请问GTP头部如果不是IP或嵌套多层IP头,GGSN的处理方式？

tobino1

1.GTP上面承载ip包，如果ip包中又承载ip包，发到GGSN上面去，GGSN会有什么反应？

2.如果GTP包中承载的不是ip包，发到GGSN会有什么现象？

这个不知能在29.060中找到吗，我会认真看，也麻烦有知道的告知小弟，不胜感激。
呵呵 这个是我帮别人问的 我可问不出这么高深{:soso_e195:}

gprssanling

个人理解不一定全面，大家来讨论：

1、用户面的IP包里面是什么东西，对GTP来说都是透明的。GTP不检测你包中内容，只要你能包，并且发过来。
2、实际应用中，能遇到GTP封装的包目前好像只有IP包。IuU、Gn接口都能处理GTP封装。IuC的信令消息也能发到IuPS接口上，可是总不会被GTP封装吧？倒是诺西好像用了什么协议，代替了GTP？

爱卫生

回复 tobino1 的帖子

   我也是比较挺gprssanling的。
1  GTP-U上层的东西对GGSN来说，只需要将GTP-U报文头去掉以后，根据MS发出来的实际IP包头的目的地址进行寻址就可以了。上层的这些信息对GGSN来说都是透明的。“如果IP包中又承载IP包”，有可能是SGSN和GGSN之间还使用了可选的IPSec，那包头就变成了IPSec Over GTP。那这个IPSec的隧道端点是在GGSN上的，则GGSN在解掉GTP的包头后，还需要解封装IPSec的头部，还原成一个纯IP包（即不带任何封装的），再从Gi接口发给对应的PDN网络。
2  如果GTP承载的不是IP包，理论上是可行的。规范里也没说Gi口后面的PDN网络一定要是IP网络。只不过现在IP网络是主流。已经彻底打败了其他非IP网络，例如X.25,X.25,APPTALK,ATM,ISO网络等等。所以基本上我们看到的PDN网络类型都是IP网络。当然，如果有一个企业网自己建了一个X.25的网络，然后通过运营商的GPRS网络进行远程接入也是可行的。例如军队这种对保密性要求极高的网络。用X.25就会天生和IP隔离从而降低泄密的风险。当然这得需要手机侧对X.25地址的支持。另外，查了下TS29.060，发现在Create PDP Context Response消息的这些IE中，没有哪个可以用来表示X.25啊。PDP Type也只能表示是IPV4还是IPV6.所以我觉得应该是不支持除IP外的其他网络了吧。
   另外，对Gi接口网络后面的PDN网络，如果你感兴趣，也有一个对应的规范来介绍。它叫TS29.061。专讲Gi接口和PDN的交互。这里简单提到了X.25/X.75。但一个字都没说就跳过了那章了。   

tobino1

呵呵 谢谢两位版主的回答，虽然不是完全懂

爱卫生

回复 tobino1 的帖子

1.GTP上面承载ip包，如果ip包中又承载ip包，发到GGSN上面去，GGSN会有什么反应？

2.如果GTP包中承载的不是ip包，发到GGSN会有什么现象？

   这两个问题。我打个比方。
1 就像北京的你去邮局寄礼物给上海的朋友，邮局会打包，再包裹上写上你朋友的地址。邮局根据地址送到了你朋友的手中，你朋友打开包裹，发现里面不是礼物。而是另外一个包裹。包裹上写着：“麻烦你帮我交给女生宿舍12栋301的张美丽”。你朋友虽然恼火，但还是帮你完成了任务。张美丽收到后，打开了里面的这个小包裹，发现是你送给她的一个项链。很喜欢。但你的朋友并不知道里面装了个项链。这就是你朋友的反应。

2 还是上面的例子，我们大多数人的常态思维，都以为你寄的包裹里不可能是什么好东西更不可能是什么贵重东西，但你却突发奇想，为了讨好你的暗恋对象，居然在这个包裹里放了500克的黄金。也就是说包裹里其实什么都可以寄，包括一些好的或者不好的东西。只不过有些物品不让寄或者让人觉得不可思议而已。因为通常普通人只会在包裹中放一些常见的日常用品。GTP包承载的对象也是如此，理论上也可以不是IP包。GGSN都无所谓，通过Gi接口转出去就可以了。反正这个包不是给GGSN的，而是交给PDN网络的Server的。就像上例中，你的朋友也不管你包裹里寄的是黄金还是石头，转给张美丽就可以了。他也不关心，反正也不是给他的。只是给你帮忙罢了。

neoshi

这个问题还衍生出一个更有意思的情况，如果从互联网上过来一个伪造的GTP数据到了GGSN，然后这个伪造的GTP数据其实内部还有一个GTP头的封装，这样网络会怎么处理呢。这样的GTP多次封装攻击理论上应该是存在的，但是目前应该还没有模拟过，类似IP网络里面的Vlan tag攻击。

爱卫生

neoshi 发表于 2011-6-13 17:30
这个问题还衍生出一个更有意思的情况，如果从互联网上过来一个伪造的GTP数据到了GGSN，然后这个伪造的GTP数 ...

   是的。有可能。不过从功能定位来看，这个处理伪造GTP包的功能不应该放到GGSN上，而应该在Gi口的防火墙上去处理。如果网络攻击也要GGSN来处理的话，的确有点为难它了。并且在硬件上也很难实现。需要开发专门的板卡，并且还要求GGSN厂家和安全厂家一样，去定期维护一个安全威胁攻击的数据库，还要不断更新。太难了。