2007.08HUAWEITECHNOLOGIESCo.,Ltd.内部公开E1000E培训胶片——GTP安全特性网络安全产品族HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage2汇报提纲GPRS简介GTP防火墙的组网模型GTP协议介绍GTP交互流程GTP特性安全功能介绍GTP特性日志功能GTP特性统计功能HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage3GPRS概述:GPRS(GeneralPacketRadioService)是通用分组无线业务的简称,它是一种基于分组交换传输数据的高效率方式。GPRS是在现有的GSM移动通信系统基础之上发展起来的一种移动分组数据业务。GPRS通过在GSM数字移动通信网络中引入分组交换功能实体,以支持采用分组方式进行的数据传输。GPRS系统可以看作是对原有的GSM电路交换系统进行的业务扩充,以满足用户利用移动终端接入Internet或其它分组数据网络的需求。GPRS应用领域:GPRS主要的应用领域可以是:E-mail电子邮件、浏览、WAP业务、电子商务、信息查询、远程监控等。GPRS逻辑结构:GPRS的逻辑结构GPRS从逻辑上来说,可以在GSM网络结构中增添两个新的网络节点来实现。这两个节点是:GPRS业务支持节点(ServingGPRSsupportnode,SGSN)。GPRS网关支持节点(GatewayGPRSsupportnode,GGSN)。GPRS简介HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage4GPRS简介GfGaGaDGiGnGbGcCEGpGsSignallingandDataTransferInterfaceSignallingInterfaceMSC/VLRTEMTBSSTEPDNRUmGrAHLROtherPLMNSGSNGGSNGdSM-SCSMS-GMSCSMS-IWMSCGGSNCGFSGSNGnEIRBillingSystemGPRS的逻辑结构图HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage5GPRS简介RRBSSMSCPSTNSS7NetworkEIRHLR/AUCSMS-GMSCFirewallFirewallFirewallRouterRouterServerServerSGSNInter-PLMNnetworkPTM-SCGGSNBorderGatewayGPRSBackboneIPbasedGPRSInfrastructureDataNetwork(Internet)DataNetworkX.25UmR/SPCUGPRS的逻辑图HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage6GPRS简介SGSN节点概念:SGSN即GPRS服务支持节点,它是当前正在为MS提供业务的节点(即Gb接口由SGSN支持)。在激活GPRS业务时,SGSN负责与MS建立移动性和安全保密性的有关信息。在PDP信息被激活时,SGSN负责与GGSN建立路由的PDP信息。SGSN节点功能:为该SGSN区域内的分组数据包进行路由转发。对用户进行加密与鉴权。维护和管理每个用户的会话。移动性管理功能,对用户的当前位置进行实时更新。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage7GPRS简介GGSN节点概念:GGSN节点,即GPRS网关支持节点,它的主要功能是将GPRS网络中的数据报文转发到另一个GPRS网络或分组数据网络。GGSN节点功能:GGSN节点为本服务区域的MS转发输入/输出的报文。对外部网络报文的PDP(PacketDataProtocol)地址进行分析后从GGSN节点转入GPRS网。GGSN节点的会话管理:GGSN可以通过Gc接口从HLR查询该移动用户当前的位置信息,提供数据包在GPRS网和外部数据网之间的路由和封装。在用户的接入过程中,根据用户的签约信息和接入的APN确定用户选择那个GGSN节点作为网关。GGSN节点完成MS同外部网的通信建立过程,将用户的分组数据发往正确的SGSN,GGSN存储已经激活(attached)GPRS业务的用户的路由信息,并能根据该信息将PDU(ProtocolDataUnits)通过隧道(tunnel)技术发送到MS的当前注册点,也就是SGSN。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage8GPRS简介GPRS网络中主要有以下三种接口:Gn口:GN口就是指同一个PLMN网络中的不同GSN节点之间的接口。该接口承载GTP协议报文,终端和终端、终端和分组数据网络的所有报文(信令及业务报文)都必须经过GN接口。Gp口:Gp口就是不同PLMN网络间的GSN节点间的接口,该接口也承载GTP协议报文,在通信协议上与Gn接口相同,但是增加了边缘网关(BG,BorderGateway)和防火墙,通过BG来提供边缘网关路由协议,以完成归属于不同PLMN的GPRS支持节点之间的通信。Gp接口主要用来实现不同PLMN之间的数据漫游业务,Gp接口之间也运行GTP协议。Gi口:GGSN通过Gi口实现GPRS网和外部数据网(PDP)的互联。GGSN实际上是两个互联网网关,在Gi接口上没有新的技术,完全采用现在的IP技术,因此在Gi接口层面看GGSN,GGSN和一台普通的路由器没有本质区别。E1000E防火墙需要重点关注Gn、Gp、Gi三个接口。