GTPv1 メッセージ フィルタリング
GTP パケットには、メッセージ本体と GTP、UDP、IP ヘッダーが含まれています。GTP メッセージ フィルターに基づいて GTP パケットが渡されるか破棄されます。GTP メッセージは、メッセージ長およびメッセージ・タイプに基づいてフィルター処理されます。
GTP メッセージ フィルタリングについて
デバイスが GPRS トンネリング プロトコル(GTP)パケットを受信すると、デバイスで設定されたポリシーに対してパケットをチェックします。パケットがポリシーと一致する場合、デバイスはポリシーに適用された GTP 設定に従ってパケットを検査します。パケットがいずれかの GTP 設定パラメータを満たせなければ、デバイスは GTP インスペクション オブジェクトの設定に基づいてパケットを渡すか破棄します。
GTP パケットは、メッセージ本体と、GTP、UDP、IP の 3 つのヘッダーで構成されます。結果の IP パケットが転送リンク上の最大伝送単位(MTU)よりも大きい場合、送信サービング GPRS サポート ノード(SGSN)またはゲートウェイ GPRS サポート ノード(GGSN)は IP フラグメント化を実行します。
デフォルトでは、デバイスは完全な GTP メッセージを受信するまで IP フラグメントをバッファリングし、GTP メッセージを検査します。
GTP メッセージ長フィルタリングについて
指定した最小または最大メッセージ長を満たしていないパケットをドロップするようにデバイスを設定できます。GPRS トンネリング プロトコル(GTP)ヘッダーでは、メッセージ長フィールドは GTP ペイロードの長さをオクテットで示します。GTP ヘッダー自体、UDP ヘッダー、または IP ヘッダーの長さは含まれません。デフォルトの最小および最大 GTP メッセージ長は、それぞれ 0 バイトと 65,535 バイトです。
GTP メッセージ タイプ フィルタリングについて
GPRS トンネリング プロトコル(GTP)パケットをフィルタリングし、メッセージ タイプに基づいて GPRS トンネリング プロトコル(GTP)パケットを許可または拒否するようにデバイスを設定できます。デフォルトでは、デバイスはすべての GTP メッセージ タイプを許可します。
GTP メッセージ・タイプには、1 つまたは複数のメッセージが含まれています。メッセージタイプを許可または拒否すると、指定したタイプのすべてのメッセージを自動的に許可または拒否します。たとえば、sgsn-context メッセージ タイプをドロップすることを選択した場合、sgsn-context-request、sgsn-context-response、sgsn-context-acknowledge メッセージをドロップします。
GTP バージョン番号に基づいてメッセージ タイプを許可および拒否します。例えば、あるバージョンのメッセージ・タイプを拒否し、他方のバージョンでメッセージ・タイプを許可することができます。
例:GTP メッセージ長フィルタリングの設定
この例では、GTP メッセージ長を設定する方法を示しています。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、GTP インスペクション オブジェクトの最小 GTP メッセージ長を 8 オクテットに、最大 GTP メッセージ長を 1200 オクテットに設定します。
構成
手順
手順
GTP メッセージの長さを設定するには、以下の手順にしたがってください。
GTP プロファイルを指定します。
[edit] user@host# set security gprs gtp profile gtp1
最小メッセージ長を指定します。
[edit] user@host# set security gprs gtp profile gtp1 min-message-length 8
最大メッセージ長を指定します。
[edit] user@host# set security gprs gtp profile gtp1 max-message-length 1200
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、コマンドを show security gprs 入力します。
サポートされる GTP メッセージタイプ
表 1 は、GTP リリース 1997 および 1999 でサポートされている GTP メッセージ(GTP の課金メッセージを含む)と、GTP メッセージ タイプ フィルタリングの設定に使用できるメッセージ タイプを示しています。
メッセージ |
メッセージ タイプ |
バージョン 0 |
バージョン 1 |
|---|---|---|---|
AA pdpコンテキストリクエストの作成 |
create-aa-pdp |
B |
|
AA pdpコンテキストレスポンスを作成する |
create-aa-pdp |
B |
|
pdp コンテキスト要求の作成 |
create-pdp |
B |
B |
pdpコンテキストレスポンスを作成する |
create-pdp |
B |
B |
データ・レコード要求 |
データレコード |
B |
B |
データ・レコード応答 |
データレコード |
B |
B |
AA pdp コンテキスト要求の削除 |
delete-aa-pdp |
B |
|
AA pdpコンテキストレスポンスを削除する |
delete-aa-pdp |
B |
|
pdp コンテキスト要求の削除 |
delete-pdp |
B |
B |
pdpコンテキストレスポンスの削除 |
delete-pdp |
B |
B |
エコーリクエスト |
エコー |
B |
B |
エコー応答 |
エコー |
B |
B |
エラー表示 |
エラー表示 |
B |
B |
障害報告要求 |
障害レポート |
B |
B |
障害報告応答 |
障害レポート |
