セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)
ファイアウォールの GGSN プーリング サポート
ファイアウォールの GGSN プーリング サポート
発行日;2013/09/03   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

ファイアウォールの GGSN プーリング サポート

ファイアウォールの GGSN プーリング サポート機能は、ロード バランシング サポートを追加することで、General Packet Radio Switching(GPRS)トンネリング プロトコル(GTP)機能を拡張します。 GTP は、単一のゲートウェイ GPRS サポート ノード(GGSN)に指定された制御トラフィックのインスペクションをサポートします。 Global System for Mobile Communication(GSM)ネットワークに効率性と拡張性を提供するために、ロード バランシングがトポロジに追加されます。 ロード バランサは、サービング GPRS サポート ノード(SGSN)からプール内のさまざまな GGSN に要求を送信します。

このモジュールでは、ファイアウォールの GGSN プーリング サポート機能を設定する方法について説明します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

ファイアウォールの GGSN プーリング サポートについて

GPRS の概要

General Packet Radio Service(GPRS)は、モバイル通信用グローバル システム(GSM)ネットワークと企業ネットワークやインターネットとの間の中断のない接続をモバイル加入者に提供します。 ゲートウェイ GPRS サポート ノード(GGSN)は、GPRS 無線データ ネットワークと他のネットワーク間のインターフェイスです。 サービング GPRS サポート ノード(SGSN)は、モビリティ、データ セッション管理、およびデータ圧縮を実行します。

GPRS コア ネットワーク アーキテクチャには、SGSN に論理的に接続されたモバイル ステーション(MS)が含まれます。 SGSN の主な機能は、MS にデータ サポート サービスを提供することです。 SGSN は、GTP を使用して GGSN に論理的に接続されます。 接続が同じオペレータのパブリック ランド モバイル ネットワーク(PLMN)内にある場合、その接続は Gn インターフェイスと呼ばれます。 接続が 2 つの異なる PLMN 間である場合、その接続は Gp インターフェイスと呼ばれます。 GGSN は、Gi インターフェイスと呼ばれるインターフェイスを介して、インターネットや企業ネットワークなどの外部ネットワークにデータ ゲートウェイを提供します。 GTP は、MS のデータをカプセル化するために使用されます。 GTP には、ローミング シナリオで SGSN と GGSN 間のトンネルを確立、移動、および削除する機能が含まれます。

図 1. GPRS コア ネットワーク コア

Universal Mobile Telecommunications System(UMTS)は、固定回線テレフォニー、モバイル、インターネット、コンピュータ テクノロジーの商用コンバージェンスです。 UMTS Terrestrial Radio Access Network(UTRAN)は、システムにワイヤレス ネットワークを実装するために使用されるネットワーキング プロトコルです。 GTP を使用すると、GGSN、SGSN、および UTRAN 間の UMTS/GPRS バックボーンで、マルチプロトコル パケットをトンネリングできます。

Gp インターフェイスと Gi インターフェイスは、オペレータのネットワークと信頼できない外部ネットワークとの間の相互接続のプライマリ ポイントです。 オペレータは、これらの外部ネットワークから発信された攻撃から自分のネットワークを保護するために注力する必要があります。

Gp インターフェイスは、PLMN 間のモバイル(ローミング)データ ユーザをサポートする論理接続です。 GTP は、ローカル SGSN とユーザのホーム GGSN との間の接続を確立します。

MS から発信されたデータは、Gi インターフェイスに送信されます。 これは、公衆データ網および企業顧客のネットワークに公開されるインターフェイスでもあります。

GGSN から送信される、または Gi インターフェイスで MS に到達するトラフィックは、MS で使用されるアプリケーションが未知であるため、実質的にあらゆる種類のインターフェイスになる可能性があります。

GTP を使用すると、GPRS サポート ノード(GSN)間の GPRS バックボーンで、マルチプロトコル パケットをトンネリングできます。 GTP は、トンネル制御および管理プロトコルを提供します。このプロトコルによって、SGSN は、トンネルの作成、変更、および削除を行い、MS に GPRS ネットワーク アクセスを提供できます。 GTP は、トンネリング メカニズムを使用して、ユーザ データ パケットを伝送するためのサービスを提供します。


(注)  


