이 페이지의 내용
GTP 핸드오버 그룹 구성
GPRS 터널링 프로토콜(GTP) 핸드오버 그룹은 공통 주소록 라이브러리가 있는 SGSN 또는 서빙 게이트웨이(SGW)의 집합입니다.
GTP 핸드오버 그룹 개요
GPRS 터널링 프로토콜(GTP) 핸드오버 그룹은 공통 주소록 라이브러리가 있는 SGSN 또는 서빙 게이트웨이(SGW)의 집합입니다. 관리자는 GTP 프로필을 구성하고 GTP 핸드오버 그룹을 GTP 프로필에 연결할 수 있습니다. GTP 핸드오버 그룹 이름이 GTP 프로파일에 의해 참조될 때, 디바이스는 현재 SGSN/SGW 주소와 제안된 SGSN/SGW 주소가 모두 동일한 GTP 핸드오버 그룹 내에 포함되어 있는지 확인합니다. 두 SGSN/SGW 주소가 동일한 GTP 핸드오버 그룹 내에 포함되어 있으면 핸드오버가 허용됩니다. 현재 및 제안된 SGSN/SGW 주소가 모두 동일한 GTP 핸드오버 그룹 내에 있지 않은 경우, 기본 핸드오버 그룹에 대한 프로파일이 사용됩니다.
다른 GTP 핸드오버 그룹 간의 GTP 핸드오버는 허용되지 않습니다.
명령을 사용하여 set security gprs gtp profile profile-name handover-group 핸드오버 그룹을 구성할 수 있습니다. GTP 프로필에 정의된 핸드오버 그룹이 없고 트래픽이 이 프로필로 구성된 정책에 도달하면 이 정책과 일치하는 모든 GTP 간의 핸드오버가 기본적으로 허용됩니다. 명령을 사용하여 구성 명령을 설정하면 핸드오버가 set security gprs gtp handover-default deny 거부됩니다.
예를 들어, 사용자 장비는 SGSN 및 게이트웨이 GPRS 지원 노드(GGSN)를 통해 구축된 GTP 터널을 통해 인터넷에 액세스합니다. SGSN은 GGSN에 GTP 터널을 구축하여 SGSN에 연결된 사용자 장비 데이터를 전송합니다. 홈 라우팅 로밍 아키텍처에서, 로밍 사용자 장비 디바이스는 방문한 PLMN(VPLMN)의 방문 SGSN(VSGSN)을 통해 홈 PLMN(HPLMN)의 GGSN으로 다시 로밍한다. 그림 1 과 같이 원래 SGSN과 SGSN 대상 1이 동일한 핸드오버 그룹(HG-1)에 속하면 핸드오버가 발생합니다. SGSN 원본이 다른 핸드오버 그룹(HG-2)에 있는 SGSN 대상 2로 핸드오버를 시도하면 핸드오버가 거부됩니다.
GTP 핸드오버 메시지 이해하기
Junos OS 릴리스 15.1X49-D40 및 Junos OS 릴리스 17.3R1부터 GTP 핸드오버 메시지에 대한 지원이 제공됩니다. 핸드오버 절차 동안, SGSN(Serving GPRS Support Node) 컨텍스트 메시지(요청, 응답 및 승인) 또는 전달 재배치 메시지가 신규 및 기존 MME(Mobility Management Entity)와 SGSN 간에 전송됩니다. GPRS 터널링 프로토콜(GTP) 버전 2의 경우 메시지는 컨텍스트 메시지이거나 전달 재배치 메시지여야 합니다. 간략화를 위해, 이러한 타입의 메시지들은 균일하게 핸드오버 메시지들로서 지칭된다. 패킷 데이터 프로토콜(PDP) 컨텍스트 정보는 이러한 메시지에서 획득됩니다. 이러한 메시지가 수신되면 PDP 컨텍스트가 SRX 시리즈 방화벽에 설정되며, 이후 GTP 메시지는 새로운 PDP 컨텍스트에 따라 정상적으로 검사될 수 있습니다.
set security gprs gtp profile <profile-name> handover-on-roaming-intf 명령을 사용하여 핸드오버 메시지로 PDP 컨텍스트 설정을 활성화합니다. delete security gprs gtp profile <profile-name> handover-on-roaming-intf 명령을 사용하여 핸드오버 메시지에 의한 PDP 컨텍스트 설정을 비활성화합니다.
데이터 트래픽을 전달하기 위한 주소 및 터널 엔드포인트 식별자(TEID)도 핸드오버 메시지에서 획득됩니다. 또한 GPRS 터널링 프로토콜, 사용자 플레인(GTP-U) 상태 저장 검사를 전달하기 위해 SRX 시리즈 방화벽에 포워드 터널을 설정할 수 있습니다.
서로 다른 GTP 버전 간의 핸드오버가 지원됩니다.
GTP 핸드오버의 주요 기능은 다음과 같습니다.
GTPv0, v1 및 v2에 대한 GTP inter-MME/SGSN 핸드오버 메시지 지원
MME/SGSN 간 핸드오버 메시지 검사
GTP PDP 컨텍스트 및 핸드오버 메시지 내 정보에 따른 포워딩 터널 설정
데이터 트래픽 포워딩을 위한 GTP-U 검사
다른 버전의 메시지를 업데이트 및 수정하여 PDP 컨텍스트 업데이트 지원
핸드오버 메시지에 대한 시스템 로그 및 카운터
Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 GTPv1 또는 GTPv2 노드의 SGSN(Serving GPRS Support Node) 및 GGSN(Gateway GPRS Support Node)은 GTPv0 노드와 통신할 수 없습니다. 디바이스가 GTPv0에 의해 생성된 터널을 업데이트하기 위해 GTPv1 또는 GTPv2 메시지를 보내면 이러한 메시지는 삭제되고 GTPv0 터널은 업데이트되지 않습니다.
예: 핸드오버 그룹 구성
이 예는 GTP 프로필에서 GTP 핸드오버 그룹을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 인터넷에 연결해야 하는 SRX1500, SRX4100, SRX4200, SRX5400, SRX5600 또는 SRX5800 디바이스나 vSRX 가상 방화벽 인스턴스 및 사용자 장비가 필요합니다. 또한 3G 또는 4G 모바일 코어 네트워크와 가정 및 방문 네트워크가 필요합니다.
개요
사용자 장비는 3G 또는 4G 코어 네트워크에서 SGSN 또는 SGW(Serving Gateway) 및 GGSN 또는 PGW(Packet Data Network Gateway)를 통해 인터넷에 액세스합니다. SGSN/SGW는 GGSN/PGW에 GTP 터널을 구축하여 SGSN/SGW에 연결된 사용자 장비 데이터를 전송합니다. 홈 라우팅 로밍 아키텍처에서 로밍 사용자 장비는 방문한 PLMN(VPLMN)의 방문 SGSN(VSGSN)을 통해 홈 PLMN(HPLMN)의 GGSN으로 다시 로밍합니다. 사용자 장비 장치가 방문한 SGSN/SGW의 커버리지 영역을 벗어나면 방문한 다른 SGSN/SGW로 전달됩니다.
이 예에서 그림 2 를 보면 X-mobile은 홈 PLMN이고 방문한 PLMN은 Y-mobile과 Z-mobile입니다. X-mobile에 대한 GTP 핸드오버 그룹을 구성하고 동일한 핸드오버 그룹 내에서 핸드오버를 수행할 수 있습니다.
