Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtrado de mensajes GTPv1

Un paquete GTP contiene un cuerpo del mensaje y los encabezados GTP, UDP y los encabezados IP. Un paquete GTP se pasa o se pierde según los filtros de mensaje GTP. Los mensajes GTP se filtran según la longitud y el tipo de mensaje.

Descripción del filtrado de mensajes GTP

Cuando el dispositivo recibe un paquete de protocolo de tunelización GPRS (GTP), lo comprueba con las políticas configuradas en el dispositivo. Si el paquete coincide con una política, el dispositivo lo inspecciona según la configuración gtp aplicada a la política. Si el paquete no cumple con cualquiera de los parámetros de configuración gtp, el dispositivo pasará o soltará los paquetes según la configuración del objeto de inspección GTP.

Un paquete GTP consta del cuerpo del mensaje y tres encabezados: GTP, UDP e IP. Si el paquete IP resultante es mayor que la unidad de transmisión máxima (MTU) del vínculo de transferencia, el nodo de soporte GPRS de servicio (SGSN) de envío o nodo de soporte GPRS de puerta de enlace (GGSN) realiza una fragmentación de IP.

De forma predeterminada, el dispositivo almacena fragmentos de IP hasta que recibe un mensaje GTP completo y, a continuación, inspecciona el mensaje GTP.

Descripción del filtrado de longitud de mensaje GTP

Puede configurar el dispositivo para que suelte paquetes que no cumplan con las longitudes mínimas o máximas especificadas de mensajes. En el encabezado del protocolo de tunelización GPRS (GTP), el campo de longitud del mensaje indica la longitud, en octetos, de la carga GTP. No incluye la longitud del encabezado GTP, el encabezado UDP o el encabezado IP. Las longitudes predeterminadas mínimas y máximas de mensajes GTP son de 0 y 65,535 bytes, respectivamente.

Descripción del filtrado de tipo de mensaje GTP

Puede configurar el dispositivo para filtrar paquetes de protocolo de tunelización GPRS (GTP) y permitirlos o denegarlos según su tipo de mensaje. De forma predeterminada, el dispositivo permite todos los tipos de mensajes GTP.

Un tipo de mensaje GTP incluye uno o varios mensajes. Cuando permite o niega un tipo de mensaje, permite o niega automáticamente todos los mensajes del tipo especificado. Por ejemplo, si selecciona soltar el tipo de mensaje sgsn-context, por lo tanto, se dejan los mensajes sgsn-context-request, sgsn-context-response y sgsn-context-acknowledge.

Permite y niega tipos de mensajes basados en el número de versión GTP. Por ejemplo, puede denegar tipos de mensajes para una versión mientras los permite para la otra versión.

Ejemplo: Establecer el filtrado de longitud de mensaje GTP

En este ejemplo, se muestra cómo establecer las longitudes del mensaje GTP.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Visión general

En este ejemplo, se configura la longitud mínima del mensaje GTP en 8 octetos y la longitud máxima del mensaje GTP a 1200 octetos para el objeto de inspección GTP.

Configuración

Procedimiento

Procedimiento paso a paso

Para configurar las longitudes del mensaje GTP:

  1. Especifique el perfil GTP.

  2. Especifique la longitud mínima del mensaje.

  3. Especifique la longitud máxima del mensaje.

  4. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security gprs comando.

Tipos de mensaje GTP compatibles

En la tabla 1 se enumeran los mensajes gtp admitidos en las versiones 1997 y 1999 de GTP (incluidos los mensajes de carga para GTP) y los tipos de mensajes que puede utilizar para configurar el filtrado de mensajes de tipo GTP.

Tabla 1: Mensajes GTP

Mensaje

Tipo de mensaje

Versión 0

Versión 1

crear una solicitud de contexto AA pdp

create-aa-pdp

B

 

crear una respuesta de contexto AA pdp

create-aa-pdp

B

 

crear solicitud de contexto pdp

create-pdp

B

B

crear respuesta de contexto pdp

create-pdp

B

B

solicitud de registro de datos

registro de datos

B

B

respuesta de registro de datos

registro de datos

B

B

eliminar la solicitud de contexto PDP de AA

delete-aa-pdp

B

 

eliminar la respuesta de contexto Pdp de AA

delete-aa-pdp

B

 

