Teil V Mobile IP

Dieser Teil enthält eine Einführung in das Mobile Internet Protocol (Mobile IP) sowie Aufgaben zur Verwaltung von Mobile IP. Sie installieren Mobile IP auf Systemen wie z. B. Laptops und drahtlosen Kommunikationsgeräten, damit diese Computer in fremden Netzwerken betrieben werden können.

Die Mobile IP-Funktion ist in Oracle Solaris-Aktualisierungen nach Solaris 10 8/07 nicht mehr vorhanden.

Kapitel 27 Mobile IP (Übersicht)

Mobile Internet Protocol (IP) ermöglicht die Übertragung von Informationen zwischen mobilen Computern. Mobile Computer sind beispielsweise Laptops und drahtlose Kommunikationsgeräte. Ein mobiler Computer kann seinen Standort zu einem fremden Netzwerk wechseln. Auch in einem solchen Foreign-Netzwerk kann der mobile Computer über das Home-Netzwerk des mobilen Computers kommunizieren. Die Solaris-Implementierung von Mobile IP unterstützt nur IPv4.

Dieses Kapitel enthält die folgenden Informationen:

• Einführung in Mobile IP

• Mobile IP-Funktionseinheiten

• Arbeitsweise von Mobile IP

• Agent-Erkennung

• Care-of-Adressen

• Mobile IP mit Rücktunnel

• Mobile IP-Registrierung

• Routen von Datagrammen von und an mobile Knoten

• Sicherheitsbetrachtungen für Mobile IP

Aufgaben im Zusammenhang mit Mobile IP befinden Sie in Kapitel 28Verwalten von Mobile IP (Aufgaben). Referenzmaterial zu Mobile IP finden Sie in Kapitel 29Mobile IP-Dateien und Befehle (Referenz).

Neuerungen bei Mobile IP

Die Mobile IP-Funktion ist in Solaris 10-Aktualisierungen nach Solaris 10 8/07 nicht mehr vorhanden.

Einführung in Mobile IP

Aktuelle Versionen des Internet Protocol (IP) gehen davon aus, dass der Punkt, an dem ein Computer mit dem Internet oder einem Netzwerk verbunden ist, feststehend ist. Darüber hinaus geht IP davon aus, dass die IP-Adresse eines Computers das Netzwerk angibt, an das der Computer angeschlossen ist. An einen Computer gesendete Datagramme basieren auf den in der IP-Adresse enthaltenen Standortinformationen. Viele Internetprotokolle beruhen darauf, dass die IP-Adresse eines Knotens unverändert bleibt. Wenn eines dieser Protokolle auf einem Mobile IP-Computer ausgeführt wird, schlagen dessen Anwendungen fehl. Selbst HTTP würde fehlschlagen, und sei es nur aufgrund der kurzlebigen TCP-Verbindungen. Das Aktualisieren von IP-Adresse und Webseite stellt keine Belastung dar.

Wird ein mobiler Computer oder, anders gesagt, ein mobiler Knoten in ein anderes Netzwerk verschoben und bleibt die IP-Adresse gleich, so spiegelt die Adresse des mobilen Knotens den neuen Anschlusspunkt nicht korrekt wider. Entsprechend können vorhandene Routing-Protokolle Datagramme nicht korrekt zum mobilen Knoten leiten. Der mobile Knoten muss eine neue IP-Adresse erhalten, die den neuen Standort korrekt widerspiegelt. Das Zuweisen einer anderen IP-Adresse ist jedoch recht umständlich. Daher verliert ein mobiler Knoten das Routing, wenn er unter dem aktuellen Internet Protocol ohne eine Änderung seiner Adresse verschoben wird. Ändert der mobile Knoten jedoch seine Adresse, verliert er die Verbindungen.

Die Lösung dieses Problems ist Mobile IP. Mit Mobile IP kann ein mobiler Knoten zwei IP-Adressen verwenden. Die primäre Adresse ist eine feststehende Home-Adresse. Die sekundäre Adresse ist eine Care-Of-Adresse, die sich mit jedem neuen Anschlusspunkt ändert. Mobile IP gestattet einem Computer freies Roamen im Internet und im Netzwerk einer Organisation, während die gleiche Home-Adresse beibehalten wird. Entsprechend werden bestehende Kommunikationen nicht unterbrochen, wenn der Benutzer den Anschlusspunkt des Computers ändert. Stattdessen wird das Netzwerk mit dem neuen Standort des mobilen Knotens aktualisiert. Definitionen der Begriffe im Zusammenhang mit Mobile IP finden Sie im Glossar.

Die folgende Abbildung zeigt eine allgemeine Mobile IP-Topologie.

Abbildung 27–1 Mobile IP-Topologie

Wenn die in der Abbildung gezeigte Mobile IP-Topologie zu Grunde gelegt wird, zeigt das folgende Szenario, wie sich ein Datagramm von einem Punkt im Mobile IP-Framework zum anderen bewegt:

1. Der Internet-Host sendet unter Angabe der Home-Adresse des mobilen Knotens ein Datagramm an den mobilen Knoten (normaler IP-Routing-Prozess).

2. Befindet sich der mobile Knoten in seinem Home-Netzwerk, wird das Datagramm über den normalen IP-Prozess an den mobilen Knoten zugestellt. Andernfalls erhält der Home-Agent das Datagramm.

3. Befindet sich der mobile Knoten in einem Foreign-Netzwerk, leitete der Home-Agent das Datagramm an den Foreign-Agent weiter. Dazu muss der Home-Agent das Datagramm in ein äußeres Datagramm einkapseln, so dass die IP-Adresse des Foreign-Agent im äußeren IP-Header erscheint.

4. Der Foreign-Agent leitet das Datagramm an den mobilen Knoten weiter.

5. Datagramme vom mobilen Knoten an den Internet-Host werden unter Verwendung der normalen IP-Routing-Verfahren gesendet. Befindet sich der mobile Knoten in einem Foreign-Netzwerk, werden die Pakete an den Foreign-Agent gesendet. Der Foreign-Agent leitet das Datagramm an den Internet-Host weiter.

6. Wenn eine Filterung für eingehende Pakete durchgeführt wird, muss die Quelladresse topologisch korrekt für das Teilnetz sein, aus dem das Datagramm stammt, andernfalls kann der Router das Datagramm nicht weiterleiten. Wenn dieses Szenario für Verbindungen zwischen dem mobilen Knoten und dem korrespondierenden Knoten zutrifft, muss der Foreign-Agent eine Unterstützung für den Rücktunnel bieten. Erst dann kann der Foreign-Agent jedes vom mobilen Knoten gesendete Datagramm an seinen Home-Agent weiterleiten. Der Home-Agent leitet das Datagramm dann über den Pfad weiter, den es genommen hätte, wenn sich der mobile Knoten im Home-Netzwerk befinden würde. Dieser Prozess garantiert, dass die Quelladresse für alle Verbindungen korrekt ist, die das Datagramm durchlaufen muss.

Bei einer drahtlosen Kommunikation zeigt Abbildung 27–1, wie drahtlose Transceiver das Datagramm an den mobilen Knoten übertragen. Darüber hinaus verwenden alle Datagramme zwischen dem Internet-Host und dem mobilen Knoten die Home-Adresse des mobilen Knoten. Die Home-Adresse wird auch dann verwendet, wenn sich der mobile Knoten im Foreign-Netzwerk befindet. Die Care-Of-Adresse wird nur für Kommunikationen mit Mobility-Agents verwendet. Die Care-Of-Adresse ist für den Internet-Host unsichtbar.

Mobile IP-Funktionseinheiten

Mobile IP führt die folgenden neuen Funktionseinheit ein:

• Mobiler Knoten (Mobile Node, MN) – Ein Host oder Router, der seinen Anschlusspunkt von einem Netzwerk zu einem anderen ändern und dabei alle vorhandenen Verbindungen mithilfe seiner IP-Home-Adresse beibehalten kann.

• Home-Agent (HA) – Ein Router oder Server im Home-Netzwerk eines mobilen Knotens. Der Router fängt Datagramme ab, die an den mobilen Knoten gerichtet sind, und leitet sie an die Care-Of-Adresse weiter. Der Home-Agent pflegt darüber hinaus die aktuellen Informationen zum Standort des mobilen Knotens.

• Foreign-Agent (FA) – Ein Router oder Server im Foreign-Netzwerk, das der mobile Knoten besucht. Stellt die Host-Routing-Services für den mobilen Knoten zur Verfügung. Der Foreign-Agent kann darüber hinaus eine Care-Of-Adresse für den mobilen Knoten bereitstellen, solange dieser im Netzwerk registriert ist.

Arbeitsweise von Mobile IP

Mobile IP ermöglicht das Routing von IP-Datagrammen an mobile Knoten. Die Home-Adresse des mobilen Knotens identifiziert den mobilen Knoten ungeachtet des Netzwerks, an das er angeschlossen ist. Befindet sich der mobile Knoten nicht in seinem Home-Netzwerk, wird über die Home-Adresse des mobilen Knotens eine Care-Of-Adresse zugewiesen. Die Care-Of-Adresse enthält Informationen zum aktuellen Anschlusspunkt des mobilen Knotens. Mobile IP verwendet einen Registrierungsmechanismus, um die Care-Of-Adresse beim Home-Agent zu registrieren.

Der Home-Agent leitet Datagramme vom Home-Netzwerk an die Care-Of-Adresse weiter. Der Home-Agent konstruiert einen neuen IP-Header, der die Care-Of-Adresse des mobilen Knotens als IP-Zieladresse enthält. Dieser neue Header kapselt das originale IP-Datagramm ein. Entsprechend hat die Home-Adresse des mobilen Knotens keine Auswirkungen auf das Routing eines gekapselten Datagramms, bis das Diagramm an der Care-Of-Adresse eintrifft. Diese Art Kapselung wird als Tunneling bezeichnet. Nachdem das Datagramm an der Care-Of-Adresse eingetroffen ist, wird es entkapselt. Dann wird es an den mobilen Knoten zugestellt.

Die folgende Abbildung zeigt einen mobilen Knoten, der sich in seinem Home-Netzwerk (Netzwerk A) befindet. Dann wird der mobile Knoten in ein Foreign-Netzwerk (Netzwerk B) bewegt. Beide Netzwerke unterstützen Mobile IP. Der mobile Knoten ist stets der Home-Adresse des mobilen Knotens (128.226.3.30) zugeordnet.

Abbildung 27–2 Mobiler Knoten im Home-Netzwerk

Die folgende Abbildung zeigt einen mobilen Knoten, der in ein Foreign-Netzwerk (Netzwerk B) bewegt wurde. Datagramme für den mobilen Knoten werden vom Home-Agent im Home-Netzwerk (Netzwerk A) abgefangen und gekapselt. Dann werden die Datagramme an den Foreign-Agent im Netzwerk B gesendet. Der Foreign-Agent streift den äußeren Header ab, und das Datagramm an den mobilen Knoten zu, der sich im Netzwerk B befindet.

Abbildung 27–3 Mobiler Knoten wird in ein Foreign-Netzwerk bewegt

Die Care-Of-Adresse kann zu einem Foreign-Agent gehören. Die Care-Of-Adresse kann vom mobilen Knoten über das Dynamic Host Configuration Protocol (DHCP) oder das Point-to-Point Protocol (PPP) bezogen worden sein. Bei Letzteren spricht man davon, dass der mobile Knoten eine co-located Care-Of-Adresse hat (die lokalen Router können nicht unterscheiden, ob der Knoten mobil oder stationär ist).

Mobility-Agents (Home-Agents und Foreign-Agents) geben ihr Vorhandensein mithilfe von Agent Advertisement-Nachrichten bekannt. Optional kann ein mobiler Knoten eine Agent Advertisement-Nachricht anfordern. Der mobile Knoten kann jeden Mobility-Agent verwenden, der über eine Agent Solicitation-Nachricht lokal angeschlossen ist. Ein mobiler Knoten verwendet die Agent Advertisement-Nachrichten, um festzustellen, ob sich der mobile Knoten in einem Home-Netzwerk oder in einem Foreign-Netzwerk befindet.

