Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

GTPv1 메시지 필터 개요

메시지 길이 및 메시지 유형 필터를 포함한 GTPv1 메시지 필터에 대해 알아보십시오. 이 주제에서는 디바이스가 GTP 패킷을 처리하고, 검사 정책을 적용하며, 보안 규칙을 적용하는 방법을 설명합니다.

GTP 패킷에는 메시지 본문과 GTP, UDP 및 IP 헤더가 포함되어 있습니다. GTP 패킷은 GTP 메시지 필터를 기반으로 전달되거나 삭제됩니다. GTP 메시지는 메시지 길이 및 메시지 유형을 기준으로 필터링됩니다.

GTP 메시지 필터링 이해하기

디바이스가 GPRS 터널링 프로토콜(GTP) 패킷을 수신하면 디바이스에 구성된 정책에 대해 패킷을 확인합니다. 패킷이 정책과 일치하는 경우 디바이스는 정책에 적용된 GTP 구성에 따라 패킷을 검사합니다. 패킷이 GTP 구성 매개 변수를 충족하지 못하면 디바이스는 GTP 검사 개체의 구성에 따라 패킷을 통과하거나 삭제합니다.

GTP 패킷은 메시지 본문과 3개의 헤더(GTP, UDP 및 IP)로 구성됩니다. 결과 IP 패킷이 전송 링크의 최대 전송 단위(MTU)보다 크면 전송 서비스 GPRS 지원 노드(SGSN) 또는 게이트웨이 GPRS 지원 노드(GGSN)가 IP 단편화를 수행합니다.

기본적으로 디바이스는 완전한 GTP 메시지를 수신할 때까지 IP 조각을 버퍼링한 다음 GTP 메시지를 검사합니다.

GTP 메시지 길이 필터

허용된 최소 또는 최대 메시지 길이를 벗어난 패킷을 드롭하도록 디바이스를 구성할 수 있습니다. GTP 헤더의 메시지 길이 필드는 GTP, UDP 및 IP 헤더를 제외한 GTP 페이로드의 크기(옥텟)를 나타냅니다.

  • 기본 최소 길이: 0바이트

  • 기본 최대 길이: 65,535바이트

GTP 메시지 유형 필터

디바이스는 메시지 유형에 따라 GTP 패킷을 허용하거나 거부할 수 있습니다. 기본적으로 모든 GTP 메시지 유형이 허용됩니다.

  • 필터링은 메시지 유형 수준에서 적용됩니다. 하나의 메시지 유형(예: )을 거부하면 sgsn-context관련된 모든 메시지가 거부됩니다(request, response, acknowledge).

  • 메시지 유형 필터링은 GTP 버전에 따라 다를 수 있습니다. 예를 들어 형식이 한 버전에서는 거부되지만 다른 버전에서는 허용될 수 있습니다.

예: GTP 메시지 길이 필터링 설정

이 예는 GTP 메시지 길이를 설정하는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 GTP 검사 객체에 대해 최소 GTP 메시지 길이를 8 옥텟으로, 최대 GTP 메시지 길이를 1200 옥텟으로 구성합니다.

구성

절차

단계별 절차

GTP 메시지 길이를 구성하려면:

  1. GTP 프로필을 지정합니다.

  2. - 최소 메시지 길이를 지정합니다.

  3. 최대 메시지 길이를 지정합니다.

  4. 디바이스 구성을 완료하면 해당 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security gprs .

지원되는 GTP 메시지 유형

표 1에는 GTP 릴리스 1997 및 1999에서 지원되는 GTP 메시지(GTP에 대한 과금 메시지 포함)와 GTP 메시지 유형 필터링을 구성하는 데 사용할 수 있는 메시지 유형이 나와 있습니다.

표 1: GTP 메시지

메시지

메시지 유형

버전 0

버전 1

AA pdp 컨텍스트 요청 만들기

aa-pdp 만들기

b

  

AA PDP 컨텍스트 응답 만들기

aa-pdp 만들기

b

  

PDP 컨텍스트 요청 만들기

create-pdp

b

b

PDP 컨텍스트 응답 만들기

create-pdp

b

b

데이터 레코드 요청

데이터 레코드(data-record)

b

b

데이터 레코드 응답

데이터 레코드(data-record)

b

b

AA pdp 컨텍스트 요청 삭제

삭제-aa-pdp

b

  

AA pdp 컨텍스트 응답 삭제

삭제-aa-pdp

b

  

