Capítulo 27 IP para móviles (Descripción general)

El protocolo de Internet (IP) para móviles permite transferir información entre sistemas móviles El concepto sistemas móviles incluye portátiles y comunicaciones inalámbricas. El sistema móvil puede cambiar su ubicación a una red externa. Mientras está en la red externa, el sistema móvil se sigue pudiendo comunicar con la red principal del sistema. La implementación Solaris del IP móvil sólo es compatible con IPv4.

Este capítulo contiene la información siguiente:

• Introducción a IP para móviles

• Entidades funcionales de IP para móviles

• Funcionamiento de IP para móviles

• Descubrimiento de agentes

• Direcciones de auxilio

• IP para móviles con túnel inverso

• Registro de IP para móviles

• Encaminamiento de datagramas entre nodos móviles

• Consideraciones de seguridad para IP para móviles

Para tareas relacionadas con IP para móviles, consulte el Capítulo 28Administración de IP móvil (tareas) . Para acceder a material de referencia de IP para móviles, consulte el Capítulo 29Archivos y comandos de IP para móviles (referencia) .

Novedades de IP para móviles

La función IP móvil se suprime de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.

Introducción a IP para móviles

Las versiones actuales del protocolo de Internet (IP) dan por supuesto que el punto en el que un sistema se conecta a Internet o a una red es fijo. IP asume también que la dirección IP del sistema identifica la red a la que este está conectado. Los datagramas que se envían a un sistema se basan en la información de ubicación contenida en la dirección IP. Muchos protlocolos de Internet exigen que la dirección IP de un nodo no cambie. Si alguno de estos protocolos está activado en un sistema con IP móvil, sus aplicaciones no funcionarán. Ni siquiera HTTP funcionaría si no fuese porque la vida de sus conexiones TCP es muy breve. En ese caso, actualziar una dirección IP y renovar la página web no supone una carga.

Si un sistema móvil, o nodo móvil, se traslada a una nueva red y su dirección IP no cambia, la dirección del nodo no refleja el nuevo punto de conexión. En consecuencia, los protocolos de enrutamiento en vigor no pueden enrutar los datagramas correctamente al nodo móvil. Deberá reconfigurar el nodo móvil con una dirección IP distinta que represwente la nueva ubicación. La asignación de una dirección IP distinta es una tarea farragosa. Por tanto, con el protocolo de Internet actual, si el nodo móvil se traslada sin cambiar su dirección, pierde el enrutamiento. Si el nodo móvil cambia de dirección, pierde las conexiones.

IP para móviles resuelve el problema permitiendo que el nodo móvil utilice dos direcciones IP. La primera es una dirección permanente fija. La segunda es una dirección de auxilio que cambia en cada nuevo punto de conexión. IP para móviles permite que un sistema se mueva libremente en Internet. Tambien le permite moverse libremente en la red de una organización manteniedno la misma dirección permanente. En consecuencia, las comunicaviones no se interrumpen cuando el usuario cambia el punto de conexión del sistema. En vez de eso, la red se actualiza con la nueva ubicación del nodo móvil. Consulte el Glosario para ver definiciones de términos relacionados con IP para móviles.

En la figura siguiente se ilustra la topología general de IP para móviles.

Figura 27–1 Topología de IP para móviles

Si se utiliza la topología de IP para móviles de esta figura, la situación siguiente muestra cómo se mueve un datagrama de un punto a otro de la estructura de IP para móviles:

1. El host de Internet envía datagramas al nodo móvil a través de la dirección permanente del nodo (proceso de enrutamiento IP normal).

2. Si el nodo móvil se encuentra en su red principal, el datagrama se entrega al nodo a través del proceso IP normal. En caso contrario, es el agente interno el que recibe el datagrama.

3. Si el nodo móvil se encuentra en una red externa, el agente interno reenvía el datagrama al agente externo. El agente interno debe encapsular el datagrama en un datagrama exterior para que la dirección IP del agente externo aparezca en el encabezado IP externo.

4. El agente externo entrega el datagrama al nodo móvil.

5. Los datagramas del nodo móvil hacia el host de Internet se envían mediante los procedimiento de enrutamiento IP normales. Si el nodo móvil se enciuentra en una red externo, los paquetes se entregan al agente externo. El agente externo reenvía el datagrama al host de Internet.

