このページで
2G ネットワークと 3G ネットワーク間の GTP 相互運用性の実現
GPRSトンネリングプロトコル(GTP)は、第3世代(3G)または第4世代(4G)ネットワーク内でGPRS(General Packet Radio Service)を伝送する第3世代パートナーシッププロジェクト(3GPP)規格によって定義されています。情報要素(IE)は、GPRSトンネリングプロトコル(GTP)トンネルに関する情報(作成、変更、削除、ステータスなど)を提供します。IESは、すべてのGTP制御メッセージパケットに含まれています。
GTP 情報要素を理解する
情報要素(IE)は、すべての GPRS トンネリング プロトコル(GTP)制御メッセージ パケットに含まれています。IE は、作成、変更、削除、ステータスなど、GTP トンネルに関する情報を提供します。Junos OS は、第 3 世代パートナーシップ プロジェクト(3GPP)リリース 6、リリース 7、リリース 8、リリース 9 に準拠した IEs をサポートしています。3GPP の以前のリリースを実行している通信事業者と契約している場合、サポートされていない IE を含む制御メッセージを制限することで、ネットワークのオーバーヘッドを削減できます。
新しい情報要素(IE)が導入された場合、GTP は未知の新しい IE に遭遇した場合でもメッセージを渡すので、GTP メッセージはドロップしません。
R6、R7、R8、および R9 の情報要素の削除について
第 3 世代パートナーシップ プロジェクト(3GPP)R6、R7、R8、および R9 情報要素(IE)除去機能により、第 2 世代パートナーシップ プロジェクト(2GPP)と 3GPP ネットワーク間のローミングにおける相互運用性を維持できます。GPRS トンネリング プロトコル(GTP)対応のジュニパーネットワークス デバイスは、PLMN(パブリック ランド モバイル ネットワーク)と GPRS ローミング 交換(GRX)の境界に存在し、Gp ファイアウォールとして動作するように設定し、パケットが 2GPP ネットワークに通過する際に GTP パケット ヘッダーから 3GPP 固有の属性を削除できます。デバイスを設定して、RAT、RAI、共通フラグ、ULI、MS タイム ゾーン、IMEI-SV、およびアクセス ポイント名(APN)制限 IE を GTP メッセージから削除してから、これらのメッセージをゲートウェイ GPRS サポート ノード(GGSN)に転送できます。
サポートされているR6、R7、R8、およびR9情報要素
Junos OS は、 表 1 に示すように、GTP のすべての 3GPP R6 IEs をサポートしています。
IE タイプ値 |
情報要素 |
---|---|
1 |
原因 |
2 |
IMSI(International Mobile Subscriber Identity) |
3 |
ROUTING Area Identity(REI) |
4 |
一時的な論理リンク ID(TLLI) |
5 |
パケット TMSI(P-TMSI) |
8 |
並べ替えが必要 |
9 |
認証トリプレット |
11 |
マップの原因 |
12 |
P-TMSIシグネチャ |
13 |
MS検証済み |
14 |
回復 |
15 |
選択モード |
16 |
トンネル エンドポイント識別子データ I |
17 |
トンネル エンドポイント識別子制御プレーン |
18 |
トンネル エンドポイント識別子データ II |
19 |
破棄 ID |
20 |
Nsapi |
21 |
RANAP の原因 |
22 |
狂犬病のコンテキスト |
23 |
無線優先度 SMS |
24 |
無線優先度 |
25 |
パケット フロー ID |
26 |
充電特性 |
27 |
トレース リファレンス |
28 |
トレース タイプ |
29 |
MS 到達不能理由 |
127 |
課金 ID |
128 |
エンド ユーザー アドレス |
129 |
MM コンテキスト |
130 |
PDP コンテキスト |
131 |
アクセス ポイント名 |
132 |
プロトコル設定オプション |
133 |
GSN アドレス |
134 |
MS International PSTN/ISDN 番号(MSISDN) |
135 |
サービス品質プロファイル |
136 |
認証に関するクインレット |
137 |
トラフィック フロー テンプレート |
138 |
ターゲットの識別 |
139 |
UTRAN透過コンテナ |
140 |
ラブセットアップ情報 |
141 |
拡張ヘッダー タイプ リスト |
142 |
トリガー ID |
143 |
OMCアイデンティティ |
144 |
RAN透過コンテナ |
145 |
PDP コンテキスト優先度設定 |
146 |
追加のRAB設定情報 |
147 |
SGSN 番号 |
148 |
一般的なフラグ |
149 |
APN 制限 |
150 |
無線優先度 LCS |
151 |
RAT タイプ |
152 |
ユーザーの位置情報 |
153 |
MS タイム ゾーン |
154 |
IMEI-SV |
155 |
キャメルチャージング情報コンテナ |
156 |
MBMS UEコンテキスト |
157 |
一時的なモバイルグループアイデンティティ(TMGI) |
158 |
RIMルーティングアドレス |
159 |
MBMS プロトコル設定オプション |
160 |
MBMS サービス エリア |
161 |
TNC PDCP コンテキスト情報のソース |
162 |
追加のトレース情報 |
163 |
ホップ カウンター |
164 |
選択した PLMN ID |
165 |
MBMS セッション識別子 |
166 |
MBMS2G/3Gインジケータ |
167 |
拡張 NSAPI |
168 |
MBMS セッション時間 |
169 |
追加の MBMS トレース情報 |
173 |
BSSコンテナ |
174 |
セルの識別 |
175 |
PDU 番号 |
176 |
BSSGP の原因 |
178 |
RIMルーティングアドレス識別子 |
179 |
設定 PFCS の一覧 |
180 |
PSハンドオーバーXIDパラメータ |
188 |
信頼性の高いインターラットハンドオーバー情報 |
251 |
課金ゲートウェイアドレス |
255 |
プライベート拡張 |
Junos OS は、 表 2 に示すように、GTP のすべての 3GPP R7 IEs をサポートしています。
IE タイプ値 |
情報要素 |
---|---|
172 |
PS ハンドオーバリクエストコンテキスト |
181 |
MS 情報変更レポート アクション |
182 |
ダイレクト トンネル フラグ |
183 |
相関 ID |
184 |
ベアラー制御モード |
Junos OS は、 表 3 に示すように、GTP のすべての 3GPP R8 I をサポートしています。
IE タイプ値 |
情報要素 |
---|---|
189 |
RFSP インデックス |
Junos OS は、 表 4 に示すように、GTP のすべての 3GPP R9 IEs をサポートしています。
IE タイプ値 |
情報要素 |
---|---|