Der mobile Knoten verwendet einen speziellen Registrierungsprozess, um den Home-Agent über seinen aktuellen Standort zu informieren. Der mobile Knoten „überwacht“ ständig, ob Mobility Agents ihr Vorhandensein bekannt geben. Diese Advertisement-Nachrichten verwendet der mobile Knoten, um festzustellen, ob er sich in ein anderes Teilnetz bewegt hat. Stellt der mobile Knoten fest, dass er seinen Standort geändert hat, verwendet er den neuen Foreign-Agent, um eine Registrierungsnachricht an den Home-Agent zu senden. Den gleichen Prozess verwendet der mobile Knoten, wenn er sich von einem Foreign-Netzwerk in ein anderes Foreign-Netzwerk bewegt.

Erkennt der mobile Knoten, dass er sich im Home-Netzwerk befindet, verwendet er die Mobility-Services nicht länger. Kehrt der mobile Knoten in sein Home-Netzwerk zurück, hebt er die Registrierung beim Home-Agent auf.

Agent-Erkennung

Ein mobiler Knoten verwendet eine Methode mit der Bezeichnung Agent-Erkennung (Agent Discoverty), um Folgendes festzustellen:

• Ob sich der Knoten von einem Netzwerk in ein anderes bewegt hat

• Ob es sich bei dem Netzwerk um das Home-Netzwerk oder um ein Foreign-Netzwerk handelt

• Die Care-Of-Adresse des Foreign-Agent, die von jedem Foreign-Agent in diesem Netzwerk angeboten wird

• Mobility-Services, die vom Mobility-Agent bereitgestellt werden. Sie werden als Flags und zusätzliche Erweiterungen in den Agent Advertisement-Nachrichten bekannt gegeben.

Mobility-Agents senden Agent Advertisement-Nachrichten, um ihre Services in einem Netzwerk bekannt zu geben. Wenn keine Agent Advertisement-Nachrichten vorhanden sind, kann ein mobiler Knoten Advertisement-Nachrichten auch anfordern. Diese Fähigkeit wird als Agent Solicitation bezeichnet. Wenn ein mobiler Knoten in der Lage ist, seine eigene co-located Care-Of-Adresse zu unterstützen, kann er normale Router Advertisement-Nachrichten für die gleichen Zwecke verwenden.

Agent Advertisement

Mobile Knoten verwenden Agent Advertisement-Nachrichten, um den aktuellen Anschlusspunkt zum Internet oder dem Netzwerk einer Organisation zu ermitteln. Eine Agent Advertisement-Nachricht ist eine Internet Control Message Protocol (ICMP) Router-Advertisement, die erweitert wurde, so dass sie die Erweitung einer Mobility Agent Advertisement aufnehmen kann.

Ein Foreign-Agent (FA) ist eventuell zu beschäftigt, um weitere mobile Knoten zu bedienen. Dennoch muss ein Foreign-Agent weiterhin Agent Advertisement-Nachrichten senden. An diesen Nachrichten erkennt ein mobile Knoten, der bereits beim Foreign-Agent registriert ist, dass er sich nicht aus dem Bereich des Foreign-Agent bewegt hat. Außerdem erkennt der mobile Knoten, dass der Foreign-Agent nicht ausgefallen ist. Ein mobiler Knoten, der bei einem Foreign-Agent registriert ist, von dem er keine Agent Advertisement-Nachrichten mehr erhält, erkennt wahrscheinlich, dass diesen Foreign-Agent nicht mehr kontaktieren kann.

Agent Advertisement-Nachrichten über dynamische Schnittstellen

Sie können die Implementierung eines Foreign-Agent so konfigurieren, dass die Agent Advertisement-Nachrichten über dynamisch erstellte Schnittstellen gesendet werden. Dazu stehen Ihnen Optionen zur Verfügung, mit denen Sie eingeschränkte, unaufgeforderte Advertisement-Nachrichten über die bekannt gebenden Schnittstellen aktivieren oder deaktivieren können. Dynamisch erstellte Schnittstellen sind Schnittstellen, die nach dem Start des mipagent-Daemons konfiguriert werden. Eine Advertisement-Nachricht über dynamische Schnittstellen eignet sich insbesondere für Anwendungen, die nichtstationäre Mobility-Schnittstellen unterstützen. Darüber hinaus wird durch das Einschränken von unaufgeforderten Advertisement-Nachrichten Netzwerkbandbreite eingespart.

Agent Solicitation

Jeder mobile Knoten sollte die Agent Solicitation unterstützen. Mobile Knoten verwenden die gleichen Verfahren, Standardeinstellungen und Konstanten für die Agent Solicitation, die für die Solicitation-Nachrichten von ICMP-Routern vorgegeben sind.

Die Häufigkeit, mit der ein mobiler Knoten Solicitation-Nachrichten sendet, wird durch den mobilen Knoten begeschränkt. Der mobile Knoten kann drei erste Solicitation-Nachrichten mit einer maximalen Häufigkeit von einer Nachricht pro Sekunde senden, während er nach einem Agenten sucht. Nachdem der mobile Knoten bei einem Agenten registriert ist, wird die Häufigkeit der Solicitation-Nachrichten reduziert, um den Overhead im lokalen Netzwerk zu beschränken.

Care-of-Adressen

Mobile IP bietet die folgenden alternativen Modi zum Beziehen einer Care-Of-Adresse:

• Ein Foreign-Agent stellt eine Foreign-Agent Care-Of-Adresse bereit, die dem mobilen Knoten über Agent Advertisement-Nachrichten bekannt gegeben wird. Die Care-Of-Adresse ist in der Regel die IP-Adresse des Foreign-Agent, der die Advertisement-Nachrichten sendet. Der Foreign-Agent ist der Tunnelendpunkt. Nachdem ein Foreign-Agent Datagramme durch einen Tunnel empfangen hat, entkapselt er die Datagramme und stellt die inneren Datagramme an den mobilen Knoten zu. Entsprechend können mehrere mobile Knoten die gleiche Care-Of-Adresse gemeinsam verwenden. Bandbreite ist bei drahtlosen Verbindungen von großer Wichtigkeit. Drahtlose Verbindungen bieten sich an, wenn Foreign-Agents Mobile IP-Services verdrahteter Verbindungen mit höherer Bandbreite anbieten.

• Ein mobiler Knoten bezieht eine co-located Care-Of-Adresse als über bestimmte externe Abläufe eine lokale IP-Adresse. Der mobile Knoten wird dann einer der eigenen Netzwerkschnittstellen zugeordnet. Er kann die Adresse über DHCP als temporäre Adresse beziehen. Die Adresse kann als langfristige Adresse auch das Eigentum des mobilen Knotens werden. In jedem Fall kann der mobile Knoten die Adresse nur so lange verwenden, wie sein Besuch in dem Teilnetz andauert, zu dem die Care-Of-Adresse gehört. Wenn eine co-located Care-Of-Adresse verwendet wird, arbeitet der mobile Knoten als Endpunkt des Tunnels. Der mobile Knoten führt die Entkapselung der Datagramme durch, die ihm durch einen Tunnel zugestellt wurden.

Mit einer co-located Care-Of-Adresse kann ein mobiler Knoten auch ohne einen Foreign-Agent arbeiten. Entsprechend kann ein mobiler Knoten eine co-located Care-Of-Adresse in Netzwerken verwenden, in denen kein Foreign-Agent bereitgestellt wurde.

Verwendet ein mobiler Knoten eine co-located Care-Of-Adresse, muss er sich auf dem Link befinden, der durch das Netzwerkpräfix der Care-Of-Adresse gekennzeichnet ist. Andernfalls können Datagramme mit der Care-Of-Adresse als Ziel nicht zugestellt werden.

Mobile IP mit Rücktunnel

In dem Abschnitt Arbeitsweise von Mobile IP wird davon ausgegangen, dass das Routing innerhalb des Internet unabhängig von der Quelladresse des Datagramms erfolgt. Dennoch prüfen die zwischengeschalteten Router eventuell auf eine topologische korrekte Quelladresse. Falls ein zwischengeschalteter Router eine Prüfung solche durchführt, muss der mobile Knoten einen Rücktunnel einrichten. Durch Einrichten eines Rücktunnels von der Care-Of-Adresse zum Home-Agent stellen Sie sicher, dass eine topologische korrekte Quelladresse für das IP-Datenpaket verwendet wird. Die Unterstützung für Rücktunnel wird von Foreign-Agents und Home-Agents bekannt gegeben. Ein mobiler Knoten kann beim Registrieren einen Rücktunnel zwischen einem Foreign-Agent und dem Home-Agent anfordern. Ein Rücktunnel ist ein Tunnel, der mit der Care-Of-Adresse des mobilen Knotens beginnt und am Home-Agent endet. Die folgende Abbildung zeigt eine Mobile IP-Topologie, in der ein Rücktunnel verwendet wird.

Abbildung 27–4 Mobile IP mit einem Rücktunnel

Eingeschränkte Unterstützung für private Adressen

Mobile Knoten, die über eine private Adresse verfügen, die nicht global über das Internet geroutet werden können, benötigen Rücktunnel. Solaris Mobile IP unterstützt mobile Knoten, die über eine private Adresse verfügen. Funktionen, die Solaris Mobile IP nicht unterstützt, sind unter Overview of the Solaris Mobile IP Implementation aufgeführt.

Unternehmen verwenden private Adressen, wenn keine externe Konnektivität erforderlich ist. Private Adressen können nicht über das Internet geroutet werden. Verfügt ein mobiler Knoten über eine private Adresse, kann er nur mit einem Kommunikatinsknoten kommunizieren, indem seine Datagramme in einem Rücktunnel an den Home-Agent gesendet werden. Der Home-Agent leitet das Datagramm dann so an den Kommunikationsknoten weiter, als ob sich der mobile Knoten im Home-Netzwerk befände. In der folgenden Abbildung ist eine Netzwerktopologie mit zwei mobilen Knoten dargestellt, die über private Adressen verfügen. Die beiden mobilen Knoten verwenden die gleiche Care-Of-Adresse, wenn sie beim gleichen Foreign-Agent registriert sind.

Abbildung 27–5 Mobile Knoten mit privaten Adressen im gleichen Foreign-Netzwerk

Bei der Care-Of-Adresse und der Home-Agent-Adresse muss es sich um global routfähige Adressen handeln, wenn diese Adressen zu unterschiedlichen Domänen gehören, die über das öffentliche Internet miteinander verbunden sind.

Das gleiche Foreign-Netzwerk kann zwei mobile Knoten enthalten, die mit der gleichen IP-Adresse privat adressiert werden können. Jedoch müssen die beiden mobilen Knoten über unterschiedliche Home-Agents verfügen. Darüber hinaus muss sich jeder mobile Knoten in einem anderen bekannt gebenden Teilnetz eines Foreign-Agent befinden. In der folgenden Abbildung ist eine Netzwerktopologie dargestellt, die diese Situation widerspiegelt.

Abbildung 27–6 Privat adressierte mobile Knoten in unterschiedlichen Foreign-Netzwerken

Mobile IP-Registrierung

Mobile Knoten können an den Agent Advertisement-Nachrichten erkennen, ob sie von einem Teilnetz zu einem anderen Teilnetz bewegt wurden. Wenn ein mobiler Knoten eine Agent Advertisement-Nachricht empfängt, die darauf hindeutet, dass er den Standort gewechselt hat, registriert er sich über einen Foreign-Agent. Auch wenn der mobile Knoten seine eigene co-located Care-Of-Adresse bezogen hat, ist es Standorten über diese Funktion möglich, den Zugriff auf Mobility-Services einzuschränken.

Die Mobile IP-Registrierung stellt einen flexiblen Mechanismus für mobile Knoten dar, die aktuellen Daten zur Erreichbarkeit an den Home-Agent zu übermitteln. Mit dem Registrierungsprozess können mobile Knoten die folgenden Aufgaben durchführen:

• Anforderungen von Weiterleitungsdiensten beim Besuch eines Foreign-Netzwerk

• Informieren des Home-Agent über die aktuelle Care-Of-Adresse

• Erneuern einer ablaufenden Registrierung

• Aufheben der Registrierung, wenn der mobile Knoten ins Home-Netzwerk zurückkehrt

• Anfordern eines Rücktunnels

Registrierungsnachrichten tauschen Informationen zwischen einem mobilen Knoten, einem Foreign-Agent und einem Home-Agent aus. Durch eine Registrierung wird eine Mobility-Bindung zum Home-Agent erstellt oder geändert. Außerdem wird durch eine Registrierung die Home-Adresse des mobilen Knotens für die angegebene Lebensdauer mit der Care-Of-Adresse des mobilen Knotens verknüpft.

