Kapitel 27 Mobile IP (Übersicht)

Mobile Internet Protocol (IP) ermöglicht die Übertragung von Informationen zwischen mobilen Computern. Mobile Computer sind beispielsweise Laptops und drahtlose Kommunikationsgeräte. Ein mobiler Computer kann seinen Standort zu einem fremden Netzwerk wechseln. Auch in einem solchen Foreign-Netzwerk kann der mobile Computer über das Home-Netzwerk des mobilen Computers kommunizieren. Die Solaris-Implementierung von Mobile IP unterstützt nur IPv4.

Dieses Kapitel enthält die folgenden Informationen:

• Einführung in Mobile IP

• Mobile IP-Funktionseinheiten

• Arbeitsweise von Mobile IP

• Agent-Erkennung

• Care-of-Adressen

• Mobile IP mit Rücktunnel

• Mobile IP-Registrierung

• Routen von Datagrammen von und an mobile Knoten

• Sicherheitsbetrachtungen für Mobile IP

Aufgaben im Zusammenhang mit Mobile IP befinden Sie in Kapitel 28Verwalten von Mobile IP (Aufgaben). Referenzmaterial zu Mobile IP finden Sie in Kapitel 29Mobile IP-Dateien und Befehle (Referenz).

Neuerungen bei Mobile IP

Die Mobile IP-Funktion ist in Solaris 10-Aktualisierungen nach Solaris 10 8/07 nicht mehr vorhanden.

Einführung in Mobile IP

Aktuelle Versionen des Internet Protocol (IP) gehen davon aus, dass der Punkt, an dem ein Computer mit dem Internet oder einem Netzwerk verbunden ist, feststehend ist. Darüber hinaus geht IP davon aus, dass die IP-Adresse eines Computers das Netzwerk angibt, an das der Computer angeschlossen ist. An einen Computer gesendete Datagramme basieren auf den in der IP-Adresse enthaltenen Standortinformationen. Viele Internetprotokolle beruhen darauf, dass die IP-Adresse eines Knotens unverändert bleibt. Wenn eines dieser Protokolle auf einem Mobile IP-Computer ausgeführt wird, schlagen dessen Anwendungen fehl. Selbst HTTP würde fehlschlagen, und sei es nur aufgrund der kurzlebigen TCP-Verbindungen. Das Aktualisieren von IP-Adresse und Webseite stellt keine Belastung dar.

Wird ein mobiler Computer oder, anders gesagt, ein mobiler Knoten in ein anderes Netzwerk verschoben und bleibt die IP-Adresse gleich, so spiegelt die Adresse des mobilen Knotens den neuen Anschlusspunkt nicht korrekt wider. Entsprechend können vorhandene Routing-Protokolle Datagramme nicht korrekt zum mobilen Knoten leiten. Der mobile Knoten muss eine neue IP-Adresse erhalten, die den neuen Standort korrekt widerspiegelt. Das Zuweisen einer anderen IP-Adresse ist jedoch recht umständlich. Daher verliert ein mobiler Knoten das Routing, wenn er unter dem aktuellen Internet Protocol ohne eine Änderung seiner Adresse verschoben wird. Ändert der mobile Knoten jedoch seine Adresse, verliert er die Verbindungen.

Die Lösung dieses Problems ist Mobile IP. Mit Mobile IP kann ein mobiler Knoten zwei IP-Adressen verwenden. Die primäre Adresse ist eine feststehende Home-Adresse. Die sekundäre Adresse ist eine Care-Of-Adresse, die sich mit jedem neuen Anschlusspunkt ändert. Mobile IP gestattet einem Computer freies Roamen im Internet und im Netzwerk einer Organisation, während die gleiche Home-Adresse beibehalten wird. Entsprechend werden bestehende Kommunikationen nicht unterbrochen, wenn der Benutzer den Anschlusspunkt des Computers ändert. Stattdessen wird das Netzwerk mit dem neuen Standort des mobilen Knotens aktualisiert. Definitionen der Begriffe im Zusammenhang mit Mobile IP finden Sie im Glossar.

Die folgende Abbildung zeigt eine allgemeine Mobile IP-Topologie.

Abbildung 27–1 Mobile IP-Topologie

Wenn die in der Abbildung gezeigte Mobile IP-Topologie zu Grunde gelegt wird, zeigt das folgende Szenario, wie sich ein Datagramm von einem Punkt im Mobile IP-Framework zum anderen bewegt:

1. Der Internet-Host sendet unter Angabe der Home-Adresse des mobilen Knotens ein Datagramm an den mobilen Knoten (normaler IP-Routing-Prozess).

2. Befindet sich der mobile Knoten in seinem Home-Netzwerk, wird das Datagramm über den normalen IP-Prozess an den mobilen Knoten zugestellt. Andernfalls erhält der Home-Agent das Datagramm.

3. Befindet sich der mobile Knoten in einem Foreign-Netzwerk, leitete der Home-Agent das Datagramm an den Foreign-Agent weiter. Dazu muss der Home-Agent das Datagramm in ein äußeres Datagramm einkapseln, so dass die IP-Adresse des Foreign-Agent im äußeren IP-Header erscheint.

4. Der Foreign-Agent leitet das Datagramm an den mobilen Knoten weiter.

5. Datagramme vom mobilen Knoten an den Internet-Host werden unter Verwendung der normalen IP-Routing-Verfahren gesendet. Befindet sich der mobile Knoten in einem Foreign-Netzwerk, werden die Pakete an den Foreign-Agent gesendet. Der Foreign-Agent leitet das Datagramm an den Internet-Host weiter.

