GTPv1 메시지 필터링
GTP 패킷에는 메시지 본문과 GTP, UDP 및 IP 헤더가 포함되어 있습니다. GTP 메시지 필터를 기반으로 GTP 패킷이 전달되거나 누락됩니다. GTP 메시지는 메시지 길이와 메시지 유형을 기반으로 필터링됩니다.
GTP 메시지 필터링 이해하기
디바이스가 GPRS 터널링 프로토콜(GTP) 패킷을 수신하면 디바이스에 구성된 정책에 대해 패킷을 확인합니다. 패킷이 정책과 일치하면 디바이스는 정책에 적용된 GTP 구성에 따라 패킷을 검사합니다. 패킷이 GTP 구성 매개 변수를 충족하지 못하면 디바이스는 GTP 검사 개체의 구성에 따라 패킷을 전달하거나 삭제합니다.
GTP 패킷은 메시지 본문과 GTP, UDP, IP의 세 가지 헤더로 구성됩니다. 결과 IP 패킷이 전송 링크의 최대 전송 단위(MTU)보다 크면 전송 서비스 GPRS 지원 노드(SGSN) 또는 게이트웨이 GPRS 지원 노드(GGSN)가 IP 단편화를 수행합니다.
기본적으로 디바이스는 전체 GTP 메시지를 수신할 때까지 IP 패킷 조각을 버퍼링한 다음 GTP 메시지를 검사합니다.
GTP 메시지 길이 필터링 이해하기
지정된 최소 또는 최대 메시지 길이를 충족하지 않는 패킷을 삭제하도록 디바이스를 구성할 수 있습니다. GPRS 터널링 프로토콜(GTP) 헤더에서 메시지 길이 필드는 GTP 페이로드의 옥텟의 길이를 나타냅니다. GTP 헤더 자체의 길이, UDP 헤더 또는 IP 헤더는 포함하지 않습니다. 기본 최소 및 최대 GTP 메시지 길이는 각각 0과 65,535바이트입니다.
GTP 메시지 유형 필터링 이해하기
GPRS 터널링 프로토콜(GTP) 패킷을 필터링하고 메시지 유형에 따라 허용하거나 거부할 수 있도록 디바이스를 구성할 수 있습니다. 기본적으로 디바이스는 모든 GTP 메시지 유형을 허용합니다.
GTP 메시지 유형에는 하나 또는 여러 개의 메시지가 포함됩니다. 메시지 유형을 허용하거나 거부하면 지정된 유형의 모든 메시지를 자동으로 허용하거나 거부합니다. 예를 들어 sgsn-context 메시지 유형을 삭제하기로 선택하면 sgsn-context-request, sgsn-context-response 및 sgsn-context-acknowledge 메시지를 삭제할 수 있습니다.
GTP 버전 번호를 기반으로 메시지 유형을 허용하고 거부합니다. 예를 들어, 한 버전에 대한 메시지 유형을 거부하는 동시에 다른 버전에 대해 메시지 유형을 허용할 수 있습니다.
예: GTP 메시지 길이 필터링 설정
이 예는 GTP 메시지 길이를 설정하는 방법을 보여줍니다.
요구 사항
이 기능을 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서 GTP 검사 개체의 최소 GTP 메시지 길이를 8 옥텟으로, 최대 GTP 메시지 길이를 1200 옥텟으로 구성합니다.
구성
절차
단계별 절차
GTP 메시지 길이를 구성하려면:
GTP 프로필을 지정합니다.
[edit] user@host# set security gprs gtp profile gtp1
최소 메시지 길이를 지정합니다.
[edit] user@host# set security gprs gtp profile gtp1 min-message-length 8
최대 메시지 길이를 지정합니다.
[edit] user@host# set security gprs gtp profile gtp1 max-message-length 1200
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security gprs .
지원되는 GTP 메시지 유형
표 1에는 GTP 릴리스 1997 및 1999에서 지원되는 GTP 메시지(GTP에 대한 메시지 충전 포함)와 GTP 메시지 유형 필터링 구성에 사용할 수 있는 메시지 유형이 나와 있습니다.
