Parte V IP móvil

En esta parte se presenta el Protocolo de Internet móvil (IP móvil) y se indican las tareas de administración de IP móvil. Puede instalar IP móvil en sistemas como equipos portátiles y sistemas con comunicación inalámbrica para que puedan operar en redes externas.

La función IP móvil se ha suprimido de las actualizaciones de Oracle Solaris 10 posteriores a Solaris 10 8/07.

Capítulo 27 IP para móviles (Descripción general)

El protocolo de Internet (IP) para móviles permite transferir información entre sistemas móviles El concepto sistemas móviles incluye portátiles y comunicaciones inalámbricas. El sistema móvil puede cambiar su ubicación a una red externa. Mientras está en la red externa, el sistema móvil se sigue pudiendo comunicar con la red principal del sistema. La implementación Solaris del IP móvil sólo es compatible con IPv4.

Este capítulo contiene la información siguiente:

• Introducción a IP para móviles

• Entidades funcionales de IP para móviles

• Funcionamiento de IP para móviles

• Descubrimiento de agentes

• Direcciones de auxilio

• IP para móviles con túnel inverso

• Registro de IP para móviles

• Encaminamiento de datagramas entre nodos móviles

• Consideraciones de seguridad para IP para móviles

Para tareas relacionadas con IP para móviles, consulte el Capítulo 28Administración de IP móvil (tareas) . Para acceder a material de referencia de IP para móviles, consulte el Capítulo 29Archivos y comandos de IP para móviles (referencia) .

Novedades de IP para móviles

La función IP móvil se suprime de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.

Introducción a IP para móviles

Las versiones actuales del protocolo de Internet (IP) dan por supuesto que el punto en el que un sistema se conecta a Internet o a una red es fijo. IP asume también que la dirección IP del sistema identifica la red a la que este está conectado. Los datagramas que se envían a un sistema se basan en la información de ubicación contenida en la dirección IP. Muchos protlocolos de Internet exigen que la dirección IP de un nodo no cambie. Si alguno de estos protocolos está activado en un sistema con IP móvil, sus aplicaciones no funcionarán. Ni siquiera HTTP funcionaría si no fuese porque la vida de sus conexiones TCP es muy breve. En ese caso, actualziar una dirección IP y renovar la página web no supone una carga.

Si un sistema móvil, o nodo móvil, se traslada a una nueva red y su dirección IP no cambia, la dirección del nodo no refleja el nuevo punto de conexión. En consecuencia, los protocolos de enrutamiento en vigor no pueden enrutar los datagramas correctamente al nodo móvil. Deberá reconfigurar el nodo móvil con una dirección IP distinta que represwente la nueva ubicación. La asignación de una dirección IP distinta es una tarea farragosa. Por tanto, con el protocolo de Internet actual, si el nodo móvil se traslada sin cambiar su dirección, pierde el enrutamiento. Si el nodo móvil cambia de dirección, pierde las conexiones.

IP para móviles resuelve el problema permitiendo que el nodo móvil utilice dos direcciones IP. La primera es una dirección permanente fija. La segunda es una dirección de auxilio que cambia en cada nuevo punto de conexión. IP para móviles permite que un sistema se mueva libremente en Internet. Tambien le permite moverse libremente en la red de una organización manteniedno la misma dirección permanente. En consecuencia, las comunicaviones no se interrumpen cuando el usuario cambia el punto de conexión del sistema. En vez de eso, la red se actualiza con la nueva ubicación del nodo móvil. Consulte el Glosario para ver definiciones de términos relacionados con IP para móviles.

En la figura siguiente se ilustra la topología general de IP para móviles.

Figura 27–1 Topología de IP para móviles

Si se utiliza la topología de IP para móviles de esta figura, la situación siguiente muestra cómo se mueve un datagrama de un punto a otro de la estructura de IP para móviles:

1. El host de Internet envía datagramas al nodo móvil a través de la dirección permanente del nodo (proceso de enrutamiento IP normal).

2. Si el nodo móvil se encuentra en su red principal, el datagrama se entrega al nodo a través del proceso IP normal. En caso contrario, es el agente interno el que recibe el datagrama.

3. Si el nodo móvil se encuentra en una red externa, el agente interno reenvía el datagrama al agente externo. El agente interno debe encapsular el datagrama en un datagrama exterior para que la dirección IP del agente externo aparezca en el encabezado IP externo.

4. El agente externo entrega el datagrama al nodo móvil.

5. Los datagramas del nodo móvil hacia el host de Internet se envían mediante los procedimiento de enrutamiento IP normales. Si el nodo móvil se enciuentra en una red externo, los paquetes se entregan al agente externo. El agente externo reenvía el datagrama al host de Internet.

