Monitoreo del tráfico GTP
El protocolo de tunelización GPRS (GTP) establece un túnel GTP para un equipo de usuario, entre un nodo de soporte de GPRS de puerta de enlace de servicio (SGSN) y un nodo de soporte de GPRS de puerta de enlace (GGSN), y una entidad SGSN y de gestión de movilidad (MME). El SGSN recibe paquetes del equipo de usuario y los encapsula dentro de un encabezado GTP antes de reenviarlos al GGSN a través del túnel GTP. Cuando la GGSN recibe los paquetes, decapsula los paquetes y los reenvía al host externo.
Descripción de la inspección GTP-U
La inspección del plano de usuario del protocolo de tunelización GPRS (GTP-U) realiza comprobaciones de seguridad en paquetes GTP-U. Cuando se habilita la inspección GTP-U, se bloquean los paquetes GTP-U no válidos y el nodo de soporte de GPRS (GSN) está protegido de un ataque GTP-U.
Una vez que se habilita la inspección GTP-U y según la configuración del dispositivo, la inspección de GTP-U puede incluir comprobaciones en paquetes GTP-in-GTP, autorización del usuario final, válida la secuencia de paquetes y la válido del túnel. Si falla alguna comprobación configurada, se descarta el paquete GTP-U.
Si la inspección GTP-U está habilitada mientras la distribución GTP-U está deshabilitada, se mostrará el siguiente mensaje: GTP-U inspection is enabled, please enable GTP-U distribution to ensure that GTP-U packets are inspected by the proper inspectors, and avoid dropping GTP-U packets wrongly. Execute CLI “set security forwarding-process application-services enable-gtpu-distribution" to enable GTP-U distribution.
se recomienda encarecidamente que cuando habilite la inspección GTP-U, también se debería habilitar la distribución GTP-U.
A partir de Junos OS versión 15.1X49-D100 y Junos OS versión 17.3R1, en dispositivos SRX5400, SRX5600 y SRX5800, si el perfil GTP está configurado, el módulo GTP seleccionará la SPU de ancla para distribuir el tráfico UDP que viene en los puertos 2123 y 2152. Si no configura el perfil de GTP, el módulo GTP no funcionará y no seleccionará la SPU de ancla para el tráfico UDP en los puertos 2123 y 2152.
En la siguiente lista se describen los distintos tipos de inspecciones GTP-U que se realizan en el tráfico:
GTP-U tunnel check: el módulo GTP-U comprueba que el paquete GTP-U coincide con un túnel GTP. Si ningún túnel coincide con el paquete GTP-U, se descarta el paquete GTP-U.
GTP-in-GTP check: en la SPU, el módulo GTP comprueba para asegurarse de que la carga GTP-U no es un paquete GTP. Si la carga es un paquete GTP, entonces se descarta el paquete GTP.
End-user address check: si se encuentra el túnel de usuario para el paquete GTP-U, el módulo GTP-U comprueba la dirección del usuario final. Si la dirección de carga GTP-U no coincide con la dirección del usuario final, se descarta el paquete GTP-U.
A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la dirección del usuario final en ciertos casos no se lleva en los mensajes de creación de GTP. Por ejemplo, si se usa DHCPv4 para la asignación de direcciones IPv4, el campo dirección IPv4 del mensaje de creación de GTP se establecerá en
0.0.0.0
. El equipo de usuario y GGSN/PGW obtienen la dirección del servidor DHCP. En este caso, el módulo GTP no puede obtener la dirección para la comprobación de dirección del usuario final. Posteriormente, si esta configuración está habilitada, se descartará el mensaje de creación de GTP.Sequence number check: el módulo GTP-U compara el número de secuencia de paquetes GTP-U con el número de secuencia almacenada en el túnel GTP-U. Si no está en el rango especificado, se descarta el paquete GTP-U. Si está en el rango, el túnel GTP-U actualiza el número de secuencia y permite que pase el paquete GTP-U.
Al final de la inspección GTP-U, el túnel GTP-U actualiza los temporizadores y los contadores.