Darüber hinaus ermöglicht der Registrierungsprozess mobilen Knoten das Durchführen folgender Funktionen:

• Registrieren bei mehreren Foreign-Agents

• Aufheben der Registrierung bestimmter Care-Of-Adressen, während andere Mobility-Bindungen beibehalten werden

• Erfassen der Adresse eines Home-Agent, wenn der mobile Knoten nicht mit diesen Informationen konfiguriert wurde

Mobile IP definiert die folgenden Registrierungsprozesse für einen mobilen Knoten:

• Wenn ein mobiler Knoten eine Foreign-Agent Care-Of-Adresse registriert, informiert er den Home-Agent, dass er über diesen Foreign-Agent erreichbar ist.

• Wenn ein mobiler Knoten eine Agent Advertisement-Nachricht empfängt, die eine Registrierung über einen Foreign-Agent erfordert, kann er weiterhin versuchen, eine co-located Care-Of-Adresse zu beziehen. Der mobile Knoten kann sich auch bei diesem Foreign-Agent oder einem anderen Foreign-Agent auf diesem Link registrieren.

• Wenn der mobile Knoten eine co-located Care-Of-Adresse verwendet, kann er sich direkt beim Home-Agent registrieren.

• Wenn der mobile Knoten in sein Home-Netzwerk zurückkehrt, hebt er die Registrierung bei dem Home-Agent auf.

Diese Registrierungsprozesse beinhalten den Austausch von Registrierungsanforderungen und zugehörigen Antwortnachrichten. Wenn ein mobiler Knoten mithilfe eines Foreign-Agent registriert wird, setzt sich der Registrierungsprozess aus den folgenden Schritten zusammen, die auch in der nachstehenden Abbildung gezeigt werden:

1. Zum Einleiten des Registrierungsprozesses sendet der mobile Knoten eine Registrierungsanforderung an den künftigen Foreign-Agent.

2. Der Foreign-Agent verarbeitet die Registrierungsanforderung und leitet sie an den Home-Agent weiter.

3. Der Home-Agent sendet eine Registrierungsantwort an den Foreign-Agent, in der die Anforderung gewährt oder verweigert wird.

4. Der Foreign-Agent verarbeitet die Registrierungsantwort und leitet sie an den mobilen Knoten weiter, um ihn über den Status der Anforderung zu informieren.

Abbildung 27–7 Mobile IP-Registrierungsprozess

Wenn sich der mobile Knoten direkt beim Home-Agent registriert, umfasst der Registrierungsprozess nur die folgenden Schritte:

• Der mobile Knoten sendet eine Registrierungsanforderung an den Home-Agent.

• Der Home-Agent sendet eine Registrierungsantwort an den mobilen Knoten, in der die Anforderung gewährt oder verweigert wird.

Darüber hinaus könnte der Foreign-Agent oder der Home-Agent einen Rücktunnel erfordern. Wenn der Foreign-Agent einen Rücktunnel unterstützt, verwendet der mobile Knoten den Registrierungsprozess, um einen Rücktunnel anzufordern. Der mobile Knoten setzt das Rücktunnel-Flag in der Registrierungsanforderung, um einen Rücktunnel anzufordern.

Network Access Identifier (NAI)

Authentifizierung, Autorisierung und Accounting (AAA)-Server im Internet stellen Authentifizierungs- und Autorisierungsservices für DFÜ-Computer zur Verfügung. Diese Services sind auch für mobile Knoten, die Mobile IP verwenden, wertvoll, wenn die Knoten versuchen, eine Verbindung mit fremden Domänen mit AAA-Servern herzustellen. AAA-Server verwenden die Network Access Identifier (NAI), um Clients zu identifizieren. Ein mobiler Knoten kann sich selbst identifizieren, indem der NAI mit in die Mobile IP-Registrierungsanforderung aufgenommen wird.

Da der NAI im Allgemeinen dazu verwendet wird, einen mobilen Knoten eindeutig zu identifizieren, ist die Home-Adresse des mobilen Knotens nicht immer für diese Funktion erforderlich. Somit kann sich ein mobiler Knoten selbst authentifizieren. Entsprechend kann ein mobiler Knoten auch dann zum Herstellen einer Verbindung mit der fremden Domäne autorisiert werden, wenn er keine Home-Adresse aufweisen kann. Um die Zuweisung einer Home-Adresse anzufordern, kann eine Nachricht, die die NAI-Erweiterung des mobilen Knotens enthält, das Feld für die Home-Adresse in der Registrierungsaufforderung auf null setzen.

Mobile IP-Nachrichtenauthentifizierung

Jeder mobile Knoten, Foreign-Agent und Home-Agent unterstützt eine Mobility-Sicherheitszuordnung zwischen den verschiedenen Mobile IP-Komponenten. Die Sicherheitszuordnung wird vom Security Parameter Index (SPI) und der IP-Adresse mit einem Index versehen. Bei einem mobilen Knoten ist diese Adresse die Home-Adresse des mobilen Knotens. Registrierungsnachrichten zwischen einem mobilen Knoten und dem Home-Agent werden anhand der Mobile-Home-Authentifizierungserweiterung in ihrer Echtheit bestätigt. Neben der obligatorischen Mobile-Home-Authentifizierung können Sie die optionalen Mobile-Foreign-Agent- und Home-Foreign-Agent-Authentifizierungen verwenden.

Registrierungsanforderung eines mobilen Knotens

Ein mobiler Knoten verwendet eine Registrierungsanforderung-Nachricht, um sich bei dem Home-Agent zu registrieren. Als Reaktion kann der Home-Agent eine Mobility-Bindung für diesen mobilen Knoten erstellen oder ändern (beispielsweise mit einer neuen Lebensdauer). Der Foreign-Agent kann die Registrierungsanforderung an den Home-Agent weiterleiten. Will der mobile Knoten jedoch eine co-located Care-Of-Adresse registrieren, kann der mobile Knoten die Registrierungsanforderung direkt an den Home-Agent senden. Wenn der Foreign-Agent bekannt gibt, das Registrierungsnachrichten an den Foreign-Agent gesendet werden müssen, muss der mobile Knoten die Registrierungsanforderung an den Foreign-Agent senden.

Antwort auf eine Registrierungsanforderung

Ein Mobility-Agent gibt eine Registrierungsantwort-Nachricht an einen mobilen Knoten zurück, der eine Registrierungsanforderung gesendet hat. Hat der mobile Knoten einen Service von Foreign-Agent angefordert, empfängt dieser Foreign-Agent die Antwort vom Home-Agent. Entsprechend leitet der Foreign-Agent die Antwort an den mobilen Knoten weiter. Die Antwort enthält die erforderlichen Codes, um den mobilen Knoten und den Foreign-Agent über den Status der Registrierungsanforderung zu informieren. Darüber hinaus enthält die Nachricht die, die vom Home-Agent gewährte Lebensdauer. Die Lebensdauer kann geringer als in der ursprünglichen Anforderung ausfallen. Außerdem kann eine Registrierungsanforderung eine dynamisch zugewiesene Home-Adresse enthalten.

Überlegungen zum Foreign-Agent

Der Foreign-Agent spielt bei der Mobile IP-Registrierung im Wesentlichen eine passive Rolle. Der Foreign-Agent fügt alle registrierten mobilen Knoten einer Besuchertabelle hinzu. Außerdem leitet er Registrierungsanforderungen und -antworten zwischen den mobilen Knoten und Home-Agent weiter. Wenn der Foreign-Agent die Care-Of-Adresse bereitstellt, führt er darüber hinaus die Entkapselung von Datagrammen durch, so dass der Inhalt an die mobilen Knoten zugestellt werden kann. Weiterhin sendet der Foreign-Agent in regelmäßigen Abständen Agent Advertisement-Nachrichten, um sein Vorhandensein bekannt zu geben.

Wenn Home-Agents und Foreign-Agents Rücktunnel unterstützen und der mobile Knoten einen Rücktunnel anfordert, sendet der Foreign-Agent alle Pakete vom mobilen Knoten durch einen Tunnel an den Home-Agent. Der Home-Agent sendet die Pakete an den Kommunikationsknoten. Dieser Prozess ist die Umkehr des Home-Agent-Tunneling aller Pakete des mobilen Knoten an den Foreign-Agent zur Zustellung an den mobilen Knoten. Ein Foreign-Agent, der einen Rücktunnel unterstützt, meldet, dass ein Rücktunnel bei der Registrierung unterstützt wird. Aufgrund der lokalen Richtlinie kann der Foreign-Agent eine Registrierungsanforderung verweigern, wenn das Rücktunnel-Flag nicht gesetzt ist. Der Foreign-Agent kann mehrere mobile Knoten mit der gleichen (privaten) IP-Adresse nur dann unterscheiden, wenn die mobilen Knoten unterschiedliche Schnittstellen des Foreign-Agent besuchen. Bei einem Vorwärtstunnel unterscheidet der Foreign-Agent mehrere mobile Knoten, die die gleiche private Adresse nutzen, in dem er die eingehende Tunnelschnittstelle prüft. Die eingehende Tunnelschnittstelle ist einer einmaligen Home-Agent-Adresse zugeordnet.

Überlegungen zum Home-Agent

Home-Agents spielen eine aktive Rolle im Registrierungsprozess. Der Home-Agent empfängt die Registrierungsanforderungen vom mobilen Knoten. Die Registrierungsanforderung könnte von dem Foreign-Agent weitergeleitet worden sein. Der Home-Agent aktualisiert seine Aufzeichnungen zu den Mobility-Bindungen dieses mobilen Knotens. Der Home-Agent erteilt auf jede Registrierungsanforderung eine geeignete Registrierungsantwort. Darüber hinaus leitet der Home-Agent Datenpakete an den mobilen Knoten weiter, wenn sich dieser nicht im Home-Netzwerk befindet.

Ein Home-Agent hat eventuell kein physikalisches Teilnetz für mobile Knoten konfiguriert. Dennoch muss der Home-Agent die Home-Adresse des mobilen Knotens über die Datei mipagent.conf oder einen anderen Mechanismus erkennen, wenn er die Registrierung genehmigt. Weitere Informationen zur Datei mipagent.conf finden Sie unter Erstellen einer Mobile IP-Konfigurationsdatei.

Ein Home-Agent kann privat adressierte mobile Knoten unterstützen, indem er die privat adressierten mobilen Knoten in der Datei mipagent.conf konfiguriert. Die von dem Home-Agent verwendeten Home-Adressen müssen einmalig sein.

Dynamische Home-Agent-Erkennung

In bestimmten Situationen kennt der mobile Knoten die Adresse seines Home-Agents nicht, wenn er sich zu registrieren versucht. In diesem Fall kann er eine dynamische Home-Agent-Adressauflösung verwenden, um die Adresse in Erfahrung zu bringen. Dazu setzt er das Home-Agent-Feld in der Registrierungsaufforderung auf die Teilnetz-gesteuerte Broadcast-Adresse seines Home-Netzwerk. Jeder Home-Agent, der eine Registrierungsaufforderung mit einer Broadcast-Zieladresse empfängt, lehnt die Registrierung des mobilen Knotens ab, in dem eine entsprechende Antwortnachricht gesendet wird. Jetzt kann der mobile Host beim nächsten Registrierungsversuch die Unicast-IP-Adresse des Home-Agent verwenden, die in der negativen Antwortnachricht angegeben ist.

Routen von Datagrammen von und an mobile Knoten

In diesem Abschnitt wird beschrieben, wie mobile Knoten, Home-Agents und Foreign-Agents zusammenarbeiten, um Datagramme für mobile Knoten, die an ein Foreign-Netzwerk angeschlossen sind, zu routen. Informationen zu den von Solaris OS unterstützten Mobile IP-Funktionen finden Sie unter Overview of the Solaris Mobile IP Implementation.

Methoden zur Einkapselung

Home-Agents und Foreign-Agents nutzen eine der verfügbaren Einkapselungsmethoden, um Datagramme zu unterstützen, die einen Tunnel verwenden. Definierte Einkapselungsmethoden sind IP-in-IP Encapsulation, Minimal Encapsulation und Generic Routing Encapsulation. Foreign-Agent und Home-Agent-Fälle oder indirekt co-located mobile Knoten und Home-Agent-Fälle müssen die gleiche Einkapselungsmethode unterstützen. Alle Mobile IP-Einheiten müssen die IP-in-IP Encapsulation unterstützen.

Routing von Unicast Datagrammen

Wenn ein mobiler Knoten in einem Foreign-Netzwerk registriert ist, verwendet er die folgenden Regeln, um einen Standard-Router zu wählen:

• Ist der mobile Knoten registriert, und verwendet er eine Agent Care-Of-Adresse, ist der Prozess recht einfach. Der mobile Knoten wählt seinen Standard-Router unter den Router-Adressen, die im ICMP-Router-Advertisement-Teil der Agent Advertisement-Nachrichten bekannt gegeben werden. Alternativ kann der mobile Knoten die IP-Quelladresse der Agent Advertisement-Nachricht als mögliche Option für die IP-Adresse eines Standard-Routers wählen.

• Der mobile Knoten kann unter Verwendung einer co-located Care-Of-Adresse direkt beim Home-Agent registriert sein. In diesem Fall wählt der mobile Knoten seinen Standard-Router unter den Routern, die in einer der empfangenen ICMP-Router Advertisement-Nachrichten bekannt gegeben werden. Das Netzwerkpräfix des ausgewählten Standard-Routers muss mit dem Netzwerkpräfix der extern bezogenen Care-Of-Adresse des mobilen Knotens übereinstimmen. Die Adresse kann mit der IP-Quelladresse der Agent Advertisement-Nachricht unter dem Netzwerkpräfix identisch sein. In diesem Fall kann der mobile Knoten diese IP-Quelladresse als andere mögliche Option für eine IP-Adresse eines Standard-Routers wählen.

• Ist der mobile Knoten registriert, leitet ein Foreign-Agent, der einen Rücktunnel unterstützt, Unicast-Datagramme vom mobilen Knoten durch den Rücktunnel an den Home-Agent. Ist der mobile Knoten bei einem Foreign-Agent registriert, der Rücktunnel unterstützt, muss der mobile Knoten diesen Foreign-Agent als Standard-Router verwenden.

Broadcast-Datagramme

Wenn ein Home-Agent ein Broadcast- oder Multicast-Datagramm empfängt, leitet er das Datagramm nur an mobile Knoten weiter, die den Empfang dieser Datagramme explizit angefordert haben. Wie der Home-Agent Broadcast- und Multicast-Datagramme an mobile Knoten weiterleitet, hängt im Wesentlichen von zwei Faktoren ab: entweder verwendet der mobile Knoten eine von einem Foreign-Agent bereitgestellte Care-Of-Adresse, oder der mobile Knoten verwendet seine eigene co-located Care-Of-Adresse. Bei der erstgenannten Option muss das Datagramm doppelt gekapselt werden. Der erste IP-Header identifiziert den mobilen Knoten, an den das Datagramm zugestellt werden soll. Der erste IP-Header ist nicht im Broadcast- oder Multicast-Datagramm enthalten. Der zweite IP-Header identifiziert die Care-Of-Adresse und ist der normale Tunnel-Header. Im zweiten Szenario entkapselt der mobile Knoten seine eigenen Datagramme, und die Datagramme müssen über den regulären Tunnel gesendet werden.

Routing von Multicast-Datagrammen

Um den Empfang von Multicast-Verkehr zu beginnen, wenn ein mobiler Knoten ein fremdes Teilnetz besucht, kann ein mobiler Knoten unter Verwendung einer der folgenden Methoden einer Multicast-Gruppe beitreten:

• Nutzt der mobile Knoten eine co-located Care-Of-Adresse, kann er diese Adresse als IP-Quelladresse in einer Internet Group Management Protocol (IGMP)-Beitrittsnachricht verwenden. In diesem Fall muss jedoch ein Multicast-Router im besuchten Teilnetz vorhanden sein.

• Möchte der mobile Knoten der ICMP-Gruppe in seinem Home-Teilnetz beitreten, muss er einen Rücktunnel verwenden, um IGMP-Beitrittsnachrichten an den Home-Agent zu senden. In diesem Fall muss der Home-Agent des mobilen Knotens ein Multicast-Router sein. Der Home-Agent kann dann Multicast-Datagramme durch den Tunnel an den mobilen Knoten weiterleiten.

• Nutzt der mobile Knoten eine co-located Care-Of-Adresse, kann er diese Adresse als IP-Quelladresse in einer IGMP-Beitrittsnachricht verwenden. In diesem Fall muss jedoch ein Multicast-Router im besuchten Teilnetz vorhanden sein. Nachdem der mobile Knoten einer Gruppe beigetreten ist, kann er am Netzverkehr teilnehmen, indem er seine eigenen Multicast-Pakete direkt in das besuchte Netzwerk sendet.

• Direkt im besuchten Netzwerk senden.

• Durch einen Tunnel an den Home-Agent senden.

Multicast-Routing hängt von der IP-Quelladresse ab. Ein mobiler Knoten, der ein Multicast-Datagramm sendet, muss das Datagramm von einer gültigen Quelladresse auf diesem Link senden. Daher muss ein mobiler Knoten, der Multicast-Datagramme direkt in das besuchte Netzwerk sendet, eine co-located Care-Of-Adresse als IP-Quelladresse verwenden. Außerdem muss der mobile Knoten der Multicast-Gruppe beigetreten sein, der diese Adresse zugeordnet ist. Entsprechend gilt, ein mobiler Knoten, der in seinem Home-Teilnetz vor dem Roaming einer Multicast-Gruppe beigetreten ist oder der Multicast-Gruppe während des Roaming durch einen Rücktunnel zu seinem Home-Agent beigetreten ist, muss seine Home-Adresse als IP-Quelladresse des Multicast-Datagramms verwenden. Das bedeutet, der mobile Knoten muss diese Datagramme auch über den Rücktunnel an sein Home-Teilnetz senden, entweder über sich selbst (über seine co-located Care-Of-Adresse) oder über den Rücktunnel eines Foreign-Agent.

Obwohl es für einen mobilen Knoten sinnvoll erscheint, immer von dem Teilnetz aus beizutreten, das der mobile Knoten besucht, so ist er dennoch ein mobiler Knoten. Entsprechend muss der mobile Knoten jedes Mal neu beitreten, wenn er die Teilnetze wechselt. Daher ist es für den mobilen Knoten am sinnvollsten, über seinen Home-Agent beizutreten und diesen Overhead nicht zu verursachen. Darüber hinaus sind eventuell Multicast-Sitzungen vorhanden, die nur vom Home-Teilnetz aus verfügbar sind. Andere Überlegungen zwingen den mobilen Knoten eventuell dazu, in einer bestimmten Weise teilzunehmen.

Sicherheitsbetrachtungen für Mobile IP

In vielen Situationen stellen mobile Computer eine Verbindung mit dem Netzwerk drahtlos her. Drahtlose Verbindungen durch passives Mithören, aktive Replay-Angriffe und andere aktive Angriffe besonders gefährdet.

Da Mobile IP erkannt hat, dass es diese Gefährdung weder reduzieren noch eliminieren kann, verwendet es eine Art Authentifizierung, um Mobile IP-Registrierungsnachrichten vor dieser Art Angriffen zu schützen. Der verwendete Standardalgorithmus ist MD5 mit einer Schlüsselgröße von 128 Bit. Der standardmäßige Betriebsmodus erfordert, dass dieser 128-Bit-Schlüssel vor und hinter Daten steht, an denen ein Hash-Algorithmus angewendet wird. Der Foreign-Agent verwendet MD5, um diese Authentifizierung zu unterstützen. Darüber hinaus verwendet der Foreign-Agent Schlüssel von 128 Bit oder größer mit einer manuellen Schlüsselverteilung. Mobile IP kann weitere Authentifizierungsalgorithmen, Algorithmus-Modi, Schlüsselverteilungsmethoden und Schlüsselgrößen unterstützen.

Diese Methoden verhindern, dass Mobile IP-Registrierungsnachrichten geändert werden. Jedoch verwendet Mobile IP auch eine Form von Replay-Schutz, um Mobile IP-Einheiten zu warnen, wenn sie Duplikate von früheren Mobile IP-Registrierungsnachrichten empfangen. Wenn diese Schutzmethoden nicht verwendet werden, sind der mobile Knoten und sein Home-Agent eventuell nicht mehr synchron, wenn einer von ihnen eine Registrierungsnachricht empfängt. Aus diesem Grund aktualisiert Mobile IP seinen Status. Angenommen, ein Home-Agent empfängt eine doppelte Nachricht zum Aufheben einer Registrierung, während der mobile Knoten über einen Foreign-Agent registriert ist.

Der Replay-Schutz wird über eine Methode sichergestellt, die als nonces oder timestamps bezeichnet wird. Nonces und timestamps werden zwischen Home-Agents und mobilen Knoten mit den Mobile IP-Registrierungsnachrichten ausgetauscht. Nonces und timestamps sind durch einen Authentifizierungsmechanismus vor Änderungen geschützt. Entsprechend kann, wenn ein Home-Agent oder ein mobiler Knoten eine doppelt vorhandenen Nachricht empfängt, das Duplikat gelöscht werden.

Bei der Verwendung von Tunneln besteht eine besondere Gefährdung, insbesondere dann, wenn die Registrierung nicht authentifiziert werden kann. So ist das Address Resolution Protocol (ARP) nicht authentifiziert und kann potentiell verwendet werden, um den Datenverkehr anderer Hosts zu „stehlen“.

Kapitel 28 Verwalten von Mobile IP (Aufgaben)

In diesem Kapitel werden Verfahren zum Ändern, Hinzufügen, Löschen und Anzeigen von Parametern in der Mobile IP-Konfigurationsdatei beschrieben. Darüber hinaus finden Sie hier Informationen zum Anzeigen des Status eines Mobility-Agent.

Dieses Kapitel enthält die folgenden Informationen:

• Erstellen einer Mobile IP-Konfigurationsdatei (Übersicht der Schritte)

• Erstellen einer Mobile IP-Konfigurationsdatei

• Ändern einer Mobile IP-Konfigurationsdatei

• Ändern der Mobile IP-Konfigurationsdatei (Übersicht der Schritte)

• Anzeigen des Mobility-Agent-Status

• Anzeigen der Mobility-Routen auf einem Foreign-Agent

Eine Einführung in Mobile IP finden Sie in Kapitel 27Mobile IP (Übersicht). Ausführliche Informationen zu Mobile IP finden Sie in Kapitel 29Mobile IP-Dateien und Befehle (Referenz).

Die Mobile IP-Funktion ist in Solaris 10-Aktualisierungen nach Solaris 10 8/07 nicht mehr vorhanden.

Erstellen einer Mobile IP-Konfigurationsdatei (Übersicht der Schritte)

Erstellen einer Mobile IP-Konfigurationsdatei

In diesem Abschnitt finden in Sie Informationen zur Planung von Mobile IP und zum Erstellen der /etc/inet/mipagent.conf-Datei.

So planen Sie für Mobile IP

Wenn Sie die Datei mipagent.conf das erste Mal konfigurieren, müssen Sie die folgenden Aufgaben durchführen:

1. Legen Sie die Leistungsmerkmale Ihres Mobile IP-Agent fest. Dabei richten Sie nach nach den Leistungsanforderungen Ihrer Organisation:

   • Nur Foreign-Agent-Funktionen

   • Nur Home-Agent-Funktionen

   • Sowohl Foreign-Agent- als auch Home-Agent-Funktionen

2. Erstellen Sie die Datei /etc/inet/mipagent.conf, und geben Sie die erforderlichen Einstellungen an, indem Sie die in diesem Abschnitt beschriebenen Verfahren einsetzen. Sie können auch eine der folgenden Dateien nach /etc/inet/mipagent.conf kopieren und gemäß Ihren Anforderungen modifizieren:

   • Für Foreign-Agent-Funktionen kopieren Sie die Datei /etc/inet/mipagent.conf.fa-sample.

   • Für Home-Agent-Funktionen kopieren Sie die Datei /etc/inet/mipagent.conf.ha-sample.

   • Für sowohl Foreign-Agent- als auch Home-Agent-Funktionen kopieren Sie die Datei /etc/inet/mipagent.conf-sample.

3. Sie können Ihr System neu starten, um das Startskript aufzurufen, mit dem der mipagent-Daemon neu gestartet wird. Alternativ können Sie den Daemon mipagent mithilfe des folgenden Befehls neu starten:

   # /etc/inet.d/mipagent start

So erstellen Sie eine Mobile IP-Konfigurationsdatei

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser auf dem System an, auf dem Sie Mobile IP aktivieren möchten.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Erstellen Sie die Datei /etc/inet/mipagent.conf mithilfe einer der folgenden Optionen:

   • Erstellen Sie in dem Verzeichnis /etc/inet eine leere Datei mit der Bezeichnung mipagent.conf.

   • Kopieren Sie eine der folgenden Beispieldateien, die Ihnen die gewünschten Leistungsmerkmale zur Verfügung stellt, in die Datei /etc/inet/mipagent.conf.

     • /etc/inet/mipagent.conf.fa-sample

     • /etc/inet/mipagent.conf.ha-sample

     • /etc/inet/mipagent.conf-sample

3. Fügen Sie die erforderlichen Konfigurationsparameter in die Datei /etc/inet/mipagent.conf ein bzw. ändern Sie die Parameter, bis die Datei Ihren Konfigurationsanforderungen entspricht.

   In den weiteren Verfahren in diesem Abschnitt sind die Schritte beschrieben, mit denen Sie die Abschnitte in der Datei /etc/inet/mipagent.conf ändern.

So konfigurieren Sie den Abschnitt General

Wenn Sie eine der Beispieldateien in das Verzeichnis /etc/inet kopiert haben, können Sie dieses Verfahren überspringen, da die Beispieldatei diesen Eintrag bereits enthält. General enthält Beschreibungen der in diesem Abschnitt verwendeten Label und Werte.

1. Fügen Sie der Datei /etc/inet/mipagent.conf die folgenden Zeilen hinzu:

   [General] Version = 1.0

   ---

   Hinweis –

   Die Datei /etc/inet/mipagent.conf muss diesen Eintrag enthalten.

   ---

So konfigurieren Sie den Abschnitt Advertisements

Advertisements enthält Beschreibungen der in diesem Abschnitt verwendeten Label und Werte.

1. Fügen Sie der Datei /etc/inet/mipagent.conf die folgenden Zeilen mit den Werten hinzu, die für Ihre Konfiguration erforderlich sind bzw. ändern Sie die entsprechenden Zeilen ab.

   [Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> PrefixFlags = <yes/no> AdvertiseOnBcast = <yes/no> RegLifetime = n AdvLifetime = n AdvFrequency = n ReverseTunnel = <yes/no/FA/HA/both> ReverseTunnelRequired = <yes/no/FA/HA>

   ---

   Hinweis –

   Sie müssen für jede Schnittstelle auf dem lokalen Host, der Mobile IP-Services bereitstellt, einen eigenen Advertisements-Abschnitt einfügen.

   ---

So konfigurieren Sie den Abschnitt GlobalSecurityParameters

GlobalSecurityParameters enthält Beschreibungen der in diesem Abschnitt verwendeten Label und Werte.

1. Fügen Sie der Datei /etc/inet/mipagent.conf die folgenden Zeilen mit den Werten hinzu, die für Ihre Konfiguration erforderlich sind bzw. ändern Sie die entsprechenden Zeilen ab:

   [GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files

So konfigurieren Sie den Abschnitt Pool

Pool enthält Beschreibungen der in diesem Abschnitt verwendeten Label und Werte:

1. Bearbeiten Sie die Datei /etc/inet/mipagent.conf.

2. Fügen Sie die folgenden Zeilen mit den Werten hinzu, die für Ihre Konfiguration erforderlich sind bzw. ändern Sie die entsprechenden Zeilen ab:

   [Pool pool-identifier] BaseAddress = IP-address Size = size

So konfigurieren Sie den Abschnitt SPI

SPI enthält Beschreibungen der in diesem Abschnitt verwendeten Label und Werte.

1. Bearbeiten Sie die Datei /etc/inet/mipagent.conf.

2. Fügen Sie die folgenden Zeilen mit den Werten hinzu, die für Ihre Konfiguration erforderlich sind bzw. ändern Sie die entsprechenden Zeilen ab:

   [SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key

   ---

   Hinweis –

   Sie müssen für jeden bereitgestellten Sicherheitskontext einen eigenen SPI-Abschnitt einfügen.

   ---

So konfigurieren Sie den Abschnitt Address

Address enthält Beschreibungen der in diesem Abschnitt verwendeten Label und Werte.

1. Bearbeiten Sie die Datei /etc/inet/mipagent.conf.

2. Fügen Sie die folgenden Zeilen mit den Werten hinzu, die für Ihre Konfiguration erforderlich sind bzw. ändern Sie die entsprechenden Zeilen ab:

   • Bei einem mobilen Knoten geben Sie Folgendes ein:

     [Address address] Type = node SPI = SPI-identifier

   • Bei einem Agent geben Sie Folgendes ein:

     [Address address] Type = agent SPI = SPI-identifier

   • Bei einem mobilen Knoten, der durch seinen NAI identifiziert wird, verwenden Sie Folgendes:

     [Address NAI] Type = Node SPI = SPI-identifier Pool = pool-identifier

   • Bei einem standardmäßigen mobilen Knoten geben Sie Folgendes ein:

     [Address Node-Default] Type = Node SPI = SPI-identifier Pool = pool-identifier

Ändern der Mobile IP-Konfigurationsdatei (Übersicht der Schritte)

Ändern einer Mobile IP-Konfigurationsdatei

In diesem Abschnitt wird beschrieben, wie Sie die Mobile IP-Konfigurationsdatei mithilfe des Befehls mipagentconfig ändern. Weiterhin wird in diesem Abschnitt beschrieben, wie Sie die aktuellen Einstellungen der Parameterziele anzeigen.

Konfiguration des Mobility IP-Agent enthält eine konzeptuelle Beschreibung der Verwendung des Befehls mipagentconfig. Lesen Sie auch die Manpage mipagentconfig(1M).

So ändern Sie den Abschnitt General

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser auf dem System an, auf dem Sie Mobile IP aktivieren möchten.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Geben Sie für jedes Label, das Sie im Abschnitt General ändern möchten, den folgenden Befehl ein.

   # mipagentconfig change <label> <value>

Beispiel 28–1 Ändern eines Parameters im Abschnitt General

Im folgenden Beispiel wird gezeigt, wie Sie die Versionsnummer im Abschnitt General der Konfigurationsdatei ändern.

# mipagentconfig change version 2

So ändern Sie den Abschnitt Advertisements

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser auf dem System an, auf dem Sie Mobile IP aktivieren möchten.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Geben Sie für jedes Label, das Sie im Abschnitt Advertisements ändern möchten, den folgenden Befehl ein:

   # mipagentconfig change adv device-name <label> <value>

   Wenn Sie die bekannt gegebene Lebensdauer des Agenten für das Gerät hme0 auf 300 Sekunden ändern möchten, geben Sie den folgenden Befehl ein.

   # mipagentconfig change adv hme0 AdvLifetime 300

Beispiel 28–2 Ändern des Abschnitts Advertisements

Im folgenden Beispiel wird gezeigt, wie Sie bestimmte Parameter im Abschnitt Advertisements der Konfigurationsdatei ändern.

# mipagentconfig change adv hme0 HomeAgent yes
# mipagentconfig change adv hme0 ForeignAgent no
# mipagentconfig change adv hme0 PrefixFlags no
# mipagentconfig change adv hme0 RegLifetime 300
# mipagentconfig change adv hme0 AdvFrequency 4
# mipagentconfig change adv hme0 ReverseTunnel yes

So ändern Sie den Abschnitt GlobalSecurityParameters

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser auf dem System an, auf dem Sie Mobile IP aktivieren möchten.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Geben Sie für jedes Label, das Sie im Abschnitt GlobalSecurityParameters ändern möchten, den folgenden Befehl ein:

   # mipagentconfig change <label> <value>

   Wenn Sie die Home-Agent- und die Foreign-Agent-Authentifizierung aktivieren möchten, geben Sie den folgenden Befehl ein:

   # mipagentconfig change HA-FAauth yes

Beispiel 28–3 Ändern des Abschnitts Global Security Parameters

Im folgenden Beispiel wird gezeigt, wie Sie bestimmte Parameter im Abschnitt GlobalSecurityParameters der Konfigurationsdatei ändern.

# mipagentconfig change MaxClockSkew 200
# mipagentconfig change MN-FAauth yes
# mipagentconfig change Challenge yes
# mipagentconfig change KeyDistribution files

So ändern Sie den Abschnitt Pool

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser auf dem System an, auf dem Sie Mobile IP aktivieren möchten.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Geben Sie für jedes Label, das Sie im Abschnitt Pool ändern möchten, den folgenden Befehl ein:

   # mipagentconfig change Pool pool-identifier <label> <value>

Beispiel 28–4 Ändern des Abschnitts Pool

Im folgenden Beispiel werden die Befehle gezeigt, mit denen Sie die Basisadresse des Pools 10 zu 192.168.1.1 und die Größe zu 100 ändern.

# mipagentconfig change Pool 10 BaseAddress 192.168.1.1
# mipagentconfig change Pool 10 Size 100

So ändern Sie den Abschnitt SPI

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser auf dem System an, auf dem Sie Mobile IP aktivieren möchten.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Geben Sie für jedes Label, das Sie im Abschnitt SPI ändern möchten, den folgenden Befehl ein:

   # mipagentconfig change SPI SPI-identifier <label> <value>

   Wenn Sie den Schlüssel für SPI 257 zu 5af2aee39ff0b332 ändern möchten, geben Sie den folgenden Befehl ein.

   # mipagentconfig change SPI 257 Key 5af2aee39ff0b332

Beispiel 28–5 Ändern des Abschnitts SPI

Im folgenden Beispiel wird gezeigt, wie das Label ReplayMethod im Abschnitt SPI der Konfigurationsdatei geändert wird.

# mipagentconfig change SPI 257 ReplayMethod timestamps

So ändern Sie den Abschnitt Address

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser auf dem System an, auf dem Sie Mobile IP aktivieren möchten.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Geben Sie für jedes Label, das Sie im Abschnitt Address ändern möchten, den folgenden Befehl ein:

   # mipagentconfig change addr [NAI | IPaddr | node-default] <label> <value>

   Eine Beschreibung der drei Konfigurationsmethoden (NAI, IP-Adresse und Knoten-Standard) finden Sie unter Address.

   Wenn Sie den SPI der IP-Adresse 10.1.1.1 zu 258 ändern möchten, geben Sie den folgenden Befehl ein:

   # mipagentconfig change addr 10.1.1.1 SPI 258

Beispiel 28–6 Ändern des Abschnitts Address

Im folgenden Beispiel wird gezeigt, wie Sie bestimmte Parameter im Abschnitt Address der Konfigurationsdatei ändern.

# mipagentconfig change addr 10.1.1.1 Type agent
# mipagentconfig change addr 10.1.1.1 SPI 259
# mipagentconfig change addr mobilenode@abc.com Type node
# mipagentconfig change addr mobilenode@abc.com SPI 258
# mipagentconfig change addr mobilenode@abc.com Pool 2
# mipagentconfig change addr node-default SPI 259
# mipagentconfig change addr node-default Pool 3
# mipagentconfig change addr 10.68.30.36 Type agent
# mipagentconfig change addr 10.68.30.36 SPI 260

So fügen einer Konfigurationsdatei Parameter hinzu bzw. löschen Parameter

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser auf dem System an, auf dem Sie Mobile IP aktivieren möchten.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Geben Sie für jedes Label, das Sie dem ausgewählten Abschnitt hinzufügen bzw. daraus löschen möchten, den entsprechenden Befehl ein:

   • Für den Abschnitt General verwenden Sie den folgenden Befehl:

     # mipagentconfig [add | delete] <label> <value>

   • Für den Abschnitt Advertisements verwenden Sie den folgenden Befehl:

     # mipagentconfig [add | delete] adv device-name <label> <value>

     ---

     Hinweis –

     Mit der folgenden Syntax können Sie eine Schnittstelle hinzufügen:

     # mipagentconfig add adv device-name

     In diesem Fall werden der Schnittstelle Standardwerte zugewiesen (sowohl für Foreign-Agent als auch Home-Agent).

