EN ESTA PÁGINA
Descripción de la limitación de velocidad para mensajes de control GTP
Descripción de la limitación de velocidad de ruta para los mensajes de control GTP
Ejemplo: Limitar la velocidad de mensajes y la velocidad de ruta para los mensajes de control GTP
Ejemplo: Habilitación de validación de números de secuencia GTP
Filtrado de mensajes GTPv1
Un paquete GTP contiene un cuerpo del mensaje y los encabezados GTP, UDP y los encabezados IP. Un paquete GTP se pasa o se pierde según los filtros de mensaje GTP. Los mensajes GTP se filtran según la longitud y el tipo de mensaje.
Descripción del filtrado de mensajes GTP
Cuando el dispositivo recibe un paquete de protocolo de tunelización GPRS (GTP), lo comprueba con las políticas configuradas en el dispositivo. Si el paquete coincide con una política, el dispositivo lo inspecciona según la configuración gtp aplicada a la política. Si el paquete no cumple con cualquiera de los parámetros de configuración gtp, el dispositivo pasará o soltará los paquetes según la configuración del objeto de inspección GTP.
Un paquete GTP consta del cuerpo del mensaje y tres encabezados: GTP, UDP e IP. Si el paquete IP resultante es mayor que la unidad de transmisión máxima (MTU) del vínculo de transferencia, el nodo de soporte GPRS de servicio (SGSN) de envío o nodo de soporte GPRS de puerta de enlace (GGSN) realiza una fragmentación de IP.
De forma predeterminada, el dispositivo almacena fragmentos de IP hasta que recibe un mensaje GTP completo y, a continuación, inspecciona el mensaje GTP.
Descripción del filtrado de longitud de mensaje GTP
Puede configurar el dispositivo para que suelte paquetes que no cumplan con las longitudes mínimas o máximas especificadas de mensajes. En el encabezado del protocolo de tunelización GPRS (GTP), el campo de longitud del mensaje indica la longitud, en octetos, de la carga GTP. No incluye la longitud del encabezado GTP, el encabezado UDP o el encabezado IP. Las longitudes predeterminadas mínimas y máximas de mensajes GTP son de 0 y 65,535 bytes, respectivamente.
Descripción del filtrado de tipo de mensaje GTP
Puede configurar el dispositivo para filtrar paquetes de protocolo de tunelización GPRS (GTP) y permitirlos o denegarlos según su tipo de mensaje. De forma predeterminada, el dispositivo permite todos los tipos de mensajes GTP.
Un tipo de mensaje GTP incluye uno o varios mensajes. Cuando permite o niega un tipo de mensaje, permite o niega automáticamente todos los mensajes del tipo especificado. Por ejemplo, si selecciona soltar el tipo de mensaje sgsn-context, por lo tanto, se dejan los mensajes sgsn-context-request, sgsn-context-response y sgsn-context-acknowledge.
Permite y niega tipos de mensajes basados en el número de versión GTP. Por ejemplo, puede denegar tipos de mensajes para una versión mientras los permite para la otra versión.
Ejemplo: Establecer el filtrado de longitud de mensaje GTP
En este ejemplo, se muestra cómo establecer las longitudes del mensaje GTP.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, se configura la longitud mínima del mensaje GTP en 8 octetos y la longitud máxima del mensaje GTP a 1200 octetos para el objeto de inspección GTP.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar las longitudes del mensaje GTP:
Especifique el perfil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Especifique la longitud mínima del mensaje.
[edit] user@host# set security gprs gtp profile gtp1 min-message-length 8
Especifique la longitud máxima del mensaje.
[edit] user@host# set security gprs gtp profile gtp1 max-message-length 1200
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security gprs
comando.
Tipos de mensaje GTP compatibles
En la tabla 1 se enumeran los mensajes gtp admitidos en las versiones 1997 y 1999 de GTP (incluidos los mensajes de carga para GTP) y los tipos de mensajes que puede utilizar para configurar el filtrado de mensajes de tipo GTP.
