EN ESTA PÁGINA
Ejemplo: configuración del filtrado de longitud de mensaje GTP
Descripción de la limitación de velocidad para mensajes de control GTP
Descripción de la limitación de velocidad de ruta para mensajes de control GTP
Ejemplo: limitar la velocidad de mensajes y la velocidad de ruta para mensajes de control GTP
Ejemplo: habilitación de la validación del número de secuencia GTP
Comportamiento que limita la velocidad de mensajes de GTP específica de la plataforma
Descripción general del filtro de mensajes GTPv1
Obtenga información sobre los filtros de mensajes GTPv1, incluidos los filtros de longitud y tipo de mensaje. En este tema se explica cómo los dispositivos procesan paquetes GTP, aplican políticas de inspección y aplican reglas de seguridad.
El paquete GTP contiene un cuerpo de mensaje y los encabezados GTP, UDP e IP. Un paquete GTP se pasa o se descarta en función de los filtros de mensajes GTP. Los mensajes GTP se filtran en función de la longitud y el tipo de mensaje.
Descripción del filtrado de mensajes GTP
Cuando el dispositivo recibe un paquete de protocolo de tunelización GPRS (GTP), comprueba el paquete con las políticas configuradas en el dispositivo. Si el paquete coincide con una política, el dispositivo inspecciona el paquete de acuerdo con la configuración de GTP aplicada a la política. Si el paquete no cumple alguno de los parámetros de configuración de GTP, el dispositivo pasará o descartará los paquetes según la configuración del objeto de inspección GTP.
Un paquete GTP consta del cuerpo del mensaje y tres encabezados: GTP, UDP e IP. Si el paquete IP resultante es mayor que la unidad máxima de transmisión (MTU) en el vínculo de transferencia, el nodo de soporte GPRS de servicio (SGSN) de envío o el nodo de soporte GPRS de puerta de enlace (GGSN) realiza una fragmentación de IP.
De forma predeterminada, el dispositivo almacena en búfer los fragmentos IP hasta que recibe un mensaje GTP completo y, a continuación, inspecciona el mensaje GTP.
Filtro de longitud de mensaje GTP
Los dispositivos se pueden configurar para descartar paquetes fuera de la longitud mínima o máxima permitida del mensaje. El campo de longitud del mensaje en el encabezado GTP indica el tamaño (en octetos) de la carga GTP, excluyendo los encabezados GTP, UDP e IP.
-
Longitud mínima predeterminada: 0 bytes
-
Longitud máxima predeterminada: 65.535 bytes
Filtro de tipo de mensaje GTP
Los dispositivos pueden permitir o denegar paquetes GTP en función de su tipo de mensaje. De forma predeterminada, se permiten todos los tipos de mensajes GTP.-
El filtrado se aplica a nivel de tipo de mensaje. Al denegar un tipo de mensaje (por ejemplo,
sgsn-context) se deniegan todos sus mensajes relacionados (request, response, acknowledge). -
El filtrado de tipo de mensaje puede variar según la versión de GTP. Por ejemplo, un tipo puede ser denegado en una versión, pero permitido en otra.
Ejemplo: configuración del filtrado de longitud de mensaje GTP
En este ejemplo se muestra cómo establecer las longitudes de los mensajes GTP.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, se configura la longitud mínima del mensaje GTP en 8 octetos y la longitud máxima del mensaje GTP en 1200 octetos para el objeto de inspección GTP.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar las longitudes de los mensajes GTP:
Especifique el perfil de GTP.
[edit] user@host# set security gprs gtp profile gtp1
Especifique la longitud mínima del mensaje.
[edit] user@host# set security gprs gtp profile gtp1 min-message-length 8
Especifique la longitud máxima del mensaje.
[edit] user@host# set security gprs gtp profile gtp1 max-message-length 1200
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security gprs comando.
Tipos de mensajes de GTP admitidos
En la tabla 1 se enumeran los mensajes de GTP admitidos en las versiones de GTP 1997 y 1999 (incluidos los mensajes de cobro para GTP) y los tipos de mensajes que puede utilizar para configurar el filtrado de tipo de mensaje de GTP.