     ---

   • Für den Abschnitt GlobalSecurityParameters verwenden Sie den folgenden Befehl:

     # mipagentconfig [add | delete] <label> <value>

   • Für den Abschnitt Pools verwenden Sie den folgenden Befehl:

     # mipagentconfig [add | delete] Pool pool-identifier <label> <value>

   • Für den Abschnitt SPI verwenden Sie den folgenden Befehl:

     # mipagentconfig [add | delete] SPI SPI-identifier <label> <value>

   • Für den Abschnitt Address verwenden Sie den folgenden Befehl:

     # mipagentconfig [add | delete] addr [NAI | IP-address | node-default] \ <label> <value>

   ---

   Hinweis –

   Erstellen Sie keine identischen Advertisements-, Pool-, SPI- und Address-Abschnitte.

   ---

Beispiel 28–7 Ändern der Dateiparameter

Um beispielsweise einen neuen Adresspool (Pool 11) zu erstellen, der die Basisadresse 192.167.1.1 und eine Größe von 100 besitzt, verwenden Sie die folgenden Befehle.

# mipagentconfig add Pool 11 BaseAddress 192.167.1.1 
# mipagentconfig add Pool 11 size 100

Beispiel 28–8 Löschen des SPI

Im folgenden Beispiel wird gezeigt, wie Sie den SPI-Sicherheitsparameter SPI 257 löschen

# mipagentconfig delete SPI 257

So zeigen Sie die aktuellen Parameterwerte in der Konfigurationsdatei an

Geben Sie den Befehl mipagentconfig get ein, um die aktuellen Einstellungen anzuzeigen, die den Parameterzielen zugeordnet sind.

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser auf dem System an, auf dem Sie Mobile IP aktivieren möchten.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Geben Sie für jeden Parameter, dessen Einstellungen angezeigt werden sollen, den folgenden Befehl ein:

   # mipagentconfig get [<parameter> | <label>]

   Wenn Sie beispielsweise die Advertisement-Einstellungen für das Gerät hme0 anzeigen möchten, geben Sie den folgenden Befehl ein:

   # mipagentconfig get adv hme0

   Als Ergebnis könnte die folgende Ausgabe angezeigt werden:

   [Advertisements hme0] HomeAgent = yes ForeignAgent = yes

Beispiel 28–9 Verwenden des Befehls mipagentconfig get zum Anzeigen von Parameterwerten

Im folgenden Beispiel ist das Ergebnis für den Befehl mipagentconfig get mit bestimmten Parameterzielen aufgeführt.

# mipagentconfig get MaxClockSkew
      [GlobalSecurityParameters]
         MaxClockSkew=300

# mipagentconfig get HA-FAauth
      [GlobalSecurityParameters]
         HA-FAauth=no

# mipagentconfig get MN-FAauth
      [GlobalSecurityParameters]
         MN-FAauth=no

# mipagentconfig get Challenge
      [GlobalSecurityParameters]
         Challenge=no

# mipagentconfig get Pool 10
      [Pool 10]
         BaseAddress=192.168.1.1
         Size=100

# mipagentconfig get SPI 257
      [SPI 257]
         Key=11111111111111111111111111111111
         ReplayMethod=none

# mipagentconfig get SPI 258
      [SPI 258]
         Key=15111111111111111111111111111111
         ReplayMethod=none

# mipagentconfig get addr 10.1.1.1
      [Address 10.1.1.1]
         SPI=258
         Type=agent

# mipagentconfig get addr 192.168.1.200
      [Address 192.168.1.200]
         SPI=257
         Type=node

Anzeigen des Mobility-Agent-Status

Geben Sie den Befehl mipagentstat ein, um die Besucherliste eines Foreign-Agent und die Bindungstabelle eines Home-Agent anzuzeigen. Status des Mobile IP Mobility-Agent enthält eine konzeptuelle Beschreibung der Verwendung des Befehls mipagentstat. Lesen Sie auch die Manpage mipagentstat(1M).

So zeigen Sie den Mobility-Agent-Status an

1. Melden Sie sich als Superuser oder mit einer entsprechenden Rolle beim System an, auf dem Sie Mobile IP aktivieren möchten.

   Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Zeigen Sie den Mobility-Agent-Status an.

   # mipagentstat options

   -f

   Zeigt die Liste der aktiven mobilen Knoten in der Besucherliste des Foreign-Agent an.

   -h

   Zeigte die Liste der aktiven mobilen Knoten in der Bindungstabelle des Home-Agent an.

   -p

   Zeigt die Liste der Sicherheitszuordnungen mit den Mobility-Agent-Peers des Agenten an.

Beispiel 28–10 Anzeigen des Mobility-Agent-Status

Im folgenden Beispiel wird gezeigt, wie Sie die Besucherliste aller mobilen Knoten aufführen, die bei einem Foreign-Agent registriert sind.

# mipagentstat -f

Als Ergebnis wird eine Ausgabe ähnlich der Folgenden angezeigt:

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  ha1.xyz.com    600          125       .....T.
10.1.5.23       10.1.5.1       1000         10        .....T.

Als Ergebnis wird eine Ausgabe ähnlich der Folgenden angezeigt:

Foreign                  ..... Security Association(s).....
Agent                    Requests Replies  FTunnel  RTunnel
----------------------   -------- -------- -------- --------
forn-agent.eng.sun.com   AH       AH       ESP      ESP

Im folgenden Beispiel wird gezeigt, wie die Sicherheitszuordnungen eines Home-Agent aufgeführt werden.

# mipagentstat -fp

Als Ergebnis wird eine Ausgabe ähnlich der Folgenden angezeigt:

Home                     ..... Security Association(s) .....
Agent                    Requests Replies  FTunnel  RTunnel
----------------------   -------- -------- -------- --------
home-agent.eng.sun.com   AH       AH       ESP      ESP
ha1.xyz.com              AH,ESP   AH       AH,ESP   AH,ESP

Anzeigen der Mobility-Routen auf einem Foreign-Agent

Geben Sie den Befehl netstat ein, um zusätzliche Informationen über quellenspezifische Routen anzuzeigen, die von Vorwärts- und Rücktunneln erstellt werden. Weitere Informationen zu diesem Befehl finden Sie in der Manpage netstat(1M).

So zeigen Sie die Mobility-Routen auf einem Foreign-Agent an

1. Melden Sie sich als Superuser oder mit einer entsprechenden Rolle beim System an, auf dem Sie Mobile IP aktivieren möchten.

   Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Zeigen Sie die Mobility-Routen an.

   # netstat -rn

Beispiel 28–11 Anzeigen der Mobility-Routen auf einem Foreign-Agent

Im folgenden Beispiel werden die Routen für einen Foreign-Agent angezeigt, der einen Rücktunnel verwendet.

Routing Table:   IPv4 Source-Specific     
Destination      In If     Source      Gateway Flags  Use  Out If
--------------  ------- ------------ --------- -----  ---- -------
10.6.32.11      ip.tun1      --      10.6.32.97  UH      0 hme1
    --          hme1    10.6.32.11       --      U       0 ip.tun1

Die erste Zeile gibt an, dass die IP-Zieladresse 10.6.32.11 und die Eingangsschnittstelle ip.tun1 die Schnittstelle hme1 zum Weiterleiten der Pakete auswählen. Die nächste Zeile gibt an, dass alle Pakete von der Schnittstelle hme1 und der Quelladresse 10.6.32.11 an ip.tun1 weitergeleitet werden müssen.

Kapitel 29 Mobile IP-Dateien und Befehle (Referenz)

In diesem Kapitel werden die Komponenten beschrieben, die mit der Solaris-Implementierung von Mobile IP bereitgestellt werden. Um Mobile IP zu verwenden, müssen Sie zunächst die Mobile IP-Konfigurationsdatei konfigurieren. Dazu verwenden Sie die in diesem Kapitel beschriebenen Parameter und Befehle.

Dieses Kapitel enthält die folgenden Informationen:

• Overview of the Solaris Mobile IP Implementation

• Mobile IP-Konfigurationsdatei

• Konfiguration des Mobility IP-Agent

• Status des Mobile IP Mobility-Agent

• Informationen zum Mobile IP-Status

• netstat-Erweiterungen für Mobile IP

• snoop-Erweiterungen für Mobile IP

Die Mobile IP-Funktion ist in Solaris 10-Aktualisierungen nach Solaris 10 8/07 nicht mehr vorhanden.

Overview of the Solaris Mobile IP Implementation

Die Mobility-Agent-Software bietet Leistungsmerkmale des Home-Agent und des Foreign-Agent. Die Solaris Mobile IP-Software bietet keinen mobilen Clientknoten. Es wird nur der Agent-Leistungsumfang bereitgestellt. Jedes Netzwerk mit Mobility-Unterstützung muss über mindestens einen statischen (nicht-mobilen) Host verfügen, der diese Software ausführt.

In der Solaris-Umsetzung von Mobile IP werden die folgenden RFC-Funktionen unterstützt:

• RFC 1918, „Address Allocation for Private Internets“

• RFC 2002, „IP Mobility Support“ (nur Agent)

• RFC 2003, „IP Encapsulation Within IP“

• RFC 2794, „Mobile IP Network Access Identifier Extension for IPv4“

• RFC 3012, „Mobile IPv4 Challenge/Response Extensions“

• RFC 3024, „Reverse Tunneling for Mobile IP“

Das allgemeine Mobile IP-Protokoll (RFC 2002) befasst sich nicht mit dem Problem der skalierbaren Schlüsselverteilung und behandelt die Schlüsselverteilung als ein orthogonales Problem. Die Solaris Mobile IP-Software verwendet nur manuell konfigurierte Schlüssel, die in einer Konfigurationsdatei angegeben sind.

Die folgenden RFC-Funktionen werden in der Solaris-Umsetzung von Mobile IP nicht unterstützt:

• RFC 1701, „General Routing Encapsulation“

• RFC 2004, „Minimal Encapsulation Within IP“

Die folgenden Funktionen werden in der Solaris-Umsetzung von Mobile IP nicht unterstützt:

• Das Weiterleiten von Multicast-Verkehr oder Broadcast-Verkehr vom Home-Agent zum Foreign-Agent eines mobilen Knotens, der ein Foreign-Netzwerk besucht

• Das Routing von Broadcast- und Multicast-Datagrammen über einen Rücktunnel

• Private Care-Of-Adressen oder private Home-Agent-Adressen

Weitere Informationen finden Sie in der Manpage mipagent(1M).

Mobile IP-Konfigurationsdatei

Beim Booten liest der Befehl mipagent Konfigurationsinformationen aus der Konfigurationsdatei /etc/inet/mipagent.conf ein. Mobile IP verwendet die Konfigurationsdatei /etc/inet/mipagent.conf zum Initialisieren des Mobile IP-Mobility-Agent. Wenn der Mobility-Agent konfiguriert ist und eingesetzt wird, sendet er in regelmäßigen Abständen Router Advertisement-Nachrichten und antwortet auf Solicitation-Nachrichten zur Router-Erkennung sowie auf Mobile IP-Registrierungsnachrichten.

Eine Beschreibung der Dateiattribute finden Sie in der Manpage mipagent.conf(4) Eine Beschreibung der Nutzung dieser Datei finden Sie in der Manpage mipagent(1M).

Format der Konfigurationsdatei

Die Mobile IP-Konfigurationsdatei besteht aus mehreren Abschnitten. Jeder Abschnitt hat einen einmaligen Namen und ist in eckige Klammern eingeschlossen. Jeder Abschnitt enthält mindestens ein Label. Sie können den Label mithilfe der folgenden Syntax Werte zuweisen:

[Section_name]
     Label-name = value-assigned

Abschnitte und Label in der Konfigurationsdatei enthält eine Beschreibung der Abschnittsnamen, Label und möglichen Werte.

Beispiele für die Konfigurationsdatei

Die standardmäßige Solaris-Installation enthält die folgenden Beispiel-Konfigurationsdateien in dem Verzeichnis /etc/inet:

• mipagent.conf-sample – Diese Datei enthält eine Beispielkonfiguration für einen Mobile IP-Agent, der den Leistungsumfang von Foreign-Agent und Home-Agent bereitstellt.

• mipagent.conf.fa-sample – Dieser Datei enthält eine Beispielkonfiguration für einen Mobile IP-Agent, der nur den Leistungsumfang eines Foreign-Agent bereitstellt.

