Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

2G ネットワークと 3G ネットワーク間の GTP 相互運用性の実現

GPRSトンネリングプロトコル(GTP)は、第3世代(3G)または第4世代(4G)ネットワーク内でGPRS(General Packet Radio Service)を伝送する第3世代パートナーシッププロジェクト(3GPP)規格によって定義されています。情報要素(IE)は、GPRSトンネリングプロトコル(GTP)トンネルに関する情報(作成、変更、削除、ステータスなど)を提供します。IESは、すべてのGTP制御メッセージパケットに含まれています。

GTP 情報要素を理解する

情報要素(IE)は、すべての GPRS トンネリング プロトコル(GTP)制御メッセージ パケットに含まれています。IE は、作成、変更、削除、ステータスなど、GTP トンネルに関する情報を提供します。Junos OS は、第 3 世代パートナーシップ プロジェクト(3GPP)リリース 6、リリース 7、リリース 8、リリース 9 に準拠した IEs をサポートしています。3GPP の以前のリリースを実行している通信事業者と契約している場合、サポートされていない IE を含む制御メッセージを制限することで、ネットワークのオーバーヘッドを削減できます。

新しい情報要素(IE)が導入された場合、GTP は未知の新しい IE に遭遇した場合でもメッセージを渡すので、GTP メッセージはドロップしません。

R6、R7、R8、および R9 の情報要素の削除について

第 3 世代パートナーシップ プロジェクト(3GPP)R6、R7、R8、および R9 情報要素(IE)除去機能により、第 2 世代パートナーシップ プロジェクト(2GPP)と 3GPP ネットワーク間のローミングにおける相互運用性を維持できます。GPRS トンネリング プロトコル(GTP)対応のジュニパーネットワークス デバイスは、PLMN(パブリック ランド モバイル ネットワーク)と GPRS ローミング 交換(GRX)の境界に存在し、Gp ファイアウォールとして動作するように設定し、パケットが 2GPP ネットワークに通過する際に GTP パケット ヘッダーから 3GPP 固有の属性を削除できます。デバイスを設定して、RAT、RAI、共通フラグ、ULI、MS タイム ゾーン、IMEI-SV、およびアクセス ポイント名(APN)制限 IE を GTP メッセージから削除してから、これらのメッセージをゲートウェイ GPRS サポート ノード(GGSN)に転送できます。

サポートされているR6、R7、R8、およびR9情報要素

Junos OS は、 表 1 に示すように、GTP のすべての 3GPP R6 IEs をサポートしています。

表 1: サポートされている情報要素

IE タイプ値

情報要素

1

原因

2

IMSI(International Mobile Subscriber Identity)

3

ROUTING Area Identity(REI)

4

一時的な論理リンク ID(TLLI)

5

パケット TMSI(P-TMSI)

8

並べ替えが必要

9

認証トリプレット

11

マップの原因

12

P-TMSIシグネチャ

13

MS検証済み

14

回復

15

選択モード

16

トンネル エンドポイント識別子データ I

17

トンネル エンドポイント識別子制御プレーン

18

トンネル エンドポイント識別子データ II

19

破棄 ID

20

Nsapi

21

RANAP の原因

22

狂犬病のコンテキスト

23

無線優先度 SMS

24

無線優先度

25

パケット フロー ID

26

充電特性

27

トレース リファレンス

28

トレース タイプ

29

MS 到達不能理由

127

課金 ID

128

エンド ユーザー アドレス

129

MM コンテキスト

130

PDP コンテキスト

131

アクセス ポイント名

132

プロトコル設定オプション

133

GSN アドレス

134

MS International PSTN/ISDN 番号(MSISDN)

135

サービス品質プロファイル

136

認証に関するクインレット

137

トラフィック フロー テンプレート

138

ターゲットの識別

139

UTRAN透過コンテナ

140

ラブセットアップ情報

141

拡張ヘッダー タイプ リスト

142

トリガー ID

143

OMCアイデンティティ

144

RAN透過コンテナ

145

PDP コンテキスト優先度設定

146

追加のRAB設定情報

147

SGSN 番号

148

一般的なフラグ

149

APN 制限

150

無線優先度 LCS

151

RAT タイプ

152

ユーザーの位置情報

153

MS タイム ゾーン

154

IMEI-SV

155

キャメルチャージング情報コンテナ

156

MBMS UEコンテキスト

157

一時的なモバイルグループアイデンティティ(TMGI)

