パート V モバイル IP

このパートでは、モバイルインターネットプロトコル (IP) を紹介し、モバイル IP を管理する作業について説明します。モバイル IP をラップトップや無線通信機器などのシステムにインストールすると、これらのマシンを外部ネットワーク上で運用できます。

モバイル IP 機能は、Solaris 10 8/07 よりあとのすべての Oracle Solaris Update から削除されました。

第 27 章 モバイル IP (概要)

モバイルインターネットプロトコル (IP) は、モバイルコンピュータ間での情報の送受信を可能にします。「モバイルコンピュータ」には、ラップトップや無線通信機器などがあります。モバイルコンピュータは外部のネットワークに移動できます。外部のネットワークに移動しても、モバイルコンピュータは元のネットワークにアクセスし、通信できます。モバイル IP の Solaris による実装では、IPv4 のみをサポートしています。

この章では、次の内容について説明します。

• 「モバイル IP の概要」

• 「モバイル IP の構成要素」

• 「モバイル IP の動作」

• 「エージェントの発見」

• 「気付アドレス」

• 「逆方向トンネリングを使用するモバイル IP」

• 「モバイル IP の登録」

• 「モバイルノードに対するデータグラムの経路制御」

• 「モバイル IP におけるセキュリティーについて」

モバイル IP 関連の作業については、第 28 章モバイル IP の管理 (手順)を参照してください。モバイル IP のリファレンス情報については、第 29 章モバイル IP のファイルおよびコマンド (リファレンス)を参照してください。

モバイル IP の最新情報

モバイル IP 機能は、Solaris 10 8/07 よりあとの Solaris 10 Update から削除されました。

モバイル IP の概要

インターネットプロトコル (IP) の現在のバージョンでは、コンピュータがインターネットあるいはネットワークに接続する場所は固定されているものと仮定しています。また、IP はその IP アドレスが接続しているネットワークを識別するものと仮定しています。データグラムは、IP アドレスに含まれる場所情報に基づいてコンピュータに送信されます。多くのインターネットプロトコルは、ノードの IP アドレスを変更しない状態にしておく必要があります。よって、このようなプロトコルをモバイル IP コンピュータデバイスで実行すると、そのアプリケーションは失敗します。TCP 接続が一時的なものでない場合は、HTTP も失敗します。IP アドレスの更新と Web ページの更新は、場所を移動して行うことはできません。

モバイルコンピュータ、つまり「モバイルノード」が IP アドレスを変更せずに新たなネットワークに移動すると、そのアドレスは新しい接続点を反映しません。その結果、既存の経路制御プロトコルではデータグラムをモバイルノードに正しく送り届けることができません。このような場合、モバイルノードを新しい場所を表す別の IP アドレスに再構成しなければなりません。ただし、別の IP アドレスを割り当てるには手間がかかります。このように現在のインターネットプロトコルでは、モバイルノードがアドレスを変更せずに移動すれば、そのルートを失います。また、アドレスを変更すれば、今までの接続を失ってしまいます。

モバイル IP では、この問題を 2 つの IP アドレスをモバイルノードに与えることで解決します。1 つ目のアドレスは固定の「ホームアドレス」です。2 つ目のアドレスは新しい接続点ごとに変わる「気付アドレス (care-of address)」です。モバイル IP より、1 つのコンピュータはインターネットを自由に移動することが できます。また、1 つのコンピュータは同じホームアドレスを維持しながら、企業ネットワークを自由に移動できます。その結果、ユーザーがコンピュータの接続点を変更した場合でも、コンピュータ動作が中断されることはありません。ネットワークはモバイルノードの新しい場所に関する情報を更新します。モバイル IP に関連する用語の定義については、用語集を参照してください。

次の図にモバイル IP の一般的なトポロジを示します。

図 27–1 モバイル IP トポロジ

この図のモバイル IP トポロジを使って、データグラムがどのようにモバイル IP フレームワーク内のある点から別の点に移動するかを説明します。

1. インターネットホストはモバイルノードのホームアドレスを使って、データグラムをモバイルノードへ送信します (通常の IP 経路制御処理)。

2. モバイルノードがホームネットワーク上にある場合、データグラムは通常の IP 処理でモバイルノードに配信されます。それ以外の場合は、ホームエージェントがデータグラムを取得します。

3. モバイルノードが外部ネットワーク上にある場合、ホームエージェントがデータグラムを外来エージェントに転送します。外来エージェントの IP アドレスが外部 IP ヘッダーに表示されるように、ホームエージェントはそのデータグラムを外部データグラム内にカプセル化する必要があります。

4. 外来エージェントはデータグラムをモバイルノードに配信します。

5. モバイルノードからデータグラムは、通常の IP 経路制御手順でインターネットホストへ送信されます。モバイルノードが外部ネットワーク上にある場合は、パケットは外来エージェントに配信されます。外来エージェントはデータグラムをインターネットホストに転送します。

6. 進入フィルタがある場合には、データグラムの送信元であるサブネットに対して、発信元アドレスをトポロジとして正しくしないと、ルーターがデータグラムを転送できません。この状況がモバイルノードと通信ノード間のリンク上に存在する場合、外来エージェントで逆方向トンネリングを使用する必要があります。そのあと、外来エージェントはモバイルノードがそのホームエージェントに送信する各データグラムを配信します。ホームエージェントは、データグラムが通過するパスを経由してそのデータグラムをホームネットワーク上にあるモバイルノードに転送します。この処理により、確実に発信元アドレスは、データグラムが横断する必要のあるすべてのリンクに対して正しくなります。

無線通信の場合、図 27–1 では無線トランシーバを使用してデータグラムをモバイルノードに送信します。また、インターネットホストとモバイルノード間で送受信されるすべてのデータグラムは、モバイルノードのホームアドレスを使用します。モバイルノードが外部ネットワークにある場合でも、ホームアドレスを使用します。その際、気付アドレスはモバイルエージェントとの通信にだけ使用されます。気付アドレスでは、インターネットホストが 関わることはありません。

モバイル IP の構成要素

モバイル IP は次のような新しい構成要素を使用します。

• モバイルノード (MN) – モバイルノードの IP ホームアドレスを使用して既存するすべての通信を維持する間、ネットワークに応じて接続点を変更するホストまたは ルーター

• ホームエージェント (HA) – モバイルノードのホームネットワーク上のルーターまたはサーバー。ルーターは、モバイルノード宛てのデータグラムを取得します。そのあと、そのデータグラムを気付アドレスに転送します。ホームエージェントは、モバイルノードの現在の場所情報も保持しています。

• 外来エージェント (FA) – モバイルノードの移動先である外部ネットワーク上にあるルーターまたはサーバー。そのモバイルノー ドに経路制御サービスを提供します。また、モバイルノードが登録されている間には、モバイルノードに気付アドレスも提供します。

モバイル IP の動作

モバイル IP により、IP データグラムをモバイルノードへ経路制御できます。モバイルノードのホームアドレスは、モバイルノードの接続場所に関係なく、常にモバイルノードを指します。ホームから離れているときは、気付アドレスにモバイルノードのホームアドレスを関連付けます。気付アドレスが、モバイルノードの現在の接続点に関する情報を提供します。モバイル IP は、登録機構を利用して気付アドレスをホーム エージェントに登録します。

ホームエージェントは、データグラムをホームネットワークからその気付アドレスに転送します。ホームエージェントは、モバイルノードの気付アドレスを含む新しい IP ヘッダーを宛先 IP アドレスとして作成します。この新しいヘッダーは元の IP データグラムをカプセル化します。その結果、モバイルノードのホームアドレスは、カプセル化されたデータグラムが気付アドレスに到達するまで、その経路制御に影響を与えません。このようなカプセル化を「トンネリング」とも呼びます。気付アドレスに到達後、データグラムはカプセル化を解除されます。そのあと、データグラムはモバイルノードに配信されます。

次の図では、外部ネットワーク B に移動する前の、ホームネットワーク A 上にあるモバイルノードを示しています。どちらのネットワークもモバイル IP をサポートしています。モバイルノードは、モバイルノードのホームアドレス 128.226.3.30 によって常に関連付けられています。

図 27–2 ホームネットワーク上にあるモバイルノード

次の図では、外部ネットワーク B に移動したモバイルノードを示しています。モバイルノード宛てのデータグラムはホームネットワーク A 上のホームエージェントが取得し、カプセル化します。そのデータグラムをネットワーク B 上の外来エージェントに転送します。カプセル化されたデータグラムを受信すると、外来エージェントは外側のヘッダーを取り除きます。そのあと、そのデータグラムをネットワーク B にあるモバイルノードに配信します。

図 27–3 モバイルノードの外部ネットワークへの移動

気付アドレスは外来エージェントに含まれる場合があります。また、動的ホスト構成プロトコル (DHCP) またはポイントツーポイントプロトコル (PPP) を使ってモバイルノードにより取得される場合もあります。PPP により取得される場合、モバイルノードは、共存気付アドレスを持っています。

モビリティーエージェント (ホームエージェントと外来エージェント) は「エージェント通知」メッセージを使用してその存在を通知します。オプションとしてモバイルノードは、エージェント通知メッセージを要請できます。モバイルノードは、「エージェント要請」メッセージによって、ローカルに接続されている任意のモビリティーエージェントを使用します。モバイルノードは、そのエージェント通知を受信して、モバイルノードがホームネットワーク上または外部ネットワーク上にあるのかを判断します。

モバイルノードは、特別な「登録」処理を使用して現在の場所に関する情報をホームエージェントに提供します。また、常に存在を通知するモビリティーエージェントを「待機」します。さらに、それらの通知を利用して、モバイルノードが別のサブネットに移動する時期を判断します。モバイルノード自体がサブネットに移動したと判断すると、新しい外来エージェントを使用して登録メッセージをホームエージェントに転送します。ある外部ネットワークから別の外部ネットワークにモバイルノードが移動したときにも、モバイルノードでは同じ処理を行います。

