GTP ハンドオーバー グループの設定
GPRS トンネリング プロトコル(GTP)ハンドオーバー グループは、共通のアドレス帳ライブラリを備えた SGSN またはサービス ゲートウェイ(SGW)のセットです。
GTP ハンドオーバ グループの概要
GPRS トンネリング プロトコル(GTP)ハンドオーバー グループは、共通のアドレス帳ライブラリを備えた SGSN またはサービス ゲートウェイ(SGW)のセットです。管理者は GTP プロファイルを設定し、GTP ハンドオーバー グループを GTP プロファイルに関連付けることができます。GTPハンドオーバグループ名がGTPプロファイルによって参照されると、デバイスは現在のSGSN/SGWアドレスと提案されたSGSN/SGWアドレスの両方が同じGTPハンドオーバグループ内に含まれているかどうかを確認します。両方の SGSN/SGW アドレスが同じ GTP ハンドオーバ グループ内に含まれている場合、ハンドオーバは許可されます。現在の SGSN/SGW アドレスと提案された両方の SGSN/SGW アドレスが同じ GTP ハンドオーバー グループ内にない場合、デフォルトハンドオーバ グループのプロファイルが使用されます。
異なる GTP ハンドオーバ グループ間での GTP ハンドオーバは許可されません。
コマンドを使用してハンドオーバー グループを set security gprs gtp profile profile-name handover-group
設定できます。GTPプロファイルにハンドオーバーグループが定義されていない場合、トラフィックがこのプロファイルで設定されたポリシーに到達した場合、このポリシーに一致するすべてのGTP間のハンドオーバがデフォルトで許可されます。設定コマンドが コマンドを使用して set security gprs gtp handover-default deny
設定されている場合、ハンドオーバは拒否されます。

たとえば、ユーザー機器は、SGSN とゲートウェイ GPRS サポート ノード(GGSN)を介して構築された GTP トンネルを介してインターネットにアクセスします。SGSN は、GGSN への GTP トンネルを構築して、ユーザー機器データを転送し、SGSN に接続します。ホームルートローミングアーキテクチャでは、ローミングユーザー機器デバイスは、訪問したPLMN(VPLMN)の訪問したSGSN(VSGSN)を介してホームPLMN(HPLMN)のGGSNに戻ってローミングします。図 1 に示すように元の SGSN と SGSN ターゲット 1 が同じハンドオーバー グループ(HG-1)に属している場合、ハンドオーバが発生します。SGSN が元の SGSN ターゲット 2 への引き渡しを試み(HG-2)の別のハンドオーバ グループである場合、ハンドオーバは拒否されます。
GTP ハンドオーバー メッセージについて
Junos OS リリース 15.1X49-D40 および Junos OS リリース 17.3R1 以降では、GTP ハンドオーバー メッセージのサポートが提供されます。引き渡し手順中に、GPRSサポートノード(SGSN)コンテキストメッセージ(リクエスト、応答、確認)または転送移動メッセージが、新旧のモビリティ管理エンティティ(MME)とSGSNの間で送信されます。GPRS トンネリング プロトコル(GTP)バージョン 2 では、メッセージはコンテキスト メッセージまたは転送移動メッセージにする必要があります。このようなタイプのメッセージは、シンプルにするために、ハンドオーバ メッセージと一貫して呼ばれます。パケットデータプロトコル(PDP)コンテキスト情報は、これらのメッセージから取得されます。これらのメッセージを受信すると、SRX シリーズ ファイアウォールで PDP コンテキストが設定され、その後の GTP メッセージは新しい PDP コンテキストに従って通常検査されます。
コマンドを set security gprs gtp profile <profile-name> handover-on-roaming-intf
使用して、ハンドオーバ メッセージによる PDP コンテキスト設定を有効にします。コマンドを delete security gprs gtp profile <profile-name> handover-on-roaming-intf
使用して、ハンドオーバー メッセージによる PDP コンテキスト設定を無効にします。
データ トラフィックを転送するためのアドレスとトンネル エンドポイント識別子(TEIDs)も、ハンドオーバー メッセージから取得されます。さらに、転送トンネルは、転送 GPRS トンネリング プロトコル、GTP-U(ユーザー プレーン)ステートフル チェック用の SRX シリーズ ファイアウォールで設定できます。
異なる GTP バージョン間のハンドオーバがサポートされています。
GTP ハンドオーバーの主な機能は次のとおりです。
GTPv0、v1、およびv2のGTP間MME/SGSNハンドオーバーメッセージのサポート
MME/SGSN 間ハンドオーバ メッセージ インスペクション
ハンドオーバメッセージ内の情報に基づいたGTP PDPコンテキストおよび転送トンネルの設定
データ トラフィックを転送するための GTP-U インスペクション
異なるバージョンのメッセージを更新および変更することで、PDP コンテキスト更新をサポート
ハンドオーバメッセージのシステムログとカウンター
Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1 以降、SGSN(Serving GPRS Support Node)と GTPv1 または GTPv2 ノードのゲートウェイ GPRS サポート ノード(GGSN)は GTPv0 ノードと通信できません。デバイスがGTPv1またはGTPv2メッセージを送信してGTPv0によって作成されたトンネルを更新すると、これらのメッセージは破棄され、GTPv0トンネルは更新されません。
例:ハンドオーバー グループの設定
この例では、GTP プロファイルで GTP ハンドオーバー グループを設定する方法を示します。
要件
開始する前に、SRX1500、SRX4100、SRX4200、SRX5400、SRX5600、またはSRX5800デバイス、またはインターネットへの接続が必要なvSRX仮想ファイアウォールインスタンスとユーザー機器が必要です。また、3G または 4G モバイル コア ネットワークとホーム ネットワークと訪問ネットワークも必要になります。
概要
ユーザー機器は、3Gまたは4GコアネットワークのSGSNまたはSGW(サービスゲートウェイ)とGGSNまたはパケットデータネットワークゲートウェイ(PGW)を介してインターネットにアクセスします。SGSN/SGWは、GGSN/PGWへのGTPトンネルを構築して、SGSN/SGWに接続したユーザー機器データを転送します。ホームルートローミングアーキテクチャでは、ローミングユーザー機器は、訪問したPLMN(VPLMN)の訪問したSGSN(VSGSN)を介してホームPLMN(HPLMN)のGGSNに戻ってローミングします。ユーザー機器デバイスが訪問した SGSN/SGW のカバレッジ エリアから移動した場合、別の訪問した SGSN/SGW に引き渡されます。
この例では、 図 2 X-mobile がホーム PLMN で、訪問した PLMN は Y モバイルと Z モバイルです。X-mobile に GTP ハンドオーバー グループを設定し、同じハンドオーバ グループ内でハンドオーバを実行できます。

構成
手順
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security address-book global address X-mobile-hMME 10.10.10.1/32 set security address-book global address X-mobile-hPGW 10.10.10.2/32 set security address-book global address-set X-mobile address X-mobile-hMME set security address-book global address-set X-mobile address X-mobile-hPGW set security address-book global address-set X-mobile description hPLMN set security address-book global address Y-mobile-vMME-2a 20.20.20.1/32 set security address-book global address Y-mobile-vMME-2b 20.20.20.2/32 set security address-book global address Y-mobile-vSGW-2a 20.20.20.10/32 set security address-book