6. Wenn eine Filterung für eingehende Pakete durchgeführt wird, muss die Quelladresse topologisch korrekt für das Teilnetz sein, aus dem das Datagramm stammt, andernfalls kann der Router das Datagramm nicht weiterleiten. Wenn dieses Szenario für Verbindungen zwischen dem mobilen Knoten und dem korrespondierenden Knoten zutrifft, muss der Foreign-Agent eine Unterstützung für den Rücktunnel bieten. Erst dann kann der Foreign-Agent jedes vom mobilen Knoten gesendete Datagramm an seinen Home-Agent weiterleiten. Der Home-Agent leitet das Datagramm dann über den Pfad weiter, den es genommen hätte, wenn sich der mobile Knoten im Home-Netzwerk befinden würde. Dieser Prozess garantiert, dass die Quelladresse für alle Verbindungen korrekt ist, die das Datagramm durchlaufen muss.

Bei einer drahtlosen Kommunikation zeigt Abbildung 27–1, wie drahtlose Transceiver das Datagramm an den mobilen Knoten übertragen. Darüber hinaus verwenden alle Datagramme zwischen dem Internet-Host und dem mobilen Knoten die Home-Adresse des mobilen Knoten. Die Home-Adresse wird auch dann verwendet, wenn sich der mobile Knoten im Foreign-Netzwerk befindet. Die Care-Of-Adresse wird nur für Kommunikationen mit Mobility-Agents verwendet. Die Care-Of-Adresse ist für den Internet-Host unsichtbar.

Mobile IP-Funktionseinheiten

Mobile IP führt die folgenden neuen Funktionseinheit ein:

• Mobiler Knoten (Mobile Node, MN) – Ein Host oder Router, der seinen Anschlusspunkt von einem Netzwerk zu einem anderen ändern und dabei alle vorhandenen Verbindungen mithilfe seiner IP-Home-Adresse beibehalten kann.

• Home-Agent (HA) – Ein Router oder Server im Home-Netzwerk eines mobilen Knotens. Der Router fängt Datagramme ab, die an den mobilen Knoten gerichtet sind, und leitet sie an die Care-Of-Adresse weiter. Der Home-Agent pflegt darüber hinaus die aktuellen Informationen zum Standort des mobilen Knotens.

• Foreign-Agent (FA) – Ein Router oder Server im Foreign-Netzwerk, das der mobile Knoten besucht. Stellt die Host-Routing-Services für den mobilen Knoten zur Verfügung. Der Foreign-Agent kann darüber hinaus eine Care-Of-Adresse für den mobilen Knoten bereitstellen, solange dieser im Netzwerk registriert ist.

Arbeitsweise von Mobile IP

Mobile IP ermöglicht das Routing von IP-Datagrammen an mobile Knoten. Die Home-Adresse des mobilen Knotens identifiziert den mobilen Knoten ungeachtet des Netzwerks, an das er angeschlossen ist. Befindet sich der mobile Knoten nicht in seinem Home-Netzwerk, wird über die Home-Adresse des mobilen Knotens eine Care-Of-Adresse zugewiesen. Die Care-Of-Adresse enthält Informationen zum aktuellen Anschlusspunkt des mobilen Knotens. Mobile IP verwendet einen Registrierungsmechanismus, um die Care-Of-Adresse beim Home-Agent zu registrieren.

Der Home-Agent leitet Datagramme vom Home-Netzwerk an die Care-Of-Adresse weiter. Der Home-Agent konstruiert einen neuen IP-Header, der die Care-Of-Adresse des mobilen Knotens als IP-Zieladresse enthält. Dieser neue Header kapselt das originale IP-Datagramm ein. Entsprechend hat die Home-Adresse des mobilen Knotens keine Auswirkungen auf das Routing eines gekapselten Datagramms, bis das Diagramm an der Care-Of-Adresse eintrifft. Diese Art Kapselung wird als Tunneling bezeichnet. Nachdem das Datagramm an der Care-Of-Adresse eingetroffen ist, wird es entkapselt. Dann wird es an den mobilen Knoten zugestellt.

Die folgende Abbildung zeigt einen mobilen Knoten, der sich in seinem Home-Netzwerk (Netzwerk A) befindet. Dann wird der mobile Knoten in ein Foreign-Netzwerk (Netzwerk B) bewegt. Beide Netzwerke unterstützen Mobile IP. Der mobile Knoten ist stets der Home-Adresse des mobilen Knotens (128.226.3.30) zugeordnet.

Abbildung 27–2 Mobiler Knoten im Home-Netzwerk

Die folgende Abbildung zeigt einen mobilen Knoten, der in ein Foreign-Netzwerk (Netzwerk B) bewegt wurde. Datagramme für den mobilen Knoten werden vom Home-Agent im Home-Netzwerk (Netzwerk A) abgefangen und gekapselt. Dann werden die Datagramme an den Foreign-Agent im Netzwerk B gesendet. Der Foreign-Agent streift den äußeren Header ab, und das Datagramm an den mobilen Knoten zu, der sich im Netzwerk B befindet.

Abbildung 27–3 Mobiler Knoten wird in ein Foreign-Netzwerk bewegt

Die Care-Of-Adresse kann zu einem Foreign-Agent gehören. Die Care-Of-Adresse kann vom mobilen Knoten über das Dynamic Host Configuration Protocol (DHCP) oder das Point-to-Point Protocol (PPP) bezogen worden sein. Bei Letzteren spricht man davon, dass der mobile Knoten eine co-located Care-Of-Adresse hat (die lokalen Router können nicht unterscheiden, ob der Knoten mobil oder stationär ist).

Mobility-Agents (Home-Agents und Foreign-Agents) geben ihr Vorhandensein mithilfe von Agent Advertisement-Nachrichten bekannt. Optional kann ein mobiler Knoten eine Agent Advertisement-Nachricht anfordern. Der mobile Knoten kann jeden Mobility-Agent verwenden, der über eine Agent Solicitation-Nachricht lokal angeschlossen ist. Ein mobiler Knoten verwendet die Agent Advertisement-Nachrichten, um festzustellen, ob sich der mobile Knoten in einem Home-Netzwerk oder in einem Foreign-Netzwerk befindet.