GTP をフェールオーバーと同時に使用しているとき、GTP 接続が確立され、データがトンネルを超えて伝送される前にアクティブ装置に障害が発生した場合、GTP データ接続(「j」フラグが設定されています)は、スタンバイ装置に複製されません。 これは、アクティブ装置が初期接続をスタンバイ装置に複製しないためです。


GTP の概要

General Packet Radio Service(GPRS)トンネリング プロトコル(GTP)を使用すると、GPRS サポート ノード(GSN)間の GPRS バックボーンで、マルチプロトコル パケットをトンネリングできます。 3 つの GTP バージョンを使用できます。 GPRS トンネリング サポート機能は、GTP バージョン 0(GTPv0)および GTP バージョン 1(GTPv1)という 2 つの GTP バージョンをサポートします。

GTPv0 では、GPRS モバイル ステーション(MS)は、プロトコルを認識せずにサービング GPRS サポート ノード(SGSN)に接続されます。 パケット データ プロトコル(PDP)コンテキストは、International Mobile Subscriber Identity(IMSI)およびネットワーク サービス アクセス ポイント識別子(NSAPI)との組み合わせであるトンネル識別子(TID)によって識別されます。 各 MS には最大 15 の NSAPI を設定できます。 これにより、MS は、さまざまな Quality of Service(QoS)レベルのアプリケーション要件に基づいて、異なる NSAPI を使用して複数の PDP コンテキストを作成できます。 TID は GTPv0 ヘッダーで伝送されます。

IMSI には次の 3 つの部分があります。

  • 3 桁の数字で構成されるモバイル国番号(MCC)。 MCC は、モバイル加入者の居住地の国を一意に識別します。
  • GSM アプリケーション用の 2 桁または 3 桁の数字で構成されるモバイル ネットワーク コード(MNC)。 MNC はモバイル加入者のホーム GSM パブリック ランド モバイル ネットワーク(PLMN)を識別します。 MNC の長さは、MCC の値によって異なります。

    (注)  


    単一 MCC エリア内での 2 桁と 3 桁の MNC コードの組み合わせは推奨されません。


  • GSM PLMN 内のモバイル加入者を識別する Mobile Subscriber Identification Number(MSIN)。 National Mobile Subscriber Identity(NMSI)は、MNC と MSIN で構成されます。

GTPv1 は、MS のプライマリ コンテキストとセカンダリ コンテキストの概念を導入します。 プライマリ コンテキストは、IP アドレスに関連付けられ、受信 GSN に付加されるアクセス ポイント名(APN)などの他のパラメータを示します。 このプライマリ PDP コンテキスト用に作成されたセカンダリ コンテキストは、プライマリ コンテキストにすでに関連付けられている IP アドレスやその他のパラメータを共有します。 これにより、MS は、異なる Quality of Service(QoS)要件の別のコンテキストを開始することができ、プライマリ コンテキストですでに取得されている IP アドレスを共有することもできます。 プライマリ コンテキストとセカンダリ コンテキストは、コントロール プレーンでトンネル エンドポイント ID(TEID)を共有し、データ プレーンでは異なる TEID 値を持ちます。 すべてのプライマリ コンテキストとセカンダリ コンテキストが IP アドレスを共有しているため、MS へのダウンリンク方向のトラフィックを分類するために、トラフィック フロー テンプレート(TFT)が使用されます。 TFT は、コンテキストの作成中に交換されます。

プライマリ PDP への PDP コンテキスト作成要求だけに IMSI が含まれます。 IMSI および NSAPI は連携して PDP コンテキストを一意に識別します。 セカンダリ PDP コンテキストのアクティブ化には、この PDP アドレスおよび APN ですでにアクティブ化されている PDP コンテキストのいずれかに割り当てられた NSAPI を示す、Linked NSAPI(LNSAPI)が含まれます。


(注)  


UDP は、GTPv0 および GTPv1 のシグナリング メッセージ用の唯一サポートされた定義済みのパス プロトコルです。


GGSN プーリング サポート

ゲートウェイ GPRS サポート ノード(GGSN)は、サーバ ロード バランシング(SLB)機能を使用して、ファイアウォール ロード バランシングをサポートします。 SLB は、ファイアウォール ファームと呼ばれるファイアウォールのグループ間でトラフィック フローを分散させます。 このクラスタまたはプールで、クライアントは仮想サーバの IP アドレスに接続できます。 クライアントが仮想サーバへの接続を開始すると、SLB は、設定されているロード バランシング アルゴリズムに基づいて、接続する実サーバを選択します。

