GTP 트래픽 모니터링
GPRS 터널링 프로토콜(GTP)은 서비스 게이트웨이 GPRS 지원 노드(SGSN)와 게이트웨이 GPRS 지원 노드(GGSN) 및 SGSN 및 모바일 관리 엔터티(MME) 사이에 사용자 장비에 대한 GTP 터널을 설정합니다. SGSN은 사용자 장비로부터 패킷을 수신하고 GTP 헤더 내에 캡슐화한 다음 GTP 터널을 통해 GGSN으로 전달합니다. GGSN은 패킷을 수신하면 패킷을 디캡슐화하고 패킷을 외부 호스트로 전달합니다.
GTP-U 검사 이해하기
GPRS 터널링 프로토콜 사용자 플레인(GTP-U) 검사를 통해 GTP-U 패킷에 대한 보안 검사를 수행합니다. GTP-U 검사가 활성화되면 잘못된 GTP-U 패킷이 차단되고 GPRS 지원 노드(GSN)가 GTP-U 공격으로부터 보호됩니다.
GTP-U 검사가 활성화되고 디바이스 구성에 따라 GTP-U 검사에는 GTP-in-GTP 패킷에 대한 검사, 최종 사용자 권한 부여, 패킷 시퀀스 유효성 및 터널 유효성이 포함될 수 있습니다. 구성된 검사가 실패하면 GTP-U 패킷이 삭제됩니다.
GTP-U 배포가 비활성화되어 있는 동안 GTP-U 검사가 활성화된 경우 다음 메시지가 표시됩니다. GTP-U inspection is enabled, please enable GTP-U distribution to ensure that GTP-U packets are inspected by the proper inspectors, and avoid dropping GTP-U packets wrongly. Execute CLI “set security forwarding-process application-services enable-gtpu-distribution" to enable GTP-U distribution. GTP-U 검사를 활성화할 때 GTP-U 배포도 활성화해야 합니다.
Junos OS 릴리스 15.1X49-D100 및 Junos OS 릴리스 17.3R1부터 SRX5400, SRX5600 및 SRX5800 디바이스에서 GTP 프로필이 구성되면 GTP 모듈은 포트 2123 및 2152에서 오는 UDP 트래픽을 배포하기 위한 앵커 SPU를 선택합니다. GTP 프로필을 구성하지 않으면 GTP 모듈이 작동하지 않으며 포트 2123 및 2152에서 UDP 트래픽에 대한 앵커 SPU를 선택하지 않습니다.
다음 목록은 트래픽에서 수행되는 다양한 유형의 GTP-U 검사에 대해 설명합니다.
GTP-U tunnel check-GTP-U 모듈은 GTP-U 패킷이 GTP 터널과 일치하는지 확인합니다. GTP-U 패킷과 일치하는 터널이 없으면 GTP-U 패킷이 누락됩니다.
GTP-in-GTP check-SPU에서 GTP 모듈은 GTP-U 페이로드가 GTP 패킷이 아닌지 확인합니다. 페이로드가 GTP 패킷인 경우 GTP 패킷이 누락됩니다.
End-user address check-GTP-U 패킷에 대한 사용자 터널이 발견되면 GTP-U 모듈이 최종 사용자 주소를 확인합니다. GTP-U 페이로드 주소가 최종 사용자 주소와 일치하지 않으면 GTP-U 패킷이 삭제됩니다.
릴리스 15.1X49-D40 및 Junos OS 릴리스 17.3R1 Junos OS 시작하여 특정 시나리오에서 최종 사용자 주소는 GTP 생성 메시지에서 전달되지 않습니다. 예를 들어, DHCPv4가 IPv4 주소 할당에 사용되는 경우, GTP 생성 메시지의 IPv4 주소 필드는 으로
0.0.0.0설정됩니다. 사용자 장비와 GGSN/PGW는 DHCP 서버에서 주소를 얻습니다. 이 시나리오에서 GTP 모듈은 최종 사용자 주소 확인을 위한 주소를 얻을 수 없습니다. 이 구성이 활성화되면 GTP 생성 메시지가 삭제됩니다.Sequence number check-GTP-U 모듈은 GTP-U 패킷 시퀀스 번호를 GTP-U 터널에 저장된 시퀀스 번호와 비교합니다. 지정된 범위가 아닌 경우 GTP-U 패킷이 누락됩니다. 범위가 인 경우 GTP-U 터널은 시퀀스 번호를 새로 고치고 GTP-U 패킷이 통과하도록 허용합니다.