구성
절차
CLI 빠른 구성
이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 에 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .
set security address-book global address X-mobile-hMME 10.10.10.1/32 set security address-book global address X-mobile-hPGW 10.10.10.2/32 set security address-book global address-set X-mobile address X-mobile-hMME set security address-book global address-set X-mobile address X-mobile-hPGW set security address-book global address-set X-mobile description hPLMN set security address-book global address Y-mobile-vMME-2a 20.20.20.1/32 set security address-book global address Y-mobile-vMME-2b 20.20.20.2/32 set security address-book global address Y-mobile-vSGW-2a 20.20.20.10/32 set security address-book global address Y-mobile-vSGW-2b 20.20.20.11/32 set security address-book global address-set Y-mobile address Y-mobile-vMME-2a set security address-book global address-set Y-mobile address Y-mobile-vMME-2b set security address-book global address-set Y-mobile address Y-mobile-vSGW-2a set security address-book global address-set Y-mobile address Y-mobile-vSGW-2b set security address-book global address-set Y-mobile description vPLMN2 set security address-book global address Z-mobile-vMME-3a 30.30.30.1/32 set security address-book global address Z-mobile-vMME-3b 30.30.30.2/32 set security address-book global address Z-mobile-vSGW-3a 30.30.30.10/32 set security address-book global address Z-mobile-vSGW-3b 30.30.30.11/32 set security address-book global address-set Z-mobile address Z-mobile-vMME-3a set security address-book global address-set Z-mobile address Z-mobile-vMME-3b set security address-book global address-set Z-mobile address Z-mobile-vSGW-3a set security address-book global address-set Z-mobile address Z-mobile-vSGW-3b set security address-book global address-set Z-mobile description vPLMN3 set security address-book global address-set as-AT address-set Z-mobile set security address-book global address-set as-AT address-set Y-mobile set security address-book global address-set as-AT address-set X-mobile set security gprs gtp handover-group hg-AT address-book global address-set as-AT set security gprs gtp profile Scenario-1 handover-on-roaming-intf set security gprs gtp profile Scenario-1 handover-group hg-AT set security zones security-zone vplmn set security zones security-zone hplmn set security policies from-zone vplmn to-zone hplmn policy ply-vh1 match source-address Y-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh2 match source-address Z-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh match destination-address X-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh match application junos-gprs-gtp set security policies from-zone vplmn to-zone hplmn policy ply-vh then permit application-services gprs-gtp-profile Scenario-1 set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match source-address X-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Y-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Z-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match application junos-gprs-gtp set security policies from-zone hplmn to-zone vplmn policy ply-vh-r then permit application-services gprs-gtp-profile Scenario-1
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
GTP 프로필에서 GTP 핸드오버 그룹을 구성하려면:
주소록의 주소를 지정합니다.
[edit] user@host# set security address-book global address X-mobile-hMME 10.10.10.1/32 user@host# set security address-book global address X-mobile-hPGW 10.10.10.2/32 user@host# set security address-book global address-set X-mobile address X-mobile-hMME user@host# set security address-book global address-set X-mobile address X-mobile-hPGW user@host# set security address-book global address-set X-mobile description hPLMN user@host# set security address-book global address Y-mobile-vMME-2a 20.20.20.1/32 user@host# set security address-book global address Y-mobile-vMME-2b 20.20.20.2/32 user@host# set security address-book global address Y-mobile-vSGW-2a 20.20.20.10/32 user@host# set security address-book global address Y-mobile-vSGW-2b 20.20.20.11/32 user@host# set security address-book global address-set Y-mobile address Y-mobile-vMME-2a user@host# set security address-book global address-set Y-mobile address Y-mobile-vMME-2b user@host# set security address-book global address-set Y-mobile address Y-mobile-vSGW-2a user@host# set security address-book global address-set Y-mobile address Y-mobile-vSGW-2b user@host# set security address-book global address-set Y-mobile description vPLMN2 user@host# set security address-book global address Z-mobile-vMME-3a 30.30.30.1/32 user@host# set security address-book global address Z-mobile-vMME-3b 30.30.30.2/32 user@host# set security address-book global address Z-mobile-vSGW-3a 30.30.30.10/32 user@host# set security address-book global address Z-mobile-vSGW-3b 30.30.30.11/32 user@host# set security address-book global address-set Z-mobile address Z-mobile-vMME-3a user@host# set security address-book global address-set Z-mobile address Z-mobile-vMME-3b user@host# set security address-book global address-set Z-mobile address Z-mobile-vSGW-3a user@host# set security address-book global address-set Z-mobile address Z-mobile-vSGW-3b user@host# set security address-book global address-set Z-mobile description vPLMN3 user@host# set security address-book global address-set as-AT address-set X-mobile user@host# set security address-book global address-set as-AT address-set Y-mobile user@host# set security address-book global address-set as-AT address-set Z-mobile
핸드오버 그룹을 지정합니다.