eliminar solicitud de contexto pdp

delete-pdp

B

B

eliminar respuesta de contexto pdp

delete-pdp

B

B

solicitud de eco

Eco

B

B

respuesta de eco

Eco

B

B

indicación de error

indicación de error

B

B

solicitud de informe de fallas

informe de fallas

B

B

respuesta de informe de fallas

informe de fallas

B

B

solicitud de reubicación de reenvío

reubicación de fwd

B

B

respuesta de reubicación hacia adelante

reubicación de fwd

B

B

reubicación completa

reubicación de fwd

B

B

reconocimiento completo de la reubicación hacia adelante

reubicación de fwd

B

B

contexto de SRNS de reenvío

contexto de fwd-srns

B

B

reconocimiento del contexto de SRNS hacia adelante

contexto de fwd-srns

B

B

solicitud de identificación

Identificación

B

B

respuesta de identificación

Identificación

B

B

solicitud de nodo vivo

nodo vivo

B

B

respuesta viva de nodo

nodo vivo

B

B

nota solicitud actual de MS GPRS

note-ms-present

B

B

nota: respuesta actual de MS GPRS

note-ms-present

B

B

Solicitud de notificación de pdu

notificación de pdu

B

B

respuesta de notificación de pdu

notificación de pdu

B

B

Solicitud de rechazo de notificación pdu

notificación de pdu

B

B

respuesta de rechazo de notificación de pdu

notificación de pdu

B

B

Relé de información RAN

ran-info

B

B

solicitud de redirección

Redirección

B

B

respuesta de redirección

Redirección

B

B

solicitud de cancelación de reubicación

reubicación y cancelación

B

B

respuesta de cancelación de reubicación

reubicación y cancelación

B

B

solicitud de información de envío de ruta

ruta de envío

B

B

respuesta de información de ruta de envío

ruta de envío

B

B

solicitud de contexto sgsn

contexto sgsn

B

B

respuesta de contexto sgsn

contexto sgsn

B

B

el contexto sgsn reconoce

contexto sgsn

B

B

notificación de encabezados de extensión compatibles

extensión compatible

B

B

g-pdu

gtp-pdu

B

B

actualización de la solicitud de contexto pdp

update-pdp

B

B

respuesta de contexto pdp actualizada

update-pdp

B

B

versión no compatible

versión no compatible

B

B

Ejemplo: Filtrado de tipos de mensajes GTP

En este ejemplo, se muestra cómo permitir y denegar tipos de mensaje GTP.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Visión general

En este ejemplo, para el perfil gtp1, configure el dispositivo para que suelte los tipos de mensaje de indicación de error e informe de errores de la versión 1.

Configuración

Procedimiento

Procedimiento paso a paso

Para permitir y denegar tipos de mensajes GTP:

  1. Configure el dispositivo.

  2. Suelte la indicación de error.

  3. Suelte los mensajes de informe de fallas.

  4. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security gprs comando.

Descripción de la limitación de velocidad para mensajes de control GTP

Puede configurar el dispositivo para que limite la velocidad del tráfico de red que va a un nodo de soporte GPRS (GSN). Puede establecer umbrales separados, en paquetes por segundo, para el protocolo de tunelización GGSN, mensajes de control (GTP-C). Dado que los mensajes GTP-C requieren procesamiento y respuestas, pueden sobrecargar potencialmente un GSN. Al establecer un límite de velocidad en los mensajes GTP-C, puede proteger sus GSN de posibles ataques de denegación de servicio (DoS), como los siguientes:

  • Saturación del ancho de banda de la puerta de enlace de borde: un operador malicioso conectado al mismo intercambio de roaming GPRS (GRX) que su red móvil terrestre pública (PLMN) puede dirigir tanto tráfico de red a su puerta de enlace de borde que el tráfico legítimo no necesita ancho de banda dentro o fuera de su PLMN, lo que niega el acceso de itinerancia hacia o desde su red.

  • Inundación de GTP: el tráfico del protocolo de tunelización (GTP) de GPRS puede inundar un GSN y obligarlo a pasar sus ciclos de CPU procesando datos ilegítimos. Esto puede evitar que los suscriptores roaming y reenvío de datos a redes externas, y puede impedir que un Servicio general de radio de paquetes (GPRS) se conecte a la red.

Esta función limita la velocidad de tráfico que se envía a cada GSN desde el dispositivo Juniper Networks. La velocidad predeterminada es ilimitada.

Descripción de la limitación de velocidad de ruta para los mensajes de control GTP

Puede restringir el máximo de paquetes por segundo para mensajes de control específicos en una ruta de acceso en dispositivos SRX1500, SRX4100, SRX4200, SRX5400, SRX5600 y SRX5800. Estos mensajes de protocolo de tunelización GPRS (GTP) incluyen create-req, delete-req, y otros mensajes GTP. Sin embargo, puede restringir el máximo de paquetes por minuto para un echo-req mensaje GTP.