Descripción de las mejoras de los túneles GTP
Un túnel del protocolo de tunelización GPRS (GTP) es un canal entre dos nodos de soporte de GPRS mediante los cuales dos hosts intercambian datos. El túnel GTP se compone del plano de control de GTP (GTP-C) y del plano de usuario de GTP (GTP-U). La GTP-C se utiliza para señalizar entre el nodo de soporte de GPRS de puerta de enlace (GGSN) y el nodo de soporte de GPRS de servicio (SGSN), mientras que el túnel GTP-U se utiliza para encapsular y enrutar el tráfico del plano de usuario a través de varias interfaces de señalización.
Se mejora el manejo de GTP para actualizar el túnel GTP y la duración de la sesión para evitar problemas de tiempo de espera de túnel GTP. El valor de tiempo de espera del túnel GTP se configura en el perfil GTP y se enlaza al túnel del plano de usuario GTP (GTP-U). El valor del temporizador se actualiza cuando el tráfico de datos llega al túnel GTP-U y el valor del temporizador disminuye cuando el túnel GTP-U está en estado de inactividad. El túnel GTP-U se elimina cuando el valor del temporizador disminuye a cero y el túnel GTP-C correspondiente también se elimina cuando se eliminan todos los túneles GTP-U enlazados a los túneles GTP-C.
Cuando la inspección de GTP-U está deshabilitada, el tráfico de datos no puede actualizar el túnel GTP-U después de que expire el valor del temporizador y el tiempo de espera de todos los túneles GTP, aun si el tráfico de datos fluye a través de los túneles. En este caso, dado que los túneles GTP deben actualizarse, el dispositivo descarta la solicitud de actualización, ya que el túnel GTP-U no está presente.
Para evitar problemas de tiempo de espera del túnel GTP, incluso si la validación del usuario de GTP está deshabilitada, el tráfico GTP-U puede actualizar el túnel GTP. El tráfico GTP-U solo puede actualizar los túneles GTPv1 y GTPv2, y no los túneles GTPv0. Debe configurar el comando para set security forwarding-process application-services enable-gtpu-distribution
evitar el envejecimiento o el vencimiento de los túneles GTP.
El túnel GTP-U tiene una marca de conexión de sesión que se comprueba al analizar los túneles GTP-U. Si la marca de conexión de sesión está presente en el túnel, el valor del temporizador no disminuye y evita que el túnel se elimine mientras el túnel está en servicio.
En los dispositivos SRX5400, SRX5600 y SRX5800, la cantidad de túneles GTP compatibles por SPU se incrementa de 200 000 túneles a 600 000 túneles por SPU, para un total de 2400 000 túneles por tarjeta SPC2.
Comprender la validación de la dirección IP en los mensajes GTP
Las direcciones IP del mensaje del protocolo de tunelización GPRS (GTP) en la interfaz Gp o S8 se validan con la lista de grupos IP configurados para evitar ataques. La lista de grupos IP es una lista de direcciones IP que pertenecen a todo tipo de equipos de red. Debe configurar las direcciones IP que pertenecen al equipo de red en la lista de grupos IP.
S8: esta interfaz conecta una SGW en una PLMN visitada (VPLM) y una PGW en una PLMN hogar (HPLMN). S8 es la variante inter PLMN de S5. La interfaz S8 es equivalente a la interfaz Gp en una red móvil 3G.
El firewall GTP determina si las direcciones IP de los mensajes de GTP y coinciden con la lista de grupos IP configurados, y se lleva a cabo la siguiente acción:
Si las direcciones IP se encuentran en la lista de grupos IP, los mensajes GTP se consideran válidos y se reenvía al motor de paquete y reenvío.
Si las direcciones IP no se encuentran en la lista de grupos IP, se descartan los mensajes GTP.
- Configuración del grupo IP en el mensaje GTP
- Mensajes de GTP compatibles
- IEs involucradas en la válida de IP
Configuración del grupo IP en el mensaje GTP
El grupo IP es una lista de direcciones IP que pertenecen a todo tipo de equipos de red. Los nombres del grupo IP se hacen referencia en los perfiles de GTP. El firewall GTP aplica políticas configuradas en direcciones IP entrantes y salientes en el mensaje del protocolo de tunelización GPRS (GTP) mencionado en las tablas 2 y 3.
