Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

2G와 3G 네트워크 간 GTP 상호운용성 지원

GPRS 터널링 프로토콜(GTP)은 3세대(3G) 또는 4세대(4G) 네트워크 내에서 GPRS(General Packet Radio Service)를 전달하기 위해 3GPP(Third-Generation Partnership Project) 표준에 의해 정의됩니다. 정보 요소(IE)는 생성, 수정, 삭제 및 상태와 같은 GPRS 터널링 프로토콜(GTP) 터널에 대한 정보를 제공합니다. IE는 모든 GTP 제어 메시지 패킷에 포함되어 있습니다.

GTP 정보 요소 이해

정보 요소(IE)는 모든 GPRS 터널링 프로토콜(GTP) 제어 메시지 패킷에 포함됩니다. IE는 생성, 수정, 삭제 및 상태와 같은 GTP 터널에 대한 정보를 제공합니다. Junos OS는 3GPP(Third-Generation Partnership Project) 릴리스 6, 릴리스 7, 릴리스 8 및 릴리스 9와 일치하는 IE를 지원합니다. 이전 버전의 3GPP를 실행하는 운영자와 계약을 체결한 경우 지원되지 않는 IE가 포함된 제어 메시지를 제한하여 네트워크 오버헤드를 줄일 수 있습니다.

새로운 정보 요소(IE)가 도입되면 알 수 없는 새 IE가 발생하더라도 GTP가 메시지를 전달하기 때문에 GTP 메시지가 삭제되지 않습니다.

R6, R7, R8 및 R9 정보 요소 제거 이해

3GPP(Third-Generation Partnership Project) R6, R7, R8 및 R9 IE(정보 요소) 제거 기능을 사용하면 2GPP(Second-Generation Partnership Project)와 3GPP 네트워크 간의 로밍 시 상호 운용성을 유지할 수 있습니다. PLMN(Public Land Mobile Network)과 GRX(GPRS Roaming Exchange)의 경계에 상주하며 GP 방화벽 역할을 하는 GPRS 터널링 프로토콜(GTP) 인식 주니퍼 네트웍스 디바이스를 구성하여 패킷이 2GPP 네트워크로 전달될 때 GTP 패킷 헤더에서 3GPP 특정 속성을 제거할 수 있습니다. 이러한 메시지를 게이트웨이 GPRS 지원 노드(GGSN)로 전달하기 전에 GTP 메시지에서 RAT, RAI, Common Flags, ULI, MS Time Zone, IMEI-SV 및 APN(Access Point Name) 제한 IE를 제거하도록 디바이스를 구성할 수 있습니다.

지원되는 R6, R7, R8 및 R9 정보 요소

표 1에 나열된 바와 같이 Junos OS는 GTP를 위한 모든 3GPP R6 IE를 지원합니다.

표 1: 지원되는 정보 요소

IE 유형 값

정보 요소

1

원인

2

국제 모바일 가입자 ID(IMSI)

3

라우팅 영역 ID(REI)

4

임시 논리적 링크 ID(TLLI)

5

패킷 TMSI(P-TMSI)

8

재주문 필요

9

인증 트리플렛

11

MAP 원인

12

P-TMSI 시그니처

13

MS 검증

14

복구

15

선택 모드

16

터널 엔드포인트 식별자 데이터 I

17

터널 엔드포인트 식별자 컨트롤 플레인

18

터널 엔드포인트 식별자 데이터 II

19

분해 ID

20

증권 시세 표시기

21

RANAP 원인

22

RAB 컨텍스트

23

라디오 우선 순위 SMS

24

라디오 우선 순위

25

패킷 플로우 ID

26

충전 특성

27

추적 참조

28

추적 유형

29

MS에 연결할 수 없는 이유

127

충전 ID

128

최종 사용자 주소

129

MM 컨텍스트

130

PDP 컨텍스트

131

액세스 포인트 이름

132

프로토콜 구성 옵션

133

GSN 주소

134

MS 국제 PSTN/ISDN 번호(MSISDN)

135

서비스 품질 프로필

136

인증 퀸튜플릿

137

트래픽 플로우 템플릿

138

표적 식별

139

UTRAN 투명 컨테이너

140

RAB 설정 정보

141

확장 헤더 형식 목록

142

트리거 ID

143

OMC 아이덴티티

144

RAN 투명 컨테이너

145

PDP 컨텍스트 우선 순위 지정

146

추가 RAB 설정 정보

147

SGSN 번호

148

공통 플래그

149

APN 제한 사항

150

라디오 우선순위 LCS

151

RAT 유형

152

사용자 위치 정보

153

MS 시간대

154

IMEI-SV

155

CAMEL 충전 정보 용기

156

MBMS UE 컨텍스트

157

TMGI(Temporary Mobile Group Identity)