B |
B |
転送再配置要求 |
fwd-移設 |
B |
B |
フォワード・リロケーション・レスポンス |
fwd-移設 |
B |
B |
前方移転完了 |
fwd-移設 |
B |
B |
前方移転を完全に認める |
fwd-移設 |
B |
B |
フォワード SRNS コンテキスト |
fwd-srns-context |
B |
B |
フォワード SRNS コンテキストが認識する |
fwd-srns-context |
B |
B |
識別要求 |
識別 |
B |
B |
識別応答 |
識別 |
B |
B |
ノード・アライブ・リクエスト |
node-alive |
B |
B |
ノードの生存応答 |
node-alive |
B |
B |
注: MS GPRS の現在の要求 |
note-ms-present |
B |
B |
注: MS GPRS の現在の応答 |
note-ms-present |
B |
B |
pdu 通知要求 |
pdu 通知 |
B |
B |
pdu 通知応答 |
pdu 通知 |
B |
B |
pdu 通知拒否要求 |
pdu 通知 |
B |
B |
pdu 通知拒否応答 |
pdu 通知 |
B |
B |
RAN 情報リレー |
ran-info |
B |
B |
リダイレクションリクエスト |
リダイレクト |
B |
B |
リダイレクションレスポンス |
リダイレクト |
B |
B |
移転キャンセル依頼 |
リロケーションキャンセル |
B |
B |
移転キャンセル対応 |
リロケーションキャンセル |
B |
B |
ルート情報リクエストの送信 |
send-route |
B |
B |
ルート情報応答の送信 |
send-route |
B |
B |
sgsn コンテキスト要求 |
sgsn-context |
B |
B |
sgsnコンテキストレスポンス |
sgsn-context |
B |
B |
sgsn コンテキストが認識する |
sgsn-context |
B |
B |
サポートされる拡張ヘッダー通知 |
サポートされる拡張 |
B |
B |
g-pdu |
gtp-pdu |
B |
B |
pdp コンテキスト要求の更新 |
update-pdp |
B |
B |
更新された pdp コンテキスト応答 |
update-pdp |
B |
B |
サポートされていないバージョン |
バージョン未対応 |
B |
B |
例:GTP メッセージ・タイプのフィルタリング
この例では、GTP メッセージ タイプを許可および拒否する方法を示しています。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、gtp1 プロファイルに対して、バージョン 1 のエラー表示および障害報告メッセージ タイプをドロップするようにデバイスを設定します。
構成
手順
手順
GTP メッセージ タイプを許可および拒否するには、以下の手順に示します。
デバイスを設定します。
[edit] user@host# set security gprs gtp profile gtp1
エラー表示をドロップします。
[edit] user@host# set security gprs gtp profile gtp1 drop error-indication 1
障害レポート メッセージを削除します。
[edit] user@host# set security gprs gtp profile gtp1 drop failure-report 1
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、コマンドを show security gprs 入力します。
GTP 制御メッセージのレート制限について
GPRS サポート ノード(GSN)に対するネットワーク トラフィックのレートを制限するようにデバイスを設定できます。GGSN トンネリング プロトコル、制御(GTP-C)メッセージの個別のしきい値(パケット/秒)を設定できます。GTP-C メッセージは処理と応答を必要とするため、GSN を圧倒する可能性があります。GTP-C メッセージのレート制限を設定することで、次のようなサービス拒否(DoS)攻撃から GSN を保護できます。
境界ゲートウェイの帯域幅飽和—公共の土地モバイル ネットワーク(PLMN)と同じ GPRS ローミング エクスチェンジ(GRX)に接続された悪意のあるオペレータは、境界ゲートウェイで非常に多くのネットワーク トラフィックを誘導できるため、PLMN 内または PLMN 外の帯域幅に対して正当なトラフィックが不足し、ネットワークとのローミング アクセスが拒否されます。
GTP フラッド:GPRS トンネリング プロトコル(GTP)トラフィックが GSN をあふれさせ、不正なデータの処理に CPU サイクルを費やさざるを得ない場合があります。これにより、加入者が外部ネットワークへのデータのローミングや転送を防止でき、GPRS(General Packet Radio Service)がネットワークに接続するのを防ぐことができます。
この機能は、ジュニパーネットワークス デバイスから各 GSN に送信されるトラフィックのレートを制限します。デフォルトレートは無制限です。
GTP 制御メッセージのパス レート制限について
SRX1500、SRX4100、SRX4200、SRX5400、SRX5600、SRX5800 デバイス上のパス上の特定の制御メッセージに対して、1 秒あたりの最大パケット数を制限できます。これらの GPRS トンネリング プロトコル(GTP)メッセージには、、、delete-reqおよびその他の GTP メッセージが含まれますcreate-req。ただし、GTP メッセージの最大パケット数は 1 分間にecho-req制限できます。