GTP ロード バランシングを設定する場合、GGSN のプールは SLB での GGSN ファームとして設定されます。 これらの GGSN を使用して、GPRS トンネリング プロトコル(GTP)セッションをロード バランシングすることができます。 GGSN ファーム全体で GTP セッションをロード バランシングするために、SLB で仮想サーバ インスタンスが設定されます。

GGSN プーリングをサポートするには、デバイスは、GSN が GTP SLB パケット内の IP アドレスとして指定されたものとは異なる場合でも、GSN のロード バランシングを許可し、パケット データ プロトコル(PDP)要求に応答する必要があります。

GGSN プーリングでは、ローミング接続を使用する加入者が、サービング GPRS サポート ノード(SGSN)から、SLB の背後に存在する GGSN に PDP 要求を送信すると、ファイアウォールは PDP 要求を受け入れる必要があります。 ピンホールは未知の GGSN に作成されないため、ファイアウォールは PDP 応答をドロップします。 ファイアウォールによって PDP 応答がドロップされないようにするには、アクセス コントロール リスト(ACL)を設定する必要があります。 ファイアウォール ピンホールは、保護されたネットワークへの制御アクセスをアプリケーションが取得できるようにするために、ファイアウォールに開かれたポートです。

グローバル セッション データベースは、PDP 要求が SGSN から受信されると、保留中のすべての PDP 要求コンテキストを記録します。 PDP 要求が SGSN から受信されると、コンテキストを照合するためのセッション ルックアップが実行され、一致が見つからない場合は応答がドロップされます。 パケット データは、実質的にデータ セッションである PDP コンテキストの確立によって転送されます。

ファイアウォールを通過する GTP トラフィック

デバイスが検査するメイン General Packet Radio Service(GPRS)トンネリング プロトコル(GTP)トラフィックは、ローミング トラフィックです。 ローミング トラフィックは、モバイル ステーション(MS)がそのホーム パブリック ランド モバイル ネットワーク(HPLMN)から Visited PLMN(VPLMN)に移動すると発生します。

ファイアウォールを通過する GTP トラフィックには次のメッセージが含まれます。
  • サービング GPRS サポート ノード(SGSN)からゲートウェイ GPRS サポート ノード(GGSN)への GTP メッセージ
  • GGSN-to-SGSN GTP メッセージ
  • SGSN-to-SGSN GTP メッセージ

ファイアウォールの GGSN プーリング サポートの設定方法

GGSN プーリングのアクセス コントロール リストおよびクラス マップの設定

手順の概要

    1.    enable

    2.    configure terminal

    3.    access-list access-list-number permit protocol source source-wildcard any

    4.    access-list access-list-number permit protocol any destination destination-wildcard

    5.    access-list access-list-number permit protocol source source-wildcard any

    6.    class-map type inspect gtpv1 match-any class-map-name

    7.    match mcc country-code mnc network-code

    8.    match mcc country-code mnc network-code

    9.    exit

    10.    class-map type inspect gtpv1 match-any class-map-name

    11.    match mcc country-code mnc network-code

    12.    match mcc country-code mnc network-code

    13.    exit

    14.    class-map type inspect gtpv1 match-all class-map-name

    15.    match protocol protocol-name

    16.    match access-group access-list-number

    17.    exit

    18.    class-map type inspect gtpv1 match-all class-map-name

    19.    match protocol protocol-name

    20.    match access-group access-list-number

    21.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable
     
    特権 EXEC モードをイネーブルにします。
    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例:
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 access-list access-list-number permit protocol source source-wildcard any


    例:
    Device(config)# access-list 101 permit ip 10.2.2.0 255.255.255.0 any
     
    拡張 IP アクセス リストを定義します。
    • この例で設定されるアクセス リスト 101 は、GGSN または SGSN から任意の宛先へのトラフィックを許可します。
     