GTP-U 검사 종료 시 GTP-U 터널은 타이머와 카운터를 새로 고칩니다.
GTP 터널 개선 사항 이해하기
GPRS 터널링 프로토콜(GTP) 터널은 두 개의 호스트가 데이터를 교환하는 두 GPRS 지원 노드 사이의 채널입니다. GTP 터널은 GTP 컨트롤 플레인(GTP-C) 및 GTP 사용자 플레인(GTP-U)으로 구성됩니다. GTP-C는 게이트웨이 GPRS 지원 노드(GGSN)와 서비스 GPRS 지원 노드(SGSN) 간에 신호를 전송하는 데 사용되는 반면, GTP-U 터널은 여러 신호 인터페이스를 통해 사용자 플레인 트래픽을 캡슐화하고 라우팅하는 데 사용됩니다.
GTP 터널 시간 제한 문제를 방지하기 위해 GTP 터널 및 세션 수명을 업데이트하도록 GTP 처리가 향상되었습니다. GTP 터널 시간 제한 값은 GTP 프로파일에서 구성되고 GTP 사용자 플레인(GTP-U) 터널에 바인딩됩니다. 데이터 트래픽이 GTP-U 터널에 도달하고 GTP-U 터널이 유휴 상태일 때 타이머 값이 감소하면 타이머 값이 새로 고쳐집니다. GTP-C 터널에 바인딩된 모든 GTP-U 터널이 삭제되면 타이머 값이 0으로 감소하고 해당 GTP-C 터널도 삭제되면 GTP-U 터널은 삭제됩니다.
GTP-U 검사가 비활성화되면 타이머 값이 만료되고 터널을 통해 데이터 트래픽이 흐르는 경우에도 모든 GTP 터널 시간 초과 이후 데이터 트래픽이 GTP-U 터널을 새로 고칠 수 없습니다. 이 시나리오에서는 GTP 터널을 업데이트해야 하기 때문에 GTP-U 터널이 없으므로 디바이스는 업데이트 요청을 삭제합니다.
GTP 터널 시간 제한 문제를 피하기 위해 GTP 사용자 검증이 비활성화된 경우에도 GTP-U 트래픽은 GTP 터널을 새로 고칠 수 있습니다. GTP-U 트래픽은 GTPv0 터널이 아닌 GTPv1 및 GTPv2 터널만 새로 고칠 수 있습니다. GTP 터널의 set security forwarding-process application-services enable-gtpu-distribution 에이징 또는 만료를 방지하려면 명령을 구성해야 합니다.
GTP-U 터널에는 GTP-U 터널을 검사할 때 검사되는 세션 연결 플래그가 있습니다. 세션 연결 플래그가 터널에 존재하는 경우 타이머 값은 감소하지 않고 터널이 서비스 중인 동안 터널이 삭제되는 것을 방지합니다.
SRX5400, SRX5600 및 SRX5800 디바이스에서 SPU당 지원되는 GTP 터널 수는 SPC2 카드당 총 2,400,000개의 터널에서 SPU당 200,000개의 터널에서 600,000개의 터널로 증가합니다.
GTP 메시지에서 IP 주소 검증 이해하기
GP 또는 S8 인터페이스의 GPRS 터널링 프로토콜(GTP) 메시지의 IP 주소는 구성된 IP 그룹 목록으로 검증되어 공격을 방지합니다. IP 그룹 목록은 모든 종류의 네트워크 장비에 속하는 IP 주소 목록입니다. IP 그룹 목록에서 네트워크 장비에 속하는 IP 주소를 구성해야 합니다.
S8 - 이 인터페이스는 방문한 PLMN(VPLM)의 SGW와 HPLMN(home PLMN)에서 PGW를 연결합니다. S8은 S5의 PLMN 간 변형입니다. S8 인터페이스는 3G 모바일 네트워크의 Gp 인터페이스와 동일합니다.
GTP 방화벽은 GTP 메시지의 IP 주소와 구성된 IP 그룹 목록과 일치하는지 결정하고 다음 작업이 수행됩니다.