158

RIM 라우팅 주소

159

MBMS 프로토콜 구성 옵션

160

MBMS 서비스 지역

161

소스 TNC PDCP 컨텍스트 정보

162

추가 추적 정보

163

홉 카운터

164

선택한 PLMN ID

165

MBMS 세션 식별자

166

MBMS2G/3G 표시기

167

향상된 NSAPI

168

MBMS 세션 기간

169

추가 MBMS 추적 정보

173

BSS 컨테이너

174

세포 식별

175

PDU 번호

176

BSSGP 원인

178

RIM 라우팅 주소 판별기

179

설정 PFCS 목록

180

PS 핸드오버 XID 매개변수

188

신뢰할 수 있는 INTER RAT HANDOVER INFO

251

충전 게이트웨이 주소

255

프라이빗 확장

Junos OS는 표 2에 나열된 GTP용 3GPP R7 IE를 모두 지원합니다.

표 2: 지원되는 정보 요소

IE 유형 값

정보 요소

172

PS 핸드오버 요청 컨텍스트

181

MS 정보 변경 보고 작업

182

직접 터널 플래그

183

상관 관계 ID

184

베어러 제어 모드

Junos OS는 표 3에 나열된 GTP용 3GPP R8 IE를 모두 지원합니다.

표 3: 지원되는 정보 요소

IE 유형 값

정보 요소

189

RFSP 지수

Junos OS는 표 4에 나열된 GTP용 모든 3GPP R9 IE를 지원합니다.

표 4: 지원되는 정보 요소

IE 유형 값

정보 요소

190

FQDN(정규화된 도메인 이름)

191

진화된 할당/보존 우선순위 1

192

진화된 할당/보존 우선순위 2

193

확장 공통 플래그

194

사용자 CSG 정보(UCI)

195

CSG 정보 보고 작업

196

CSG ID

197

CSG 회원 표시(CMI)

198

집계 최대 비트 전송률(AMBR)

예: GTP 메시지에서 R6, R7, R8 및 R9 정보 요소 제거

이 예에서는 GTP 메시지에서 R6 정보 요소를 제거하는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 GTP 메시지에서 새로 추가된 R6 IE(RAT, COMMON FLAGS, ULI, IMEI-SV, MS 시간대 및 APN 제한)를 제거하도록 보안 디바이스의 Gp 인터페이스를 구성합니다.

구성

절차

단계별 절차

GTP 메시지에서 R6 정보 요소를 제거하려면:

  1. GTP 프로필을 지정합니다.

  2. 정보 요소를 지정합니다.

  3. 디바이스 구성을 완료하면 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security gprs .

GTPv1 정보 요소 제거 이해

모바일 네트워크의 네트워크 요소 수는 3GPP 사양의 여러 릴리스가 도입됨에 따라 확대되고 있습니다. 모든 릴리스에는 이전 릴리스에서 정의되지 않은 최신 IE(정보 요소)가 도입됩니다. 따라서 모바일 네트워크에는 다양한 네트워크 요소 집합이 있어 서로 다른 장치 릴리스 간에 상호 운용성 문제가 발생합니다. 다음 명령을 사용하여 릴리스별로 정보 요소(IE)를 제거하도록 GPRS 터널링 프로토콜(GTP) 방화벽을 구성할 수 있습니다.

set security gprs gtp profile gtp1 remove-ie.

그러나 향후 릴리스에 도입될 최신 IE는 상호 운용성 문제를 일으킬 수도 있습니다. 각 정보 요소에는 고유 한 ID 인 IE 번호가 있습니다. IE 번호의 범위는 1에서 255 사이입니다. 사용자가 구성한 IE 번호를 사용하여 특정 IE를 제거하도록 GTP 방화벽을 구성할 수 있습니다.

IE 제거를 구성할 때 GTP 방화벽은 GTPv1 메시지의 해당 IE를 삭제합니다. GTP, UDP 및 IP의 길이를 업데이트합니다. 그런 다음 GTPv1 메시지를 전달합니다. GTP 방화벽은 순환 중복 검사(CRC) 코드도 업데이트합니다. IE 번호에 의한 IE 제거는 1에서 255까지의 모든 IE를 지원합니다.

