サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

close
keyboard_arrow_left
list Table of Contents

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

ポリシーベースの GTP

date_range 11-Mar-21

GPRS トンネリング プロトコル(GTP)ポリシーには、トラフィックを許可、拒否、またはトンネルするルールが含されています。GTP ポリシー フィルタリングは、GTP トラフィックを調整したポリシーに対してすべての GTP パケットをチェックし、その後これらのポリシーに基づいてパケットを転送、ドロップ、トンネリングすることで実行します。

ポリシーベースの GTP について

デフォルトでは、モバイル デバイスが保護する PLMN(パブリック ジュニパーネットワークス ネットワーク)は Trust ゾーンにあります。デバイスは、Trust ゾーンの PLMN を他のゾーンの他の PLMN から保護します。Untrustゾーンの PLMN 保護に使用している PLMN はすべて、PLMN ごとにユーザー定義ゾーンを作成することもできます。PLMN は、1 つのプラットフォームまたはセキュリティ ゾーンを使用できます。

ゾーンと PLMN 間のトラフィック フローを可能にするポリシーを作成する必要があります。ポリシーには、トラフィックを許可、拒否、またはトンネルするルールが含まれている。このデバイスは、GTP トラフィックを調整するポリシーに対してすべての GTP パケットをチェックし、その後これらのポリシーに基づいてパケットを転送、ドロップ、トンネリングすることで、GPRS トンネリング プロトコル(GTP)ポリシー フィルタリングを実行します。

ポリシーで GTP サービスを選択すると、デバイスで GTP トラフィックの許可、拒否、トンネルが有効にできます。ただし、これではデバイスが GTP トラフィックを検査しません。デバイスで GTP トラフィックを検査するには 、GTPインスペクション オブジェクトとも呼ばれる GTP 設定をポリシーに適用する必要があります。

ポリシーごとに 1 つの GTP インスペクション オブジェクトのみ適用できますが、GTP インスペクション オブジェクトを複数のポリシーに適用できます。ポリシーを使用すると、サービング GPRS サポート ノード(SGSN)などの特定のピアからの GTP トンネルの確立を許可または拒否できます。

Junos OS リリース 19.4R1 から、IoT(Internet of Things)とローミング ファイアウォールの使用例に対応するために、次の SRX5000(SRX5400、SRX5600、SRX5800)、SRX4600 デバイスの SPU ごとの GTP トンネルの規模が増加しています。

表 1:

Platform

SRX5000 SPC2

SRX5000 SPC3

SRX4600

前の 19.4 トンネルの SPU 当たりのスケール

600,000,000

1.2M

40万台

SPC 当たりの 19.4 前のトンネルの規模

600K * 4

1.2M * 2

400k

19.4 以降 SPU 当たりのトンネル スケール

300 万

1200 万

400 万

19.4 以降 SPC 当たりのトンネル スケール

300 万 * 4

12M * 2

400 万

Junos OS リリース 20.1R1から、IoT(Internet of Things)とローミング ファイアウォールの使用事例を有効にするために、次の SRX デバイスでは GTP トンネルの規模が拡張されます。

表 2:

Platform

SRX1500

SRX4100

SRX4200

20.1 より前のトンネルのシステム当たりの規模

204800

409600

819200

20.1 以降 システム当たりのトンネル スケール

1024000

4096000

4096000

サポートvSRXのトンネル数は、使用可能なシステム メモリによって異なります。

表 3:

Platform

Memory

Tunnel Number

vSRX

4G/6G

40K

8G/10G/12G/14G

20万ドル

16G/20G/24G/28G

40万台

32G/40G/48G

800,000,000

56G/64G

1,600,000(1,600 万)

「任意」を送信元または宛先ゾーンとして指定するポリシー(ゾーン内のすべてのホストを含む)を設定し、複数の送信元と宛先のアドレスを指定するポリシーを設定できます。

ポリシーでは、トラフィックのロギングを有効にできます。

例: ポリシーでの GTP インスペクションの有効化

この例では、ポリシーで GTP インスペクションを有効にする方法を示しています。

要件

開始する前に、GTP が有効になっている後、デバイスを再起動する必要があります。デフォルトでは、デバイスで GTP は無効になっています。

概要

この例では、インターフェイスをge-0/0/1およびge-0/0/2として設定すると、アドレスは2.0.0.254/8および3.0.0.254/8です。次に、 セキュリティ ゾーン を設定し、アドレスを 2.0.0.5/32 および 3.0.0.6/32 として指定します。セキュリティ ポリシーで GTP サービスを有効にし、同じ PLMN 内の 2 つのネットワーク間の双方向トラフィックを許可できます。

