Hướng dẫn kỹ thuật CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
Email: sales@datech.vn
Danh mục sản phẩm
CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
Danh mục sản phẩm
Router 
Firewall 
Switch 
Wifi - Access Point 
Máy chủ ( Server ) 
Thiết bị lưu trữ NAS 
Networking Accessories 
Video Conference 
Vật tư mạng 
Tổng đài & điện thoại 
Bộ lưu điện UPS 
13/12/2021
13/12/2021
Danh sách nội dung [Ẩn]
Hướng dẫn cấu hình Policy-Based GTP trên JunOS.
GPRS Tunneling Protocol (GTP) sử dụng các chính sách để xác định liệu lưu lượng sẽ được cho phép, từ chối hoặc tunnel. Thiết bị sẽ thực hiện việc lọc GTP theo chính sách bằng cách kiểm tra từng gói GTP dựa vào các chính sách quy định lưu lượng GTP, sau đó quyết định chuyển tiếp, drop, hoặc tunnel gói đó.
Theo mặc định, Public Land Mobile Network (PLMN) mà thiết bị Juniper Networks bảo vệ sẽ nằm trong Trust zone. Thiết bị sẽ bảo vệ PLMN trong Trust zone chống lại các PLMN khác trong các zone khác. Bạn có thể đặt tất cả PLMN bạn cần bảo vệ vào Untrust zone, hoặc tạo các user-defined zones cho từng PLMN. Một PLMN có thể nằm trong một hoặc nhiều security zones.
Bạn cần tạo chính sách (policy) để cho phép lưu lượng truyền giữa các zone và PLMN. Các chính sách này chứa các rule để permit (cho phép), deny (từ chối) hoặc tunnel lưu lượng GTP. Thiết bị sẽ lọc GTP theo policy bằng cách kiểm tra từng gói GTP với các rule, sau đó thực hiện forward, drop, hoặc tunnel tùy theo chính sách.
Khi bạn chọn dịch vụ GTP trong một policy, bạn đang kích hoạt khả năng permit, deny hoặc tunnel lưu lượng GTP. Tuy nhiên, điều này không đồng nghĩa với việc thiết bị sẽ kiểm tra (inspect) chi tiết nội dung GTP. Để kiểm tra lưu lượng GTP, bạn phải cấu hình đối tượng GTP inspection (còn gọi là GTP inspection object) và gán đối tượng đó vào policy.
Bạn chỉ có thể áp dụng một GTP inspection object cho mỗi policy, nhưng một GTP inspection object có thể dùng chung cho nhiều policies. Bằng cách này, bạn có thể permit hoặc deny việc thiết lập các GTP tunnels từ một số peer nhất định như Serving GPRS Support Node (SGSN).
Từ phiên bản Junos OS 19.4R1, để hỗ trợ IoT và các trường hợp roaming, khả năng scale GTP tunnels trên mỗi SPU đã được tăng cho các thiết bị SRX5000 (SRX5400, SRX5600, SRX5800) và SRX4600.
Bảng 1: Quy mô Tunnel GTP theo nền tảng phần cứng (SRX5000 & SRX4600)
| Nền tảng | Số Tunnel trước bản 19.4 (mỗi SPU) | Số Tunnel trước bản 19.4 (mỗi SPC) | Số Tunnel từ bản 19.4 trở đi (mỗi SPU) | Số Tunnel từ bản 19.4 trở đi (mỗi SPC) |
|---|---|---|---|---|
| SRX5000 SPC2 | 600K | 600K × 4 = 2.400K | 3M | 3M × 4 = 12M |
| SRX5000 SPC3 | 1.2M | 1.2M × 2 = 2.4M | 12M | 12M × 2 = 24M |
| SRX4600 | 400K | 400K | 4M | 4M |
Kể từ Junos OS 20.1R1, để hỗ trợ các trường hợp sử dụng Internet of Things (IoT) và tường lửa cho roaming, khả năng mở rộng tunnel GTP được tăng cường trên các dòng thiết bị sau:
Bảng 2: Quy mô Tunnel GTP theo nền tảng (SRX1500, SRX4100, SRX4200)
| Nền tảng | Số Tunnel trước bản 20.1 (mỗi hệ thống) | Số Tunnel từ bản 20.1 trở đi (mỗi hệ thống) |
|---|---|---|
| SRX1500 | 204.800 | 1.024.000 |
| SRX4100 | 409.600 | 4.096.000 |
| SRX4200 | 819.200 | 4.096.000 |
Bảng 3: Quy mô Tunnel GTP cho vSRX (tường lửa ảo)
| Nền tảng | Dung lượng RAM (Memory) | Số lượng Tunnel hỗ trợ |
|---|---|---|
| vSRX Virtual Firewall | 4G / 6G | 40.000 |
| 8G / 10G / 12G / 14G | 200.000 | |
| 16G / 20G / 24G / 28G | 400.000 | |
| 32G / 40G / 48G | 800.000 | |
| 56G / 64G | 1.600.000 (1.6M) |
Bạn có thể cấu hình các chính sách (policy) chỉ định “Any” làm vùng nguồn (source zone) hoặc vùng đích (destination zone) — từ đó bao gồm tất cả các host trong vùng đó. Ngoài ra, bạn cũng có thể cấu hình chính sách với nhiều địa chỉ nguồn và đích.