• mipagent.conf.ha-sample – Dieser Datei enthält eine Beispielkonfiguration für einen Mobile IP-Agent, der nur den Leistungsumfang eines Home-Agent bereitstellt.

Diese Beispiel-Konfigurationsdateien enthalten die Adressen und Sicherheitseinstellungen eines mobilen Knotens. Bevor Sie Mobile IP implementieren können, müssen Sie eine Konfigurationsdatei mit der Bezeichnung mipagent.conf erstellen und in dem Verzeichnis /etc/inet speichern. Diese Datei enthält die Konfigurationseinstellungen, die Ihre Anforderungen an eine Mobile IP-Umsetzung erfüllen. Sie können auch eine der Beispiel-Konfigurationsdateien wählen und die Adress- und Sicherheitsangaben durch Ihre Angaben ersetzen und die Datei dann nach /etc/inet/mipagent.conf kopieren.

Weitere Informationen finden Sie unter So erstellen Sie eine Mobile IP-Konfigurationsdatei.

mipagent.conf-sample-Datei

Das folgende Listing zeigt die Abschnitte, Label und Werte in der Datei mipagent.conf-sample. Abschnitte und Label in der Konfigurationsdatei enthält eine Beschreibung der Syntax, Abschnitte, Label und Werte.

[General]
   Version = 1.0    # version number for the configuration file. (required)
   
[Advertisements hme0]
   HomeAgent = yes
   ForeignAgent = yes
   PrefixFlags = yes
   AdvertiseOnBcast = yes
   RegLifetime = 200
   AdvLifetime = 200
   AdvFrequency = 5
   ReverseTunnel = no
   ReverseTunnelRequired = no
   
[GlobalSecurityParameters]
   MaxClockSkew = 300
   HA-FAauth = yes
   MN-FAauth = yes
   Challenge = no
   KeyDistribution = files

[Pool 1]
   BaseAddress = 10.68.30.7
   Size = 4

[SPI 257]
   ReplayMethod = none
   Key = 11111111111111111111111111111111

[SPI 258]
   ReplayMethod = none
   Key = 15111111111111111111111111111111

[Address 10.1.1.1]
   Type = node
   SPI = 258

[Address mobilenode@sun.com]
   Type = node
   SPI = 257
   Pool = 1

[Address Node-Default]
   Type = node
   SPI = 258
   Pool = 1

[Address 10.68.30.36]
   Type = agent    
   SPI = 257

mipagent.conf.fa-sample-Datei

Das folgende Listing zeigt die Abschnitte, Label und Werte in der Datei mipagent.conf.fa-sample. Abschnitte und Label in der Konfigurationsdatei enthält eine Beschreibung der Syntax, Abschnitte, Label und Werte.

Die Datei mipagent.conf.fa-sample ist eine Konfigurationsdatei, die nur den Leistungsumfang eines Foreign-Agent bereitstellt. Diese Beispieldatei enthält keinen Pool-Abschnitt, da Pools nur von einem Home-Agent verwendet werden. Ansonsten entspricht diese Dateien der Datei mipagent.conf-sample.

[General]
   Version = 1.0    # version number for the configuration file. (required)
   
[Advertisements hme0]
   HomeAgent = no
   ForeignAgent = yes
   PrefixFlags = yes
   AdvertiseOnBcast = yes
   RegLifetime = 200
   AdvLifetime = 200
   AdvFrequency = 5
   ReverseTunnel = yes
   ReverseTunnelRequired = no
   
[GlobalSecurityParameters]
   MaxClockSkew = 300
   HA-FAauth = yes
   MN-FAauth = yes
   Challenge = no
   KeyDistribution = files

[SPI 257]
   ReplayMethod = none
   Key = 11111111111111111111111111111111

[SPI 258]
   ReplayMethod = none
   Key = 15111111111111111111111111111111

[Address 10.1.1.1]
   Type = node
   SPI = 258

[Address 10.68.30.36]
   Type = agent    
   SPI = 257

mipagent.conf.ha-sample-Datei

Das folgende Listing zeigt die Abschnitte, Label und Werte in der Datei mipagent.conf.ha-sample. Abschnitte und Label in der Konfigurationsdatei enthält eine Beschreibung der Syntax, Abschnitte, Label und Werte.

Die Datei mipagent.conf.ha-sample ist eine Konfigurationsdatei, die nur den Leistungsumfang eines Home-Agent bereitstellt. Ansonsten entspricht diese Dateien der Datei mipagent.conf-sample.

[General]
   Version = 1.0    # version number for the configuration file. (required)
   
[Advertisements hme0]
   HomeAgent = yes
   ForeignAgent = no
   PrefixFlags = yes
   AdvertiseOnBcast = yes
   RegLifetime = 200
   AdvLifetime = 200
   AdvFrequency = 5
   ReverseTunnel = yes
   ReverseTunnelRequired = no

[GlobalSecurityParameters]
   MaxClockSkew = 300
   HA-FAauth = yes
   MN-FAauth = yes
   Challenge = no
   KeyDistribution = files

[Pool 1]
   BaseAddress = 10.68.30.7
   Size = 4

[SPI 257]
   ReplayMethod = none
   Key = 11111111111111111111111111111111

[SPI 258]
   ReplayMethod = none
   Key = 15111111111111111111111111111111

[Address 10.1.1.1]
   Type = node
   SPI = 258

[Address mobilenode@sun.com]
   Type = node
   SPI = 257
   Pool = 1

[Address Node-Default]
   Type = node
   SPI = 258
   Pool = 1

Abschnitte und Label in der Konfigurationsdatei

Die Mobile IP-Konfigurationsdatei enthält die folgenden Abschnitte:

• General (Erforderlich)

• Advertisements (Erforderlich)

• GlobalSecurityParameters (Optional)

• Pool (Optional)

• SPI (Optional)

• Address (Optional)

Die Abschnitte General und GlobalSecurityParameters enthalten Informationen für den Betrieb des Mobile IP-Agent. Diese Abschnitte können nur einmal in einer Konfigurationsdatei erscheinen.

General

Der Abschnitt General enthält nur ein Label: die Versionsnummer der Konfigurationsdateien. Der Abschnitt General weist die folgende Syntax auf:

[General]
     Version = 1.0

Advertisements

Der Abschnitt Advertisements enthält die Label HomeAgent und ForeignAgent sowie weitere Label. Sie müssen für jede Schnittstelle auf dem lokalen Host, der Mobile IP-Services bereitstellt, einen eigenen Advertisements-Abschnitt einfügen. Der Abschnitt Advertisements weist die folgende Syntax auf:

[Advertisements interface]
     HomeAgent = <yes/no>
     ForeignAgent = <yes/no>
     .
     .

In der Regel verfügt Ihr System über eine Schnittstelle, z. B. eri0 oder hme0, und unterstützt sowohl Home-Agent- als auch Foreign-Agent-Vorgänge. Diese Situation für das Beispiel hme0 vorausgesetzt, wird den beiden Label HomeAgent und ForeignAgent der Wert yes zugeordnet:

[Advertisements hme0]
     HomeAgent = yes
     ForeignAgent = yes
     .
     .

Bei Advertisement-Nachrichten über dynamische Schnittstellen verwenden Sie '*' als Geräte-ID-Komponente. Beispielsweise weist Schnittstellenname ppp* darauf hin, dass alle PPP-Schnittstellen erst nach dem Start des mipagent-Daemon konfiguriert wurden. Alle Attribute im Advertisement-Abschnitt bleiben bei einer dynamischen Schnittstelle gleich.

In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt Advertisements verwenden können.

GlobalSecurityParameters

Der Abschnitt GlobalSecurityParameters enthält die Label maxClockSkew, HA-FAauth, MN-FAauth, Challenge und KeyDistribution. Dieser Abschnitt weist die folgende Syntax auf:

[GlobalSecurityParameters]
     MaxClockSkew = n
     HA-FAauth = <yes/no>
     MN-FAauth = <yes/no>
     Challenge = <yes/no>
     KeyDistribution = files

Das Mobile IP-Protokoll bietet einen Replay-Schutz, indem es Zeitmarken in die Nachrichten aufnimmt. Wenn die Zeiten abweichen, sendet der Home-Agent eine Fehlermeldung mit der aktuellen Zeit an den mobilen Knoten zurück, und der mobile Knoten kann unter Verwendung der aktuellen Zeit eine erneute Registrierung versuchen. Mit dem Label MaxClockSkew konfigurieren Sie die maximale Anzahl an Sekunden, um die die Uhren des Home-Agent und des mobilen Knoten abweichen dürfen. Der Standardwert beträgt 300 Sekunden.

Mit den Label HA-FAauth und MN-FAauth aktivieren oder deaktivieren Sie eine Anforderung nach einer Home-Foreign- und einer Mobile-Foreign-Authentifizierung. Der Standardwert ist deaktiviert. Mit dem Label challenge können Sie konfigurieren, dass bei Problemen am Foreign-Agent der mobile Knoten in seinen Advertisement-Nachrichten gefordert wird. Dieses Label dient als Replay-Schutz. Auch hier lautet der Standardwert deaktiviert.

In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt GlobalSecurityParameters verwenden können.

Pool

Mobilen Knoten können vom Home-Agent dynamische Adressen zugewiesen werden. Die dynamische Adresszuweisung erfolgt unabhängig von DHCP innerhalb des mipagent-Daemon. Sie können einen Adresspool erstellen, der von mobilen Knoten verwendet wird, die eine Home-Adresse anfordern. Adresspools werden im Pool-Abschnitt der Konfigurationsdatei konfiguriert.

Der Abschnitt Pool enthält die Label BaseAddress und Size. Der Abschnitt Pool weist die folgende Syntax auf:

[Pool pool-identifier]
     BaseAddress = IP-address
     Size = size

Wenn Sie einen Pool-Bezeichner verwenden, muss dieser auch im Abschnitt Address des mobilen Knotens vorhanden sein.

In dem Abschnitt Pool definieren Sie Adresspools, die den mobilen Knoten zugewiesen werden können. Mit dem Label BaseAddress richten Sie die erste IP-Adresse im Pool ein. Mit dem Label Size geben Sie die Anzahl an Adressen an, die im Pool verfügbar sind.

Wenn beispielsweise die IP-Adressen 192.168.1.1 bis 192.168.1.100 im Pool 10 reserviert sind, enthält der Abschnitt Pool den folgenden Eintrag:

[Pool 10]
     BaseAddress = 192.168.1.1
     Size = 100

Die Adressbereiche sollten die Broadcast-Adresse nicht einbeziehen. Beispielsweise sollten Sie nicht BaseAddress = 192.168.1.200 und Size = 60 zuweisen, da dieser Bereich die Broadcast-Adresse 192.168.1.255 enthält.

In der folgenden Tabelle sind die Label und Werte aufgeführt, die im Abschnitt Pool verwenden werden können.

SPI

Da das Mobile IP-Protokoll eine Nachrichtenauthentifizierung erfordert, müssen Sie den Sicherheitskontext mithilfe eines Security Parameter Index (SPI) identifizieren. Sie definieren den Sicherheitskontext im Abschnitt SPI. Sie müssen für jeden definierten Sicherheitskontext einen eigenen SPI-Abschnitt einfügen. Der Sicherheitskontext wird durch eine nummerische ID gekennzeichnet. Das Mobile IP-Protokoll reserviert die ersten 256 SPIs. Aus diesem Grunde sollten Sie nur SPI-Werte über 256 verwenden. Der Abschnitt SPI enthält sicherheitsbezogene Informationen wie Shared Secrets und Replay-Schutz.

Der Abschnitt SPI enthält darüber hinaus die Label ReplayMethod und Key. Der Abschnitt SPI weist die folgende Syntax auf:

[SPI SPI-identifier]
     ReplayMethod = <none/timestamps>
     Key = key

Zwei kommunizierende Peers müssen den gleichen SPI-Bezeichner verwenden. Sie müssen die Peers mit dem gleichen Schlüssel und der gleichen Wiedergabemethode konfigurieren. Den Schlüssel geben Sie als einen String mit hexadezimalen Zeichen ein. Die maximale Länge beträgt 16 Byte. Wenn der Schlüssel 16 Byte lang ist und die hexadezimalen Werte von 0 bis f enthält, könnte der Schlüssel-String wie folgt aussehen:

Key = 0102030405060708090a0b0c0d0e0f10

Der Schlüssel muss eine gerade Anzahl an Zeichen aufweisen, entsprechend den zwei Ziffern pro Byte-Darstellung.

