Verständnis der Authentifizierung imsi-auth | msisdn-auth-Konfiguration für geschäftliche L2TP-APNs

Download-Optionen

  • PDF     (120.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (89.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (78.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:25. April 2017
Dokument-ID:210803

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument beschreibt die erwarteten Ergebnisse der Konfiguration von geschäftlichen L2TP-APNs mit der Authentifizierung "imsi-auth" oder "authentication msisdn-auth".

Problem: Die Konfigurationsoptionen msisdn-auth und imsi-auth APN haben ein (nicht offensichtliches) Ergebnis für L2TP-basierte APNs

In der offiziellen Dokumentation (für Version 19) heißt es:

imsi-auth - Konfiguriert den APN für die Authentifizierung des Teilnehmers anhand seiner IMSI-Nummer (International Mobile Subscriber Identification).

msisdn-auth - Konfiguriert den APN für die Authentifizierung des Teilnehmers anhand seiner MSISDN-Nummer (Mobile Station International Integrated Services Digital Network), wie im Usage-Abschnitt dieses Befehls beschrieben.

Beispielkonfiguration:

apn ecs-apn
 ims-auth-service IMSA
 dns primary 192.168.1.128
 dns secondary 192.168.1.129
 ip access-group CSS_ACL in
 ip access-group CSS_ACL out
 authentication imsi-auth username-strip-apn prefer-chap-pco <<<<<<<<<<<<<<<<<<<<<<<<<<<
 ip context-name Gi
 tunnel l2tp peer-address 2.2.2.2 encrypted secret +A3oxne9nnyqmuz16dddqucwcqz92p2hi4t8z21nx3hmmpcgvh4ida preference 1 <<<<<<<<<<<<<<<<<<<<<<<<<<<
 tunnel l2tp peer-address 3.3.3.3 encrypted secret +A2dbz9joxajmv80jxmr5aycl1ka2s6nzmu7s2bte3nnz4o2hgkqxn preference 2 <<<<<<<<<<<<<<<<<<<<<<<<<<<
 loadbalance-tunnel-peers prioritized <<<<<<<<<<<<<<<<<<<<<<<<<<<
 exit

lac-service LAC-SVC <<<<<<<<<<<<<<<<<<<<<<<<<<<
 max-retransmission 1
 retransmission-timeout-max 1
 load-balancing prioritized
 allow aaa-assigned-hostname
 keepalive-interval 30
 peer-lns 2.2.2.2 encrypted secret +A2q4fv7h5tum1a06vc2wblk9l7k3ma98myremkew1552c2vosy2h1
 peer-lns 3.3.3.3 encrypted secret +A16gnydsddbqqx3okh7ln6jrwxz3s3u3lzvzo5bz0ccc0ztr0cvsh
 bind address 1.1.1.1
 #exit

Wenn eine der oben genannten Optionen für eine L2TP-basierte APN konfiguriert ist, wird erwartet, dass das Gateway GPRS Support Node/

Das Packet Data Network (PDN) Gateway (GGSN/PGW) verwendet IMSI oder MSISDN für die PPP-Authentifizierung mit dem L2TP Network Server (LNS).

Die Option funktioniert wie erwartet, wenn kein Benutzername von der Benutzerausrüstung (UE) bereitgestellt wird.

 ii

Friday April 07 2017

INBOUND>>>>>  09:57:08:270 Eventid:141004(3)
[PGW-S5/S2a/S2b]GTPv2C Rx PDU, from 213.151.233.172:35664 to 213.151.233.230:2123 (271)
TEID: 0x00000000, Message type: EGTP_CREATE_SESSION_REQUEST (0x20)
Sequence Number: 0x317962 (3242338)

GTP HEADER
        Version number: 2
        TEID flag: Present
        Piggybacking flag: Not present
        Message Length: 0x010B (267)


INFORMATION ELEMENTS

        IMSI:
            Type: 1  Length: 8  Inst: 0
            Value: 231014450903030
            Hex: 0100 0800 3201 4154 9030 30F0 

        MSISDN:
            Type: 76  Length: 6  Inst: 0
            Value: 421917667546
        Hex: 4C00 0600 2491 7166 5764



        MOBILE EQUIPMENT IDENTITY:
            Type: 75  Length: 8  Inst: 0
            Value: 3594050557927001
            Hex: 4B00 0800 5349 5050 7529 0710



[…]

        ACCESS POINT NAME:
            Type: 71  Length: 38  Inst: 0
            Value: ltpipsec.corp.test.mnc001.mcc231.gprs
            Hex: 4700 2600 086C 7470 6970 7365 6304 636F
                 7270 0474 6573 7406 6D6E 6330 3031 066D
                 6363 3233 3104 6770 7273



        SELECTION MODE:

            Type: 128  Length: 1  Inst: 0
            Value: MS provided APN,subscr not verified (0x01)
            Hex: 8000 0100 01



        PDN TYPE:
            Type: 99  Length: 1  Inst: 0
            Value: IPV4
            Hex: 6300 0100 01 

[…]