158

RIMルーティングアドレス

159

MBMS プロトコル設定オプション

160

MBMS サービス エリア

161

TNC PDCP コンテキスト情報のソース

162

追加のトレース情報

163

ホップ カウンター

164

選択した PLMN ID

165

MBMS セッション識別子

166

MBMS2G/3Gインジケータ

167

拡張 NSAPI

168

MBMS セッション時間

169

追加の MBMS トレース情報

173

BSSコンテナ

174

セルの識別

175

PDU 番号

176

BSSGP の原因

178

RIMルーティングアドレス識別子

179

設定 PFCS の一覧

180

PSハンドオーバーXIDパラメータ

188

信頼性の高いインターラットハンドオーバー情報

251

課金ゲートウェイアドレス

255

プライベート拡張

Junos OS は、 表 2 に示すように、GTP のすべての 3GPP R7 IEs をサポートしています。

表 2: サポートされている情報要素

IE タイプ値

情報要素

172

PS ハンドオーバリクエストコンテキスト

181

MS 情報変更レポート アクション

182

ダイレクト トンネル フラグ

183

相関 ID

184

ベアラー制御モード

Junos OS は、 3 に示すように、GTP のすべての 3GPP R8 I をサポートしています。

表 3: サポートされている情報要素

IE タイプ値

情報要素

189

RFSP インデックス

Junos OS は、 表 4 に示すように、GTP のすべての 3GPP R9 IEs をサポートしています。

表 4: サポートされている情報要素

IE タイプ値

情報要素

190

完全修飾ドメイン名(FQDN)

191

進化した割り当て/保持優先度 1

192

進化した割り当て/保持優先度 2

193

拡張された共通フラグ

194

ユーザーCSG情報(UCI)

195

CSG情報レポートアクション

196

CSG ID

197

CSG メンバーシップ表示(CMI)

198

集約最大ビットレート(AMBR)

例:GTP メッセージから R6、R7、R8、および R9 の情報要素を削除する

この例では、GTPメッセージからR6の情報要素を削除する方法を示しています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

この例では、セキュリティ デバイスの Gp インターフェイスを設定して、新しく追加された R6 IEs(RAT、Common Flags、ULI、IMEI-SV、MS タイム ゾーン、APN 制限)を GTP メッセージから削除します。

構成

手順

手順

GTPメッセージからR6の情報要素を削除するには:

  1. GTP プロファイルを指定します。

  2. information 要素を指定します。

  3. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、 コマンドを show security gprs 入力します。

GTPv1情報要素の削除について

モバイル ネットワークのネットワーク要素数は、3GPP 仕様の複数リリースの導入に伴い拡大しています。すべてのリリースでは、以前のリリースで定義されていない新しい情報要素(IE)が導入されています。このため、モバイル ネットワークには多様なネットワーク要素があり、デバイスのリリースによって相互運用の問題が発生します。GPRS トンネリング プロトコル(GTP)ファイアウォールを設定して、次のコマンドを使用してリリースすることで情報要素(IE)を削除できます。

set security gprs gtp profile gtp1 remove-ie.

ただし、将来のリリースで新しい IES が導入されると、相互運用の問題も発生する可能性があります。各情報要素には、一意の ID、IE 番号があります。IE の数字の範囲は 1~255 です。ユーザー設定 IE 番号を使用して、特定の IE を削除するように GTP ファイアウォールを設定できます。

IEの削除を設定すると、GTPファイアウォールはGTPv1メッセージの対応するIEを削除します。は、GTP、UDP、IP の長さを更新します。GTPv1 メッセージを渡します。また、GTP ファイアウォールは CRC(巡回冗長検査)コードを更新します。IE番号によるIEの削除は、1から255までのすべてのIEをサポートしています。

次のコマンドを使用して、IE の削除設定を削除できます。

delete security gprs gtp profile gtp1 remove-ie— GTP プロファイル GTP1 の IE 削除設定を削除します。

delete security gprs gtp profile gtp1 remove-ie version v1 number 4バージョン v1 および IE 番号 4 を持つ GTP プロファイルの IE 削除設定を削除します。

リリース20.2R1以降、Junos OSは、GTPv1-CとGTPv2-Cの両方でIE削除機能をサポートしています。

例:IE 番号を使用した GTPv1 情報エレメントの削除

この例では、セキュリティ デバイスの GPRS チューニング プロトコル(GTP)インターフェイスを設定して、GTP メッセージからユーザーが設定した IE を削除する方法を示します。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

この例では、gtp1 と呼ばれる GTP プロファイルの IE 削除を設定します。IEs は、ユーザー設定 IE 番号 4 を使用して削除されます。

構成

手順

CLI クイックコンフィギュレーション

この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

ユーザーが設定したISEをGTPメッセージから削除するようにセキュリティデバイスのGTPインターフェイスを設定するには:

  1. GTP プロファイルを指定します。

    [編集]

    user@host# set security gprs gtp profile gtp1

  2. IE 番号を指定します。

    [セキュリティ gpr gtp プロファイル gtp1 を編集]

    user@host# set remove-ie version v1 number 4

結果

設定モードから、 コマンドを入力して設定を show security gprs 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

GTPv2情報要素について

情報エレメント(IE)は、すべての GPRS トンネリング プロトコル バージョン 2(GTPv2)制御メッセージ パケットに含まれています。IE は、作成、変更、削除、ステータスなど、GTPv2 トンネルに関する情報を提供します。Junos OS(Junos OS)は、第 3 世代パートナーシップ プロジェクト(3GPP)リリース 8 に準拠した IEs をサポートしています。

新しい IE エンフォースメント機能である Junos OS リリース 20.2R1 以降では、GTP メッセージに含める必要がある IE の存在を確認する Must-IE チェックがサポートされています。既存の機能のサポート IE の削除は、GTPv1-C から GTPv1-C と GTPv2-C の両方に拡張されます。

Must-IE check—この機能を使用して、GTP メッセージに含める必要がある IES の存在を確認できます。GTP メッセージの整合性を検証する機能です。Must-IEs は、3GPP TS の必須 IEs に限定されません。メッセージ内で、GTPv1 または GTPv2 バージョン、および GTPv1 または GTPv2 インターフェイスに従って、任意の IE を Must-IE として定義できます。デバイスは、特定の GTP メッセージの Must-IE の存在を確認し、Must-IE が存在する場合にのみメッセージを転送します。柔軟なメッセージ プロファイル構成で Must-IE チェックを実装しました。これにより、関心のあるメッセージの必須 IES を定義するのに役立ちます。Must-IE チェックは、適切なメッセージ プロファイル設定とともに、GTP リリース、メッセージ形式、または IE ステータスに簡単に対応できます。

IE removal—この機能を使用して、第 2 世代パートナーシップ プロジェクト(2GPP)と第 3 世代パートナーシップ プロジェクト(3GPP)ネットワーク間の相互運用性を維持できます。GTPv1 および GTPv2 のすべてのメッセージから特定のタイプの IE を削除できます。各情報要素には、一意の ID、IE 番号があります。IE の数字の範囲は 1~255 です。IEの削除を使用して、GTPファイアウォールを設定し、ユーザーが設定したIE番号を使用して特定のIEを削除することができます。これにより、GTP プロトコルが異なるリリースの GTP エンティティ間の通信が可能になります。IEの削除は、IE、Grouped IE、Embedded IE、または組み込みグループIEなどの特定のIEのすべてのインスタンスを削除するのに役立ちます。

