# 福建项目需求:鉴于移网流量中IP地址分层,TSG能否支持”将GTP头部中的IP地址作为独立可选项下到策略中“ | ID | Creation Date | Assignee | Status | |----|----------------|----------|--------| | OMPUB-301 | 2021-12-20T16:13:49.000+0800 | 郑超 | 完成 | --- *需求:* 鉴于移网流量中IP地址分层,TSG能否支持”将GTP头部中的IP地址作为独立可选项下到策略中“ *说明:* 当前TSG安全策略界面中的源、目的IP地址 生效于 GTP内层IP地址(对于固网不变 ,仍使用该选项添加IP对象),新增可选项”GTP头部源、目的IP地址“,使两部分IP可分别生效,互不冲突 *背景:* 福建用户早先下了一批IPv6白名单策略,未指定生效范围,该策略中的IP地址为运营商境内公网IP地址,策略ID=122 近期福建新开局点”厦门海峡5G“,测试中发现经过该局点的流量全都无法阻断,经过排查发现测试手机流量中的GTP头部的IPv6地址全都命中了 122白名单策略,使得阻断策略未生效,于是用户提出了该需求。**yangwei** commented on *2021-12-24T14:24:05.102+0800*: [~zhangzhihan]  建议先问清楚要干嘛,再说要不要改,该怎么改。 用户配v6白名单策略的意图是什么,那一批v6地址全allow么? ”将GTP头部中的IP地址要作为独立可选项“的意图又是什么? TSG支持L7的策略条件,目前用户只用L3的过滤是么,这个思路直接给汇聚分流下规则就能实现,不需要镜像至TSG --- **zhangzhihan** commented on *2021-12-27T16:27:15.648+0800*: [~yangwei]  1,用户在福建采用白名单模式,所以配了一堆IPv6地址的白名单,该白名单的地址均为{*}运营商境内公网IPv6地址(固网){*},全Allow 2,这批【公网IPv6地址】与 【”厦门海峡5G“的GTP头部IPv6地址】存在一定程度的冲突,所以导致【厦门海峡5G】该局点的流量也全部命中了白名单 3,由于业务原因,目前用户没有解除白名单,而是采取 “在汇聚分流上剥离GTP头部” 的方式,但该方案也只是临时解决的方案 4,已经建议用户对白名单策略指定生效范围,但是用户并没有这么做。。。。   综上所述:用户建议,”将GTP头部中的IP地址要作为独立可选项“ --- **zhangzhihan** commented on *2021-12-27T17:20:06.991+0800*: 更正一下信息,福建的5G网络的GTP头都是IPv6地址,且IPv6地址均为公网地址,即在基站这一层直接套了公网IPv6地址。 用户认为目前的IP策略模式在移网环境有不方便的地方,所以有该建议 --- **zhuwei** commented on *2021-12-28T04:04:04.299+0800*: 我建议: 先拿回该条策略,以及相应的Pcap文件,检查一下是否是因为白名单IP地址策略配置范围过大导致。为了用户的愚蠢而改系统是不聪明的选择;   --- **zhangzhihan** commented on *2021-12-28T12:21:26.868+0800*: [~zhuwei]  策略122 截图,对应IP段已上传附件~ !image-2021-12-28-12-19-28-190.png!   --- **yangwei** commented on *2021-12-28T14:24:29.880+0800*: 他们配IP白名单的意图,就是纯白名单?既不是IP+TCP或者IP+UDP的白名单,也不是IP+HTTP,或者IP+SSL的白名单?他们只要配个IP+TCP的白,就不会命中GTP的流量   这种纯IP的白,直接在分流设备上下就行 --- ## Attachments **24285/image-2021-12-28-12-19-28-190.png** --- **25250/image-2022-02-15-10-28-14-198.png** --- **24286/境内电信IPv6地址段.txt** --- **24287/境内谷歌IPv6地址段.txt** --- **24288/境内教育网IPV6地址段.txt** --- **24289/境内科技网IPV6地址段.txt** --- **24290/境内联通IPV6地址段.txt** --- **24291/境内鹏博士IPv6地址段.txt** --- **24292/境内铁通IPv6地址段.txt** --- **24293/境内移动IPv6地址段.txt** --- **24021/微信图片_20211220163507.png** ---