モバイルノード自体がホームネットワークにいることを判断すると、モビリティーサービスを利用せずに動作します。モバイルノードがホームネットワークに戻ると、ホームエージェントの「登録を解除」します。

エージェントの発見

モバイルノードは次の情報を調べ「エージェントの発見」をします。

• ノードがネットワーク間をいつ移動したか

• ネットワークがホームネットワークまたは外部ネットワークかどうか

• ネットワーク上の各外来エージェントによって提供される外来エージェント気付アドレス

• モビリティーエージェントによって提供されるモビリティーサービスは、フラグとして通知されます。これは、エージェント通知の追加拡張です。

モビリティーエージェントは、「エージェント通知」を送信してネットワークにサービスを通知します。エージェント通知がない場合は、モバイルノードは通知を要請できます。これを「エージェント要請」といいます。モバイルノードで自身の共存気付アドレスをサポートできる場合、モバイルノードはエージェント要請に通常のルーター広告を使用できます。

エージェント通知

モバイルノードは、エージェント通知を使用してインターネットまたは組織のネットワークへの現在の接続点を決めます。エージェント通知とは、モビリティーエージェント通知拡張も送信するように拡張されたインターネット制御メッセージプロトコル (ICMP) ルーター広告のことです。

外来エージェント (FA) は、忙しすぎて新たなモバイルノードを処理できない場合があります。しかし、外来エージェントはエージェント通知を継続して送信しなければなりません。このようにして、外来エージェントに登録済みのモバイルノードが、外来エージェントの有効範囲から外れていないことを認識できます。また、外来エージェントに障害が発生していないことも認識できます。外来エージェントに登録済みのモバイルノードが外来エージェントからエージェント通知を受信しない場合には、その外来エージェントと通信できないと認識します。

動的インタフェースによるエージェント通知

外来エージェントの実装を設定して、動的に作成されたインタフェースによって通知を送信できます。通知するインタフェースによる、要請されていない通知を制限するかどうかを決定できるオプションがあります。動的に作成されたインタフェースは、mipagent デーモンの開始後に設定されるインタフェースとしてのみ定義されます。動的インタフェースによる通知は、モバイルインタフェースを一時的にサポートするアプリケーションに有用です。さらに、要請されていない通知を制限することで、ネットワークの帯域幅を節約できます。

エージェント要請

各モバイルノードはエージェント要請を実装する必要があります。モバイルノードは、ICMP ルーターの要請メッセージ用に指定されたものと同じエージェント要請用の手順、デフォルト値、および定数を使用します。

モバイルノードが要請を送信する頻度は、モバイルノードによって制限されます。モバイルノードはエージェントの検索時に、3 回の初期要請 (最大で 1 秒間に 1 回ずつ) を送信できます。モバイルノードをエージェントに登録したあとは、要請を送信する頻度を減少させ、ローカルネットワークのオーバーヘッドを制限します。

気付アドレス

モバイル IP は、気付アドレスを取得するために次の代替モードを提供します。

• 外来エージェントは、エージェント通知メッセージを通してモバイルノードに通知される「外来エージェント気付アドレス」を提供します。通常、気付アドレスは、その通知を送信する外来エージェントの IP アドレスです。この場合、外来エージェントはトンネルのエンドポイントです。外来エージェントはトンネルを経由してデータグラムを受信し、そのデータグラムのカプセル化を解除します。そのあと、内部データグラムをモバイルノードに配信します。その結果、多数のモバイルノードが共存気付アドレスを共有できます。帯域幅は無線リンクでは重要です。モバイル IP サービスを高帯域幅の固定リンクに提供できる外来エージェントの中では、無線リンクがかなり有効です。

• モバイルノードは、なんらかの外部的な手段で「共存気付アドレス」をローカル IP アドレスとして取得します。そのあと、モバイルノードはこのアドレスをモバイルノードのネットワークインタフェースの1 つに関連付けます。また、DHCP を使ってこのアドレスを一時的アドレスとして取得することもできます。このアドレスを、モバイルノードが長期間アドレスとして所有する場合もあります。さらに、このアドレスが属するサブネットに移動している間だけそのアドレスを使用する場合もあります。共存気付アドレスを使用する場合、モバイルノードはトンネルの終点として機能します。その上、モバイルノードにトンネリングされたデータグラムのカプセル化を解除します。

共存気付アドレスにより、モバイルノードは外来エージェントなしで機能できます。その結果、モバイルノードは外来エージェントを配置していないネットワークで共存気付アドレスを使用できます。

共存気付アドレスをモバイルノードが使用している場合、モバイルノードはその気付アドレスのネットワーク接頭辞によって識別されるリンク上になければなりません。リンク上にないと、その気付アドレス宛てのデータグラムを配信できません。

逆方向トンネリングを使用するモバイル IP

「モバイル IP の動作」では、インターネット上の経路制御は、データパケット発信元アドレスから独立したものと想定されています。しかし、中間ルーターは、トポロジとして正しい発信元アドレスを確認します。中間ルーターが確認する場合は、モバイルノードで逆方向トンネルを設定しなければなりません。モバイルノードの気付アドレスからホームエージェントへ逆方向トンネルを設定することで、IP データパケットについてトポロジとして正しいソースアドレスを確保できます。逆方向トンネルのサポートは、外来エージェントとホームエージェントによって通知されます。モバイルノードは、登録時に外来エージェントとホームエージェントの間に逆方向トンネルを要求できます。逆方向トンネルは、モバイルノードの気付アドレスで始まり、ホームエージェントで終わるトンネルです。次の図に逆方向トンネルを使用するモバイル IP トポロジを示します。

図 27–4 逆方向トンネルを使用するモバイル IP

専用アドレスの制限付きサポート

専用アドレスを持ち、インターネットを経由してグローバルに経路制御できないモバイルノードには、逆方向トンネルが必要です。Solaris モバイル IP は、専用アドレスを持つモバイルノードをサポートします。Solaris モバイル IP がサポートしない機能については、「Solaris モバイル IP 実装の概要」 を参照してください。

外部との接続が必要でない場合、ネットワークでは専用アドレスを使います。専用アドレスは、インターネットを通る経路制御ができません。専用アドレスを持つモバイルノードは、データグラムをそのホームエージェントに逆方向トンネリングを設定することによって通信ノードとだけ通信できます。通常、モバイルノードがホームにあるときにデータグラムが配信される場合でも、ホームエージェントはデータグラムを通信ノードに配信します。次の図は、専用アドレスが指定された 2 つのモバイルノードのネットワークトポロジを示します。その 2 つのモバイルノードは、同じ外来エージェントに登録されたときに同じ気付アドレスを使用します。

図 27–5 同じ外部ネットワーク上にある、専用アドレスが指定されたモバイルノード

気付アドレスとホームエージェントの IP アドレスが公衆インターネットによって接続される異なるドメインに属する場合、それらのアドレスはグローバルに経路制御できるアドレスでなければなりません。

同じ外部ネットワーク上に、同じ IP アドレスを持つ、専用アドレスが指定された 2 つのモバイルノードを持つことは可能です。ただし、各モバイルノードが異なるホームエージェントを持っていなければなりません。さらに、各モバイルノードが共通の 1 つの外来エージェントの異なる通知サブネット上になければなりません。次の図は、このような状況を表わすネットワークトポロジを示しています。

図 27–6 異なる外部ネットワーク上にある、専用アドレスが指定されたモバイルノード

モバイル IP の登録

モバイルノードは、エージェント通知を利用してサブネット間を移動した時期を検出します。モバイルノードは、その場所を変更したことを示すエージェント通知を受信すると、外来エージェントを経由して登録します。モバイルノードは、共存気付アドレスを取得できる場合でも、この機能によってサイトはモビリティーサービスへのアクセスを制限できます。

モバイル IP 登録機能は、モバイルノードの現在の到達可能情報をホームエージェントに通知するための融通性のある機構を提供します。登録処理によってモバイルノードは次の作業を実行できます。

• 外部ネットワークに移動する際の要求転送サービス

• ホームエージェントへの現在の気付アドレスの通知

• 期間が満了する登録の更新

• ホームに戻る際の登録解除

• 逆方向トンネルの要求

登録メッセージは、モバイルノード、外来エージェント、およびホームエージェント間の情報を交換します。登録によってホームエージェントでのモビリティー結合を作成または変更します。登録は、指定された有効期間モバイルノードのホームアドレスをその気付アドレスに関連付けます。

登録処理によってモバイルノードは次の機能を実行できます。

• 複数の外来エージェントへ登録する

• ほかのモビリティー結合を維持しながら特定の気付アドレスの登録を解除する

• モバイルノードがこの情報で構成されていない場合にホームエージェントのアドレスを発見する

モバイル IP は、モバイルノードに対して次の登録処理を定義します。

• モバイルノードが外来エージェントの気付アドレスを登録する場合、モバイルノードはその外来エージェントを使用して到達可能なホームエージェントを通知します。

• モバイルノードが外来エージェントを使用してその登録を要求するエージェント通知を受信する場合でも、モバイルノードは共存気付アドレスを取得できます。モバイルノードは、その外来エージェントあるいはこのリンク上の別の外来エージェントに登録することもできます。