190 |
完全修飾ドメイン名(FQDN) |
191 |
進化した割り当て/保持優先度 1 |
192 |
進化した割り当て/保持優先度 2 |
193 |
拡張された共通フラグ |
194 |
ユーザーCSG情報(UCI) |
195 |
CSG情報レポートアクション |
196 |
CSG ID |
197 |
CSG メンバーシップ表示(CMI) |
198 |
集約最大ビットレート(AMBR) |
例:GTP メッセージから R6、R7、R8、および R9 の情報要素を削除する
この例では、GTPメッセージからR6の情報要素を削除する方法を示しています。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、セキュリティ デバイスの Gp インターフェイスを設定して、新しく追加された R6 IEs(RAT、Common Flags、ULI、IMEI-SV、MS タイム ゾーン、APN 制限)を GTP メッセージから削除します。
構成
手順
手順
GTPメッセージからR6の情報要素を削除するには:
GTP プロファイルを指定します。
[edit] user@host# set security gprs gtp profile gtp1
information 要素を指定します。
[edit] user@host# set security gprs gtp profile gtp1 remove-ie version v1 release R6 user@host# set security gprs gtp profile gtp1 remove-ie version v1 release R7 user@host# set security gprs gtp profile gtp1 remove-ie version v1 release R8 user@host# set security gprs gtp profile gtp1 remove-ie version v1 release R9
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを show security gprs
入力します。
GTPv1情報要素の削除について
モバイル ネットワークのネットワーク要素数は、3GPP 仕様の複数リリースの導入に伴い拡大しています。すべてのリリースでは、以前のリリースで定義されていない新しい情報要素(IE)が導入されています。このため、モバイル ネットワークには多様なネットワーク要素があり、デバイスのリリースによって相互運用の問題が発生します。GPRS トンネリング プロトコル(GTP)ファイアウォールを設定して、次のコマンドを使用してリリースすることで情報要素(IE)を削除できます。
set security gprs gtp profile gtp1 remove-ie
.
ただし、将来のリリースで新しい IES が導入されると、相互運用の問題も発生する可能性があります。各情報要素には、一意の ID、IE 番号があります。IE の数字の範囲は 1~255 です。ユーザー設定 IE 番号を使用して、特定の IE を削除するように GTP ファイアウォールを設定できます。
IEの削除を設定すると、GTPファイアウォールはGTPv1メッセージの対応するIEを削除します。は、GTP、UDP、IP の長さを更新します。GTPv1 メッセージを渡します。また、GTP ファイアウォールは CRC(巡回冗長検査)コードを更新します。IE番号によるIEの削除は、1から255までのすべてのIEをサポートしています。
次のコマンドを使用して、IE の削除設定を削除できます。
delete security gprs gtp profile gtp1 remove-ie
— GTP プロファイル GTP1 の IE 削除設定を削除します。
delete security gprs gtp profile gtp1 remove-ie version v1 number 4
バージョン v1 および IE 番号 4 を持つ GTP プロファイルの IE 削除設定を削除します。
リリース20.2R1以降、Junos OSは、GTPv1-CとGTPv2-Cの両方でIE削除機能をサポートしています。
「」も参照
例:IE 番号を使用した GTPv1 情報エレメントの削除
この例では、セキュリティ デバイスの GPRS チューニング プロトコル(GTP)インターフェイスを設定して、GTP メッセージからユーザーが設定した IE を削除する方法を示します。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、gtp1 と呼ばれる GTP プロファイルの IE 削除を設定します。IEs は、ユーザー設定 IE 番号 4 を使用して削除されます。
構成
手順
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security gprs gtp profile gtp1 set security gprs gtp profile gtp1 remove-ie version v1 number 4
手順
ユーザーが設定したISEをGTPメッセージから削除するようにセキュリティデバイスのGTPインターフェイスを設定するには:
GTP プロファイルを指定します。
[編集]
user@host#
set security gprs gtp profile gtp1
IE 番号を指定します。
[セキュリティ gpr gtp プロファイル gtp1 を編集]
user@host#
set remove-ie version v1 number 4
結果
設定モードから、 コマンドを入力して設定を show security gprs
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
gtp { profile gtp1 { remove-ie { version v1 { number 4; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
GTPv2情報要素について
情報エレメント(IE)は、すべての GPRS トンネリング プロトコル バージョン 2(GTPv2)制御メッセージ パケットに含まれています。IE は、作成、変更、削除、ステータスなど、GTPv2 トンネルに関する情報を提供します。Junos OS(Junos OS)は、第 3 世代パートナーシップ プロジェクト(3GPP)リリース 8 に準拠した IEs をサポートしています。
新しい IE エンフォースメント機能である Junos OS リリース 20.2R1 以降では、GTP メッセージに含める必要がある IE の存在を確認する Must-IE チェックがサポートされています。既存の機能のサポート IE の削除は、GTPv1-C から GTPv1-C と GTPv2-C の両方に拡張されます。