6. En situaciones en las que haya filtrado de entrada, la dirección de origen debe ser topológicamente correcta para la subred de la que procede el datagrama, o el enrutador no podrá reenviarlo. Si se da esta situación en enlaces entre el nodo móvil y el nodo de destino, el agente externo deberá ofrecer el servicio de túnel inverso. Así, el agente externo podrá entregar todos los datagramas que el nodo móvil envíe a su agente interno. El agente interno reenviará entonces el datagrama a través de la ruta que hubiese tomado si el nodo móvil residiese en la red prinicpal. Este proceso garantiza la corrección de la dirección de origen para todos los enlaces que debe atravesar el datagrama.

En lo concerniente a las comunicaciones inalámbricas, la Figura 27–1 ilustra el uso de transceptores inalámbricos para transmitir los datagramas al nodo de móviles. Asimismo, los datagramas entre el host de Internet y el nodo móvil utilizan la dirección permanente del nodo móvil. La dirección permanente se utiliza aunque el nodo móvil se envcuentre en la red externa. La dirección de auxilio se utiliza únicamente para la comunicación con agentes de moviilidad. La dirección de auxilio es invisible para el host de Internet.

Entidades funcionales de IP para móviles

IP para móviles presenta las siguientes entidades funcionales:

• Nodo móvil (NM): host o enrutador que cambia su punto de conexión de una red a otra al tiempo que conserva las comunicaciones existentes mediante el uso de su dirección IP permanente.

• Agente interno (AI): enrutador o servidor de la red principal de un nodo móvil. El enrutador intercepta los datagramas que van destinados al nodo móvil. A continuación el enrutador entrega los datagramas a través de la dirección de auxilio. El agente interno mantiene también información actualizada de la ubicación del nodo móvil.

• Agente externo (AE): enrutador o servidor ubicado en la red externa que visita el nodo móvil. Ofrece servicios de enrutamiento de host al nodo móvil. El agente externo puede proporcionar también una dirección de auxilio al nodo móvil mientras este esté registrado.

Funcionamiento de IP para móviles

IP para móviles permite enrutar los datagramas IP a nodos móviles. La dirección permanente del nodo móvil identifica siempre al nodo, independientemente del punto de conexión de este. Cuando el nodo no está en su lugar habitual, una dirección de auxilio se asocia con la dirección permanente del nodo móvil. La dirección de auxilio proporciona información acerca del actual punto de conexión del nodo móvil. IP para móviles utiliza un mecanismo para registrar la dirección de auxilio con un agente interno.

El agente interno redirige los datagramas de la red principal a la dirección de auxilio. El agente interno construye un nuevo encabezado IP que contiene la dirección de auxiolio del nodo móvil como dirección IP de destino. Este nuevo encabezado encapsula el datagrama IP original. Así, la dirección permanente del nodo móvil no tiene efecto alguno en el enrutamiento del datagrama encapsulado hasta que el datagrama llega a la dirección de auxilio. Este tipo de encapsulado se denomina creación de túneles. Una vez llega a la dirección de auxilio, el datagrama es desencapsulado. A continuación se entrega al nodo móvil.

En la figura siguiente se muestra un nodo móvil que reside en su red principal, Network A, antes de que se traslade a una red externa, Network B. Ambas redes son compatibles con IP para móviles. El nodo móvil está siempre asociado con su dirección permanente, 128.226.3.30.

Figura 27–2 Nodo móvil que reside en su red principal

En la figura siguiente se muestra un nodo móvil que se ha trasladado a una red externo, Network B. Los datagramas destinados al nodo móvil son interceptados por el agente interno en la red principal, Network A, y encapsulados. A continuación, los datagramas se envían al agente externo en Network B, y el agente externo filtra el encabezado exterior. A continuación, el agente externo entrega el datagrama al nodo móvil, ubicado en Network B.

Figura 27–3 Nodo móvil que se traslada a una red externa

Es posible que la dirección de auxilio pertenezca a un agente externo. La dirección de auxilio puede adquirirse mediante el Protocolo dinámico de configuración de host (DHCP) o el Protocolo punto a punto (PPP). En el segundo caso, un nodo móvil posee una dirección de auxilio coubicada.

Los agentes de movilidad (agentes internos y externos) anuncian su presencia mediante mensajes de auncion de agente. Un nodo móvil tiene también la opción de solicitar un mensaje de anuncio de agente. El nodo utiliza cualquier agente de mobvilidad conectado localmente a través de un mensaje de solicitud de agente. Los nodos móviles utilizan los anunvios de agente para determinar si se encuentran en su red principal o en una red externa.

