PDP上下文数和防火墙上看到的Session(会话)数的关系模型

天高云淡ah

PDP上下文数和防火墙上看到的Session(会话)数的关系模型是什么

admin

应该没有什么换算公式吧，求解。

毕竟防火墙在Gi口后面，就是一个纯IP包了，并不能识别出PDP上下文。因此，一个MS的一个PDP上下文可能会有很多个防火墙的Session，例如看新浪的http算一个session，看网易的http又算一个session。也就是一个PDP上下文可能会对应到防火墙上若干个session，这应该要取决于MS在该PDP上下文里访问了多少个不同的应用。

onlyybj

这个在SRX-3400防火墙上做过测试，比如开新浪  会有一个session，有时候你在新浪主页再点击个连接，有时候也会一个session，再开百度等其它的也会产生session，但是只是做了一次cmnet的PDP激活，就是说一次激活可以在FW上有多个对应session。

hycl5410

一般防火墙上是按照5元组来建立一个session。对于一个用户PDP来讲，如果目的地址&源端口&目的端口&协议类型不变，那么就不会有新的session。
一个特殊场景-GRE tunnel穿过防火墙的情况下（防火墙透传，不解GRE），session就会非常的少了。

综上，很难给出模型。。。

海浪

同意楼上。防火墙看到的是UDP的报文，通常一个SGSN到一个GGSN的GTP会产生一个session。而手机的业务数据比如上网，发邮件有的是一个PDP，在防火墙看到也就是一个，防火墙不会解开UDP在往GTP层面分析里面user的数据行为。理论可以做，但一般防火墙只看UDP层面的。同一个SGSN和GGSN可能不止一个用户，一般会有多用户。话句话说，一个seesion下面可能会有很多user在用，没有具体的模型，看session的报文多少估计可以大概知道有多少的用户在用。
另外一种可能就是，手机上网，并同时发彩信用的不同的APN，可能用的GGSN会有不同。

hycl5410

补充一下，我说的是Gi侧的防火墙，楼上说的是Gn的防火墙。。。

hetengda

一般说来，PDP上下文数量大于你防火墙统计的session数量

爱卫生

hycl5410 发表于 2012-6-15 10:57
补充一下，我说的是Gi侧的防火墙，楼上说的是Gn的防火墙。。。

谢谢H大侠。我也补充一下，我们一般探讨的也是Gi的防火墙，海浪版主这里提到的还包括Gp的防火墙。

现网的Gn和Gi的防火墙可能是同一台，具体防火墙安全策略可能如下：

1）Gi接口策略：

防火墙仅允许三类数据包流入：包括目的地址在本地用户地址段内；目的地址为GGSN Gi 接口地址且源协议端口为 53（DNS）、1812/1813（RADIUS）；目的地址为本地WAP GRE 路由器隧道端地址。

防火墙仅允许三类数据包流出：包括源地址在本地用户地址段内； 源地址为GGSN Gi 接口地址且目的协议端口为53（DNS）、1812/1813 （RADIUS）； 源地址为本地WAP GRE路由器隧道端地址。

2）Gn接口策略

防火墙允许流入流出数据包的源和目的地址应在CMNet网中所有SGSN、GGSN、DNS 服务器、NTP服务器的地址范围内，同时源和目的协议端口至少一个为2123/2152/3386（GTP协议端口）其中GTP V0使用UDP端口号3386，GTP V1中GTP-C使用UDP端口号2123、GTP-U使用UDP端口号2152）、53（DNS）123（NTP）。

oliverchang

hetengda 发表于 2012-6-15 14:28
一般说来，PDP上下文数量大于你防火墙统计的session数量

应该是相反吧，防火墙的session数量大于等于PDP上下文数量！