例:GTPv1 および GTPv2 の Must-IE check を設定する

概要 この機能を有効にして、GTPv1 および GTPv2 メッセージ内の IES の存在を検証できます。これにより、メッセージの整合性を検証できます。メッセージ内で、GTPv1 または GTPv2 バージョン、および GTPv1 または GTPv2 インターフェイスに従って、任意の IE を Must-IE として定義できます。デバイスは、特定の GTP メッセージの Must-IE の存在を確認し、Must-IE が存在する場合にのみメッセージを転送します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズ デバイス。

  • Junos OS リリース 20.2R1。

概要

情報要素(IE)は、すべての GPRS トンネリング プロトコル(GTP)制御メッセージ パケットに含まれています。すべての GTP-C メッセージは、GTP ヘッダーと複数の GTP 情報要素(IE)によって構築されます。各 IE タイプは、1~255 の数字で識別されます。第 3 世代パートナーシップ プロジェクト(3GPP)TS は IE リストを定義し、すべての GTP メッセージに対して一部のメッセージが必須で、その他はオプションまたは条件付きです。

GTPv1 の IEs は、TV または TLV 形式でエンコードされています。したがって、GTPv1 は IE 番号を使用して IES を識別します。GTPv2 の IES は TLIV 形式でエンコードされています。したがって、GTPv2 は IE 番号とインスタンス番号を使用して IES を識別します。

Must-IE チェックは、GTP メッセージに含める必要がある IE の存在を確認する機能であり、GTP メッセージの整合性を検証するのに役立ちます。Must-IEs は、3GPP TS の必須 IEs に限定されません。メッセージ内で、GTPv1 または GTPv2 バージョン、および GTPv1 または GTPv2 インターフェイスに従って、任意の IE を Must-IE として定義できます。デバイスは、特定の GTP メッセージの Must-IE の存在を確認し、Must-IE が存在する場合にのみメッセージを転送します。

柔軟なメッセージ プロファイル構成で Must-IE チェックを実装しました。これにより、関心のあるメッセージの必須 IES を定義するのに役立ちます。IE は TS で必須として定義されていないため、これを関心のあるメッセージと呼びます。Must-IE チェックは、適切なメッセージ プロファイル設定とともに、GTP リリース、メッセージ形式、または IE ステータスに簡単に対応できます。

構成

GTPv1 の Must-IE チェックを設定する

CLI クイックコンフィギュレーション

この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。サポートが必要な場合は、CLIユーザーガイドのコンフィギュレーション・モードでのCLIエディターの使用を参照してください。

  1. GTPv1 メッセージ ie プロファイル msgie-v1 を設定します。この例では、msgie-v1 という名前のプロファイルを作成しました。

  2. message-ie-profile-v1を作成し、message-ie-profile-v1に興味のあるメッセージとIEを追加します。GTPv1はIE番号を使用してIEを識別します。この例では、3GPP TS 29.060において、メッセージタイプ2はエコー応答であり、メッセージタイプ16は、PDPコンテキストリクエストの作成である。メッセージ タイプ 2 では、IE 14 はエコー応答で必須の回復 IE です。メッセージ・タイプ 16 の場合、提供される IES は PDP コンテキスト作成要求で必須の IEs です。

  3. message-ie プロファイルを Must-IE として GTP プロファイルにバインドします。Must-IE チェックは、メッセージ プロファイル設定とともに実装され、興味のあるメッセージの必須 IES を定義するのに役立ちます。

GTPv2の必須IEチェックを設定する

CLI クイックコンフィギュレーション

この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

  1. GTPv2 message-ie profile msgie-v2 を設定します。この例では、msgie-v2 という名前のプロファイルを作成しました。

  2. グループ化された ie-profile と IES へのリンクを定義します。グループ化された IE は、IEs のグループまたはグループ化された IE のグループです。たとえば、Bearer Contextは複数のIEを含むグループ化されたIEです。PDN接続は、ベアラーコンテキストと他のIEの複数のインスタンスを含む別のグループ化されたIEです。グループ化された ie プロファイルのみをグループ化された IE にリンクする必要があります。そうでない場合は、「エラー: IE %d は grouped-ie ではありません」というエラーが表示されます。