Must-IE check—この機能を使用して、GTP メッセージに含める必要がある IES の存在を確認できます。GTP メッセージの整合性を検証する機能です。Must-IEs は、3GPP TS の必須 IEs に限定されません。メッセージ内で、GTPv1 または GTPv2 バージョン、および GTPv1 または GTPv2 インターフェイスに従って、任意の IE を Must-IE として定義できます。デバイスは、特定の GTP メッセージの Must-IE の存在を確認し、Must-IE が存在する場合にのみメッセージを転送します。柔軟なメッセージ プロファイル構成で Must-IE チェックを実装しました。これにより、関心のあるメッセージの必須 IES を定義するのに役立ちます。Must-IE チェックは、適切なメッセージ プロファイル設定とともに、GTP リリース、メッセージ形式、または IE ステータスに簡単に対応できます。
IE removal—この機能を使用して、第 2 世代パートナーシップ プロジェクト(2GPP)と第 3 世代パートナーシップ プロジェクト(3GPP)ネットワーク間の相互運用性を維持できます。GTPv1 および GTPv2 のすべてのメッセージから特定のタイプの IE を削除できます。各情報要素には、一意の ID、IE 番号があります。IE の数字の範囲は 1~255 です。IEの削除を使用して、GTPファイアウォールを設定し、ユーザーが設定したIE番号を使用して特定のIEを削除することができます。これにより、GTP プロトコルが異なるリリースの GTP エンティティ間の通信が可能になります。IEの削除は、IE、Grouped IE、Embedded IE、または組み込みグループIEなどの特定のIEのすべてのインスタンスを削除するのに役立ちます。
「」も参照
例:GTPv1 および GTPv2 の Must-IE check を設定する
概要 この機能を有効にして、GTPv1 および GTPv2 メッセージ内の IES の存在を検証できます。これにより、メッセージの整合性を検証できます。メッセージ内で、GTPv1 または GTPv2 バージョン、および GTPv1 または GTPv2 インターフェイスに従って、任意の IE を Must-IE として定義できます。デバイスは、特定の GTP メッセージの Must-IE の存在を確認し、Must-IE が存在する場合にのみメッセージを転送します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRX シリーズ デバイス。
Junos OS リリース 20.2R1。
概要
情報要素(IE)は、すべての GPRS トンネリング プロトコル(GTP)制御メッセージ パケットに含まれています。すべての GTP-C メッセージは、GTP ヘッダーと複数の GTP 情報要素(IE)によって構築されます。各 IE タイプは、1~255 の数字で識別されます。第 3 世代パートナーシップ プロジェクト(3GPP)TS は IE リストを定義し、すべての GTP メッセージに対して一部のメッセージが必須で、その他はオプションまたは条件付きです。
GTPv1 の IEs は、TV または TLV 形式でエンコードされています。したがって、GTPv1 は IE 番号を使用して IES を識別します。GTPv2 の IES は TLIV 形式でエンコードされています。したがって、GTPv2 は IE 番号とインスタンス番号を使用して IES を識別します。
Must-IE チェックは、GTP メッセージに含める必要がある IE の存在を確認する機能であり、GTP メッセージの整合性を検証するのに役立ちます。Must-IEs は、3GPP TS の必須 IEs に限定されません。メッセージ内で、GTPv1 または GTPv2 バージョン、および GTPv1 または GTPv2 インターフェイスに従って、任意の IE を Must-IE として定義できます。デバイスは、特定の GTP メッセージの Must-IE の存在を確認し、Must-IE が存在する場合にのみメッセージを転送します。
柔軟なメッセージ プロファイル構成で Must-IE チェックを実装しました。これにより、関心のあるメッセージの必須 IES を定義するのに役立ちます。IE は TS で必須として定義されていないため、これを関心のあるメッセージと呼びます。Must-IE チェックは、適切なメッセージ プロファイル設定とともに、GTP リリース、メッセージ形式、または IE ステータスに簡単に対応できます。
構成
GTPv1 の Must-IE チェックを設定する
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security gprs gtp message-ie-profile-v1 msgie-v1 message 2 ie 14 set security gprs gtp message-ie-profile-v1 msgie-v1 message 16 ie 2 set security gprs gtp message-ie-profile-v1 msgie-v1 message 16 ie 3 set security gprs gtp message-ie-profile-v1 msgie-v1 message 16 ie 16 set security gprs gtp message-ie-profile-v1 msgie-v1 message 16 ie 17 set security gprs gtp message-ie-profile-v1 msgie-v1 message 16 ie 20 set security gprs gtp message-ie-profile-v1 msgie-v1 message 16 ie 133 set security gprs gtp profile GTP must-ie-v1 msgie-v1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。サポートが必要な場合は、CLIユーザーガイドのコンフィギュレーション・モードでのCLIエディターの使用を参照してください。
GTPv1 メッセージ ie プロファイル msgie-v1 を設定します。この例では、msgie-v1 という名前のプロファイルを作成しました。
[edit] user@host# set security gprs gtp message-ie-profile-v1 msgie-v1
message-ie-profile-v1を作成し、message-ie-profile-v1に興味のあるメッセージとIEを追加します。GTPv1はIE番号を使用してIEを識別します。この例では、3GPP TS 29.060において、メッセージタイプ2はエコー応答であり、メッセージタイプ16は、PDPコンテキストリクエストの作成である。メッセージ タイプ 2 では、IE 14 はエコー応答で必須の回復 IE です。メッセージ・タイプ 16 の場合、提供される IES は PDP コンテキスト作成要求で必須の IEs です。