構成

手順

CLI迅速な設定

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

content_copy zoom_out_map
set security gprs gtp profile gtp1
set interfaces ge-0/0/1 unit 0 family inet address 2.0.0.254/8 
set interfaces ge-0/0/2 unit 0 family inet address 3.0.0.254/8 
set security zones security-zone sgsn interfaces ge-0/0/1.0 host-inbound-traffic system-services all
set security zones security-zone sgsn host-inbound-traffic protocols all
set security zones security-zone ggsn interfaces ge-0/0/2.0 host-inbound-traffic system-services all
set security zones security-zone ggsn host-inbound-traffic protocols all
set security address-book global address local-sgsn 2.0.0.5/32
set security address-book global address remote-ggsn 3.0.0.6/32
set security policies from-zone sgsn to-zone ggsn policy sgsn_to_ggsn match source-address local-sgsn destination-address remote-ggsn application junos-gprs-gtp
set security policies from-zone sgsn to-zone ggsn policy sgsn_to_ggsn then permit application-services gprs-gtp-profile gtp1
set security policies from-zone ggsn to-zone sgsn policy ggsn_to_sgsn match source-address remote-ggsn destination-address local-sgsn application junos-gprs-gtp
set security policies from-zone ggsn to-zone sgsn policy ggsn_to_sgsn then permit application-services gprs-gtp-profile gtp1
手順

ポリシーで GTP インスペクションを設定するには、以下の手順に従います。

  1. GTPインスペクション オブジェクトを作成します。

    content_copy zoom_out_map
    [edit]
    user@host# set security gprs gtp profile gtp1
    
  2. インターフェイスを設定します。

    content_copy zoom_out_map
    [edit interfaces]
    user@host# set ge-0/0/1 unit 0 family inet address 2.0.0.254/8
    user@host# set ge-0/0/2 unit 0 family inet address 3.0.0.254/8
    
  3. セキュリティ ゾーンを設定します。

    content_copy zoom_out_map
    [edit security zones]
    user@host# set security-zone sgsn interfaces ge-0/0/1.0
    user@host# set security-zone sgsn host-inbound-traffic system-services all
    user@host# set security-zone sgsn host-inbound-traffic protocols all
    user@host# set security-zone ggsn interfaces ge-0/0/2.0
    user@host# set security-zone ggsn host-inbound-traffic system-services all
    user@host# set security-zone ggsn host-inbound-traffic protocols all
    
  4. アドレスを指定します。

    content_copy zoom_out_map
    [edit security address-book global]
    user@host# set address local-sgsn 2.0.0.5/32
    user@host# set address remote-ggsn 3.0.0.6/32
    
  5. セキュリティ ポリシーで GTP サービスを有効にする。

    content_copy zoom_out_map
    [edit security policies]
    user@host# set from-zone sgsn to-zone ggsn policy sgsn_to_ggsn match source-address local-sgsn destination-address remote-ggsn application junos-gprs-gtp
    user@host# set from-zone sgsn to-zone ggsn policy sgsn_to_ggsn then permit application-services gprs-gtp-profile gtp1
    user@host# set from-zone ggsn to-zone sgsn policy ggsn_to_sgsn match source-address remote-ggsn destination-address local-sgsn application junos-gprs-gtp
    user@host# set from-zone ggsn to-zone sgsn policy ggsn_to_sgsn then permit application-services gprs-gtp-profile gtp1
    
結果

設定モードから、 コマンドを入力して設定を確認 show security します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

この出力には、この例に関連する show 設定のみ含まれています。システム上のその他の構成は、入れ替え(... )

content_copy zoom_out_map
[edit]

user@host# show security
...
gprs {
gtp {
profile gtp1;
  }
}
zones {
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
  }
}
interfaces {
ge-0/0/1.0;
  }
}
...

host-inbound-traffic {
system-services {
all;
}
protocols {
all;
  }
}
interfaces {
ge-0/0/1.0;
  }
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
  }
}
interfaces {
ge-0/0/2.0;
   }
}
}
address-book {
global {
address local-sgsn 2.0.0.5/32;
address remote-ggsn 3.0.0.6/32;
   }
}
policies {
from-zone sgsn to-zone ggsn {
policy sgsn_to_ggsn {
match {
source-address local-sgsn;
destination-address remote-ggsn;
application junos-gprs-gtp;
}
then {
permit {
application-services {
gprs-gtp-profile gtp1;
   }
   }
  }
  }
}
from-zone ggsn to-zone sgsn {
policy ggsn_to_sgsn {
match {
source-address remote-ggsn;
destination-address local-sgsn;
application junos-gprs-gtp;
}
}
then {
permit {
application-services {
gprs-gtp-profile gtp1;
     }
     }
  }
  }
default-policy {
permit-all;
}
}
...