    ステップ 4 access-list access-list-number permit protocol any destination destination-wildcard


    例:
    Device(config)# access-list 102 permit ip any 10.2.2.0 255.255.255.0
     
    拡張 IP アクセス リストを定義します。
    • この例で設定されるアクセス リスト 102 は、任意の送信元から GGSN または SGSN へのトラフィックを許可します。
     
    ステップ 5 access-list access-list-number permit protocol source source-wildcard any


    例:
    Device(config)# access-list 103 permit ip 10.2.2.0 255.255.255.0 any
     
    拡張 IP アクセス リストを定義します。
    • この例で設定されるアクセス リスト 103 は、GGSN または SGSN から任意の宛先へのトラフィックを許可します。
     
    ステップ 6 class-map type inspect gtpv1 match-any class-map-name


    例:
    Device(config)# class-map type inspect gtpv1 match-any gtp-cl7-rev
     

    アプリケーション固有検査タイプ クラス マップを作成し、クラスのメンバーと見なされるためには指定した一致条件のいずれかをパケットが満たす必要があることを指定して、QoS クラスマップ コンフィギュレーション モードを開始します。

     
    ステップ 7 match mcc country-code mnc network-code


    例:
    Device(config-cmap)# match mcc 1 mnc 1 
     
    有効なモバイル国番号(MCC)およびモバイル ネットワーク コード(MNC)のフィルタリングを設定します。
    • この例では、外国の MCC および MNC へのローミング接続のフィルタリングを設定します。
     
    ステップ 8 match mcc country-code mnc network-code


    例:
    Device(config-cmap)# match mcc 2 mnc 1 
     
    有効な MCC と MNC のフィルタリングを設定します。
    • この例では、ローカルの MCC および MNC へのローミング接続のフィルタリングを設定します。
     
    ステップ 9 exit


    例:
    Device(config-cmap)# exit
     

    QoS クラスマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 10 class-map type inspect gtpv1 match-any class-map-name


    例:
    Device(config)# class-map type inspect gtpv1 match-any gtp-cl7
     

    アプリケーション固有検査タイプ クラス マップを作成し、クラスのメンバーと見なされるためには指定した一致条件のいずれかをパケットが満たす必要があることを指定して、QoS クラスマップ コンフィギュレーション モードを開始します。

     
    ステップ 11 match mcc country-code mnc network-code


    例:
    Device(config-cmap)# match mcc 2 mnc 1 
     

    有効な MCC と MNC のフィルタリングを設定します。

     
    ステップ 12 match mcc country-code mnc network-code


    例:
    Device(config-cmap)# match mcc 1 mnc 1 
     

    有効な MCC と MNC のフィルタリングを設定します。

     
    ステップ 13 exit


    例:
    Device(config-cmap)# exit
     

    QoS クラスマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 14 class-map type inspect gtpv1 match-all class-map-name


    例:
    Device(config)# class-map type inspect gtpv1 match-all gtp-l4c
     

    アプリケーション固有検査タイプ クラス マップを作成し、クラスのメンバーと見なされるためには指定した一致条件のすべてをパケットが満たす必要があることを指定して、QoS クラスマップ コンフィギュレーション モードを開始します。

     
    ステップ 15 match protocol protocol-name


    例:
    Device(config-cmap)# match protocol gtpv1
     

    指定されたプロトコルに基づくクラス マップの一致基準を設定します。

     
    ステップ 16 match access-group access-list-number


    例:
    Device(config-cmap)# match access-group 101
     

    指定された ACL に基づくクラス マップの一致基準を設定します。

     
    ステップ 17 exit


    例:
    Device(config-cmap)# exit
     

    QoS クラスマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 18 class-map type inspect gtpv1 match-all class-map-name


    例:
    Device(config)# class-map type inspect gtpv1 match-all gtp-l4c-rev
     

    アプリケーション固有検査タイプ クラス マップを作成し、クラスのメンバーと見なされるためには指定した一致条件のすべてをパケットが満たす必要があることを指定して、QoS クラスマップ コンフィギュレーション モードを開始します。