Mensaje |
Tipo de mensaje |
Versión 0 |
Versión 1 |
---|---|---|---|
crear una solicitud de contexto AA pdp |
create-aa-pdp |
B |
|
crear una respuesta de contexto AA pdp |
create-aa-pdp |
B |
|
crear solicitud de contexto pdp |
create-pdp |
B |
B |
crear respuesta de contexto pdp |
create-pdp |
B |
B |
solicitud de registro de datos |
registro de datos |
B |
B |
respuesta de registro de datos |
registro de datos |
B |
B |
eliminar la solicitud de contexto PDP de AA |
delete-aa-pdp |
B |
|
eliminar la respuesta de contexto Pdp de AA |
delete-aa-pdp |
B |
|
eliminar solicitud de contexto pdp |
delete-pdp |
B |
B |
eliminar respuesta de contexto pdp |
delete-pdp |
B |
B |
solicitud de eco |
Eco |
B |
B |
respuesta de eco |
Eco |
B |
B |
indicación de error |
indicación de error |
B |
B |
solicitud de informe de fallas |
informe de fallas |
B |
B |
respuesta de informe de fallas |
informe de fallas |
B |
B |
solicitud de reubicación de reenvío |
reubicación de fwd |
B |
B |
respuesta de reubicación hacia adelante |
reubicación de fwd |
B |
B |
reubicación completa |
reubicación de fwd |
B |
B |
reconocimiento completo de la reubicación hacia adelante |
reubicación de fwd |
B |
B |
contexto de SRNS de reenvío |
contexto de fwd-srns |
B |
B |
reconocimiento del contexto de SRNS hacia adelante |
contexto de fwd-srns |
B |
B |
solicitud de identificación |
Identificación |
B |
B |
respuesta de identificación |
Identificación |
B |
B |
solicitud de nodo vivo |
nodo vivo |
B |
B |
respuesta viva de nodo |
nodo vivo |
B |
B |
nota solicitud actual de MS GPRS |
note-ms-present |
B |
B |
nota: respuesta actual de MS GPRS |
note-ms-present |
B |
B |
Solicitud de notificación de pdu |
notificación de pdu |
B |
B |
respuesta de notificación de pdu |
notificación de pdu |
B |
B |
Solicitud de rechazo de notificación pdu |
notificación de pdu |
B |
B |
respuesta de rechazo de notificación de pdu |
notificación de pdu |
B |
B |
Relé de información RAN |
ran-info |
B |
B |
solicitud de redirección |
Redirección |
B |
B |
respuesta de redirección |
Redirección |
B |
B |
solicitud de cancelación de reubicación |
reubicación y cancelación |
B |
B |
respuesta de cancelación de reubicación |
reubicación y cancelación |
B |
B |
solicitud de información de envío de ruta |
ruta de envío |
B |
B |
respuesta de información de ruta de envío |
ruta de envío |
B |
B |
solicitud de contexto sgsn |
contexto sgsn |
B |
B |
respuesta de contexto sgsn |
contexto sgsn |
B |
B |
el contexto sgsn reconoce |
contexto sgsn |
B |
B |
notificación de encabezados de extensión compatibles |
extensión compatible |
B |
B |
g-pdu |
gtp-pdu |
B |
B |
actualización de la solicitud de contexto pdp |
update-pdp |
B |
B |
respuesta de contexto pdp actualizada |
update-pdp |
B |
B |
versión no compatible |
versión no compatible |
B |
B |
Ejemplo: Filtrado de tipos de mensajes GTP
En este ejemplo, se muestra cómo permitir y denegar tipos de mensaje GTP.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, para el perfil gtp1, configure el dispositivo para que suelte los tipos de mensaje de indicación de error e informe de errores de la versión 1.
Configuración
Procedimiento
Procedimiento paso a paso
Para permitir y denegar tipos de mensajes GTP:
Configure el dispositivo.
[edit] user@host# set security gprs gtp profile gtp1
Suelte la indicación de error.
[edit] user@host# set security gprs gtp profile gtp1 drop error-indication 1
Suelte los mensajes de informe de fallas.
[edit] user@host# set security gprs gtp profile gtp1 drop failure-report 1
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security gprs
comando.
