hycl5410 发表于 2012-6-11 13:48
直接看16进制的编码,对照29.060和25.413来看。
把鼠标点在target identification上,显示出
8a 00 08 64 ...
呵呵,H大侠V5。 那我就在接着H大侠的往后说下个人的观点。我也很赞同H大侠的说法,可能是wireshark对RNC-ID的解码问题。这个问题在网上搜索一下,就会发现很多人报过bug给wireshark,但没解决。比如:https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=3974。 所以要解决问题只能靠我们自己啦。解决的方法可以是自己来解码: 1)打开TS29.060的7.5.6章节关于forward relocation request消息的格式说明: 2)如H大侠说的,找到最后一个正常显示的target identification信息元素,是以07 8F结尾的。后面跟的是8b 01 30,这个8b对应的是什么信息元素,是通过type标识的,target identification的type值是8a,10进制是138,和7.7.37中target id的说明是一致的,同样8b,代表type=139,就是UTRAN transparent container,该字段也是一个强制字段,根据规范的说明,后面两个字节跟的是长度,就是0130(target id的type后面也有两个字节的长度部分,是00 08,十进制也是8),十进制是304。因此从01 30后面的304个字节应该都是UTRAN transparent container的内容。但该内容是从UTRAN透传过来的,GTP规范中未说明。需要找一个比较完整的报文对比来解码就好了。 |