user@host# set security gprs gtp handover-group hg-AT address-book global address-set as-AT
GTP 프로필에서 핸드오버 그룹을 구성합니다.
user@host# set security gprs gtp profile Scenario-1 handover-on-roaming-intf user@host# set security gprs gtp profile Scenario-1 handover-group hg-AT
GTP 프로필에 대한 보안 영역을 구성합니다.
user@host# set security zones security-zone vplmn user@host# set security zones security-zone hplmn
GTP 프로필에 대한 보안 정책을 정의합니다.
set security policies from-zone vplmn to-zone hplmn policy ply-vh1 match source-address Y-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh2 match source-address Z-mobile user@host# set security policies from-zone vplmn to-zone hplmn policy ply-vh match destination-address X-mobile user@host# set security policies from-zone vplmn to-zone hplmn policy ply-vh then permit application-services gprs-gtp-profile Scenario-1 user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match source-address X-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Y-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Z-mobile user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match application junos-gprs-gtp user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r then permit application-services gprs-gtp-profile Scenario-1
결과
구성 모드에서 , show security address-book, 및 show security policies 명령을 입력하여 show security gprs gtp profile구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security gprs gtp
profile Scenario-1 {
handover-on-roaming-intf;
handover-group {
hg-AT;
}
}
handover-group hg-AT {
address-book global {
address-set {
as-AT;
}
}
}
[edit]
user@host# show security address-book
global {
address X-mobile-hMME 10.10.10.1/32;
address X-mobile-hPGW 10.10.10.2/32;
address Y-mobile-vMME-2a 20.20.20.1/32;
address Y-mobile-vMME-2b 20.20.20.2/32;
address Y-mobile-vSGW-2a 20.20.20.10/32;
address Y-mobile-vSGW-2b 20.20.20.11/32;
address Z-mobile-vMME-3a 30.30.30.1/32;
address Z-mobile-vMME-3b 30.30.30.2/32;
address Z-mobile-vSGW-3a 30.30.30.10/32;
address Z-mobile-vSGW-3b 30.30.30.11/32;
address-set X-mobile {
description hPLMN;
address X-mobile-hMME;
address X-mobile-hPGW;
}
address-set Y-mobile {
description vPLMN2;
address Y-mobile-vMME-2a;
address Y-mobile-vMME-2b;
address Y-mobile-vSGW-2a;
address Y-mobile-vSGW-2b;
}
address-set Z-mobile {
description vPLMN3;
address Z-mobile-vMME-3a;
address Z-mobile-vMME-3b;
address Z-mobile-vSGW-3a;
address Z-mobile-vSGW-3b;
}
address-set as-AT {
address-set Z-mobile;
address-set Y-mobile;
address-set X-mobile;
}
}
[edit]
user@host# show security policies
from-zone vplmn to-zone hplmn {
policy ply-vh {
match {
source-address [ Y-mobile Z-mobile ];
destination-address X-mobile;
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile Scenario-1;
}
}
}
}
}
from-zone hplmn to-zone vplmn {
policy ply-vh-r {
match {
source-address X-mobile;
destination-address [ Y-mobile Z-mobile ];
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile Scenario-1;
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
확인
구성이 올바르게 작동하고 있는지 확인합니다. 명령은 show security gprs gtp GTP 프로필 시나리오-1에 대해 구성된 모든 핸드오버 그룹을 표시합니다.
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.