Por ejemplo, el tráfico entre el cliente y el servidor en la Figura 1, hay dos políticas configuradas.
GTP Policy Out es para el tráfico desde el cliente al servidor.
GTP Policy In es para el tráfico del servidor al cliente.
Todas las direcciones IP del cliente y del servidor se deben configurar en la lista de grupos IP y enlazarse a las políticas GTP Policy Out y GTP Policy In .
Se introducen dos tipos diferentes de grupos para distintas direcciones IP. Una es para el grupo de direcciones IP DE NE y la otra es para el grupo de direcciones IP del equipo de usuario (UE) enumerado como en la tabla 1.
Tipos de red |
Dirección IP del equipo de red |
Dirección IP del equipo de usuario |
---|---|---|
2G (GPRS) y 3G (UMTS) |
RNC, SGSN y GGSN |
Dirección de usuario final |
4G (LTE) |
eNodeB, MME, SGW y PGW |
Asignación de direcciones PDN (PAA) |
Cuando los mensajes GTP están en la etapa de controlador de mensajes, el grupo de direcciones IP del equipo de red y el grupo de direcciones IP del equipo de usuario se validan respectivamente según los elementos de información analizada y la información del encabezado de la dirección IP.
Grupo de direcciones IP del equipo de red: el encabezado de la dirección IP y la dirección IP del elemento de información del mensaje GTP se comparan con la lista de grupos de direcciones IP del equipo de red configurado (si existe). Si la dirección IP de NE se encuentra en el grupo de direcciones IP de NE configuradas, pase el paquete de datos al grupo de direcciones IP DE UE y, de lo contrario, deje caer el paquete.
Grupo de direcciones IP del equipo de usuario: todas las direcciones IP del usuario final se validan en la lista de grupos de direcciones IP del equipo de usuario configurado. Si la dirección IP del equipo de usuario se encuentra en el grupo de direcciones IP del equipo de usuario configurado, pase el paquete de datos y deje caer el paquete.
Mensajes de GTP compatibles
Hay muchos tipos de mensajes que pasan a través de interfaces Gp o S8, algunos de los mensajes GTP compatibles son los siguientes.
Tipo de mensaje |
Mensaje GTP |
Referencia en TS 29.060 |
---|---|---|
1 |
Solicitud de echo |
7.4.1 |
2 |
Respuesta de Echo |
7.4.2 |
16 |
Crear solicitud de contexto PDP |
7.5.1 |
17 |
Cree una respuesta de contexto del PDP |
7.5.2 |
18 |
Actualizar la solicitud de contexto del PDP |
7.5.3 |
19 |
Actualizar la respuesta al contexto del PDP |
7.5.4 |
20 |
Eliminar solicitud de contexto del PDP |
7.5.5 |
21 |
Eliminar la respuesta al contexto del PDP |
7.5.6 |
22 |
Crear solicitud de contexto del PDP de AA |
7.5.7 |
23 |
Cree una respuesta de contexto del PDP de AA |
7.5.8 |
24 |
Eliminar solicitud de contexto del PDP de AA |
7.5.9 |
25 |
Eliminar respuesta de contexto del PDP de AA |
7.5.10 |
Tipo de mensaje |
Mensaje GTP |
Referencia en TS 29.060 |
---|---|---|
1 |
Solicitud de echo |
7.2.1 |
2 |
Respuesta de Echo |
7.2.2 |
16 |
Crear solicitud de contexto PDP |
7.3.1 |
17 |
Cree una respuesta de contexto del PDP |
7.3.2 |
18 |
Actualizar la solicitud de contexto del PDP |
7.3.3 |
19 |
Actualizar la respuesta al contexto del PDP |
7.3.4 |
20 |
Eliminar solicitud de contexto del PDP |
7.3.5 |
21 |
Eliminar la respuesta al contexto del PDP |
7.3.6 |
Tipo de mensaje |
Mensaje GTP |
Referencia 3GPP TS 29.274 |
---|---|---|
1 |
Solicitud de echo |
23.007 |
2 |
Respuesta de Echo |
23.007 |
32 |
Crear solicitud de sesión |
29.274 |
33 |
Crear respuesta de sesión |
29.274 |
36 |
Eliminar solicitud de sesión |
29.274 |
37 |
Eliminar respuesta de sesión |
29.274 |
34 |
Modificar solicitud de portador |
29.274 |
35 |
Modificar la respuesta del portador |
29.274 |
95 |
Crear solicitud de portador |
29.274 |
96 |
Crear respuesta de portador |
29.274 |
97 |
Actualización de la solicitud del portador |
29.274 |
98 |
Actualizar la respuesta del portador |
29.274 |
99 |
Eliminar solicitud de portador |
29.274 |
100 |
Eliminar respuesta del portador |
29.274 |
IEs involucradas en la válida de IP
A continuación, se encuentran los mensajes de los elementos de información (IE) que pertenecen a la interfaz 3GPP Gp o S8.