Der mobile Knoten verwendet einen speziellen Registrierungsprozess, um den Home-Agent über seinen aktuellen Standort zu informieren. Der mobile Knoten „überwacht“ ständig, ob Mobility Agents ihr Vorhandensein bekannt geben. Diese Advertisement-Nachrichten verwendet der mobile Knoten, um festzustellen, ob er sich in ein anderes Teilnetz bewegt hat. Stellt der mobile Knoten fest, dass er seinen Standort geändert hat, verwendet er den neuen Foreign-Agent, um eine Registrierungsnachricht an den Home-Agent zu senden. Den gleichen Prozess verwendet der mobile Knoten, wenn er sich von einem Foreign-Netzwerk in ein anderes Foreign-Netzwerk bewegt.

Erkennt der mobile Knoten, dass er sich im Home-Netzwerk befindet, verwendet er die Mobility-Services nicht länger. Kehrt der mobile Knoten in sein Home-Netzwerk zurück, hebt er die Registrierung beim Home-Agent auf.

Agent-Erkennung

Ein mobiler Knoten verwendet eine Methode mit der Bezeichnung Agent-Erkennung (Agent Discoverty), um Folgendes festzustellen:

• Ob sich der Knoten von einem Netzwerk in ein anderes bewegt hat

• Ob es sich bei dem Netzwerk um das Home-Netzwerk oder um ein Foreign-Netzwerk handelt

• Die Care-Of-Adresse des Foreign-Agent, die von jedem Foreign-Agent in diesem Netzwerk angeboten wird

• Mobility-Services, die vom Mobility-Agent bereitgestellt werden. Sie werden als Flags und zusätzliche Erweiterungen in den Agent Advertisement-Nachrichten bekannt gegeben.

Mobility-Agents senden Agent Advertisement-Nachrichten, um ihre Services in einem Netzwerk bekannt zu geben. Wenn keine Agent Advertisement-Nachrichten vorhanden sind, kann ein mobiler Knoten Advertisement-Nachrichten auch anfordern. Diese Fähigkeit wird als Agent Solicitation bezeichnet. Wenn ein mobiler Knoten in der Lage ist, seine eigene co-located Care-Of-Adresse zu unterstützen, kann er normale Router Advertisement-Nachrichten für die gleichen Zwecke verwenden.

Agent Advertisement

Mobile Knoten verwenden Agent Advertisement-Nachrichten, um den aktuellen Anschlusspunkt zum Internet oder dem Netzwerk einer Organisation zu ermitteln. Eine Agent Advertisement-Nachricht ist eine Internet Control Message Protocol (ICMP) Router-Advertisement, die erweitert wurde, so dass sie die Erweitung einer Mobility Agent Advertisement aufnehmen kann.

Ein Foreign-Agent (FA) ist eventuell zu beschäftigt, um weitere mobile Knoten zu bedienen. Dennoch muss ein Foreign-Agent weiterhin Agent Advertisement-Nachrichten senden. An diesen Nachrichten erkennt ein mobile Knoten, der bereits beim Foreign-Agent registriert ist, dass er sich nicht aus dem Bereich des Foreign-Agent bewegt hat. Außerdem erkennt der mobile Knoten, dass der Foreign-Agent nicht ausgefallen ist. Ein mobiler Knoten, der bei einem Foreign-Agent registriert ist, von dem er keine Agent Advertisement-Nachrichten mehr erhält, erkennt wahrscheinlich, dass diesen Foreign-Agent nicht mehr kontaktieren kann.

Agent Advertisement-Nachrichten über dynamische Schnittstellen

Sie können die Implementierung eines Foreign-Agent so konfigurieren, dass die Agent Advertisement-Nachrichten über dynamisch erstellte Schnittstellen gesendet werden. Dazu stehen Ihnen Optionen zur Verfügung, mit denen Sie eingeschränkte, unaufgeforderte Advertisement-Nachrichten über die bekannt gebenden Schnittstellen aktivieren oder deaktivieren können. Dynamisch erstellte Schnittstellen sind Schnittstellen, die nach dem Start des mipagent-Daemons konfiguriert werden. Eine Advertisement-Nachricht über dynamische Schnittstellen eignet sich insbesondere für Anwendungen, die nichtstationäre Mobility-Schnittstellen unterstützen. Darüber hinaus wird durch das Einschränken von unaufgeforderten Advertisement-Nachrichten Netzwerkbandbreite eingespart.

Agent Solicitation

Jeder mobile Knoten sollte die Agent Solicitation unterstützen. Mobile Knoten verwenden die gleichen Verfahren, Standardeinstellungen und Konstanten für die Agent Solicitation, die für die Solicitation-Nachrichten von ICMP-Routern vorgegeben sind.

Die Häufigkeit, mit der ein mobiler Knoten Solicitation-Nachrichten sendet, wird durch den mobilen Knoten begeschränkt. Der mobile Knoten kann drei erste Solicitation-Nachrichten mit einer maximalen Häufigkeit von einer Nachricht pro Sekunde senden, während er nach einem Agenten sucht. Nachdem der mobile Knoten bei einem Agenten registriert ist, wird die Häufigkeit der Solicitation-Nachrichten reduziert, um den Overhead im lokalen Netzwerk zu beschränken.