IP 그룹 목록에서 IP 주소가 발견되면 GTP 메시지가 유효한 것으로 간주되어 패킷 및 전달 엔진으로 전달됩니다.
IP 그룹 목록에서 IP 주소를 찾을 수 없으면 GTP 메시지가 누락됩니다.
GTP 메시지에서 IP 그룹 설정
IP 그룹은 모든 종류의 네트워크 장비에 속하는 IP 주소 목록입니다. IP 그룹 이름은 GTP 프로필에서 참조됩니다. GTP 방화벽은 표 2 및 표 3에 언급된 GPRS 터널링 프로토콜(GTP) 메시지의 수신 및 발신 IP 주소에 구성된 정책을 적용합니다.
예를 들어, 그림 1에서 클라이언트와 서버 간의 트래픽에는 구성된 두 개의 정책이 있습니다.
GTP Policy Out 은 클라이언트에서 서버로 트래픽을 위한 것입니다.
GTP Policy In 은(는) 서버에서 클라이언트로 트래픽을 위한 것입니다.
클라이언트와 서버의 모든 IP 주소는 IP 그룹 목록에서 구성해야 하며 및 GTP Policy In 정책에 바인딩 GTP Policy Out 해야 합니다.
서로 다른 IP 주소에 대해 두 가지 유형의 그룹이 도입됩니다. 하나는 NE IP 주소 그룹용이고, 다른 하나는 표 1에 나열된 사용자 장비(UE) IP 주소 그룹용입니다.
네트워크 유형 |
네트워크 장비 IP 주소 |
사용자 장비 IP 주소 |
|---|---|---|
2G(GPRS) 및 3G(UMTS) |
RNC, SGSN 및 GGSN |
최종 사용자 주소 |
4G(LTE) |
eNodeB, MME, SGW 및 PGW |
PDN 주소 할당(PAA) |
GTP 메시지가 메시지 처리기 단계에 오면 네트워크 장비 IP 주소 그룹 및 사용자 장비 IP 주소 그룹은 구문 분석 정보 요소 및 IP 주소 헤더 정보를 기반으로 각각 검증됩니다.
네트워크 장비 IP 주소 그룹: GTP 메시지의 IP 주소 헤더 및 정보 요소 IP 주소는 구성된 네트워크 장비 IP 주소 그룹 목록(존재하는 경우)과 비교됩니다. 구성된 NE IP 주소 그룹에서 NE IP 주소가 발견되면 데이터 패킷을 UE IP 주소 그룹으로 전달하여 다른 패킷을 삭제합니다.
사용자 장비 IP 주소 그룹: 모든 최종 사용자 IP 주소는 구성된 사용자 장비 IP 주소 그룹 목록에 대해 검증됩니다. 구성된 사용자 장비 IP 주소 그룹에서 사용자 장비 IP 주소가 발견되면 다른 사람이 패킷을 삭제하도록 전달합니다.
지원되는 GTP 메시지
Gp 또는 S8 인터페이스를 통과하는 메시지 유형이 많으며, 지원되는 GTP 메시지 중 일부는 다음과 같습니다.
메시지 유형 |
GTP 메시지 |
TS 29.060의 참조 |
|---|---|---|
1 |
에코 요청 |
7.4.1 |
2 |
에코 응답 |
7.4.2 |
16 |
PDP 컨텍스트 요청 생성 |
7.5.1 |
17 |
PDP 컨텍스트 응답 생성 |
7.5.2 |
18 |
PDP 컨텍스트 요청 업데이트 |
7.5.3 |
19 |
PDP 컨텍스트 응답 업데이트 |
7.5.4 |
20 |
PDP 컨텍스트 요청 삭제 |
7.5.5 |
21 |
PDP 컨텍스트 응답 삭제 |
7.5.6 |
22 |
AA PDP 컨텍스트 요청 생성 |
7.5.7 |
23 |
AA PDP 컨텍스트 응답 생성 |
7.5.8 |
24 |
AA PDP 컨텍스트 요청 삭제 |
7.5.9 |
25 |
AA PDP 컨텍스트 응답 삭제 |
7.5.10 |
메시지 유형 |
GTP 메시지 |