global address Y-mobile-vSGW-2b 20.20.20.11/32 set security address-book global address-set Y-mobile address Y-mobile-vMME-2a set security address-book global address-set Y-mobile address Y-mobile-vMME-2b set security address-book global address-set Y-mobile address Y-mobile-vSGW-2a set security address-book global address-set Y-mobile address Y-mobile-vSGW-2b set security address-book global address-set Y-mobile description vPLMN2 set security address-book global address Z-mobile-vMME-3a 30.30.30.1/32 set security address-book global address Z-mobile-vMME-3b 30.30.30.2/32 set security address-book global address Z-mobile-vSGW-3a 30.30.30.10/32 set security address-book global address Z-mobile-vSGW-3b 30.30.30.11/32 set security address-book global address-set Z-mobile address Z-mobile-vMME-3a set security address-book global address-set Z-mobile address Z-mobile-vMME-3b set security address-book global address-set Z-mobile address Z-mobile-vSGW-3a set security address-book global address-set Z-mobile address Z-mobile-vSGW-3b set security address-book global address-set Z-mobile description vPLMN3 set security address-book global address-set as-AT address-set Z-mobile set security address-book global address-set as-AT address-set Y-mobile set security address-book global address-set as-AT address-set X-mobile set security gprs gtp handover-group hg-AT address-book global address-set as-AT set security gprs gtp profile Scenario-1 handover-on-roaming-intf set security gprs gtp profile Scenario-1 handover-group hg-AT set security zones security-zone vplmn set security zones security-zone hplmn set security policies from-zone vplmn to-zone hplmn policy ply-vh1 match source-address Y-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh2 match source-address Z-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh match destination-address X-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh match application junos-gprs-gtp set security policies from-zone vplmn to-zone hplmn policy ply-vh then permit application-services gprs-gtp-profile Scenario-1 set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match source-address X-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Y-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Z-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match application junos-gprs-gtp set security policies from-zone hplmn to-zone vplmn policy ply-vh-r then permit application-services gprs-gtp-profile Scenario-1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
GTPプロファイルでGTPハンドオーバーグループを設定するには:
アドレス帳にアドレスを指定します。
[edit] user@host# set security address-book global address X-mobile-hMME 10.10.10.1/32 user@host# set security address-book global address X-mobile-hPGW 10.10.10.2/32 user@host# set security address-book global address-set X-mobile address X-mobile-hMME user@host# set security address-book global address-set X-mobile address X-mobile-hPGW user@host# set security address-book global address-set X-mobile description hPLMN user@host# set security address-book global address Y-mobile-vMME-2a 20.20.20.1/32 user@host# set security address-book global address Y-mobile-vMME-2b 20.20.20.2/32 user@host# set security address-book global address Y-mobile-vSGW-2a 20.20.20.10/32 user@host# set security address-book global address Y-mobile-vSGW-2b 20.20.20.11/32 user@host# set security address-book global address-set Y-mobile address Y-mobile-vMME-2a user@host# set security address-book global address-set Y-mobile address Y-mobile-vMME-2b user@host# set security address-book global address-set Y-mobile address Y-mobile-vSGW-2a user@host# set security address-book global address-set Y-mobile address Y-mobile-vSGW-2b user@host# set security address-book global address-set Y-mobile description vPLMN2 user@host# set security address-book global address Z-mobile-vMME-3a 30.30.30.1/32 user@host# set security address-book global address Z-mobile-vMME-3b 30.30.30.2/32 user@host# set security address-book global