Los IE se configuran en la interfaz Gp o S8, si aparece un IE inesperado en el mensaje, es posible que se ignore y no se controle incluso si se trata de una dirección IP NE.
Mensaje GTP |
Tipo de dirección |
Tipo IE |
---|---|---|
Crear solicitud de contexto PDPDise a una solicitud de contexto PDP AA |
Dirección de usuario final DirecciónSGSN para señalización DirecciónSGSN para el tráfico de usuarios |
Dirección de usuario final AddressGSN AddressGSN AddressGSN |
Cree una respuesta de contexto PDPSe cree una respuesta contextual PDP AA |
Dirección de usuario final DIRECCIÓNGGSN para señalizar direcciónGGSN para el tráfico de usuarios |
Dirección de usuario final AddressGSN AddressGSN AddressGSN |
Actualizar la solicitud de contexto del PDP |
Dirección SGSN para señalización DirecciónSGSN para el tráfico de usuarios |
Dirección GSN AddressGSN |
Actualizar la respuesta al contexto del PDP |
Dirección GGSN para señalizar direcciónGGSN para el tráfico de usuarios |
Dirección GSN AddressGSN |
Mensaje GTP |
Tipo de dirección |
Tipo IE |
---|---|---|
Crear solicitud de contexto PDP |
Dirección de usuario final DirecciónSGSN para señalización DirecciónSGSN para el tráfico de usuarios |
Dirección de usuario final AddressGSN AddressGSN AddressGSN |
Cree una respuesta de contexto del PDP |
Dirección de usuario final DIRECCIÓNGGSN para señalizar DirecciónGGSN para el tráfico de usuario Dirección GGSNalterante para dirección GGSN del plano de controlAlternative GGSN para el tráfico de usuarios |
Dirección de usuario final AddressGSN AddressGSN DirecciónGSN DirecciónGSN |
Actualización de la solicitud de contexto del PDP (iniciado por SGSN) |
Dirección SGSN para señalización DirecciónSGSN para el tráfico de usuario Dirección SGSNalterante para plano de control Dirección SGSNalterante para el tráfico de usuarios |
Dirección GSN AddressGSN DirecciónGSN DirecciónGSN |
Actualización de la solicitud de contexto del PDP (iniciado por GGSN) |
Dirección de usuario final |
Dirección de usuario final |
Actualizar la respuesta al contexto del PDP (por GGSN) |
Dirección GGSN para indicar direcciónGGSN para el tráfico de usuario Dirección GGSNalterante para dirección GGSN del plano de controlAlternative GGSN para el tráfico de usuarios |
Dirección GSN AddressGSN DirecciónGSN DirecciónGSN |
Actualización de la respuesta al contexto del PDP (por SGSN) |
Dirección SGSN para el tráfico de usuarios |
Dirección GSN |
Mensaje GTP/Contexto de portador |
Tipo de dirección |
Tipo IE |
---|---|---|
Crear solicitud de sesión |
Dirección de remitente para asignación de direcciones del plano de controlPDNH(e)BSN Dirección IP local BME/Identificador S4-SGSN |
Dirección ADDRESSIP F-TEIDPAAIP |
Crear solicitud de sesión (contexto de portador que se va a crear) |
S5/S8-U SGW F-TEID |
F-TEID |
Crear respuesta de sesión |
F-TEID PGW S5/S8 para interfaz de plano de control Asignación de direccionesPDN |
F-TEIDPAA |
Crear respuesta de sesión (Contexto de portador que se va a crear) |
S5/S8-U PGW F-TEID |
F-TEID |
Crear solicitud de portador (contexto de portador) |
S5/8-U PGW F-TEID |
F-TEID |
Crear respuesta de portador |
Identificador MME/S4-SGSN |
Dirección IP |
Crear respuesta de portador (contexto de portador) |
S5/8-U SGW F-TEIDS5/8-U PGW F-TEID |
F-TEIDF-TEID |
Modificar solicitud de portador |
Dirección de remitente para el identificador IP local ADDRESSMME/S4-SGSN del plano de control(e)BSN |
Dirección ADDRESSIP F-TEIDIP |
Modificar solicitud de portador (contexto del portador) |
S5/8-U SGW F-TEID |
F-TEID |
Eliminar solicitud de sesión |
Dirección de remitente para el plano de control |
F-TEID |
Eliminar respuesta del portador |
Identificador MME/S4-SGSN |
Dirección IP |
Actualizar la respuesta del portador |
Identificador MME/S4-SGSN |
Dirección IP |
Ejemplo: configure la válidoidad de la dirección IP en los mensajes GTP
En este ejemplo, se muestra cómo configurar la válidoidad de la dirección IP en el mensaje del protocolo de tunelización GPRS (GTP).
Requisitos
Dispositivo serie SRX con Junos OS versión 19.3R1 o posterior. Este ejemplo de configuración se prueba en Junos OS versión 19.3R1.