Mensaje |
Tipo de mensaje |
Versión 0 |
Versión 1 |
|---|---|---|---|
crear solicitud de contexto PDP AA |
create-aa-pdp |
b |
|
crear una respuesta de contexto PDP de AA |
create-aa-pdp |
b |
|
Crear solicitud de contexto PDP |
create-pdp |
b |
b |
Crear respuesta de contexto PDP |
create-pdp |
b |
b |
Solicitud de registro de datos |
registro de datos |
b |
b |
Respuesta de registro de datos |
registro de datos |
b |
b |
eliminar solicitud de contexto PDP AA |
delete-aa-pdp |
b |
|
eliminar la respuesta de contexto del pdp AA |
delete-aa-pdp |
b |
|
Eliminar solicitud de contexto PDP |
delete-pdp |
b |
b |
Eliminar la respuesta de contexto del PDP |
delete-pdp |
b |
b |
solicitud de eco |
eco |
b |
b |
Respuesta de eco |
eco |
b |
b |
indicación de error |
indicación de error |
b |
b |
Solicitud de informe de error |
informe de fallas |
b |
b |
Respuesta al informe de error |
informe de fallas |
b |
b |
Solicitud de reenvío de reubicación |
FWD-Reubicación |
b |
b |
Respuesta de reubicación directa |
FWD-Reubicación |
b |
b |
Reubicación directa completada |
FWD-Reubicación |
b |
b |
Reubicación directa Reconocimiento completo |
FWD-Reubicación |
b |
b |
reenviar contexto SRNS |
fwd-srns-context |
b |
b |
reenviar reconocimiento del contexto de SRNS |
fwd-srns-context |
b |
b |
Solicitud de identificación |
identificación |
b |
b |
Respuesta de identificación |
identificación |
b |
b |
solicitud de nodo vivo |
nodo vivo |
b |
b |
Respuesta de nodo vivo |
nodo vivo |
b |
b |
nota MS GPRS presente solicitud |
nota-ms-presente |
b |
b |
nota MS GPRS respuesta actual |
nota-ms-presente |
b |
b |
Solicitud de notificación de PDU |
Notificación PDU |
b |
b |
Respuesta de notificación PDU |
Notificación PDU |
b |
b |
Solicitud de rechazo de notificación PDU |
Notificación PDU |
b |
b |
Respuesta de rechazo de notificación PDU |
Notificación PDU |
b |
b |
Relé de información de la RAN |
ran-info |
b |
b |
Solicitud de redirección |
redireccionamiento |
b |
b |
Respuesta de redirección |
redireccionamiento |
b |
b |
Solicitud de cancelación de reubicación |
reubicación-cancelación |
b |
b |
Respuesta de cancelación de reubicación |
reubicación-cancelación |
b |
b |
Enviar solicitud de información de ruta |
enviar ruta |
b |
b |
Enviar respuesta de información de ruta |
enviar ruta |
b |
b |
Solicitud de contexto SGSN |
sgsn-context |
b |
b |
Respuesta de contexto SGSN |
sgsn-context |
b |
b |
Reconocimiento de contexto de SGSN |
sgsn-context |
b |
b |
Notificación de encabezados de extensión admitidos |
extensión-compatible |
b |
b |
G-PDU |
gtp-pdu |
b |
b |
Solicitud de contexto de actualización de PDP |
update-pdp |
b |
b |
Respuesta de contexto PDP actualizada |
update-pdp |
b |
b |
Versión no compatible |
versión no compatible |
b |
b |
Ejemplo: filtrado de tipos de mensajes GTP
En este ejemplo se muestra cómo permitir y denegar tipos de mensajes GTP.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, para el perfil gtp1, configure el dispositivo para eliminar los tipos de mensaje de indicación de error e informe de errores para la versión 1.
Configuración
Procedimiento
Procedimiento paso a paso
Para permitir y denegar tipos de mensajes GTP:
Configure el dispositivo.
[edit] user@host# set security gprs gtp profile gtp1
Elimine la indicación de error.
[edit] user@host# set security gprs gtp profile gtp1 drop error-indication 1
Elimine los mensajes de informe de errores.
[edit] user@host# set security gprs gtp profile gtp1 drop failure-report 1
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security gprs comando.