La path-rate-limit función controla mensajes GTP específicos tanto en las direcciones hacia adelante como hacia atrás. Se pueden configurar un umbral de caída y un umbral de alarma para cada mensaje de control en la dirección adelante y reversa para una ruta. Si los mensajes de control en una ruta alcanzan el umbral de alarma, se genera un registro de alarma. Si el número de mensajes de control recibidos alcanza el umbral de caída, se genera un registro de caída de paquetes y se pierden todos los demás mensajes de control de este tipo recibidos posteriormente.

Para controlar el tráfico de mensajes en las direcciones de avance y retroceso, configure una política en el dispositivo de modo que la dirección que sea coherente con la política configurada se defina como hacia adelante y la dirección opuesta se defina como inversa. Use la set security gprs gtp profile <profile-name> path-rate-limit instrucción para restringir el máximo de paquetes por segundo para mensajes de control específicos en una ruta.

Puede configurar las rate-limit opciones y las path-rate-limit opciones al mismo tiempo.

Ejemplo: Limitar la velocidad de mensajes y la velocidad de ruta para los mensajes de control GTP

En este ejemplo, se muestra cómo limitar la velocidad de mensajes y la velocidad de ruta para los mensajes de control GTP. La rate-limit opción limita los mensajes GTP por segundo y la opción controla los path-rate-limit mensajes GTP específicos tanto en las direcciones hacia adelante como hacia atrás.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • SRX5400 dispositivo

  • Junos OS versión 12.1X45-D10

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Visión general

En este ejemplo, se limita la velocidad de los mensajes GTP entrantes a 300 paquetes por segundo y se limita la velocidad de ruta de los mensajes de control GTP tanto en las direcciones hacia adelante como hacia atrás. Configure el dispositivo para limitar la velocidad del tráfico de red que va a un nodo de soporte GPRS (GSN) y restrinja el máximo de paquetes por segundo o por minuto para mensajes de control específicos en una ruta. Para create-reqlos mensajes , delete-reqy other GTP, restringe el máximo de paquetes por segundo. Sin embargo, para un echo-req mensaje GTP, restringe el máximo de paquetes por minuto.

La path-rate-limit función controla mensajes GTP específicos tanto en las direcciones hacia adelante como hacia atrás. Configure el alarm-threshold parámetro para configurar el dispositivo para que active una alarma cuando los mensajes de control GTP en una ruta hayan alcanzado el límite configurado. Configure el drop-threshold para que suelte tráfico cuando la cantidad de paquetes por segundo o por minuto supere el límite configurado.

Configuración

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento

Procedimiento paso a paso

Para configurar la velocidad de mensajes GTP y el límite de velocidad de ruta:

  1. Especifique el perfil GTP.

  2. Establezca el límite de velocidad de mensajes GTP.

  3. Especifique el tipo de mensaje para establecer el límite de velocidad de ruta para los mensajes de control GTP.

  4. Seleccione tipos de mensajes de control GTP.

  5. Establezca el umbral de alarma para los tipos de mensaje de control GTP.

  6. Limite los mensajes de control en la dirección hacia adelante.

  7. Limite los mensajes de control en la dirección inversa.

  8. Establezca el umbral de caída para los tipos de mensaje de control GTP.

  9. Limite los mensajes de control en la dirección hacia adelante.

  10. Limite los mensajes de control en la dirección inversa.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security gprs gtp profile profile-name configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar la configuración

Propósito

Compruebe que la velocidad de mensajes GTP y la configuración del límite de velocidad de ruta son correctas.

Acción

Desde el modo operativo, ingrese el show security gprs gtp counters path-rate-limit comando.

Significado

El show security gprs gtp counters path-rate-limit comando muestra el número de paquetes recibidos desde que se alcanzó el umbral de alarma o el valor de umbral de caída. Si configura el alarm-threshold valor como 50 y el drop-threshold valor como 80 para el mensaje Create Request, y si el dispositivo recibe 100 paquetes en un segundo o minuto, el número de caída será 20 y el número de alarma será 50.

Ejemplo: Habilitación de validación de números de secuencia GTP

En este ejemplo, se muestra cómo habilitar la función de validación del número de secuencia GTP.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Visión general

En este ejemplo, se establece el perfil gtp como gtp1 y también se habilita la función de validación de número de secuencia.

Configuración

Procedimiento

Procedimiento paso a paso

Para habilitar la función de validación del número de secuencia GTP:

  1. Establezca el perfil GTP.

  2. Habilite la validación del número de secuencia.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security gprs comando.