Habilitación de la interoperabilidad de GTP entre redes 2G y 3G

Los elementos de información (IE) se incluyen en todos los paquetes de mensajes de control del protocolo de tunelización GPRS (GTP). Los IEs proporcionan información sobre túneles GTP, como creación, modificación, eliminación y estado. Junos OS admite IEs coherentes con el proyecto de asociación de tercera generación (3GPP) versión 6, versión 7, versión 8 y versión 9. Si tiene acuerdos contractuales con operadores que ejecutan versiones anteriores de 3GPP, puede reducir la sobrecarga de red mediante la restricción de mensajes de control que contienen IEs no compatibles.

Si se introduce un nuevo elemento de información (IE), no se producirá ninguna caída en los mensajes de GTP porque GTP pasa los mensajes, incluso si encuentra nuevos IEs desconocidos.

La función de eliminación de elementos de información (IEs) R6, R7, R8 y R9 del Proyecto de asociación de tercera generación (3GPP) le permite conservar la interoperabilidad en la itinerancia entre las redes 2GPP y 3GPP del proyecto de asociación de segunda generación. Puede configurar el dispositivo Juniper Networks consciente del protocolo de tunelización GPRS (GTP), que reside en el borde de una red móvil de tierra pública (PLMN) y un intercambio de roaming GPRS (GRX) y actúa como firewall gp, para eliminar atributos específicos de 3GPP del encabezado del paquete GTP cuando el paquete pasa a una red 2GPP. Puede configurar el dispositivo para eliminar las IEs de restricción RAT, RAI, Indicadores comunes, ULI, zona horaria MS, IMEI-SV y el nombre del punto de acceso (APN) de los mensajes GTP antes de reenviar estos mensajes al nodo de soporte GPRS de puerta de enlace (GGSN).

Junos OS admite todos los IEs 3GPP R6 para GTP, como se muestra en la Tabla 1.

Tabla 1: Elementos de información compatibles

Valor de tipo IE	Elemento de información
1	Causa
2	Identidad de suscriptor móvil internacional (IMSI)
3	Identidad de área de enrutamiento (REI)
4	Identidad de vínculo lógico temporal (TLLI)
5	Paquete TMSI (P-TMSI)
8	Reordenación necesaria
9	Triplete de autenticación
11	Causa del MAP
12	Firma de P-TMSI
13	MS validado
14	Recuperación
15	Modo de selección
16	Datos del identificador de punto de conexión de túnel I
17	Plano de control de identificador de punto de conexión de túnel
18	Datos de identificador de punto de conexión de túnel II
19	ID de desgarro
20	NSAPI
21	Causa de RANAP
22	Contexto de RAB
23	SMS de prioridad de radio
24	Prioridad de radio
25	ID de flujo de paquetes
26	Características de carga
27	Referencia de seguimiento
28	Tipo de seguimiento
29	Razón inalcanzable de MS
127	ID de carga
128	Dirección del usuario final
129	Contexto MM
130	Contexto de PDP
131	Nombre del punto de acceso
132	Opciones de configuración de protocolo
133	Dirección GSN
134	Número PSTN/ISDN internacional de MS (MSISDN)
135	Perfil de calidad del servicio
136	Quintuplet de autenticación
137	Plantilla de flujo de tráfico
138	Identificación de destino
139	Contenedor transparente UTRAN
140	Información de configuración de RAB
141	Lista de tipos de encabezado de extensión
142	Id de activación
143	Identidad de OMC
144	Contenedor transparente de RAN
145	Priorización del contexto del PDP
146	Información adicional de configuración de RAB
147	Número DE SGSN
148	Marcas comunes
149	Restricción de APN
150	LCS de prioridad de radio
151	Tipo de RAT
152	Información de ubicación del usuario
153	Zona horaria de MS
154	IMEI-SV
155	Contenedor de información de carga DE CAME
156	Contexto de UE DE MBMS
157	Identidad temporal de grupo móvil (TMGI)
158	Dirección de enrutamiento RIM
159	Opciones de configuración de protocolo MBMS
160	Área de servicio de MBMS
161	Información de contexto de PDCP TNC fuente
162	Información de seguimiento adicional
163	Contador de saltos
164	ID de PLMN seleccionado
165	Identificador de sesión MBMS
166	Indicador MBMS2G/3G
167	NSAPI mejorado
168	Duración de la sesión de MBMS
169	Información de seguimiento adicional de MBMS
173	Contenedor BSS
174	Identificación celular
175	Números de PDU
176	Causa BSSGP
178	Discriminación en la dirección de enrutamiento de RIM
179	Lista de pfcs de configuración
180	Parámetros XID de entrega de PS
188	INFORMACIÓN CONFIABLE DE TRASPASO DE INTER RAT
251	Dirección de puerta de enlace de carga
255	Extensión privada