Trong chính sách, bạn có thể bật ghi nhật ký lưu lượng (traffic logging).
Ví dụ này minh họa cách bật chức năng kiểm tra GTP (GTP Inspection) trong các chính sách bảo mật (security policies).
Yêu cầu
Trước khi bắt đầu, thiết bị cần được khởi động lại sau khi GTP được bật. Mặc định, GTP bị vô hiệu hóa trên thiết bị.
Tổng quan
Trong ví dụ này, bạn sẽ cấu hình các cổng giao diện là ge-0/0/1 và ge-0/0/2, với địa chỉ IP tương ứng là 2.0.0.254/8 và 3.0.0.254/8. Tiếp theo, bạn cấu hình vùng bảo mật (security zone) và chỉ định địa chỉ nguồn và đích là 2.0.0.5/32 và 3.0.0.6/32. Sau đó, bạn bật dịch vụ GTP trong security policy để cho phép lưu lượng hai chiều (bidirectional) giữa hai mạng thuộc cùng một PLMN (Public Land Mobile Network).
Cấu hình
CLI Quick Configuration
Để cấu hình nhanh phần này của ví dụ, bạn có thể: sao chép các lệnh sau vào một tệp văn bản, loại bỏ dòng xuống hàng nếu có, chỉnh sửa các thông tin cần thiết sao cho phù hợp với cấu trúc mạng của bạn, sao chép và dán các lệnh này vào CLI ở cấp độ [edit], sau đó thực hiện lệnh commit trong chế độ cấu hình
set security gprs gtp profile gtp1 set interfaces ge-0/0/1 unit 0 family inet address 2.0.0.254/8 set interfaces ge-0/0/2 unit 0 family inet address 3.0.0.254/8 set security zones security-zone sgsn interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone sgsn host-inbound-traffic protocols all set security zones security-zone ggsn interfaces ge-0/0/2.0 host-inbound-traffic system-services all set security zones security-zone ggsn host-inbound-traffic protocols all set security address-book global address local-sgsn 2.0.0.5/32 set security address-book global address remote-ggsn 3.0.0.6/32 set security policies from-zone sgsn to-zone ggsn policy sgsn_to_ggsn match source-address local-sgsn destination-address remote-ggsn application junos-gprs-gtp set security policies from-zone sgsn to-zone ggsn policy sgsn_to_ggsn then permit application-services gprs-gtp-profile gtp1 set security policies from-zone ggsn to-zone sgsn policy ggsn_to_sgsn match source-address remote-ggsn destination-address local-sgsn application junos-gprs-gtp set security policies from-zone ggsn to-zone sgsn policy ggsn_to_sgsn then permit application-services gprs-gtp-profile gtp1 |
Quy trình từng bước
Để cấu hình GTP inspection trong các chính sách (policies), thực hiện các bước sau:
[edit] user@host# set security gprs gtp profile gtp1 |
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 2.0.0.254/8 user@host# set ge-0/0/2 unit 0 family inet address 3.0.0.254/8 |
[edit security zones] user@host# set security-zone sgsn interfaces ge-0/0/1.0 user@host# set security-zone sgsn host-inbound-traffic system-services all user@host# set security-zone sgsn host-inbound-traffic protocols all user@host# set security-zone ggsn interfaces ge-0/0/2.0 user@host# set security-zone ggsn host-inbound-traffic system-services all user@host# set security-zone ggsn host-inbound-traffic protocols all |
[edit security address-book global] user@host# set address local-sgsn 2.0.0.5/32 user@host# set address remote-ggsn 3.0.0.6/32 |
Bật dịch vụ GTP trong các chính sách bảo mật (security policies).