        PCO:
            Type: 78  Length: 32  Inst: 0
            Container id: 0xC023 (PAP)
            Container length: 0x06 (6)
            Container content:
                 Auth-Req(0), Name=, Passwd=
            Container id: 0x8021 (IPCP)
            Container length: 0x10 (16)
            Container content:
                 Conf-Req(0), Pri-DNS=0.0.0.0, Sec-DNS=0.0.0.0
            Container id: 0x000D (IPv4-DNS-Server)
            Container length: 0x00 (0)
            Container content:
                DNS Address: Request for IPv4 DNS Address allocation
            Hex: 4E00 2000 80C0 2306 0100 0006 0000 8021
                 1001 0000 1081 0600 0000 0083 0600 0000
                 0000 0D00

[…]

Friday April 07 2017
<<<<OUTBOUND  09:57:08:295 Eventid:25001(0)
PPP Tx PDU (20)
PAP 20:          Auth-Req(1), Name=421917667546, Passwd=   <-- username is replaced with MSISDN as the APN is configured with “msisdn-auth”

Die Option funktioniert nicht, wenn ein Benutzername von UE bereitgestellt wird. In diesem Fall sendet GGSN/PGW den im APN konfigurierten Benutzernamen und das konfigurierte Kennwort.
Wenn dort nichts konfiguriert ist

Friday April 07 2017
INBOUND>>>>> 09:47:51:254 Eventid:141004(3)
[PGW-S5/S2a/S2b]GTPv2C Rx PDU, from 213.151.233.172:35824 to 213.151.233.230:2123 (279)
TEID: 0x00000000, Message type: EGTP_CREATE_SESSION_REQUEST (0x20)
Sequence Number: 0x5C4D6C (6049132)
GTP HEADER
 Version number: 2
 TEID flag: Present
 Piggybacking flag: Not present
 Message Length: 0x0113 (275)

INFORMATION ELEMENTS
 IMSI:
 Type: 1 Length: 8 Inst: 0
 Value: 231014450903030
 Hex: 0100 0800 3201 4154 9030 30F0

MSISDN:
 Type: 76 Length: 6 Inst: 0
 Value: 421917667546
 Hex: 4C00 0600 2491 7166 5764

MOBILE EQUIPMENT IDENTITY:
 Type: 75 Length: 8 Inst: 0
 Value: 3594050557927001
 Hex: 4B00 0800 5349 5050 7529 0710


[..]

PCO:
 Type: 78 Length: 40 Inst: 0
 Container id: 0xC023 (PAP)
 Container length: 0x0E (14)
 Container content:
 Auth-Req(0), Name=null, Passwd=null
 Container id: 0x8021 (IPCP)
 Container length: 0x10 (16)
 Container content:
 Conf-Req(0), Pri-DNS=0.0.0.0, Sec-DNS=0.0.0.0
 Container id: 0x000D (IPv4-DNS-Server)
 Container length: 0x00 (0)
 Container content:
 DNS Address: Request for IPv4 DNS Address allocation
 Hex: 4E00 2800 80C0 230E 0100 000E 046E 756C
 6C04 6E75 6C6C 8021 1001 0000 1081 0600
 0000 0083 0600 0000 0000 0D00

[…]

Friday April 07 2017
<<<<OUTBOUND 09:47:51:334 Eventid:25001(0)
PPP Tx PDU (16)
PAP 16: Auth-Req(1), Name=null, Passwd=null <-- username is the same as in the APN

Lösung

Beobachtetes Verhalten wird gemäß Design erwartet.

Die Authentifizierungs-Konfiguration "imsi-auth username-strip-apn prefer-chap-pco (oder "authentication msisdn-auth username-strip-apn prefer-chap-pco" wird verwendet, wenn kein PCO-Benutzername (Protocol Configuration Options) verfügbar ist.

Dies ist die Rangfolge der NAI-Baukonfiguration (Network Access Identifier):

  1. Wenn der ausgehende Benutzername <1-128 char string> innerhalb des APN konfiguriert ist, werden alle anderen Konfigurationen/IEs überschrieben und in PAP/CHAP-Anforderungen gesendet.

  2. Wenn "UE" einen PCO-Benutzernamen/ein -Kennwort sendet, wird dieses von der UE gesendet, und zwar an das LNS in Password Authentication Protocol/Challenge Handshake Authentication Protocol (PAP/CHAP) REQ.

  3. Wenn kein Benutzername von UE gesendet wird, wird msisdn/imsi@APN in den PAP/CHAP-Aufgaben standardmäßig als Benutzername gesendet. 

  4. Darüber hinaus kann diese CLI - authentication msisdn/imsi-auth username-strip-apn verwendet werden, um den APN zu entfernen und nur das msisdn/imsi in PAP/CHAP-Aufgaben zu senden.

Beachten Sie, dass bei einer Authentifizierung durch Radius (lokal) IMSI (oder MSISDN) wie erwartet in Access-Request-Nachrichten gesendet werden.

Wenn die Authentifizierung über RADIUS (auf LAC-Seite) erfolgt, wird im Szenario von L2TP der erwartete Benutzername (IMSI oder MSISDN) in Access-Request-Nachrichten, nicht aber in Auth-Req zu LNS angezeigt.

TAC Authored

Beiträge von Cisco Ingenieuren

  • Sergiu Scalmic
    Cisco TAC-Techniker
  • Tomasz Dudarski
    Cisco TAC-Techniker

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren