Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의
 

정책 기반 GTP

GPRS 터널링 프로토콜(GTP) 정책에는 트래픽을 허용, 거부 또는 터널링하는 규칙이 포함되어 있습니다. 이 장치는 모든 GTP 패킷을 GTP 트래픽을 규제하는 정책과 검사하고 이러한 정책에 따라 패킷을 포워딩, 삭제 또는 터널링함으로써 GTP 정책 필터링을 수행합니다.

정책 기반 GTP 이해

기본적으로 주니퍼 네트웍스 디바이스가 보호하는 PLMN(Public Land Mobile Network)은 트러스트 존에 있습니다. 이 장치는 트러스트 존의 PLMN을 다른 존의 다른 PLMN에 대해 보호합니다. 언트러스트 존에서 PLMN을 보호하는 모든 PLMN을 배치하거나 각 PLMN에 대해 사용자 정의 존을 생성할 수 있습니다. PLMN은 하나의 보안 존 또는 여러 보안 존을 차지할 수 있습니다.

존과 PLMN 간에 트래픽이 흐르도록 하는 정책을 생성해야 합니다. 정책에는 트래픽을 허용, 거부 또는 터널하는 규칙이 포함되어야 합니다. 이 장치는 모든 GTP 패킷을 GTP 트래픽을 규제하는 정책으로부터 검사하고 이러한 정책에 따라 패킷을 포워딩, 삭제 또는 터널링함으로써 GPRS 터널링 프로토콜(GTP) 정책 필터링을 수행합니다.

정책에서 GTP 서비스를 선택하면 디바이스가 GTP 트래픽을 허용, 거부 또는 터널링할 수 있습니다. 그러나 이 때문에 장치가 GTP 트래픽을 검사할 수 없습니다. 장치가 GTP 트래픽을 검사하려면 GTP 검사 객체라고도 하는 GTP 구성을 정책에 적용해야 합니다.

정책당 하나의 GTP 검사 객체만 적용할 수 있지만 여러 정책에 GTP 검사 객체를 적용할 수 있습니다. 정책을 사용하면 SGSN(Serving GPRS Support Node)과 같은 특정 피어에서 GTP 터널의 설치를 허용하거나 거부할 수 있습니다.

IoT(사물 인터넷) 및 로밍 방화벽 사용 사례를 수용하기 위해 Junos OS 릴리스 19.4R1부터 SPU당 GTP 터널 확장성이 SRX5000(SRX5400, SRX5600, SRX5800) 및 SRX4600 디바이스에 맞게 증가되었습니다.

표 1:

Platform

SRX5000 SPC2

SRX5000 SPC3

SRX4600

SPU당 사전 19.4 터널 확장성

600K

1.2M

400K

SPC당 사전 19.4 터널 스케일

600K * 4

1.2M * 2

400k

19.4 이후의 SPU당 터널 확장성

3M

12M

4M

19.4 이후의 SPC당 터널 확장성

3M * 4

12M * 2

4M

IoT(사물 인터넷) 및 로밍 방화벽 사용 사례를 활성화하기 위해 Junos OS Release 20.1R1부터 시작하여 다음 SRX 디바이스에 대해 GTP 터널 확장성이 증가합니다.

표 2:

Platform

SRX1500

SRX4100

SRX4200

시스템당 사전 20.1 터널 확장

204800

409600

819200

시스템당 20.1 이후의 터널 확장

1024000

4096000

4096000

vSRX 인스턴스의 경우 지원되는 터널의 수는 사용 가능한 시스템 메모리에 따라 달라집니다.

표 3:

Platform

Memory

Tunnel Number

vSRX

4G/6G

40K

8G/10G/12G/14G

200K

16G/20G/24G/28G

400K

32G/40G/48G

800K

56G/64G

1600K(1.6M)

"Any"를 소스 또는 대상 존으로 지정하는 정책(해당 존의 모든 호스트 포함)을 구성하고 여러 소스 및 대상 주소를 지정하는 정책을 구성할 수 있습니다.

정책에서 트래픽 로깅을 활성화할 수 있습니다.

예: 정책에서 GTP 검사 실행

이 예에서는 정책에서 GTP 검사를 지원하는 방법을 보여 줍니다.

요구 사항

시작하기 전에 GTP가 활성화된 후에 디바이스를 다시 시작해야 합니다. 기본적으로 디바이스에서 GTP가 비활성화됩니다.

개요

이 예에서 인터페이스를 ge-0/0/1 및 ge-0/0/2로 구성하면 주소는 2.0.0.254/8 및 3.0.0.254/8입니다. 그런 다음 보안 존을 구성하고 주소를 2.0.0.5/32 및 3.0.0.6/32로 지정합니다. 보안 정책에서 GTP 서비스를 활성화하여 동일한 PLMN 내에 있는 두 네트워크 간의 양방향 트래픽을 허용합니다.