Junos OS admite todos los IEs 3GPP R7 para GTP, como se muestra en la Tabla 2.

Tabla 2: Elementos de información compatibles

Valor de tipo IE	Elemento de información
172	Contexto de solicitud de traspaso de PS
181	Acción de informes de cambios en la información de MS
182	Indicadores de túnel directo
183	Id. de correlación
184	Modo de control de portador

Junos OS admite todos los IEs 3GPP R8 para GTP, como se muestra en la Tabla 3.

Tabla 3: Elementos de información compatibles

Valor de tipo IE	Elemento de información
189	Índice RFSP

Junos OS admite todos los IEs 3GPP R9 para GTP, como se muestra en la Tabla 4.

Tabla 4: Elementos de información compatibles

Valor de tipo IE	Elemento de información
190	Nombre de dominio completo (FQDN)
191	Prioridad de asignación/retención evolucionado 1
192	Prioridad de asignación/retención evolucionado 2
193	Indicadores comunes extendidos
194	Información de CSG del usuario (UCI)
195	Acción de informes de información de CSG
196	CSG ID
197	Indicación de membresía de CSG (CMI)
198	Velocidad de bits máxima agregada (AMBR)

En este ejemplo, se muestra cómo quitar los elementos de información R6 de los mensajes GTP.

La cantidad de elementos de red en una red móvil se está expandiendo con la introducción de varias versiones de las especificaciones de 3GPP. Cada versión presenta elementos de información (IE) más recientes que no se definen en las versiones anteriores. Por lo tanto, las redes móviles tienen diversos conjuntos de elementos de red que crean problemas de operabilidad entre diferentes versiones de los dispositivos. Puede configurar el firewall del protocolo de tunelización GPRS (GTP) para quitar elementos de información (IE) mediante la versión con el siguiente comando.

set security gprs gtp profile gtp1 remove-ie.

Sin embargo, los IEs más recientes que se introducirán en las próximas versiones también pueden causar problemas de interinidad. Cada elemento de información tiene un ID único, el número de IE. Los números de IE van del 1 al 255. Puede configurar el firewall GTP para eliminar IEs específicas mediante el número de IE configurado por el usuario.

Cuando configure la eliminación de IE, el firewall de GTP elimina los IEs correspondientes de los mensajes GTPv1; actualiza la longitud de los GTP, UDP e IP; y, luego, pasa el mensaje GTPv1. El firewall GTP también actualiza el código de comprobación de redundancia cíclica (CRC). La eliminación de IE por número de IE admite todos los IEs, que van del 1 al 255.

Puede quitar la configuración de eliminación de IE con los siguientes comandos:

delete security gprs gtp profile gtp1 remove-ie: elimina la configuración de eliminación de IE para el perfil GTP GTP1.

delete security gprs gtp profile gtp1 remove-ie version v1 number 4: elimina la configuración de eliminación de IE para el perfil de GTP con la versión v1 y el número de IE 4.

A partir de la versión 20.2R1, Junos OS admite la función de eliminación de IE para GTPv1-C y GTPv2-C.

En este ejemplo, se muestra cómo configurar la interfaz del protocolo de tunelización (GTP) GPRS del dispositivo de seguridad para quitar los IEs configurados por el usuario de los mensajes GTP.

Los elementos de información (IE) se incluyen en todos los paquetes de mensajes de control del protocolo de tunelización GPRS versión 2 (GTPv2). Los IEs proporcionan información sobre túneles GTPv2, como la creación, la modificación, la eliminación y el estado. El sistema operativo Junos (Junos OS) admite IEs coherentes con el proyecto de asociación de tercera generación (3GPP) versión 8.

A partir de la versión 20.2R1 de Junos OS, una nueva función de cumplimiento de IE, se admite la comprobación de IE obligatoria para comprobar la presencia de IEs que se deben contener en un mensaje GTP. La compatibilidad con una eliminación de IE de funciones existente se extiende de GTPv1-C a GTPv1-C y GTPv2-C.

Must-IE check: puede utilizar esta función para comprobar la presencia de IEs que se deben contener en un mensaje GTP. Es una función para comprobar la integridad del mensaje GTP. Las IE obligatorias no se limitan a los IE obligatorios en TS 3GPP. Puede definir cualquier IE como una IE obligatoria en un mensaje de acuerdo con sus versiones de GTPv1 o GTPv2 y las interfaces GTPv1 o GTPv2. El dispositivo comprueba la presencia de must-IEs de mensajes GTP específicos y reenvía los mensajes solo si hay IE obligatorias. Hemos implementado la comprobación de IE obligatoria con configuraciones flexibles de perfil de mensaje, lo que le ayuda a definir las IEs de los mensajes interesados. Junto con las configuraciones de perfil de mensaje adecuadas, la comprobación de IE obligatoria puede acomodar fácilmente cualquier versión de GTP, formato de mensaje o estado de IE.

IE removal: puede utilizar esta funcionalidad para conservar la interoperabilidad entre las redes del Proyecto de asociación de segunda generación (2GPP) y el Proyecto de asociación de tercera generación (3GPP). Puede quitar IEs de tipos específicos de todos los mensajes para GTPv1 y GTPv2. Cada elemento de información tiene un ID único, el número de IE. Los números de IE van del 1 al 255. Puede usar la eliminación de IE para configurar el firewall GTP para eliminar IE específicos mediante el número de IE configurado por el usuario. Permite la comunicación entre entidades GTP cuyos protocolos GTP son de distintas versiones. La eliminación de IE ayuda a eliminar todas las instancias de EI especificadas, como la compatibilidad con IE, IE agrupada, IE integrada o IE integrada agrupada.

RESUMEN  Puede habilitar esta función para comprobar la presencia de IEs en los mensajes GTPv1 y GTPv2. Esto ayuda a verificar la integridad del mensaje. Puede definir cualquier IE como una IE obligatoria en un mensaje de acuerdo con sus versiones de GTPv1 o GTPv2 y las interfaces GTPv1 o GTPv2. El dispositivo comprueba la presencia de must-IEs de mensajes GTP específicos y reenvía los mensajes solo si hay IE obligatorias.

RESUMEN  Puede habilitar esta función para quitar LOS de tipos específicos de todos los mensajes para GTPv1 y GTPv2. Esto ayuda a conservar la interoperabilidad entre las redes del Proyecto de Asociación de Segunda Generación (2GPP) y el Proyecto de Asociación de Tercera Generación (3GPP).

Un nombre de punto de acceso (APN) es un elemento de información (IE) incluido en el encabezado de un paquete de protocolo de tunelización GPRS (GTP) que proporciona información sobre cómo llegar a una red. Una APN consta de dos elementos:

• ID de red: identifica el nombre de una red externa, como example.com.

• ID de operador: identifica de forma exclusiva la red móvil terrestre pública (PLMN) de los operadores, como mnc123.mcc456.

De forma predeterminada, el dispositivo permite todas las APN. Sin embargo, puede configurar el dispositivo para que realice el filtrado de APN para restringir el acceso a los suscriptores itinerantes a redes externas.

Para habilitar el filtrado de APN, debe especificar una o más APN. Para especificar una APN, debe conocer el nombre de dominio de la red (por ejemplo, example.com) y, opcionalmente, el ID del operador. Dado que la parte del nombre de dominio (ID de red) de una APN puede ser potencialmente muy larga y contener muchos caracteres, puede usar el comodín (*) como el primer carácter de la APN. El comodín indica que la APN no solo está limitada a example.com, sino que también incluye todos los caracteres que pueden preceder a ella.

