité.
Vous devez créer des stratégies permettant au trafic de circuler entre les zones et les PLMN. Les stratégies contiennent des règles autorisant, refus ou tunnelisation du trafic. L’équipement effectue le filtrage des stratégies GTP (Tunneling Protocol) GPRS en vérifiant chaque paquet GTP en fonction des stratégies qui régissent le trafic GTP, puis en redirigeant, rejetant ou tunnelisant le paquet en fonction de ces stratégies.
En sélectionnant le service GTP dans une stratégie, vous autorisez l’équipement à autoriser, refuser ou tunnelner le trafic GTP. Toutefois, cela ne permet pas à l’unité d’inspecter le trafic GTP. Pour que l’équipement inspecte le trafic GTP, vous devez appliquer une configuration GTP, également appelée objet d’inspection GTP, à une stratégie.
Vous ne pouvez appliquer qu’un seul objet d’inspection GTP par stratégie, mais vous pouvez appliquer un objet d’inspection GTP à plusieurs stratégies. À l’aide de stratégies, vous pouvez autoriser ou refuser l’établissement de tunnels GTP de certains pairs, par exemple un nœud SGSN (Serving GPRS Support Node).
À partir de Junos OS version 19.4R1, pour prendre en charge l’IoT (Internet des objets) et les cas d’utilisation de pare-feu d’itinérance, l’échelle de tunnel GTP par SPU est augmentée pour les équipements SRX5000 suivants (SRX5400, SRX5600, SRX5800) et SRX4600 suivants :
Platform |
SRX5000 SPC2 |
SRX5000 SPC3 |
SRX4600 |
Échelle de tunnel pré-19.4 par SPU |
600 000 |
1,2 million |
400 000 |
Échelle de tunnel avant 19,4 par SPC |
600 000 * 4 |
1,2 million * 2 |
400 000 |
Échelle de tunnel 19.4 par SPU |
3M |
12 millions |
4 millions |
Échelle de tunnel 19.4 par SPC |
3 millions * 4 |
12 millions * 2 |
4 millions |
À partir de junos OS version 20.1R1, pour permettre l’IoT (Internet des objets) et les cas d’utilisation de pare-feu d’itinérance, l’échelle de tunnel GTP est augmentée pour les équipements SRX suivants :
Platform |
SRX1500 |
SRX4100 |
SRX4200 |
Échelle de tunnel avant 20.1 par système |
204800 |
409600 |
819200 |
Échelle de tunnel 20.1 par système |
1024000 |
4096000 |
4096000 |
Pour les instances vSRX, le nombre de tunnels pris en charge dépend de la mémoire système disponible.
Platform |
Memory |
Tunnel Number |
vSRX |
4G/6G |
40 000 |
8G/10G/12G/14G |
200 000 |
|
16G/20G/24G/28G |
400 000 |
|
32G/40G/48G |
800 000 |
|
56G/64G |
1 600 000 (1,6 million) |
Vous pouvez configurer des stratégies qui spécifient « Any » comme zone source ou de destination (incluant ainsi tous les hôtes dans la zone) et vous pouvez configurer des stratégies spécifiant plusieurs adresses source et de destination.
Dans les stratégies, vous pouvez activer la journalisation du trafic.
Exemple : permettre l’inspection GTP dans les stratégies
Cet exemple montre comment activer l’inspection GTP dans les stratégies.
Exigences
Avant de commencer, l’unité doit être redémarrée après l’activation de GTP. Par défaut, GTP est désactivé sur l’unité.
Aperçu
Dans cet exemple, vous configurez les interfaces comme ge-0/0/1 et ge-0/0/2, les adresses sont 2.0.0.254/8 et 3.0.0.254/8. Vous configurez ensuite la zone de sécurité et spécifiez l’adresse en tant que 2.0.0.5/32 et 3.0.0.6/32. Vous activez le service GTP dans les stratégies de sécurité afin d’autoriser le trafic bidirectionnel entre deux réseaux au sein du même PLMN.