この関数は path-rate-limit 、前方方向と逆方向の両方で特定の GTP メッセージを制御します。ドロップしきい値とアラームしきい値は、1 つのパスに対して順方向と逆方向の各制御メッセージに対して設定できます。1 つのパス上の制御メッセージがアラームしきい値に達すると、アラーム ログが生成されます。受信した制御メッセージの数がドロップしきい値に達すると、パケット ドロップ ログが生成され、後で受信したこのタイプの他のすべての制御メッセージが破棄されます。
転送方向と逆方向のメッセージ トラフィックを制御するには、設定されたポリシーと一致する方向が前方として定義され、逆方向が逆方向として定義されるように、デバイス上でポリシーを設定します。ステートメントを set security gprs gtp profile <profile-name> path-rate-limit 使用して、パス上の特定の制御メッセージの 1 秒あたりの最大パケット数を制限します。
オプションとオプションの rate-limit 両方を path-rate-limit 同時に設定できます。
例:GTP 制御メッセージのメッセージ・レートとパス・レートの制限
この例では、GTP 制御メッセージのメッセージ・レートとパス・レートを制限する方法を示しています。オプションは rate-limit 1 秒あたりの GTP メッセージを制限し、オプションは path-rate-limit 前方方向と逆方向の両方で特定の GTP メッセージを制御します。
要件
この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。
SRX5400 デバイス
Junos OS リリース 12.1X45-D10
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、受信する GTP メッセージのレートを 300 パケット/秒に制限し、GTP 制御メッセージのパス レートを前方方向と逆方向の両方で制限します。GPRS サポート ノード(GSN)に送信するネットワーク トラフィックのレートを制限するようにデバイスを設定し、パス上の特定の制御メッセージに対して 1 秒または 1 分あたりの最大パケット数を制限します。、create-reqdelete-req、および other GTP メッセージの場合、1 秒あたりの最大パケット数を制限します。ただし、GTP メッセージのecho-req場合は、1 分間の最大パケット数を制限します。
この関数は path-rate-limit 、前方方向と逆方向の両方で特定の GTP メッセージを制御します。パス上の alarm-threshold GTP 制御メッセージが設定された制限に達した場合にアラームを発するようにデバイスを設定するパラメータを設定します。 drop-threshold 1 秒または 1 分あたりのパケット数が設定された制限を超えた場合に、トラフィックをドロップするように設定します。
構成
CLI クイック設定
この例のセクションを迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピーアンドペーストしてから、設定モードから入力 commit します。
set security gprs gtp profile gtp1 rate-limit 300 set security gprs gtp profile gtp1 path-rate-limit message-type create-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type other alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type create-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type other drop-threshold forward 80 reverse 80
手順
手順
GTP メッセージ レートとパス レート制限を設定するには、次の手順にしたがっています。
GTP プロファイルを指定します。
[edit] user@host# set security gprs gtp profile gtp1
GTP メッセージレート制限を設定します。
[edit security gprs gtp profile gtp1] user@host# set rate-limit 300
GTP 制御メッセージのパス・レート制限を設定するメッセージ・タイプを指定します。
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type
GTP 制御メッセージ・タイプを選択します。
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type create-req user@host# set path-rate-limit message-type delete-req user@host# set path-rate-limit message-type echo-req user@host# set path-rate-limit message-type other
GTP 制御メッセージ タイプのアラームしきい値を設定します。
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req alarm threshold user@host# set message-type delete-req alarm threshold user@host# set message-type echo-req alarm threshold user@host# set message-type other alarm threshold
転送方向の制御メッセージを制限します。