También puede establecer un modo de selección para la APN. El modo de selección indica el origen de la APN y si el Registro de ubicación principal (HLR) ha verificado la suscripción del usuario. Establezca el modo de selección según las necesidades de seguridad de su red. Los modos de selección posibles incluyen los siguientes:

• Estación móvil: APN proporcionada por estación móvil, suscripción no verificada.

  Este modo de selección indica que la estación móvil (MS) proporcionó el APN y que el HLR no verifica la suscripción del usuario a la red.

• Red: APN proporcionada por la red, suscripción no verificada.

  Este modo de selección indica que la red proporcionó una APN predeterminada porque el MS no especificó una y que el HLR no verificaba la suscripción del usuario a la red.

• Verificado: APN proporcionada por MS o red, suscripción verificada.

  Este modo de selección indica que el MS o la red proporcionaron el APN y que el HLR verificó la suscripción del usuario a la red.

El filtrado de APN solo se aplica a los mensajes de solicitud de creación-pdp. Cuando se realiza el filtrado de APN, el dispositivo inspecciona paquetes GTP para buscar APN que coincidan con las APN que establezca. Si la APN de un paquete GTP coincide con una APN que especificó, el dispositivo verifica el modo de selección y solo reenvía el paquete GTP si tanto la APN como el modo de selección coinciden con la APN y el modo de selección que especificó. Dado que el filtrado de APN se basa en coincidencias perfectas, usar el comodín (*) al establecer un sufijo APN puede impedir la exclusión inadvertida de las APN que de otro modo autorizaría.

Además, el dispositivo puede filtrar paquetes GTP según la combinación de un prefijo de identidad de suscriptor móvil internacional (IMSI) y una APN. Cuando se filtran paquetes GTP según un prefijo IMSI, también debe especificar una APN.

Una cadena APN no distingue mayúsculas de minúsculas. Por ejemplo, en el siguiente ejemplo, se establecen dos cadenas APN, WWW.EXAMPLE.COM y www.example.com, con el mismo valor de prefijo IMSI. En esta configuración, la cadena en minúscula se mostrará después de la cadena mayúscula y el paquete se quitará.

user@host# show configuration security gprs gtp | display set

set security gprs gtp profile test apn WWW.EXAMPLE.COM imsi-prefix * action pass

set security gprs gtp profile test apn www.example.com imsi-prefix * action drop

Si una APN está configurada con dos entradas de prefijo IMSI, el prefijo IMSI con la coincidencia más larga tiene prioridad. Por ejemplo, consulte la siguiente configuración:

user@host# show configuration security gprs gtp | display set

set security gprs gtp profile test apn WWW.EXAMPLE.COM imsi-prefix 12345678 action pass

set security gprs gtp profile test apn www.example.com imsi-prefix 12345 action drop

Si un valor de paquete entrante coincide con el valor del prefijo IMSI 12345678, el paquete pasará. El valor del prefijo IMSI 12345678 tiene prioridad sobre el valor de prefijo 12345 de IMSI, ya que el prefijo IMSI que coincide más largo tiene prioridad.

En este ejemplo, se muestra cómo establecer una APN GTP y un modo de selección.

Un nodo de soporte GPRS (GSN) identifica una estación móvil (MS) mediante su identidad de estación móvil internacional (IMSI). Un IMSI consta de tres elementos: el código de país móvil (MCC), el código de red móvil (MNC) y el número de identificación del suscriptor móvil (MSIN). La combinación de MCC y MNC constituye el prefijo de IMSI e identifica la red doméstica del suscriptor móvil o la red móvil de tierra pública (PLMN).

Al establecer prefijos de IMSI, puede configurar el dispositivo para que deniegue el tráfico del protocolo de tunelización (GTP) GPRS procedente de socios no itinerantes. De forma predeterminada, un dispositivo no realiza filtrado de prefijo IMSI en paquetes GTP. Al establecer prefijos IMSI, configura el dispositivo para filtrar mensajes de solicitud de creación-pdp y permitir solo paquetes GTP con prefijos IMSI que coincidan con los que establezca. El dispositivo permite paquetes GTP con prefijos IMSI que no coincidan con ninguno de los prefijos de IMSI que establezca. Para bloquear paquetes GTP con prefijos IMSI que no coincidan con ninguno de los prefijos de IMSI establecidos, utilice un comodín explícito para el filtro IMSI y la acción de colocación debe ser la última política de filtrado de prefijos IMSI.