다음 명령을 사용하여 IE 제거 구성을 제거할 수 있습니다.

delete security gprs gtp profile gtp1 remove-ie- GTP 프로파일 GTP1에 대한 IE 제거 구성을 삭제합니다.

delete security gprs gtp profile gtp1 remove-ie version v1 number 4- 버전 v1 및 IE 번호 4의 GTP 프로파일에 대한 IE 제거 구성을 삭제합니다.

릴리스 20.2R1부터 Junos OS는 GTPv1-C 및 GTPv2-C 모두에 대한 IE 제거 기능을 지원합니다.

예: IE 번호를 사용하여 GTPv1 정보 요소 제거

이 예는 GTP 메시지에서 사용자 구성 IE를 제거하기 위해 보안 디바이스의 GPRS 튜닝 프로토콜(GTP) 인터페이스를 구성하는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 gtp1이라는 GTP 프로필에 대한 IE 제거를 구성합니다. IE는 사용자가 구성한 IE 번호 4를 사용하여 제거됩니다.

구성

절차

CLI 빠른 구성

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 에 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

GTP 메시지에서 사용자 구성 IE를 제거하도록 보안 디바이스의 GTP 인터페이스를 구성하려면 다음과 같이 하십시오.

  1. GTP 프로필을 지정합니다.

    [편집]

    user@host# set security gprs gtp profile gtp1

  2. IE 번호를 지정합니다.

    [보안 GPRS GTP 프로필 GTP1 편집]

    user@host# set remove-ie version v1 number 4

결과

구성 모드에서 명령을 입력하여 show security gprs 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

GTPv2 정보 요소 이해

정보 요소(IE)는 모든 GPRS 터널링 프로토콜 버전 2(GTPv2) 제어 메시지 패킷에 포함됩니다. IE는 생성, 수정, 삭제 및 상태와 같은 GTPv2 터널에 대한 정보를 제공합니다. Junos 운영 체제(Junos OS)는 3GPP(Third-Generation Partnership Project) 릴리스 8과 일치하는 IE를 지원합니다.

새로운 IE 적용 기능인 Junos OS 릴리스 20.2R1부터 GTP 메시지에 포함되어야 하는 IE의 존재를 확인하기 위해 Must-IE 검사가 지원됩니다. 기존 기능 IE 제거에 대한 지원이 GTPv1-C에서 GTPv1-C 및 GTPv2-C로 확장되었습니다.

Must-IE check- 이 함수를 사용하여 GTP 메시지에 포함되어야 하는 IE의 존재 여부를 확인할 수 있습니다. GTP 메시지 무결성을 검증하는 기능입니다. 필수 IE는 3GPP TS의 필수 IE로 제한되지 않습니다. GTPv1 또는 GTPv2 버전과 GTPv1 또는 GTPv2 인터페이스에 따라 메시지에서 모든 IE를 Must-IE로 정의할 수 있습니다. 디바이스는 특정 GTP 메시지의 Must-IE가 있는지 확인하고 Must-IE가 있는 경우에만 메시지를 전달합니다. 유연한 메시지 프로필 구성으로 Must-IE 검사를 구현하여 관심 있는 메시지의 필수 IE를 정의하는 데 도움이 됩니다. 적절한 메시지 프로필 구성과 함께 Must-IE 검사는 모든 GTP 릴리스, 메시지 형식 또는 IE 상태를 쉽게 수용할 수 있습니다.

IE removal- 이 기능을 사용하여 2GPP(Second-Generation Partnership Project)와 3GPP(Third-Generation Partnership Project) 네트워크 간의 상호 운용성을 유지할 수 있습니다. GTPv1 및 GTPv2에 대한 모든 메시지에서 특정 유형의 IE를 제거할 수 있습니다. 각 정보 요소에는 고유 한 ID 인 IE 번호가 있습니다. IE 번호의 범위는 1에서 255 사이입니다. IE 제거를 사용하여 사용자가 구성한 IE 번호를 사용하여 특정 IE를 제거하도록 GTP 방화벽을 구성할 수 있습니다. GTP 프로토콜이 서로 다른 릴리스인 GTP 엔터티 간의 통신을 가능하게 합니다. IE 제거는 IE, 그룹화된 IE, 포함된 IE 또는 포함된 그룹화된 IE 지원과 같은 지정된 IE의 모든 인스턴스를 제거하는 데 도움이 됩니다.