[edit security policies] user@host# set from-zone sgsn to-zone ggsn policy sgsn_to_ggsn match source-address local-sgsn destination-address remote-ggsn application junos-gprs-gtp user@host# set from-zone sgsn to-zone ggsn policy sgsn_to_ggsn then permit application-services gprs-gtp-profile gtp1 user@host# set from-zone ggsn to-zone sgsn policy ggsn_to_sgsn match source-address remote-ggsn destination-address local-sgsn application junos-gprs-gtp user@host# set from-zone ggsn to-zone sgsn policy ggsn_to_sgsn then permit application-services gprs-gtp-profile gtp1 |
Kết quả
Từ chế độ cấu hình (configuration mode), xác nhận cấu hình của bạn bằng cách nhập lệnh: show security. Nếu kết quả hiển thị không đúng với cấu hình mong muốn, hãy lặp lại các bước cấu hình trong ví dụ này để sửa lại cấu hình cho đúng. Để ngắn gọn, phần kết quả từ lệnh show dưới đây chỉ bao gồm những cấu hình liên quan trực tiếp đến ví dụ này. Tất cả các cấu hình khác trên hệ thống sẽ được thay thế bằng dấu ba chấm (...).
[edit]
user@host# show security ... gprs { gtp { profile gtp1;}} zones { security-zone Trust { host-inbound-traffic { system-services { all;} protocols { all;}} interfaces { ge-0/0/1.0;}} ... host-inbound-traffic { system-services { all;} protocols { all;}} interfaces { ge-0/0/1.0;}} host-inbound-traffic { system-services { all;} protocols { all;}} interfaces { ge-0/0/2.0;}}} address-book { global { address local-sgsn 2.0.0.5/32; address remote-ggsn 3.0.0.6/32;}} policies { from-zone sgsn to-zone ggsn { policy sgsn_to_ggsn { match { source-address local-sgsn; destination-address remote-ggsn; application junos-gprs-gtp;} then { permit { application-services { gprs-gtp-profile gtp1;}}}}} from-zone ggsn to-zone sgsn { policy ggsn_to_sgsn { match { source-address remote-ggsn; destination-address local-sgsn; application junos-gprs-gtp;}} then { permit { application-services { gprs-gtp-profile gtp1;}}}} default-policy { permit-all;}} ... |
Nếu bạn đã hoàn tất việc cấu hình thiết bị, hãy nhập lệnh commit từ chế độ cấu hình (configuration mode) để áp dụng cấu hình.
Xác minh
Xác nhận rằng cấu hình đang hoạt động đúng cách.
Xác minh kiểm tra GTP trong chính sách (Verifying GTP Inspection in Policies)
Mục đích (Purpose)
Xác minh rằng chức năng kiểm tra GTP (GTP inspection) đã được bật.
Thao tác (Action)
Từ chế độ vận hành (operational mode), nhập lệnh: show security
Để thiết bị có thể thực hiện kiểm tra lưu lượng GPRS tunneling protocol (GTP), bạn phải tạo một GTP inspection object và sau đó áp dụng nó vào một chính sách (policy). Bạn có thể sử dụng lệnh sau để tạo một GTP inspection object tên là la-ny: set security gprs gtp profile la-ny. GTP inspection object cung cấp tính linh hoạt cao hơn vì nó cho phép bạn cấu hình nhiều chính sách với các thông số GTP khác nhau. Bạn có thể cấu hình thiết bị để kiểm soát lưu lượng GTP theo từng vùng nguồn/đích, địa chỉ IP, hành động, v.v...
Để cấu hình các tính năng GTP, bạn phải vào chế độ cấu hình GTP. Để lưu cấu hình trong CLI, bạn cần thoát khỏi chế độ cấu hình GTP trước, sau đó thực hiện lệnh commit.