Care-of-Adressen

Mobile IP bietet die folgenden alternativen Modi zum Beziehen einer Care-Of-Adresse:

• Ein Foreign-Agent stellt eine Foreign-Agent Care-Of-Adresse bereit, die dem mobilen Knoten über Agent Advertisement-Nachrichten bekannt gegeben wird. Die Care-Of-Adresse ist in der Regel die IP-Adresse des Foreign-Agent, der die Advertisement-Nachrichten sendet. Der Foreign-Agent ist der Tunnelendpunkt. Nachdem ein Foreign-Agent Datagramme durch einen Tunnel empfangen hat, entkapselt er die Datagramme und stellt die inneren Datagramme an den mobilen Knoten zu. Entsprechend können mehrere mobile Knoten die gleiche Care-Of-Adresse gemeinsam verwenden. Bandbreite ist bei drahtlosen Verbindungen von großer Wichtigkeit. Drahtlose Verbindungen bieten sich an, wenn Foreign-Agents Mobile IP-Services verdrahteter Verbindungen mit höherer Bandbreite anbieten.

• Ein mobiler Knoten bezieht eine co-located Care-Of-Adresse als über bestimmte externe Abläufe eine lokale IP-Adresse. Der mobile Knoten wird dann einer der eigenen Netzwerkschnittstellen zugeordnet. Er kann die Adresse über DHCP als temporäre Adresse beziehen. Die Adresse kann als langfristige Adresse auch das Eigentum des mobilen Knotens werden. In jedem Fall kann der mobile Knoten die Adresse nur so lange verwenden, wie sein Besuch in dem Teilnetz andauert, zu dem die Care-Of-Adresse gehört. Wenn eine co-located Care-Of-Adresse verwendet wird, arbeitet der mobile Knoten als Endpunkt des Tunnels. Der mobile Knoten führt die Entkapselung der Datagramme durch, die ihm durch einen Tunnel zugestellt wurden.

Mit einer co-located Care-Of-Adresse kann ein mobiler Knoten auch ohne einen Foreign-Agent arbeiten. Entsprechend kann ein mobiler Knoten eine co-located Care-Of-Adresse in Netzwerken verwenden, in denen kein Foreign-Agent bereitgestellt wurde.

Verwendet ein mobiler Knoten eine co-located Care-Of-Adresse, muss er sich auf dem Link befinden, der durch das Netzwerkpräfix der Care-Of-Adresse gekennzeichnet ist. Andernfalls können Datagramme mit der Care-Of-Adresse als Ziel nicht zugestellt werden.

Mobile IP mit Rücktunnel

In dem Abschnitt Arbeitsweise von Mobile IP wird davon ausgegangen, dass das Routing innerhalb des Internet unabhängig von der Quelladresse des Datagramms erfolgt. Dennoch prüfen die zwischengeschalteten Router eventuell auf eine topologische korrekte Quelladresse. Falls ein zwischengeschalteter Router eine Prüfung solche durchführt, muss der mobile Knoten einen Rücktunnel einrichten. Durch Einrichten eines Rücktunnels von der Care-Of-Adresse zum Home-Agent stellen Sie sicher, dass eine topologische korrekte Quelladresse für das IP-Datenpaket verwendet wird. Die Unterstützung für Rücktunnel wird von Foreign-Agents und Home-Agents bekannt gegeben. Ein mobiler Knoten kann beim Registrieren einen Rücktunnel zwischen einem Foreign-Agent und dem Home-Agent anfordern. Ein Rücktunnel ist ein Tunnel, der mit der Care-Of-Adresse des mobilen Knotens beginnt und am Home-Agent endet. Die folgende Abbildung zeigt eine Mobile IP-Topologie, in der ein Rücktunnel verwendet wird.

Abbildung 27–4 Mobile IP mit einem Rücktunnel

Eingeschränkte Unterstützung für private Adressen

Mobile Knoten, die über eine private Adresse verfügen, die nicht global über das Internet geroutet werden können, benötigen Rücktunnel. Solaris Mobile IP unterstützt mobile Knoten, die über eine private Adresse verfügen. Funktionen, die Solaris Mobile IP nicht unterstützt, sind unter Overview of the Solaris Mobile IP Implementation aufgeführt.

Unternehmen verwenden private Adressen, wenn keine externe Konnektivität erforderlich ist. Private Adressen können nicht über das Internet geroutet werden. Verfügt ein mobiler Knoten über eine private Adresse, kann er nur mit einem Kommunikatinsknoten kommunizieren, indem seine Datagramme in einem Rücktunnel an den Home-Agent gesendet werden. Der Home-Agent leitet das Datagramm dann so an den Kommunikationsknoten weiter, als ob sich der mobile Knoten im Home-Netzwerk befände. In der folgenden Abbildung ist eine Netzwerktopologie mit zwei mobilen Knoten dargestellt, die über private Adressen verfügen. Die beiden mobilen Knoten verwenden die gleiche Care-Of-Adresse, wenn sie beim gleichen Foreign-Agent registriert sind.

Abbildung 27–5 Mobile Knoten mit privaten Adressen im gleichen Foreign-Netzwerk

Bei der Care-Of-Adresse und der Home-Agent-Adresse muss es sich um global routfähige Adressen handeln, wenn diese Adressen zu unterschiedlichen Domänen gehören, die über das öffentliche Internet miteinander verbunden sind.

Das gleiche Foreign-Netzwerk kann zwei mobile Knoten enthalten, die mit der gleichen IP-Adresse privat adressiert werden können. Jedoch müssen die beiden mobilen Knoten über unterschiedliche Home-Agents verfügen. Darüber hinaus muss sich jeder mobile Knoten in einem anderen bekannt gebenden Teilnetz eines Foreign-Agent befinden. In der folgenden Abbildung ist eine Netzwerktopologie dargestellt, die diese Situation widerspiegelt.

Abbildung 27–6 Privat adressierte mobile Knoten in unterschiedlichen Foreign-Netzwerken

Mobile IP-Registrierung

Mobile Knoten können an den Agent Advertisement-Nachrichten erkennen, ob sie von einem Teilnetz zu einem anderen Teilnetz bewegt wurden. Wenn ein mobiler Knoten eine Agent Advertisement-Nachricht empfängt, die darauf hindeutet, dass er den Standort gewechselt hat, registriert er sich über einen Foreign-Agent. Auch wenn der mobile Knoten seine eigene co-located Care-Of-Adresse bezogen hat, ist es Standorten über diese Funktion möglich, den Zugriff auf Mobility-Services einzuschränken.