TS 29.060의 참조 |
|---|---|---|
1 |
에코 요청 |
7.2.1 |
2 |
에코 응답 |
7.2.2 |
16 |
PDP 컨텍스트 요청 생성 |
7.3.1 |
17 |
PDP 컨텍스트 응답 생성 |
7.3.2 |
18 |
PDP 컨텍스트 요청 업데이트 |
7.3.3 |
19 |
PDP 컨텍스트 응답 업데이트 |
7.3.4 |
20 |
PDP 컨텍스트 요청 삭제 |
7.3.5 |
21 |
PDP 컨텍스트 응답 삭제 |
7.3.6 |
메시지 유형 |
GTP 메시지 |
참조 3GPP TS 29.274 |
|---|---|---|
1 |
에코 요청 |
23.007 |
2 |
에코 응답 |
23.007 |
32 |
세션 요청 생성 |
29.274 |
33 |
세션 응답 생성 |
29.274 |
36 |
세션 요청 삭제 |
29.274 |
37 |
세션 응답 삭제 |
29.274 |
34 |
Bearer 요청 수정 |
29.274 |
35 |
Bearer 응답 수정 |
29.274 |
95 |
Bearer 요청 만들기 |
29.274 |
96 |
Bearer 응답 생성 |
29.274 |
97 |
Bearer 요청 업데이트 |
29.274 |
98 |
Bearer 응답 업데이트 |
29.274 |
99 |
Bearer 요청 삭제 |
29.274 |
100 |
Bearer 응답 삭제 |
29.274 |
IP 유효성과 관련된 IES
다음은 3GPP Gp 또는 S8 인터페이스에 속하는 정보 요소(IE) 메시지입니다.
IES는 Gp 또는 S8 인터페이스에 구성되며, 메시지에 예기치 않은 IE가 나타나면 무시될 수 있으며 NE IP 주소인 경우에도 확인하지 않을 수 있습니다.
GTP 메시지 |
주소 유형 |
IE 유형 |
|---|---|---|
PDP 컨텍스트 요청생성 AA PDP 컨텍스트 요청 생성 |
사용자트래픽에 대한 SGSN 주소 신호 전달을위한 최종 사용자 주소 SGSN 주소 |
최종 사용자 주소GSN 주소GSN 주소 |
PDP 컨텍스트 응답생성 AA PDP 컨텍스트 응답 생성 |
사용자 트래픽을 위한 GGSN 주소신호 전달을위한 최종 사용자 주소 GGSN 주소 |
최종 사용자 주소GSN 주소GSN 주소 |
PDP 컨텍스트 요청 업데이트 |
사용자 트래픽에 대한 SGSN 주소 신호 전달을위한 SGSN 주소 |
GSN 주소GSN 주소 |
PDP 컨텍스트 응답 업데이트 |
사용자 트래픽을 위한 GGSN 주소 신호 전달을 위한 GGSN 주소 |
GSN 주소GSN 주소 |
GTP 메시지 |
주소 유형 |
IE 유형 |
|---|---|---|
PDP 컨텍스트 요청 생성 |
사용자트래픽에 대한 SGSN 주소 신호 전달을위한 최종 사용자 주소 SGSN 주소 |
최종 사용자 주소GSN 주소GSN 주소 |
PDP 컨텍스트 응답 생성 |
사용자 트래픽에 대한 GGSN 주소 신호 전달을 위한 최종 사용자주소 GGSN 주소 컨트롤 플레인 대체 GGSN 주소에 대한 사용자 트래픽 대체 GGSN 주소 |
최종 사용자 주소GSN 주소GSN 주소GSN 주소GSN 주소 GSN 주소 |
PDP 컨텍스트 요청 업데이트(SGSN 시작) |
사용자 트래픽에 대한 SGSN 주소 신호 전달을 위한 SGSN 주소 컨트롤 플레인 대체 SGSN 주소를 위한 사용자 트래픽 대체 SGSN 주소 |
GSN 주소GSN 주소GSN 주소GSN 주소 |
