소개
이 문서에서는 인증 imsi-auth 또는 인증 msisdn-auth를 사용하여 기업 L2TP APN을 구성하는 데 필요한 결과를 설명합니다.
문제/장애:msisdn-auth 및 imsi-auth APN 컨피그레이션 옵션에는 L2TP 기반 APN에 대한 특정(명확하지 않음) 결과가 있습니다.
공식 문서(릴리스 19용)는 다음과 같습니다.
imsi-auth - IMSI(International Mobile Subscriber Identification) 번호에 따라 APN이 가입자를 인증하도록 구성합니다.
msisdn-auth - 이 명령의 Usage 섹션에 설명된 대로 APN이 모바일 스테이션 MSISDN(International Integrated Services Digital Network) 번호를 기반으로 가입자 인증을 시도하도록 구성합니다.
구성 예:
apn ecs-apn
ims-auth-service IMSA
dns primary 192.168.1.128
dns secondary 192.168.1.129
ip access-group CSS_ACL in
ip access-group CSS_ACL out
authentication imsi-auth username-strip-apn prefer-chap-pco <<<<<<<<<<<<<<<<<<<<<<<<<<<
ip context-name Gi
tunnel l2tp peer-address 2.2.2.2 encrypted secret +A3oxne9nnyqmuz16dddqucwcqz92p2hi4t8z21nx3hmmpcgvh4ida preference 1 <<<<<<<<<<<<<<<<<<<<<<<<<<<
tunnel l2tp peer-address 3.3.3.3 encrypted secret +A2dbz9joxajmv80jxmr5aycl1ka2s6nzmu7s2bte3nnz4o2hgkqxn preference 2 <<<<<<<<<<<<<<<<<<<<<<<<<<<
loadbalance-tunnel-peers prioritized <<<<<<<<<<<<<<<<<<<<<<<<<<<
exit
lac-service LAC-SVC <<<<<<<<<<<<<<<<<<<<<<<<<<<
max-retransmission 1
retransmission-timeout-max 1
load-balancing prioritized
allow aaa-assigned-hostname
keepalive-interval 30
peer-lns 2.2.2.2 encrypted secret +A2q4fv7h5tum1a06vc2wblk9l7k3ma98myremkew1552c2vosy2h1
peer-lns 3.3.3.3 encrypted secret +A16gnydsddbqqx3okh7ln6jrwxz3s3u3lzvzo5bz0ccc0ztr0cvsh
bind address 1.1.1.1
#exit
위의 옵션 중 하나가 L2TP 기반 APN에 대해 구성된 경우 게이트웨이 GPRS 지원 노드/
PDN(Packet Data Network) 게이트웨이(GGSN/PGW)는 LNS(L2TP Network Server)를 사용한 PPP 인증을 위해 IMSI 또는 MSISDN을 사용합니다.
이 옵션은 UE(User Equipment)에서 제공한 사용자 이름이 없는 경우 예상대로 작동합니다.
ii
Friday April 07 2017
INBOUND>>>>> 09:57:08:270 Eventid:141004(3)
[PGW-S5/S2a/S2b]GTPv2C Rx PDU, from 213.151.233.172:35664 to 213.151.233.230:2123 (271)
TEID: 0x00000000, Message type: EGTP_CREATE_SESSION_REQUEST (0x20)
Sequence Number: 0x317962 (3242338)
GTP HEADER
Version number: 2
TEID flag: Present
Piggybacking flag: Not present
Message Length: 0x010B (267)
INFORMATION ELEMENTS
IMSI:
Type: 1 Length: 8 Inst: 0
Value: 231014450903030
Hex: 0100 0800 3201 4154 9030 30F0
MSISDN:
Type: 76 Length: 6 Inst: 0
Value: 421917667546
Hex: 4C00 0600 2491 7166 5764
MOBILE EQUIPMENT IDENTITY:
Type: 75 Length: 8 Inst: 0
Value: 3594050557927001
Hex: 4B00 0800 5349 5050 7529 0710
[…]
ACCESS POINT NAME:
Type: 71 Length: 38 Inst: 0
Value: ltpipsec.corp.test.mnc001.mcc231.gprs
Hex: 4700 2600 086C 7470 6970 7365 6304 636F
7270 0474 6573 7406 6D6E 6330 3031 066D
6363 3233 3104 6770 7273
SELECTION MODE:
Type: 128 Length: 1 Inst: 0
Value: MS provided APN,subscr not verified (0x01)
Hex: 8000 0100 01
PDN TYPE:
Type: 99 Length: 1 Inst: 0
Value: IPV4
Hex: 6300 0100 01
[…]
PCO:
Type: 78 Length: 32 Inst: 0
Container id: 0xC023 (PAP)
Container length: 0x06 (6)
Container content:
Auth-Req(0), Name=, Passwd=
Container id: 0x8021 (IPCP)
Container length: 0x10 (16)
Container content:
Conf-Req(0), Pri-DNS=0.0.0.0, Sec-DNS=0.0.0.0
Container id: 0x000D (IPv4-DNS-Server)
Container length: 0x00 (0)
Container content:
DNS Address: Request for IPv4 DNS Address allocation
Hex: 4E00 2000 80C0 2306 0100 0006 0000 8021
1001 0000 1081 0600 0000 0083 0600 0000
0000 0D00
[…]
Friday April 07 2017
<<<<OUTBOUND 09:57:08:295 Eventid:25001(0)
PPP Tx PDU (20)
PAP 20: Auth-Req(1), Name=421917667546, Passwd= <-- username is replaced with MSISDN as the APN is configured with “msisdn-auth”
UE에서 제공한 사용자 이름이 있는 경우 이 옵션은 작동하지 않습니다.이 경우 GGSN/PGW는 APN 내에 구성된 사용자 이름과 비밀번호를 전송합니다.
