第 24 章 モバイル IP の管理 (手順)

この章では、モバイル IP 構成ファイルのパラメータの変更、追加、削除、および表示の方法について説明します。また、モビリティエージェント状態の表示方法についても説明します。

この章では、以下の内容について説明します。

• モバイル IP 構成ファイルの構成

• モバイル IP 構成ファイルの構成 (作業マップ)

• モバイル IP 構成ファイルの変更

• モバイル IP 構成ファイルの変更 (作業マップ)

• モビリティエージェント状態の表示

• 外来エージェントでのモビリティ経路指定の表示

モバイル IP 構成ファイルの構成

mipagent.confファイルを最初に構成するときには、次の作業を実行する必要があります。

1. ユーザーの組織のホスト条件によって、モバイル IP エージェントが提供できる機能を決めます。

   • 外来エージェント機能のみ

   • ホームエージェント機能のみ

   • 外来エージェントとホームエージェント機能の両方

2. /etc/inet/mipagent.conf ファイルを作成し、この節で説明する手順に従って必要な設定を入力します。次に示すファイルの 1 つを /etc/inet/mipagent.conf にコピーし、要求条件に応じて変更することもできます。

   • 外来エージェント機能用には、/etc/inet/mipagent.conf.fa-sample をコピーします。

   • ホームエージェント機能用には、/etc/inet/mipagent.conf.ha-sample をコピーします。

   • 外来エージェントとホームエージェントの両機能用には、/etc/inet/mipagent.conf-sample をコピーします。

3. システムをリブートして mipagent デーモンを起動するブートスクリプトを呼び出します。次のコマンドをコマンド行で入力して mipagent を起動することもできます。

   # /etc/inet.d/mipagent start

モバイル IP 構成ファイルの構成 (作業マップ)

表 24–1 に、この節で説明している作業の概要を示します。

モバイル IP 構成ファイルを作成する方法

1. モバイル IP を有効にしたいシステムでスーパーユーザーになります。

2. 必要に応じて次のいずれかの手順を実行します。

   • /etc/inet ディレクトリで mipagent.conf という空ファイルを作成します。

   • 次のリストから必要な機能を提供するサンプルファイルを選択して、/etc/inet/mipagent.conf にコピーします。

     • /etc/inet/mipagent.conf.fa-sample

     • /etc/inet/mipagent.conf.ha-sample

     • /etc/inet/mipagent.conf-sample

3. 構成条件に応じて /etc/inet/mipagent.conf ファイル内に構成パラメータを追加または変更します。実行する手順については、後の節で説明します。

General セクションを構成する方法

サンプルファイルをコピーした場合は、サンプルファイルにこの項目があるのでこの手順を省略できます。

/etc/inet/mipagent.conf ファイルを編集して次の行を追加します。

[General] Version = 1.0

/etc/inet/mipagent.conf ファイルには、上記の項目が入っていなければなりません。

General セクションでは、この節で使用しているラベルおよび設定値について説明しています。

Advertisements セクションを構成する方法

/etc/inet/mipagent.conf ファイルを編集し、構成に必要な設定値を使用して次の行を追加または変更します。

[Advertisements Interface-name] HomeAgent = <yes/no> ForeignAgent = <yes/no> PrefixFlags = <yes/no> AdvertiseOnBcast = <yes/no> RegLifetime = n AdvLifetime = n AdvFrequency = n ReverseTunnel = <yes/no/FA/HA/both> ReverseTunnelRequired = <yes/no/FA/HA>

モバイル IP サービスを提供するローカルホストの各インタフェースには、それぞれ異なる Advertisements セクションを指定しなければなりません。

Advertisements セクションでは、この節で使用しているラベルおよび設定値について説明しています。

GlobalSecurityParameters セクションを構成する方法

/etc/inet/mipagent.conf ファイルを編集し、構成に必要な設定値を使用して次の行を追加または変更します。

[GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files

GlobalSecurityParameters セクションでは、この節で使用しているラベルおよび設定値について説明しています。

Pool セクションを構成する方法

/etc/inet/mipagent.conf ファイルを編集し、構成に必要な設定値を使用して次の行を追加または変更します。

[Pool Pool-identifier] BaseAddress = IP-address Size = size

Pool セクションでは、この節で使用しているラベルおよび設定値について説明しています。

SPI セクションを構成する方法

/etc/inet/mipagent.conf ファイルを編集し、構成に必要な設定値を使用して次の行を追加または変更します。

[SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key

配置した各セキュリティコンテキストに対して異なる SPI セクションを指定しなければなりません。

SPI セクションでは、この節で使用しているラベルおよび設定値について説明しています。

Address セクションを構成する方法

/etc/inet/mipagent.conf ファイルを編集し、構成に必要な設定値を使用して次の行を追加または変更します。

• モバイルノード用

  [Address address] Type = node SPI = SPI-identifier

• エージェント用

  [Address address] Type = agent SPI = SPI-identifier IPsecRequest = action {properties} [: action {properties}] IPsecReply = action {properties} [: action {properties}] IPsecTunnel = action {properties} [: action {properties}]

