福建项目需求：鉴于移网流量中IP地址分层，TSG能否支持”将GTP头部中的IP地址作为独立可选项下到策略中“

ID	Creation Date	Assignee	Status
OMPUB-301	2021-12-20T16:13:49.000+0800	郑超	完成

需求：

鉴于移网流量中IP地址分层，TSG能否支持”将GTP头部中的IP地址作为独立可选项下到策略中“

说明：

当前TSG安全策略界面中的源、目的IP地址生效于 GTP内层IP地址（对于固网不变，仍使用该选项添加IP对象），新增可选项”GTP头部源、目的IP地址“，使两部分IP可分别生效，互不冲突

背景：

福建用户早先下了一批IPv6白名单策略，未指定生效范围，该策略中的IP地址为运营商境内公网IP地址，策略ID=122

近期福建新开局点”厦门海峡5G“，测试中发现经过该局点的流量全都无法阻断，经过排查发现测试手机流量中的GTP头部的IPv6地址全都命中了 122白名单策略，使得阻断策略未生效，于是用户提出了该需求。yangwei commented on 2021-12-24T14:24:05.102+0800:

[~zhangzhihan] 建议先问清楚要干嘛，再说要不要改，该怎么改。

用户配v6白名单策略的意图是什么，那一批v6地址全allow么？

”将GTP头部中的IP地址要作为独立可选项“的意图又是什么？

TSG支持L7的策略条件，目前用户只用L3的过滤是么，这个思路直接给汇聚分流下规则就能实现，不需要镜像至TSG

zhangzhihan commented on 2021-12-27T16:27:15.648+0800:

[~yangwei]

1，用户在福建采用白名单模式，所以配了一堆IPv6地址的白名单，该白名单的地址均为{}运营商境内公网IPv6地址（固网）{}，全Allow

2，这批【公网IPv6地址】与【”厦门海峡5G“的GTP头部IPv6地址】存在一定程度的冲突，所以导致【厦门海峡5G】该局点的流量也全部命中了白名单

3，由于业务原因，目前用户没有解除白名单，而是采取 “在汇聚分流上剥离GTP头部” 的方式，但该方案也只是临时解决的方案

4，已经建议用户对白名单策略指定生效范围，但是用户并没有这么做。。。。

综上所述：用户建议，”将GTP头部中的IP地址要作为独立可选项“

zhangzhihan commented on 2021-12-27T17:20:06.991+0800: