配置文件的部分和标签
-
General(必需)
-
Advertisements(必需)
-
GlobalSecurityParameters(可选)
-
Pool(可选)
-
SPI(可选)
-
Address(可选)
General 和 GlobalSecurityParameters 部分包含与移动 IP 代理的操作相关的信息。这些部分在配置文件中只能出现一次。
General 部分
General 部分仅包含一个标签: 配置文件的版本号。General 部分的语法如下:
[General]
Version = 1.0
|
Advertisements 部分
Advertisements 部分包含 HomeAgent 和 ForeignAgent 标签以及其他标签。提供移动 IP 服务的本地主机上的每个接口必须包括一个不同的 Advertisements 部分。Advertisements 部分的语法如下:
[Advertisements interface]
HomeAgent = <yes/no>
ForeignAgent = <yes/no>
.
.
|
通常,系统有一个接口,如 eri0 或 hme0,并且同时支持家乡代理操作和外地代理操作。如果示例 hme0 存在这种情况,则可按如下所示向 HomeAgent 和 ForeignAgent 标签指定 yes 值:
[Advertisements hme0]
HomeAgent = yes
ForeignAgent = yes
.
.
|
对于通过动态接口的通告,可针对设备 ID 部分使用“*”。例如,Interface-name ppp* 实际上是指启动 mipagent 守护进程之后配置的所有 PPP 接口。动态接口类型的通告部分中的所有属性保持不变。
下表介绍了可在 Advertisements 部分中使用的标签和值。
表 29–1 Advertisements 部分的标签和值
GlobalSecurityParameters 部分
GlobalSecurityParameters 部分包含标签 maxClockSkew、HA-FAauth、MN-FAauth、Challenge 和 KeyDistribution。该部分的语法如下:
[GlobalSecurityParameters]
MaxClockSkew = n
HA-FAauth = <yes/no>
MN-FAauth = <yes/no>
Challenge = <yes/no>
KeyDistribution = files
|
移动 IP 协议通过允许在消息中设置时间戳来提供消息重放保护。如果时钟不同,则家乡代理会向移动节点返回一个有关当前时间的错误,移动节点可以使用当前时间再次注册。可以使用 MaxClockSkew 标签配置家乡代理的时钟与移动节点的时钟之间相差的最大秒数。缺省值为 300 秒。
HA-FAauth 标签可启用或禁用家乡代理-外地代理验证的要求,MN-FAauth 标签可启用或禁用移动节点-外地代理验证的要求。缺省值为禁用。可以使用 challenge 标签,以便外地代理在其通告中向移动节点发出质询。该标签用于实现重放保护,其缺省值也为禁用。
下表介绍了可在 GlobalSecurityParameters 部分中使用的标签和值。
表 29–2 GlobalSecurityParameters 部分的标签和值|
标签 |
值 |
说明 |
|---|---|---|
|
MaxClockSkew |
n | |
|
HA-FAauth |
yes 或 no | |
|
MN-FAauth |
yes 或 no | |
|
Challenge |
yes 或 no | |
|
KeyDistribution |
files |
Pool 部分
家乡代理可以为移动节点分配动态地址。动态地址分配是独立于 DHCP 在 mipagent 守护进程中完成的。可以通过请求家乡地址来创建可供移动节点使用的地址池。地址池是通过配置文件中的 Pool 部分配置的。
Pool 部分包含 BaseAddress 和 Size 标签。Pool 部分的语法如下:
[Pool pool-identifier]
BaseAddress = IP-address
Size = size
|
注 –
如果您使用 Pool 标识符,则该标识符还必须存在于移动节点的 Address 部分中。
您可以使用 Pool 部分来定义可分配给移动节点的地址池。BaseAddress 标签用于设置池中的第一个 IP 地址。可以使用 Size 标签指定池中可用地址的数量。
例如,如果在池 10 中保留了从 192.168.1.1 至 192.168.1.100 的 IP 地址,则 Pool 部分中具有以下项:
[Pool 10]
BaseAddress = 192.168.1.1
Size = 100
|
注 –
地址范围中不应包含广播地址。例如,不应指定 BaseAddress = 192.168.1.200 和 Size = 60,因为此范围包含广播地址 192.168.1.255。
表 29–3 Pool 部分的标签和值
|
标签 |
值 |
说明 |
|---|---|---|
|
BaseAddress |
n.n.n.n | |
|
Size |
n |
SPI 部分
由于移动 IP 协议需要消息验证,因此必须使用安全参数索引 (security parameter index, SPI) 标识安全上下文。安全上下文可在 SPI 部分中定义。所定义的每个安全上下文必须包括一个不同的 SPI 部分。数字 ID 用于标识安全上下文。移动 IP 协议可保留前 256 个 SPI。因此,应仅使用大于 256 的 SPI 值。SPI 部分包含与安全相关的信息,如共享密钥和重放保护。
SPI 部分还包含 ReplayMethod 和 Key 标签。SPI 部分的语法如下:
[SPI SPI-identifier]
ReplayMethod = <none/timestamps>
Key = key
|