  action と {properties} は、ipsec(7P) のマニュアルページで定義される、任意のアクションプロパティと関連付けられたプロパティです。

  ---

  注 –

  先に構成される SPI は、RFC 2002 によって要求される MD5 保護機構に対応します。 ただし、IPsec で使用される SPI には対応しません。 IPsec の詳細については、第 19 章「IPsec (概要)」と第 20 章「IPsec の管理 (手順)」を参照してください。 また、ipsec(7P) マニュアルページも参照してください。

  ---

• 自分の NAI で識別されるモバイルノード用

  [Address NAI] Type = Node SPI = SPI-identifier Pool = Pool-identifier

• デフォルトのモバイルノード用

  [Address Node-Default] Type = Node SPI = SPI-identifier Pool = Pool-identifier

Address セクションでは、この節で使用しているラベルおよび設定値について説明しています。

モバイル IP 構成ファイルの変更

この節では、mipagentconfig(1M) コマンドを使用してモバイル IP 構成ファイルを変更する方法を説明します。パラメータの宛先の現在の設定値を表示する方法についても説明します。

モビリティ IP エージェントの構成では、mipagentconfig(1M) コマンドの使用法について説明しています。使用法については、mipagentconfig(1M) のマニュアルページでも説明しています。

モバイル IP 構成ファイルの変更 (作業マップ)

General セクションを変更する方法

1. モバイル IP を有効にしたいシステムでスーパーユーザーになります。

2. コマンド行で、General セクション内の変更したい各ラベルに対して次のコマンドを入力します。

   # mipagentconfig change <label> <value>

例 24–1 では、構成ファイルの General セクション内のバージョン番号を変更する方法を示しています。

例 24–1 General セクションのパラメータの変更

# mipagentconfig change version 2

Advertisements セクションを変更する方法

1. モバイル IP を有効にしたいシステムでスーパーユーザーになります。

2. コマンド行で、Advertisements セクション内の変更したい各ラベルに対して次のコマンドを入力します。

   # mipagentconfig change adv device-name <label> <value>

たとえば、エージェントの通知された有効期間をデバイス le0 に対して 300 秒に変更したい場合、次のコマンドを使用して変更します。

# mipagentconfig change adv le0 AdvLifetime 300

では、構成ファイルの Advertisements セクション内のその他のパラメータを変更する方法を示しています。

例 24–2 Advertisements セクションのパラメータの変更

# mipagentconfig change adv le0 HomeAgent yes
# mipagentconfig change adv le0 ForeignAgent no
# mipagentconfig change adv le0 PrefixFlags no
# mipagentconfig change adv le0 RegLifetime 300
# mipagentconfig change adv le0 AdvFrequency 4
# mipagentconfig change adv le0 ReverseTunnel yes

GlobalSecurityParameters セクションを変更する方法

1. モバイル IP を有効にしたいシステムでスーパーユーザーになります。

2. コマンド行で、GlobalSecurityParameters セクション内の変更したい各ラベルに対して次のコマンドを入力します。

   # mipagentconfig change <label> <value>

たとえば、ホームエージェントおよび外来エージェント認証を有効にしたい場合は、次のコマンドを使用して変更します。

# mipagentconfig change HA-FAauth yes

例 24–3 では、構成ファイルの GlobalSecurityParameters セクション内のその他のパラメータを変更する方法を示しています。

例 24–3 GlobalSecurityParameters セクションのパラメータの変更

# mipagentconfig change MaxClockSkew 200
# mipagentconfig change MN-FAauth yes
# mipagentconfig change Challenge yes
# mipagentconfig change KeyDistribution files