Descripción de la limitación de velocidad para mensajes de control GTP
Puede configurar el dispositivo para limitar la velocidad del tráfico de red que va a un nodo de soporte GPRS (GSN). Puede establecer umbrales independientes, en paquetes por segundo, para los mensajes de control (GTP-C) del protocolo de tunelización GGSN. Debido a que los mensajes GTP-C requieren procesamiento y respuestas, pueden abrumar potencialmente a un GSN. Al establecer un límite de velocidad en los mensajes GTP-C, puede proteger sus GSN de posibles ataques de denegación de servicio (DoS) como los siguientes:
Saturación del ancho de banda de la puerta de enlace de frontera: un operador malintencionado conectado al mismo intercambio de itinerancia GPRS (GRX) que su red móvil terrestre pública (PLMN) puede dirigir tanto tráfico de red a su puerta de enlace fronteriza que el tráfico legítimo carece de ancho de banda dentro o fuera de su PLMN, negando así el acceso de roaming hacia o desde su red.
Inundación de GTP: el tráfico del protocolo de tunelización GPRS (GTP) puede inundar un GSN, lo que lo obliga a pasar sus ciclos de CPU procesando datos ilegítimos. Esto puede impedir que los suscriptores utilicen datos en itinerancia y reenvío a redes externas, y puede impedir que un servicio general de paquetes radio (GPRS) se conecte a la red.
Esta función limita la velocidad de tráfico que se envía a cada GSN desde el dispositivo de Juniper Networks. La tasa de incumplimiento es ilimitada.
Descripción de la limitación de velocidad de ruta para mensajes de control GTP
La path-rate-limit función controla mensajes GTP específicos tanto en la dirección hacia adelante como hacia atrás. Se puede configurar un umbral de caída y un umbral de alarma para cada mensaje de control en la dirección de avance e inversión para una ruta. Si los mensajes de control en una ruta alcanzan el umbral de alarma, se genera un registro de alarma. Si el número de mensajes de control recibidos alcanza el umbral de entrega, se genera un registro de entrega de paquetes y se descartan todos los demás mensajes de control de este tipo recibidos posteriormente.
Para controlar el tráfico de mensajes en las direcciones de avance e inverso, configure una directiva en el dispositivo de manera que la dirección coherente con la directiva configurada se defina como hacia adelante y la dirección opuesta se defina como inversa. Utilice la set security gprs gtp profile <profile-name> path-rate-limit instrucción para restringir el número máximo de paquetes por segundo para mensajes de control específicos en una ruta de acceso.
Puede configurar las rate-limit opciones y al path-rate-limit mismo tiempo.
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.
Revise la sección Comportamiento limitante de la velocidad de mensajes de GTP específico de la plataforma para obtener notas relacionadas con su plataforma.
Ejemplo: limitar la velocidad de mensajes y la velocidad de ruta para mensajes de control GTP
En este ejemplo se muestra cómo limitar la velocidad de mensajes y la velocidad de ruta de acceso para los mensajes de control GTP. La rate-limit opción limita los mensajes GTP por segundo y la path-rate-limit opción controla mensajes GTP específicos tanto en la dirección hacia adelante como hacia atrás.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Junos OS versión 12.1X45-D10
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, se limita la velocidad de los mensajes GTP entrantes a 300 paquetes por segundo y se limita la velocidad de ruta de los mensajes de control GTP en las direcciones de avance e inverso. Configure el dispositivo para limitar la velocidad de tráfico de red que va a un nodo de soporte GPRS (GSN) y restrinja el número máximo de paquetes por segundo o por minuto para mensajes de control específicos en una ruta de acceso. Para create-reqlos mensajes , delete-req, GTP se other restringe el número máximo de paquetes por segundo. Sin embargo, para un echo-req mensaje GTP, se restringe el número máximo de paquetes por minuto.
La path-rate-limit función controla mensajes GTP específicos tanto en la dirección hacia adelante como hacia atrás. Configure el alarm-threshold parámetro para configurar el dispositivo para que genere una alarma cuando los mensajes de control GTP en una ruta hayan alcanzado el límite configurado. Configure el para eliminar el drop-threshold tráfico cuando el número de paquetes por segundo o por minuto supere el límite configurado.