구성

절차

CLI 빠른 구성

예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.

단계별 절차

정책에서 GTP 검사를 구성하려면 다음을 수행합니다.

  1. GTP 검사 객체를 만듭니다.

  2. 인터페이스를 구성합니다.

  3. 보안 존을 구성합니다.

  4. 주소를 지정합니다.

  5. 보안 정책에서 GTP 서비스를 활성화합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show security 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.

간결하게, 이 show 출력에는 이 예제와 관련된 구성만 포함됩니다. 시스템의 다른 모든 구성이 타원(...)으로 대체되었습니다.

디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.

확인

구성이 올바르게 작동하는지 확인합니다.

정책에서 GTP 검사 검증

목적

GTP 검사가 활성화되었는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security .

GTP 검사 객체 이해

디바이스가 GPRS 터널링 프로토콜(GTP) 트래픽 검사를 수행하기 위해서는 GTP 검사 객체를 생성한 다음 정책에 적용해야 합니다. 다음 명령을 사용하여 다음 이름으로 GTP la-nyset security gprs gtp profile la-ny검사 객체를 만듭니다. GTP 검사 객체는 서로 다른 GTP 구성을 적용하는 여러 정책을 구성할 수 있도록 보다 유연하게 제공합니다. 소스 존과 대상 존, 주소, 조치 등에 따라 GTP 트래픽을 다르게 제어하도록 디바이스를 구성할 수 있습니다.

GTP 기능을 구성하려면 GTP 구성의 컨텍스트를 입력해야 합니다. CLI에 설정을 저장하려면 먼저 GTP 구성을 종료한 다음 명령을 입력 commit 해야 합니다.

예: GTP 검사 객체 생성

이 예에서는 GTP 검사 객체를 만드는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

이 예에서는 LA-NY라는 GTP 검사 객체를 만듭니다. 대부분의 기본값을 보존하고 시퀀스 번호 검증 기능을 활성화합니다.

구성

절차

단계별 절차

GTP 검사 객체를 구성하려면 다음을 수행합니다.

  1. GTP 검사 객체를 만듭니다.

  2. 디바이스 구성을 완료한 경우 구성을 커밋합니다.

확인

구성이 올바르게 작동하는지 확인합니다.

GTP 검사 객체 검증

목적

GTP 검사 객체가 활성화되어 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security gprs .

GTPv2 이해

GPRS 터널링 프로토콜(GTP)은 SGSN(Serving GPRS Support Node)과 MS(개별 모바일 스테이션)를 위한 게이트웨이 GPRS 지원 노드(GGSN) 사이에 GTP 터널을 구축합니다. GTP 버전 2(GTPv2)는 Junos OS 릴리스 11.4에서 지원됩니다.

GTPv2는 3GPP(Third-Generation Partnership Project)에서 개발한 4세대(4G) 무선 광대역 기술인 LTE(Long Term Evolution)의 일부입니다. 3GPP는 GPRS 표준을 개발하기 위한 표준 기관입니다. LTE는 모바일 전화 네트워크의 용량과 속도를 높이도록 설계되었습니다. GTPv2는 LTE 네트워크를 위해 설계된 프로토콜입니다. LTE 네트워크는 네트워크 요소, LTE 인터페이스 및 프로토콜로 구성됩니다.

GTPv0 및 GTPv1은 SGSN 및 GGSN을 사용하여 구현됩니다. 그러나 GTPv2에서 기존 SGSN과 GGSN은 3개의 논리적 노드(SGW(serving gateway), 패킷 데이터 네트워크 게이트웨이(PGW) 및 MME(Mobility Management Entity)로 대체됩니다.

그림 1 은 SRX 시리즈 디바이스가 PLMN(Public Land Mobile Network)에 구축된 다음 LTE 인터페이스를 보여줍니다.

그림 1: LTE 인터페이스 LTE Interfaces

  • S5—이 인터페이스는 SGW와 PGW를 연결합니다. SGW와 PGW 간에 사용자 플레인 터널링 및 터널 관리 기능을 제공합니다. 또한, 사용자 장비 모빌리티 또는 비동합 PGW에 대한 SGW 연결로 인해 발생하는 SGW 재배치에도 사용됩니다. S5 인터페이스는 제 3세대(3G) 모바일 네트워크의 Gn 인터페이스와 동일합니다.

  • S8—이 인터페이스는 방문한 PLMN(VPLM)에서 SGW와 HPLMN(home PLMN)에서 PGW를 연결합니다. S8은 S5의 PLMN 간 변형입니다. S8 인터페이스는 3G 모바일 네트워크의 Gp 인터페이스와 동일합니다.