Die Mobile IP-Registrierung stellt einen flexiblen Mechanismus für mobile Knoten dar, die aktuellen Daten zur Erreichbarkeit an den Home-Agent zu übermitteln. Mit dem Registrierungsprozess können mobile Knoten die folgenden Aufgaben durchführen:

• Anforderungen von Weiterleitungsdiensten beim Besuch eines Foreign-Netzwerk

• Informieren des Home-Agent über die aktuelle Care-Of-Adresse

• Erneuern einer ablaufenden Registrierung

• Aufheben der Registrierung, wenn der mobile Knoten ins Home-Netzwerk zurückkehrt

• Anfordern eines Rücktunnels

Registrierungsnachrichten tauschen Informationen zwischen einem mobilen Knoten, einem Foreign-Agent und einem Home-Agent aus. Durch eine Registrierung wird eine Mobility-Bindung zum Home-Agent erstellt oder geändert. Außerdem wird durch eine Registrierung die Home-Adresse des mobilen Knotens für die angegebene Lebensdauer mit der Care-Of-Adresse des mobilen Knotens verknüpft.

Darüber hinaus ermöglicht der Registrierungsprozess mobilen Knoten das Durchführen folgender Funktionen:

• Registrieren bei mehreren Foreign-Agents

• Aufheben der Registrierung bestimmter Care-Of-Adressen, während andere Mobility-Bindungen beibehalten werden

• Erfassen der Adresse eines Home-Agent, wenn der mobile Knoten nicht mit diesen Informationen konfiguriert wurde

Mobile IP definiert die folgenden Registrierungsprozesse für einen mobilen Knoten:

• Wenn ein mobiler Knoten eine Foreign-Agent Care-Of-Adresse registriert, informiert er den Home-Agent, dass er über diesen Foreign-Agent erreichbar ist.

• Wenn ein mobiler Knoten eine Agent Advertisement-Nachricht empfängt, die eine Registrierung über einen Foreign-Agent erfordert, kann er weiterhin versuchen, eine co-located Care-Of-Adresse zu beziehen. Der mobile Knoten kann sich auch bei diesem Foreign-Agent oder einem anderen Foreign-Agent auf diesem Link registrieren.

• Wenn der mobile Knoten eine co-located Care-Of-Adresse verwendet, kann er sich direkt beim Home-Agent registrieren.

• Wenn der mobile Knoten in sein Home-Netzwerk zurückkehrt, hebt er die Registrierung bei dem Home-Agent auf.

Diese Registrierungsprozesse beinhalten den Austausch von Registrierungsanforderungen und zugehörigen Antwortnachrichten. Wenn ein mobiler Knoten mithilfe eines Foreign-Agent registriert wird, setzt sich der Registrierungsprozess aus den folgenden Schritten zusammen, die auch in der nachstehenden Abbildung gezeigt werden:

1. Zum Einleiten des Registrierungsprozesses sendet der mobile Knoten eine Registrierungsanforderung an den künftigen Foreign-Agent.

2. Der Foreign-Agent verarbeitet die Registrierungsanforderung und leitet sie an den Home-Agent weiter.

3. Der Home-Agent sendet eine Registrierungsantwort an den Foreign-Agent, in der die Anforderung gewährt oder verweigert wird.

4. Der Foreign-Agent verarbeitet die Registrierungsantwort und leitet sie an den mobilen Knoten weiter, um ihn über den Status der Anforderung zu informieren.

Abbildung 27–7 Mobile IP-Registrierungsprozess

Wenn sich der mobile Knoten direkt beim Home-Agent registriert, umfasst der Registrierungsprozess nur die folgenden Schritte:

• Der mobile Knoten sendet eine Registrierungsanforderung an den Home-Agent.

• Der Home-Agent sendet eine Registrierungsantwort an den mobilen Knoten, in der die Anforderung gewährt oder verweigert wird.

Darüber hinaus könnte der Foreign-Agent oder der Home-Agent einen Rücktunnel erfordern. Wenn der Foreign-Agent einen Rücktunnel unterstützt, verwendet der mobile Knoten den Registrierungsprozess, um einen Rücktunnel anzufordern. Der mobile Knoten setzt das Rücktunnel-Flag in der Registrierungsanforderung, um einen Rücktunnel anzufordern.

Network Access Identifier (NAI)

Authentifizierung, Autorisierung und Accounting (AAA)-Server im Internet stellen Authentifizierungs- und Autorisierungsservices für DFÜ-Computer zur Verfügung. Diese Services sind auch für mobile Knoten, die Mobile IP verwenden, wertvoll, wenn die Knoten versuchen, eine Verbindung mit fremden Domänen mit AAA-Servern herzustellen. AAA-Server verwenden die Network Access Identifier (NAI), um Clients zu identifizieren. Ein mobiler Knoten kann sich selbst identifizieren, indem der NAI mit in die Mobile IP-Registrierungsanforderung aufgenommen wird.

Da der NAI im Allgemeinen dazu verwendet wird, einen mobilen Knoten eindeutig zu identifizieren, ist die Home-Adresse des mobilen Knotens nicht immer für diese Funktion erforderlich. Somit kann sich ein mobiler Knoten selbst authentifizieren. Entsprechend kann ein mobiler Knoten auch dann zum Herstellen einer Verbindung mit der fremden Domäne autorisiert werden, wenn er keine Home-Adresse aufweisen kann. Um die Zuweisung einer Home-Adresse anzufordern, kann eine Nachricht, die die NAI-Erweiterung des mobilen Knotens enthält, das Feld für die Home-Adresse in der Registrierungsaufforderung auf null setzen.