Configuration
Procédure
Configuration rapide CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au [edit] niveau hiérarchique, puis entrez commit à partir du mode de configuration.
set security gprs gtp profile gtp1 set interfaces ge-0/0/1 unit 0 family inet address 2.0.0.254/8 set interfaces ge-0/0/2 unit 0 family inet address 3.0.0.254/8 set security zones security-zone sgsn interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone sgsn host-inbound-traffic protocols all set security zones security-zone ggsn interfaces ge-0/0/2.0 host-inbound-traffic system-services all set security zones security-zone ggsn host-inbound-traffic protocols all set security address-book global address local-sgsn 2.0.0.5/32 set security address-book global address remote-ggsn 3.0.0.6/32 set security policies from-zone sgsn to-zone ggsn policy sgsn_to_ggsn match source-address local-sgsn destination-address remote-ggsn application junos-gprs-gtp set security policies from-zone sgsn to-zone ggsn policy sgsn_to_ggsn then permit application-services gprs-gtp-profile gtp1 set security policies from-zone ggsn to-zone sgsn policy ggsn_to_sgsn match source-address remote-ggsn destination-address local-sgsn application junos-gprs-gtp set security policies from-zone ggsn to-zone sgsn policy ggsn_to_sgsn then permit application-services gprs-gtp-profile gtp1
Procédure étape par étape
Pour configurer l’inspection GTP dans les stratégies :
Créez l’objet d’inspection GTP.
[edit] user@host# set security gprs gtp profile gtp1
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 2.0.0.254/8 user@host# set ge-0/0/2 unit 0 family inet address 3.0.0.254/8
Configurez les zones de sécurité.
[edit security zones] user@host# set security-zone sgsn interfaces ge-0/0/1.0 user@host# set security-zone sgsn host-inbound-traffic system-services all user@host# set security-zone sgsn host-inbound-traffic protocols all user@host# set security-zone ggsn interfaces ge-0/0/2.0 user@host# set security-zone ggsn host-inbound-traffic system-services all user@host# set security-zone ggsn host-inbound-traffic protocols all
Indiquez les adresses.
[edit security address-book global] user@host# set address local-sgsn 2.0.0.5/32 user@host# set address remote-ggsn 3.0.0.6/32
Activez le service GTP dans les stratégies de sécurité.
[edit security policies] user@host# set from-zone sgsn to-zone ggsn policy sgsn_to_ggsn match source-address local-sgsn destination-address remote-ggsn application junos-gprs-gtp user@host# set from-zone sgsn to-zone ggsn policy sgsn_to_ggsn then permit application-services gprs-gtp-profile gtp1 user@host# set from-zone ggsn to-zone sgsn policy ggsn_to_sgsn match source-address remote-ggsn destination-address local-sgsn application junos-gprs-gtp user@host# set from-zone ggsn to-zone sgsn policy ggsn_to_sgsn then permit application-services gprs-gtp-profile gtp1
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show security commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.
Par souci de brièveté, cette show sortie inclut uniquement la configuration pertinente dans cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
user@host# show security
...
gprs {
gtp {
profile gtp1;
}
}
zones {
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
...
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
}
address-book {
global {
address local-sgsn 2.0.0.5/32;
address remote-ggsn 3.0.0.6/32;
}
}
policies {
from-zone sgsn to-zone ggsn {
policy sgsn_to_ggsn {
match {
source-address local-sgsn;
destination-address remote-ggsn;
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile gtp1;
}
}
}
}
}
from-zone ggsn to-zone sgsn {
policy ggsn_to_sgsn {
match {
source-address remote-ggsn;
destination-address local-sgsn;
application junos-gprs-gtp;
}
}
then {
permit {
application-services {
gprs-gtp-profile gtp1;
}
}
}
}
default-policy {
permit-all;
}
}
...
Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.
Comprendre les objets d’inspection GTP
Pour que l’unité effectue l’inspection du trafic GTP (GPRS tunneling protocol), vous devez créer un objet d’inspection GTP, puis l’appliquer à une stratégie. Utilisez la commande suivante pour créer un objet d’inspection GTP nommé la-ny: set security gprs gtp profile la-ny. Les objets d’inspection GTP offrent davantage de flexibilité en vous permettant de configurer plusieurs stratégies qui appliquent différentes configurations GTP. Vous pouvez configurer l’unité de manière à contrôler le trafic GTP différemment en fonction des zones et adresses source et de destination, des actions, etc.
Pour configurer les fonctionnalités GTP, vous devez entrer le contexte d’une configuration GTP. Pour enregistrer vos paramètres dans l’interface de ligne de commande, vous devez d’abord quitter la configuration GTP, puis saisir la commit commande.
Exemple : création d’un objet d’inspection GTP
Cet exemple montre comment créer un objet d’inspection GTP.
Exigences
Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous créez un objet d’inspection GTP nommé LA-NY. Vous conservez la plupart des valeurs par défaut et activez la fonction de validation des nombres de séquence.
Configuration
Procédure
Procédure étape par étape
Pour configurer un objet d’inspection GTP :
Créez un objet d’inspection GTP.
[edit] user@host# set security gprs gtp profile la-ny
Si vous avez terminé la configuration de l’unité, validez la configuration.