Descripción de la limitación de velocidad para mensajes de control GTP
Puede configurar el dispositivo para que limite la velocidad del tráfico de red que va a un nodo de soporte GPRS (GSN). Puede establecer umbrales separados, en paquetes por segundo, para el protocolo de tunelización GGSN, mensajes de control (GTP-C). Dado que los mensajes GTP-C requieren procesamiento y respuestas, pueden sobrecargar potencialmente un GSN. Al establecer un límite de velocidad en los mensajes GTP-C, puede proteger sus GSN de posibles ataques de denegación de servicio (DoS), como los siguientes:
Saturación del ancho de banda de la puerta de enlace de borde: un operador malicioso conectado al mismo intercambio de roaming GPRS (GRX) que su red móvil terrestre pública (PLMN) puede dirigir tanto tráfico de red a su puerta de enlace de borde que el tráfico legítimo no necesita ancho de banda dentro o fuera de su PLMN, lo que niega el acceso de itinerancia hacia o desde su red.
Inundación de GTP: el tráfico del protocolo de tunelización (GTP) de GPRS puede inundar un GSN y obligarlo a pasar sus ciclos de CPU procesando datos ilegítimos. Esto puede evitar que los suscriptores roaming y reenvío de datos a redes externas, y puede impedir que un Servicio general de radio de paquetes (GPRS) se conecte a la red.
Esta función limita la velocidad de tráfico que se envía a cada GSN desde el dispositivo Juniper Networks. La velocidad predeterminada es ilimitada.
Descripción de la limitación de velocidad de ruta para los mensajes de control GTP
Puede restringir el máximo de paquetes por segundo para mensajes de control específicos en una ruta de acceso en dispositivos SRX1500, SRX4100, SRX4200, SRX5400, SRX5600 y SRX5800. Estos mensajes de protocolo de tunelización GPRS (GTP) incluyen create-req
, delete-req
, y otros mensajes GTP. Sin embargo, puede restringir el máximo de paquetes por minuto para un echo-req
mensaje GTP.
La path-rate-limit
función controla mensajes GTP específicos tanto en las direcciones hacia adelante como hacia atrás. Se pueden configurar un umbral de caída y un umbral de alarma para cada mensaje de control en la dirección adelante y reversa para una ruta. Si los mensajes de control en una ruta alcanzan el umbral de alarma, se genera un registro de alarma. Si el número de mensajes de control recibidos alcanza el umbral de caída, se genera un registro de caída de paquetes y se pierden todos los demás mensajes de control de este tipo recibidos posteriormente.
Para controlar el tráfico de mensajes en las direcciones de avance y retroceso, configure una política en el dispositivo de modo que la dirección que sea coherente con la política configurada se defina como hacia adelante y la dirección opuesta se defina como inversa. Use la set security gprs gtp profile <profile-name> path-rate-limit
instrucción para restringir el máximo de paquetes por segundo para mensajes de control específicos en una ruta.
Puede configurar las rate-limit
opciones y las path-rate-limit
opciones al mismo tiempo.
Ejemplo: Limitar la velocidad de mensajes y la velocidad de ruta para los mensajes de control GTP
En este ejemplo, se muestra cómo limitar la velocidad de mensajes y la velocidad de ruta para los mensajes de control GTP. La rate-limit
opción limita los mensajes GTP por segundo y la opción controla los path-rate-limit
mensajes GTP específicos tanto en las direcciones hacia adelante como hacia atrás.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
SRX5400 dispositivo
Junos OS versión 12.1X45-D10
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, se limita la velocidad de los mensajes GTP entrantes a 300 paquetes por segundo y se limita la velocidad de ruta de los mensajes de control GTP tanto en las direcciones hacia adelante como hacia atrás. Configure el dispositivo para limitar la velocidad del tráfico de red que va a un nodo de soporte GPRS (GSN) y restrinja el máximo de paquetes por segundo o por minuto para mensajes de control específicos en una ruta. Para create-req
los mensajes , delete-req
y other
GTP, restringe el máximo de paquetes por segundo. Sin embargo, para un echo-req
mensaje GTP, restringe el máximo de paquetes por minuto.
La path-rate-limit
función controla mensajes GTP específicos tanto en las direcciones hacia adelante como hacia atrás. Configure el alarm-threshold
parámetro para configurar el dispositivo para que active una alarma cuando los mensajes de control GTP en una ruta hayan alcanzado el límite configurado. Configure el drop-threshold
para que suelte tráfico cuando la cantidad de paquetes por segundo o por minuto supere el límite configurado.