• モバイルノードが共存気付アドレスを使用する場合、自分のホームエージェントに直接登録します。

• モバイルノードがホームネットワークに戻るときにホームエージェントでの登録を解除します。

これらの処理には登録要求および登録応答メッセージの交換が伴います。外来エージェントを使用して登録する場合、登録処理は次の手順で行われます (下図を参照)。

1. モバイルノードは、可能性がある外来エージェントに登録要求を送信して、登録処理を開始します。

2. 外来エージェントは登録要求を処理し、その要求をホームエージェントに転送します。

3. ホームエージェントは登録応答を外来エージェントに送信し、要求を承認または否認します。

4. 外来エージェントは登録応答を処理し、その応答をモバイルノードに転送して、その要求を処理したことを通知します。

図 27–7 モバイル IP の登録処理

モバイルノードがホームエージェントに直接登録する場合、登録処理には次の手順が必要です。

• モバイルノードが登録要求をホームエージェントに送信する。

• ホームエージェントが登録応答をモバイルノードに送信して、要求を承認または否認する。

また、逆方向トンネルが外来エージェントまたはホームエージェントのいずれかに要求されます。外来エージェントが逆方向トンネリングをサポートする場合、モバイルノードは登録処理を使用して、逆方向トンネルを要求します。モバイルノードは、登録要求で逆方向トンネルフラグを設定することによって、逆方向トンネルを要求します。

ネットワークアクセス識別子 (NAI)

インターネット内で使用している認証、承認、会計 (AAA) サーバーは、ダイアルアップコンピュータ用の認証および承認サービスを提供します。これらのサービスは、ノードが AAA サーバーにより外部ドメインに接続しようとしているときにモバイル IP を使用しているモバイルノードにも、同様に価値がある可能性があります。AAA サーバーは、ネットワークアクセス識別子 (NAI) を使ってクライアントを特定します。モバイルノードは NAI をモバイル IP 登録要求に含めることによって自分自身を識別できます。

NAI は通常モバイルノードを特定するために使用されるので、モバイルノードのホームアドレスが必ずしもこの機能を提供する必要はありません。したがって、モバイルノードでそれ自体を認証します。その結果、モバイルノードではホームアドレスがない場合でも、外部ドメインへ接続するための承認を得ることができます。ホームアドレスの割り当てを要求するために、モバイルノードの NAI 拡張を含むメッセージは登録要求内でホームアドレスをゼロに設定できます。

モバイル IP メッセージの認証

各モバイルノード、外来エージェント、およびホームエージェントは、さまざなモバイル IP 構成要素間のモビリティーセキュリティーアソシエーションをサポートします。セキュリティーアソシエーションは、セキュリティーパラメータインデックス (SPI) と IP アドレスで索引付けされています。モバイルノードの場合、このアドレスはモバイルノードのホームアドレスです。モバイルノードとそのホームエージェント間の登録メッセージは、モバイルホーム間認証拡張により認証されます。必須であるモバイルホーム間認証に加え、ユーザーは任意のモバイルと外来エージェント間、およびホームと外来エージェント間認証を使用できます。

モバイルノード登録要求

モバイルノードは、「登録要求」メッセージを使用してそのホームエージェントに登録します。このようにして、ホームエージェントが (たとえば新しい有効期間をもつ) そのモバイルノード用のモビリティー結合を作成または変更できるようにします。外来エージェントは登録要求をホームエージェントに転送できます。ただしモバイルノードが、共存気付アドレスを登録している場合には、モバイルノードはその登録要求を直接ホームエージェントに送信できます。外来エージェントが、登録メッセージを送信する必要があることを通知する場合、モバイルノードは登録要求を外来エージェントに送信しなければなりません。

登録応答メッセージ

モビリティーエージェントは、登録要求メッセージを送信したモバイルノードに「登録応答」メッセージを返します。モバイルノードが外来エージェントにサービスを要求している場合、その外来エージェントはホームエージェントから応答を受信します。そのあと、外来エージェントはその応答をモバイルノードに転送します。応答メッセージには、登録要求の状態についてモバイルノードと外来エージェントに通知するのに必要なコードが含まれています。また、ホームエージェントにより許可されている有効期間も含まれています。有効期間は元の要求よりも短い可能性があります。登録応答には動的ホームアドレス割り当てが含まれることがあります。

外来エージェント

外来エージェントは、ほとんどの場合モバイル IP の登録において受動的役割を果たします。また、ビジターテーブルに登録されているモバイルノードをすべて追加します。外来エージェントは、登録要求をモバイルノードとホームエージェント間で転送します。また、気付アドレスをサポートしている場合は、データグラムをカプセル化解除してモバイルノードに配信します。さらに、周期的エージェント通知メッセージを送信して外来エージェントの存在を通知します。

ホームエージェントと外来エージェントが逆方向トンネルをサポートし、モバイルノードが逆方向トンネルを要求する場合、外来エージェントはすべてのパケットをモバイルノードからホームエージェントへトンネリングします。そのあと、ホームエージェントはそのパケットを通信ノードに送信します。この処理は、モバイルノードへの配信用にホームエージェントがモバイルノードのすべてのパケットを外来エージェントにトンネリングする場合と逆です。逆方向トンネルをサポートしている外来エージェントは、登録のために逆方向トンネルをサポートしていることを通知します。ローカルポリシーにより、外来エージェントは、逆方向トンネルフラグが設定されていないときに、登録要求を拒否できます。また、モバイルノードが外来エージェント上の異なる 2 つのインタフェースに移動するときに、外来エージェントが特定できるのは、同じ (専用) IP アドレスを持つ複数のモバイルノードだけです。順方向トンネルの場合、外来エージェントは、着信側のトンネルインタフェースを調べることによって、同じ専用アドレスを共有する複数のモバイルノードを特定します。着信トンネルインタフェースは、固有のホームエージェントのアドレスに対応します。

ホームエージェント

ホームエージェントは、モバイル IP の登録処理において能動的役割を果たします。ホームエージェントは、モバイルノードから登録要求を受信します。登録要求は、外来エージェントによって転送されます。また、このモバイルノードに対するモビリティー結合の記録を更新します。さらに、各登録要求に対して適切な登録応答を発行します。その上、モバイルノードがホームネットワークから離れているときには、そのモバイルノードにパケットを転送します。

ホームエージェントは、モバイルノード用に構成された物理サブネットを持たなければいけないわけではありません。ただし、ホームエージェントは、登録を承認するときに mipagent.conf ファイルまたはほかの機構を使用してモバイルノードのホームアドレスを認識しなければなりません。mipagent.conf の詳細は、「モバイル IP 構成ファイルの作成」を参照してください。

専用アドレスが指定されたモバイルノードをサポートするには、mipagent.conf ファイルで専用アドレスが指定されたモバイルノードを設定します。ホームエージェントで使用されるホームアドレスは一意にする必要があります。

動的ホームエージェントの発見

モバイルノードは、登録しようとする際にそのホームエージェントのアドレスを認識していないことがあります。モバイルノードがそのホームエージェントのアドレスを認識していない場合、動的ホームエージェントアドレス解決を使用してホームエージェントのアドレスを認識できます。この場合、モバイルノードは登録要求のホームエージェントフィールドをモバイルノードのホームネットワークのサブネット指定のブロードキャストアドレスに設定します。ブロードキャスト宛先アドレスが指定された登録要求を受信した各ホームエージェントは、拒否登録応答を返信することによってモバイルノードの登録を拒否します。こうすることによってモバイルノードは、拒否応答に示された、ホームエージェントのユニキャスト IP アドレスを次に登録を行う際に使用できます。

モバイルノードに対するデータグラムの経路制御

モバイルノード、ホームエージェント、および外来エージェントが協力して、外部ネットワークに接続されているモバイルノードへのデータグラムのルートを指定する方法を説明します。Solaris OS でサポートされているモバイル IP の機能については、「Solaris モバイル IP 実装の概要」を参照してください。

カプセル化方式

ホームエージェントおよび外来エージェントは、利用可能なカプセル化方法のいずれか 1 つを使用して、トンネルを使用するデータグラムをサポートします。定義されているカプセル化の方法は、IP 内 IP (IP-in-IP) カプセル化、最小カプセル化、および汎用経路制御カプセル化です。外来エージェントおよびホームエージェントの場合 (つまり、モバイルノードとホームエージェントが間接的に共存する場合)、同じカプセル化の方法をサポートする必要があります。また、すべてのモバイル IP エントリが IP 内 IP カプセル化をサポートする必要があります。

ユニキャストデータグラムの経路制御

外部ネットワークに登録された場合、モバイルノードは次に示す規則を使用してデフォルトのルーターを選択します。

• モバイルノードが外来エージェントの気付アドレスを使用して登録された場合、その処理は直線的な順方向になります。モバイルノードは、ICMP ルーター広告メッセージのいずれかで通知されているものの中からデフォルトのルーターを選択します。また、エージェント通知の IP 発信元アドレスをデフォルトルーターの IP アドレスに対するもう1 つの選択候補にできます。

• モバイルノードは、共存気付アドレスを使用して直接ホームエージェントに登録できます。そのあと、モバイルノードが受信する ICMP ルーター広告メッセージのいずれかで通知されているものの中からデフォルトのルーターを選択します。選択したデフォルトルーターのネットワーク接頭辞は、モバイルノードが外部で取得した、共存気付アドレスに一致しなければなりません。よって、そのアドレスは、ネットワーク接頭辞でのエージェント通知 の IP 発信元アドレスに一致します。さらに、モバイルノードはその IP 発信元アドレスをデフォルトルーターの IP アドレスに対するもう1 つの選択候補にできます。

• モバイルノードが登録されている場合、逆方向トンネルをサポートする外来エージェントは、モバイルノードから逆方向トンネルを経由してホームエージェントにユニキャストデータグラムを経路制御します。モバイルノードが逆方向トンネルをサポートする外来エージェントに登録されている場合には、デフォルトルーターとしてその外来エージェントを使用する必要があります。

ブロードキャストデータグラム

ホームエージェントがブロードキャストデータグラムまたはマルチキャストデータグラムを受信したときは、ホームエージェントが受信するモバイルノードに対してそのデータグラムだけを転送します。ブロードキャストデータグラムおよびマルチキャストデータグラムをモバイルノードに転送する方法は、主に 2 つの要素によって異なります。モバイルノードで外来エージェントが提供する気付アドレスを使用するか、その独自の共存気付アドレスを使用するかという 2 つの要素です。気付アドレスを使用する場合、データグラムを二重カプセル化する必要があります。最初の IP ヘッダーは、データグラムの配信先となるモバイルノードを示します。最初の IP ヘッダーは、ブロードキャストデータグラムまたはマルチキャストデータグラムには存在しないので注意してください。2 番目の IP ヘッダーは、気付アドレスを示し、その通常のトンネルヘッダーとなります。独自の共存気付アドレスを使用する場合、モバイルノードはその独自のデータグラムのカプセル化を解除し、そのデータグラムを通常のトンネル経由のみで送信する必要があります。

マルチキャストデータグラムの経路制御

モバイルノードが外部サブネットの移動時に、マルチキャストトラフィックの受信を開始するには、次のいずれかの方法でマルチキャストグループを結合します。

• モバイルノードが共存気付アドレスを使用している場合には、このアドレスをインターネットグループ管理プロトコル (IGMP) 結合メッセージの発信元 IP アドレスとして使用できます。ただし、マルチキャストルーターが移動先のサブネットに存在していなければなりません。

• モバイルノードがそのホームサブネットから ICMP グループを結合する場合、逆方向トンネルを使用して IGMP 結合メッセージをホームエージェントに送信する必要があります。ただし、モバイルノードのホームエージェントをマルチキャストルーターにする必要があります。ホームエージェントはそのあと、マルチキャストデータグラムをトンネルを通してモバイルノードまで転送します。

• モバイルノードが、共存気付アドレスを使用している場合には、このアドレスを IGMP 結合メッセージの発信元 IP アドレスとして使用します。ただし、マルチキャストルーターが移動先のサブネットに存在していなければなりません。グループに結合されると、モバイルノードは、移動先ネットワークに直接独自のマルチキャストパケットを送信することによって加入できます。

• 移動先ネットワークに直接送信する

• トンネルを通して自分のホームエージェントに送信する

マルチキャストの経路制御は IP 発信元アドレスに依存しています。マルチキャストデータグラムを送信するモバイルノードは、そのリンクで有効な発信元アドレスからそのデータグラムを送信する必要があります。したがって、マルチキャストデータグラムを移動先ネットワークに直接送信するモバイルノードは、共存気付アドレスを IP 発信元アドレスとして使用します。また、モバイルノードはそのアドレスに関連付けられるマルチキャストグループを結合する必要もあります。同様に、移動前にホームサブネットでマルチキャストデータグラムを結合する、またはホームエージェントへの逆方向トンネルを通して移動中にマルチキャストグループを結合するモバイルノードは、そのホームアドレスをマルチキャストデータグラムの IP 発信元アドレスとして使用します。したがって、モバイルノードはそのホームサブネットにそれらのデータグラムを逆方向トンネルで送信する必要があると同様に、その共存気付アドレスを使用してモバイルノード自体または外来エージェントの逆方向トンネルのいずれかも使用します。

モバイルノードが移動先のサブネットから常に結合している方が効率的であると思われる場合、モバイルノードのままにします。よって、モバイルノードはサブネットに移動するたびにその結合を繰り返すことになります。モバイルノードがそのホームエージェントを通して結合した方が効率的である場合には、このオーバーヘッドを処理する必要はありません。また、マルチキャストセッションはホームサブネットで有効な場合に限り存在します。さらに、特定の方法でモバイルノードが加入するためには、そのほかにも留意点があります。

モバイル IP におけるセキュリティーについて

多くの場合、モバイルコンピュータは無線リンクを利用してネットワークに接続されます。無線リンクは特に、盗聴や、攻撃などの能動的な攻撃に対して脆弱です。

モバイルIP はこの脆弱性を低下あるいは除去することはできないため、それらの攻撃に対してモバイル IP 登録メッセージを保護するために認証形式を使用します。使用しているデフォルトのアルゴリズムは、128 ビットの鍵を採用した MD5 です。デフォルトの動作モードでは、ハッシュしようとするデータの前後にこの 128 ビット鍵がある必要があります。外来エージェントは、MD5 を使用して認証をサポートします。また、128 ビット以上の鍵サイズ、および手動による鍵配布を使用し た認証もサポートしています。モバイル IP では、より多くの認証アルゴリズム、アルゴリズムモード、鍵の配布方法、および鍵サイズをサポートできます。

これらの方法により、モバイル IP 登録メッセージの改ざんを防止します。さらに、前のモバイル IP 登録メッセージと重複するメッセージを受信した場合、モバイル IP は モバイル IP の要素を警告する応答保護形式も使用します。この保護方法を使用しないと、登録メッセージの受信時にモバイルノードとそのホームエージェントが同期をとることができなくなります。そのため、モバイル IP はその状態を更新します。たとえば、モバイルノードが外来エージェントを通して登録している間に、ホームエージェントが重複する登録解除メッセージを受信したとします。

その場合、「ナンス (Nonce)」と呼ばれる方法または「タイムスタンプ」によって、応答保護を確立します。ナンスおよびタイムスタンプは、モバイル IP 登録メッセージ内でホームエージェントとモバイルノードによって交換されます。ナンスおよびタイムスタンプは、認証機構による変更から保護されています。その結果、ホームエージェントまたはモバイルノードが重複するメッセージを受け取った場合、そのメッセージを破棄できます。

トンネリングは非常に攻撃されやすく、特に登録が認証されていない場合に脆弱です。また、アドレス解決プロトコル (ARP) は認証されていないため、別のホストのトラフィックを盗むために利用される可能性があります。

第 28 章 モバイル IP の管理 (手順)

この章では、モバイル IP 構成ファイルのパラメータの変更、追加、削除、および表示の方法について説明します。また、モビリティーエージェント状態の表示方法についても説明します。

この章では、次の内容について説明します。

• 「モバイル IP 構成ファイルの作成 (作業マップ)」

• 「モバイル IP 構成ファイルの作成」

• 「モバイル IP 構成ファイルの変更」

• 「モバイル IP 構成ファイルの変更 (作業マップ)」

• 「モビリティーエージェント状態の表示」

• 「外来エージェントでのモビリティー経路制御の表示」

モバイル IP の概要については、第 27 章モバイル IP (概要)を参照してください。モバイル IP の詳細については、第 29 章モバイル IP のファイルおよびコマンド (リファレンス)を参照してください。

モバイル IP 機能は、Solaris 10 8/07 よりあとの Solaris 10 Update から削除されました。

モバイル IP 構成ファイルの作成 (作業マップ)

モバイル IP 構成ファイルの作成

この項では、モバイル IP の準備と /etc/inet/mipagent.conf ファイルの作成を行います。

モバイル IP に対する準備方法

mipagent.conf ファイルを初めて構成する場合は、次の作業を行う必要があります。

1. ホストに対する組織の要件に従って、モバイル IP エージェントで提供する機能を決めます。

   • 外来エージェント機能のみ

   • ホームエージェント機能のみ

   • 外来エージェントとホームエージェント機能の両方

2. /etc/inet/mipagent.conf ファイルを作成し、この節で説明する手順に従って必要な設定を入力します。次に示すファイルの 1 つを /etc/inet/mipagent.conf にコピーし、要求条件に応じて変更することもできます。

   • 外来エージェント機能用には、/etc/inet/mipagent.conf.fa-sample をコピーします。

   • ホームエージェント機能用には、/etc/inet/mipagent.conf.ha-sample をコピーします。

   • 外来エージェントとホームエージェントの両機能用には、/etc/inet/mipagent.conf-sample をコピーします。

3. システムをリブートすることによって、mipagent デーモンを起動するブートスクリプトを起動できます。あるいは、次のコマンドを使って mipagent を起動することもできます。

   # /etc/inet.d/mipagent start

モバイル IP 構成ファイルを作成する方法

1. モバイル IP を使用可能にしたいシステムで、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

2. 次のオプションの 1 つを使って /etc/inet/mipagent.conf ファイルを作成します。

   • /etc/inet ディレクトリで mipagent.conf という空ファイルを作成します。

   • 次のリストから、必要な /etc/inet/mipagent.conf ファイルの機能を提供するサンプルファイルをコピーします。

     • /etc/inet/mipagent.conf.fa-sample

     • /etc/inet/mipagent.conf.ha-sample

     • /etc/inet/mipagent.conf-sample

3. 構成条件に応じて /etc/inet/mipagent.conf ファイル内に構成パラメータを追加または変更します。

   次の各手順では、/etc/inet/mipagent.conf 内のセクションをどのようにして変更するかについて説明します。

General セクションを構成する方法

前の手順で /etc/inet ディレクトリにあるサンプルファイルをコピーしたのであれば、この手順を行う必要はありません。サンプルファイルには、この項目がすでに含まれているからです。このセクションで使用するラベルや値の説明については、「General セクション」を参照してください。

1. /etc/inet/mipagent.conf ファイルを編集して次の行を追加します。

   [General] Version = 1.0

   ---

   注 –

   /etc/inet/mipagent.conf ファイルには、この項目が含まれていなければなりません。

   ---

Advertisements セクションを構成する方法

このセクションで使用するラベルや値の説明については、「Advertisements セクション」を参照してください。

1. /etc/inet/mipagent.conf ファイルを編集し、構成に必要な設定値を使用して次の行を追加または変更します。

   [Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> PrefixFlags = <yes/no> AdvertiseOnBcast = <yes/no> RegLifetime = n AdvLifetime = n AdvFrequency = n ReverseTunnel = <yes/no/FA/HA/both> ReverseTunnelRequired = <yes/no/FA/HA>