El nodo móvil utiliza un proceso de regisro especial para informar al agente interno acerca de la actual ubicación del nodo. El nodo móvil siempre está atento a los anuncios de los agentes de movilidad advirtiendo de su presencia. El nodo utiliza estos anuncios para determinar cuándo se ha trasladado a otra subred. Cuando un nodo móvil determina que el nodo móvil ha cambiado de ubicación, el nodo utiliza el nuevo agetnte externo para reenviar un mensaje de registro al agente interno. El nodo móvil utiliza el mismo proceso cuando el nodo móvil se mueve de una red externa a otra.

Cuando el nodo móvil detecta que se envcuentra en la red principal, el nodo deja de utilizar los servicios de movilidad. Cuando el nodo móvil vuelve a su red prinicpal, anula su registro con el agente interno.

Descubrimiento de agentes

Los nodos móviles utilizan el método denominado descubrimiento de agentes para determinar la información siguiente:

• Cuándo se ha trasladado el nodo de una red a otra

• Si la red es la prinipal o una red externa

• La dirección de auxilio de agente externo que ofrece cada agente externo de esa red

• Los servicios de movilidad que ofrece el agente de movilidad, anunciados en forma de indicadores, y las extensiones adiconales en el anuncio de agente

Los agentes de movilidad transmiten anuncios de agentes para avisar de sus servicios en una red. En ausencia de anuncios de agente, un nodo móvil puede solicitarlos. Esta función se denomina solicitud de agente. Si un nodo móvil admite su propia dirección de auxilio coubicada, el nodo puede utilizar anuncios de enrutador normales para la misma finalidad.

Anuncio de agente

Los nodos móviles utilizan anuncios de agentes para determinar el punto de conexión actual a Internet o a la red de una organización. Un anuncio de agente es un anuncio de enrutador del protocolo de mensajes de control de Internet (ICMP) que se ha ampliado para llevar también una extensión de anuncio de agente de movilidad.

Un agente externo puede estar demasiado ocupado para servir a otros nodos móviles. Sin embargo, el agente externo debe seguir enviando anuncios de agente. Así, el nodo móvil, ya registrado con un agente externo, sabe que no se ha movido fuera del ámbito del agente externo. El nodo móvil sabe también de este modo que no ha habido un fallo del agente externo. Un nodo móvil registrado con un agetne externo del que ya no recibe anuncios de agente probablemente sabe que ha perdido el contacto con ese agente.

Anuncios de agente a través de interfaces dinámicas

Se puede configurar la implementación del agente externo de modo que envía anuncios a través de interfaces creadas dinámicamente. También se pueden habilitar o inhabilitar anuncios no solicitados limitados a través de las interfaces de anuncios. Las interfaces creadas dinámicamente se definen como aquellas interfaces que se configuran después de que se inicie el daemon mipagent. Los anuncios a través de interfaces dinámicas son útiles en el caso de aplicaciones compatibles con interfaces de movilidad transitorios. Además, la limitación de anuncios no solicitados ayuda a ahorrar ancho de banda.

Solciitud de agente

Todos los nodos móviles deberían implementar la solicitud de agentes. El nodo móvil utiliza los mismos procedimientos, valores predeterminados y constantes que se especifican para los mensajes de solicitud de enrutadores ICMP.

El ritmo de envío de solicitudes por parte del nodo móvil está limitado por el nodo en sí. El nodo móvil puede enviar tras solicitudes iniciales al ritmo máximo de una solicitud por segundo mientras el nodo busca un agente. Una vez que el nodo móvil se registra con un agente, el ritmo de envío de solicitudes se reduce para limitar la carga sobre la red local.

Direcciones de auxilio

IP para móviles ofrece los siguientes modos alternativos para la obtención de direcciones de auxilio:

• Un agente externo proporciona una dirección de auxilio de agente externo, que se notifica al nodo móvil mediante mensajes de anuncio de agentes. La dirección de auxilio suele ser la dirección IP del agente externo que envía el anuncio. El agente externo es el extremo final del túnell. Cuando el agente externo recibe datagramas a través de un túnel, los desencapsula. A continuación, el agente entrega el datagrama interno al nodo móvil. Por tanto, varios nodos móviles pueden compartir la misma dirección de auxilio. En los enlaces inalámbricos, el ancho de banda es un factor importante. Desde los enlaces inalámbricos, los agentes externos pueden ofrecer servicios de IP para móviles a enlaces con un mayor ancho de banda.

• Un nodo móvil obtiene una dirección de auxilio coubicada como dirección IP local a través de algún medio externo. El nodo móvil se asocia a continuación con alguna de sus propios interfaces de red. El nodo puede obtener la dirección en forma temporal mediante DHCP. La direcicón puede también ser propiedad del nodo móvil a largo plazo. Sin embargo, el nodo solo puede utilizar la dirección mientras se halla de visita en la subred a la que pertenece la dirección de auxilio. Al utilizar una dirección de auxilio coubicada, el nodo móvil actúa como extremo final del túnel. El nodo efectúa el desencapsulado de los datagramas que le envían a través del túnel.

Una dirección de auxilio coubicada permite que el nodo móvil funcione sin necesidad de agente externo. Por tanto, un nodo móvil puede utilzar una dirección de auxilio coubicada en redes que no tienen implementado un agente externo.

Si un nodo móvil utiliza una dirección de auxilio coubicada, el nodo debe hallarse en un enlace identificado por el prefijo de red de la dirección de auxilio. En caso contrario, los datagramas que vayan destinados a la dirección de auxilio no se podrán entregar.

IP para móviles con túnel inverso

En la sección Funcionamiento de IP para móviles se asume que el enrutamiento dentro de Internet es independiente de la dirección de origen del datagrama. Sin embargo, es posible que un enrutador intermedio compruebe si la dirección de origen es topológicamente correcta. Si un enrutador intermedio efectúa esa comprobación, el nodo móvil deberá configurar un túnel inverso. Al configurar un túnel inverso desde la dirección de auxilio al agente interno, se garantiza que la dirección de origen del paquete de datos IP es topológicamente correcta. Los agentes externos e internos anuncian su compatibilidad con la función de túnel inverso. Un nodo móvil puede solicitar un túnel inverso entre al agente externo y el interno cuando el nodo se registra. Un túnel inverso empieza en la dirección de auxilio del nodo móvil y termina en el agente interno. En la figura siguiente se muestra la topología de IP para móviles que utiliza un túnel inverso.

Figura 27–4 IP para móviles con túnel inverso

Admisión limitada de direcciones privadas

Los nodos móviles con direcciones privadas que no son enrutables globalmente a través de Internet requieren el uso de túneles inversos. IP para móviles de Solaris es compatible con nodos móviles con direcciones privadas. ConsulteDescripción general de la implementación de IP para móviles en Solaris para conocer qué funciones no son compatibles con IP para móviles de Solaris.

Las empresas suelne emplear direcciones privadas si no necesitan conectividad externa. Las direcciones privadas no se pueden enrutar a través de Internet. Cuando un nodo móvil tiene una dirección privada, el nodo sólo puede comunicarse con un nodo de destino si su agente interno hace pasar sus datagramas a través de un túnel inverso. El agente interno entrega entences el datagrama al otro nodo de la misma forma que se entrega cuando el nodo móvil está en su red principal. En la figura siguiente se muestra una tiopología de red con dos nodos móviles con direcciones privadas. Los dos nodos utilizan la misma dirección de auxilio cuando se registran con el mismo agente externo.

Figura 27–5 Nodos móviles con dirección privada ubicados en la misma red externa

La dirección de auxilio y la dirección del agente interno deben ser direcciones enrutables globalmente si pertenecen a dominios distintos conectados por Internet pública.

La misma red externa puede incluir dos nodos móviles con direcciones privadas que tengan la misma dirección IP. Sin embargo, cada nodo móvil debe tener un agente interno distinto. Asimismo, cada dirección debe hallarse en una subred de anuncios distinta de un único agente externo. En la figura siguiente se muestra una topología de red en la que se muestra esta situación.

Figura 27–6 Nodos móviles con dirección privada ubicados en redes externas distintas

Registro de IP para móviles

Los nodos móviles detectan si se han trasladado de una subred a otra mediante el uso de anuncios de agentes. Cuando el nodo móvil recibe un anuncio de agente que indica que ha cambiado de ubicación, el nodo se regstra a través de un agente externo. Aunque es posible que el nodo móvil haya obtenido su propia dirección de auxilio coubicada, esta función se ofrece para restringir el acceso a siervicios de movilidad.