Ví dụ này minh họa cách tạo một đối tượng kiểm tra GTP.
Yêu cầu
Không cần cấu hình đặc biệt nào ngoài việc khởi tạo thiết bị trước khi cấu hình tính năng này.
Tổng quan
Trong ví dụ này, bạn sẽ tạo một đối tượng kiểm tra GTP có tên là LA-NY. Bạn sẽ giữ hầu hết các giá trị mặc định và bật tính năng xác thực số thứ tự (sequence number validation).
Cấu hình
Các bước thực hiện theo từng bước
Để cấu hình một đối tượng kiểm tra GTP:
[edit] user@host# set security gprs gtp profile la-ny |
Nếu bạn đã hoàn tất việc cấu hình thiết bị, hãy thực hiện lệnh commit để áp dụng cấu hình.
[edit] user@host# commit |
Xác minh cấu hình
Xác nhận rằng cấu hình đang hoạt động đúng cách.
Xác minh đối tượng kiểm tra GTP
Mục đích
Xác minh rằng đối tượng kiểm tra GTP đã được bật.
Thao tác
Từ chế độ vận hành, nhập lệnh: show security gprs
GPRS Tunneling Protocol (GTP) thiết lập một đường hầm GTP giữa Serving GPRS Support Node (SGSN) và Gateway GPRS Support Node (GGSN) cho từng thiết bị di động (Mobile Station – MS). GTP phiên bản 2 (GTPv2) được hỗ trợ bắt đầu từ hệ điều hành Junos OS phiên bản 11.4.
GTPv2 là một phần của công nghệ Long Term Evolution (LTE) – công nghệ mạng không dây băng rộng thế hệ thứ tư (4G) được phát triển bởi tổ chức 3GPP (Third-Generation Partnership Project), là cơ quan tiêu chuẩn hóa phát triển các chuẩn GPRS. LTE được thiết kế nhằm tăng dung lượng và tốc độ cho các mạng điện thoại di động. GTPv2 là một giao thức dành riêng cho các mạng LTE. Một mạng LTE bao gồm các phần tử mạng, các giao diện LTE, và các giao thức đi kèm.
Các phiên bản GTP trước đây (GTPv0 và GTPv1) được triển khai sử dụng các SGSN và GGSN. Tuy nhiên, với GTPv2, các thành phần truyền thống này được thay thế bằng ba nút logic: Serving Gateway (SGW), Packet Data Network Gateway (PGW), Mobility Management Entity (MME)
Hình 1 minh họa các giao diện LTE nơi các thiết bị tường lửa dòng SRX Series được triển khai trong mạng di động công cộng (PLMN – Public Land Mobile Network).
Hình 1: Các giao diện LTE
Giao thức đường hầm GPRS phiên bản 2 (GTPv2) triển khai một cơ chế chính sách nhằm kiểm tra từng gói tin GTPv2 dựa trên các chính sách bảo mật quy định lưu lượng GTPv2. Dựa vào chính sách bảo mật, gói tin sẽ được cho phép (forward), chặn (drop), hoặc đưa vào đường hầm (tunnel).
Một chính sách bảo mật GTPv2 cho phép bạn quyết định việc cho phép, từ chối, hoặc tunnel lưu lượng GTPv2. Tuy nhiên, chính sách bảo mật này không tự động bật tính năng kiểm tra lưu lượng GTPv2 trên thiết bị. Để bật kiểm tra lưu lượng, bạn phải gán một đối tượng kiểm tra GTPv2 (GTPv2 inspection object) vào một chính sách bảo mật. Một đối tượng kiểm tra GTPv2 là tập hợp các tham số cấu hình để xử lý lưu lượng GTPv2.
Bạn chỉ có thể gán một đối tượng kiểm tra GTPv2 cho mỗi chính sách bảo mật, tuy nhiên một đối tượng kiểm tra có thể được áp dụng cho nhiều chính sách bảo mật khác nhau.
Theo mặc định, đối tượng kiểm tra GTPv2 không được gán vào bất kỳ chính sách bảo mật nào. Bạn cần chỉ định rõ ràng đối tượng kiểm tra này khi cấu hình chính sách.