   ---

   注 –

   モバイルIP サービスを提供するローカルホストの各インタフェースには、それぞ れ異なる Advertisements セクションを指定しなければなりません。

   ---

GlobalSecurityParameters セクションを構成する方法

このセクションで使用されるラベルと値の説明については、「GlobalSecurityParameters セクション」を参照してください。

1. /etc/inet/mipagent.conf ファイルを編集し、構成に必要な設定値を使用して次の行を追加または変更します。

   [GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files

Pool セクションを構成する方法

このセクションで使用されるラベルと値の説明については、「Pool セクション」を参照してください。

1. /etc/inet/mipagent.conf ファイルを編集します。

2. 次の行を追加または変更して、構成に必要な値を指定します。

   [Pool pool-identifier] BaseAddress = IP-address Size = size

SPI セクションを構成する方法

このセクションで使用するラベルや値の説明については、「SPI セクション」を参照してください。

1. /etc/inet/mipagent.conf ファイルを編集します。

2. 次の行を追加または変更して、構成に必要な値を指定します。

   [SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key

   ---

   注 –

   配置した各セキュリティーコンテキストに対して異なる SPI セクションを指定しなければなりません。

   ---

Address セクションを構成する方法

このセクションで使用するラベルや値の説明については、「Address セクション」を参照してください。

1. /etc/inet/mipagent.conf ファイルを編集します。

2. 次の行を追加または変更して、構成に必要な値を指定します。

   • モバイルモードの場合は、次のようにします。

     [Address address] Type = node SPI = SPI-identifier

   • エージェントの場合は、次のようにします。

     [Address address] Type = agent SPI = SPI-identifier

   • 自身の NAI によって識別されるモバイルノードの場合は、次のようにします。

     [Address NAI] Type = Node SPI = SPI-identifier Pool = pool-identifier

   • デフォルトモバイルノードの場合は、次のようにします。

     [Address Node-Default] Type = Node SPI = SPI-identifier Pool = pool-identifier

モバイル IP 構成ファイルの変更 (作業マップ)

モバイル IP 構成ファイルの変更

この節では、mipagentconfig コマンドを使用してモバイル IP 構成ファイルを変更する方法を説明します。さらに、パラメータの宛先の現在の設定値を表示する方法についても説明します。

「モビリティー IP エージェントの構成」 コマンドの使用に関する概念的な説明については、Configuring the Mobility IP Agentを参照してください。さらに、mipagentconfig(1M) のマニュアルページもご覧ください。

General セクションを変更する方法

1. モバイル IP を使用可能にしたいシステムで、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

2. コマンド行で、General セクション内の変更したい各ラベルに対して次のコマンドを入力します。

   # mipagentconfig change <label> <value>

例 28–1 General セクションのパラメータの変更

次の例では、構成ファイルの General セクション内のバージョン番号を変更する方法を示しています。

# mipagentconfig change version 2

Advertisements セクションを変更する方法

1. モバイル IP を使用可能にしたいシステムで、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

2. Advertisements セクション内の変更したい各ラベルに対して次のコマンドを入力します。

   # mipagentconfig change adv device-name <label> <value>

   たとえば、エージェントの通知された有効期間をデバイス hme0 に対して 300 秒に変更したい場合は、次のコマンドを使用します。

   # mipagentconfig change adv hme0 AdvLifetime 300

例 28–2 Advertisements セクションの変更

次の例は、構成ファイルの Advertisements セクション内のその他のパラメータを変更する方法を示しています。

# mipagentconfig change adv hme0 HomeAgent yes
# mipagentconfig change adv hme0 ForeignAgent no
# mipagentconfig change adv hme0 PrefixFlags no
# mipagentconfig change adv hme0 RegLifetime 300
# mipagentconfig change adv hme0 AdvFrequency 4
# mipagentconfig change adv hme0 ReverseTunnel yes

GlobalSecurityParameters セクションを変更する方法

1. モバイル IP を使用可能にしたいシステムで、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

2. GlobalSecurityParameters セクション内の変更したい各ラベルに対して次のコマンドを入力します。

   # mipagentconfig change <label> <value>

   たとえば、ホームエージェントおよび外来エージェント認証を有効にしたい場合は、次のコマンドを使用します。

   # mipagentconfig change HA-FAauth yes

例 28–3 GlobalSecurityParameters セクションの変更

次の例では、構成ファイルの GlobalSecurityParameters セクション内のその他のパラメータを変更する方法を示しています。

# mipagentconfig change MaxClockSkew 200
# mipagentconfig change MN-FAauth yes
# mipagentconfig change Challenge yes
# mipagentconfig change KeyDistribution files

Pool セクションを変更する方法

1. モバイル IP を使用可能にしたいシステムで、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

2. Pool セクション内の変更したい各ラベルに対して次のコマンドを入力します。

   # mipagentconfig change Pool pool-identifier <label> <value>

例 28–4 Pool セクションの変更

次の例では、基底アドレスを 192.168.1.1 に、Pool のサイズを 10 から 100 にそれぞれ変更します。

# mipagentconfig change Pool 10 BaseAddress 192.168.1.1
# mipagentconfig change Pool 10 Size 100

SPI セクションを変更する方法

1. モバイル IP を使用可能にしたいシステムで、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

2. SPI セクション内の変更したい各ラベルに対して次のコマンドを入力します。

   # mipagentconfig change SPI SPI-identifier <label> <value>

   たとえば、SPI 257 のキーを 5af2aee39ff0b332 に変更する場合は、次のコマンドを使用します。

   # mipagentconfig change SPI 257 Key 5af2aee39ff0b332

例 28–5 SPI セクションの変更

次の例では、構成ファイルの SPI セクション内の ReplayMethod ラベルを変更する方法を示しています。

# mipagentconfig change SPI 257 ReplayMethod timestamps

Address セクションを変更する方法

1. モバイル IP を使用可能にしたいシステムで、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

2. Address セクション内の変更したい各ラベルに対して次のコマンドを入力します。

   # mipagentconfig change addr [NAI | IPaddr | node-default] <label> <value>

   3 つの構成方式 (NAI、IP アドレス、ノードデフォルト) の説明については、「Address セクション」を参照してください。

   たとえば、IP アドレス 10.1.1.1 の SPI を 258 に変更する場合は、次のコマンドを使用します。

   # mipagentconfig change addr 10.1.1.1 SPI 258

例 28–6 Address セクションの変更

次の例では、サンプル構成ファイルの Address セクションに指定されたその他のパラメータを変更する方法を示しています。

# mipagentconfig change addr 10.1.1.1 Type agent
# mipagentconfig change addr 10.1.1.1 SPI 259
# mipagentconfig change addr mobilenode@abc.com Type node
# mipagentconfig change addr mobilenode@abc.com SPI 258
# mipagentconfig change addr mobilenode@abc.com Pool 2
# mipagentconfig change addr node-default SPI 259
# mipagentconfig change addr node-default Pool 3
# mipagentconfig change addr 10.68.30.36 Type agent
# mipagentconfig change addr 10.68.30.36 SPI 260