PDP 컨텍스트 요청 업데이트(GGSN 시작) |
최종 사용자 주소 |
최종 사용자 주소 |
PDP 컨텍스트 응답 업데이트(GGSN별) |
사용자 트래픽을 위한 GGSN 주소 신호 전달을 위한 GGSN 주소 컨트롤 플레인 대체 GGSN 주소를 위한 사용자 트래픽 대체 GGSN 주소 |
GSN 주소GSN 주소GSN 주소GSN 주소 |
PDP 컨텍스트 응답 업데이트(SGSN별) |
사용자 트래픽을 위한 SGSN 주소 |
GSN 주소 |
GTP 메시지/베어러 컨텍스트 |
주소 유형 |
IE 유형 |
|---|---|---|
세션 요청 생성 |
컨트롤 플레인 PDN 주소 할당H(e)NB 로컬 IP 주소 MME/S4-SGSN 식별자를 위한 발신자 주소 |
F-TEIDPAAIP 주소IP 주소 |
세션 요청 만들기(베어러 컨텍스트 생성) |
S5/S8-U SGW F-TEID |
F-TEID |
세션 응답 생성 |
컨트롤 플레인 인터페이스PDN 주소 할당을 위한 PGW S5/S8 F-TEID |
F-TEIDPAA |
세션 응답 생성(베어러 컨텍스트 생성) |
S5/S8-U PGW F-TEID |
F-TEID |
Bearer 요청 만들기(Bearer 컨텍스트) |
S5/8U PGW F-TEID |
F-TEID |
Bearer 응답 생성 |
MME/S4-SGSN 식별자 |
IP 주소 |
Bearer 응답 생성(Bearer 컨텍스트) |
S5/8U SGW F-TEIDS5/8-U PGW F-TEID |
F-TEID F-TEID |
Bearer 요청 수정 |
컨트롤 플레인 H(e)NB 로컬 IP 주소 MME/S4-SGSN 식별자를 위한 발신자 주소 |
F-TEIDIP 주소IP 주소 |
Bearer 요청 수정(Bearer 컨텍스트) |
S5/8U SGW F-TEID |
F-TEID |
세션 요청 삭제 |
컨트롤 플레인을 위한 보낸 사람 주소 |
F-TEID |
Bearer 응답 삭제 |
MME/S4-SGSN 식별자 |
IP 주소 |
Bearer 응답 업데이트 |
MME/S4-SGSN 식별자 |
IP 주소 |
예: GTP 메시지에서 IP 주소의 유효성 구성
이 예는 GPRS 터널링 프로토콜(GTP) 메시지에서 IP 주소 유효성을 구성하는 방법을 보여줍니다.
요구 사항
Junos OS 릴리스 19.3R1 이상이 있는 디바이스를 SRX 시리즈. 이 구성 예는 Junos OS 릴리스 19.3R1에서 테스트됩니다.
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
SRX1500, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 및 vSRX 인스턴스 중 하나가 필요합니다.
인터넷에 연결해야 하는 사용자 장비. 또한 3G 또는 4G 모바일 코어 네트워크와 가정 및 방문 네트워크가 필요합니다.
개요
이 예에서는 GPRS 터널링 프로토콜(GTP) 메시지에서 IP 주소의 유효성을 구성합니다.
IP 그룹 목록에 구성된 IP 주소에 대해 GTP 메시지에서 수신 및 발신 패킷의 IP 주소를 검증함으로써 다양한 공격을 방지할 수 있습니다. IP 그룹은 모든 종류의 네트워크 장비에 속하는 IP 주소 목록입니다. IP 그룹 이름은 GTP 프로필에서 참조됩니다. GTP 방화벽은 GPRS 터널링 프로토콜(GTP) 메시지의 수신 및 발신 IP 주소에 구성된 정책을 적용합니다.