El registro de IP para móviles ofrece un mecanismo flecible para que los nodos móviles comuniquen al agente interno la información de su actual estado de accesibilidad. El proceso de registro permite a los nodos móviles efectuar las siguientes tareas:

• Solicitar servicios de reenvío al visitar una red externa

• Informar al agente interno de su dirección de auxilio actual

• Renovar un registro que esté a punto de caducar

• Anular el registro cuando el nodo móvil vuelve a su red principal

• Solicitar un túnel inverso

En los mensajes de registro se intercambia información entre un nodo móvil, un agente externo y el agente interno. El registro crea o modifica un enlace de movilidad en el agente interno. El proceso de registro asocia la dirección permanente del nodo móvil durante la vida útil especificada.

El proceso de registro permite también a los nodos móviles efectuar las siguientes funciones:

• Registrarse con varios agentes externos

• Anular direcciones de auxilio específicas al tiempo que se conservan otros enlaces de movilidad

• Descubrir la dirección de un agente interno si el nodo móvil no está configurado con esta información

IP para móviles define los siguientes procesos de registro para un nodo móvil:

• Si un nodo móvil registra la dirección de auxilio de un agente externo, el nodo móvil está indicando al agente interno que está accesible a través de dicho agente externo.

• Si un nodo móvil recibe un anuncio de agente que exige que el nodo se registre a través de un agente externo, el nodo móvil puede aún intentar obtener una dirección de auxilio coubicada. El nodo móvil puede también registrarse con ese agente externo o cualquier otro en ese enlace.

• Si un nodo móvil utiliza una dirección de auxilio coubicada, el nodo se registra directamente con el agente interno.

• Si un nodo móvil vuelve a su red principal, el nodo anula su registro con el agente interno.

Estos procesos de registro implican el intercambio de solicitudes de registro y de mensajes de respuesta de registro. Cuando el nodo móvil se registra mediante un agente externo, el proceso de registro reocrre los pasos siguientes, que se muestran en la figura a continuación:

1. El nodo móvil envía una solicitud de registro al agente externo previsto para iniciar el proceso de registro.

2. El agente externo procesa la solicitud de registro y a continuación la envía al agente interno.

3. El agente interno envía una respuesta de registro al agente externo para conceder o denegar la solicitud.

4. El agente externo procesa la respuesta de registro y a continuación la envía al nodo móvill para indicarle la disposición de la solicitud.

Figura 27–7 Proceso de registro de IP para móviles

Cuando el nodo móvil se registra directamente en el agente interno, el proceso de registro se compone únicamente de estos pasos:

• El nodo móvil envía una solicitud de registro al agente interno.

• El agente interno envía una respuesta de registro al nodo móvil que concede o deniega la solicitud.

Asimismo, el agente externo o el interno pueden requerir un túnel inverso. Si el agente externo es compatible con la función de túnel inverso, el nodo móvil utiliza el proceso de registro para solicitar un túnel inverso. El nodo móvil activa el indicador de túnel inverso en la solicitud de registro para pedir un túnel inverso.

Identificador de acceso de red (NAI)

Los servidores de autenticación, autorización y contbilidad (en inglés, AAA) utilizados en Internet proporcionan servicios de autentivcación y autorización para sistemas de acceso telefónico. Estos servicios son también válidos para nodos móviles que utilizan IP para móviles cuando los nodos intentan conectarse a dominios externos con servidores AAA. Los servidores AAA utilizan el Identifcicador de acceso de red (NAI) para identificar a los clientes. Un nodo móvil puede identificarse a sí mismo si incluye el NAI en la solicitud de registro de IP para móviles.

El NAI se suele utilizar como identificador exclusivo del nodo móvil, por lo que no siempre es necesaria la dirección permanente del nodo para proporcionar dicha función. Así, un nodo móvil se puede autenticar a sí mismo. Por tanto, se puede autorizar a un nodo móvil la conexión a un dominio externo sin siquiera disponer de una dirección permanente. Para solicitar la asignación de una dirección permanente, un mensaje que contenga la extensión NAI del nodo móvil puede poner a cero el de .campo de dirección permanente de la solicitud de registro.