메시지 |
메시지 유형 |
버전 0 |
버전 1 |
|---|---|---|---|
AA pdp 컨텍스트 요청 생성 |
create-aa-pdp |
B |
|
AA pdp 컨텍스트 응답을 생성합니다. |
create-aa-pdp |
B |
|
pdp 컨텍스트 요청 생성 |
create-pdp |
B |
B |
pdp 컨텍스트 응답을 생성합니다. |
create-pdp |
B |
B |
데이터 기록 요청 |
데이터 기록 |
B |
B |
데이터 기록 응답 |
데이터 기록 |
B |
B |
AA pdp 컨텍스트 요청 삭제 |
delete-aa-pdp |
B |
|
AA pdp 컨텍스트 응답 삭제 |
delete-aa-pdp |
B |
|
pdp 컨텍스트 요청 삭제 |
delete-pdp |
B |
B |
pdp 컨텍스트 응답 삭제 |
delete-pdp |
B |
B |
에코 요청 |
에코 |
B |
B |
에코 응답 |
에코 |
B |
B |
오류 표시 |
오류 표시 |
B |
B |
장애 보고서 요청 |
장애 보고서 |
B |
B |
장애 보고서 응답 |
장애 보고서 |
B |
B |
포워드 재배치 요청 |
fwd-재배치 |
B |
B |
포워드 재배치 대응 |
fwd-재배치 |
B |
B |
포워드 재배치 완료 |
fwd-재배치 |
B |
B |
포워드 재배치 완료 승인 |
fwd-재배치 |
B |
B |
SRNS 컨텍스트 전달 |
fwd-srns-context |
B |
B |
포워드 SRNS 컨텍스트는 |
fwd-srns-context |
B |
B |
식별 요청 |
식별 |
B |
B |
식별 응답 |
식별 |
B |
B |
Node alive 요청 |
Node-alive |
B |
B |
노드 얼라이브 응답 |
Node-alive |
B |
B |
참고 MS GPRS 현재 요청 |
note-ms-present |
B |
B |
참고 MS GPRS 현재 응답 |
note-ms-present |
B |
B |
pdu 알림 요청 |
pdu-notification |
B |
B |
pdu 알림 응답 |
pdu-notification |
B |
B |
pdu 알림 거부 요청 |
pdu-notification |
B |
B |
pdu 알림 거부 응답 |
pdu-notification |
B |
B |
RAN 정보 릴레이 |
ran-info |
B |
B |
리디렉션 요청 |
리디렉션 |
B |
B |
리디렉션 응답 |
리디렉션 |
B |
B |
재배치 취소 요청 |
재배치-취소 |
B |
B |
재배치 취소 응답 |
재배치-취소 |
B |
B |
경로 정보 요청 보내기 |
send-route |
B |
B |
경로 정보 응답 전송 |
send-route |
B |
B |
sgsn 컨텍스트 요청 |
sgsn-context |
B |
B |
sgsn 컨텍스트 응답 |
sgsn-context |
B |
B |
sgsn 컨텍스트는 |
sgsn-context |
B |
B |
지원되는 확장 헤더 알림 |
지원-확장 |
B |
B |
g-pdu |
gtp-pdu |
B |
B |
pdp 컨텍스트 요청 업데이트 |
update-pdp |
B |
B |
업데이트된 pdp 컨텍스트 응답 |
update-pdp |
B |
B |
지원되지 않는 버전 |
version-not-supported |
B |
B |
예: GTP 메시지 유형 필터링
이 예는 GTP 메시지 유형을 허용하고 거부하는 방법을 보여줍니다.
요구 사항
이 기능을 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서 gtp1 프로필의 경우, 버전 1의 오류 표시 및 장애 보고 메시지 유형을 삭제하도록 디바이스를 구성합니다.
구성
절차
단계별 절차
GTP 메시지 유형을 허용 및 거부:
디바이스를 구성합니다.
[edit] user@host# set security gprs gtp profile gtp1
오류 표시를 삭제합니다.
[edit] user@host# set security gprs gtp profile gtp1 drop error-indication 1
실패 보고서 메시지를 삭제합니다.
[edit] user@host# set security gprs gtp profile gtp1 drop failure-report 1
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security gprs .