デバイスの設定が完了したら、設定モード commit から を入力します。

検証

設定が正常に機能されていることを確認します。

ポリシーでの GTP インスペクションの検証

目的

GTP インスペクションが有効になっているか検証します。

アクション

動作モードから コマンドを入力 show security します。

GTPインスペクション オブジェクトについて

デバイスが GPRS トンネリング プロトコル(GTP)トラフィックのインスペクションを実行するには、GTP インスペクション オブジェクトを作成してからポリシーに適用する必要があります。次のコマンドを使用して、 : という名前の GTP インスペクション オブジェクトを作成 la-ny set security gprs gtp profile la-ny します。GTP インスペクション オブジェクトは柔軟性が高く、さまざまな GTP 設定を適用する複数のポリシーを設定できます。送信元と宛先のゾーン、アドレス、アクションなどによって、GTP トラフィックを異なる方法で制御するデバイスを設定できます。

GTP 機能を設定するには、GTP 設定のコンテキストを入力する必要があります。デバイスに設定を保存CLI、まず GTP 設定を終了してから コマンドを入力 commit する必要があります。

例: GTPインスペクション オブジェクトの作成

この例では、GTPインスペクション オブジェクトを作成する方法を示しています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、LA-NY という名前の GTP インスペクション オブジェクトを作成します。ほとんどのデフォルト値を保持し、シーケンス番号の検証機能を有効にします。

構成

手順

手順

GTPインスペクション オブジェクトを設定するには、次の手順に示します。

  1. GTPインスペクション オブジェクトを作成します。

    content_copy zoom_out_map
    [edit]
    user@host# set security gprs gtp profile la-ny
    
  2. デバイスの設定が完了したら、設定をコミットします。

    content_copy zoom_out_map
    [edit]
    user@host# commit
    

検証

設定が正常に機能されていることを確認します。

GTPインスペクション オブジェクトの検証

目的

GTPインスペクション オブジェクトが有効になっているか検証します。

アクション

動作モードから コマンドを入力 show security gprs します。

GTPv2について

GPRS トンネリング プロトコル(GTP)は、サービス提供 GPRS サポート ノード(SGSN)とゲートウェイ GPRS サポート ノード(GGSN)との間で、個々のモバイル ステーション(MS)の GTP トンネルを確立します。GTP バージョン 2(GTPv2)は、リリース 11.4 Junos OSサポートされています。

GTPv2 は、第 3 世代パートナーシップ プロジェクト(3GPP)によって開発された第 4 世代(4G)無線ブロードバンド技術、LTE(長期進化)の一部です。3GPP は GPRS 規格を開発するための標準本体です。LTE は、モバイル 電話ネットワークの容量と速度を向上するように設計されています。GTPv2 は LTE ネットワーク用に設計されたプロトコルです。LTE ネットワークは、ネットワーク要素、LTE インターフェイス、プロトコルで構成されています。

GTPv0 と GTPv1 は、SGSN と GGSN を使用して実装されます。ただし GTPv2 では、従来の SGSN と GGSN が 3 つの論理ノード(サービス ゲートウェイ(SGW)、パケット データ ネットワーク ゲートウェイ(PGW)、モビリティ管理エンティティ(MME)に置き換えされます。

図 1 は 、パブリック ランド モバイル ネットワーク(PLMN)SRX シリーズ展開される LTE インターフェイスを示しています。

図 1:LTEインターフェイス LTE Interfaces
  • S5:このインターフェイスは、SGWとPGWを接続します。SGWとPGWの間で、ユーザープレーントンネリングとトンネル管理機能を提供します。また、ユーザー機器のモビリティや、非配置のPGWへのSGW接続が原因で発生するSGWの再配置にも使用されます。S5 インターフェイスは、第 3 世代(3G)モバイル ネットワークの Gn インターフェイスに相当します。