[edit] user@host# set security gprs gtp message-ie-profile-v1 msgie-v1 message 2 ie 14 user@host# set security gprs gtp message-ie-profile-v1 msgie-v1 message 16 ie 2 user@host# set security gprs gtp message-ie-profile-v1 msgie-v1 message 16 ie 3 user@host# set security gprs gtp message-ie-profile-v1 msgie-v1 message 16 ie 16 user@host# set security gprs gtp message-ie-profile-v1 msgie-v1 message 16 ie 17 user@host# set security gprs gtp message-ie-profile-v1 msgie-v1 message 16 ie 20 user@host# set security gprs gtp message-ie-profile-v1 msgie-v1 message 16 ie 133
message-ie プロファイルを Must-IE として GTP プロファイルにバインドします。Must-IE チェックは、メッセージ プロファイル設定とともに実装され、興味のあるメッセージの必須 IES を定義するのに役立ちます。
[edit] user@host# set security gprs gtp profile GTP must-ie-v1 msgie-v1
GTPv2の必須IEチェックを設定する
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security gprs gtp grouped-ie-profile Bearer-ctxt-crt ie 73 set security gprs gtp grouped-ie-profile Bearer-ctxt-crt ie 80 set security gprs gtp grouped-ie-profile Bearer-ctxt-crt ie 87 set security gprs gtp grouped-ie-profile Bearer-ctxt-rmv ie 73 set security gprs gtp message-ie-profile-v2 msgie-v2 message 2 ie 3 set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 1 set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 71 set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 82 set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 87 instance 0 set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 87 instance 1 set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 93 instance 0 grouped-ie-profile Bearer-ctxt-crt set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 93 instance 1 grouped-ie-profile Bearer-ctxt-rmv set security gprs gtp profile GTP must-ie-v2 msgie-v2
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
GTPv2 message-ie profile msgie-v2 を設定します。この例では、msgie-v2 という名前のプロファイルを作成しました。
[edit] user@host# set security gprs gtp message-ie-profile-v2 msgie-v2
グループ化された ie-profile と IES へのリンクを定義します。グループ化された IE は、IEs のグループまたはグループ化された IE のグループです。たとえば、Bearer Contextは複数のIEを含むグループ化されたIEです。PDN接続は、ベアラーコンテキストと他のIEの複数のインスタンスを含む別のグループ化されたIEです。グループ化された ie プロファイルのみをグループ化された IE にリンクする必要があります。そうでない場合は、「エラー: IE %d は grouped-ie ではありません」というエラーが表示されます。
[edit] user@host# set security gprs gtp grouped-ie-profile Bearer-ctxt-crt ie 73 user@host# set security gprs gtp grouped-ie-profile Bearer-ctxt-crt ie 80 user@host# set security gprs gtp grouped-ie-profile Bearer-ctxt-crt ie 87 user@host# set security gprs gtp grouped-ie-profile Bearer-ctxt-rmv ie 73
message-ie-profile-v2を作成し、message-ie-profile-v2に興味のあるメッセージとIEを追加します。IE が TS で必須として定義されていないため、このメッセージを関心のあるメッセージと呼びます。GTPv2では、IE番号とインスタンス番号を使用してIEを識別します。インスタンスは、GTPv2 に対してのみ 3GPP TS 29.274 で定義されます。目的が異なるメッセージとともに同じタイプの複数の IES が送信された場合、これらの IES には異なるインスタンス値が設定されます。インスタンス値を指定しない場合、デバイスは自動的にデフォルト値を0にします。
[edit] user@host# set security gprs gtp message-ie-profile-v2 msgie-v2 message 2 ie 3 user@host# set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 1 user@host# set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 71 user@host# set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 82 user@host# set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 87 instance 0 user@host# set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 87 instance 1 user@host# set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 93 instance 0 grouped-ie-profile Bearer-ctxt-crt user@host# set security gprs gtp message-ie-profile-v2 msgie-v2 message 32 ie 93 instance 1 grouped-ie-profile Bearer-ctxt-rmv