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold forward 50 user@host# set delete-req alarm threshold forward 50 user@host# set echo-req alarm threshold forward 50 user@host# set other alarm threshold forward 50
制御メッセージを逆方向に制限します。
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold reverse 50 user@host# set delete-req alarm threshold reverse 50 user@host# set echo-req alarm threshold reverse 50 user@host# set other alarm threshold reverse 50
GTP 制御メッセージ・タイプのドロップしきい値を設定します。
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req drop threshold user@host# set message-type delete-req drop threshold user@host# set message-type echo-req drop threshold user@host# set message-type other drop threshold
転送方向の制御メッセージを制限します。
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold forward 80 user@host# set delete-req drop threshold forward 80 user@host# set echo-req drop threshold forward 80 user@host# set other drop threshold forward 80
制御メッセージを逆方向に制限します。
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold reverse 80 user@host# set delete-req drop threshold reverse 80 user@host# set echo-req drop threshold reverse 80 user@host# set other drop threshold reverse 80
結果
設定モードから、コマンドを入力して設定を show security gprs gtp profile profile-name 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security gprs gtp profile p1
rate-limit 300;
path-rate-limit {
message-type create-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type delete-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type echo-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type other {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
}
デバイスの設定が完了したら、設定モードから入力 commit します。
検証
設定が正しく機能していることを確認します。
設定の検証
目的
GTP メッセージ レートとパス レート制限設定が正しいことを確認します。
アクション
動作モードから、コマンドを show security gprs gtp counters path-rate-limit 入力します。
Path-rate-limit counters:
Drop Alarm
Create Request 20 50
Delete Request 20 50
Echo Request 20 50
Others 20 50
意味
コマンドは show security gprs gtp counters path-rate-limit 、アラームしきい値またはドロップしきい値に達してから受信したパケット数を表示します。値を alarm-threshold 50、Create Request メッセージの drop-threshold 値を 80 として設定し、デバイスが 1 分または 1 分で 100 パケットを受信した場合、ドロップ番号は 20、アラーム番号は 50 になります。
例:GTP シーケンス番号検証の使用可能化
この例では、GTP シーケンス番号検証機能を有効にする方法を示しています。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、gtp プロファイルを gtp1 として設定し、シーケンス番号検証機能も有効にします。
構成
手順
手順
GTP シーケンス番号検証機能を有効にするには、以下の手順に合います。
GTP プロファイルを設定します。
[edit] user@host# set security gprs gtp profile gtp1
シーケンス番号の検証を有効にします。
[edit] user@host# set security gprs gtp profile gtp1 seq-number-validated
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、コマンドを show security gprs 入力します。