  3. message-ie-profile-v2を作成し、message-ie-profile-v2に興味のあるメッセージとIEを追加します。IE が TS で必須として定義されていないため、このメッセージを関心のあるメッセージと呼びます。GTPv2では、IE番号とインスタンス番号を使用してIEを識別します。インスタンスは、GTPv2 に対してのみ 3GPP TS 29.274 で定義されます。目的が異なるメッセージとともに同じタイプの複数の IES が送信された場合、これらの IES には異なるインスタンス値が設定されます。インスタンス値を指定しない場合、デバイスは自動的にデフォルト値を0にします。

  4. message-ie プロファイルを Must-IE として GTP プロファイルにバインドします。Must-IE チェックは、メッセージ プロファイル設定とともに実装され、興味のあるメッセージの必須 IES を定義するのに役立ちます。

結果

設定モードから、 コマンドを入力して設定を show security gprs gtp 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

GTPv1メッセージIEプロファイルの確認

目的

GTPv1 メッセージ-IE プロファイルを検証します。

アクション

動作モードから、 コマンドを show security gprs gtp message-ie-profile-v1 (all | <msgie-prf-v1-name>) 入力します。

意味

出力には、GTPv1 メッセージ IE プロファイルの詳細が表示されます。

GTPv2メッセージIEプロファイルの確認

目的

GTPv2 メッセージ-IE プロファイルを検証します。

アクション

動作モードから、 コマンドを show security gprs gtp message-ie-profile-v2 (all | <msgie-prf-v2-name>) 入力します。

意味

出力には、GTPv2 メッセージ IE プロファイルの詳細が表示されます。

grouped-ieプロファイルを確認する

目的

グループ化されたすなわちプロファイルを確認するため。

アクション

動作モードから、 コマンドを show security gprs gtp grouped-ie-profile (all | <grpie-prf-name>) 入力します。

意味

出力には、グループ化された IE プロファイルの詳細が表示されます。

例:GTPV1 および GTPv2 の IE 削除を設定する

概要 この機能を有効にすると、GTPv1 および GTPv2 のすべてのメッセージから特定のタイプの IE を削除できます。これにより、第 2 世代パートナーシップ プロジェクト(2GPP)と第 3 世代パートナーシップ プロジェクト(3GPP)ネットワーク間の相互運用性を維持できます。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズ デバイス。

  • Junos OS リリース 20.2R1。

概要

モバイル ネットワークのネットワーク要素数は、3GPP 仕様の複数リリースの導入に伴い拡大しています。すべてのリリースでは、以前のリリースで定義されていない新しい情報要素(IE)が導入されています。したがって、モバイル ネットワークには多様なネットワーク要素があり、デバイスのさまざまなリリース間で相互運用性の問題が発生しています。.

各情報要素には、一意の ID、IE 番号があります。IE の数字の範囲は 1~255 です。ユーザー設定 IE 番号を使用して、特定の IE を削除するように GTP ファイアウォールを設定できます。

この例では、GTPv1 および GTPv2 のすべてのメッセージから特定のタイプの IE を削除できます。これにより、GTP プロトコルが異なるリリースの GTP エンティティ間の通信が可能になります。この設定は、IE、Grouped IE、Embedded IE、組み込み IE、組み込み IE などの特定の IE のすべてのインスタンスを削除するのに役立ちます。

IE の削除サポートは既に GTPv1-C で利用できます。Junos OS リリース 20.2R1 以降、IE の削除機能は GTPv1-C と GTPv2-C の両方のサポートを拡張しています。この機能を使用すると、第 2 世代パートナーシップ プロジェクト(2GPP)と第 3 世代パートナーシップ プロジェクト(3GPP)ネットワーク間の相互運用性を維持できます。

構成

GTPv1のIE削除を設定する

CLI クイックコンフィギュレーション

この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

  1. GTPv1 用の ieset を設定します。この例では、ieset-v1-r7 という名前の ieset を作成しました。

  2. ieset-v1-r7 に関心のある IEs を追加します。

  3. ieset を remove-ie として GTP プロファイルにバインドします。この例では、ieset-v1 を remove-ie-v1 としてバインドします。