message-ie プロファイルを Must-IE として GTP プロファイルにバインドします。Must-IE チェックは、メッセージ プロファイル設定とともに実装され、興味のあるメッセージの必須 IES を定義するのに役立ちます。
[edit] user@host# set security gprs gtp profile GTP must-ie-v2 msgie-v2
結果
設定モードから、 コマンドを入力して設定を show security gprs gtp
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show security gprs gtp profile GTP { must-ie-v1 { msgie-v1; } } message-ie-profile-v1 msgie-v1 { message 2 { ie 14; } message 16 { ie 2; ie 3; ie 16; ie 17; ie 20; ie 133; } }
[edit] user@host# show security gprs gtp profile GTP { must-ie-v2 { msgie-v2; } } grouped-ie-profile Bearer-ctxt-crt { ie 73; ie 80; ie 87; } grouped-ie-profile Bearer-ctxt-rmv { ie 73; } message-ie-profile-v2 msgie-v2 { message 2 { ie 3; } message 32 { ie 1; ie 71; ie 82; ie 87 { instance 0; instance 1; } ie 93 { instance 0 { grouped-ie-profile { Bearer-ctxt-crt; } } instance 1 { grouped-ie-profile { Bearer-ctxt-rmv; } } } } }
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
GTPv1メッセージIEプロファイルの確認
目的
GTPv1 メッセージ-IE プロファイルを検証します。
アクション
動作モードから、 コマンドを show security gprs gtp message-ie-profile-v1 (all | <msgie-prf-v1-name>)
入力します。
user@host> show security gprs gtp message-ie-profile-v1 all GTP Profile List (id, name): 1 msgie-v1 user@host> show security gprs gtp message-ie-profile-v1 msgie-v1 Profile msgie-v1, uid 1 Message Number 2 IE numbers: 14 Message Number 16 IE numbers: 2, 3, 16, 17, 20, 133
意味
出力には、GTPv1 メッセージ IE プロファイルの詳細が表示されます。
GTPv2メッセージIEプロファイルの確認
目的
GTPv2 メッセージ-IE プロファイルを検証します。
アクション
動作モードから、 コマンドを show security gprs gtp message-ie-profile-v2 (all | <msgie-prf-v2-name>)
入力します。
user@host> show security gprs gtp message-ie-profile-v2 all GTP Profile List (id, name): 1 msgie-v2 user@host> show security gprs gtp message-ie-profile-v2 msgie-v2 Profile msgie-v2, uid 1 Message Number IE number/Grouped-IE Instance numbers 2 3 0 32 1 0 71 0 82 0 87 0 87 1 Bearer-ctxt-crt 0 Bearer-ctxt-rmv 1
意味
出力には、GTPv2 メッセージ IE プロファイルの詳細が表示されます。
grouped-ieプロファイルを確認する
目的
グループ化されたすなわちプロファイルを確認するため。
アクション
動作モードから、 コマンドを show security gprs gtp grouped-ie-profile (all | <grpie-prf-name>)
入力します。
user@host> show security gprs gtp grouped-ie-profile all GTP Profile List (id, name): 1 Bearer-ctxt-crt 2 Bearer-ctxt-rmv user@host> show security gprs gtp grouped-ie-profile Bearer-ctxt-crt Profile Bearer-ctxt-crt, uid 1 Grouped-IE Number IE number/Grouped-IE Instance numbers 93 73 0 80 0 87 0 user@host> show security gprs gtp grouped-ie-profile Bearer-ctxt-rmv Profile Bearer-ctxt-rmv, uid 2 Grouped-IE Number IE number/Grouped-IE Instance numbers 93 73 0
意味
出力には、グループ化された IE プロファイルの詳細が表示されます。
例:GTPV1 および GTPv2 の IE 削除を設定する
概要 この機能を有効にすると、GTPv1 および GTPv2 のすべてのメッセージから特定のタイプの IE を削除できます。これにより、第 2 世代パートナーシップ プロジェクト(2GPP)と第 3 世代パートナーシップ プロジェクト(3GPP)ネットワーク間の相互運用性を維持できます。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRX シリーズ デバイス。
Junos OS リリース 20.2R1。
概要
モバイル ネットワークのネットワーク要素数は、3GPP 仕様の複数リリースの導入に伴い拡大しています。すべてのリリースでは、以前のリリースで定義されていない新しい情報要素(IE)が導入されています。したがって、モバイル ネットワークには多様なネットワーク要素があり、デバイスのさまざまなリリース間で相互運用性の問題が発生しています。.