예: GTPv1 및 GTPv2에 대한 Must-IE 검사 구성

요약 이 기능을 활성화하여 GTPv1 및 GTPv2 메시지에서 IE의 존재를 확인할 수 있습니다. 이렇게 하면 메시지 무결성을 확인하는 데 도움이 됩니다. GTPv1 또는 GTPv2 버전과 GTPv1 또는 GTPv2 인터페이스에 따라 메시지에서 모든 IE를 Must-IE로 정의할 수 있습니다. 디바이스는 특정 GTP 메시지의 Must-IE가 있는지 확인하고 Must-IE가 있는 경우에만 메시지를 전달합니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • SRX 시리즈 방화벽.

  • Junos OS 릴리스 20.2R1.

개요

정보 요소(IE)는 모든 GPRS 터널링 프로토콜(GTP) 제어 메시지 패킷에 포함됩니다. 모든 GTP-C 메시지는 GTP 헤더와 여러 GTP 정보 요소(IE)에 의해 구성됩니다. 각 IE 유형은 1 – 255 사이의 숫자로 식별됩니다. 3GPP(Third-Generation Partnership Project) TS는 모든 GTP 메시지에 대해 IE 목록을 정의하며, 그 중 일부는 필수이고 나머지는 선택 사항이거나 조건부입니다.

GTPv1의 IE는 TV 또는 TLV 형식으로 인코딩됩니다. 따라서 GTPv1은 IE 번호를 사용하여 IE를 식별합니다. GTPv2의 IE는 TLIV 형식으로 인코딩됩니다. 따라서 GTPv2는 IE 번호와 인스턴스 번호를 사용하여 IE를 식별합니다.

Must-IE check는 GTP 메시지에 포함되어야 하는 IE의 존재 여부를 확인하는 기능으로, GTP 메시지 무결성을 검증하는 데 도움이 됩니다. 필수 IE는 3GPP TS의 필수 IE로 제한되지 않습니다. GTPv1 또는 GTPv2 버전과 GTPv1 또는 GTPv2 인터페이스에 따라 메시지에서 모든 IE를 Must-IE로 정의할 수 있습니다. 디바이스는 특정 GTP 메시지의 Must-IE가 있는지 확인하고 Must-IE가 있는 경우에만 메시지를 전달합니다.

유연한 메시지 프로필 구성으로 Must-IE 검사를 구현하여 관심 있는 메시지의 필수 IE를 정의하는 데 도움이 됩니다. IE는 TS에서 필수로 정의되지 않기 때문에 관심 있는 메시지라고 합니다. 적절한 메시지 프로필 구성과 함께 Must-IE 검사는 모든 GTP 릴리스, 메시지 형식 또는 IE 상태를 쉽게 수용할 수 있습니다.

구성

GTPv1에 대한 Must-IE 검사 구성

CLI 빠른 구성

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 에 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 도움이 필요하면 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. GTPv1 message-ie profile msgie-v1을 구성합니다. 이 예에서는 msgie-v1이라는 프로필을 만들었습니다.

  2. message-ie-profile-v1을 만들고 message-ie-profile-v1에 관심 있는 메시지와 IE를 추가합니다. GTPv1은 IE 번호를 사용하여 IE를 식별합니다. 이 예에서, 3GPP TS 29.060에서, 메시지 타입 2는 에코 응답이고, 메시지 타입 16은 PDP 컨텍스트 생성 요청이다. 메시지 유형 2의 경우 IE 14는 에코 응답에서 필수인 복구 IE입니다. 메시지 유형 16의 경우 제공된 IE는 PDP 컨텍스트 만들기 요청의 필수 IE입니다.

  3. message-ie 프로필을 GTP 프로필에 Must-IE로 바인딩합니다. Must-IE 검사는 메시지 프로필 구성으로 구현되므로 관심 있는 메시지의 필수 IE를 정의하는 데 도움이 됩니다.

GTPv2에 대한 Must-IE 검사 구성

CLI 빠른 구성

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 에 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. GTPv2 message-ie profile msgie-v2를 구성합니다. 이 예에서는 msgie-v2라는 프로필을 만들었습니다.

  2. grouped-ie-profile을 정의하고 IE에 연결합니다. 그룹화된 IE는 IE 그룹 또는 그룹화된 IE 그룹입니다. 예를 들어 전달자 컨텍스트는 여러 IE를 포함하는 그룹화된 IE입니다. PDN 연결은 Bearer Context 및 기타 IE의 여러 인스턴스를 포함하는 또 다른 그룹화 된 IE입니다. grouped-ie-profile은 그룹화된 IE에만 연결해야 하며, 그렇지 않으면 "Error: IE %d is not a grouped-ie"라는 오류가 표시됩니다.