     
    ステップ 19 match protocol protocol-name


    例:
    Device(config-cmap)# match protocol gtpv1
     

    指定されたプロトコルに基づくクラス マップの一致基準を設定します。

     
    ステップ 20 match access-group access-list-number


    例:
    Device(config-cmap)# match access-group 102
     

    指定された ACL に基づくクラス マップの一致基準を設定します。

     
    ステップ 21 end


    例:
    Device(config-cmap)# end
     

    QoS クラスマップ コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

     

    GGSN プーリングのポリシー マップの設定

    手順の概要

      1.    enable

      2.    configure terminal

      3.    policy-map type inspect gtpv1 gtpv1-policy

      4.    class type inspect gtpv1 class-map-name

      5.    log

      6.    exit

      7.    class class-default

      8.    exit

      9.    policy-map type inspect gtpv1 gtpv1-policy

      10.    class type inspect gtpv1 class-map-name

      11.    log

      12.    exit

      13.    class class-default

      14.    exit

      15.    policy-map type inspect gtpv1 gtpv1-policy

      16.    class type inspect gtpv1 class-map-name

      17.    inspect

      18.    service-policy policy-map-name

      19.    exit

      20.    class class-default

      21.    exit

      22.    policy-map type inspect gtpv1 gtpv1-policy

      23.    class type inspect gtpv1 class-map-name

      24.    inspect

      25.    service-policy policy-map-name

      26.    exit

      27.    class class-default

      28.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Device> enable
       
      特権 EXEC モードをイネーブルにします。
      • パスワードを入力します(要求された場合)。
       
      ステップ 2 configure terminal


      例:
      Device# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 policy-map type inspect gtpv1 gtpv1-policy