进行通信的对等双方必须共享相同的 SPI 标识符,并且必须使用相同的密钥和重放方法对双方进行配置。可以将密钥指定为由十六进制数字组成的字符串。最大长度为 16 个字节。例如,如果密钥的长度为 16 个字节,其中包含 0 至 f 之间的十六进制值,那么,密钥字符串可能与以下内容类似:
Key = 0102030405060708090a0b0c0d0e0f10 |
由于每个字节用两位数表示,因此密钥的位数一定为偶数。
表 29–4 SPI 部分的标签和值|
标签 |
值 |
说明 |
|---|---|---|
|
ReplayMethod |
none 或 timestamps | |
|
Key |
x |
Address 部分
Solaris 移动 IP 实现允许您使用以下三种方法之一配置移动节点。每种方法都在 Address 部分中配置。第一种方法遵循传统的移动 IP 协议,要求每个移动节点都有一个家乡地址。第二种方法允许通过移动节点的网络访问标识符 (Network Access Identifier, NAI) 来标识该移动节点。最后一种方法允许配置缺省移动节点,具有正确的 SPI 值和相关密钥资料的任何移动节点都可用作缺省移动节点。
移动节点
移动节点的 Address 部分包含用来定义地址类型和 SPI 标识符的 Type 和 SPI 标签。Address 部分的语法如下:
[Address address]
Type = node
SPI = SPI-identifier
|
每个受支持的移动节点在家乡代理的配置文件中必须包括一个 Address 部分。
如果外地代理和家乡代理之间需要移动 IP 消息验证,则代理需要与之通信的每个对等方必须包括一个 Address 部分。
所配置的 SPI 值必须表示在配置文件中存在的 SPI 部分。
另外,还可以为移动节点配置专用地址。
下表介绍了可在移动节点的 Address 部分中使用的标签和值。
表 29–5 Address 部分的标签和值(移动节点)|
标签 |
值 |
说明 |
|---|---|---|
|
Type |
node(节点) | |
|
SPI |
n |
移动代理
移动代理的 Address 部分包含用来定义地址类型和 SPI 标识符的 Type 和 SPI 标签。移动代理的 Address 部分的语法如下:
[Address address]
Type = agent
SPI = SPI-identifier
|
每个受支持的移动代理在家乡代理的配置文件中必须包括一个 Address 部分。
如果外地代理和家乡代理之间需要移动 IP 消息验证,则代理需要与之通信的每个对等方必须包括一个 Address 部分。
所配置的 SPI 值必须表示在配置文件中存在的 SPI 部分。
下表介绍了可在移动代理的 Address 部分中使用的标签和值。
表 29–6 Address 部分的标签和值(移动代理)|
标签 |
值 |
说明 |
|---|---|---|
|
Type |
agent |
指定该项适用于移动代理 |
|
SPI |
n |
指定关联项的 SPI 值 |
由 NAI 标识的移动节点
由 NAI 标识的移动节点的 Address 部分包含 Type、SPI 和 Pool 标签。使用 NAI 参数,可以通过移动节点的 NAI 来标识移动节点。使用 NAI 参数的 Address 部分的语法如下:
[Address NAI]
Type = Node
SPI = SPI-identifier
Pool = pool-identifier
|
要使用池,可以通过移动节点的 NAI 来标识移动节点。Address 部分允许您配置 NAI 而非家乡地址。NAI 采用格式 user@domain。可以使用 Pool 标签指定要使用哪个地址池来向移动节点分配家乡地址。
下表介绍了可在由 NAI 标识的移动节点的 Address 部分中使用的标签和值。
表 29–7 Address 部分的标签和值(由 NAI 标识的移动节点)|
标签 |
值 |
说明 |
|---|---|---|
|
Type |
node(节点) | |
|
SPI |
n | |
|
Pool |
n |
对于由 NAI 标识的移动节点,Address 部分中定义的 SPI 和 Pool 标签必须具有与其对应的 SPI 和 Pool 部分,如下图所示。
图 29–1 与由 NAI 标识的移动节点的 Address 部分相对应的 SPI 和 Pool 部分
缺省的移动节点
缺省移动节点的 Address 部分包含 Type、SPI 和 Pool 标签。使用 Node-Default 参数,可以允许所有移动节点在具有正确 SPI(在该部分中定义)的情况下获取服务。使用 Node-Default 参数的 Address 部分的语法如下:
[Address Node-Default]
Type = Node
SPI = SPI-identifier
Pool = pool-identifier
|
使用 Node-Default 参数可降低配置文件的大小。否则,每个移动节点都需要包含各自的部分。但是,Node-Default 参数会造成安全风险。如果由于某种原因而导致移动节点不再受信任,则需要更新有关所有受信任移动节点的安全信息。此任务可能非常繁琐。但是,可以在无需考虑安全风险的网络中使用 Node-Default 参数。
下表介绍了可在缺省移动节点的 Address 部分中使用的标签和值。
表 29–8 Address 部分的标签和值(缺省移动节点)|
标签 |
值 |
说明 |
|---|---|---|
|
Type |
node(节点) | |
|
SPI |
n | |
|
Pool |
n |
缺省移动节点的 Address 部分中定义的 SPI 和 Pool 标签必须有相对应的 SPI 和 Pool 部分,如下图所示。
图 29–2 与缺省移动节点的 Address 部分相对应的 SPI 和 Pool 部分
- © 2010, Oracle Corporation and/or its affiliates