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Necesita cualquiera de los SRX1500, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 y vSRX instancia.
Equipo de usuario que necesita conectarse a Internet. También necesitará una red de núcleo móvil 3G o 4G y una red hogar y visitada.
Visión general
En este ejemplo, se configura la válidoidad de la dirección IP en el mensaje del protocolo de tunelización GPRS (GTP).
Puede evitar una variedad de ataques validando las direcciones IP de los paquetes entrantes y salientes en mensajes GTP contra las direcciones IP configuradas en la lista de grupos IP. El grupo IP es una lista de direcciones IP que pertenecen a todo tipo de equipos de red. Los nombres del grupo IP se hacen referencia en los perfiles de GTP. El firewall GTP aplica políticas configuradas en direcciones IP entrantes y salientes en mensajes del protocolo de tunelización GPRS (GTP).
Configurar dirección IP en mensajes GTP
- CLI configuración rápida
- Procedimiento
- Para configurar la dirección IP en los mensajes de GTP:
- Resultados
CLI configuración rápida
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego [edit]
, commit
ingrese desde el modo de configuración.
Procedimiento
CLI configuración rápida
set security gprs gtp profile gtp1 timeout 1 set security gprs gtp profile gtp1 log forwarded detail set security gprs gtp profile gtp1 log state-invalid detail set security gprs gtp profile gtp1 log prohibited detail set security gprs gtp profile gtp1 log gtp-u all set security gprs gtp profile gtp1 log gtp-u dropped set security gprs gtp profile gtp1 restart-path echo set security gprs gtp profile gtp1 req-timeout 30 set security gprs gtp traceoptions file debug_gtp set security gprs gtp traceoptions file size 1000m security gprs gtp traceoptions flag all set security gprs gtp gsn timeout 1 set security zones security-zone SGSN_1 set security zones security-zone SGSN_0 set security zones security-zone SGSN_2 set security address-book global address att-mme 192.0.2.0/24 set security address-book global address att-sgw 192.51.100.0/24 set security address-book global address china-mobile-pgw 203.0.113.0/24 set security address-book global address ue-mobile 203.0.113.1/24 set security address-book global address-set ne-group-as address china-mobile-pgw set security address-book global address-set ne-group-as address att-mme set security address-book global address-set ne-group-as address att-sgw set security address-book global address-set ue-group-as address ue-mobile set security gprs gtp ip-group ng1 address-book global address-set ne-group-as set security gprs gtp ip-group ug1 address-book global address-set ue-group-as set security gprs gtp profile gtp1 ne-group ng1 set security gprs gtp profile gtp1 ue-group ug1 set security policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match source-address any set security policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match destination-address any set security policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match application any set security policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 then permit application-services gprs-gtp-profile gtp1 set security policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match source-address any set security policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match destination-address any set security policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match application any set security policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN then permit application-services gprs-gtp-profile gtp1 set security policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match source-address any set security policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match destination-address any set security policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match application any set security policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 then permit application-services gprs-gtp-profile gtp1
Para configurar la dirección IP en los mensajes de GTP:
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en CLI usuario.