Mobile IP-Nachrichtenauthentifizierung

Jeder mobile Knoten, Foreign-Agent und Home-Agent unterstützt eine Mobility-Sicherheitszuordnung zwischen den verschiedenen Mobile IP-Komponenten. Die Sicherheitszuordnung wird vom Security Parameter Index (SPI) und der IP-Adresse mit einem Index versehen. Bei einem mobilen Knoten ist diese Adresse die Home-Adresse des mobilen Knotens. Registrierungsnachrichten zwischen einem mobilen Knoten und dem Home-Agent werden anhand der Mobile-Home-Authentifizierungserweiterung in ihrer Echtheit bestätigt. Neben der obligatorischen Mobile-Home-Authentifizierung können Sie die optionalen Mobile-Foreign-Agent- und Home-Foreign-Agent-Authentifizierungen verwenden.

Registrierungsanforderung eines mobilen Knotens

Ein mobiler Knoten verwendet eine Registrierungsanforderung-Nachricht, um sich bei dem Home-Agent zu registrieren. Als Reaktion kann der Home-Agent eine Mobility-Bindung für diesen mobilen Knoten erstellen oder ändern (beispielsweise mit einer neuen Lebensdauer). Der Foreign-Agent kann die Registrierungsanforderung an den Home-Agent weiterleiten. Will der mobile Knoten jedoch eine co-located Care-Of-Adresse registrieren, kann der mobile Knoten die Registrierungsanforderung direkt an den Home-Agent senden. Wenn der Foreign-Agent bekannt gibt, das Registrierungsnachrichten an den Foreign-Agent gesendet werden müssen, muss der mobile Knoten die Registrierungsanforderung an den Foreign-Agent senden.

Antwort auf eine Registrierungsanforderung

Ein Mobility-Agent gibt eine Registrierungsantwort-Nachricht an einen mobilen Knoten zurück, der eine Registrierungsanforderung gesendet hat. Hat der mobile Knoten einen Service von Foreign-Agent angefordert, empfängt dieser Foreign-Agent die Antwort vom Home-Agent. Entsprechend leitet der Foreign-Agent die Antwort an den mobilen Knoten weiter. Die Antwort enthält die erforderlichen Codes, um den mobilen Knoten und den Foreign-Agent über den Status der Registrierungsanforderung zu informieren. Darüber hinaus enthält die Nachricht die, die vom Home-Agent gewährte Lebensdauer. Die Lebensdauer kann geringer als in der ursprünglichen Anforderung ausfallen. Außerdem kann eine Registrierungsanforderung eine dynamisch zugewiesene Home-Adresse enthalten.

Überlegungen zum Foreign-Agent

Der Foreign-Agent spielt bei der Mobile IP-Registrierung im Wesentlichen eine passive Rolle. Der Foreign-Agent fügt alle registrierten mobilen Knoten einer Besuchertabelle hinzu. Außerdem leitet er Registrierungsanforderungen und -antworten zwischen den mobilen Knoten und Home-Agent weiter. Wenn der Foreign-Agent die Care-Of-Adresse bereitstellt, führt er darüber hinaus die Entkapselung von Datagrammen durch, so dass der Inhalt an die mobilen Knoten zugestellt werden kann. Weiterhin sendet der Foreign-Agent in regelmäßigen Abständen Agent Advertisement-Nachrichten, um sein Vorhandensein bekannt zu geben.

Wenn Home-Agents und Foreign-Agents Rücktunnel unterstützen und der mobile Knoten einen Rücktunnel anfordert, sendet der Foreign-Agent alle Pakete vom mobilen Knoten durch einen Tunnel an den Home-Agent. Der Home-Agent sendet die Pakete an den Kommunikationsknoten. Dieser Prozess ist die Umkehr des Home-Agent-Tunneling aller Pakete des mobilen Knoten an den Foreign-Agent zur Zustellung an den mobilen Knoten. Ein Foreign-Agent, der einen Rücktunnel unterstützt, meldet, dass ein Rücktunnel bei der Registrierung unterstützt wird. Aufgrund der lokalen Richtlinie kann der Foreign-Agent eine Registrierungsanforderung verweigern, wenn das Rücktunnel-Flag nicht gesetzt ist. Der Foreign-Agent kann mehrere mobile Knoten mit der gleichen (privaten) IP-Adresse nur dann unterscheiden, wenn die mobilen Knoten unterschiedliche Schnittstellen des Foreign-Agent besuchen. Bei einem Vorwärtstunnel unterscheidet der Foreign-Agent mehrere mobile Knoten, die die gleiche private Adresse nutzen, in dem er die eingehende Tunnelschnittstelle prüft. Die eingehende Tunnelschnittstelle ist einer einmaligen Home-Agent-Adresse zugeordnet.

Überlegungen zum Home-Agent

Home-Agents spielen eine aktive Rolle im Registrierungsprozess. Der Home-Agent empfängt die Registrierungsanforderungen vom mobilen Knoten. Die Registrierungsanforderung könnte von dem Foreign-Agent weitergeleitet worden sein. Der Home-Agent aktualisiert seine Aufzeichnungen zu den Mobility-Bindungen dieses mobilen Knotens. Der Home-Agent erteilt auf jede Registrierungsanforderung eine geeignete Registrierungsantwort. Darüber hinaus leitet der Home-Agent Datenpakete an den mobilen Knoten weiter, wenn sich dieser nicht im Home-Netzwerk befindet.

Ein Home-Agent hat eventuell kein physikalisches Teilnetz für mobile Knoten konfiguriert. Dennoch muss der Home-Agent die Home-Adresse des mobilen Knotens über die Datei mipagent.conf oder einen anderen Mechanismus erkennen, wenn er die Registrierung genehmigt. Weitere Informationen zur Datei mipagent.conf finden Sie unter Erstellen einer Mobile IP-Konfigurationsdatei.

Ein Home-Agent kann privat adressierte mobile Knoten unterstützen, indem er die privat adressierten mobilen Knoten in der Datei mipagent.conf konfiguriert. Die von dem Home-Agent verwendeten Home-Adressen müssen einmalig sein.

Dynamische Home-Agent-Erkennung

In bestimmten Situationen kennt der mobile Knoten die Adresse seines Home-Agents nicht, wenn er sich zu registrieren versucht. In diesem Fall kann er eine dynamische Home-Agent-Adressauflösung verwenden, um die Adresse in Erfahrung zu bringen. Dazu setzt er das Home-Agent-Feld in der Registrierungsaufforderung auf die Teilnetz-gesteuerte Broadcast-Adresse seines Home-Netzwerk. Jeder Home-Agent, der eine Registrierungsaufforderung mit einer Broadcast-Zieladresse empfängt, lehnt die Registrierung des mobilen Knotens ab, in dem eine entsprechende Antwortnachricht gesendet wird. Jetzt kann der mobile Host beim nächsten Registrierungsversuch die Unicast-IP-Adresse des Home-Agent verwenden, die in der negativen Antwortnachricht angegeben ist.

Routen von Datagrammen von und an mobile Knoten

In diesem Abschnitt wird beschrieben, wie mobile Knoten, Home-Agents und Foreign-Agents zusammenarbeiten, um Datagramme für mobile Knoten, die an ein Foreign-Netzwerk angeschlossen sind, zu routen. Informationen zu den von Solaris OS unterstützten Mobile IP-Funktionen finden Sie unter Overview of the Solaris Mobile IP Implementation.

Methoden zur Einkapselung

Home-Agents und Foreign-Agents nutzen eine der verfügbaren Einkapselungsmethoden, um Datagramme zu unterstützen, die einen Tunnel verwenden. Definierte Einkapselungsmethoden sind IP-in-IP Encapsulation, Minimal Encapsulation und Generic Routing Encapsulation. Foreign-Agent und Home-Agent-Fälle oder indirekt co-located mobile Knoten und Home-Agent-Fälle müssen die gleiche Einkapselungsmethode unterstützen. Alle Mobile IP-Einheiten müssen die IP-in-IP Encapsulation unterstützen.

Routing von Unicast Datagrammen

Wenn ein mobiler Knoten in einem Foreign-Netzwerk registriert ist, verwendet er die folgenden Regeln, um einen Standard-Router zu wählen:

• Ist der mobile Knoten registriert, und verwendet er eine Agent Care-Of-Adresse, ist der Prozess recht einfach. Der mobile Knoten wählt seinen Standard-Router unter den Router-Adressen, die im ICMP-Router-Advertisement-Teil der Agent Advertisement-Nachrichten bekannt gegeben werden. Alternativ kann der mobile Knoten die IP-Quelladresse der Agent Advertisement-Nachricht als mögliche Option für die IP-Adresse eines Standard-Routers wählen.

• Der mobile Knoten kann unter Verwendung einer co-located Care-Of-Adresse direkt beim Home-Agent registriert sein. In diesem Fall wählt der mobile Knoten seinen Standard-Router unter den Routern, die in einer der empfangenen ICMP-Router Advertisement-Nachrichten bekannt gegeben werden. Das Netzwerkpräfix des ausgewählten Standard-Routers muss mit dem Netzwerkpräfix der extern bezogenen Care-Of-Adresse des mobilen Knotens übereinstimmen. Die Adresse kann mit der IP-Quelladresse der Agent Advertisement-Nachricht unter dem Netzwerkpräfix identisch sein. In diesem Fall kann der mobile Knoten diese IP-Quelladresse als andere mögliche Option für eine IP-Adresse eines Standard-Routers wählen.

• Ist der mobile Knoten registriert, leitet ein Foreign-Agent, der einen Rücktunnel unterstützt, Unicast-Datagramme vom mobilen Knoten durch den Rücktunnel an den Home-Agent. Ist der mobile Knoten bei einem Foreign-Agent registriert, der Rücktunnel unterstützt, muss der mobile Knoten diesen Foreign-Agent als Standard-Router verwenden.

Broadcast-Datagramme

Wenn ein Home-Agent ein Broadcast- oder Multicast-Datagramm empfängt, leitet er das Datagramm nur an mobile Knoten weiter, die den Empfang dieser Datagramme explizit angefordert haben. Wie der Home-Agent Broadcast- und Multicast-Datagramme an mobile Knoten weiterleitet, hängt im Wesentlichen von zwei Faktoren ab: entweder verwendet der mobile Knoten eine von einem Foreign-Agent bereitgestellte Care-Of-Adresse, oder der mobile Knoten verwendet seine eigene co-located Care-Of-Adresse. Bei der erstgenannten Option muss das Datagramm doppelt gekapselt werden. Der erste IP-Header identifiziert den mobilen Knoten, an den das Datagramm zugestellt werden soll. Der erste IP-Header ist nicht im Broadcast- oder Multicast-Datagramm enthalten. Der zweite IP-Header identifiziert die Care-Of-Adresse und ist der normale Tunnel-Header. Im zweiten Szenario entkapselt der mobile Knoten seine eigenen Datagramme, und die Datagramme müssen über den regulären Tunnel gesendet werden.

Routing von Multicast-Datagrammen

Um den Empfang von Multicast-Verkehr zu beginnen, wenn ein mobiler Knoten ein fremdes Teilnetz besucht, kann ein mobiler Knoten unter Verwendung einer der folgenden Methoden einer Multicast-Gruppe beitreten:

• Nutzt der mobile Knoten eine co-located Care-Of-Adresse, kann er diese Adresse als IP-Quelladresse in einer Internet Group Management Protocol (IGMP)-Beitrittsnachricht verwenden. In diesem Fall muss jedoch ein Multicast-Router im besuchten Teilnetz vorhanden sein.