Autenticación mediante mensaje de IP para móviles

Cada nodo móvil, agente interno y externo admiten una asociación de seguridad de movilidad entre los distintos componentes de IP para móviles. La asociación de seguridad está indexada por el índice de parámetro de seguridad (SPI) y la dirección IP. En el caso del nodo móvil, esta dirección es la dirección permanente del nodo. Los mensajes de registro entre un nodo móvil y el agente interno se autentican con la extensión de autenticación nodo móvil-agente interno. Aparte de la autenticación nodo móvil-agente interno, que es obligatoria, puede utilizar las autenticaciones opcionales nodo móvil-agente externo y agente externo-agente interno.

Solicitud de registro del nodo móvil

Los nodos móviles utilizan un mensaje de solicitud de registro para registrarse con el agente interno. Así, el agente interno puede crear o modificar un enlace de movilidad para ese nodo móvil (por ejemplo, con un nuevo valor de vida útil). El agente externo puede transmitir la solicitud de registro al agente interno. Sin embargo, si el nodo móvil está registrando una dirección de auxilio coubicada, el nodo puede enviar la solicitud de registro directamente al agente interno. Si el agente externo anunca que los mensajes de registro se deben enviar al agente externo, el nodo móvil deberá enviar la solicitud de registro al agente externo.

Mensaje de respuesta de registro

Un agente de movilidad devuelve un mensaje de respuesta de registro a un nodo móvil que ha enviado un mensaje de solicitud de registro. Si el nodo móvil solicita servicio de un agente externo, ese agente recibe la respuesta del agente interno. A continuación, el agente externo transmite la respuesta al nodo móvil. El mensaje de respuesta contiene los códigos necesarios para informar al agente externo del estado de la solicitud de registro. El mensaje contiene también la vida útil que concede el agente interno. Dicha vida puede ser inferior a la solicitud original. La respuesta de registro puede contener también una asignación de dirección permanente dinámica.

Consideraciones del agente externo

El agente externo tiene mayoritamiente un papel pasivo en el proceso de registro de IP para móviles. El agente externo agrega todos los nodos móviles registrados a la tabla de visitantes. El agente externo tranmite las solicitudes de registro entre nodos móviles y agentes internos. Asimismo, cuando el agente interno proporciona la dirección de auxilio, el agente externo desencapsula los datagramas para su entrega al nodo móvil, El agente externo envvía también mensajes periódicos de anuncio de agente para advertir de su presencia.

Si los agentes internos y los externos admiten túneles inversos y el nodo móvil solicita un túnel inverso, el agente externo envía por el túnel todos los paquetes del nodo móvil al agente interno. A continuación, el agente interno envía los paquetes al nodo de destino. Este proceso es inverso al del agente interno enviando por túnel todos los paquetes del nodo móvil al agente externo para su entrega al nodo móvil. Un agente externo compatible con túneles inversos anuncia esta compatibilidad para el registro. A causa de las directrices locales, el agente externo pude denegar una solicitud de registro si el indicador de túnel inverso no está activado. El agente externo sólo puede distinguir varios nodos móviles con la misma dirección IP (privada) si dichos nodos visitan interfaces distintas del agente externo. En la situación del túnel directo, el agente externo distingue entre los diversos nodos móviles que comparten la misma dirección privada consultando la interfaz del túnel entrante. La interfaz del túnel entrante está asociada únívocamente con una dirección de agente interno.

Consideraciones del agente interno

El agente interno tiene una tarea activa en el proceso de registro. El agente interno recibe solicitudes de registro del nodo móvil. La solicitud de registro puede haber sido trasnmitida por el agente externo. El agente interno actualiza su registro de los enlaces de movilidad de este nodo móvil. El agente interno emite una respuesta de registro adecuada para cada solicitud de registro. El agente interno reenvía también paquetes al nodo móvil cuando este no está en la red principal.

Un agente interno puede no tener configurada una subred física para los nodos móviles. Sin embargo, el agente debe reconocer la dirección permanente del nodo móvil mediante el archivo mipagent.conf u otro mecanismo cuando concede el registro. Para obtener más información acerca de mipagent.conf, consulte Creación del archivo de configuración de IP móvil.

Un agente interno puede admitir nodos móviles con direcciones privadas configurando estos nodos en el archivo mipagent.conf. Las direcciones permanentees que utiliza el agente interno deben ser exclusivas.