  • S8:このインターフェイスは、訪問した PLMN(VPLM)内の SGW と、ホーム PLMN(HPLMN)内の PGW を接続します。S8 は、S5 の PLMN 間の変種です。S8 インターフェイスは、3G モバイル ネットワークの Gp インターフェイスに相当します。

  • S4:このインターフェイスは、S4 SGSN と SGW を接続します。GPRS コア ネットワークと 3GPP アンカー機能との間で関連する制御およびモビリティー サポートを提供します。ダイレクト トンネリングが確立されていない場合は、ユーザー プレーン トンネリングも提供されます。S4 インターフェイスは、3G ネットワークと 4G ネットワーク間の相互運用性を提供する 3G モバイル ネットワークに同等のインターフェイスを備える必要があります。

ポリシーベースの GTPv2 について

GPRS トンネリング プロトコル バージョン 2(GTPv2)は、GTPv2 トラフィックを調整するセキュリティ ポリシーに対してすべての GTPv2 パケットをチェックするポリシー メカニズムを実装しています。セキュリティ ポリシーに基づき、パケットの転送、ドロップ、またはトンネリングが行います。

GTPv2 セキュリティ ポリシーにより、GTPv2 トラフィックの転送、拒否、トンネルが可能です。ただし、セキュリティ ポリシーでは、デバイスでの GTPv2 トラフィック インスペクションは有効ではありません。トラフィック インスペクションを有効にするには、GTPv2 インスペクション オブジェクトをセキュリティ ポリシーに適用する必要があります。GTPv2インスペクション オブジェクトは、GTPv2トラフィックを処理する一連の設定パラメータです。

セキュリティ ポリシーごとに適用できる GTPv2 インスペクション オブジェクトは 1 つのみです。ただし、インスペクション オブジェクトは複数のセキュリティ ポリシーに適用できます。

デフォルトでは、GTPv2 インスペクション オブジェクトはセキュリティ ポリシーに適用されません。インスペクション オブジェクトをセキュリティ ポリシーに明示的に適用する必要があります。

GTPv2セキュリティポリシーを使用すると、サービングゲートウェイ(SGW)などの特定のピアからのGTPv2トンネル確立を許可または拒否できます。複数の送信元と宛先のアドレス、アドレス グループ、またはゾーン全体を指定する GTPv2 セキュリティ ポリシーを設定できます。

例: ポリシーでのGTPv2インスペクションの有効化

この例では、ポリシーで GTPv2 インスペクションを有効にする方法を示しています。

要件

開始する前に、GTPv2 が有効になっている後、デバイスを再起動する必要があります。デフォルトでは、GTPv2はデバイスで無効になっています。

概要

この例では、インターフェイスをge-0/0/1およびge-0/0/2として設定し、それぞれインターフェイス アドレス4.0.0.254/8および5.0.0.254/8を割り当てします。次に、セキュリティ ゾーンを設定し、グローバル アドレスをそれぞれ 4.0.0.5/32、5.0.0.6/32 として指定します。セキュリティ ポリシーで GTPv2 インスペクションを有効にし、同じパブリック ランド モバイル ネットワーク(PLMN)内の 2 つのネットワーク間の双方向トラフィックを許可できます。

構成

手順

CLI迅速な設定

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

content_copy zoom_out_map
 set security gprs gtp profile gtp2
set interfaces ge-0/0/1 unit 0 family inet address 4.0.0.254/8 
set interfaces ge-0/0/2 unit 0 family inet address 5.0.0.254/8 
set security zones security-zone sgw1 interfaces ge-0/0/1.0 host-inbound-traffic system-services all
set security zones security-zone sgw1 host-inbound-traffic protocols all
set security zones security-zone pgw1 interfaces ge-0/0/2.0 host-inbound-traffic system-services all
set security zones security-zone pgw1 host-inbound-traffic protocols all
set security address-book global address local-sgw1 4.0.0.5/32
set security address-book global address remote-pgw1 5.0.0.6/32
set security policies from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 match source-address local-sgw1 destination-address remote-pgw1 application junos-gprs-gtp
set security policies from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 then permit application-services gprs-gtp-profile gtp2
set security policies from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 match source-address remote-pgw1 destination-address local-sgw1 application junos-gprs-gtp
set security policies from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 then permit application-services gprs-gtp-profile gtp2
手順

ポリシーで GTPv2 インスペクションを設定するには、以下の手順に従います。

  1. GTPv2 インスペクション オブジェクトを作成します。

    content_copy zoom_out_map
    [edit]
    user@host# set security gprs gtp profile gtp2
    
