Die Mobile IP-Konfigurationsdatei enthält die folgenden Abschnitte:
General (Erforderlich)
Advertisements (Erforderlich)
GlobalSecurityParameters (Optional)
Pool (Optional)
SPI (Optional)
Address (Optional)
Die Abschnitte General und GlobalSecurityParameters enthalten Informationen für den Betrieb des Mobile IP-Agent. Diese Abschnitte können nur einmal in einer Konfigurationsdatei erscheinen.
Der Abschnitt General enthält nur ein Label: die Versionsnummer der Konfigurationsdateien. Der Abschnitt General weist die folgende Syntax auf:
[General] Version = 1.0 |
Der Abschnitt Advertisements enthält die Label HomeAgent und ForeignAgent sowie weitere Label. Sie müssen für jede Schnittstelle auf dem lokalen Host, der Mobile IP-Services bereitstellt, einen eigenen Advertisements-Abschnitt einfügen. Der Abschnitt Advertisements weist die folgende Syntax auf:
[Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> . . |
In der Regel verfügt Ihr System über eine Schnittstelle, z. B. eri0 oder hme0, und unterstützt sowohl Home-Agent- als auch Foreign-Agent-Vorgänge. Diese Situation für das Beispiel hme0 vorausgesetzt, wird den beiden Label HomeAgent und ForeignAgent der Wert yes zugeordnet:
[Advertisements hme0] HomeAgent = yes ForeignAgent = yes . . |
Bei Advertisement-Nachrichten über dynamische Schnittstellen verwenden Sie '*' als Geräte-ID-Komponente. Beispielsweise weist Schnittstellenname ppp* darauf hin, dass alle PPP-Schnittstellen erst nach dem Start des mipagent-Daemon konfiguriert wurden. Alle Attribute im Advertisement-Abschnitt bleiben bei einer dynamischen Schnittstelle gleich.
In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt Advertisements verwenden können.
Tabelle 29–1 Advertisements-Abschnitt, Label und Werte
Der Abschnitt GlobalSecurityParameters enthält die Label maxClockSkew, HA-FAauth, MN-FAauth, Challenge und KeyDistribution. Dieser Abschnitt weist die folgende Syntax auf:
[GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files |
Das Mobile IP-Protokoll bietet einen Replay-Schutz, indem es Zeitmarken in die Nachrichten aufnimmt. Wenn die Zeiten abweichen, sendet der Home-Agent eine Fehlermeldung mit der aktuellen Zeit an den mobilen Knoten zurück, und der mobile Knoten kann unter Verwendung der aktuellen Zeit eine erneute Registrierung versuchen. Mit dem Label MaxClockSkew konfigurieren Sie die maximale Anzahl an Sekunden, um die die Uhren des Home-Agent und des mobilen Knoten abweichen dürfen. Der Standardwert beträgt 300 Sekunden.
Mit den Label HA-FAauth und MN-FAauth aktivieren oder deaktivieren Sie eine Anforderung nach einer Home-Foreign- und einer Mobile-Foreign-Authentifizierung. Der Standardwert ist deaktiviert. Mit dem Label challenge können Sie konfigurieren, dass bei Problemen am Foreign-Agent der mobile Knoten in seinen Advertisement-Nachrichten gefordert wird. Dieses Label dient als Replay-Schutz. Auch hier lautet der Standardwert deaktiviert.
In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt GlobalSecurityParameters verwenden können.
Tabelle 29–2 GlobalSecurityParameters -Abschnitt, Label und Werte
Mobilen Knoten können vom Home-Agent dynamische Adressen zugewiesen werden. Die dynamische Adresszuweisung erfolgt unabhängig von DHCP innerhalb des mipagent-Daemon. Sie können einen Adresspool erstellen, der von mobilen Knoten verwendet wird, die eine Home-Adresse anfordern. Adresspools werden im Pool-Abschnitt der Konfigurationsdatei konfiguriert.
Der Abschnitt Pool enthält die Label BaseAddress und Size. Der Abschnitt Pool weist die folgende Syntax auf:
[Pool pool-identifier] BaseAddress = IP-address Size = size |
Wenn Sie einen Pool-Bezeichner verwenden, muss dieser auch im Abschnitt Address des mobilen Knotens vorhanden sein.
In dem Abschnitt Pool definieren Sie Adresspools, die den mobilen Knoten zugewiesen werden können. Mit dem Label BaseAddress richten Sie die erste IP-Adresse im Pool ein. Mit dem Label Size geben Sie die Anzahl an Adressen an, die im Pool verfügbar sind.