構成ファイルのパラメータを追加または削除する方法

1. モバイル IP を使用可能にしたいシステムで、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

2. 指定したセクションに対して追加または削除したい各ラベルについてコマンドを入力します。

   • General セクション

     # mipagentconfig [add | delete] <label> <value>

   • Advertisements セクション

     # mipagentconfig [add | delete] adv device-name <label> <value>

     ---

     注 –

     次のコマンドを入力してインタフェースを追加できます。

     # mipagentconfig add adv device-name

     この場合、デフォルト値は (外来エージェントおよびホームエージェントに対する) インタフェースに割り当てられます。

     ---

   • GlobalSecurityParameters セクション

     # mipagentconfig [add | delete] <label> <value>

   • Pool セクション

     # mipagentconfig [add | delete] Pool pool-identifier <label> <value>

   • SPI セクション

     # mipagentconfig [add | delete] SPI SPI-identifier <label> <value>

   • Address セクション

     # mipagentconfig [add | delete] addr [NAI | IP-address | node-default] \ <label> <value>

   ---

   注 –

   同じ内容の Advertisements、Pool 、SPI、および Address セクションは作成できないので注意してください。

   ---

例 28–7 ファイルパラメータの変更

たとえば、基底アドレスが 192.167.1.1 でサイズが 100 の新しいアドレスプール Pool 11 を作成したい場合、次のコマンドを使用します。

# mipagentconfig add Pool 11 BaseAddress 192.167.1.1 
# mipagentconfig add Pool 11 size 100

例 28–8 SPI の削除

次の例では、SPI セキュリティーパラメータ SPI 257 を削除します。

# mipagentconfig delete SPI 257

構成ファイルの現在のパラメータ値を表示する方法

mipagentconfig get コマンドを使用して、パラメータ宛先に関連付けられている現在の設定を表示できます。

1. モバイル IP を使用可能にするシステムで、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

2. 設定値を表示したい各パラメータについて次のコマンドを入力します。

   # mipagentconfig get [<parameter> | <label>]

   たとえば、hme0 デバイスに対する通知設定を表示する場合、次のコマンドを使用します。

   # mipagentconfig get adv hme0

   その結果、次のような出力が表示されます。

   [Advertisements hme0] HomeAgent = yes ForeignAgent = yes

例 28–9 mipagentconfig get コマンドでパラメータ値を表示する

次の例は、その他のパラメータ宛先に mipagentconfig get コマンドを使用した結果です。

# mipagentconfig get MaxClockSkew
      [GlobalSecurityParameters]
         MaxClockSkew=300

# mipagentconfig get HA-FAauth
      [GlobalSecurityParameters]
         HA-FAauth=no

# mipagentconfig get MN-FAauth
      [GlobalSecurityParameters]
         MN-FAauth=no

# mipagentconfig get Challenge
      [GlobalSecurityParameters]
         Challenge=no

# mipagentconfig get Pool 10
      [Pool 10]
         BaseAddress=192.168.1.1
         Size=100

# mipagentconfig get SPI 257
      [SPI 257]
         Key=11111111111111111111111111111111
         ReplayMethod=none

# mipagentconfig get SPI 258
      [SPI 258]
         Key=15111111111111111111111111111111
         ReplayMethod=none

# mipagentconfig get addr 10.1.1.1
      [Address 10.1.1.1]
         SPI=258
         Type=agent

# mipagentconfig get addr 192.168.1.200
      [Address 192.168.1.200]
         SPI=257
         Type=node

モビリティーエージェント状態の表示

mipagentstat コマンドを使用して、外来エージェントのビジターリストおよびホームエージェントの結合テーブルを表示できます。「モバイル IP モビリティーエージェントの状態」 コマンドの概念的な説明については、Mobile IP Mobility Agent Statusを参照してください。詳細は、mipagentstat(1M) のマニュアルページでも説明しています。

モビリティーエージェント状態を表示する方法

1. モバイル IP を使用可能にするシステムでスーパーユーザーになるか、同等の役割になります。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. モビリティーエージェント状態の表示

   # mipagentstat options

   -f

   外来エージェントのビジターリストに稼動中のモバイルノードの一覧を表示する

   -h

   ホームエージェントの結合テーブルに稼動中のモバイルノードの一覧を表示する

   -p

   エージェントのモビリティーエージェントピアとセキュリティーアソシエーションの一覧を表示する

例 28–10 モビリティーエージェント状態の表示

たとえば、外来エージェントに登録された全モバイルノードのビジターリストを表示するには、次のコマンドを使用します。

# mipagentstat -f

その結果、次のような出力が表示されます。

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  ha1.xyz.com    600          125       .....T.
10.1.5.23       10.1.5.1       1000         10        .....T.

その結果、次のような出力が表示されます。

Foreign                  ..... Security Association(s).....
Agent                    Requests Replies  FTunnel  RTunnel
----------------------   -------- -------- -------- --------
forn-agent.eng.sun.com   AH       AH       ESP      ESP

次の例では、ホームエージェントのセキュリティーアソシエーションを表示します。

# mipagentstat -fp

その結果、次のような出力が表示されます。

Home                     ..... Security Association(s) .....
Agent                    Requests Replies  FTunnel  RTunnel
----------------------   -------- -------- -------- --------
home-agent.eng.sun.com   AH       AH       ESP      ESP
ha1.xyz.com              AH,ESP   AH       AH,ESP   AH,ESP

外来エージェントでのモビリティー経路制御の表示

netstat コマンドを使用して、順方向および逆方向トンネルによって作成される発信元固有の経路制御に関する追加情報を表示できます。このコマンドの詳細については、netstat(1M) のマニュアルページを参照してください。

外来エージェントでモビリティー経路制御を表示する方法

1. モバイル IP を使用可能にするシステムでスーパーユーザーになるか、同等の役割になります。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. モビリティールートを表示します。

   # netstat -rn

例 28–11 外来エージェントでのモビリティー経路制御の表示

次の例は、逆方向トンネルを使用する外来エージェントの経路制御を示します。

Routing Table:   IPv4 Source-Specific     
Destination      In If     Source      Gateway Flags  Use  Out If
--------------  ------- ------------ --------- -----  ---- -------
10.6.32.11      ip.tun1      --      10.6.32.97  UH      0 hme1
    --          hme1    10.6.32.11       --      U       0 ip.tun1

最初の行は、宛先 IP アドレス 10.6.32.11 と着信インタフェース ip.tun1 がパケットを転送するインタフェースとして hme1 を選択していることを表します。次の行は、インタフェース hme1 から発信する任意のパケットと発信元アドレス 10.6.32.11 が ip.tun1 に転送されることを表しています。

第 29 章 モバイル IP のファイルおよびコマンド (リファレンス)

この章では、モバイル IP の Solaris 実装に提供される構成要素について説明します。モバイル IP を使用するには、最初に、この章で説明されるパラメータとコマンドを使用して、モバイル IP 構成ファイルを構成する必要があります。

この章では、次の内容について説明します。

• 「Solaris モバイル IP 実装の概要」

• 「モバイル IP 構成ファイル」

• 「モビリティー IP エージェントの構成」

• 「モバイル IP モビリティーエージェントの状態」

• 「モバイル IP の状態情報」

• 「モバイル IP 用の netstat 拡張」

• 「モバイルIP 用の snoop 拡張」

モバイル IP 機能は、Solaris 10 8/07 よりあとの Solaris 10 Update から削除されました。

Solaris モバイル IP 実装の概要

モビリティーエージェントソフトウェアには、ホームエージェントと外来エージェントの機能が組み込まれています。 Solaris モバイル IP ソフトウェアではクライアントモバイルノードを提供していません。エージェント機能だけが提供されています。モビリティーサポートのある各ネットワークは、このソフトウェアを実行している静的な (非モバイル) ホストを 1 つ以上持たなければなりません。

次に示す RFC 機能がモバイル IP の Solaris 実装でサポートされています。

• RFC 1918, "Address Allocation for Private Internets"

• RFC 2002, "IP Mobility Support" (Agent only)

• RFC 2003, "IP Encapsulation Within IP"

• RFC 2794, "Mobile IP Network Access Identifier Extension for IPv4"

• RFC 3012, "Mobile IPv4 Challenge/Response Extensions"

• RFC 3024, "Reverse Tunneling for Mobile IP"

基本モバイル IP プロトコル (RFC 2002) は、スケーラブルな鍵配布の問題を取り扱わず、鍵の配布として扱っています。Solaris モバイル IP ソフトウェアは、構成ファイルに指定された、手動で構成された鍵のみを使用します。

次の RFC 機能は、モバイルIP の Solaris 実装ではサポートされていません。

• RFC 1701, "General Routing Encapsulation"

• RFC 2004, "Minimal Encapsulation Within IP"

次の機能は、モバイルIP の Solaris 実装ではサポートされていません。

• ホームエージェントによる、マルチキャストトラフィックまたはブロードキャストトラフィックの外部ネットワークにアクセスしているモバイルノードの外来エージェントへの転送

• 逆方向トンネルを経由するブロードキャストデータグラムマルチキャストデータグラムの経路制御

• 専用気付アドレス、または専用ホームエージェントアドレス

詳細については、mipagent(1M) のマニュアルページを参照してください。

モバイル IP 構成ファイル

mipagent コマンドは、起動時に /etc/inet/mipagent.conf 構成ファイルから構成情報を読み取ります。モバイル IP は /etc/inet/mipagent.conf 構成ファイルを使用してモバイル IP モビリティーエージェントを初期化します。構成および配置されると、モビリティーエージェントは定期的なルーター広告を発行し、ルーター発見要請メッセージおよびモバイル IP 登録メッセージに応答します。

ファイル属性の説明は、mipagent.conf(4) のマニュアルページを参照してください。このファイルの使用法については、mipagent(1M) のマニュアルページを参照してください。

構成ファイルの形式

モバイル IP 構成ファイルはセクションにより構成されています。各セクションは固有の名前を持っていて、角括弧で囲まれています。各セクションには 1 つ以上のラベルが含まれています。ラベルに値を設定するには次の形式を用います。

[Section_name]
     Label-name = value-assigned

セクション名やラベル、指定可能な値については、 「構成ファイルのセクションとラベル」を参照してください。

構成ファイルの例

Solaris のデフォルトのインストールでは、次の構成ファイルのサンプルが /etc/inet ディレクトリにあります。

• mipagent.conf-sample – 外来エージェントおよびホームエージェントの両機能を提供するモバイル IP エージェント用のサンプル構成ファイル

• mipagent.conf.fa-sample – 外来エージェント機能のみを提供するモバイル IP エージェント用のサンプル構成ファイル

• mipagent.conf.ha-sample – ホームエージェント機能のみを提供するモバイル IP エージェント用のサンプル構成ファイル

これらのサンプル構成ファイルには、モバイルノードアドレスおよびセキュリティー設定の例が含まれています。モバイル IP を実装する前に、mipagent.conf という構成ファイルを作成して /etc/inet ディレクトリに格納しなければなりません。このファイルには、ユーザーのモバイル IP 実装の要件を満たす値を指定します。サンプル構成ファイルの 1 つを選択し、ユーザーのアドレスおよびセキュリティー設定で変更して、/etc/inet/mipagent.conf にコピーすることもできます。

詳細は、「モバイル IP 構成ファイルを作成する方法」を参照してください。

mipagent.conf-sample ファイル

次に mipagent.conf-sample ファイルに含まれているセクション名、ラベル、および設定値を示します。構文やセクション、ラベル、値については、 「構成ファイルのセクションとラベル」を参照してください。

[General]
   Version = 1.0    # version number for the configuration file. (required)
   
[Advertisements hme0]
   HomeAgent = yes
   ForeignAgent = yes
   PrefixFlags = yes
   AdvertiseOnBcast = yes
   RegLifetime = 200
   AdvLifetime = 200
   AdvFrequency = 5
   ReverseTunnel = no
   ReverseTunnelRequired = no
   