  3. message-ie-profile-v2를 만들고 message-ie-profile-v2에 관심 있는 메시지와 IE를 추가합니다. IE가 TS에서 필수로 정의되지 않았기 때문에 메시지를 관심 있는 메시지라고 합니다. GTPv2는 IE 번호와 인스턴스 번호를 사용하여 IE를 식별합니다. 인스턴스는 GTPv2에 대해서만 3GPP TS 29.274에 정의되어 있습니다. 동일한 유형의 IE가 서로 다른 목적을 위해 메시지와 함께 전송되는 경우 이러한 IE는 서로 다른 인스턴스 값을 갖게 됩니다. 인스턴스 값을 지정하지 않으면 디바이스는 자동으로 기본값을 0으로 사용합니다.

  4. message-ie 프로필을 GTP 프로필에 Must-IE로 바인딩합니다. Must-IE 검사는 메시지 프로필 구성으로 구현되므로 관심 있는 메시지의 필수 IE를 정의하는 데 도움이 됩니다.

결과

구성 모드에서 명령을 입력하여 show security gprs gtp 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

GTPv1 Message-IE 프로필 확인

목적

GTPv1 Message-IE 프로필을 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security gprs gtp message-ie-profile-v1 (all | <msgie-prf-v1-name>) .

의미

출력은 GTPv1 Message-IE 프로파일의 세부 사항을 표시합니다.

GTPv2 Message-IE 프로필 확인

목적

GTPv2 Message-IE 프로필을 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security gprs gtp message-ie-profile-v2 (all | <msgie-prf-v2-name>) .

의미

출력에는 GTPv2 Message-IE 프로필의 세부 정보가 표시됩니다.

grouped-ie 프로필 확인

목적

grouped-ie 프로필을 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security gprs gtp grouped-ie-profile (all | <grpie-prf-name>) .

의미

출력에는 grouped-IE 프로필의 세부 정보가 표시됩니다.

예: GTPV1 및 GTPv2에 대한 IE 제거 구성

요약 이 함수를 활성화하여 GTPv1 및 GTPv2에 대한 모든 메시지에서 특정 유형의 IE를 제거할 수 있습니다. 이는 2GPP(Second-Generation Partnership Project)와 3GPP(Third-Generation Partnership Project) 네트워크 간의 상호 운용성을 유지하는 데 도움이 됩니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • SRX 시리즈 방화벽.

  • Junos OS 릴리스 20.2R1.

개요

모바일 네트워크의 네트워크 요소 수는 3GPP 사양의 여러 릴리스가 도입됨에 따라 확대되고 있습니다. 모든 릴리스에는 이전 릴리스에서 정의되지 않은 최신 IE(정보 요소)가 도입됩니다. 따라서 모바일 네트워크에는 다양한 네트워크 요소 집합이 있어 서로 다른 장치 릴리스 간에 상호 운용성 문제가 발생합니다. .

각 정보 요소에는 고유 한 ID 인 IE 번호가 있습니다. IE 번호의 범위는 1에서 255 사이입니다. 사용자가 구성한 IE 번호를 사용하여 특정 IE를 제거하도록 GTP 방화벽을 구성할 수 있습니다.

이 예에서는 GTPv1 및 GTPv2에 대한 모든 메시지에서 특정 유형의 IE를 제거할 수 있습니다. GTP 프로토콜이 서로 다른 릴리스인 GTP 엔터티 간의 통신을 가능하게 합니다. 이 구성은 IE 지원, 그룹화된 IE, 포함된 IE 또는 포함된 그룹화된 IE와 같은 지정된 IE의 모든 인스턴스를 제거하는 데 도움이 됩니다.

IE 제거 지원은 GTPv1-C에서 이미 사용할 수 있습니다. Junos OS 릴리스 20.2R1부터 IE 제거 기능은 GTPv1-C 및 GTPv2-C 모두에 대한 지원을 확장합니다. 이 기능을 사용하여 2GPP(Second-Generation Partnership Project)와 3GPP(Third-Generation Partnership Project) 네트워크 간의 상호 운용성을 유지할 수 있습니다.

구성

GTPv1에 대한 IE 제거 구성

CLI 빠른 구성

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 에 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. GTPv1에 대한 ieset을 구성합니다. 이 예제에서는 ieset-v1-r7이라는 ieset을 만들었습니다.

  2. ieset-v1-r7에 관심 있는 IE를 추가합니다.

  3. ieset을 GTP 프로파일에 remove-ie로 바인딩합니다. 이 예제에서는 ieset-v1을 remove-ie-v1로 바인딩합니다.

