51学通信技术论坛
标题: PDP上下文数和防火墙上看到的Session(会话)数的关系模型 [打印本页]
作者: 天高云淡ah 时间: 2012-6-12 20:06:49 标题: PDP上下文数和防火墙上看到的Session(会话)数的关系模型
PDP上下文数和防火墙上看到的Session(会话)数的关系模型是什么
作者: admin 时间: 2012-6-12 20:13:31
应该没有什么换算公式吧,求解。
毕竟防火墙在Gi口后面,就是一个纯IP包了,并不能识别出PDP上下文。因此,一个MS的一个PDP上下文可能会有很多个防火墙的Session,例如看新浪的http算一个session,看网易的http又算一个session。也就是一个PDP上下文可能会对应到防火墙上若干个session,这应该要取决于MS在该PDP上下文里访问了多少个不同的应用。
作者: onlyybj 时间: 2012-6-13 15:23:11
这个在SRX-3400防火墙上做过测试,比如开新浪 会有一个session,有时候你在新浪主页再点击个连接,有时候也会一个session,再开百度等其它的也会产生session,但是只是做了一次cmnet的PDP激活,就是说一次激活可以在FW上有多个对应session。
作者: hycl5410 时间: 2012-6-14 11:36:58
本帖最后由 hycl5410 于 2012-6-14 11:40 编辑
一般防火墙上是按照5元组来建立一个session。对于一个用户PDP来讲,如果目的地址&源端口&目的端口&协议类型不变,那么就不会有新的session。
一个特殊场景-GRE tunnel穿过防火墙的情况下(防火墙透传,不解GRE),session就会非常的少了。
综上,很难给出模型。。。
作者: 海浪 时间: 2012-6-14 17:10:13
同意楼上。防火墙看到的是UDP的报文,通常一个SGSN到一个GGSN的GTP会产生一个session。而手机的业务数据比如上网,发邮件有的是一个PDP,在防火墙看到也就是一个,防火墙不会解开UDP在往GTP层面分析里面user的数据行为。理论可以做,但一般防火墙只看UDP层面的。同一个SGSN和GGSN可能不止一个用户,一般会有多用户。话句话说,一个seesion下面可能会有很多user在用,没有具体的模型,看session的报文多少估计可以大概知道有多少的用户在用。
另外一种可能就是,手机上网,并同时发彩信用的不同的APN,可能用的GGSN会有不同。
作者: hycl5410 时间: 2012-6-15 10:57:57
补充一下,我说的是Gi侧的防火墙,楼上说的是Gn的防火墙。。。
作者: hetengda 时间: 2012-6-15 14:28:21
一般说来,PDP上下文数量大于你防火墙统计的session数量
作者: 爱卫生 时间: 2012-6-15 21:17:10
hycl5410 发表于 2012-6-15 10:57
补充一下,我说的是Gi侧的防火墙,楼上说的是Gn的防火墙。。。
谢谢H大侠。我也补充一下,我们一般探讨的也是Gi的防火墙,海浪版主这里提到的还包括Gp的防火墙。
现网的Gn和Gi的防火墙可能是同一台,具体防火墙安全策略可能如下:
1)Gi接口策略:
防火墙仅允许三类数据包流入:包括目的地址在本地用户地址段内;目的地址为GGSN Gi 接口地址且源协议端口为 53(DNS)、1812/1813(RADIUS);目的地址为本地WAP GRE 路由器隧道端地址。
防火墙仅允许三类数据包流出:包括源地址在本地用户地址段内; 源地址为GGSN Gi 接口地址且目的协议端口为53(DNS)、1812/1813 (RADIUS); 源地址为本地WAP GRE路由器隧道端地址。
2)Gn接口策略
防火墙允许流入流出数据包的源和目的地址应在CMNet网中所有SGSN、GGSN、DNS 服务器、NTP服务器的地址范围内,同时源和目的协议端口至少一个为2123/2152/3386(GTP协议端口)其中GTP V0使用UDP端口号3386,GTP V1中GTP-C使用UDP端口号2123、GTP-U使用UDP端口号2152)、53(DNS)123(NTP)。
作者: oliverchang 时间: 2012-6-17 20:28:08
hetengda 发表于 2012-6-15 14:28
一般说来,PDP上下文数量大于你防火墙统计的session数量
应该是相反吧,防火墙的session数量大于等于PDP上下文数量!
欢迎光临 51学通信技术论坛 (http://51xuetongxin.com/bbs/) |
Powered by Discuz! X2 |