  2. インターフェイスを設定します。

    content_copy zoom_out_map
    [edit interfaces]
    user@host# set ge-0/0/1 unit 0 family inet address 4.0.0.254/8
    user@host# set ge-0/0/2 unit 0 family inet address 5.0.0.254/8
    
  3. セキュリティ ゾーンを設定します。

    content_copy zoom_out_map
    [edit security zones]
    user@host# set security-zone sgw1 interfaces ge-0/0/1.0
    user@host# set security-zone sgw1 host-inbound-traffic system-services all
    user@host# set security-zone sgw1 host-inbound-traffic protocols all
    user@host# set security-zone pgw1 interfaces ge-0/0/2.0
    user@host# set security-zone pgw1 host-inbound-traffic system-services all
    user@host# set security-zone pgw1 host-inbound-traffic protocols all
    
  4. アドレスを指定します。

    content_copy zoom_out_map
    [edit security address-book global]
    user@host# set address local-sgw1 4.0.0.5/32
    user@host# set address remote-pgw1 5.0.0.6/32
    
  5. セキュリティ ポリシーで GTPv2 インスペクションを有効にする。

    content_copy zoom_out_map
    [edit security policies]
    user@host# set from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 match source-address local-sgw1 destination-address remote-pgw1 application junos-gprs-gtp
    user@host# set from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 then permit application-services gprs-gtp-profile gtp2
    user@host# set from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 match source-address remote-pgw1 destination-address local-sgw1 application junos-gprs-gtp
    user@host# set from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 then permit application-services gprs-gtp-profile gtp2
    
結果

設定モードから、 コマンドを入力して設定を確認 show security policies します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

content_copy zoom_out_map
[edit]
user@host# show security policies
from-zone sgw1 to-zone pgw1 {
    policy sgw1_to_pgw1 {
    match {
    source-address local-sgw1;
        destination-address remote-pgw1;
        application junos-gprs-gtp;
        }
        then {
            permit {
            application-services {
            gprs-gtp-profile gtp2;
        }
        }
    }
    }
}
from-zone pgw1 to-zone sgw1 {
    policy pgw1_to_sgw1 {
    match {
    source-address remote-pgw1;
        destination-address local-sgw1;
        application junos-gprs-gtp;
    }
        then {
            permit {
            application-services {
            gprs-gtp-profile gtp2;
        }
    }
    }
    }
}
default-policy {
    permit-all;
}

デバイスの設定が完了したら、設定モード commit から を入力します。

検証

設定が正常に機能されていることを確認します。

ポリシーでのGTPv2インスペクションの検証

目的

GTPv2 インスペクションが有効になっているか検証します。

アクション

動作モードから コマンドを入力 show security policies します。

GTP パスの再起動について

GPRS トンネリング プロトコル(GTP)パスを再起動すると、2 台のデバイス間のすべての GTP トンネルが終了します。各 GTP ゲートウェイは、再起動番号に関連付けられている。GTP メッセージの復旧情報要素(IE)から再起動番号を取得できます。

再起動を検出するには、ローカルに保存された再起動番号と、新しく取得した再起動番号を比較します。ローカルに格納された再起動数は0以外の値であり、新しい再起動番号と一致しません。

設定ステートメントを使用 set security gprs gtp profile name restart-path (echo | create | all) して、GTP パスを再起動できます。

このコマンドを設定すると、デバイスがメッセージ内の Recovery IE から取得した変更された再起動番号を検知します。このオプションを使用して、Echo メッセージから新しい再起動番号を取得するオプション、セッション作成メッセージから再起動番号を取得するオプション、すべてのタイプの echo create all GTP メッセージから新しい再起動番号を取得するオプションを使用できます。

例: GTPv2 パスの再起動

この例では、GTPv2 パスを再起動する方法を示しています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では簡単に GTPv2 を使用しています。

この例では、gtp2 という名前の GTPv2 インスペクション オブジェクトの GTPv2 パスを再起動します。Echo メッセージで Recovery Information Element(IE)から新しい再起動番号を取得します。

構成

手順

手順

GTPv2 パスを再起動するには、次の方法に示します。

  1. GTPv2 プロファイルを指定します。

    content_copy zoom_out_map
    [edit]
    user@host# set security gprs gtp profile gtp2
    
  2. パスを再起動します。

    content_copy zoom_out_map
    [edit]
    user@host# set security gprs gtp profile gtp2 restart-path echo
    
  3. デバイスの設定が完了したら、設定をコミットします。

    content_copy zoom_out_map
    [edit]
    user@host# commit
    

検証

設定が正常に機能されていることを確認するには、 コマンドを入力 show security gprs します。

目的
アクション

GTPv2トンネルのクリーンアップについて

GPRS トンネリング プロトコル バージョン 2(GTPv2)トンネルを使用すると、GPRS サポート ノード(GSN)間で GTPv2 トラフィックを伝送できます。

トラフィックの送信中、GTPv2 トンネルがたつるしている理由は多数です。たとえば、delete-pdp-request メッセージがネットワークで失われたり、GSN が適切にシャットダウンされない場合があります。このような場合、自動または手動で、ぶら下がり GTPv2 トンネルを削除できます。

ぶら下がり GTPv2 トンネルを自動的に削除するには、デバイスに GTPv2 トンネル タイムアウト値を設定する必要があります。デバイスは、タイムアウト値によって指定された期間にアイドル状態にあるトンネルを自動的に識別して削除します。デフォルトの GTPv2 トンネル タイムアウト値は 36 時間です。

設定ステートメントを使用 set security gprs gtp profile name timeout して、 デバイスでこの値を設定できます。タイムアウト範囲は、1~1000時間です。

ハンギングされている GTPv2 トンネルを手動で削除するには、 動作モード コマンド clear security gprs gtp tunnel を使用する必要があります

例: GTPv2 トンネルのタイムアウト値の設定

この例では、GTPv2トンネルのタイムアウト値を設定する方法を示しています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、gtp2という名前のGTPv2インスペクション オブジェクトにトンネル タイムアウト値を40時間に設定します。

構成

手順

手順

GTPv2 トンネル タイムアウト値を設定するには、次の手順に示します。

  1. GTPv2 プロファイルを指定します。

    content_copy zoom_out_map
    [edit]
    user@host# set security gprs gtp profile gtp2
    
  2. タイムアウト値を指定します。

    content_copy zoom_out_map
    [edit]
    user@host# set security gprs gtp profile gtp2 timeout 40
    
  3. デバイスの設定が完了したら、設定をコミットします。

    content_copy zoom_out_map
    [edit]
    user@host# commit
    

検証

設定が正常に機能されていることを確認します。

GTPv2トンネル タイムアウト値の検証

目的

GTPv2トンネル タイムアウト値を検証します。

アクション

動作モードから コマンドを入力 show security gprs します。

GTPv2 トラフィック ロギングについて

コンソールまたは syslog を使用して、GPRS トンネリング プロトコル バージョン 2(GTPv2)のトラフィック ログを表示できます。GTPv2パケットのステータスに基づいてログを記録するデバイスを設定できます。GTPv2 パケット ステータスは以下のとおりです。

  • 転送 — 有効だったため、GTPv2 パケットが転送されました。

  • 状態が無効 : GTPv2 パケットが問題の検出またはステートフル インスペクションにより破棄されました。接続性チェックでエラーが発生した場合、パケットはエラーとしてマークされます。

  • 禁止 — メッセージ長、メッセージ タイプ、国際モバイル 加入者アイデンティティ(IMSI)プレフィックス チェックに失敗して、GTPv2 パケットがドロップされました。

  • レート制限:宛先 GPRS サポート ノード(GSN)の最大レート制限を超えたため、GTPv2 パケットがドロップされました。

デフォルトでは、デバイスで GTPv2 ロギングが無効になっています。設定ステートメントを使用 set security gprs gtp profile name log して、 デバイスで GTPv2 ロギングを有効にできます。

例: GTPv2 トラフィック ロギングの有効化

この例では、デバイスで GTPv2 トラフィック ロギングを有効にする方法を示しています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、転送された GTPv2 パケットに対して GTPv2 トラフィック ロギングを有効にします。

構成

手順

手順

転送された GTPv2 パケットに対して GTPv2 トラフィック ロギングを有効にするには、次の方法に示します。

  1. GTPv2 プロファイルを指定します。

    content_copy zoom_out_map
    [edit]
    user@host# set security gprs gtp profile gtp2
    
  2. GTPv2 転送パケットのロギングを有効にします。

    content_copy zoom_out_map
    [edit]
    user@host# set security gprs gtp profile gtp2 log forwarded basic
    
  3. デバイスの設定が完了したら、設定をコミットします。

    content_copy zoom_out_map
    [edit]
    user@host# commit
    

検証

設定が正常に機能されていることを確認するには、 コマンドを入力 show security gprs します。

external-footer-nav