GTPv2에 대한 IE 제거 구성

CLI 빠른 구성

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 에 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. GTPv2에 대한 ieset을 구성합니다. 이 예제에서는 ieset-v2라는 ieset을 만들었습니다.

  2. ieset-v2에 관심 있는 IE를 추가합니다.

  3. ieset을 GTP 프로파일에 remove-ie로 바인딩합니다. 이 예제에서는 ieset-v2를 remove-ie-v2로 바인딩합니다.

결과

구성 모드에서 명령을 입력하여 show security gprs gtp 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

확인

GTPv1 및 GTPv2 IE 제거 프로필 확인

목적

GTPv1 및 GTPv2 IE 제거 프로필을 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security gprs gtp ie-set (all | <ieset-name>) .

의미

출력에는 GTPv1 및 GTPv2 IE 제거 프로파일의 세부 정보가 표시됩니다.

GTP APN 필터링 이해

액세스 포인트 이름(APN)은 네트워크에 도달하는 방법에 대한 정보를 제공하는 GPRS 터널링 프로토콜(GTP) 패킷의 헤더에 포함된 정보 요소(IE)입니다. APN은 다음 두 가지 요소로 구성됩니다.

  • 네트워크 ID - example.com 와 같은 외부 네트워크의 이름을 식별합니다.

  • 운영자 ID - mnc123.mcc456과 같은 운영자의 PLMN(Public Land Mobile Network)을 고유하게 식별합니다.

기본적으로 디바이스는 모든 APN을 허용합니다. 그러나 APN 필터링을 수행하도록 디바이스를 구성하여 로밍 가입자에 대한 액세스를 외부 네트워크로 제한할 수 있습니다.

APN 필터링을 활성화하려면 하나 이상의 APN을 지정해야 합니다. APN을 지정하려면 네트워크의 도메인 이름(예: example.com)과 운영자 ID(선택 사항)를 알아야 합니다. APN의 도메인 이름(네트워크 ID) 부분은 잠재적으로 매우 길고 많은 문자를 포함할 수 있으므로 와일드카드(*)를 APN의 첫 번째 문자로 사용할 수 있습니다. 와일드카드는 APN이 example.com 에만 국한되지 않고 앞에 올 수 있는 모든 문자도 포함한다는 것을 나타냅니다.

APN에 대한 선택 모드를 설정할 수도 있습니다. 선택 모드는 APN의 원본과 HLR(Home Location Register)이 사용자 구독을 확인했는지 여부를 나타냅니다. 네트워크의 보안 요구 사항에 따라 선택 모드를 설정합니다. 가능한 선택 모드는 다음과 같습니다.

  • 모바일 스테이션—모바일 스테이션 제공 APN, 구독이 확인되지 않았습니다.

    이 선택 모드는 MS(Mobile Station)가 APN을 제공했으며 HLR이 사용자의 네트워크 구독을 확인하지 않았음을 나타냅니다.

  • 네트워크: 네트워크 제공 APN, 구독이 확인되지 않았습니다.

    이 선택 모드는 MS가 APN을 지정하지 않았기 때문에 네트워크가 기본 APN을 제공했으며 HLR이 사용자의 네트워크 구독을 확인하지 않았음을 나타냅니다.

  • 확인됨—MS 또는 네트워크 제공 APN, 구독 확인됨.

    이 선택 모드는 MS 또는 네트워크가 APN을 제공하고 HLR이 사용자의 네트워크 구독을 확인했음을 나타냅니다.

APN 필터링은 create-pdp-request 메시지에만 적용됩니다. APN 필터링을 수행할 때 디바이스는 GTP 패킷을 검사하여 사용자가 설정한 APN과 일치하는 APN을 찾습니다. GTP 패킷의 APN이 지정한 APN과 일치하면 디바이스는 선택 모드를 확인하고 APN과 선택 모드가 모두 지정한 APN 및 선택 모드와 일치하는 경우에만 GTP 패킷을 전달합니다. APN 필터링은 완벽한 일치를 기반으로 하기 때문에 APN 접미사를 설정할 때 와일드카드(*)를 사용하면 다른 방법으로 권한을 부여해야 하는 APN이 실수로 제외되는 것을 방지할 수 있습니다.

또한 디바이스는 IMSI(International Mobile Subscriber Identity) 접두사와 APN의 조합을 기반으로 GTP 패킷을 필터링할 수 있습니다. IMSI 접두사를 기반으로 GTP 패킷을 필터링할 때 APN도 지정해야 합니다.