GTPv2のIE削除を設定する

CLI クイックコンフィギュレーション

この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

  1. GTPv2 の ieset を設定します。この例では、ieset-v2 という名前の ieset を作成しました。

  2. ieset-v2 に関心のある IES を追加します。

  3. ieset を remove-ie として GTP プロファイルにバインドします。この例では、ieset-v2 を remove-ie-v2 としてバインドします。

結果

設定モードから、 コマンドを入力して設定を show security gprs gtp 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

検証

GTPv1 および GTPv2 IE 削除プロファイルの確認

目的

GTPv1およびGTPv2 IEの削除プロファイルを確認します。

アクション

動作モードから、 コマンドを show security gprs gtp ie-set (all | <ieset-name>) 入力します。

意味

出力には、GTPv1 および GTPv2 IE 除去プロファイルの詳細が表示されます。

GTP APN フィルタリングについて

アクセス ポイント名(APN)は、GPRS トンネリング プロトコル(GTP)パケットのヘッダーに含まれる情報要素(IE)で、ネットワークへの到達方法に関する情報を提供します。APN は 2 つの要素で構成されます。

  • ネットワーク ID—example.com などの外部ネットワークの名前を識別します。

  • オペレーターID:mnc123.mcc456などのオペレーターのパブリックランドモバイルネットワーク(PLMN)を一意に識別します。

デフォルトでは、デバイスはすべてのAPNを許可します。ただし、APNフィルタリングを実行して、外部ネットワークへのローミング加入者へのアクセスを制限するようにデバイスを設定することができます。

APNフィルタリングを有効にするには、1つ以上のAPNを指定する必要があります。APN を指定するには、ネットワークのドメイン名(example.com など)と、オプションでオペレーター ID を知る必要があります。APN のドメイン名(ネットワーク ID)部分は非常に長く、多くの文字が含まれている可能性があるため、APN の最初の文字としてワイルドカード (*)を使用できます。ワイルドカードは、APN が example.com に限定されるだけでなく、その前にある可能性のあるすべての文字も含まれていないことを示しています。

APN の 選択モード を設定することもできます。選択モードでは、APN の発生元と、ホーム場所登録 (HLR) がユーザー サブスクリプションを検証しているかどうかが示されます。ネットワークのセキュリティ ニーズに応じて選択モードを設定します。可能な選択モードは次のとおりです。

  • モバイル ステーション — モバイル ステーションが提供する APN、サブスクリプションは検証されていません。

    この選択モードは、モバイル ステーション (MS) が APN を提供し、HLR がユーザーのネットワークへのサブスクリプションを検証しなかったことを示します。

  • ネットワーク —ネットワーク提供の APN、サブスクリプションは検証されていません。

    この選択モードでは、MS が 1 つを指定しなかったため、ネットワークが既定の APN を提供し、HLR がユーザーのネットワークへのサブスクリプションを検証しなかったことを示します。

  • 検証済み — MS またはネットワーク提供の APN、サブスクリプションの検証済み。

    この選択モードは、MS またはネットワークが APN を提供し、HLR がユーザーのネットワークへのサブスクリプションを検証したことを示します。

APN フィルタリングは、create-pdp-request メッセージにのみ適用されます。APN フィルタリングを実行する際、デバイスは GTP パケットを検査して、設定した APN に一致する AP を探します。GTP パケットの APN が指定した APN に一致する場合、デバイスは選択モードを検証し、APN と選択モードの両方が APN と指定した選択モードと一致する場合にのみ GTP パケットを転送します。APNフィルタリングは完全一致に基づいているため、APNサフィックスを設定する際にワイルドカード(*)を使用すると、許可するAPNの不注意による除外を防ぐことができます。

さらに、デバイスは、IMSI(International Mobile Subscriber Identity)プレフィックスと APN の組み合わせに基づいて GTP パケットをフィルタリングできます。IMSI プレフィックスに基づいて GTP パケットをフィルタリングする場合、APN も指定する必要があります。