Descubrimiento dinámico de agente interno

En ciertas situaciones, es posible que el nodo móvil no conozca la dirección del agente interno cuando el nodo intenta registrarse. Si el nodo móvil no sabe la dirección del agente interno, puede utilizar la resolución dinámica de la dirección del agente para averiguarla. En esta sitaución, el nodo móvil asigna como valor del campo de agente interno en la solicitud de registro la dirección de multidifusión de su red principal dirigida a la subred. Cada agente interno que reciba una solicitud de registro con una dirección de destino que sea una dirección de multidifusión rechazaará el registro del nodo móvil devolviendo una respuesta de rechazo de registro. De esta forma, el nodo móvil puede utilizar la dirección IP de unidifusión del agente interno indicada en la respuesta de rechazo la siguiente vez que el nodo intente registrarse.

Encaminamiento de datagramas entre nodos móviles

En esta sección se describe de qué modo los nodos móviles y los agentes externos cooperan para enrutar los datagramas de los nodos móviles conectados a una red externa. ConsulteDescripción general de la implementación de IP para móviles en Solaris para conocer qué funciones son compatibles con el SO Solaris.

Métodos de encapsulado

Los agentes internos y externos utilizan alguno de los métodos de encapsulado disponibles para admitir datagramas que utilcen túnel. Los métodos de encapsulado definidos son Encapsulado de IP en IP, Encapsulado mínimo y Encapsulado de enrutamiento genérico (GRE). El agente interno y el externo, o el nodo móvil coubicado indirecto y el agente interno, deben admitir el mismo método de encapsulado. Todas las entidades de IP para móviles deben admitir el encapsulado de IP en IP.

Encaminamiento de datagramas de unidifusión

Al registrarse en una red externa, el nodo móvil utiliza las siguientes reglas para elegir un enrutador predeterminado:

• Si el nodo móvil está registrado y utiliza una dirección de auxilio de un agente externo, el proceso es directo. El nodo móvil elige su enrutador predeterminado de entre las direcciones de enrutador anunciado en la parte de anuncio de enrutador ICMP del anuncio del agente. El nodo móvil puede también tener en cuenta la dirección IP de origen del anuncio del agente como otra posible opción para la dirección IP de un enrutador predeterminado.

• El nodo móvil puede registrarse directamente con el agente interno mediante el uso de una dirección de auxilio coubicada. A continuación, el nodo móvil elige su enrutador predeterminado entre los que están anunciados en cualquier mensaje de anuncio de enrutador ICMP que reciba. El prefijo de red del enrutador predeterminado elegido debe coincidir con el prefijo de red de la dirección de auxilio del nodo móvil que se obtiene de forma externa. La dirección debe coincidir con la dirección IP de origen del anuncio de agente bajo el prefijo de red. El nodo puede asimismo considerar esa dirección IP de origen como otra posible alternativa de dirección IP de un enrutador predeterminado.

• Si el nodo móvil está registrado, un agente externo que admita túnel inverso enruta los datagramas de unidifusión del nodo móvil al agente interno a través del túnel inverso. Si el nodo móvil está registrado con un agente externo que admite túnel inverso, el nodo deberá utilizar ese agente como enrutador predeterminado.

Datagramas de multidifusión

Cuando un agente interno recibe un datagrama de multidifusión o de difusión, el agente interno reenvía únicamente el datagrama a los nodos móviles que han solicitado específicamente recibirlos. El modo en que el agente interno envía estos datagramas a los nodos móviles depende principalmente de dos factores. Bien el nodo móvil utiliza una dirección de auxilio proporcionada por un agente externo o bien utiliza du propia dirección de auxilio coubicada. El primer caso implica que el datagrama debe tener un doble encapsulado. El primer encabezado IP identifica el nodo móvil para el que se debe entregar el datagrama. El primer encabezado IP no está presente en el datagrama de multidifusión o difusión. El segundo encabezado IP identifica la dirección de auxilio y es el encabezado de túnel habitual. En el segundo caso, el nodo móvil desencapsula sus propios datagramas, y basta con enviar el datagrama a través del túnel usual.

Encaminamiento de datagramas de multidifusión

Para empezar a recibir tráfico de multidifusión cuando un nodo móvil está visitando una subred externa, el nodo puede unirse a un grupo de multidifusión mediante uno de estos métodos:

• Si el nodo móvil utiliza una dirección de auxilio coubicada, puede utilizarla como dirección IP de origen de cualquier mensaje de entrada del Protocolo de gestión de grupos de Internet (IGMP). Sin embargo, la subred visitada debe disponer de un enrutador de multidifusión.