Wenn beispielsweise die IP-Adressen 192.168.1.1 bis 192.168.1.100 im Pool 10 reserviert sind, enthält der Abschnitt Pool den folgenden Eintrag:
[Pool 10] BaseAddress = 192.168.1.1 Size = 100 |
Die Adressbereiche sollten die Broadcast-Adresse nicht einbeziehen. Beispielsweise sollten Sie nicht BaseAddress = 192.168.1.200 und Size = 60 zuweisen, da dieser Bereich die Broadcast-Adresse 192.168.1.255 enthält.
In der folgenden Tabelle sind die Label und Werte aufgeführt, die im Abschnitt Pool verwenden werden können.
Tabelle 29–3 Pool-Abschnitt, Label und Werte
Bezeichnung |
Wert |
Beschreibung |
---|---|---|
BaseAddress |
n.n.n.n | |
Size |
n |
Da das Mobile IP-Protokoll eine Nachrichtenauthentifizierung erfordert, müssen Sie den Sicherheitskontext mithilfe eines Security Parameter Index (SPI) identifizieren. Sie definieren den Sicherheitskontext im Abschnitt SPI. Sie müssen für jeden definierten Sicherheitskontext einen eigenen SPI-Abschnitt einfügen. Der Sicherheitskontext wird durch eine nummerische ID gekennzeichnet. Das Mobile IP-Protokoll reserviert die ersten 256 SPIs. Aus diesem Grunde sollten Sie nur SPI-Werte über 256 verwenden. Der Abschnitt SPI enthält sicherheitsbezogene Informationen wie Shared Secrets und Replay-Schutz.
Der Abschnitt SPI enthält darüber hinaus die Label ReplayMethod und Key. Der Abschnitt SPI weist die folgende Syntax auf:
[SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key |
Zwei kommunizierende Peers müssen den gleichen SPI-Bezeichner verwenden. Sie müssen die Peers mit dem gleichen Schlüssel und der gleichen Wiedergabemethode konfigurieren. Den Schlüssel geben Sie als einen String mit hexadezimalen Zeichen ein. Die maximale Länge beträgt 16 Byte. Wenn der Schlüssel 16 Byte lang ist und die hexadezimalen Werte von 0 bis f enthält, könnte der Schlüssel-String wie folgt aussehen:
Key = 0102030405060708090a0b0c0d0e0f10 |
Der Schlüssel muss eine gerade Anzahl an Zeichen aufweisen, entsprechend den zwei Ziffern pro Byte-Darstellung.
In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt SPI verwenden können.
Tabelle 29–4 SPI-Abschnitt, Label und Werte
Bezeichnung |
Wert |
Beschreibung |
---|---|---|
ReplayMethod |
none oder timestamps |
Gibt die Art der für die SPI verwendeten Authentifizierung für ein Replay an. |
Key |
x |
In der Solaris-Implementierung von Mobile IP können Sie drei verschiedene Methoden zur Konfiguration von mobilen Knoten wählen. Jede Methode wird im Abschnitt Address konfiguriert. Die erste Methode folgt dem traditionellen Mobile IP-Protokoll und erfordert, dass jeder mobile Knoten über eine Home-Adresse verfügt. Bei der zweiten Methode wird ein mobiler Knoten über dessen Network Access Identifier (NAI) identifiziert. Beim letzten Verfahren konfigurieren Sie einen standardmäßigen mobilen Knoten, der von jedem mobilen Knoten verwendet werden kann, der über einen korrekten SPI-Wert und entsprechendes Schlüsselmaterial verfügt.
Der Abschnitt Address eines mobilen Knotens enthält die Label Type und SPI, mit denen der Adresstyp und der SPI-Bezeichner definiert werden. Der Abschnitt Address weist die folgende Syntax auf:
[Address address] Type = node SPI = SPI-identifier |
Für jeden unterstützten mobilen Knoten müssen Sie einen Address-Abschnitt in die Konfigurationsdatei eines Home-Agent einfügen.
Wenn eine Mobile IP-Nachrichtenauthentifizierung zwischen Foreign-Agent und Home-Agent erforderlich ist, müssen Sie einen Address-Abschnitt für jeden Peer aufnehmen, mit dem ein Agent kommunizieren muss.
Der von Ihnen konfigurierte SPI-Wert muss einen in der Konfigurationsdatei vorhandenen SPI-Abschnitt darstellen.
Sie können auch private Adressen für einen mobilen Knoten konfigurieren.
In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt Address für einen mobilen Knoten verwenden können.
Tabelle 29–5 Address-Abschnitt, Label und Werte (mobiler Knoten)
Bezeichnung |
Wert |
Beschreibung |
---|---|---|
Type |
Knoten | |
SPI |
n |
Der Abschnitt Address eines Mobility-Agent enthält die Label Type und SPI, mit denen der Adresstyp und der SPI-Bezeichner definiert werden. Der Abschnitt Address für einen Mobility-Agenten besitzt die folgende Syntax:
[Address address] Type = agent SPI = SPI-identifier |
Für jeden unterstützten Mobilty-Agent müssen Sie einen Address-Abschnitt in die Konfigurationsdatei eines Home-Agent einfügen.