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage9汇报提纲GPRS简介GTP防火墙的组网模型GTP协议介绍GTP交互流程GTP特性安全功能介绍GTP特性日志功能GTP特性统计功能HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage10GTP防火墙的组网模型GTP防火墙的应用接口在Gn口和Gp口上承载的都是GTP协议,所以在此两种口上可以使用GTP防火墙进行GTP安全特性检测。而Gi口本身就是一个Internet接口,没有GTP协议,只有标准的TCP/UDP/IP协议,因此不需要GTP防火墙。GTP防火墙组网模型:GTP防火墙在GPRS网络中的组网模型,如下图:PLMN1MSUSG5000SGSNGGSNGnGnPLMN2USG5000SGSNGGSNMSGnGnGpHUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage11汇报提纲GPRS简介GTP防火墙的组网模型GTP协议介绍GTP交互流程GTP特性安全功能介绍GTP特性日志功能GTP特性统计功能HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage12GTP协议介绍GTP协议概述:GTP协议是核心网设备SGSN/GGSN或GGSN/GGSN间Gn/Gp接口的一种隧道协议。该协议分为控制面和用户面两个部分,控制面用来协商、维护隧道以及交互相关信令,用户面用来传递网络中的分组数据包。GTP协议基于TCP/UDP之上的一个应用协议,目前华为的GPRS设备上GTP协议都是使用UDP协议承载。GTP协议有两个版本:GTPv0:四层端口号GTP-C/GTP-U都是3386。GTPv1:四层端口号GTP-C为2123,GTP-U为2152。GTPGn/Gp接口GTPUDPIPL2L1GSNGnGTPUDPIPL2L1GSNHUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage13GTP协议介绍GTP协议基本概念:PDP:PacketDataProtocol,外部网络和GPRS互通所使用的网络协议,例如IP/PPP等。PDPContext:PDP上下文,在MS、GSN中保存的与PDP相关的信息集合,通常将一个PDP上下文称作一个GTP隧道。GTP’:用于计费的GTP协议,它在消息格式、支持的消息类型等方面与GTP不同。GTP头中的PT位用于区分GTP消息和GTP’消息。GTP-C:GTP控制面,用于隧道(PDP)维护。GTP-U:GTP数据面,对用户数据加封装或解封装。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage14GTP协议介绍协议版本:GTP有两个版本GTPv0和GTPv1,GTP’有三个版本v0、v1、v2。TEID:TunnelEndpointIdentifier,GTPv1的概念,用于表示一条隧道(PDP),分为数据面TEID(TEID(U))和控制面TEID(TEID(C)),由SGSN和GGSN自己分配。TID:GTPv0的概念,由IMSI+NSAPI构成,和TEID作用相同。NSAPI:NetworkServiceAccessPointIdentifier,和TEID(C)或IMSI一起用于标示同一用户激活的不同上下文,范围[0,15]。APN:AccessPointName,接入点名称,在GGSN中用于标识一个指定的外部网络和一种服务的ISP,在SGSN中可根据APN通过DNS域名解析得到与此APN对应的GGSN地址。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage15GTP协议介绍GTPV0协议报文头字段解析:Version:GTP版本。PT:ProtocolType,若为1则指明是GTP消息,为0则指明是GTP’消息。SNN:标示是否包含SNDCPN-PDUNumber。MessageType:指示GTP消息的类型。Length:GTP消息的长度,不含GTP头的长度。SequenceNumber:消息序列号。SNDCPN-PDUNumber:用于SGSN间路由区更新过程。TID:隧道标识。FlowLabel:定义GTP流,没有实际用处GTPV0消息头部为固定长度20字节。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage16GTP协议介绍GTPV1协议报文头字段解析:固定域:Version:GTP版本PT:ProtocolType,若为1则指明是GTP消息,为0则指明是GTP’消息。E:指示是否包含扩展头。S:指示是否包含SequenceNumber域。PN:指示是否包含N-PDUNumber域。MessageType:指示GTP消息的类型。Length:GTP消息的长度,不含GTP头的长度,但包含扩展头长度。TEID:隧道标识。可选域:SequenceNumber:消息序列号。N-PDUNumber:用于SGSN间路由区更新过程。NextExtensionHeaderType:下一个扩展头类型。GTPV1头部长度为变长,其最小长度为8HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage17汇报提纲GPRS简介GTP防火墙的组网模型GTP协议介绍GTP交互流程GTP特性安全功能介绍GTP特性日志功能GTP特性统计功能HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage18GTP交互流程GTP控制平面主要包括以下4类GTP信令消息:路径管理消息。在GSN对之间发送,可在一个路径上从一个GSN发送到另一个GSN,以发现对方的GSN是否激活。隧道管理消息。用来产生、更新和去除隧道,是控制和管理消息。使MS和外部分组数据网之