各情報要素には、一意の ID、IE 番号があります。IE の数字の範囲は 1~255 です。ユーザー設定 IE 番号を使用して、特定の IE を削除するように GTP ファイアウォールを設定できます。
この例では、GTPv1 および GTPv2 のすべてのメッセージから特定のタイプの IE を削除できます。これにより、GTP プロトコルが異なるリリースの GTP エンティティ間の通信が可能になります。この設定は、IE、Grouped IE、Embedded IE、組み込み IE、組み込み IE などの特定の IE のすべてのインスタンスを削除するのに役立ちます。
IE の削除サポートは既に GTPv1-C で利用できます。Junos OS リリース 20.2R1 以降、IE の削除機能は GTPv1-C と GTPv2-C の両方のサポートを拡張しています。この機能を使用すると、第 2 世代パートナーシップ プロジェクト(2GPP)と第 3 世代パートナーシップ プロジェクト(3GPP)ネットワーク間の相互運用性を維持できます。
構成
GTPv1のIE削除を設定する
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security gprs gtp ie-set ieset-v1-r7 ie 172 set security gprs gtp ie-set ieset-v1-r7 ie 180 set security gprs gtp ie-set ieset-v1-r7 ie 181 set security gprs gtp ie-set ieset-v1-r7 ie 182 set security gprs gtp ie-set ieset-v1-r7 ie 183 set security gprs gtp ie-set ieset-v1-r7 ie 184 set security gprs gtp ie-set ieset-v1-r7 ie 199 set security gprs gtp profile GTP remove-ie-v1 ieset-v1-r7
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
GTPv1 用の ieset を設定します。この例では、ieset-v1-r7 という名前の ieset を作成しました。
[edit] user@host# set security gprs gtp ie-set ieset-v1-r7
ieset-v1-r7 に関心のある IEs を追加します。
[edit] user@host# set security gprs gtp ie-set ieset-v1-r7 ie 172 user@host# set security gprs gtp ie-set ieset-v1-r7 ie 180 user@host# set security gprs gtp ie-set ieset-v1-r7 ie 181 user@host# set security gprs gtp ie-set ieset-v1-r7 ie 182 user@host# set security gprs gtp ie-set ieset-v1-r7 ie 183 user@host# set security gprs gtp ie-set ieset-v1-r7 ie 184 user@host# set security gprs gtp ie-set ieset-v1-r7 ie 199
ieset を remove-ie として GTP プロファイルにバインドします。この例では、ieset-v1 を remove-ie-v1 としてバインドします。
[edit] user@host# set security gprs gtp profile GTP remove-ie-v1 ieset-v1-r7
GTPv2のIE削除を設定する
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security gprs gtp ie-set ieset-v2 ie 255 set security gprs gtp profile GTP remove-ie-v2 ieset-v2
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
GTPv2 の ieset を設定します。この例では、ieset-v2 という名前の ieset を作成しました。
[edit] user@host# set security gprs gtp ie-set ieset-v2
ieset-v2 に関心のある IES を追加します。
[edit] user@host# set security gprs gtp ie-set ieset-v2 ie 255
ieset を remove-ie として GTP プロファイルにバインドします。この例では、ieset-v2 を remove-ie-v2 としてバインドします。
[edit] user@host# set security gprs gtp profile GTP remove-ie-v2 ieset-v2
結果
設定モードから、 コマンドを入力して設定を show security gprs gtp
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show security gprs gtp profile GTP { remove-ie-v1 { ieset-v1-r7; } remove-ie-v2 { ieset-v2; } } ie-set ieset-v1-r7 { ie 172; ie 180; ie 181; ie 182; ie 183; ie 184; ie 199; } ie-set ieset-v2 { ie 255; }
検証
GTPv1 および GTPv2 IE 削除プロファイルの確認
目的
GTPv1およびGTPv2 IEの削除プロファイルを確認します。
アクション
動作モードから、 コマンドを show security gprs gtp ie-set (all | <ieset-name>)
入力します。
user@host> show security gprs gtp ie-set all GTP Profile List (id, name): 1 ieset-v1-r7 2 ieset-v2 user@host> show security gprs gtp ie-set ieset-v1-r7 Profile ieset-v1-r7, uid 1 IE numbers: 172, 180, 181, 182, 183, 184, 199 user@host> show security gprs gtp ie-set ieset-v2 Profile ieset-v2, uid 2 IE numbers: 255
意味
出力には、GTPv1 および GTPv2 IE 除去プロファイルの詳細が表示されます。
GTP APN フィルタリングについて
アクセス ポイント名(APN)は、GPRS トンネリング プロトコル(GTP)パケットのヘッダーに含まれる情報要素(IE)で、ネットワークへの到達方法に関する情報を提供します。APN は 2 つの要素で構成されます。
