Configuración del grupo de traspaso de GTP
Un grupo de traspaso de protocolo de tunelización GPRS (GTP) es un conjunto de SGSN o puerta de enlace de servicio (SGW) con una biblioteca de libreta de direcciones común.
Descripción general del grupo de entrega de GTP
Un grupo de traspaso de protocolo de tunelización GPRS (GTP) es un conjunto de SGSN o puerta de enlace de servicio (SGW) con una biblioteca de libreta de direcciones común. Un administrador puede configurar un perfil gtp y asociar un grupo de traspaso de GTP al perfil gtp. Cuando un perfil gtp hace referencia a un nombre de grupo de entrega gtp, el dispositivo comprueba si la dirección SGSN/SGW actual y la dirección SGSN/SGW propuesta están contenidas en el mismo grupo de entrega de GTP. Si ambas direcciones SGSN/SGW están contenidas en el mismo grupo de entrega de GTP, entonces se permite la entrega. Si las direcciones SGSN/SGW actuales y propuestas no están dentro del mismo grupo de entrega gtp, se utilizará el perfil del grupo de entrega predeterminado.
No se permite la entrega de GTP en diferentes grupos de entrega de GTP.
Puede configurar el grupo de entrega con el set security gprs gtp profile profile-name handover-group
comando. Si no hay ningún grupo de traspaso definido en el perfil de GTP y si el tráfico alcanza la política configurada con este perfil, se permite la entrega entre todos los TCG que coincidan con esta política de forma predeterminada. La entrega se niega si el comando de configuración se establece con el set security gprs gtp handover-default deny
comando.
Por ejemplo, el equipo de usuario accede a Internet a través de los túneles GTP construidos sobre el SGSN y el nodo de soporte GPRS de puerta de enlace (GGSN). El SGSN crea túneles GTP a la GGSN para transferir los datos del equipo del usuario, que se conecta a la SGSN. En una arquitectura de itinerancia enrutada desde casa, un dispositivo de equipo de usuario itinerante vuelve a la GGSN de una PLMN doméstica (HPLMN) a través de un SGSN (VSGSN) visitado de una PLMN visitada (VPLMN). Si el SGSN original y el objetivo 1 de SGSN como se muestra en la figura 1 pertenecen al mismo grupo de entrega (HG-1), entonces se produce la entrega. Si el SGSN original busca la entrega al objetivo 2 de SGSN, que se encuentra en un grupo de entrega diferente (HG-2), entonces se niega la entrega.
Descripción de los mensajes de traspaso de GTP
A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, se proporciona soporte para mensajes de traspaso de GTP. Durante los procedimientos de entrega, los mensajes de contexto (solicitud, respuesta y reconocimiento) de servicio del nodo de soporte GPRS (SGSN) o los mensajes de reenvío de reubicación se envían entre la nueva y la antigua entidad de administración de movilidad (MME) y SGSN. Para el protocolo de tunelización GPRS (GTP) versión 2, los mensajes deben ser mensajes de contexto o reenviar mensajes de reubicación. Para simplificar, este tipo de mensajes se denominan uniformemente mensajes de entrega. La información de contexto del protocolo de datos de paquetes (PDP) se adquiere de estos mensajes. El contexto PDP se configura en el firewall serie SRX cuando se reciben estos mensajes y, luego, los mensajes GTP posteriores se pueden inspeccionar normalmente de acuerdo con el nuevo contexto PDP.
Utilice el comando para habilitar la set security gprs gtp profile <profile-name> handover-on-roaming-intf
configuración de contexto de PDP mediante mensajes de traspaso. Utilice el comando para deshabilitar la delete security gprs gtp profile <profile-name> handover-on-roaming-intf
configuración del contexto PDP mediante mensajes de traspaso.
Las direcciones y los identificadores de punto de conexión de túnel (TEIDs) para reenviar el tráfico de datos también se adquieren a partir de los mensajes de entrega. Además, el túnel de reenvío se puede configurar en firewalls serie SRX para el reenvío del protocolo de tunelización GPRS, la comprobación de estado del plano de usuario (GTP-U).
Se admite la entrega entre diferentes versiones de GTP.
Las características clave de la entrega de GTP son:
Compatibilidad con mensajes de entrega entre MME/SGSN de GTP para GTPv0, v1 y v2
Inspección de mensajes de entrega entre MME/SGSN
Contexto de PDP gtp y configuración del túnel de reenvío de acuerdo con la información en los mensajes de entrega
Inspección GTP-U para reenvío de tráfico de datos
Compatibilidad con la actualización del contexto del PDP mediante la actualización y modificación de mensajes con diferentes versiones
Registro del sistema y contador para mensajes de entrega
A partir de Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, el nodo de soporte GPRS de servicio (SGSN) y un nodo de soporte GPRS de puerta de enlace de los nodos GTPv1 o GTPv2 no pueden comunicarse con el nodo GTPv0. Si un dispositivo envía un mensaje GTPv1 o GTPv2 para actualizar los túneles creados por GTPv0, estos mensajes se pierden y el túnel GTPv0 no se actualizará.