GTP 제어 메시지에 대한 속도 제한 이해
GPRS 지원 노드(GSN)로 가는 네트워크 트래픽 속도를 제한하도록 디바이스를 구성할 수 있습니다. GGSN 터널링 프로토콜, 제어(GTP-C) 메시지에 대해 초당 패킷으로 별도의 임계값을 설정할 수 있습니다. GTP-C 메시지에는 처리 및 응답이 필요하므로 잠재적으로 GSN을 압도할 수 있습니다. GTP-C 메시지에 대한 속도 제한을 설정하여 다음과 같은 가능한 서비스 거부(DoS) 공격으로부터 GSN을 보호할 수 있습니다.
경계 게이트웨이 대역폭 포화 — PLMN(Public Land Mobile Network)과 동일한 GPRS 로밍 교환(GRX)에 연결된 악성 운영자가 경계 게이트웨이에서 너무 많은 네트워크 트래픽을 지시할 수 있으므로 PLMN 안팎의 대역폭에 대한 적법한 트래픽이 없으므로 네트워크로의 로밍 액세스를 거부합니다.
GTP 플러드 - GPRS 터널링 프로토콜(GTP) 트래픽은 GSN을 플러딩할 수 있으므로 불법 데이터를 처리하는 데 CPU 주기를 소비해야 합니다. 이를 통해 가입자가 로밍하고 데이터를 외부 네트워크로 전달하는 것을 방지하고 GPRS(General Packet Radio Service)가 네트워크에 연결되지 않도록 할 수 있습니다.
이 기능은 주니퍼 네트웍스 디바이스에서 각 GSN으로 전송되는 트래픽 속도를 제한합니다. 기본 요금은 무제한입니다.
GTP 제어 메시지에 대한 경로 속도 제한 이해
SRX1500, SRX4100, SRX4200, SRX5400, SRX5600 및 SRX5800 디바이스의 경로에서 특정 제어 메시지의 초당 최대 패킷을 제한할 수 있습니다. 이러한 GPRS 터널링 프로토콜(GTP) 메시지에는, delete-req및 기타 GTP 메시지가 포함됩니다create-req. 그러나 GTP 메시지의 분당 최대 패킷을 제한할 echo-req 수 있습니다.
이 path-rate-limit 기능은 포워드 및 역방향 모두에서 특정 GTP 메시지를 제어합니다. 한 경로에 대해 포워드 및 역방향으로 각 제어 메시지에 대해 드롭 임계값과 알람 임계값을 구성할 수 있습니다. 한 경로의 제어 메시지가 알람 임계값에 도달하면 알람 로그가 생성됩니다. 수신된 제어 메시지 수가 드롭 임계값에 도달하면 패킷 드롭 로그가 생성되고 나중에 수신된 이 유형의 다른 모든 제어 메시지가 삭제됩니다.
전달 및 역방향으로 메시지 트래픽을 제어하려면 구성된 정책과 일치하는 방향이 앞으로 정의되고 반대 방향이 역방향으로 정의되도록 디바이스에 정책을 구성합니다. set security gprs gtp profile <profile-name> path-rate-limit 문을 사용하여 경로의 특정 제어 메시지에 대해 초당 최대 패킷을 제한합니다.
및 path-rate-limit 옵션을 동시에 rate-limit 구성할 수 있습니다.
예: GTP 제어 메시지에 대한 메시지 속도 및 경로 속도 제한
이 예는 GTP 제어 메시지의 메시지 속도와 경로 속도를 제한하는 방법을 보여줍니다. 옵션은 rate-limit 초당 GTP 메시지를 제한하고 옵션은 방향과 path-rate-limit 역방향 모두에서 특정 GTP 메시지를 제어합니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
SRX5400 디바이스
Junos OS 릴리스 12.1X45-D10
이 기능을 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서 수신 GTP 메시지의 속도를 초당 300 패킷으로 제한하고 방향 및 역방향 모두에서 GTP 제어 메시지의 경로 속도를 제한합니다. GPRS 지원 노드(GSN)로 가는 네트워크 트래픽 속도를 제한하도록 디바이스를 구성하고, 경로의 특정 제어 메시지에 대해 초당 또는 분당 최대 패킷을 제한합니다. , delete-req, other GTP 메시지의 경우 create-req초당 최대 패킷을 제한합니다. 그러나 GTP 메시지의 echo-req 경우 분당 최대 패킷을 제한합니다.