      例:
      Device(config)# policy-map type inspect gtpv1 gtp-l7p-rev
       

      プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

       
      ステップ 4 class type inspect gtpv1 class-map-name


      例:
      Device(config-pmap)# class type inspect gtpv1 gtp-cl7-rev
       

      アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

       
      ステップ 5 log


      例:
      Device(config-pmap-c)# log
       

      メッセージのログを生成します。

       
      ステップ 6 exit


      例:
      Device(config-pmap-c)# exit
       

      QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

       
      ステップ 7 class class-default


      例:
      Device(config-pmap)# class class-default
       

      ポリシーを設定または変更できるようデフォルト クラスを指定します。

       
      ステップ 8 exit


      例:
      Device(config-pmap)# exit
       

      QoS ポリシーマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

       
      ステップ 9 policy-map type inspect gtpv1 gtpv1-policy


      例:
      Device(config)# policy-map type inspect gtpv1 gtp-l7p
       

      プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

       
      ステップ 10 class type inspect gtpv1 class-map-name


      例:
      Device(config-pmap)# class type inspect gtpv1 gtp-cl7
       

      アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

       
      ステップ 11 log


      例:
      Device(config-pmap-c)# log
       

      メッセージのログを生成します。

       
      ステップ 12 exit


      例:
      Device(config-pmap-c)# exit
       

      QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

       
      ステップ 13 class class-default


      例:
      Device(config-pmap)# class class-default
       

      ポリシーを設定または変更できるようデフォルト クラスを指定します。

       
      ステップ 14 exit


      例:
      Device(config-pmap)# exit
       

      QoS ポリシーマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

       
      ステップ 15 policy-map type inspect gtpv1 gtpv1-policy


      例:
      Device(config)# policy-map type inspect gtpv1 gtp-l4p-rev
       

      プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

       
      ステップ 16 class type inspect gtpv1 class-map-name


      例:
      Device(config-pmap)# class type inspect gtpv1 gtp-l4c-rev
       

      アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

       
      ステップ 17 inspect


      例:
      Device(config-pmap-c)# inspect
       

      ステートフル パケット インスペクションをイネーブルにします。

       
      ステップ 18 service-policy policy-map-name


      例:
      Device(config-pmap-c)# service-policy gtp-l7p-rev
       

      ポリシー マップ内の QoS ポリシー(階層サービス ポリシーと呼ばれる)としてサービス ポリシーを使用します。

       
      ステップ 19 exit


      例:
      Device(config-pmap-c)# exit
       

      QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

       
      ステップ 20 class class-default


      例:
      Device(config-pmap)# class class-default
       

      ポリシーを設定または変更できるようデフォルト クラスを指定します。

       
      ステップ 21 exit


      例:
      Device(config-pmap)# exit
       

      QoS ポリシーマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

       
      ステップ 22 policy-map type inspect gtpv1 gtpv1-policy


      例:
      Device(config)# policy-map type inspect gtpv1 gtp-l4p
       

      プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

       
      ステップ 23 class type inspect gtpv1 class-map-name


      例:
      Device(config-pmap)# class type inspect gtpv1 gtp-l4c
       

      アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

       
      ステップ 24 inspect


      例:
      Device(config-pmap-c)# inspect
       

      ステートフル パケット インスペクションをイネーブルにします。

       
      ステップ 25 service-policy policy-map-name


      例:
      Device(config-pmap-c)# service-policy gtp-l7p
       

      ポリシー マップ内の QoS ポリシー(階層サービス ポリシーと呼ばれる)としてサービス ポリシーを使用します。

       
      ステップ 26 exit


      例:
      Device(config-pmap)# exit
       

      QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

       
      ステップ 27 class class-default


      例:
      Device(config-pmap)# class class-default
       

      ポリシーを設定または変更できるようデフォルト クラスを指定します。

       
      ステップ 28 end


      例:
      Device(config-pmap-c)# end
       

      QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

       

      GGSN プーリング サポートのゾーンおよびゾーン ペアの設定

      手順の概要

        1.    enable

        2.    configure terminal

        3.    zone security security-zone

        4.    exit

        5.    zone security security-zone

        6.    exit

        7.    zone-pair security zone-pair-name source source-zone destination destination-zone

        8.    service-policy type inspect policy-map-name

        9.    exit

        10.    zone-pair security zone-pair-name source source-zone destination destination-zone

        11.    service-policy type inspect policy-map-name

        12.    end


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Device> enable
         
        特権 EXEC モードをイネーブルにします。
        • パスワードを入力します(要求された場合)。
         
        ステップ 2 configure terminal


        例:
        Device(config)# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 zone security security-zone


        例:
        Device(config)# zone security roam-in
         

        インターフェイスを割り当てることができるセキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

        • 設定には、ゾーン ペアを作成するために、2 つのセキュリティ ゾーン(送信元ゾーンと宛先ゾーン)が含まれている必要があります。
        • ゾーン ペアでは、送信元ゾーンまたは宛先ゾーンとしてデフォルト ゾーンを使用できます。
         
        ステップ 4 exit


        例:
        Device(config-sec-zone)# exit
         

        セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

         
        ステップ 5 zone security security-zone


        例:
        Device(config-sec-zone)# zone security roam-out
         

        インターフェイスを割り当てることができるセキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

         
        ステップ 6 exit


        例:
        Device(config-sec-zone)# exit
         

        セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

         
        ステップ 7 zone-pair security zone-pair-name source source-zone destination destination-zone


        例:
        Device(config)# zone-pair security in2out source roam-in destination roam-out 
         
        セキュリティ ゾーンのペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。
        • ポリシーを適用するには、ゾーン ペアを設定する必要があります。
         
        ステップ 8 service-policy type inspect policy-map-name


        例:
        Device(config-sec-zone-pair)# service-policy type inspect gtp-l4p
         

        ファイアウォール ポリシー マップを宛先ゾーン ペアに付加します。

         
        ステップ 9 exit


        例:
        Device(config-sec-zone-pair)# exit
         

        セキュリティ ゾーンペア コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

         
        ステップ 10 zone-pair security zone-pair-name source source-zone destination destination-zone


        例:
        Device(config)# zone-pair security out2in source roam-out destination roam-in 
         

        セキュリティ ゾーンのペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。

         
        ステップ 11 service-policy type inspect policy-map-name


        例:
        Device(config-sec-zone-pair)# service-policy type inspect gtp-l4p-rev
         

        ファイアウォール ポリシー マップを宛先ゾーン ペアに付加します。

         
        ステップ 12 end


        例:
        Device(config-sec-zone)# end
         

        セキュリティ ゾーンペア コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

         