Configuración
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security gprs gtp profile gtp1 rate-limit 300 set security gprs gtp profile gtp1 path-rate-limit message-type create-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type other alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type create-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type other drop-threshold forward 80 reverse 80
Procedimiento
Procedimiento paso a paso
Para configurar la velocidad de mensajes de GTP y el límite de velocidad de ruta:
Especifique el perfil de GTP.
[edit] user@host# set security gprs gtp profile gtp1
Establezca el límite de velocidad de mensajes de GTP.
[edit security gprs gtp profile gtp1] user@host# set rate-limit 300
Especifique el tipo de mensaje para establecer el límite de velocidad de ruta de acceso para los mensajes de control GTP.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type
Seleccione Tipos de mensajes de control GTP.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type create-req user@host# set path-rate-limit message-type delete-req user@host# set path-rate-limit message-type echo-req user@host# set path-rate-limit message-type other
Establezca el umbral de alarma para los tipos de mensajes de control GTP.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req alarm threshold user@host# set message-type delete-req alarm threshold user@host# set message-type echo-req alarm threshold user@host# set message-type other alarm threshold
Limite los mensajes de control en la dirección de avance.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold forward 50 user@host# set delete-req alarm threshold forward 50 user@host# set echo-req alarm threshold forward 50 user@host# set other alarm threshold forward 50
Limite los mensajes de control en la dirección inversa.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold reverse 50 user@host# set delete-req alarm threshold reverse 50 user@host# set echo-req alarm threshold reverse 50 user@host# set other alarm threshold reverse 50
Establezca el umbral de colocación para los tipos de mensajes de control GTP.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req drop threshold user@host# set message-type delete-req drop threshold user@host# set message-type echo-req drop threshold user@host# set message-type other drop threshold
Limite los mensajes de control en la dirección de avance.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold forward 80 user@host# set delete-req drop threshold forward 80 user@host# set echo-req drop threshold forward 80 user@host# set other drop threshold forward 80
Limite los mensajes de control en la dirección inversa.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold reverse 80 user@host# set delete-req drop threshold reverse 80 user@host# set echo-req drop threshold reverse 80 user@host# set other drop threshold reverse 80
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security gprs gtp profile profile-name comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security gprs gtp profile p1
rate-limit 300;
path-rate-limit {
message-type create-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type delete-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type echo-req {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
message-type other {
drop-threshold {
forward 80;
reverse 80;
}
alarm-threshold {
forward 50;
reverse 50;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Verificación de la configuración
Propósito
Compruebe que la configuración correcta de la velocidad de mensajes de GTP y del límite de velocidad de rutas.
Acción
Desde el modo operativo, ingrese el show security gprs gtp counters path-rate-limit comando.
Path-rate-limit counters:
Drop Alarm
Create Request 20 50
Delete Request 20 50
Echo Request 20 50
Others 20 50
Significado
El show security gprs gtp counters path-rate-limit comando muestra el número de paquetes recibidos desde que se alcanzó el umbral de alarma o el valor de umbral de entrega. Si configura el alarm-threshold valor como 50 y el drop-threshold valor como 80 para el mensaje Crear solicitud, y si el dispositivo recibe 100 paquetes en un segundo o minuto, el número de caída será 20 y el número de alarma será 50.
Ejemplo: habilitación de la validación del número de secuencia GTP
En este ejemplo se muestra cómo habilitar la característica de validación de números de secuencia GTP.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, el perfil gtp se establece como gtp1 y también se habilita la función de validación de número de secuencia.
Configuración
Procedimiento
Procedimiento paso a paso
Para activar la función de validación de números de secuencia GTP:
Establezca el perfil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Habilite la validación del número de secuencia.
[edit] user@host# set security gprs gtp profile gtp1 seq-number-validated
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security gprs comando.
Comportamiento que limita la velocidad de mensajes de GTP específica de la plataforma
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.
Use la tabla siguiente para revisar los comportamientos de los medios de almacenamiento específicos de la plataforma para su plataforma:
| Plataforma |
Diferencia |
|---|---|
| Serie SRX |
|