Thông qua chính sách bảo mật GTPv2, bạn có thể cho phép hoặc từ chối việc thiết lập tunnel GTPv2 từ các đối tác nhất định, chẳng hạn như Serving Gateway (SGW).
Bạn cũng có thể cấu hình các chính sách bảo mật GTPv2 với nhiều địa chỉ nguồn và đích, nhóm địa chỉ, hoặc toàn bộ vùng bảo mật (zone).
Ví dụ này minh họa cách bật tính năng kiểm tra GTPv2 (GTPv2 inspection) trong các chính sách bảo mật.
Yêu cầu
Trước khi bắt đầu, thiết bị phải được khởi động lại sau khi bật GTPv2. Theo mặc định, GTPv2 bị vô hiệu hóa trên thiết bị.
Tổng quan
Trong ví dụ này, bạn sẽ cấu hình các giao diện là ge-0/0/1 và ge-0/0/2, gán cho chúng địa chỉ lần lượt là 4.0.0.254/8 và 5.0.0.254/8. Sau đó, bạn cấu hình các vùng bảo mật (security zones) và chỉ định địa chỉ toàn cục (global addresses) tương ứng là 4.0.0.5/32 và 5.0.0.6/32. Bạn sẽ bật kiểm tra GTPv2 trong các chính sách bảo mật để cho phép lưu lượng hai chiều giữa hai mạng nằm trong cùng một mạng di động công cộng (PLMN – Public Land Mobile Network).
Cấu hình
Cấu hình nhanh qua CLI
Để cấu hình nhanh ví dụ này, hãy sao chép các lệnh sau, dán vào một tệp văn bản, loại bỏ các ngắt dòng, thay đổi các thông tin cần thiết sao cho phù hợp với cấu trúc mạng của bạn, sau đó sao chép và dán toàn bộ vào CLI ở cấp cấu hình [edit], rồi nhập lệnh commit để áp dụng cấu hình.
set security gprs gtp profile gtp2 set interfaces ge-0/0/1 unit 0 family inet address 4.0.0.254/8 set interfaces ge-0/0/2 unit 0 family inet address 5.0.0.254/8 set security zones security-zone sgw1 interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone sgw1 host-inbound-traffic protocols all set security zones security-zone pgw1 interfaces ge-0/0/2.0 host-inbound-traffic system-services all set security zones security-zone pgw1 host-inbound-traffic protocols all set security address-book global address local-sgw1 4.0.0.5/32 set security address-book global address remote-pgw1 5.0.0.6/32 set security policies from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 match source-address local-sgw1 destination-address remote-pgw1 application junos-gprs-gtp set security policies from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 then permit application-services gprs-gtp-profile gtp2 set security policies from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 match source-address remote-pgw1 destination-address local-sgw1 application junos-gprs-gtp set security policies from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 then permit application-services gprs-gtp-profile gtp2 |
Quy trình từng bước
Để cấu hình kiểm tra GTPv2 trong các chính sách:
Tạo đối tượng kiểm tra GTPv2.
[edit] user@host# set security gprs gtp profile gtp2 |
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 4.0.0.254/8 user@host# set ge-0/0/2 unit 0 family inet address 5.0.0.254/8 |
[edit security zones] user@host# set security-zone sgw1 interfaces ge-0/0/1.0 user@host# set security-zone sgw1 host-inbound-traffic system-services all user@host# set security-zone sgw1 host-inbound-traffic protocols all user@host# set security-zone pgw1 interfaces ge-0/0/2.0 user@host# set security-zone pgw1 host-inbound-traffic system-services all user@host# set security-zone pgw1 host-inbound-traffic protocols all |
[edit security address-book global] user@host# set address local-sgw1 4.0.0.5/32 user@host# set address remote-pgw1 5.0.0.6/32 |
[edit security policies] user@host# set from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 match source-address local-sgw1 destination-address remote-pgw1 application junos-gprs-gtp user@host# set from-zone sgw1 to-zone pgw1 policy sgw1_to_pgw1 then permit application-services gprs-gtp-profile gtp2 user@host# set from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 match source-address remote-pgw1 destination-address local-sgw1 application junos-gprs-gtp user@host# set from-zone pgw1 to-zone sgw1 policy pgw1_to_sgw1 then permit application-services gprs-gtp-profile gtp2 |
Kết quả
Từ chế độ cấu hình, xác nhận cấu hình của bạn bằng cách nhập lệnh show security policies. Nếu kết quả không hiển thị cấu hình như mong muốn, hãy thực hiện lại các bước cấu hình trong ví dụ này để chỉnh sửa.