Cuando se filtran paquetes GTP según un prefijo IMSI, también debe especificar una APN.

En este ejemplo, se muestra cómo establecer y combinar el prefijo IMSI y el filtro APN.

Un nodo de soporte GPRS (GSN) identifica una estación móvil (MS) mediante su identidad de suscriptor móvil internacional (IMSI). Un IMSI consta de tres elementos: el código de país móvil (MCC), el código de red móvil (MNC) y el número de identificación de suscriptor móvil (MSIN). El MCC es un número de tres dígitos, y el MNC es un número de dos dígitos o tres dígitos. La combinación de MCC y MNC constituye el prefijo de IMSI e identifica la red doméstica del suscriptor móvil o la red móvil de tierra pública (PLMN). Por lo tanto, el prefijo IMSI actúa como identificador PLMN y se utiliza para identificar socios de itinerancia válidos.

De forma predeterminada, un dispositivo no realiza filtrado de prefijo IMSI en paquetes del protocolo de tunelización GPRS versión 2 (GTPv2). Al establecer prefijos IMSI, configura el dispositivo para filtrar los mensajes de solicitud de creación-sesión y permitir solo paquetes GTPv2 con prefijos IMSI que coincidan con los que establece.

Cuando se filtran paquetes GTPv2 según un prefijo IMSI, también debe especificar un nombre de punto de acceso (APN).

Una APN es un elemento de información (IE) incluido en el encabezado de un paquete GTPv2 que proporciona información sobre cómo llegar a una red. Una APN consta de dos elementos:

• ID de red: identifica el nombre de una red externa, como example.com.

• ID de operador: identifica de forma exclusiva el PLMN de los operadores, como mnc123.mcc789.gprs.

Por ejemplo, example.com.mnc123.mcc789.gprs es una APN para llegar a la red example.com mediante el operador mnc123.mcc789.gprs.

De forma predeterminada, un dispositivo no realiza filtrado APN en paquetes GTPv2. Sin embargo, puede configurar el dispositivo para que realice el filtrado de APN para restringir el acceso a los suscriptores itinerantes a redes externas.

Puede usar la instrucción de set security gprs gtp profile profile name apn pattern-string imsi-prefix imsi-prefix-digits action (pass |drop |selection) configuración para filtrar paquetes según la combinación de un prefijo IMSI y una APN.

Para especificar una APN, debe conocer el ID de red o el nombre de dominio de la red (por ejemplo, example.com) y, opcionalmente, el ID del operador. Dado que la parte del ID de red de una APN puede ser muy larga, puede usar el comodín (*) como el primer carácter de la cadena APN. Por ejemplo, si usa *.example.com como ID de red, el comodín indica que la APN no solo está limitada a example.com, sino que también incluye todos los caracteres que pueden preceder a ella.

Puede utilizar la selection opción para establecer un modo de selección para la APN. El modo de selección indica el origen de la APN y si el Registro de ubicación principal (HLR) ha verificado la suscripción del usuario. Establezca el modo de selección según las necesidades de seguridad de su red. Los modos de selección posibles incluyen los siguientes:

• ms: APN proporcionada por MS, la suscripción no está verificada.

• neta: APN proporcionada por la red, la suscripción no está verificada.

• vrf: APN proporcionada por MS o proporcionada por red, se verifica la suscripción.

Puede usar la drop opción para eliminar todas las APN y la pass opción de pasar todas las APN para cualquier modo de selección.

Cuando se realiza el filtrado de APN, el dispositivo inspecciona los paquetes para buscar APN que coincidan con las APN que establezca. Si la APN de un paquete coincide con una APN que especificó, el dispositivo verifica el modo de selección y reenvía el paquete GTPv2.

El dispositivo solo reenvía el paquete GTPv2 si la APN y el modo de selección coinciden con la APN y el modo de selección que especificó.

Dado que el filtrado de APN se basa en coincidencias perfectas, usar el comodín (*) al establecer un sufijo APN puede impedir la exclusión inadvertida de las APN que de otro modo autorizaría.

El prefijo IMSI y el filtrado de APN se aplican solo a los mensajes de solicitud de creación de sesión.