Procedimiento paso a paso
Configure un perfil GTP para procesar el tráfico que va al firewall de GTP.
[edit security gprs] user@host# set gtp profile gtp1 timeout 1 user@host# set gtp profile gtp1 log forwarded detail user@host# set gtp profile gtp1 log state-invalid detail user@host# set gtp profile gtp1 log prohibited detail user@host# set gtp profile gtp1 log gtp-u all user@host# set gtp profile gtp1 log gtp-u dropped user@host# set gtp profile gtp1 restart-path echo user@host# set gtp profile gtp1 req-timeout 30 user@host# set gtp traceoptions file debug_gtp user@host# set gtp traceoptions file size 1000m user@host# set gtp traceoptions flag all user@host# set gtp gsn timeout 1
Configure la zona de seguridad para admitir tráfico entrante y saliente para todos los servicios del sistema para todas las interfaces conectadas.
[edit security zones] user@host# set security-zone SGSN_1 user@host# set security-zone SGSN_0 user@host# set security-zone SGSN_2
Especifique la dirección IP en la libreta de direcciones global, estas direcciones IP se utilizan para validar direcciones IP en mensajes GTP entrantes o salientes.
[edit security address-book global] user@host# set address att-mme 192.0.2.0/24 user@host# set address att-sgw 192.51.100.0/24 user@host# set address china-mobile-pgw 203.0.113.0/24 user@host# set address ue-mobile 203.0.113.1/24 user@host# set address-set ne-group-as address china-mobile-pgw user@host# set address-set ne-group-as address att-mme user@host# set address-set ne-group-as address att-sgw user@host# set ddress-set ue-group-as address ue-mobile
Configure el equipo de red definido y el grupo de direcciones IP del equipo de usuario a la lista de grupos IP, esta lista de grupos IP se usa en los mensajes GTP.
[edit security gprs] user@host# set gtp ip-group ng1 address-book global address-set ne-group-as user@host# set gtp ip-group ug1 address-book global address-set ue-group-as
Aplique el perfil GTP a los equipos de red y grupos de equipos de usuario.
[edit security gprs] user@host# set gtp profile gtp1 ne-group ng1 user@host# set gtp profile gtp1 ue-group ug1
Habilite el servicio GTP en las políticas de seguridad.
[edit security] user@host# set policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match source-address any user@host# set policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match destination-address any user@host# set policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 match application any user@host# set policies from-zone SGSN_1 to-zone SGSN_0 policy HSGSN_VSGSN1 then permit application-services gprs-gtp-profile gtp1 user@host# set policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match source-address any user@host# set policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match destination-address any user@host# set policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN match application any user@host# set policies from-zone SGSN_2 to-zone SGSN_0 policy VSGSN1_HSGSN then permit application-services gprs-gtp-profile gtp1 user@host# set policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match source-address any user@host# set policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match destination-address any user@host# set policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 match application any user@host# set policies from-zone SGSN_2 to-zone SGSN_1 policy HSGSN_VSGSN2 then permit application-services gprs-gtp-profile gtp1
Resultados
Desde el modo de configuración, escriba el comando para confirmar su show security gprs
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security gprs gtp { profile GTP { timeout 1; log { forwarded detail; state-invalid detail; prohibited detail; gtp-u all; gtp-u dropped; } restart-path echo; req-timeout 30; } profile gtp1 { ne-group { ng1; } ue-group { ug1; } } traceoptions { file debug_gtp size 1000m; flag all; } gsn { timeout 1; } ip-group ng1 { address-book global { address-set { ne-group-as; } } } ip-group ug1 { address-book global { address-set { ue-group-as; } } } }