Pool セクションを変更する方法

1. モバイル IP を有効にしたいシステムでスーパーユーザーになります。

2. コマンド行で、Pool セクション内の変更したい各ラベルに対して次のコマンドを入力します。

   # mipagentconfig change Pool Pool-identifier <label> <value>

たとえば、Pool 10 の基底アドレスを 192.168.1.1 に、サイズを 100 に変更したい場合、次のコマンドを使用して変更します。

例 24–4 Pool セクションのパラメータの変更

# mipagentconfig change Pool 10 BaseAddress 192.168.1.1
# mipagentconfig change Pool 10 Size 100

SPI セクションを変更する方法

1. モバイル IP を有効にしたいシステムでスーパーユーザーになります。

2. コマンド行で、SPI セクション内の変更したい各ラベルに対して次のコマンドを入力します。

   # mipagentconfig change SPI SPI-identifier <label> <value>

たとえば、SPI 257 のキーを 5af2aee39ff0b332 に変更したい場合、次のコマンドを使用して変更します。

# mipagentconfig change SPI 257 Key 5af2aee39ff0b332

例 24–5 では、構成ファイルの SPI セクション内の ReplayMethod ラベルを変更する方法を示しています。

例 24–5 SPI セクションのパラメータの変更

# mipagentconfig change SPI 257 ReplayMethod timestamps

Address セクションを変更する方法

1. モバイル IP を有効にしたいシステムでスーパーユーザーになります。

2. コマンド行で、Address セクション内の変更したい各ラベルに対して次のコマンドを入力します。

   # mipagentconfig change addr [NAI | IPaddr | node-default] <label> <value>

   3 つの構成方法 (NAI、IP アドレス、デフォルトノード) については、Address セクションを参照してください。

たとえば、IP アドレス 10.1.1.1 の SPI を 258 に変更したい場合は、次のコマンドを使用して変更します。

# mipagentconfig change addr 10.1.1.1 SPI 258

例 24–6 では、サンプル構成ファイルの Address セクションに指定されたその他のパラメータを変更する方法を示しています。

例 24–6 Address セクションのパラメータの変更

# mipagentconfig change addr 10.1.1.1 Type agent
# mipagentconfig change addr 10.1.1.1 SPI 259
# mipagentconfig change addr mobilenode@abc.com Type node
# mipagentconfig change addr mobilenode@abc.com SPI 258
# mipagentconfig change addr mobilenode@abc.com Pool 2
# mipagentconfig change addr node-default SPI 259
# mipagentconfig change addr node-default Pool 3
# mipagentconfig change addr 10.68.30.36 Type agent
# mipagentconfig change addr 10.68.30.36 SPI 260
# mipagentconfig change IPsecRequest apply {auth_algs md5 sa shared} 