이 path-rate-limit 기능은 포워드 및 역방향 모두에서 특정 GTP 메시지를 제어합니다. 경로의 alarm-threshold GTP 제어 메시지가 구성된 제한에 도달하면 알람을 발생하도록 디바이스를 구성하기 위한 매개 변수를 구성합니다. drop-threshold 초당 패킷 수 또는 분당 패킷 수가 구성된 제한을 초과할 때 트래픽 드롭 을(를) 구성합니다.
구성
CLI 빠른 구성
예의 이 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set security gprs gtp profile gtp1 rate-limit 300 set security gprs gtp profile gtp1 path-rate-limit message-type create-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type other alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type create-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type other drop-threshold forward 80 reverse 80
절차
단계별 절차
GTP 메시지 속도 및 경로 속도 제한을 구성하려면 다음을 수행합니다.
GTP 프로필을 지정합니다.
[edit] user@host# set security gprs gtp profile gtp1
GTP 메시지 속도 제한을 설정합니다.
[edit security gprs gtp profile gtp1] user@host# set rate-limit 300
GTP 제어 메시지의 경로 속도 제한을 설정하도록 메시지 유형을 지정합니다.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type
GTP 제어 메시지 유형을 선택합니다.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type create-req user@host# set path-rate-limit message-type delete-req user@host# set path-rate-limit message-type echo-req user@host# set path-rate-limit message-type other
GTP 제어 메시지 유형에 대한 알람 임계값을 설정합니다.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req alarm threshold user@host# set message-type delete-req alarm threshold user@host# set message-type echo-req alarm threshold user@host# set message-type other alarm threshold
전달 방향으로 제어 메시지를 제한합니다.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold forward 50 user@host# set delete-req alarm threshold forward 50 user@host# set echo-req alarm threshold forward 50 user@host# set other alarm threshold forward 50
반대 방향으로 제어 메시지를 제한합니다.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold reverse 50 user@host# set delete-req alarm threshold reverse 50 user@host# set echo-req alarm threshold reverse 50 user@host# set other alarm threshold reverse 50
GTP 제어 메시지 유형에 대한 드롭 임계값을 설정합니다.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req drop threshold user@host# set message-type delete-req drop threshold user@host# set message-type echo-req drop threshold user@host# set message-type other drop threshold
전달 방향으로 제어 메시지를 제한합니다.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold forward 80 user@host# set delete-req drop threshold forward 80 user@host# set echo-req drop threshold forward 80 user@host# set other drop threshold forward 80
반대 방향으로 제어 메시지를 제한합니다.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold reverse 80 user@host# set delete-req drop threshold reverse 80 user@host# set echo-req drop threshold reverse 80 user@host# set other drop threshold reverse 80
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show security gprs gtp profile profile-name . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security gprs gtp profile p1
rate-limit 300;
path-rate-limit {
message-type create-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type delete-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type echo-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type other {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 제대로 작동하는지 확인합니다.
구성 확인
목적
GTP 메시지 속도 및 경로 속도 제한 구성이 올바른지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security gprs gtp counters path-rate-limit .
Path-rate-limit counters:
Drop Alarm
Create Request 20 50
Delete Request 20 50
Echo Request 20 50
Others 20 50
의미
show security gprs gtp counters path-rate-limit 명령은 알람 임계값 또는 드롭 임계값에 도달한 이후 수신된 패킷 수를 표시합니다. 값을 50으로 구성하고 요청 생성 메시지의 drop-threshold 값을 80으로 구성 alarm-threshold 하고 디바이스가 초 또는 분 안에 100개의 패킷을 수신하면 드롭 번호는 20이고 알람 번호는 50이 됩니다.
예: GTP 시퀀스 번호 검증 활성화
이 예는 GTP 시퀀스 번호 검증 기능을 활성화하는 방법을 보여줍니다.
요구 사항
이 기능을 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서 gtp 프로필을 gtp1로 설정하고 시퀀스 번호 검증 기능도 활성화합니다.
구성
절차
단계별 절차
GTP 시퀀스 번호 검증 기능을 활성화하려면 다음을 수행합니다.
GTP 프로필을 설정합니다.
[edit] user@host# set security gprs gtp profile gtp1
시퀀스 번호 검증을 활성화합니다.
[edit] user@host# set security gprs gtp profile gtp1 seq-number-validated
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security gprs .