  • S4—이 인터페이스는 S4 SGSN과 SGW를 연결합니다. GPRS 코어 네트워크와 3GPP 앵커 기능 간의 관련 제어 및 모빌리티 지원을 제공합니다. 또한 직접 터널링이 설정되지 않은 경우 사용자 플레인 터널링을 제공합니다. S4 인터페이스는 3G와 4G 네트워크 간의 상호 운용성을 제공하기 때문에 3G 모바일 네트워크에 동등한 인터페이스가 없습니다.

정책 기반 GTPv2 이해

GPRS 터널링 프로토콜 버전 2(GTPv2)는 모든 GTPv2 패킷을 GTPv2 트래픽을 규제하는 보안 정책과 검사하는 정책 메커니즘을 구현합니다. 보안 정책에 따라 패킷은 포워딩, 삭제 또는 터널됩니다.

GTPv2 보안 정책을 사용하면 GTPv2 트래픽을 전달, 거부 또는 터널로 전송할 수 있습니다. 그러나 보안 정책은 장치에서 GTPv2 트래픽 검사를 수행하지 않습니다. 트래픽 검사를 활성화하려면 GTPv2 검사 객체를 보안 정책에 적용해야 합니다. GTPv2 검사 객체는 GTPv2 트래픽 처리를 위한 구성 매개변수 집합입니다.

보안 정책당 하나의 GTPv2 검사 객체만 적용할 수 있습니다. 그러나 검사 객체를 여러 보안 정책에 적용할 수 있습니다.

기본적으로 GTPv2 검사 객체는 보안 정책에 적용되지 않습니다. 검사 객체를 보안 정책에 명시적으로 적용해야 합니다.

GTPv2 보안 정책을 사용하면 지원 게이트웨이(SGW)와 같은 특정 피어의 GTPv2 터널 설정이 허용되거나 거부됩니다. 여러 소스 및 대상 주소, 주소 그룹 또는 전체 존을 지정하는 GTPv2 보안 정책을 구성할 수 있습니다.

예: 정책에서 GTPv2 검사 실행

이 예에서는 정책에서 GTPv2 검사를 구현하는 방법을 보여줍니다.

요구 사항

시작하기 전에 GTPv2가 활성화된 후에 디바이스를 다시 시작해야 합니다. 기본적으로 GTPv2는 디바이스에서 비활성화됩니다.

개요

이 예제에서는 인터페이스를 ge-0/0/1 및 ge-0/0/2로 구성하고 인터페이스 주소를 각각 4.0.0.254/8 및 5.0.0.254/8에 할당합니다. 그런 다음 보안 존을 구성하고 글로벌 주소를 각각 4.0.0.5/32 및 5.0.0.6/32로 지정합니다. 보안 정책에서 GTPv2 검사를 통해 동일한 PLMN(Public Land Mobile Network) 내에 있는 두 네트워크 간의 양방향 트래픽을 허용할 수 있습니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사 및 붙여넣은 다음 구성 모드에서 입력 commit 합니다.

단계별 절차

정책에서 GTPv2 검사를 구성하려면 다음을 수행합니다.

  1. GTPv2 검사 객체를 만듭니다.

  2. 인터페이스를 구성합니다.

  3. 보안 존을 구성합니다.

  4. 주소를 지정합니다.

  5. 보안 정책에서 GTPv2 검사를 활성화합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show security policies 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.

확인

구성이 올바르게 작동하는지 확인합니다.

정책에서 GTPv2 검사 검증

목적

GTPv2 검사가 활성화되었는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security policies .

GTP 경로 재시작 이해

GPRS 터널링 프로토콜(GTP) 경로를 다시 시작하면 두 디바이스 간의 모든 GTP 터널이 종료됩니다. 각 GTP 게이트웨이는 재시작 번호와 연결됩니다. GTP 메시지의 복구 정보 요소(IE)에서 재시작 번호를 얻을 수 있습니다.

로컬 저장된 재시작 번호를 새로 획득한 재시작 번호와 비교하여 재시작을 감지할 수 있습니다. 로컬에 저장된 재시작 번호는 비제로 값이며 새 재시작 번호와 일치하지 않습니다.

컨피규레이션 명령문을 set security gprs gtp profile name restart-path (echo | create | all) 사용하여 GTP 경로를 다시 시작할 수 있습니다.

이 명령을 구성한 후 디바이스는 메시지에서 Recovery IE에서 얻은 변경된 재시작 번호를 감지합니다. 에코 메시지에서 새로운 재시작 번호를 얻는 옵션, create 생성 세션 메시지에서 재시작 번호를 얻는 옵션 또는 all 모든 유형의 GTP 메시지에서 새로운 재시작 번호를 얻는 옵션을 사용할 echo 수 있습니다.