Desde el modo de configuración, escriba el comando para confirmar su show security zones
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security zones security-zone SGSN_1; security-zone SGSN_0; security-zone SGSN_2;
Desde el modo de configuración, escriba el comando para confirmar su show security address-book
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security address-book global { address att-mme 192.0.2.0/24; address att-sgw 192.51.100.0/24; address china-mobile-pgw 192.51.100.0/24; address ue-mobile 203.0.113.1/24; address-set ne-group-as { address china-mobile-pgw; address att-mme; address att-sgw; } address-set ue-group-as { address ue-mobile; } }
Desde el modo de configuración, escriba el comando para confirmar su show security policies
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security policies from-zone SGSN_1 to-zone SGSN_0 { policy HSGSN_VSGSN1 { match { source-address any; destination-address any; application any; } then { permit { application-services { gprs-gtp-profile GTP; } } } } } from-zone SGSN_2 to-zone SGSN_0 { policy VSGSN1_HSGSN { match { source-address any; destination-address any; application any; } then { permit { application-services { gprs-gtp-profile GTP; } } } } } from-zone SGSN_2 to-zone SGSN_1 { policy HSGSN_VSGSN2 { match { source-address any; destination-address any; application any; } then { permit { application-services { gprs-gtp-profile GTP; } } } } }
Cuando termine de configurar el dispositivo, ingrese en commit
el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar el grupo IP
Propósito
Compruebe que el grupo IP está configurado.
Acción
Utilice el show security gprs gtp ip-group
comando para obtener los detalles del grupo IP configurado.
All configured IP group: Group name Address book name Address set name ng1 global ne-group-as ug1 global ue-group-as
Verificar el perfil de GTP
Propósito
Compruebe que el perfil GTP está configurado.
Acción
Utilice el show security gprs gtp configuration 1
comando para obtener los detalles del grupo IP configurado.
Profile Details: Index : 2 Min Message Length : 0 Max Message Length : 65535 Timeout : 24 Rate Limit : 0 Request Timeout : 5 Remove R6 : 0 Remove R7 : 0 Remove R8 : 0 Remove R9 : 0 Deny Nested GTP : 0 Validated : 0 Passive learning enable : 0 Restart Path : 0 Log Forwarded : 0 Log State Invalid : 0 Log Prohibited : 0 Log Ratelimited : 0 Frequency Number : 0 Drop AA Create PDU : 0 Drop AA Delete PDU : 0 Drop Bearer Resource : 0 Drop Change Notification : 0 Drop Config Transfer : 0 Drop Context : 0 Drop Create Bear : 0 Drop Create Data Forwarding : 0 Drop Create PDU : 0 Drop Create Session : 0 Drop Create Forwarding Tnl : 0 Drop CS Paging : 0 Drop Data Record : 0 Drop Delete Bearer : 0 Drop Delete Command : 0 Drop Delete Data Forwarding : 0 Drop Delete PDN : 0 Drop Delete PDP : 0 Drop Delete Session : 0 Drop Detach : 0 Drop Downlink Notification : 0 Drop Echo : 0 Drop Error Indication : 0 Drop Failure Report : 0 Drop FWD Access : 0 Drop FWD Relocation : 0 Drop FWD SRNS Context : 0 Drop G-PDU : 0 Drop Identification : 0 Drop MBMS Sess Start : 0 Drop MBMS Sess Stop : 0 Drop MBMS Sess Update : 0 Drop Modify Bearer : 0 Drop Modify Command : 0 Drop Node Alive : 0 Drop Note MS Present : 0 Drop PDU Notification : 0 Drop Ran Info : 0 Drop Redirection : 0 Drop Release Access : 0 Drop Relocation Cancel : 0 Drop Resume : 0 Drop Send Route : 0 Drop SGSN Context : 0 Drop Stop Paging : 0 Drop Supported Extension : 0 Drop Suspend : 0 Drop Trace Session : 0 Drop Update Bearer : 0 Drop Update PDN : 0 Drop Update PDP : 0 Drop Ver Not Supported : 0 Handover group name : N/A NE group name : ng1 UE group name : ug1