ネットワーク ID—example.com などの外部ネットワークの名前を識別します。
オペレーターID:mnc123.mcc456などのオペレーターのパブリックランドモバイルネットワーク(PLMN)を一意に識別します。
デフォルトでは、デバイスはすべてのAPNを許可します。ただし、APNフィルタリングを実行して、外部ネットワークへのローミング加入者へのアクセスを制限するようにデバイスを設定することができます。
APNフィルタリングを有効にするには、1つ以上のAPNを指定する必要があります。APN を指定するには、ネットワークのドメイン名(example.com など)と、オプションでオペレーター ID を知る必要があります。APN のドメイン名(ネットワーク ID)部分は非常に長く、多くの文字が含まれている可能性があるため、APN の最初の文字としてワイルドカード (*)を使用できます。ワイルドカードは、APN が example.com に限定されるだけでなく、その前にある可能性のあるすべての文字も含まれていないことを示しています。
APN の 選択モード を設定することもできます。選択モードでは、APN の発生元と、ホーム場所登録 (HLR) がユーザー サブスクリプションを検証しているかどうかが示されます。ネットワークのセキュリティ ニーズに応じて選択モードを設定します。可能な選択モードは次のとおりです。
モバイル ステーション — モバイル ステーションが提供する APN、サブスクリプションは検証されていません。
この選択モードは、モバイル ステーション (MS) が APN を提供し、HLR がユーザーのネットワークへのサブスクリプションを検証しなかったことを示します。
ネットワーク —ネットワーク提供の APN、サブスクリプションは検証されていません。
この選択モードでは、MS が 1 つを指定しなかったため、ネットワークが既定の APN を提供し、HLR がユーザーのネットワークへのサブスクリプションを検証しなかったことを示します。
検証済み — MS またはネットワーク提供の APN、サブスクリプションの検証済み。
この選択モードは、MS またはネットワークが APN を提供し、HLR がユーザーのネットワークへのサブスクリプションを検証したことを示します。
APN フィルタリングは、create-pdp-request メッセージにのみ適用されます。APN フィルタリングを実行する際、デバイスは GTP パケットを検査して、設定した APN に一致する AP を探します。GTP パケットの APN が指定した APN に一致する場合、デバイスは選択モードを検証し、APN と選択モードの両方が APN と指定した選択モードと一致する場合にのみ GTP パケットを転送します。APNフィルタリングは完全一致に基づいているため、APNサフィックスを設定する際にワイルドカード(*)を使用すると、許可するAPNの不注意による除外を防ぐことができます。
さらに、デバイスは、IMSI(International Mobile Subscriber Identity)プレフィックスと APN の組み合わせに基づいて GTP パケットをフィルタリングできます。IMSI プレフィックスに基づいて GTP パケットをフィルタリングする場合、APN も指定する必要があります。
APN 文字列では大文字と小文字が区別されません。例えば、以下の例では、同じ IMSI プレフィックス値で WWW.EXAMPLE.COM と www.example.com という 2 つの APN 文字列を設定しています。この設定では、小文字の文字列は大文字の文字列の後に表示され、パケットは破棄されます。
user@host# show configuration security gprs gtp | display set
set security gprs gtp profile test apn WWW.EXAMPLE.COM imsi-prefix * action pass
set security gprs gtp profile test apn www.example.com imsi-prefix * action drop
APN に 2 つの IMSI プレフィックス エントリーが設定されている場合、最も長い一致を持つ IMSI プレフィックスが優先されます。例えば、以下の設定を参照してください。
user@host# show configuration security gprs gtp | display set
set security gprs gtp profile test apn WWW.EXAMPLE.COM imsi-prefix 12345678 action pass
set security gprs gtp profile test apn www.example.com imsi-prefix 12345 action drop
受信パケット値が IMSI プレフィックス値12345678一致する場合、パケットは通過します。12345678 IMSI プレフィックス値は、最長一致 IMSI プレフィックスが優先されるように、IMSI プレフィックス値 12345 よりも優先されます。
例: GTP APN と選択モードの設定
この例では、GTP APN と選択モードを設定する方法を示します。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、example.com.mnc123.mcc456.gprs として GTP APN を設定し、ワイルドカード(*)文字を使用します。また、IMSI プレフィックスを設定し、選択モードをネットワークとして設定します。
構成
手順
手順
GTP APN と選択モードを設定するには、
GTP プロファイルを指定します。
[edit] user@host# set security gprs gtp profile gtp1
APN の選択モードを設定します。
[edit] user@host# set security gprs gtp profile gtp1 apn *example.com.mnc123.mcc456.gprs imsi-prefix * action selection net
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを show security gprs
入力します。
GTPパケットのIMSIプレフィックスフィルタリングについて
GPRS サポート ノード(GSN)は、IMSI(International Mobile Station Identity)によってモバイル ステーション(MS)を識別します。IMSIは、MCC(モバイル国コード)、MNC(モバイルネットワークコード)、MSIN(モバイル加入者識別番号)の3つの要素で構成されています。MCCとMNCの組み合わせがIMSIプレフィックスを構成し、モバイル加入者のホームネットワーク、またはPLMN(パブリックランドモバイルネットワーク)を特定します。
IMSI プレフィックスを設定することで、非roaming パートナーから来る GPRS トンネリング プロトコル(GTP)トラフィックを拒否するようにデバイスを設定できます。デフォルトでは、デバイスは GTP パケットで IMSI プレフィックス フィルタリングを実行しません。IMSI プレフィックスを設定することで、作成 pdp-request メッセージをフィルタリングし、設定したメッセージと一致する IMSI プレフィックスを持つ GTP パケットのみを許可するようにデバイスを構成します。デバイスは、設定した IMSI プレフィックスのいずれとも一致しない IMSI プレフィックスを持つ GTP パケットを許可します。IMSI プレフィックスが設定されたものと一致しない IMSI プレフィックスを持つ GTP パケットをブロックするには、IMSI フィルターに明示的なワイルドカードを使用します。ドロップ アクションは最後の IMSI プレフィックス フィルタリング ポリシーにする必要があります。
IMSI プレフィックスに基づいて GTP パケットをフィルタリングする場合、APN も指定する必要があります。
例: IMSI プレフィックスと APN フィルターの組み合わせの設定
この例では、IMSI プレフィックスと APN フィルターを設定および結合する方法を示しています。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、example.com.mnc123.mcc456.gprs を APN として設定し、ワイルドカード(*)を使用します。この APN に対してすべての選択モードを許可します。また、246565されている既知の PLMN の IMSI プレフィックスも設定します。MCC-MNCペアは5桁または6桁です。
構成
手順
手順
IMSI プレフィックスと APN フィルターを設定および結合するには、以下の手順に示します。
GTP プロファイルを設定します。
[edit] user@host# set security gprs gtp profile gtp1
APN の選択モードを設定します。
[edit] user@host# set security gprs gtp profile gtp1 apn *example.com.mnc123.mcc456.gprs imsi-prefix 246565* action pass
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを show security gprs
入力します。
GTPv2 IMSI プレフィックスと APN フィルタリングについて
GPRS サポート ノード(GSN)は、IMSI(International Mobile Subscriber Identity)によってモバイル ステーション(MS)を識別します。IMSIは、MCC(モバイル国コード)、MNC(モバイルネットワークコード)、MSIN(モバイル加入者識別番号)の3つの要素で構成されています。MCC は 3 桁の数字で、MNC は 2 桁または 3 桁の数字です。MCCとMNCの組み合わせがIMSIプレフィックスを構成し、モバイル加入者のホームネットワークまたはPLMN(パブリックランドモバイルネットワーク)を識別します。したがって、IMSI プレフィックスは PLMN 識別子として機能し、有効なローミング パートナーの識別に使用されます。
デフォルトでは、デバイスは GPRS トンネリング プロトコル バージョン 2(GTPv2)パケットで IMSI プレフィックス フィルタリングを実行しません。IMSI プレフィックスを設定することで、セッションリクエスト作成メッセージをフィルタリングし、設定したメッセージと一致する IMSI プレフィックスを持つ GTPv2 パケットのみを許可するようにデバイスを設定します。
IMSI プレフィックスに基づいて GTPv2 パケットをフィルタリングする場合、APN(アクセス ポイント名)も指定する必要があります。
APN は、GTPv2 パケットのヘッダーに含まれる情報要素(IE)で、ネットワークに到達する方法に関する情報を提供します。APN は 2 つの要素で構成されます。
ネットワーク ID—example.com などの外部ネットワークの名前を識別します。
オペレーターID—mnc123.mcc789.gprなどのオペレーターのPLMNを一意に識別します。
例えば、example.com.mnc123.mcc789.gprs は、mnc123.mcc789.gprs オペレーターを介して example.com ネットワークに到達するための APN です。
デフォルトでは、デバイスはGTPv2パケットに対してAPNフィルタリングを実行しません。ただし、APNフィルタリングを実行して、外部ネットワークへのローミング加入者へのアクセスを制限するようにデバイスを設定することができます。
設定ステートメントをset security gprs gtp profile profile name apn pattern-string imsi-prefix imsi-prefix-digits action (pass |drop |selection)
使用して、IMSI プレフィックスと APN の組み合わせに基づいてパケットをフィルタリングできます。
APN を指定するには、ネットワーク ID またはネットワークのドメイン名(example.com など)と、オプションでオペレーター ID を知る必要があります。APN のネットワーク ID 部分は非常に長くできるので、APN 文字列の最初の文字としてワイルドカード(*)を使用できます。例えば、ネットワーク ID として *.example.com を使用する場合、ワイルドカードは、APN が example.com に限定されるだけでなく、その前にある可能性のあるすべての文字も含まれていないことを示します。
オプションを selection
使用して、APN の 選択モード を設定できます。選択モードでは、APN の発生元と、ホーム場所登録 (HLR) がユーザー サブスクリプションを検証しているかどうかが示されます。ネットワークのセキュリティ ニーズに応じて選択モードを設定します。可能な選択モードは次のとおりです。
ms —MS提供のAPN、サブスクリプションは検証されません。
net — ネットワーク提供 APN、サブスクリプションは検証されません。
vrf —MS提供またはネットワーク提供のAPN、サブスクリプションが検証されます。
オプションを drop
使用して、すべてのAPをドロップし、オプションを使用して任意の pass
選択モードのすべてのAPを渡すことができます。
APNフィルタリングを実行する際、デバイスはパケットを検査して、設定したAPNに一致するAPを探します。パケットの APN が指定した APN に一致する場合、デバイスは選択モードを検証し、GTPv2 パケットを転送します。
APN と選択モードの両方が APN と指定した選択モードと一致する場合にのみ、デバイスは GTPv2 パケットを転送します。
APNフィルタリングは完全一致に基づいているため、APNサフィックスを設定する際にワイルドカード(*)を使用すると、許可するAPNの不注意による除外を防ぐことができます。
IMSI プレフィックスと APN フィルタリングは、セッション要求メッセージの作成にのみ適用されます。