APN 문자열은 대/소문자를 구분하지 않습니다. 예를 들어 다음 예제에서는 동일한 IMSI 접두사 값을 사용하여 두 개의 APN 문자열 WWW.EXAMPLE.COM 및 www.example.com 를 설정합니다. 이 구성에서는 대문자 문자열 뒤에 소문자 문자열이 표시되고 패킷이 삭제됩니다.

user@host# show configuration security gprs gtp | display set

set security gprs gtp profile test apn WWW.EXAMPLE.COM imsi-prefix * action pass

set security gprs gtp profile test apn www.example.com imsi-prefix * action drop

APN이 두 개의 IMSI 접두사 항목으로 구성된 경우 일치 항목이 가장 긴 IMSI 접두사가 우선합니다. 예를 들어 다음 구성을 참조하세요.

user@host# show configuration security gprs gtp | display set

set security gprs gtp profile test apn WWW.EXAMPLE.COM imsi-prefix 12345678 action pass

set security gprs gtp profile test apn www.example.com imsi-prefix 12345 action drop

들어오는 패킷 값이 IMSI 접두사 값 12345678와 일치하면 패킷이 전달됩니다. 가장 오래 일치하는 IMSI 접두사가 우선하므로 IMSI 접두사 값 12345678 IMSI 접두사 값 12345보다 우선합니다.

예: GTP APN 및 선택 모드 설정

이 예에서는 GTP APN 및 선택 모드를 설정하는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 GTP APN을 example.com.mnc123.mcc456.gprs로 설정하고 와일드카드(*) 문자를 사용합니다. 또한 IMSI 접두사를 설정하고 선택 모드를 네트워크로 설정합니다.

구성

절차

단계별 절차

GTP APN 및 선택 모드를 구성하려면 다음을 수행합니다.

  1. GTP 프로필을 지정합니다.

  2. APN의 선택 모드를 설정합니다.

  3. 디바이스 구성을 완료하면 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security gprs .

GTP 패킷의 IMSI 접두사 필터링 이해

GPRS 지원 노드(GSN)는 IMSI(International Mobile Station Identity)로 이동국(MS)을 식별합니다. IMSI는 모바일 국가 코드(MCC), 모바일 네트워크 코드(MNC) 및 모바일 가입자 식별 번호(MSIN)의 세 가지 요소로 구성됩니다. MCC와 MNC는 결합되어 IMSI 접두사를 구성하고, 모바일 가입자의 홈 네트워크 또는 PLMN(Public Land Mobile Network)을 식별한다.

IMSI 접두사를 설정하면 비로밍 파트너로부터 오는 GPRS 터널링 프로토콜(GTP) 트래픽을 거부하도록 디바이스를 구성할 수 있습니다. 기본적으로 디바이스는 GTP 패킷에 대해 IMSI 접두사 필터링을 수행하지 않습니다. IMSI 접두사를 설정하면 create-pdp-request 메시지를 필터링하고 설정한 것과 일치하는 IMSI 접두사가 있는 GTP 패킷만 허용하도록 디바이스를 구성할 수 있습니다. 디바이스는 사용자가 설정한 IMSI 접두사와 일치하지 않는 IMSI 접두사가 있는 GTP 패킷을 허용합니다. IMSI 접두사 집합과 일치하지 않는 IMSI 접두사가 있는 GTP 패킷을 차단하려면 IMSI 필터에 명시적 와일드카드를 사용해야 하며, 삭제 작업은 마지막 IMSI 접두사 필터링 정책이어야 합니다.

IMSI 접두사를 기반으로 GTP 패킷을 필터링할 때 APN도 지정해야 합니다.

예: 결합된 IMSI 접두사 및 APN 필터 설정

이 예는 IMSI 접두사와 APN 필터를 설정하고 결합하는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예제에서는 example.com.mnc123.mcc456.gprs를 APN으로 설정하고 와일드카드(*)를 사용합니다. 이 APN에 대해 모든 선택 모드를 허용합니다. 또한 알려진 PLMN에 대한 IMSI 접두사(246565)를 설정합니다. MCC-MNC 쌍은 5자리 또는 6자리일 수 있습니다.

구성

절차

단계별 절차

IMSI 접두사와 APN 필터를 설정하고 결합하려면 다음을 수행합니다.

  1. GTP 프로필을 설정합니다.

  2. APN 선택 모드를 설정합니다.

  3. 디바이스 구성을 완료하면 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security gprs .