[edit] user@host# commit
Comprendre GTPv2
Le protocole de tunnelisation GPRS (GTP) établit un tunnel GTP entre un nœud d’assistance GPRS (SGSN) et un nœud d’assistance GPRS (GGSN) de passerelle pour les stations mobiles individuelles (MS). GTP version 2 (GTPv2) est pris en charge à partir de Junos OS Version 11.4.
GTPv2 fait partie de Long Term Evolution (LTE), une technologie haut débit sans fil de quatrième génération (4G) développée par 3GPP (Third-Generation Partnership Project). 3GPP est le corps standard pour le développement des normes GPRS. La norme LTE est conçue pour augmenter la capacité et la vitesse des réseaux de téléphonie mobile. GTPv2 est un protocole conçu pour les réseaux LTE. Un réseau LTE comprend des éléments réseau, des interfaces LTE et des protocoles.
Les protocoles GTPv0 et GTPv1 sont implémentés à l’aide de SGSN et de GGSN. Toutefois, dans GTPv2, les SGSN et GGSN traditionnels sont remplacés par trois nœuds logiques : une passerelle de service (SGW), une passerelle de réseau de données de paquets (PGW) et une entité de gestion de la mobilité (MME).
La figure 1 illustre les interfaces LTE suivantes où les équipements SRX Series sont déployés sur le réseau mobile public (PLMN).
LTE
S5 : cette interface connecte un SGW et un PGW. Il offre une fonction de tunnelisation du plan utilisateur et de gestion des tunnels entre le SGW et le PGW. Il est également utilisé pour la relocalisation des équipements SGW qui se produit en raison de la mobilité de l’équipement utilisateur ou de la connexion SGW à un pare-feu non colocalisé. L’interface S5 est équivalente à l’interface Gn dans un réseau mobile de troisième génération (3G).
S8 : cette interface connecte un SGW dans un PLMN (VPLM) visité et un PGW dans un PLMN domestique (HPLMN). S8 est la variante inter-PLMN du S5. L’interface S8 est équivalente à l’interface Gp d’un réseau mobile 3G.
S4 : cette interface connecte un S4 SGSN et un SGW. Il fournit une assistance relative au contrôle et à la mobilité entre le réseau central GPRS et la fonction d’ancrage 3GPP. Il fournit également une tunnelisation du plan utilisateur si la tunnelisation directe n’est pas établie. L’interface S4 n’a pas d’interface équivalente dans le réseau mobile 3G, car elle assure l’interopérabilité entre les réseaux 3G et 4G.
Comprendre le GTPv2 basé sur des stratégies
La version 2 du protocole de tunnelisation GPRS (GTPv2) met en œuvre un mécanisme de stratégie qui vérifie chaque paquet GTPv2 en fonction des stratégies de sécurité qui régissent le trafic GTPv2. En fonction de la stratégie de sécurité, le paquet est ensuite transféré, abandonné ou tunnelisé.
Une stratégie de sécurité GTPv2 vous permet de transférer, refuser ou tunnelner le trafic GTPv2. Toutefois, la stratégie de sécurité n’active pas l’inspection du trafic GTPv2 sur l’équipement. Pour activer l’inspection du trafic, vous devez appliquer un objet d’inspection GTPv2 à une stratégie de sécurité. Un objet d’inspection GTPv2 est un ensemble de paramètres de configuration pour le traitement du trafic GTPv2.
Vous ne pouvez appliquer qu’un seul objet d’inspection GTPv2 par stratégie de sécurité. Toutefois, vous pouvez appliquer un objet d’inspection à plusieurs stratégies de sécurité.
Par défaut, un objet d’inspection GTPv2 n’est pas appliqué à une stratégie de sécurité. Vous devez explicitement appliquer un objet d’inspection à une stratégie de sécurité.
À l’aide des stratégies de sécurité GTPv2, vous pouvez autoriser ou refuser l’établissement de tunnels GTPv2 de certains pairs, par exemple une passerelle de service (SGW). Vous pouvez configurer des stratégies de sécurité GTPv2 qui spécifient plusieurs adresses source et de destination, des groupes d’adresses ou une zone entière.
Exemple : activation de l’inspection GTPv2 dans les stratégies
Cet exemple montre comment activer l’inspection GTPv2 dans les stratégies.
Exigences
Avant de commencer, l’équipement doit être redémarré après l’activation de GTPv2. Par défaut, GTPv2 est désactivé sur l’équipement.