APN 文字列では大文字と小文字が区別されません。例えば、以下の例では、同じ IMSI プレフィックス値で WWW.EXAMPLE.COM と www.example.com という 2 つの APN 文字列を設定しています。この設定では、小文字の文字列は大文字の文字列の後に表示され、パケットは破棄されます。

user@host# show configuration security gprs gtp | display set

set security gprs gtp profile test apn WWW.EXAMPLE.COM imsi-prefix * action pass

set security gprs gtp profile test apn www.example.com imsi-prefix * action drop

APN に 2 つの IMSI プレフィックス エントリーが設定されている場合、最も長い一致を持つ IMSI プレフィックスが優先されます。例えば、以下の設定を参照してください。

user@host# show configuration security gprs gtp | display set

set security gprs gtp profile test apn WWW.EXAMPLE.COM imsi-prefix 12345678 action pass

set security gprs gtp profile test apn www.example.com imsi-prefix 12345 action drop

受信パケット値が IMSI プレフィックス値12345678一致する場合、パケットは通過します。12345678 IMSI プレフィックス値は、最長一致 IMSI プレフィックスが優先されるように、IMSI プレフィックス値 12345 よりも優先されます。

例: GTP APN と選択モードの設定

この例では、GTP APN と選択モードを設定する方法を示します。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

この例では、example.com.mnc123.mcc456.gprs として GTP APN を設定し、ワイルドカード(*)文字を使用します。また、IMSI プレフィックスを設定し、選択モードをネットワークとして設定します。

構成

手順

手順

GTP APN と選択モードを設定するには、

  1. GTP プロファイルを指定します。

  2. APN の選択モードを設定します。

  3. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、 コマンドを show security gprs 入力します。

GTPパケットのIMSIプレフィックスフィルタリングについて

GPRS サポート ノード(GSN)は、IMSI(International Mobile Station Identity)によってモバイル ステーション(MS)を識別します。IMSIは、MCC(モバイル国コード)、MNC(モバイルネットワークコード)、MSIN(モバイル加入者識別番号)の3つの要素で構成されています。MCCとMNCの組み合わせがIMSIプレフィックスを構成し、モバイル加入者のホームネットワーク、またはPLMN(パブリックランドモバイルネットワーク)を特定します。

IMSI プレフィックスを設定することで、非roaming パートナーから来る GPRS トンネリング プロトコル(GTP)トラフィックを拒否するようにデバイスを設定できます。デフォルトでは、デバイスは GTP パケットで IMSI プレフィックス フィルタリングを実行しません。IMSI プレフィックスを設定することで、作成 pdp-request メッセージをフィルタリングし、設定したメッセージと一致する IMSI プレフィックスを持つ GTP パケットのみを許可するようにデバイスを構成します。デバイスは、設定した IMSI プレフィックスのいずれとも一致しない IMSI プレフィックスを持つ GTP パケットを許可します。IMSI プレフィックスが設定されたものと一致しない IMSI プレフィックスを持つ GTP パケットをブロックするには、IMSI フィルターに明示的なワイルドカードを使用します。ドロップ アクションは最後の IMSI プレフィックス フィルタリング ポリシーにする必要があります。

IMSI プレフィックスに基づいて GTP パケットをフィルタリングする場合、APN も指定する必要があります。

例: IMSI プレフィックスと APN フィルターの組み合わせの設定

この例では、IMSI プレフィックスと APN フィルターを設定および結合する方法を示しています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

この例では、example.com.mnc123.mcc456.gprs を APN として設定し、ワイルドカード(*)を使用します。この APN に対してすべての選択モードを許可します。また、246565されている既知の PLMN の IMSI プレフィックスも設定します。MCC-MNCペアは5桁または6桁です。

構成

手順

手順

IMSI プレフィックスと APN フィルターを設定および結合するには、以下の手順に示します。

  1. GTP プロファイルを設定します。

  2. APN の選択モードを設定します。

  3. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、 コマンドを show security gprs 入力します。