GTP 메시지에서 IP 주소 구성
CLI 빠른 구성
예의 이 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
절차
CLI 빠른 구성
set security gprs gtp profile gtp1 timeout 1 set security gprs gtp profile gtp1 log forwarded detail set security gprs gtp profile gtp1 log state-invalid detail set security gprs gtp profile gtp1 log prohibited detail set security gprs gtp profile gtp1 log gtp-u all set security gprs gtp profile gtp1 log gtp-u dropped set security gprs gtp profile gtp1 restart-path echo set security gprs gtp profile gtp1 req-timeout 30 set security gprs gtp traceoptions file debug_gtp set security gprs gtp traceoptions file size 1000m security gprs gtp traceoptions flag all set security gprs gtp gsn timeout 1 set security zones security-zone SGSN_1 set security zones security-zone SGSN_0 set security zones security-zone SGSN_2 set security address-book global address att-mme 192.0.2.0/24 set security address-book global address att-sgw 192.51.100.0/24 set security address-book global address china-mobile-pgw 203.0.113.0/24 set security address-book global address ue-mobile 203.0.113.1/24 set security address-book global address-set ne-group-as address china-mobile-pgw set security address-book global address-set ne-group-as address att-mme set security address-book global address-set ne-group-as address att-sgw set security address-book global address-set ue-group-as address ue-mobile set security gprs gtp ip-group ng1 address-book global address-set ne-group-as set security gprs gtp ip-group ug1 address-book global address-set ue-group-as set security gprs gtp profile gtp1 ne-group ng1 set security gprs gtp profile gtp1 ue-group ug1 set security policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match source-address any set security policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match destination-address any set security policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match application any set security policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 then permit application-services gprs-gtp-profile gtp1 set security policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match source-address any set security policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match destination-address any set security policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match application any set security policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN then permit application-services gprs-gtp-profile gtp1 set security policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match source-address any set security policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match destination-address any set security policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match application any set security policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 then permit application-services gprs-gtp-profile gtp1
GTP 메시지에서 IP 주소를 구성하려면,
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
단계별 절차
GTP 방화벽으로 가는 트래픽을 처리하도록 GTP 프로필을 구성합니다.
[edit security gprs] user@host# set gtp profile gtp1 timeout 1 user@host# set gtp profile gtp1 log forwarded detail user@host# set gtp profile gtp1 log state-invalid detail user@host# set gtp profile gtp1 log prohibited detail user@host# set gtp profile gtp1 log gtp-u all user@host# set gtp profile gtp1 log gtp-u dropped user@host# set gtp profile gtp1 restart-path echo user@host# set gtp profile gtp1 req-timeout 30 user@host# set gtp traceoptions file debug_gtp user@host# set gtp traceoptions file size 1000m user@host# set gtp traceoptions flag all user@host# set gtp gsn timeout 1
연결된 모든 인터페이스에 대한 모든 시스템 서비스에 대한 인바운드 및 아웃바운드 트래픽을 지원하도록 보안 영역을 구성합니다.
[edit security zones] user@host# set security-zone SGSN_1 user@host# set security-zone SGSN_0 user@host# set security-zone SGSN_2
글로벌 주소록에서 IP 주소를 지정하고, 이러한 IP 주소는 들어오거나 나가는 GTP 메시지의 IP 주소를 검증하는 데 사용됩니다.
[edit security address-book global] user@host# set address att-mme 192.0.2.0/24 user@host# set address att-sgw 192.51.100.0/24 user@host# set address china-mobile-pgw 203.0.113.0/24 user@host# set address ue-mobile 203.0.113.1/24 user@host# set address-set ne-group-as address china-mobile-pgw user@host# set address-set ne-group-as address att-mme user@host# set address-set ne-group-as address att-sgw user@host# set ddress-set ue-group-as address ue-mobile
IP 그룹 목록에 정의된 네트워크 장비 및 사용자 장비 IP 주소 그룹을 구성합니다. 이 IP 그룹 목록은 GTP 메시지에 사용됩니다.
[edit security gprs] user@host# set gtp ip-group ng1 address-book global address-set ne-group-as user@host# set gtp ip-group ug1 address-book global address-set ue-group-as
GTP 프로필을 네트워크 장비 및 사용자 장비 그룹에 적용합니다.
[edit security gprs] user@host# set gtp profile gtp1 ne-group ng1 user@host# set gtp profile gtp1 ue-group ug1
보안 정책에서 GTP 서비스를 활성화합니다.