GTPv2 IMSI 접두사 및 APN 필터링 이해

GPRS 지원 노드(GSN)는 IMSI(International Mobile Subscriber Identity)로 MS(Mobile Station)를 식별합니다. IMSI는 모바일 국가 코드(MCC), 모바일 네트워크 코드(MNC) 및 모바일 가입자 식별 번호(MSIN)의 세 가지 요소로 구성됩니다. MCC는 3자리 숫자이고 MNC는 2자리 또는 3자리 숫자입니다. MCC 및 MNC는 결합되어 IMSI 접두사를 구성하고, 모바일 가입자의 홈 네트워크 또는 PLMN(Public Land Mobile Network)을 식별한다. 따라서 IMSI 접두사는 PLMN 식별자 역할을 하며 유효한 로밍 파트너를 식별하는 데 사용됩니다.

기본적으로 디바이스는 GPRS 터널링 프로토콜 버전 2(GTPv2) 패킷에 대해 IMSI 접두사 필터링을 수행하지 않습니다. IMSI 접두사를 설정하면 create-session-request 메시지를 필터링하고 설정한 것과 일치하는 IMSI 접두사가 있는 GTPv2 패킷만 허용하도록 디바이스를 구성할 수 있습니다.

IMSI 접두사를 기반으로 GTPv2 패킷을 필터링할 때 액세스 포인트 이름(APN)도 지정해야 합니다.

APN은 네트워크에 도달하는 방법에 대한 정보를 제공하는 GTPv2 패킷의 헤더에 포함된 정보 요소(IE)입니다. APN은 다음 두 가지 요소로 구성됩니다.

  • 네트워크 ID - example.com 와 같은 외부 네트워크의 이름을 식별합니다.

  • 운영자 ID - mnc123.mcc789.gprs와 같은 운영자의 PLMN을 고유하게 식별합니다.

예를 들어 example.com.mnc123.mcc789.gprs는 mnc123.mcc789.gprs 연산자를 통해 example.com 네트워크에 연결하기 위한 APN입니다.

기본적으로 디바이스는 GTPv2 패킷에 대해 APN 필터링을 수행하지 않습니다. 그러나 APN 필터링을 수행하도록 디바이스를 구성하여 로밍 가입자에 대한 액세스를 외부 네트워크로 제한할 수 있습니다.

구성 문을 사용하여 set security gprs gtp profile profile name apn pattern-string imsi-prefix imsi-prefix-digits action (pass |drop |selection) IMSI 접두사와 APN의 조합을 기반으로 패킷을 필터링할 수 있습니다.

APN을 지정하려면 네트워크 ID 또는 네트워크의 도메인 이름(예: example.com)과 운영자 ID(선택 사항)를 알아야 합니다. APN의 네트워크 ID 부분은 매우 길 수 있으므로 와일드카드(*)를 APN 문자열의 첫 문자로 사용할 수 있습니다. 예를 들어 *.example.com 을 네트워크 ID로 사용하는 경우 와일드카드는 APN이 example.com 에만 국한되지 않고 앞에 올 수 있는 모든 문자도 포함한다는 것을 나타냅니다.

옵션을 사용하여 selection APN의 선택 모드를 설정할 수 있습니다. 선택 모드는 APN의 원본과 HLR(Home Location Register)이 사용자 구독을 확인했는지 여부를 나타냅니다. 네트워크의 보안 요구 사항에 따라 선택 모드를 설정합니다. 가능한 선택 모드는 다음과 같습니다.

  • ms - MS 제공 APN, 구독이 확인되지 않았습니다.

  • net - 네트워크 제공 APN, 구독이 확인되지 않았습니다.

  • vrf—MS 제공 또는 네트워크 제공 APN, 구독이 확인됩니다.

옵션을 사용하여 drop 모든 APN을 pass 삭제하고 옵션을 사용하여 모든 선택 모드에 대해 모든 APN을 전달할 수 있습니다.

APN 필터링을 수행할 때 디바이스는 패킷을 검사하여 사용자가 설정한 APN과 일치하는 APN을 찾습니다. 패킷의 APN이 지정한 APN과 일치하면 디바이스는 선택 모드를 확인하고 GTPv2 패킷을 전달합니다.

디바이스는 APN과 선택 모드가 모두 지정한 APN 및 선택 모드와 일치하는 경우에만 GTPv2 패킷을 전달합니다.

APN 필터링은 완벽한 일치를 기반으로 하기 때문에 APN 접미사를 설정할 때 와일드카드(*)를 사용하면 다른 방법으로 권한을 부여해야 하는 APN이 실수로 제외되는 것을 방지할 수 있습니다.

IMSI 접두사 및 APN 필터링은 세션 요청 생성 메시지에만 적용됩니다.