• Si el nodo móvil quiere unirse al grupo de ICMP desde su subred principal, deberá utilizar un túnel inverso para enviar mensajes de entrada IGMP al agente interno. Sin embargo, el agente interno del nodo móvil debe ser un enrutador de multidifusión. El agente interno reenvía entonces los datagramas de multidifusión al nodo móvil a través del túnel.

• Si el nodo móvil utiliza una dirección de auxilio coubicada, puede utilizarla como dirección IP de origen de los mensajes de entrada IGMP. Sin embargo, la subred visitada debe disponer de un enrutador de multidifusión. Una vez que el nodo móvil ha entrado en el grupo, puede participar enviando sus propios paquetes de multidifusión directamente en la red visitada.

• Enviar directamente en la red visitada.

• Enviar al agente interno a través de un túnel.

El enrutamiento de multidifusión depende de la dirección IP de origen. Un nodo móvil que envía un datagrama de multidifusión debe enviarlo desde una dirección de origen válida en ese enlace. Así, un nodo móvil que envíe datagramas de multidifusión directamente en la red visitada debe utilizar una dirección de auxilio coubicada como dirección IP de origen. Asimismo, el nodo móvil debe haberse unido al grupo de multidifusión asociado con la dirección. De forma similar, un nodo móvil que se haya unido a un grupo de multidifusión mientras estaba en su subred, antes de trasladarse, o se haya unido a un grupo de multidifusión utilizando itinerancia a través de un túnel inverso con su agente interno, deberá utilizar su dirección permanente como dirección IP de origen del datagrama de multidifusión. Así, el nodo móvil deberá enviar también estos datagramas por túnel inverso a su subred principal, ya sea él mismo mediante su dirección de auxilio coubicada o a través del túnel inverso de un agente externo.

Aunque parece más eficiente que un nodo móvil se una siempre desde la subred que está visitando, sigue siendo un nodo móvil. En consecuencia, el nodo debería repetir la entrada cada vez que cambiase de subred. La forma más eficiente es que el nodo móvil se una a través de su agente interno, sin tener que encargarse de la carga adicional. Asimismo, puede haber sesiones de multidifusión solo disponibles desde la subred principal. Otros factores pueden también exigir que el nodo móvil participe de un modo específico.

Consideraciones de seguridad para IP para móviles

En numerosas situaciones, los equipos móviles utilizan enlaces inalámbricos para conectarse a la red. Los enlaces inalámbricos son especialmente vulnerables a intrusiones pasivas, ataques de repetición activos y otros ataques activos.

IP para móviles carece de capacidad para reducir o eliminar esta vulnerabilidad, de modo que utiliza un tipo de autenticación para proteger los mensajes de registro de IP para móviles contra estos ataques. El algoritmo predeterminado utilizado es MD5, con una clave de 128 bits. El modo de funcionamiento predeterminado exige que la clave preceda y remate los datos del hash. El agente externo utiliza MD5 para la autenticación. Este agente utiliza también claves de 128 bits o mayores, con distribución de claves manual. IP para móviles puede admitir otros algoritmos de autenticación, modos de algoritmo, métodos de distribución de claves y tamaños de clave.

Estos métodos impiden la modificación de los mensajes de registro de IP para móviles. Sin embargo, IP para móviles utiliza también una forma de protección de repetición para avisar a las entidades de IP para móviles cuando reciben duplicados de mensajes de registro anteriores. Sin este método de protección, el nodo móvil y su agente interno podrían perder la sincronización cuando alguno de ellos recibiese un mensaje de registro. Así, IP para móviles actualiza su estado. Por ejemplo, un agente interno recibe un mensaje de anulación de registro duplicado mientras el nodo móvil está registrado a través de un agente externo.

La protección de repetición se efectúa mediante un método denominado nonces o indicaciones de hora. Los agentes internos y los nodos móviles intercambian nonces e indicaciones de hora dentro de los mensajes de registro de IP para móviles. Las nonces e indicaciones de hora están protegidas contra modificaciones por un algoritmo de autenticación. Por consiguiente, si un agente interno recibe un mensaje duplicado, el mensaje puede descartarse.

El uso de túneles puede suponer una vulnerabilidad significativa, en especial si el registro no está autenticado. Asimismo, el Protocolo de resolución de direcciones (ARP) no está autenticado, y se puede utilizar para robar el tráfico de otro host.