GTPv2 IMSI プレフィックスと APN フィルタリングについて

GPRS サポート ノード(GSN)は、IMSI(International Mobile Subscriber Identity)によってモバイル ステーション(MS)を識別します。IMSIは、MCC(モバイル国コード)、MNC(モバイルネットワークコード)、MSIN(モバイル加入者識別番号)の3つの要素で構成されています。MCC は 3 桁の数字で、MNC は 2 桁または 3 桁の数字です。MCCとMNCの組み合わせがIMSIプレフィックスを構成し、モバイル加入者のホームネットワークまたはPLMN(パブリックランドモバイルネットワーク)を識別します。したがって、IMSI プレフィックスは PLMN 識別子として機能し、有効なローミング パートナーの識別に使用されます。

デフォルトでは、デバイスは GPRS トンネリング プロトコル バージョン 2(GTPv2)パケットで IMSI プレフィックス フィルタリングを実行しません。IMSI プレフィックスを設定することで、セッションリクエスト作成メッセージをフィルタリングし、設定したメッセージと一致する IMSI プレフィックスを持つ GTPv2 パケットのみを許可するようにデバイスを設定します。

IMSI プレフィックスに基づいて GTPv2 パケットをフィルタリングする場合、APN(アクセス ポイント名)も指定する必要があります。

APN は、GTPv2 パケットのヘッダーに含まれる情報要素(IE)で、ネットワークに到達する方法に関する情報を提供します。APN は 2 つの要素で構成されます。

  • ネットワーク ID—example.com などの外部ネットワークの名前を識別します。

  • オペレーターID—mnc123.mcc789.gprなどのオペレーターのPLMNを一意に識別します。

例えば、example.com.mnc123.mcc789.gprs は、mnc123.mcc789.gprs オペレーターを介して example.com ネットワークに到達するための APN です。

デフォルトでは、デバイスはGTPv2パケットに対してAPNフィルタリングを実行しません。ただし、APNフィルタリングを実行して、外部ネットワークへのローミング加入者へのアクセスを制限するようにデバイスを設定することができます。

設定ステートメントset security gprs gtp profile profile name apn pattern-string imsi-prefix imsi-prefix-digits action (pass |drop |selection)使用して、IMSI プレフィックスと APN の組み合わせに基づいてパケットをフィルタリングできます。

APN を指定するには、ネットワーク ID またはネットワークのドメイン名(example.com など)と、オプションでオペレーター ID を知る必要があります。APN のネットワーク ID 部分は非常に長くできるので、APN 文字列の最初の文字としてワイルドカード(*)を使用できます。例えば、ネットワーク ID として *.example.com を使用する場合、ワイルドカードは、APN が example.com に限定されるだけでなく、その前にある可能性のあるすべての文字も含まれていないことを示します。

オプションを selection 使用して、APN の 選択モード を設定できます。選択モードでは、APN の発生元と、ホーム場所登録 (HLR) がユーザー サブスクリプションを検証しているかどうかが示されます。ネットワークのセキュリティ ニーズに応じて選択モードを設定します。可能な選択モードは次のとおりです。

  • ms —MS提供のAPN、サブスクリプションは検証されません。

  • net — ネットワーク提供 APN、サブスクリプションは検証されません。

  • vrf —MS提供またはネットワーク提供のAPN、サブスクリプションが検証されます。

オプションを drop 使用して、すべてのAPをドロップし、オプションを使用して任意の pass 選択モードのすべてのAPを渡すことができます。

APNフィルタリングを実行する際、デバイスはパケットを検査して、設定したAPNに一致するAPを探します。パケットの APN が指定した APN に一致する場合、デバイスは選択モードを検証し、GTPv2 パケットを転送します。

APN と選択モードの両方が APN と指定した選択モードと一致する場合にのみ、デバイスは GTPv2 パケットを転送します。

APNフィルタリングは完全一致に基づいているため、APNサフィックスを設定する際にワイルドカード(*)を使用すると、許可するAPNの不注意による除外を防ぐことができます。

IMSI プレフィックスと APN フィルタリングは、セッション要求メッセージの作成にのみ適用されます。