구성된 항목이 없는 경우
Friday April 07 2017
INBOUND>>>>> 09:47:51:254 Eventid:141004(3)
[PGW-S5/S2a/S2b]GTPv2C Rx PDU, from 213.151.233.172:35824 to 213.151.233.230:2123 (279)
TEID: 0x00000000, Message type: EGTP_CREATE_SESSION_REQUEST (0x20)
Sequence Number: 0x5C4D6C (6049132)
GTP HEADER
Version number: 2
TEID flag: Present
Piggybacking flag: Not present
Message Length: 0x0113 (275)
INFORMATION ELEMENTS
IMSI:
Type: 1 Length: 8 Inst: 0
Value: 231014450903030
Hex: 0100 0800 3201 4154 9030 30F0
MSISDN:
Type: 76 Length: 6 Inst: 0
Value: 421917667546
Hex: 4C00 0600 2491 7166 5764
MOBILE EQUIPMENT IDENTITY:
Type: 75 Length: 8 Inst: 0
Value: 3594050557927001
Hex: 4B00 0800 5349 5050 7529 0710
[..]
PCO:
Type: 78 Length: 40 Inst: 0
Container id: 0xC023 (PAP)
Container length: 0x0E (14)
Container content:
Auth-Req(0), Name=null, Passwd=null
Container id: 0x8021 (IPCP)
Container length: 0x10 (16)
Container content:
Conf-Req(0), Pri-DNS=0.0.0.0, Sec-DNS=0.0.0.0
Container id: 0x000D (IPv4-DNS-Server)
Container length: 0x00 (0)
Container content:
DNS Address: Request for IPv4 DNS Address allocation
Hex: 4E00 2800 80C0 230E 0100 000E 046E 756C
6C04 6E75 6C6C 8021 1001 0000 1081 0600
0000 0083 0600 0000 0000 0D00
[…]
Friday April 07 2017
<<<<OUTBOUND 09:47:51:334 Eventid:25001(0)
PPP Tx PDU (16)
PAP 16: Auth-Req(1), Name=null, Passwd=null <-- username is the same as in the APN
솔루션
관찰된 동작은 설계에 따라 예상됩니다.
PCO(Protocol Configuration Options) 사용자 이름이 들어올 때 authentication imsi-auth username-strip-apn prefer-chap-pco(또는 authentication msisdn-auth username-strip-apn prefer-chap-pco) 컨피그레이션이 사용됩니다.
이는 NAI(Network Access Identifier) 구성 시 우선 순위 순서입니다.
- 아웃바운드 사용자 이름 <1-128 char string>이 APN 내에 구성된 경우, 이는 다른 모든 구성/IE를 재정의하며 PAP/CHAP req로 전송됩니다.
- UE에서 PCO 사용자 이름/비밀번호를 전송하면 PAP/CHAP(Password Authentication Protocol/Challenge Handshake Authentication Protocol) req의 LNS로 전송됩니다.
- UE에서 사용자 이름을 전송하지 않으면 PAP/CHAP 요청에서 기본적으로 msisdn/imsi@APN이 사용자 이름으로 전송됩니다.
- 또한 이 CLI - authentication msisdn/imsi-auth username-strip-apn을 사용하여 APN을 제거하고 PAP/CHAP 요청에서 msisdn/imsi만 보낼 수 있습니다.
인증이 Radius(로컬에서)에 의해 수행되는 경우 IMSI(또는 MSISDN)가 Access-Request 메시지에 예상대로 전송됩니다.
L2TP 시나리오에서 RADIUS(LAC 측)에 의한 인증이 수행되는 경우, Access-Request 메시지에 필요한 사용자 이름(IMSI 또는 MSISDN)이 표시되지만 LNS에 대한 Auth-Req에는 표시되지 않습니다.