address Z-mobile-vSGW-3a 30.30.30.10/32 user@host# set security address-book global address Z-mobile-vSGW-3b 30.30.30.11/32 user@host# set security address-book global address-set Z-mobile address Z-mobile-vMME-3a user@host# set security address-book global address-set Z-mobile address Z-mobile-vMME-3b user@host# set security address-book global address-set Z-mobile address Z-mobile-vSGW-3a user@host# set security address-book global address-set Z-mobile address Z-mobile-vSGW-3b user@host# set security address-book global address-set Z-mobile description vPLMN3 user@host# set security address-book global address-set as-AT address-set X-mobile user@host# set security address-book global address-set as-AT address-set Y-mobile user@host# set security address-book global address-set as-AT address-set Z-mobile
ハンドオーバー グループを指定します。
user@host# set security gprs gtp handover-group hg-AT address-book global address-set as-AT
GTP プロファイルでハンドオーバー グループを設定します。
user@host# set security gprs gtp profile Scenario-1 handover-on-roaming-intf user@host# set security gprs gtp profile Scenario-1 handover-group hg-AT
GTP プロファイルのセキュリティ ゾーンを設定します。
user@host# set security zones security-zone vplmn user@host# set security zones security-zone hplmn
GTP プロファイルのセキュリティ ポリシーを定義します。
set security policies from-zone vplmn to-zone hplmn policy ply-vh1 match source-address Y-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh2 match source-address Z-mobile user@host# set security policies from-zone vplmn to-zone hplmn policy ply-vh match destination-address X-mobile user@host# set security policies from-zone vplmn to-zone hplmn policy ply-vh then permit application-services gprs-gtp-profile Scenario-1 user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match source-address X-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Y-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Z-mobile user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match application junos-gprs-gtp user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r then permit application-services gprs-gtp-profile Scenario-1
結果
設定モードから、 、 、 show security address-book
コマンドを入力して設定をshow security gprs gtp profile
show security policies
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show security gprs gtp profile Scenario-1 { handover-on-roaming-intf; handover-group { hg-AT; } } handover-group hg-AT { address-book global { address-set { as-AT; } } }
[edit] user@host# show security address-book global { address X-mobile-hMME 10.10.10.1/32; address X-mobile-hPGW 10.10.10.2/32; address Y-mobile-vMME-2a 20.20.20.1/32; address Y-mobile-vMME-2b 20.20.20.2/32; address Y-mobile-vSGW-2a 20.20.20.10/32; address Y-mobile-vSGW-2b 20.20.20.11/32; address Z-mobile-vMME-3a 30.30.30.1/32; address Z-mobile-vMME-3b 30.30.30.2/32; address Z-mobile-vSGW-3a 30.30.30.10/32; address Z-mobile-vSGW-3b 30.30.30.11/32; address-set X-mobile { description hPLMN; address X-mobile-hMME; address X-mobile-hPGW; } address-set Y-mobile { description vPLMN2; address Y-mobile-vMME-2a; address Y-mobile-vMME-2b; address Y-mobile-vSGW-2a; address Y-mobile-vSGW-2b; } address-set Z-mobile { description vPLMN3; address Z-mobile-vMME-3a; address Z-mobile-vMME-3b; address Z-mobile-vSGW-3a; address Z-mobile-vSGW-3b; } address-set as-AT { address-set Z-mobile; address-set Y-mobile; address-set X-mobile; } }
[edit] user@host# show security policies from-zone vplmn to-zone hplmn { policy ply-vh { match { source-address [ Y-mobile Z-mobile ]; destination-address X-mobile; application junos-gprs-gtp; } then { permit { application-services { gprs-gtp-profile Scenario-1; } } } } } from-zone hplmn to-zone vplmn { policy ply-vh-r { match { source-address X-mobile; destination-address [ Y-mobile Z-mobile ]; application junos-gprs-gtp; } then { permit { application-services { gprs-gtp-profile Scenario-1; } } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正しく機能していることを確認します。コマンドは show security gprs gtp
、GTP プロファイル シナリオ 1 に設定されたすべてのハンドオーバー グループを表示します。