Aperçu
Dans cet exemple, vous configurez les interfaces comme ge-0/0/1 et ge-0/0/2, et leur attribuez les adresses d’interface 4.0.0.254/8 et 5.0.0.254/8, respectivement. Vous configurez ensuite les zones de sécurité et spécifiez les adresses globales en tant que 4.0.0.5/32 et 5.0.0.6/32, respectivement. Vous activez l’inspection GTPv2 dans les stratégies de sécurité afin d’autoriser le trafic bidirectionnel entre deux réseaux au sein du même réseau mobile public (PLMN).
Configuration
Procédure
Configuration rapide CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.
set security gprs gtp profile gtp2 set interfaces ge-0/0/1 unit 0 family inet address 4.0.0.254/8 set interfaces ge-0/0/2 unit 0 family inet address 5.0.0.254/8 set security zones security-zone sgw1 interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone sgw1 host-inbound-traffic protocols all set security zones security-zone pgw1 interfaces ge-0/0/2.0 host-inbound-traffic system-services all set security zones security-zone pgw1 host-inbound-traffic protocols all set security address-book global address local-sgw1 4.0.0.5/32 set security address-book global address remote-pgw1 5.0.0.6/32 set security policies from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 match source-address local-sgw1 destination-address remote-pgw1 application junos-gprs-gtp set security policies from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 then permit application-services gprs-gtp-profile gtp2 set security policies from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 match source-address remote-pgw1 destination-address local-sgw1 application junos-gprs-gtp set security policies from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 then permit application-services gprs-gtp-profile gtp2
Procédure étape par étape
Pour configurer l’inspection GTPv2 dans les stratégies :
Créez l’objet d’inspection GTPv2.
[edit] user@host# set security gprs gtp profile gtp2
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 4.0.0.254/8 user@host# set ge-0/0/2 unit 0 family inet address 5.0.0.254/8
Configurez les zones de sécurité.
[edit security zones] user@host# set security-zone sgw1 interfaces ge-0/0/1.0 user@host# set security-zone sgw1 host-inbound-traffic system-services all user@host# set security-zone sgw1 host-inbound-traffic protocols all user@host# set security-zone pgw1 interfaces ge-0/0/2.0 user@host# set security-zone pgw1 host-inbound-traffic system-services all user@host# set security-zone pgw1 host-inbound-traffic protocols all
Indiquez les adresses.
[edit security address-book global] user@host# set address local-sgw1 4.0.0.5/32 user@host# set address remote-pgw1 5.0.0.6/32
Activez l’inspection GTPv2 dans les stratégies de sécurité.
[edit security policies] user@host# set from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 match source-address local-sgw1 destination-address remote-pgw1 application junos-gprs-gtp user@host# set from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 then permit application-services gprs-gtp-profile gtp2 user@host# set from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 match source-address remote-pgw1 destination-address local-sgw1 application junos-gprs-gtp user@host# set from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 then permit application-services gprs-gtp-profile gtp2
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.
[edit]
user@host# show security policies
from-zone sgw1 to-zone pgw1 {
policy sgw1_to_pgw1 {
match {
source-address local-sgw1;
destination-address remote-pgw1;
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile gtp2;
}
}
}
}
}
from-zone pgw1 to-zone sgw1 {
policy pgw1_to_sgw1 {
match {
source-address remote-pgw1;
destination-address local-sgw1;
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile gtp2;
}
}
}
}
}
default-policy {
permit-all;
}
Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.
Comprendre le redémarrage du chemin GTP
Le redémarrage d’un chemin GTP (GPRS tunneling protocol) met fin à tous les tunnels GTP entre deux équipements. Chaque passerelle GTP est associée à un numéro de redémarrage. Vous pouvez obtenir un numéro de redémarrage à partir de l’élément d’informations de récupération (IE) d’un message GTP.
Vous pouvez détecter un redémarrage en comparant le numéro de redémarrage stocké localement avec le numéro nouvellement obtenu. Le numéro de redémarrage stocké localement est une valeur non-ero et ne correspond pas au nouveau numéro de redémarrage.
Vous pouvez utiliser l’instruction de set security gprs gtp profile name restart-path (echo | create | all) configuration pour redémarrer un chemin GTP.
Après avoir configuré cette commande, l’unité détecte le numéro de redémarrage modifié obtenu à partir de l’IE de récupération dans les messages. Vous pouvez utiliser cette echo option pour obtenir un nouveau numéro de redémarrage à partir de messages d’écho, la create possibilité d’obtenir un numéro de redémarrage à partir de messages de création de session, ou l’option all d’obtenir un nouveau numéro de redémarrage à partir de tous les types de messages GTP.
Exemple : Redémarrage d’un chemin GTPv2
Cet exemple montre comment redémarrer un chemin GTPv2.
Exigences
Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.
Aperçu
Pour plus de brièveté, cet exemple utilise GTPv2.