[GlobalSecurityParameters]
   MaxClockSkew = 300
   HA-FAauth = yes
   MN-FAauth = yes
   Challenge = no
   KeyDistribution = files

[Pool 1]
   BaseAddress = 10.68.30.7
   Size = 4

[SPI 257]
   ReplayMethod = none
   Key = 11111111111111111111111111111111

[SPI 258]
   ReplayMethod = none
   Key = 15111111111111111111111111111111

[Address 10.1.1.1]
   Type = node
   SPI = 258

[Address mobilenode@sun.com]
   Type = node
   SPI = 257
   Pool = 1

[Address Node-Default]
   Type = node
   SPI = 258
   Pool = 1

[Address 10.68.30.36]
   Type = agent    
   SPI = 257

mipagent.conf.fa-sample ファイル

次に mipagent.conf.fa-sample ファイルに含まれているセクション名、ラベル、および設定値を示します。構文やセクション、ラベル、値については、 「構成ファイルのセクションとラベル」を参照してください。

mipagent.conf.fa-sample ファイルは、外来エージェント機能のみを提供する構成を示しています。サンプルファイルには Pool セクションが含まれていません。Pool はホームエージェントのみが利用するからです。その他の点では、このファイルは mipagent.conf-sample ファイルと同じです。

[General]
   Version = 1.0    # version number for the configuration file. (required)
   
[Advertisements hme0]
   HomeAgent = no
   ForeignAgent = yes
   PrefixFlags = yes
   AdvertiseOnBcast = yes
   RegLifetime = 200
   AdvLifetime = 200
   AdvFrequency = 5
   ReverseTunnel = yes
   ReverseTunnelRequired = no
   
[GlobalSecurityParameters]
   MaxClockSkew = 300
   HA-FAauth = yes
   MN-FAauth = yes
   Challenge = no
   KeyDistribution = files

[SPI 257]
   ReplayMethod = none
   Key = 11111111111111111111111111111111

[SPI 258]
   ReplayMethod = none
   Key = 15111111111111111111111111111111

[Address 10.1.1.1]
   Type = node
   SPI = 258

[Address 10.68.30.36]
   Type = agent    
   SPI = 257

mipagent.conf.ha-sample ファイル

次に mipagent.conf.ha-sample ファイルに含まれているセクション名、ラベル、および設定値を示します。構文やセクション、ラベル、値については、 「構成ファイルのセクションとラベル」を参照してください。

mipagent.conf.ha-sample ファイルは、ホームエージェント機能のみを提供する構成を示しています。その他の点では、このファイルは mipagent.conf-sample ファイルと同じです。

[General]
   Version = 1.0    # version number for the configuration file. (required)
   
[Advertisements hme0]
   HomeAgent = yes
   ForeignAgent = no
   PrefixFlags = yes
   AdvertiseOnBcast = yes
   RegLifetime = 200
   AdvLifetime = 200
   AdvFrequency = 5
   ReverseTunnel = yes
   ReverseTunnelRequired = no

[GlobalSecurityParameters]
   MaxClockSkew = 300
   HA-FAauth = yes
   MN-FAauth = yes
   Challenge = no
   KeyDistribution = files

[Pool 1]
   BaseAddress = 10.68.30.7
   Size = 4

[SPI 257]
   ReplayMethod = none
   Key = 11111111111111111111111111111111

[SPI 258]
   ReplayMethod = none
   Key = 15111111111111111111111111111111

[Address 10.1.1.1]
   Type = node
   SPI = 258

[Address mobilenode@sun.com]
   Type = node
   SPI = 257
   Pool = 1

[Address Node-Default]
   Type = node
   SPI = 258
   Pool = 1

構成ファイルのセクションとラベル

モバイル IP 構成ファイルには、次のセクションが含まれています。

• General (必須)

• Advertisements (必須)

• GlobalSecurityParameters (省略可能)

• Pool (省略可能)

• SPI (省略可能)

• Address (省略可能)

General と GlobalSecurityParameters セクションには、モバイル IP エージェントの動作に関する情報を指定します。これらのファイルは、構成ファイルに 1 つずつしか指定できません。

General セクション

General セクションには 1 つのラベル (構成ファイルのバージョン番号) しか指定できません。General セクションの構文は次のとおりです。

[General]
     Version = 1.0

Advertisements セクション

Advertisements セクションには、ほかのラベルとともに HomeAgent や ForeignAgent ラベルを指定します。モバイル IP サービスを提供するローカルホストの各インタフェースには、それぞれ異なる Advertisements セクションを指定しなければなりません。Advertisements セクションの構文は次のとおりです。

[Advertisements interface]
     HomeAgent = <yes/no>
     ForeignAgent = <yes/no>
     .
     .

通常、システムは 1 つのインタフェース(eri0 や hme0 など) を持ち、ホームエージェントと外来エージェントの動作をサポートします。たとえば hme0 の場合、yes が HomeAgent および ForeignAgent の両ラベルに次のように指定されます。

[Advertisements hme0]
     HomeAgent = yes
     ForeignAgent = yes
     .
     .

動的インタフェースによる通知の場合、デバイス ID 部分に * を使用します。たとえば、 Interface-name ppp* は、mipagent デーモンの開始後に構成されるすべての PPP インタフェースを含むことを意味します。動的インタフェースタイプの advertisement セクションにあるすべての属性は、同じ状態にします。

次の表は、Advertisements セクションに指定できるラベルと値を示しています。

GlobalSecurityParameters セクション

GlobalSecurityParameters セクションには、maxClockSkew、HA-FAauth、MN-FAauth、Challenge、および KeyDistribution ラベルが含まれます。このセクションの構文は次のとおりです。

[GlobalSecurityParameters]
     MaxClockSkew = n
     HA-FAauth = <yes/no>
     MN-FAauth = <yes/no>
     Challenge = <yes/no>
     KeyDistribution = files

モバイル IP プロトコルは、タイムスタンプをメッセージ内に含めることで、メッセージの再実行に対する保護を提供します。クロックが異なる場合、ホームエージェントは現在時間とともにエラーをモバイルノードに返します。モバイルノードはその現在時間を使って再登録できます。モバイルノードはその現在時間を使って再登録できます。MaxClockSkew ラベルを使用して、ホームエージェントとモバイルノードのクロック間で異なる最大秒数を構成できます。デフォルト値は 300 秒です。

HA-FAauth および MN-FAauth ラベルは、それぞれホームと外来間、およびモバイルと外来間の認証に関する条件を有効または無効にします。デフォルトは無効です。外来エージェントが通知内に指定されたモバイルノードへ呼び出しを発行するようにするためには、challenge ラベルを使用します。このラベルは再実行に対する保護のために使用します。デフォルト値は無効です。

次の表は、GlobalSecurityParameters セクションに指定可能なラベルと設定値を示しています。

Pool セクション

モバイルノードには、ホームエージェントによって動的アドレスを割り当てることができます。動的アドレスの割り当ては、DHCP とは独立に mipagent デーモンが行います。ユーザーは、ホームアドレスを要求することによってモバイルノードが使用できるアドレスプールを作成できます。アドレスプールは、構成ファイルの Pool セクションを使って構成されます。

Pool セクションには、BaseAddress および Size ラベルが含まれます。Pool セクションの構文は次のとおりです。

[Pool pool-identifier]
     BaseAddress = IP-address
     Size = size

Pool 識別子を使用している場合、モバイルノードの Address セクションにも存在していなければなりません。

Pool セクションを使用してモバイルノードに割り当て可能なアドレスプールを定義します。BaseAddress ラベルは、プール内の最初の IP アドレスを設定するのに使用します。Size ラベルは、プール内の使用可能なアドレス数を指定するのに使用します。

たとえば、IP アドレスの 192.168.1.1 から 192.168.1.100 が Pool 10 に予約されている場合、Pool セクションには次の項目を指定します。

[Pool 10]
     BaseAddress = 192.168.1.1
     Size = 100

アドレスの範囲にブロードキャストアドレスは含まないでください。たとえば、BaseAddress = 192.168.1.200、Size = 60 のように割り当てないでください。このアドレス範囲にはブロードキャストアドレスの 192.168.1.255 が含まれているからです。

次の表は、Pool セクションに指定可能なラベルと設定値を示しています。

SPI セクション

モバイル IP プロトコルはメッセージ認証を要求するので、セキュリティーパラメータインデックス (SPI) を使用してセキュリティーコンテキストを特定しなければなりません。セキュリティーコンテキストは SPI セクションに定義します。定義したセキュリティーコンテキストそれぞれに異なる SPI セクションを指定しなければなりません。ID 番号がセキュリティーコンテキストを特定します。モバイル IP プロトコルは、最初の 256 SPI を予約しています。したがって、256 より大きい SPI 値を使用してください。SPI セクションには、共有された秘密情報や再実行保護など、セキュリティーに関連した情報が含まれています。

SPI セクションにはまた、ReplayMethod および Key ラベルが含まれています。SPI セクションの構文は次のとおりです。

[SPI SPI-identifier]
     ReplayMethod = <none/timestamps>
     Key = key

2 つの通信中のピアは、同じ SPI 識別子を共有しなければなりません。ユーザーはそれらを同じ鍵と再実行メソッドで構成しなければなりません。鍵は 16 進数の文字列で指定します。最大長は 16 バイトです。たとえば、鍵の長さが 16 バイトで 16 進数値の 0 から f を含んでいる場合、鍵は次のようになります。