[edit] user@host# show security policies from-zone sgw1 to-zone pgw1 { policy sgw1_to_pgw1 { match { source-address local-sgw1; destination-address remote-pgw1; application junos-gprs-gtp;} then { permit { application-services { gprs-gtp-profile gtp2;}}}}} from-zone pgw1 to-zone sgw1 { policy pgw1_to_sgw1 { match { source-address remote-pgw1; destination-address local-sgw1; application junos-gprs-gtp;} then { permit { application-services { gprs-gtp-profile gtp2;}}}}} default-policy { permit-all;} |
Nếu bạn đã hoàn tất việc cấu hình thiết bị, hãy nhập lệnh commit từ chế độ cấu hình.
Xác minh
Xác nhận rằng cấu hình đang hoạt động đúng.
Xác minh kiểm tra GTPv2 trong chính sách bảo mật
Mục đích
Xác minh rằng tính năng kiểm tra GTPv2 đã được bật.
Thao tác
Từ chế độ vận hành (operational mode), nhập lệnh: show security policies
Việc khởi động lại đường dẫn GPRS Tunneling Protocol (GTP) sẽ chấm dứt tất cả các đường hầm GTP giữa hai thiết bị. Mỗi cổng GTP (GTP gateway) được liên kết với một số khởi động lại (restart number). Bạn có thể lấy số khởi động lại này từ phần tử thông tin phục hồi (Recovery information element – IE) trong một thông điệp GTP.
Bạn có thể phát hiện việc khởi động lại bằng cách so sánh số khởi động lại được lưu trữ cục bộ với số khởi động lại mới nhận được. Số khởi động lại cục bộ là một giá trị khác 0 và không trùng với số mới.
Bạn có thể sử dụng câu lệnh cấu hình sau để khởi động lại đường dẫn GTP: set security gprs gtp profile <tên-profile> restart-path (echo | create | all)
Sau khi cấu hình lệnh này, thiết bị sẽ phát hiện số khởi động lại thay đổi dựa trên phần tử Recovery IE trong các thông điệp.
Bạn có thể chọn: echo: lấy số khởi động lại mới từ các thông điệp echo, create: lấy số khởi động lại từ các thông điệp create-session, all: lấy số khởi động lại từ tất cả các loại thông điệp GTP.
Ví dụ này hướng dẫn cách khởi động lại một đường dẫn GTPv2.
Yêu cầu
Không cần cấu hình đặc biệt nào ngoài việc khởi tạo thiết bị trước khi cấu hình tính năng này.
Tổng quan
Để đơn giản, ví dụ này sử dụng GTPv2.
Trong ví dụ này, bạn sẽ khởi động lại đường dẫn GTPv2 cho đối tượng kiểm tra GTPv2 có tên là gtp2. Bạn sẽ lấy số khởi động lại mới từ phần tử thông tin phục hồi (Recovery information element - IE) trong một thông điệp echo.
Cấu hình
Quy trình từng bước
Để khởi động lại đường dẫn GTPv2:
[edit] user@host# set security gprs gtp profile gtp2 |
[edit] user@host# set security gprs gtp profile gtp2 restart-path echo |
Nếu bạn đã hoàn tất cấu hình thiết bị, hãy thực hiện lệnh commit để áp dụng cấu hình.
[edit] user@host# commit |
Xác minh
Để xác nhận cấu hình đang hoạt động đúng, hãy nhập lệnh: show security gprs
Mục đích
Xác minh cấu hình.
Thao tác
Nhập lệnh kiểm tra.
Đường hầm GPRS Tunneling Protocol phiên bản 2 (GTPv2) cho phép truyền tải lưu lượng GTPv2 giữa các nút hỗ trợ GPRS (GSNs).
Trong quá trình truyền tải, các đường hầm GTPv2 có thể bị treo (hang) vì nhiều lý do. Ví dụ, các thông điệp delete-pdp-request có thể bị mất trên mạng, hoặc một GSN có thể không tắt đúng cách. Trong trường hợp đó, bạn có thể loại bỏ các đường hầm GTPv2 bị treo theo hai cách: tự động hoặc thủ công.
Loại bỏ đường hầm GTPv2 bị treo tự động. Bạn cần thiết lập giá trị thời gian chờ (timeout) cho đường hầm GTPv2 trên thiết bị. Thiết bị sẽ tự động nhận diện và xóa bỏ các đường hầm không hoạt động (idle) trong khoảng thời gian được chỉ định bởi giá trị timeout này. Giá trị timeout mặc định cho đường hầm GTPv2 là 36 giờ.
Bạn có thể sử dụng câu lệnh cấu hình sau để thiết lập giá trị này trên thiết bị: set security gprs gtp profile <tên-profile> timeout <giá-trị>. Giá trị timeout có thể đặt trong khoảng từ 1 đến 1000 giờ.
Loại bỏ đường hầm GTPv2 bị treo thủ công. Bạn cần sử dụng lệnh trong chế độ vận hành (operational mode): clear security gprs gtp tunnel
Ví dụ này hướng dẫn cách thiết lập giá trị timeout cho các đường hầm GTPv2.
Yêu cầu
Không cần cấu hình đặc biệt nào ngoài việc khởi tạo thiết bị trước khi cấu hình tính năng này.
Tổng quan
Trong ví dụ này, bạn sẽ đặt giá trị thời gian chờ cho đường hầm là 40 giờ đối với đối tượng kiểm tra GTPv2 có tên gtp2.
Cấu hình
Để cấu hình giá trị timeout cho đường hầm GTPv2:
[edit] user@host# set security gprs gtp profile gtp2 |
[edit] user@host# set security gprs gtp profile gtp2 timeout 40 |
[edit] user@host# commit |
Xác minh
Xác nhận rằng cấu hình đang hoạt động đúng.
Xác minh giá trị thời gian chờ (timeout) đường hầm GTPv2
Mục đích
Xác minh giá trị thời gian chờ của đường hầm GTPv2.
Thao tác
Từ chế độ vận hành (operational mode), nhập lệnh: show security gprs
Bạn có thể sử dụng console hoặc syslog để xem các bản ghi lưu lượng giao thức GPRS tunneling protocol phiên bản 2 (GTPv2). Bạn có thể cấu hình thiết bị để ghi lại các gói GTPv2 dựa trên trạng thái của chúng. Trạng thái của gói GTPv2 có thể là một trong các trạng thái sau:
Mặc định, tính năng ghi nhật ký GTPv2 trên thiết bị bị tắt. Bạn có thể sử dụng câu lệnh cấu hình sau để bật ghi nhật ký GTPv2 trên thiết bị: set security gprs gtp profile <tên-profile> log.
Ví dụ này hướng dẫn cách bật ghi nhật ký lưu lượng GTPv2 trên thiết bị.
Yêu cầu
Không cần cấu hình đặc biệt nào ngoài việc khởi tạo thiết bị trước khi cấu hình tính năng này.
Tổng quan
Trong ví dụ này, bạn sẽ bật ghi nhật ký lưu lượng GTPv2 cho các gói GTPv2 được chuyển tiếp (forwarded).
Cấu hình
Quy trình từng bước
Để bật ghi nhật ký lưu lượng GTPv2 cho các gói GTPv2 được chuyển tiếp:
[edit] user@host# set security gprs gtp profile gtp2 |
[edit] user@host# set security gprs gtp profile gtp2 log forwarded basic |
[edit] user@host# commit |
Xác minh
Để xác nhận cấu hình đang hoạt động đúng, hãy nhập lệnh: show security gprs.
Chúc các bạn thực hiện thành công. Hi vọng bài viết này sẽ giúp ích cho các bạn trong công việc. Nếu bạn có vấn đề gì thắc mắc đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.
Hẹn gặp lại các bạn trong các bài viết tiếp theo!
CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
• Điện thoại: 02432012368
• Hotline: 098 115 6699
• Email: info@datech.vn
• Website: https://datech.vn