[edit security] user@host# set policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match source-address any user@host# set policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match destination-address any user@host# set policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match application any user@host# set policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 then permit application-services gprs-gtp-profile gtp1 user@host# set policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match source-address any user@host# set policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match destination-address any user@host# set policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match application any user@host# set policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN then permit application-services gprs-gtp-profile gtp1 user@host# set policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match source-address any user@host# set policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match destination-address any user@host# set policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match application any user@host# set policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 then permit application-services gprs-gtp-profile gtp1
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show security gprs . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security gprs
gtp {
profile GTP {
timeout 1;
log {
forwarded detail;
state-invalid detail;
prohibited detail;
gtp-u all;
gtp-u dropped;
}
restart-path echo;
req-timeout 30;
}
profile gtp1 {
ne-group {
ng1;
}
ue-group {
ug1;
}
}
traceoptions {
file debug_gtp size 1000m;
flag all;
}
gsn {
timeout 1;
}
ip-group ng1 {
address-book global {
address-set {
ne-group-as;
}
}
}
ip-group ug1 {
address-book global {
address-set {
ue-group-as;
}
}
}
}
구성 모드에서 명령을 입력하여 구성을 확인합니다 show security zones . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security zones security-zone SGSN_1; security-zone SGSN_0; security-zone SGSN_2;
구성 모드에서 명령을 입력하여 구성을 확인합니다 show security address-book . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security address-book
global {
address att-mme 192.0.2.0/24;
address att-sgw 192.51.100.0/24;
address china-mobile-pgw 192.51.100.0/24;
address ue-mobile 203.0.113.1/24;
address-set ne-group-as {
address china-mobile-pgw;
address att-mme;
address att-sgw;
}
address-set ue-group-as {
address ue-mobile;
}
}
구성 모드에서 명령을 입력하여 구성을 확인합니다 show security policies . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone SGSN_1 to-zone SGSN_0 {
policy HSGSN_VSGSN1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
gprs-gtp-profile GTP;
}
}
}
}
}
from-zone SGSN_2 to-zone SGSN_0 {
policy VSGSN1_HSGSN {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
gprs-gtp-profile GTP;
}
}
}
}
}
from-zone SGSN_2 to-zone SGSN_1 {
policy HSGSN_VSGSN2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
gprs-gtp-profile GTP;
}
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
IP 그룹 확인
목적
IP 그룹이 구성되었는지 확인합니다.
작업
show security gprs gtp ip-group 명령을 사용하여 구성된 IP 그룹의 세부 정보를 얻을 수 있습니다.
All configured IP group:
Group name Address book name Address set name
ng1 global ne-group-as
ug1 global ue-group-as
GTP 프로필 확인
목적
GTP 프로필이 구성되었는지 확인합니다.
작업
show security gprs gtp configuration 1 명령을 사용하여 구성된 IP 그룹의 세부 정보를 얻을 수 있습니다.
Profile Details:
Index : 2
Min Message Length : 0
Max Message Length : 65535
Timeout : 24
Rate Limit : 0
Request Timeout : 5
Remove R6 : 0
Remove R7 : 0
Remove R8 : 0
Remove R9 : 0
Deny Nested GTP : 0
Validated : 0
Passive learning enable : 0
Restart Path : 0
Log Forwarded : 0
Log State Invalid : 0
Log Prohibited : 0
Log Ratelimited : 0
Frequency Number : 0
Drop AA Create PDU : 0
Drop AA Delete PDU : 0
Drop Bearer Resource : 0
Drop Change Notification : 0
Drop Config Transfer : 0
Drop Context : 0
Drop Create Bear : 0
Drop Create Data Forwarding : 0
Drop Create PDU : 0
Drop Create Session : 0
Drop Create Forwarding Tnl : 0
Drop CS Paging : 0
Drop Data Record : 0
Drop Delete Bearer : 0
Drop Delete Command : 0
Drop Delete Data Forwarding : 0
Drop Delete PDN : 0
Drop Delete PDP : 0
Drop Delete Session : 0
Drop Detach : 0
Drop Downlink Notification : 0
Drop Echo : 0
Drop Error Indication : 0
Drop Failure Report : 0
Drop FWD Access : 0
Drop FWD Relocation : 0
Drop FWD SRNS Context : 0
Drop G-PDU : 0
Drop Identification : 0
Drop MBMS Sess Start : 0
Drop MBMS Sess Stop : 0
Drop MBMS Sess Update : 0
Drop Modify Bearer : 0
Drop Modify Command : 0
Drop Node Alive : 0
Drop Note MS Present : 0
Drop PDU Notification : 0
Drop Ran Info : 0
Drop Redirection : 0
Drop Release Access : 0
Drop Relocation Cancel : 0
Drop Resume : 0
Drop Send Route : 0
Drop SGSN Context : 0
Drop Stop Paging : 0
Drop Supported Extension : 0
Drop Suspend : 0
Drop Trace Session : 0
Drop Update Bearer : 0
Drop Update PDN : 0
Drop Update PDP : 0
Drop Ver Not Supported : 0
Handover group name : N/A
NE group name : ng1
UE group name : ug1