        ファイアウォールの GGSN プーリング サポートの設定例

        例:GGSN プーリングのアクセス コントロール リストおよびクラス マップの設定

        Device# configure terminal
        Device(config)# access-list 101 permit ip 10.2.2.0 255.255.255.0 any
        Device(config)# access-list 102 permit ip any 10.2.2.0 255.255.255.0
        Device(config)# access-list 103 permit ip 10.2.2.0 255.255.255.0 any
        Device(config)# class-map type inspect gtpv1 match-any gtp-cl7-rev
        Device(config-cmap)# match mcc 1 mnc 1 
        Device(config-cmap)# match mcc 2 mnc 1
        Device(config-cmap)# exit
        Device(config)# class-map type inspect gtpv1 match-any gtp-cl7
        Device(config-cmap)# match mcc 2 mnc 1 
        Device(config-cmap)# match mcc 1 mnc 1 
        Device(config-cmap)# exit
        Device(config)# class-map type inspect gtpv1 match-all gtp-l4c
        Device(config-cmap)# match protocol gtpv1
        Device(config-cmap)# match access-group 101
        Device(config-cmap)# exit
        Device(config)# class-map type inspect gtpv1 match-all gtp-l4c-rev
        Device(config-cmap)# match protocol gtpv1
        Device(config-cmap)# match access-group 102
        Device(config-cmap)# end

        例:GGSN プーリングのポリシー マップの設定

        Device# configure terminal
        Device(config)# policy-map type inspect gtpv1 gtp-l7p-rev
        Device(config-pmap)# class type inspect gtpv1 gtp-cl7-rev
        Device(config-pmap-c)# log
        Device(config-pmap-c)# exit
        Device(config-pmap)# class class-default
        Device(config-pmap)# exit
        Device(config)# policy-map type inspect gtpv1 gtp-l7p
        Device(config-pmap)# class type inspect gtpv1 gtp-cl7
        Device(config-pmap-c)# log
        Device(config-pmap-c)# exit
        Device(config-pmap)# class class-default
        Device(config-pmap)# exit
        Device(config)# policy-map type inspect gtpv1 gtp-l4p-rev
        Device(config-pmap)# class type inspect gtpv1 gtp-l4c-rev
        Device(config-pmap-c)# inspect
        Device(config-pmap-c)# service-policy gtp-l7p-rev
        Device(config-pmap-c)# exit
        Device(config-pmap)# class class-default
        Device(config-pmap)# exit
        Device(config)# policy-map type inspect gtpv1 gtp-l4p
        Device(config-pmap)# class type inspect gtpv1 gtp-l4c
        Device(config-pmap-c)# inspect
        Device(config-pmap-c)# service-policy gtp-l7p
        Device(config-pmap)# exit
        Device(config-pmap)# class class-default
        Device(config-pmap-c)# end

        例:GGSN プーリングのゾーンおよびゾーン ペアの設定

        Device(config)# configure terminal
        Device(config)# zone security roam-in
        Device(config-sec-zone)# exit
        Device(config-sec-zone)# zone security roam-out
        Device(config-sec-zone)# exit
        Device(config)# zone-pair security in2out source roam-in destination roam-out
        Device(config-sec-zone-pair)# service-policy type inspect gtp-l4p
        Device(config-sec-zone-pair)# exit
        Device(config)# zone-pair security out2in source roam-out destination roam-in
        Device(config-sec-zone-pair)# service-policy type inspect gtp-l4p-rev
        Device(config)# end

        ファイアウォール ステートフル シャーシ間冗長性の追加情報

        シスコのテクニカル サポート

        説明

        リンク

        シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

        http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

        ファイアウォールの GGSN プーリング サポートの機能情報

        次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

        プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

        表 1 ファイアウォールの GGSN プーリング サポートの機能情報

        機能名

        リリース

        機能情報

        ファイアウォールの GGSN プーリング サポート

        Cisco IOS XE Release 3.7S

        ファイアウォールの GGSN プーリング サポート機能は、ロード バランシング サポートを追加することで、GPRS トンネリング プロトコル(GTP)機能を拡張します。 GTP は、単一の GGSN に指定された制御トラフィックのインスペクションをサポートします。 GSM ネットワークに効率性と拡張性を提供するために、ロード バランシングがトポロジに追加されています。 ロード バランサは、SGSN からプール内のさまざまな GGSN に要求を送信します。