Dans cet exemple, vous redémarrez le chemin GTPv2 pour l’objet d’inspection GTPv2 nommé gtp2. Vous obtenez un nouveau numéro de redémarrage à partir de l’élément d’informations de récupération (IE) dans un message d’écho.
Configuration
Procédure
Procédure étape par étape
Pour redémarrer le chemin GTPv2 :
Indiquez le profil GTPv2.
[edit] user@host# set security gprs gtp profile gtp2
Redémarrez le chemin.
[edit] user@host# set security gprs gtp profile gtp2 restart-path echo
Si vous avez terminé la configuration de l’unité, validez la configuration.
[edit] user@host# commit
Comprendre le nettoyage des tunnels GTPv2
Un tunnel GPRS version 2 (GTPv2) permet la transmission du trafic GTPv2 entre les nœuds de prise en charge GPRS (GSN).
Lors de la transmission du trafic, les tunnels GTPv2 peuvent être accrochés pour plusieurs raisons. Par exemple, les messages delete-pdp-request peuvent se perdre dans le réseau ou un GSN peut ne pas s’arrêter correctement. Dans ce cas, vous pouvez supprimer les tunnels GTPv2 accrochés automatiquement ou manuellement.
Pour supprimer automatiquement un tunnel GTPv2 suspendu, vous devez définir une valeur d’expiration de tunnel GTPv2 sur l’équipement. L’équipement identifie et supprime automatiquement un tunnel inactif pendant la période spécifiée par la valeur de délai d’expiration. La valeur d’expiration du tunnel GTPv2 par défaut est de 36 heures.
Vous pouvez utiliser l’instruction set security gprs gtp profile name timeout de configuration pour configurer cette valeur sur l’équipement. Le délai d’expiration est de 1 à 1 000 heures.
Pour supprimer manuellement un tunnel GTPv2 accroché, vous devez utiliser la commande de clear security gprs gtp tunnel mode opérationnel.
Exemple : définition de la valeur de délai d’expiration pour les tunnels GTPv2
Cet exemple montre comment définir la valeur de délai d’expiration des tunnels GTPv2.
Exigences
Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous définissez la valeur de délai d’expiration du tunnel sur 40 heures pour l’objet d’inspection GTPv2 nommé gtp2.
Configuration
Procédure
Procédure étape par étape
Pour configurer la valeur de délai d’expiration du tunnel GTPv2 :
Indiquez le profil GTPv2.
[edit] user@host# set security gprs gtp profile gtp2
Indiquez la valeur de délai d’expiration.
[edit] user@host# set security gprs gtp profile gtp2 timeout 40
Si vous avez terminé la configuration de l’unité, validez la configuration.
[edit] user@host# commit
Comprendre la journalisation du trafic GTPv2
Vous pouvez utiliser la console ou syslog pour afficher les journaux de trafic gtPv2 (tunneling protocol version 2) GPRS. Vous pouvez configurer l’unité pour journaliser les paquets GTPv2 en fonction de leur état. L’état du paquet GTPv2 peut être l’un des suivants :
Transféré : le paquet GTPv2 a été transféré parce qu’il était valide.
Paquet GTPv2 non valide en raison d’une inspection dynamique ou d’une vérification de l’état de santé non valide. En cas de défaillance de la vérification de l’sanité, le paquet est marqué comme étant sain d’esprit.
Interdit : le paquet GTPv2 a été abandonné en raison d’un échec des vérifications de la longueur du message, du type de message ou du préfixe IMSI (International Mobile Subscriber Identity).
Limitation du débit : le paquet GTPv2 a été abandonné parce qu’il dépassait la limite de débit maximale du nœud de prise en charge GPRS de destination (GSN).
Par défaut, la journalisation GTPv2 est désactivée sur l’équipement. Vous pouvez utiliser l’instruction de set security gprs gtp profile name log configuration pour activer la journalisation GTPv2 sur l’équipement.
Exemple : activation de la journalisation du trafic GTPv2
Cet exemple montre comment activer la journalisation du trafic GTPv2 sur un équipement.
Exigences
Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous activez la journalisation du trafic GTPv2 pour les paquets GTPv2 transféré.
Configuration
Procédure
Procédure étape par étape
Pour activer la journalisation du trafic GTPv2 pour les paquets GTPv2 transféré :
Indiquez le profil GTPv2.
[edit] user@host# set security gprs gtp profile gtp2
Activez la journalisation pour les paquets transfert GTPv2.
[edit] user@host# set security gprs gtp profile gtp2 log forwarded basic
Si vous avez terminé la configuration de l’unité, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, saisissez la show security gprs commande.