構成ファイルのパラメータを追加または削除する方法

1. モバイル IP を有効にしたいシステムでスーパーユーザーになります。

2. コマンド行で、指定したセクションに対して追加または削除したい各ラベルについてコマンドを入力します。

   General セクション

   # mipagentconfig [add | delete] <label> <value>

   Advertisements セクション

   # mipagentconfig [add | delete] adv device-name <label> <value>

   ---

   注 –

   次のコマンドを入力してインタフェースを追加できます。

   # mipagentconfig add adv device-name

   この場合、デフォルト値は (外来エージェントおよびホームエージェントに対する) インタフェースに割り当てられます。

   ---

   GlobalSecurityParameters セクション

   # mipagentconfig [add | delete] <label> <value>

   Pool セクション

   # mipagentconfig [add | delete] Pool Pool-identifier <label> <value>

   SPI セクション

   # mipagentconfig [add | delete] SPI SPI-identifier <label> <value>

   Address セクション

   # mipagentconfig [add | delete] addr [NAI | IPaddr | node-default] \ <label> <value>

同じ内容の Advertisements 、Pool 、SPI 、および Address セクションは作成できないので注意してください。

たとえば、基底アドレスが 192.167.1.1 でサイズが 100 の新しいアドレスプール Pool 11 を作成したい場合、次のコマンドを使用します。

例 24–7 新しいプールおよびパラメータの追加

# mipagentconfig add Pool 11 BaseAddress 192.167.1.1 
# mipagentconfig add Pool 11 size 100

また、特定のセキュリティパラメータを削除したい場合もあります。例 24–8 では、SPI 257 を削除する方法を示しています。

例 24–8 SPI の削除

# mipagentconfig delete SPI 257

構成ファイルの現在のパラメータ設定を表示する方法

mipagentconfig get コマンドを使用して、パラメータ宛先に関連付けられている現在の設定を表示できます。

1. モバイル IP を有効にしているシステムでスーパーユーザーになります。

2. コマンド行で、設定値を表示したい各パラメータについて次のコマンドを入力します。

   # mipagentconfig get [<parameter> | <label>]

たとえば、le0 デバイスに対する通知設定を表示する場合、次のコマンドを使用します。

# mipagentconfig get adv le0

このコマンドで表示される出力例を次に示します。

[Advertisements le0]
   HomeAgent = yes
   ForeignAgent = yes

例 24–9 は、その他のパラメータ宛先に mipagentconfig get コマンドを使用した結果です。

例 24–9 mipagentconfig get コマンドを使用する

# mipagentconfig get MaxClockSkew
      [GlobalSecurityParameters]
         MaxClockSkew=300

# mipagentconfig get HA-FAauth
      [GlobalSecurityParameters]
         HA-FAauth=no

# mipagentconfig get MN-FAauth
      [GlobalSecurityParameters]
         MN-FAauth=no

# mipagentconfig get Challenge
      [GlobalSecurityParameters]
         Challenge=no

# mipagentconfig get Pool 10
      [Pool 10]
         BaseAddress=192.168.1.1
         Size=100

# mipagentconfig get SPI 257
      [SPI 257]
         Key=11111111111111111111111111111111
         ReplayMethod=none

# mipagentconfig get SPI 258
      [SPI 258]
         Key=15111111111111111111111111111111
         ReplayMethod=none

# mipagentconfig get addr 10.1.1.1
      [Address 10.1.1.1]
         SPI=258
         Type=agent

# mipagentconfig get addr 192.168.1.200
      [Address 192.168.1.200]
         SPI=257
         Type=node

# mipagentconfig get addr 10.1.1.1      
      [Address 10.1.1.1]          
         Type=agent          
         SPI=258          
         IPsecRequest = apply {auth_algs md5 sa shared}          
         IPsecReply = permit {auth_algs md5}          
         IPsecTunnel = apply {encr_algs 3des sa shared}

モビリティエージェント状態の表示

mipagentstat コマンドを使用して外来エージェントのビジターリストおよびホームエージェントの結合テーブルを表示できます。モバイル IP モビリティエージェントの状態では、mipagentstat コマンドについて説明しています。詳細は、mipagentstat(1M) のマニュアルページでも説明しています。

モビリティエージェント状態を表示する方法

1. モバイル IP を有効にしているシステムでスーパーユーザーになります。

2. コマンド行から次のコマンドを入力します。

   # mipagentstat <option>

   次のオプションを使用できます。

   -f	外来エージェントのビジターリストに稼動中のモバイルノードの一覧を表示する
   -h	ホームエージェントの結合テーブルに稼動中のモバイルノードの一覧を表示する
   -p	エージェントのモビリティエージェントピアに関するセキュリティアソシエーションの一覧を表示する

たとえば、外来エージェントに登録された全モバイルノードのビジターリストを表示するには、次のコマンドを使用します。

# mipagentstat -f

このコマンドで表示される出力例を次に示します。

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  ha1.xyz.com    600          125       .....T.
10.1.5.23       10.1.5.1       1000         10        .....T.

外来エージェントのセキュリティアソシエーションを表示するには、次のコマンドを使用します。

# mipagentstat -p

このコマンドで表示される出力例を次に示します。

Foreign                  ..... Security Association(s).....
Agent                    Requests Replies  FTunnel  RTunnel
----------------------   -------- -------- -------- --------
forn-agent.eng.sun.com   AH       AH       ESP      ESP

ホームエージェントのセキュリティアソシエーションを表示するには、次のコマンドを使用します。

# mipagentstat -fp

このコマンドで表示される出力例を次に示します。

Home                     ..... Security Association(s) .....
Agent                    Requests Replies  FTunnel  RTunnel
----------------------   -------- -------- -------- --------
home-agent.eng.sun.com   AH       AH       ESP      ESP
ha1.xyz.com              AH,ESP   AH       AH,ESP   AH,ESP

外来エージェントでのモビリティ経路指定の表示

netstat コマンドを使用して、順方向および逆方向トンネルによって作成される発信元固有の経路指定に関する追加情報を表示できます。このコマンドの詳細については、 netstat(1M) マニュアルページを参照してください。

外来エージェントでモビリティ経路指定を表示する方法

1. モバイル IP を有効にしているシステムでスーパーユーザーになります。

2. コマンド行から次のコマンドを入力します。

   # netstat -rn

次の例は、逆方向トンネルを使用する外来エージェントの経路指定を示します。

Routing Table:   IPv4 Source-Specific     
Destination      In If     Source      Gateway Flags  Use  Out If
--------------  ------- ------------ --------- -----  ---- -------
10.6.32.11      ip.tun1      --      10.6.32.97  UH      0 hme1
    --          hme1    10.6.32.11       --      U       0 ip.tun1

最初の行は、宛先 IP アドレス 10.6.32.11 と着信インタフェース ip.tun1 がパケットを転送するインタフェースとして hme1 を選択していることを表します。次の行は、インタフェース hme1 から発信する任意のパケットと発信元アドレス 10.6.32.11 が ip.tun1 に転送されることを表しています。 これは、逆方向トンネル経路指定の一例です。