PDP 컨텍스트 요청 삭제

삭제-pdp

b

b

PDP 컨텍스트 응답 삭제

삭제-pdp

b

b

에코 요청

반향

b

b

에코 응답

반향

b

b

오류 표시

오류 표시

b

b

실패 보고서 요청

실패 보고서

b

b

실패 보고서 응답

실패 보고서

b

b

재배치 요청 전달

fwd 재배치

b

b

포워드 재배치 응답

fwd 재배치

b

b

포워드 재배치 완료

fwd 재배치

b

b

전달 재배치 완료 승인

fwd 재배치

b

b

SRNS 컨텍스트 전달

fwd-srns-컨텍스트

b

b

SRNS 컨텍스트 승인 전달

fwd-srns-컨텍스트

b

b

본인 확인 요청

신분 증명

b

b

신원 확인 응답

신분 증명

b

b

노드 얼라이브 요청

노드 얼라이브

b

b

노드 얼라이브 응답

노드 얼라이브

b

b

참고 MS GPRS 현재 요청

노트-ms-present

b

b

참고 MS GPRS 현재 응답

노트-ms-present

b

b

PDU 알림 요청

PDU 알림

b

b

PDU 알림 응답

PDU 알림

b

b

PDU 알림 거부 요청

PDU 알림

b

b

PDU 알림 거부 응답

PDU 알림

b

b

RAN 정보 릴레이

ran 정보

b

b

리디렉션 요청

리디렉션

b

b

리디렉션 응답

리디렉션

b

b

재배치 취소 요청

재배치-취소

b

b

재배치 취소 응답

재배치-취소

b

b

경로 정보 요청 보내기

전송 경로

b

b

경로 정보 응답 전송

전송 경로

b

b

SGSN 컨텍스트 요청

sgsn 컨텍스트

b

b

SGSN 컨텍스트 응답

sgsn 컨텍스트

b

b

SGSN 컨텍스트 승인

sgsn 컨텍스트

b

b

지원되는 확장 헤더 알림

지원 확장자

b

b

지-PDU

GTP-PDU

b

b

PDP 컨텍스트 요청 업데이트

업데이트 pdp

b

b

업데이트된 PDP 컨텍스트 응답

업데이트 pdp

b

b

지원되지 않는 버전

지원되지 않는 버전

b

b

예: GTP 메시지 유형 필터링

이 예는 GTP 메시지 유형을 허용 및 거부하는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 gtp1 프로필의 경우 버전 1의 오류 표시 및 실패 보고 메시지 유형을 삭제하도록 디바이스를 구성합니다.

구성

절차

단계별 절차

GTP 메시지 유형을 허용 및 거부하려면 다음을 수행합니다.

  1. 디바이스를 구성합니다.

  2. 오류 표시를 삭제합니다.

  3. 실패 보고서 메시지를 삭제합니다.

  4. 디바이스 구성을 완료하면 해당 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security gprs .

GTP 제어 메시지에 대한 속도 제한 이해하기

GPRS 지원 노드(GSN)로 이동하는 네트워크 트래픽 속도를 제한하도록 디바이스를 구성할 수 있습니다. GGSN 터널링 프로토콜, 제어(GTP-C) 메시지에 대해 별도의 임계값(초당 패킷 수)을 설정할 수 있습니다. GTP-C 메시지는 처리 및 회신이 필요하기 때문에 잠재적으로 GSN에 과부하를 줄 수 있습니다. GTP-C 메시지에 속도 제한을 설정하면 다음과 같은 DoS(Denial-of-Service) 공격으로부터 GSN을 보호할 수 있습니다.

  • 경계 게이트웨이 대역폭 포화 - PLMN(Public Land Mobile Network)과 동일한 GRX(GPRS Roaming Exchange)에 연결된 악의적인 운영자는 경계 게이트웨이에서 너무 많은 네트워크 트래픽을 전송하여 합법적인 트래픽이 PLMN 안팎의 대역폭에 굶주려 네트워크와의 로밍 액세스를 거부할 수 있습니다.

  • GTP 플러드 - GPRS 터널링 프로토콜(GTP) 트래픽은 GSN을 플러딩하여 불법 데이터를 처리하는 데 CPU 사이클을 소비하게 할 수 있습니다. 이로 인해 가입자가 로밍 및 외부 네트워크로 데이터를 전달하지 못할 수 있으며 GPRS(General Packet Radio Service)가 네트워크에 연결되지 않을 수 있습니다.

이 기능은 주니퍼 네트웍스 디바이스에서 각 GSN으로 전송되는 트래픽 속도를 제한합니다. 기본 요금은 무제한입니다.

GTP 제어 메시지에 대한 경로 속도 제한 이해하기

path-rate-limit 기능은 정방향 및 역방향 모두에서 특정 GTP 메시지를 제어합니다. 드롭 임계값 및 알람 임계값은 하나의 경로에 대해 정방향 및 역방향으로 각 제어 메시지에 대해 구성할 수 있습니다. 한 경로의 제어 메시지가 알람 임계값에 도달하면 알람 로그가 생성됩니다. 수신된 제어 메시지 수가 삭제 임계값에 도달하면 패킷 삭제 로그가 생성되고 나중에 수신된 이 유형의 다른 모든 제어 메시지는 삭제됩니다.

정방향 및 역방향 모두에서 메시지 트래픽을 제어하려면 구성된 정책과 일치하는 방향이 정방향으로 정의되고 반대 방향이 역방향으로 정의되도록 디바이스에서 정책을 구성합니다. set security gprs gtp profile <profile-name> path-rate-limit 명령문을 사용하여 경로의 특정 제어 메시지에 대해 초당 최대 패킷을 제한할 수 있습니다.

path-rate-limit 옵션을 동시에 구성할 rate-limit 수 있습니다.

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.

플랫폼별 GTP 메시지 속도 제한 동작 섹션에서 플랫폼 관련 참고 사항을 검토하십시오.

예: GTP 제어 메시지에 대한 메시지 속도 및 경로 속도 제한

이 예에서는 GTP 제어 메시지에 대한 메시지 속도 및 경로 속도를 제한하는 방법을 보여줍니다. 옵션은 rate-limit 초당 GTP 메시지를 제한하며 path-rate-limit 옵션은 정방향 및 역방향 모두에서 특정 GTP 메시지를 제어합니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • Junos OS 릴리스 12.1X45-D10

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 수신 GTP 메시지의 속도를 초당 300패킷으로 제한하고 GTP 제어 메시지의 경로 속도를 순방향 및 역방향 모두로 제한합니다. GPRS 지원 노드(GSN)로 이동하는 네트워크 트래픽 속도를 제한하도록 디바이스를 구성하고 경로의 특정 제어 메시지에 대해 초당 또는 분당 최대 패킷 수를 제한합니다. , delete-reqother GTP 메시지의 경우 create-req초당 최대 패킷을 제한합니다. 그러나 GTP 메시지의 echo-req 경우 분당 최대 패킷으로 제한합니다.

path-rate-limit 기능은 정방향 및 역방향 모두에서 특정 GTP 메시지를 제어합니다. alarm-threshold 매개 변수를 구성하여 경로의 GTP 제어 메시지가 구성된 제한에 도달했을 때 알람을 발생시킬 디바이스를 구성합니다. 초당 또는 분당 패킷 수가 구성된 제한을 초과할 때 트래픽이 삭제되도록 을(를 drop-threshold ) 구성합니다.

구성

CLI 빠른 구성

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

절차

단계별 절차

GTP 메시지 속도 및 경로 속도 제한을 구성하려면,

  1. GTP 프로필을 지정합니다.

  2. GTP 메시지 속도 제한을 설정합니다.

  3. 메시지 유형을 지정하여 GTP 제어 메시지에 대한 경로 속도 제한을 설정합니다.

  4. GTP 제어 메시지 유형을 선택합니다.

  5. GTP 제어 메시지 유형에 대한 알람 임계값을 설정합니다.

  6. 순방향 제어 메시지를 제한합니다.

  7. 제어 메시지를 반대 방향으로 제한합니다.

  8. GTP 제어 메시지 유형에 대한 삭제 임계값을 설정합니다.

  9. 순방향 제어 메시지를 제한합니다.

  10. 제어 메시지를 반대 방향으로 제한합니다.

결과

구성 모드에서 명령을 입력하여 show security gprs gtp profile profile-name 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

구성 확인

목적

GTP 메시지 속도 및 경로 속도 제한 구성이 올바른지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security gprs gtp counters path-rate-limit .

의미

show security gprs gtp counters path-rate-limit 명령은 알람 임계값 또는 삭제 임계값에 도달한 이후 수신된 패킷 수를 표시합니다. Create Request 메시지에 대해 값을 50으로, drop-threshold 값을 80으로 구성 alarm-threshold 하고 디바이스가 1초 또는 1분에 100개의 패킷을 수신하면 드롭 번호는 20이 되고 알람 번호는 50이 됩니다.

예: GTP 시퀀스 번호 검증 활성화

이 예에서는 GTP 시퀀스 번호 검증 기능을 활성화하는 방법을 보여 줍니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 gtp 프로필을 gtp1로 설정하고 시퀀스 번호 유효성 검사 기능도 활성화합니다.

구성

절차

단계별 절차

GTP 시퀀스 번호 검증 기능 활성화:

  1. GTP 프로필을 설정합니다.

  2. 시퀀스 번호 검증을 활성화합니다.

  3. 디바이스 구성을 완료하면 해당 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security gprs .

플랫폼별 GTP 메시지 속도 제한 동작

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.

다음 표를 사용하여 플랫폼에 대한 플랫폼별 스토리지 미디어 동작을 검토하십시오.

플랫폼

다름

SRX 시리즈
  • GTP 제어 메시지의 속도 제한을 지원하는 SRX1500, SRX4100, SRX4200, SRX5400, SRX5600 및 SRX5800 디바이스는 create-reqdelete-req와 같은 GTP 제어 메시지에 대해 초당 최대 패킷 제한을 지원합니다. 또한 echo-req GTP 메시지에 대한 분당 최대 패킷 제한을 지원합니다.