Configuración
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit]
modo de configuración.
set security gprs gtp profile gtp1 rate-limit 300 set security gprs gtp profile gtp1 path-rate-limit message-type create-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type other alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type create-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type other drop-threshold forward 80 reverse 80
Procedimiento
Procedimiento paso a paso
Para configurar la velocidad de mensajes GTP y el límite de velocidad de ruta:
Especifique el perfil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Establezca el límite de velocidad de mensajes GTP.
[edit security gprs gtp profile gtp1] user@host# set rate-limit 300
Especifique el tipo de mensaje para establecer el límite de velocidad de ruta para los mensajes de control GTP.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type
Seleccione tipos de mensajes de control GTP.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type create-req user@host# set path-rate-limit message-type delete-req user@host# set path-rate-limit message-type echo-req user@host# set path-rate-limit message-type other
Establezca el umbral de alarma para los tipos de mensaje de control GTP.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req alarm threshold user@host# set message-type delete-req alarm threshold user@host# set message-type echo-req alarm threshold user@host# set message-type other alarm threshold
Limite los mensajes de control en la dirección hacia adelante.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold forward 50 user@host# set delete-req alarm threshold forward 50 user@host# set echo-req alarm threshold forward 50 user@host# set other alarm threshold forward 50
Limite los mensajes de control en la dirección inversa.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold reverse 50 user@host# set delete-req alarm threshold reverse 50 user@host# set echo-req alarm threshold reverse 50 user@host# set other alarm threshold reverse 50
Establezca el umbral de caída para los tipos de mensaje de control GTP.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req drop threshold user@host# set message-type delete-req drop threshold user@host# set message-type echo-req drop threshold user@host# set message-type other drop threshold
Limite los mensajes de control en la dirección hacia adelante.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold forward 80 user@host# set delete-req drop threshold forward 80 user@host# set echo-req drop threshold forward 80 user@host# set other drop threshold forward 80
Limite los mensajes de control en la dirección inversa.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold reverse 80 user@host# set delete-req drop threshold reverse 80 user@host# set echo-req drop threshold reverse 80 user@host# set other drop threshold reverse 80
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security gprs gtp profile profile-name
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security gprs gtp profile p1 rate-limit 300; path-rate-limit { message-type create-req { drop-threshold { forward 80; reverse 80; } alarm-threshold { forward 50; reverse 50; } } message-type delete-req { drop-threshold { forward 80; reverse 80; } alarm-threshold { forward 50; reverse 50; } } message-type echo-req { drop-threshold { forward 80; reverse 80; } alarm-threshold { forward 50; reverse 50; } } message-type other { drop-threshold { forward 80; reverse 80; } alarm-threshold { forward 50; reverse 50; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Verificar la configuración
Propósito
Compruebe que la velocidad de mensajes GTP y la configuración del límite de velocidad de ruta son correctas.
Acción
Desde el modo operativo, ingrese el show security gprs gtp counters path-rate-limit
comando.
Path-rate-limit counters: Drop Alarm Create Request 20 50 Delete Request 20 50 Echo Request 20 50 Others 20 50
Significado
El show security gprs gtp counters path-rate-limit
comando muestra el número de paquetes recibidos desde que se alcanzó el umbral de alarma o el valor de umbral de caída. Si configura el alarm-threshold
valor como 50 y el drop-threshold
valor como 80 para el mensaje Create Request, y si el dispositivo recibe 100 paquetes en un segundo o minuto, el número de caída será 20 y el número de alarma será 50.
Ejemplo: Habilitación de validación de números de secuencia GTP
En este ejemplo, se muestra cómo habilitar la función de validación del número de secuencia GTP.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, se establece el perfil gtp como gtp1 y también se habilita la función de validación de número de secuencia.
Configuración
Procedimiento
Procedimiento paso a paso
Para habilitar la función de validación del número de secuencia GTP:
Establezca el perfil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Habilite la validación del número de secuencia.
[edit] user@host# set security gprs gtp profile gtp1 seq-number-validated
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security gprs
comando.