예: GTPv2 경로 재시작

이 예에서는 GTPv2 경로를 다시 시작하는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

간결성을 위해 이 예는 GTPv2를 사용합니다.

이 예에서는 gtp2라는 GTPv2 검사 객체에 대한 GTPv2 경로를 다시 시작합니다. 에코 메시지에서 복구 정보 요소(IE)에서 새로운 재시작 번호를 얻습니다.

구성

절차

단계별 절차

GTPv2 경로를 다시 시작하려면 다음을 수행합니다.

  1. GTPv2 프로필을 지정합니다.

  2. 경로를 다시 시작합니다.

  3. 디바이스 구성을 완료한 경우 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security gprs .

목적
작업

GTPv2 터널 정리 이해하기

GPRS 터널링 프로토콜 버전 2(GTPv2) 터널은 GPRS 지원 노드(GSN) 간 GTPv2 트래픽 전송을 지원합니다.

트래픽을 전송하는 동안 GTPv2 터널은 여러 가지 이유로 중단될 수 있습니다. 예를 들어, 삭제-pdp 요청 메시지는 네트워크에서 손실되거나 GSN이 제대로 종료되지 않을 수 있습니다. 이 경우 자동으로 또는 수동으로 GTPv2 터널을 매달려 있는 것을 제거할 수 있습니다.

매달려 있는 GTPv2 터널을 자동으로 제거하려면 디바이스에서 GTPv2 터널 타임아웃 값을 설정해야 합니다. 디바이스는 타임아웃 값으로 지정된 기간 동안 유휴 상태인 터널을 자동으로 식별하고 제거합니다. 기본 GTPv2 터널 타임아웃 값은 36시간입니다.

구성 명령문을 사용하여 디바이스에서 set security gprs gtp profile name timeout 이 값을 구성할 수 있습니다. 타임아웃 범위는 1~1000시간입니다.

매달려 있는 GTPv2 터널을 수동으로 제거하려면 운영 모드 명령을 사용해야 clear security gprs gtp tunnel 합니다.

예: GTPv2 터널의 타임아웃 가치 설정

이 예에서는 GTPv2 터널의 타임아웃 값을 설정하는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

이 예에서는 gtp2라는 GTPv2 검사 객체에 대해 터널 타임아웃 값을 40시간으로 설정합니다.

구성

절차

단계별 절차

GTPv2 터널 타임아웃 값을 구성하려면 다음을 수행합니다.

  1. GTPv2 프로필을 지정합니다.

  2. 타임아웃 값을 지정합니다.

  3. 디바이스 구성을 완료한 경우 구성을 커밋합니다.

확인

구성이 올바르게 작동하는지 확인합니다.

GTPv2 터널 타임아웃 값 검증

목적

GTPv2 터널 타임아웃 값이 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security gprs .

GTPv2 트래픽 로깅 이해

콘솔 또는 syslog를 사용하여 GPRS 터널링 프로토콜 버전 2(GTPv2) 트래픽 로그를 볼 수 있습니다. 디바이스를 구성하여 상태에 따라 GTPv2 패킷을 기록할 수 있습니다. GTPv2 패킷 상태는 다음 중 어느 것이든 가능합니다.

  • 포워딩—GTPv2 패킷이 유효했기 때문에 포워딩되었습니다.

  • 상태 무효—GTPv2 패킷은 스테이트풀 검사 또는 위생 검사에 실패하여 삭제되었습니다. Sanity Check 장애의 경우 패킷이 위생(sanity)으로 표시됩니다.

  • 금지—GTPv2 패킷은 메시지 길이, 메시지 유형 또는 IMSI(International Mobile Subscriber Identity) 접두사 검사에 실패하여 삭제되었습니다.

  • 속도 제한—GTPv2 패킷은 대상 GPRS 지원 노드(GSN)의 최대 속도 제한을 초과했기 때문에 삭제되었습니다.

기본적으로 GTPv2 로깅은 장비에서 비활성화됩니다. 구성 명령문을 사용하여 디바이스에 set security gprs gtp profile name log GTPv2 로깅을 활성화할 수 있습니다.

예: GTPv2 트래픽 로깅 활성화

이 예에서는 디바이스에서 GTPv2 트래픽 로깅을 활성화하는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

이 예에서는 포워딩된 GTPv2 패킷에 대한 GTPv2 트래픽 로깅을 활성화합니다.

구성

절차

단계별 절차

포워딩된 GTPv2 패킷에 대한 GTPv2 트래픽 로깅을 활성화하려면 다음을 수행합니다.

  1. GTPv2 프로필을 지정합니다.

  2. GTPv2 포워딩 패킷에 대한 로깅을 활성화합니다.

  3. 디바이스 구성을 완료한 경우 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security gprs .

관련 설명서