Ejemplo: Configurar grupos de entrega
En este ejemplo, se muestra cómo configurar grupos de traspaso de GTP en perfiles GTP.
Requisitos
Antes de comenzar, necesita un dispositivo SRX1500, SRX4100, SRX4200, SRX5400, SRX5600 o SRX5800 o una instancia de firewall virtual vSRX y un equipo de usuario que debe conectarse a Internet. También necesitará una red central móvil de 3G o 4G y una red de hogar y visita.
Visión general
Un equipo de usuario accede a Internet a través de SGSN o puerta de enlace de servicio (SGW) y GGSN o puerta de enlace de red de datos de paquetes (PGW) en una red central de 3G o 4G. El SGSN/SGW construye túneles GTP a la GGSN/PGW para transferir los datos del equipo de usuario, que se adjuntan al SGSN/SGW. En una arquitectura de itinerancia enrutada desde casa, un equipo de usuario itinerante regresa a su GGSN de PLMN casera (HPLMN) a través de una SGSN visitada (VSGSN) de una PLMN visitada (VPLMN). Si el dispositivo del equipo de usuario sale del área de cobertura del SGSN/SGW visitado, se entrega a otro SGSN/SGW visitado.
En este ejemplo, consulte la Figura 2 X-mobile es la PLMN doméstica y la PLMN visitada es la Y-mobile y la Z-mobile. Puede configurar grupos de entrega de GTP para X-mobile y realizar la entrega dentro del mismo grupo de entrega.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit]
modo de configuración.
set security address-book global address X-mobile-hMME 10.10.10.1/32 set security address-book global address X-mobile-hPGW 10.10.10.2/32 set security address-book global address-set X-mobile address X-mobile-hMME set security address-book global address-set X-mobile address X-mobile-hPGW set security address-book global address-set X-mobile description hPLMN set security address-book global address Y-mobile-vMME-2a 20.20.20.1/32 set security address-book global address Y-mobile-vMME-2b 20.20.20.2/32 set security address-book global address Y-mobile-vSGW-2a 20.20.20.10/32 set security address-book global address Y-mobile-vSGW-2b 20.20.20.11/32 set security address-book global address-set Y-mobile address Y-mobile-vMME-2a set security address-book global address-set Y-mobile address Y-mobile-vMME-2b set security address-book global address-set Y-mobile address Y-mobile-vSGW-2a set security address-book global address-set Y-mobile address Y-mobile-vSGW-2b set security address-book global address-set Y-mobile description vPLMN2 set security address-book global address Z-mobile-vMME-3a 30.30.30.1/32 set security address-book global address Z-mobile-vMME-3b 30.30.30.2/32 set security address-book global address Z-mobile-vSGW-3a 30.30.30.10/32 set security address-book global address Z-mobile-vSGW-3b 30.30.30.11/32 set security address-book global address-set Z-mobile address Z-mobile-vMME-3a set security address-book global address-set Z-mobile address Z-mobile-vMME-3b set security address-book global address-set Z-mobile address Z-mobile-vSGW-3a set security address-book global address-set Z-mobile address Z-mobile-vSGW-3b set security address-book global address-set Z-mobile description vPLMN3 set security address-book global address-set as-AT address-set Z-mobile set security address-book global address-set as-AT address-set Y-mobile set security address-book global address-set as-AT address-set X-mobile set security gprs gtp handover-group hg-AT address-book global address-set as-AT set security gprs gtp profile Scenario-1 handover-on-roaming-intf set security gprs gtp profile Scenario-1 handover-group hg-AT set security zones security-zone vplmn set security zones security-zone hplmn set security policies from-zone vplmn to-zone hplmn policy ply-vh1 match source-address Y-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh2 match source-address Z-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh match destination-address X-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh match application junos-gprs-gtp set security policies from-zone vplmn to-zone hplmn policy ply-vh then permit application-services gprs-gtp-profile Scenario-1 set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match source-address X-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Y-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Z-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match application junos-gprs-gtp set security policies from-zone hplmn to-zone vplmn policy ply-vh-r then permit application-services gprs-gtp-profile Scenario-1
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para configurar el grupo de traspaso de GTP en un perfil GTP:
Especifique las direcciones en la libreta de direcciones.