Wenn eine Mobile IP-Nachrichtenauthentifizierung zwischen Foreign-Agent und Home-Agent erforderlich ist, müssen Sie einen Address-Abschnitt für jeden Peer aufnehmen, mit dem ein Agent kommunizieren muss.
Der von Ihnen konfigurierte SPI-Wert muss einen in der Konfigurationsdatei vorhandenen SPI-Abschnitt darstellen.
In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt Address für einen Mobility-Agent verwenden können.
Tabelle 29–6 Address-Abschnitt, Label und Werte (Mobility-Agent)
Bezeichnung |
Wert |
Beschreibung |
---|---|---|
Type |
agent |
Gibt an, dass der Eintrag für einen Mobility-Agent gilt. |
SPI |
n |
Gibt den SPI-Wert für den zugehörigen Eintrag an. |
Der Address-Abschnitt eines mobilen Knotens, der durch seinen NAI identifiziert wird, enthält die Label Type, SPI und Pool. Mit dem NAI-Parameter können Sie mobile Knoten über deren NAI identifizieren. Der Abschnitt Address weist bei Verwendung des NAI-Parameters die folgende Syntax auf:
[Address NAI] Type = Node SPI = SPI-identifier Pool = pool-identifier |
Zum Arbeiten mit Pools identifizieren Sie mobile Knoten über deren NAI. Mit dem Abschnitt Address können Sie einen NAI konfigurieren. Dies ist mit einer Home-Adresse nicht möglich. Ein NAI verwendet das Format Benutzer@Domäne. Mit dem Label Pool geben Sie den Adresspool an, der zum Zuweisen der Home-Adresse zum mobilen Knoten verwendet wird.
In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt Address eines mobilen Knotens verwenden können, der durch seinen NAI identifiziert wird.
Tabelle 29–7 Address-Abschnitt, Label und Werte (mobiler Knoten, der durch seinen NAI identifiziert wird)
Bezeichnung |
Wert |
Beschreibung |
---|---|---|
Type |
Knoten | |
SPI |
n | |
Pool |
n |
Weist den Pool zu, aus dem einem mobilen Knoten eine Adresse zugewiesen wird. |
Es müssen entsprechende SPI- und Pool-Abschnitte für die Label SPI und Pool vorhanden sein, die im durch den NAI identifizierten Address-Abschnitt eines mobilen Knotens definiert sind. Dies wird in der folgenden Abbildung verdeutlicht.
Der Address-Abschnitt eines standardmäßigen mobilen Knotens enthält die Label Type, SPI und Pool. Mit dem Parameter Node-Default können Sie allen mobilen Knoten gestatten, einen Service zu beziehen, sofern sie den richtigen SPI aufweisen (definiert in diesem Abschnitt). Der Abschnitt Address weist bei Verwendung des Node-Default-Parameters die folgende Syntax auf:
[Address Node-Default] Type = Node SPI = SPI-identifier Pool = pool-identifier |
Mit dem Parameter Node-Default können Sie die Größe der Konfigurationsdatei verringern. Andernfalls muss für jeden mobilen Knoten ein eigener Abschnitt vorhanden sein. Der Node-Default-Parameter stellt jedoch ein Sicherheitsrisiko dar. Wenn einem mobilen Knoten aus beliebigen Gründen nicht mehr vertraut wird, müssen Sie die Sicherheitsinformationen auf allen vertrauenswürdigen mobilen Knoten aktualisieren. Diese Aufgabe kann sehr aufwändig werden. Sie können den Node-Default-Parameter jedoch in Netzwerken verwenden, in denen Sicherheitsrisiken als vernachlässigbar angesehen werden.
In der folgenden Tabelle sind die Label und Werte aufgeführt, die Sie im Abschnitt Address für einen standardmäßigen mobilen Knoten verwenden können.
Tabelle 29–8 Address-Abschnitt, Label und Werte (standardmäßiger mobiler Knoten)
Bezeichnung |
Wert |
Beschreibung |
---|---|---|
Type |
Knoten | |
SPI |
n | |
Pool |
n |
Weist den Pool zu, aus dem einem mobilen Knoten eine Adresse zugewiesen wird. |
Es müssen entsprechende SPI- und Pool-Abschnitte für die Label SPI und Pool vorhanden sein, die im Address-Abschnitt eines standardmäßigen mobilen Knotens definiert sind. Dies wird in der folgenden Abbildung verdeutlicht.