Key = 0102030405060708090a0b0c0d0e0f10

鍵は、偶数の桁 (1 バイト 2 桁の表示法に対応) を持たなければなりません。

次の表は、SPI セクションに指定可能なラベルと設定値を示しています。

Address セクション

モバイル IP の Solaris 実装では、3 つの方法の 1 つを使ってモバイルノードを構成できます。各方法は Address セクションで構成されます。最初の方法は、従来のモバイル IP プロトコルに従い、各モバイルノードがホームアドレスを持つことを要求します。第2 の方法では、モバイルノードをネットワークアクセス識別子 (NAI) を使って特定することが可能になります。最後の方法では、ユーザーは「デフォルト」のモバイルノードを構成できます。このデフォルトモバイルノードは、適当な SPI 値および関連する鍵情報を持っているどのモバイルノードでも利用できます。

モバイルノード

モバイルノード用の Address セクションには、アドレスタイプと SPI 識別子を定義した Type および SPI ラベルが含まれます。Address セクションの構文は次のとおりです。

[Address address]
     Type = node
     SPI = SPI-identifier

サポートされた各モバイルノードに対して Address セクションをホームエージェントの構成ファイル内に指定しなければなりません。

モバイル IP メッセージ認証が外来エージェントおよびホームエージェント間で必要な場合は、エージェントが通信する必要のある各ピアに対してAddress セクションを指定しなければなりません。

構成した SPI 値は、構成ファイルに存在する SPI セクションを示さなければなりません。

また、モバイルノード用の専用アドレスを構成することもできます。

次の表は、モバイルノード用の Address セクションに指定可能なラベルと設定値を示しています。

モビリティーエージェント

モビリティーエージェント用の Address セクションには、アドレスタイプと SPI 識別子を定義した Type および SPI ラベルが含まれます。モビリティーエージェントの Address セクションの構文は次のとおりです。

[Address address]
     Type = agent
     SPI = SPI-identifier
     

サポートされた各モビリティーエージェントに対して Address セクションをホームエージェントの構成ファイル内に指定しなければなりません。

モバイル IP メッセージ認証が外来エージェントおよびホームエージェント間で必要な場合は、エージェントが通信する必要のある各ピアに対して Address セクションを指定しなければなりません。

構成した SPI 値は、構成ファイルに存在する SPI セクションを示さなければなりません。

次の表で、モビリティーエージェント用の Address セクションに指定可能なラベルと設定値について説明します。

自分の NAI で識別されるモバイルノード

自分の NAI で識別されるモバイルノード用の Address セクションには、Type、SPI、および Pool ラベルが含まれます。NAI パラメータがあるため、NAI によるモバイルノードの識別が可能になります。NAI パラメータを使用した Address セクションの構文は次のとおりです。

[Address NAI]
     Type = Node
     SPI = SPI-identifier
     Pool = pool-identifier

プールを利用するには、NAI 経由でモバイルノードを特定します。Address セクションでは、ホームアドレスの場合と異なり NAI を構成できます。NAI には、user@domain の形式を使用します。ホームアドレスをモバイルノードに割り当てるためにどのアドレスプールを使用するかを指定するには、Pool ラベルを使用します。

次の表は、自分の NAI で識別されるモバイルノード用の Address セクションに指定可能なラベルと設定値を示しています。

次の図に示すように、NAI で識別されたモバイルノードを指定した Address セクションに定義された SPI および Pool ラベルに対して、ユーザーは対応する SPI および Pool セクションを持たなければなりません。

図 29–1 自分の NAI で識別されたモバイルノードを指定した Address セクションに対応する SPI および Pool

デフォルトのモバイルノード

デフォルトのモバイルノード用の Address セクションには、Type、SPI、および Pool ラベルが含まれます。Node-Default パラメータがあるため、(このセクションで定義された) 正しい SPI を持っている場合は、すべてのモバイルノードがサービスを受けられるようになります。Node-Default パラメータを使用した Address セクションの構文は次のとおりです。

[Address Node-Default]
     Type = Node
     SPI = SPI-identifier
     Pool = pool-identifier

Node-Default パラメータがあるため、構成ファイルのサイズを縮小することが可能になります。その他の方法では、各モバイルノードには独自のセクションが必要です。ただし、Node-Default パラメータはセキュリティーに影響します。何かの理由でモバイルノードが信用できなくなった場合、すべての信頼のおけるモバイルノードに関するセキュリティー情報を更新する必要があります。この作業は手間がかかります。しかし、セキュリティーがあまり重要でないネットワークでは Node-Default パラメータを利用できます。

次の表は、デフォルトモバイルノード用の Address セクションに指定可能なラベルと設定値を示しています。

次の図に示すように、デフォルトモバイルノードを指定した Address セクションに定義された SPI および Pool ラベルに対して、対応する SPI および Pool セクションを持たなければなりません。

図 29–2 デフォルトモバイルノードを指定した Address セクションに対応する SPI および Pool セクション

モビリティー IP エージェントの構成

mipagentconfig コマンドを使用してモビリティーエージェントを構成できます。また、/etc/inet/mipagent.conf 構成ファイル内のどのようなパラメータも作成または変更できます。つまり、どの設定値でも変更できます。さらに、モビリティークライアント、プール、および SPI の追加および削除ができます。mipagentconfig コマンドは、次の形式になります。

# mipagentconfig <command> <parameter> <value>

次の表は、/etc/inet/mipagent.conf 構成ファイルにパラメータを作成または変更するために、mipagentconfig で利用できるコマンドを示しています。

コマンドパラメータおよび許容できる設定値については、mipagentconfig(1M) のマニュアルページを参照してください。「モバイル IP 構成ファイルの変更」 では、mipagentconfig コマンドの利用方法について説明しています。

モバイル IP モビリティーエージェントの状態

mipagentstat コマンドを使用して、外来エージェントのビジターリストおよびホームエージェントの結合テーブルを表示できます。さらに、エージェントのモビリティーエージェントピアに関するセキュリティーアソシエーションを表示できます。外来エージェントのビジターリストを表示するには、mipagentstat コマンドの -f オプションを使用します。ホームエージェントの結合テーブルを表示するには、mipagentstat コマンドの -h オプションを使用します。次の例では、これらのオプションを使用した場合の出力例を示します。

例 29–1 外来エージェントのビジターリスト

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  ha1.xyz.com    600          125       .....T.
10.1.5.23       10.1.5.1       1000         10        .....T.

例 29–2 ホームエージェントの結合テーブル

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  fa1.tuv.com    600          125       .....T.
10.1.5.23       123.2.5.12     1000         10        .....T.

コマンドのオプションの詳細については、mipagentstat(1M) のマニュアルページを参照してください。「モビリティーエージェント状態の表示」では、 mipagentstat コマンドを使用する手順を説明しています。

モバイル IP の状態情報

mipagent デーモンは、シャットダウン時に内部の状態情報を /var/inet/mipagent_state に格納します。ただし、このイベントが起こるのは、mipagent がホームエージェントとしてサービスを提供している場合だけです。この状態情報には、ホームエージェントとしてサポートされているモバイルノードのリスト、それらのノードの現在の気付アドレス、および残りの登録有効期間が含まれます。また、モビリティーエージェントのピアに関するセキュリティーアソシエーション構成も含まれます。mipagent デーモンを (保守のために) 終了して再起動すると、モビリティーエージェントの内部状態をできるだけ再現するために mipagent_state が使用されます。このようにして、モバイルノードがほかのネットワークにいる場合でも、サービスの中断を最小限に抑えます。mipagent_state が存在していれば、mipagent が起動または再起動されるたびに mipagent.conf の直後に読み込まれます。

モバイル IP 用の netstat 拡張

モバイル IP の転送先経路制御を特定するために、モバイル IP 用の拡張が netstat コマンドに追加されています。つまり、netstat コマンドを使用して、「Source-Specific」と呼ばれる新しい経路制御テーブルを表示できます。詳細については、netstat(1M) のマニュアルページを参照してください。

次の例は、-nr フラグを使用した場合の netstat コマンドの出力を示します。

例 29–3 netstat コマンドのモバイル IP 出力

Routing Table:   IPv4 Source-Specific     
Destination      In If     Source      Gateway Flags  Use  Out If
--------------  ------- ------------ --------- -----  ---- -------
10.6.32.11      ip.tun1      --      10.6.32.97  UH      0 hme1
    --          hme1    10.6.32.11       --      U       0 ip.tun1

この例は、逆方向トンネルを使用する外来エージェントの経路制御を示します。最初の行は、宛先 IP アドレス 10.6.32.11 と着信インタフェース ip.tun1 がパケットを転送するインタフェースとして hme1 を選択していることを表します。次の行は、インタフェース hme1 から発信する任意のパケットと発信元アドレス 10.6.32.11 が ip.tun1 に転送されることを表しています。

モバイルIP 用の snoop 拡張

リンク上のモバイル IP トラフィックを特定するために、モバイル IP 拡張が snoop コマンドに追加されました。詳細については、snoop(1m) のマニュアルページを参照してください。

次の例は、モバイルノードの mip-mn2 上で実行中の snoop の出力を示します。

例 29–4 snoop コマンドのモバイル IP 出力

mip-mn2# snoop
Using device /dev/hme (promiscuous mode)
  mip-fa2 -> 224.0.0.1    ICMP Router advertisement (Lifetime 200s [1]: 
{mip-fa2-80 2147483648}), (Mobility Agent Extension), (Prefix Lengths), 
(Padding)
  mip-mn2 -> mip-fa2   Mobile IP reg rqst 
  mip-fa2 -> mip-mn2   Mobile IP reg reply (OK code 0)

この例は、モバイルノードが外来エージェントの mip-fa2 から定期的に送信されたモビリティーエージェント通知の 1 つを受信したことを示しています。そのあと、mip-mn2 が登録要求を mip-fa2 に送信し、その応答として登録応答を受信しています。登録応答は、モバイルノードが自分のホームエージェントに正常に登録されたことを示しています。