In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt SPI verwenden können.

Address

In der Solaris-Implementierung von Mobile IP können Sie drei verschiedene Methoden zur Konfiguration von mobilen Knoten wählen. Jede Methode wird im Abschnitt Address konfiguriert. Die erste Methode folgt dem traditionellen Mobile IP-Protokoll und erfordert, dass jeder mobile Knoten über eine Home-Adresse verfügt. Bei der zweiten Methode wird ein mobiler Knoten über dessen Network Access Identifier (NAI) identifiziert. Beim letzten Verfahren konfigurieren Sie einen standardmäßigen mobilen Knoten, der von jedem mobilen Knoten verwendet werden kann, der über einen korrekten SPI-Wert und entsprechendes Schlüsselmaterial verfügt.

Mobiler Knoten

Der Abschnitt Address eines mobilen Knotens enthält die Label Type und SPI, mit denen der Adresstyp und der SPI-Bezeichner definiert werden. Der Abschnitt Address weist die folgende Syntax auf:

[Address address]
     Type = node
     SPI = SPI-identifier

Für jeden unterstützten mobilen Knoten müssen Sie einen Address-Abschnitt in die Konfigurationsdatei eines Home-Agent einfügen.

Wenn eine Mobile IP-Nachrichtenauthentifizierung zwischen Foreign-Agent und Home-Agent erforderlich ist, müssen Sie einen Address-Abschnitt für jeden Peer aufnehmen, mit dem ein Agent kommunizieren muss.

Der von Ihnen konfigurierte SPI-Wert muss einen in der Konfigurationsdatei vorhandenen SPI-Abschnitt darstellen.

Sie können auch private Adressen für einen mobilen Knoten konfigurieren.

In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt Address für einen mobilen Knoten verwenden können.

Mobility-Agent

Der Abschnitt Address eines Mobility-Agent enthält die Label Type und SPI, mit denen der Adresstyp und der SPI-Bezeichner definiert werden. Der Abschnitt Address für einen Mobility-Agenten besitzt die folgende Syntax:

[Address address]
     Type = agent
     SPI = SPI-identifier
     

Für jeden unterstützten Mobilty-Agent müssen Sie einen Address-Abschnitt in die Konfigurationsdatei eines Home-Agent einfügen.

Wenn eine Mobile IP-Nachrichtenauthentifizierung zwischen Foreign-Agent und Home-Agent erforderlich ist, müssen Sie einen Address-Abschnitt für jeden Peer aufnehmen, mit dem ein Agent kommunizieren muss.

Der von Ihnen konfigurierte SPI-Wert muss einen in der Konfigurationsdatei vorhandenen SPI-Abschnitt darstellen.

In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt Address für einen Mobility-Agent verwenden können.

Mobiler Knoten, der durch seinen NAI identifiziert wird

Der Address-Abschnitt eines mobilen Knotens, der durch seinen NAI identifiziert wird, enthält die Label Type, SPI und Pool. Mit dem NAI-Parameter können Sie mobile Knoten über deren NAI identifizieren. Der Abschnitt Address weist bei Verwendung des NAI-Parameters die folgende Syntax auf:

[Address NAI]
     Type = Node
     SPI = SPI-identifier
     Pool = pool-identifier

Zum Arbeiten mit Pools identifizieren Sie mobile Knoten über deren NAI. Mit dem Abschnitt Address können Sie einen NAI konfigurieren. Dies ist mit einer Home-Adresse nicht möglich. Ein NAI verwendet das Format Benutzer@Domäne. Mit dem Label Pool geben Sie den Adresspool an, der zum Zuweisen der Home-Adresse zum mobilen Knoten verwendet wird.

In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt Address eines mobilen Knotens verwenden können, der durch seinen NAI identifiziert wird.

Es müssen entsprechende SPI- und Pool-Abschnitte für die Label SPI und Pool vorhanden sein, die im durch den NAI identifizierten Address-Abschnitt eines mobilen Knotens definiert sind. Dies wird in der folgenden Abbildung verdeutlicht.

Abbildung 29–1 Entsprechende SPI- und Pool-Abschnitte für den Address-Abschnitt bei einem mobilen Knoten, der durch seinen NAI identifiziert wird

Standardmäßiger mobiler Knoten

Der Address-Abschnitt eines standardmäßigen mobilen Knotens enthält die Label Type, SPI und Pool. Mit dem Parameter Node-Default können Sie allen mobilen Knoten gestatten, einen Service zu beziehen, sofern sie den richtigen SPI aufweisen (definiert in diesem Abschnitt). Der Abschnitt Address weist bei Verwendung des Node-Default-Parameters die folgende Syntax auf:

[Address Node-Default]
     Type = Node
     SPI = SPI-identifier
     Pool = pool-identifier

Mit dem Parameter Node-Default können Sie die Größe der Konfigurationsdatei verringern. Andernfalls muss für jeden mobilen Knoten ein eigener Abschnitt vorhanden sein. Der Node-Default-Parameter stellt jedoch ein Sicherheitsrisiko dar. Wenn einem mobilen Knoten aus beliebigen Gründen nicht mehr vertraut wird, müssen Sie die Sicherheitsinformationen auf allen vertrauenswürdigen mobilen Knoten aktualisieren. Diese Aufgabe kann sehr aufwändig werden. Sie können den Node-Default-Parameter jedoch in Netzwerken verwenden, in denen Sicherheitsrisiken als vernachlässigbar angesehen werden.

In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt Address für einen standardmäßigen mobilen Knoten verwenden können.

Es müssen entsprechende SPI- und Pool-Abschnitte für die Label SPI und Pool vorhanden sein, die im Address-Abschnitt eines standardmäßigen mobilen Knotens definiert sind. Dies wird in der folgenden Abbildung verdeutlicht.

Abbildung 29–2 Entsprechende SPI- und Pool-Abschnitte für den Address-Abschnitt bei einem standardmäßigen mobilen Knoten

Konfiguration des Mobility IP-Agent

Mit dem Befehl mipagentconfig konfigurieren Sie den Mobility-Agent. Dabei können Sie jeden Parameter in der Konfigurationsdatei /etc/inet/mipagent.conf erstellen oder ändern. Außerdem können Sie jede Einstellung ändern, und Mobility-Clients, Pools und SPIs hinzufügen oder löschen. Der Befehl mipagentconfig weist die folgende Syntax auf:

# mipagentconfig <command> <parameter> <value>

In der folgenden Tabelle sind die Befehle aufgeführt, die Sie mit mipagentconfig zum Erstellen oder Ändern von Parametern in der Konfigurationsdatei /etc/inet/mipagent.conf verwenden können.

Eine Beschreibung der Befehlsparameter sowie der zulässigen Werte finden Sie in der Manpage mipagentconfig(1M) Ändern einer Mobile IP-Konfigurationsdatei beschreibt Verfahren, die Sie mit dem Befehl mipagentconfig verwenden können.

Status des Mobile IP Mobility-Agent

Geben Sie den Befehl mipagentstat ein, um die Besucherliste eines Foreign-Agent und die Bindungstabelle eines Home-Agent anzuzeigen. Sie können auch die Liste der Sicherheitszuordnungen mit den Mobility-Agent-Peers des Agenten anzeigen. Für die Besucherliste eines Foreign-Agent geben Sie den Befehl mipagentstat mit der Option -f ein. Um die Bindungstabelle eines Home-Agent anzuzeigen, geben Sie den Befehl mipagentstat mit der Option -h ein. Die folgenden Beispiele zeigen die typische Ausgabe, wenn der Befehl mipagentstat mit diesen Optionen verwendet wird.

Beispiel 29–1 Besucherliste eines Foreign-Agent

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  ha1.xyz.com    600          125       .....T.
10.1.5.23       10.1.5.1       1000         10        .....T.

Beispiel 29–2 Bindungstabelle eines Home-Agent

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  fa1.tuv.com    600          125       .....T.
10.1.5.23       123.2.5.12     1000         10        .....T.

Weitere Informationen zu den Befehlsoptionen finden Sie in der Manpage mipagentstat(1M) Anzeigen des Mobility-Agent-Status beschreibt Verfahren, die Sie mit dem Befehl mipagentstat verwenden können.

Informationen zum Mobile IP-Status

Beim Herunterfahren speichert der mipagent-Daemon interne Statusinformationen in der Datei /var/inet/mipagent_state. Dies findet jedoch nur dann statt, wenn der mipagent-Daemon Services als Home-Agent bereitstellt. Die Statusinformationen umfassen die Liste der mobilen Knoten, die als Home-Agent unterstützt werden, deren aktuelle Care-Of-Adressen sowie die verbleibenden Registrierungslebensdauern. Darüber hinaus umfassen sie die Konfiguration der Sicherheitszuordnungen mit den Mobility-Agent-Peers. Wenn der mipagent für Wartungszwecke beendet und neu gestartet wird, wird der interne Status des Mobility-Agents mit der Datei mipagent_state weitestgehend wiederhergestellt. Die Absicht ist, die Serviceunterbrechung für mobile Knoten, die anderen Netzwerke besuchen, zu minimieren. Wenn die Datei mipagent_state existiert, wird sie unmittelbar nach mipagent.conf eingelesen, wenn der mipagent-Daemon gestartet oder neugestartet wird.

netstat-Erweiterungen für Mobile IP

Dem Befehl netstat wurden Mobile IP-Erweiterungen hinzugefügt, um Mobile IP-Weiterleitungsrouten zu identifizieren. Insbesondere können Sie mit dem Befehl netstat eine neue Routing-Tabelle anzeichnen, die als „Source-Specific “ (quellenspezifisch) bezeichnet wird. Weitere Informationen finden Sie in der Manpage netstat(1M).

Im folgenden Beispiel wird die Ausgabe des Befehls netstat bei Verwendung der Flags -nr gezeigt.

Beispiel 29–3 Mobile IP-Ausgabe des Befehls netstat

Routing Table:   IPv4 Source-Specific     
Destination      In If     Source      Gateway Flags  Use  Out If
--------------  ------- ------------ --------- -----  ---- -------
10.6.32.11      ip.tun1      --      10.6.32.97  UH      0 hme1
    --          hme1    10.6.32.11       --      U       0 ip.tun1

Im Beispiel werden die Routen für einen Foreign-Agent angezeigt, der einen Rücktunnel verwendet. Die erste Zeile gibt an, dass die IP-Zieladresse 10.6.32.11 und die Eingangsschnittstelle ip.tun1 die Schnittstelle hme1 zum Weiterleiten der Pakete auswählen. Die nächste Zeile gibt an, dass alle Pakete von der Schnittstelle hme1 und der Quelladresse 10.6.32.11 an ip.tun1 weitergeleitet werden müssen.

snoop-Erweiterungen für Mobile IP

Dem Befehl snoop wurden Mobile IP-Erweiterungen hinzugefügt, um den Mobile IP-Verkehr auf dem Link zu identifizieren. Weitere Informationen finden Sie in der Manpage snoop(1M).

Im folgenden Beispiel wird die Ausgabe des Befehls snoop gezeigt, der auf dem mobilen Knoten mip-mn2 ausgeführt wird.

Beispiel 29–4 Mobile IP-Ausgabe des Befehls snoop

mip-mn2# snoop
Using device /dev/hme (promiscuous mode)
  mip-fa2 -> 224.0.0.1    ICMP Router advertisement (Lifetime 200s [1]: 
{mip-fa2-80 2147483648}), (Mobility Agent Extension), (Prefix Lengths), 
(Padding)
  mip-mn2 -> mip-fa2   Mobile IP reg rqst 
  mip-fa2 -> mip-mn2   Mobile IP reg reply (OK code 0)

In diesem Beispiel wird gezeigt, dass der mobile Knoten eine der regelmäßig vom Foreign-Agent mip-fa2 gesendeten Mobility Agent Advertisement-Nachrichten empfangen hat. Dann sendet mip-mn2 eine Registrierungsanforderung an mip-fa2 und empfängt eine Registrierungsantwort als Antwort. Die Registrierungsantwort kennzeichnet, dass der mobile Knoten erfolgreich bei seinem Home-Agent registriert wurde.