[edit] user@host# set security address-book global address X-mobile-hMME 10.10.10.1/32 user@host# set security address-book global address X-mobile-hPGW 10.10.10.2/32 user@host# set security address-book global address-set X-mobile address X-mobile-hMME user@host# set security address-book global address-set X-mobile address X-mobile-hPGW user@host# set security address-book global address-set X-mobile description hPLMN user@host# set security address-book global address Y-mobile-vMME-2a 20.20.20.1/32 user@host# set security address-book global address Y-mobile-vMME-2b 20.20.20.2/32 user@host# set security address-book global address Y-mobile-vSGW-2a 20.20.20.10/32 user@host# set security address-book global address Y-mobile-vSGW-2b 20.20.20.11/32 user@host# set security address-book global address-set Y-mobile address Y-mobile-vMME-2a user@host# set security address-book global address-set Y-mobile address Y-mobile-vMME-2b user@host# set security address-book global address-set Y-mobile address Y-mobile-vSGW-2a user@host# set security address-book global address-set Y-mobile address Y-mobile-vSGW-2b user@host# set security address-book global address-set Y-mobile description vPLMN2 user@host# set security address-book global address Z-mobile-vMME-3a 30.30.30.1/32 user@host# set security address-book global address Z-mobile-vMME-3b 30.30.30.2/32 user@host# set security address-book global address Z-mobile-vSGW-3a 30.30.30.10/32 user@host# set security address-book global address Z-mobile-vSGW-3b 30.30.30.11/32 user@host# set security address-book global address-set Z-mobile address Z-mobile-vMME-3a user@host# set security address-book global address-set Z-mobile address Z-mobile-vMME-3b user@host# set security address-book global address-set Z-mobile address Z-mobile-vSGW-3a user@host# set security address-book global address-set Z-mobile address Z-mobile-vSGW-3b user@host# set security address-book global address-set Z-mobile description vPLMN3 user@host# set security address-book global address-set as-AT address-set X-mobile user@host# set security address-book global address-set as-AT address-set Y-mobile user@host# set security address-book global address-set as-AT address-set Z-mobile
Especifique el grupo de entrega.
user@host# set security gprs gtp handover-group hg-AT address-book global address-set as-AT
Configure los grupos de entrega en el perfil GTP.
user@host# set security gprs gtp profile Scenario-1 handover-on-roaming-intf user@host# set security gprs gtp profile Scenario-1 handover-group hg-AT
Configure zonas de seguridad para el perfil GTP.
user@host# set security zones security-zone vplmn user@host# set security zones security-zone hplmn
Defina políticas de seguridad para el perfil GTP.
set security policies from-zone vplmn to-zone hplmn policy ply-vh1 match source-address Y-mobile set security policies from-zone vplmn to-zone hplmn policy ply-vh2 match source-address Z-mobile user@host# set security policies from-zone vplmn to-zone hplmn policy ply-vh match destination-address X-mobile user@host# set security policies from-zone vplmn to-zone hplmn policy ply-vh then permit application-services gprs-gtp-profile Scenario-1 user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match source-address X-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Y-mobile set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match destination-address Z-mobile user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r match application junos-gprs-gtp user@host# set security policies from-zone hplmn to-zone vplmn policy ply-vh-r then permit application-services gprs-gtp-profile Scenario-1
Resultados
Desde el modo de configuración, ingrese el comando , show security address-book
y show security policies
para confirmar la show security gprs gtp profile
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security gprs gtp profile Scenario-1 { handover-on-roaming-intf; handover-group { hg-AT; } } handover-group hg-AT { address-book global { address-set { as-AT; } } }
[edit] user@host# show security address-book global { address X-mobile-hMME 10.10.10.1/32; address X-mobile-hPGW 10.10.10.2/32; address Y-mobile-vMME-2a 20.20.20.1/32; address Y-mobile-vMME-2b 20.20.20.2/32; address Y-mobile-vSGW-2a 20.20.20.10/32; address Y-mobile-vSGW-2b 20.20.20.11/32; address Z-mobile-vMME-3a 30.30.30.1/32; address Z-mobile-vMME-3b 30.30.30.2/32; address Z-mobile-vSGW-3a 30.30.30.10/32; address Z-mobile-vSGW-3b 30.30.30.11/32; address-set X-mobile { description hPLMN; address X-mobile-hMME; address X-mobile-hPGW; } address-set Y-mobile { description vPLMN2; address Y-mobile-vMME-2a; address Y-mobile-vMME-2b; address Y-mobile-vSGW-2a; address Y-mobile-vSGW-2b; } address-set Z-mobile { description vPLMN3; address Z-mobile-vMME-3a; address Z-mobile-vMME-3b; address Z-mobile-vSGW-3a; address Z-mobile-vSGW-3b; } address-set as-AT { address-set Z-mobile; address-set Y-mobile; address-set X-mobile; } }
[edit] user@host# show security policies from-zone vplmn to-zone hplmn { policy ply-vh { match { source-address [ Y-mobile Z-mobile ]; destination-address X-mobile; application junos-gprs-gtp; } then { permit { application-services { gprs-gtp-profile Scenario-1; } } } } } from-zone hplmn to-zone vplmn { policy ply-vh-r { match { source-address X-mobile; destination-address [ Y-mobile Z-mobile ]; application junos-gprs-gtp; } then { permit { application-services { gprs-gtp-profile Scenario-1; } } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente. El show security gprs gtp
comando muestra todos los grupos de entrega configurados para el perfil GTP Escenario-1.