• Möchte der mobile Knoten der ICMP-Gruppe in seinem Home-Teilnetz beitreten, muss er einen Rücktunnel verwenden, um IGMP-Beitrittsnachrichten an den Home-Agent zu senden. In diesem Fall muss der Home-Agent des mobilen Knotens ein Multicast-Router sein. Der Home-Agent kann dann Multicast-Datagramme durch den Tunnel an den mobilen Knoten weiterleiten.

• Nutzt der mobile Knoten eine co-located Care-Of-Adresse, kann er diese Adresse als IP-Quelladresse in einer IGMP-Beitrittsnachricht verwenden. In diesem Fall muss jedoch ein Multicast-Router im besuchten Teilnetz vorhanden sein. Nachdem der mobile Knoten einer Gruppe beigetreten ist, kann er am Netzverkehr teilnehmen, indem er seine eigenen Multicast-Pakete direkt in das besuchte Netzwerk sendet.

• Direkt im besuchten Netzwerk senden.

• Durch einen Tunnel an den Home-Agent senden.

Multicast-Routing hängt von der IP-Quelladresse ab. Ein mobiler Knoten, der ein Multicast-Datagramm sendet, muss das Datagramm von einer gültigen Quelladresse auf diesem Link senden. Daher muss ein mobiler Knoten, der Multicast-Datagramme direkt in das besuchte Netzwerk sendet, eine co-located Care-Of-Adresse als IP-Quelladresse verwenden. Außerdem muss der mobile Knoten der Multicast-Gruppe beigetreten sein, der diese Adresse zugeordnet ist. Entsprechend gilt, ein mobiler Knoten, der in seinem Home-Teilnetz vor dem Roaming einer Multicast-Gruppe beigetreten ist oder der Multicast-Gruppe während des Roaming durch einen Rücktunnel zu seinem Home-Agent beigetreten ist, muss seine Home-Adresse als IP-Quelladresse des Multicast-Datagramms verwenden. Das bedeutet, der mobile Knoten muss diese Datagramme auch über den Rücktunnel an sein Home-Teilnetz senden, entweder über sich selbst (über seine co-located Care-Of-Adresse) oder über den Rücktunnel eines Foreign-Agent.

Obwohl es für einen mobilen Knoten sinnvoll erscheint, immer von dem Teilnetz aus beizutreten, das der mobile Knoten besucht, so ist er dennoch ein mobiler Knoten. Entsprechend muss der mobile Knoten jedes Mal neu beitreten, wenn er die Teilnetze wechselt. Daher ist es für den mobilen Knoten am sinnvollsten, über seinen Home-Agent beizutreten und diesen Overhead nicht zu verursachen. Darüber hinaus sind eventuell Multicast-Sitzungen vorhanden, die nur vom Home-Teilnetz aus verfügbar sind. Andere Überlegungen zwingen den mobilen Knoten eventuell dazu, in einer bestimmten Weise teilzunehmen.

Sicherheitsbetrachtungen für Mobile IP

In vielen Situationen stellen mobile Computer eine Verbindung mit dem Netzwerk drahtlos her. Drahtlose Verbindungen durch passives Mithören, aktive Replay-Angriffe und andere aktive Angriffe besonders gefährdet.

Da Mobile IP erkannt hat, dass es diese Gefährdung weder reduzieren noch eliminieren kann, verwendet es eine Art Authentifizierung, um Mobile IP-Registrierungsnachrichten vor dieser Art Angriffen zu schützen. Der verwendete Standardalgorithmus ist MD5 mit einer Schlüsselgröße von 128 Bit. Der standardmäßige Betriebsmodus erfordert, dass dieser 128-Bit-Schlüssel vor und hinter Daten steht, an denen ein Hash-Algorithmus angewendet wird. Der Foreign-Agent verwendet MD5, um diese Authentifizierung zu unterstützen. Darüber hinaus verwendet der Foreign-Agent Schlüssel von 128 Bit oder größer mit einer manuellen Schlüsselverteilung. Mobile IP kann weitere Authentifizierungsalgorithmen, Algorithmus-Modi, Schlüsselverteilungsmethoden und Schlüsselgrößen unterstützen.

Diese Methoden verhindern, dass Mobile IP-Registrierungsnachrichten geändert werden. Jedoch verwendet Mobile IP auch eine Form von Replay-Schutz, um Mobile IP-Einheiten zu warnen, wenn sie Duplikate von früheren Mobile IP-Registrierungsnachrichten empfangen. Wenn diese Schutzmethoden nicht verwendet werden, sind der mobile Knoten und sein Home-Agent eventuell nicht mehr synchron, wenn einer von ihnen eine Registrierungsnachricht empfängt. Aus diesem Grund aktualisiert Mobile IP seinen Status. Angenommen, ein Home-Agent empfängt eine doppelte Nachricht zum Aufheben einer Registrierung, während der mobile Knoten über einen Foreign-Agent registriert ist.

Der Replay-Schutz wird über eine Methode sichergestellt, die als nonces oder timestamps bezeichnet wird. Nonces und timestamps werden zwischen Home-Agents und mobilen Knoten mit den Mobile IP-Registrierungsnachrichten ausgetauscht. Nonces und timestamps sind durch einen Authentifizierungsmechanismus vor Änderungen geschützt. Entsprechend kann, wenn ein Home-Agent oder ein mobiler Knoten eine doppelt vorhandenen Nachricht empfängt, das Duplikat gelöscht werden.

Bei der Verwendung von Tunneln besteht eine besondere Gefährdung, insbesondere dann, wenn die Registrierung nicht authentifiziert werden kann. So ist das Address Resolution Protocol (ARP) nicht authentifiziert und kann potentiell verwendet werden, um den Datenverkehr anderer Hosts zu „stehlen“.