6. En situaciones en las que haya filtrado de entrada, la dirección de origen debe ser topológicamente correcta para la subred de la que procede el datagrama, o el enrutador no podrá reenviarlo. Si se da esta situación en enlaces entre el nodo móvil y el nodo de destino, el agente externo deberá ofrecer el servicio de túnel inverso. Así, el agente externo podrá entregar todos los datagramas que el nodo móvil envíe a su agente interno. El agente interno reenviará entonces el datagrama a través de la ruta que hubiese tomado si el nodo móvil residiese en la red prinicpal. Este proceso garantiza la corrección de la dirección de origen para todos los enlaces que debe atravesar el datagrama.

En lo concerniente a las comunicaciones inalámbricas, la Figura 27–1 ilustra el uso de transceptores inalámbricos para transmitir los datagramas al nodo de móviles. Asimismo, los datagramas entre el host de Internet y el nodo móvil utilizan la dirección permanente del nodo móvil. La dirección permanente se utiliza aunque el nodo móvil se envcuentre en la red externa. La dirección de auxilio se utiliza únicamente para la comunicación con agentes de moviilidad. La dirección de auxilio es invisible para el host de Internet.

Entidades funcionales de IP para móviles

IP para móviles presenta las siguientes entidades funcionales:

• Nodo móvil (NM): host o enrutador que cambia su punto de conexión de una red a otra al tiempo que conserva las comunicaciones existentes mediante el uso de su dirección IP permanente.

• Agente interno (AI): enrutador o servidor de la red principal de un nodo móvil. El enrutador intercepta los datagramas que van destinados al nodo móvil. A continuación el enrutador entrega los datagramas a través de la dirección de auxilio. El agente interno mantiene también información actualizada de la ubicación del nodo móvil.

• Agente externo (AE): enrutador o servidor ubicado en la red externa que visita el nodo móvil. Ofrece servicios de enrutamiento de host al nodo móvil. El agente externo puede proporcionar también una dirección de auxilio al nodo móvil mientras este esté registrado.

Funcionamiento de IP para móviles

IP para móviles permite enrutar los datagramas IP a nodos móviles. La dirección permanente del nodo móvil identifica siempre al nodo, independientemente del punto de conexión de este. Cuando el nodo no está en su lugar habitual, una dirección de auxilio se asocia con la dirección permanente del nodo móvil. La dirección de auxilio proporciona información acerca del actual punto de conexión del nodo móvil. IP para móviles utiliza un mecanismo para registrar la dirección de auxilio con un agente interno.

El agente interno redirige los datagramas de la red principal a la dirección de auxilio. El agente interno construye un nuevo encabezado IP que contiene la dirección de auxiolio del nodo móvil como dirección IP de destino. Este nuevo encabezado encapsula el datagrama IP original. Así, la dirección permanente del nodo móvil no tiene efecto alguno en el enrutamiento del datagrama encapsulado hasta que el datagrama llega a la dirección de auxilio. Este tipo de encapsulado se denomina creación de túneles. Una vez llega a la dirección de auxilio, el datagrama es desencapsulado. A continuación se entrega al nodo móvil.

En la figura siguiente se muestra un nodo móvil que reside en su red principal, Network A, antes de que se traslade a una red externa, Network B. Ambas redes son compatibles con IP para móviles. El nodo móvil está siempre asociado con su dirección permanente, 128.226.3.30.

Figura 27–2 Nodo móvil que reside en su red principal

En la figura siguiente se muestra un nodo móvil que se ha trasladado a una red externo, Network B. Los datagramas destinados al nodo móvil son interceptados por el agente interno en la red principal, Network A, y encapsulados. A continuación, los datagramas se envían al agente externo en Network B, y el agente externo filtra el encabezado exterior. A continuación, el agente externo entrega el datagrama al nodo móvil, ubicado en Network B.

Figura 27–3 Nodo móvil que se traslada a una red externa

Es posible que la dirección de auxilio pertenezca a un agente externo. La dirección de auxilio puede adquirirse mediante el Protocolo dinámico de configuración de host (DHCP) o el Protocolo punto a punto (PPP). En el segundo caso, un nodo móvil posee una dirección de auxilio coubicada.

Los agentes de movilidad (agentes internos y externos) anuncian su presencia mediante mensajes de auncion de agente. Un nodo móvil tiene también la opción de solicitar un mensaje de anuncio de agente. El nodo utiliza cualquier agente de mobvilidad conectado localmente a través de un mensaje de solicitud de agente. Los nodos móviles utilizan los anunvios de agente para determinar si se encuentran en su red principal o en una red externa.

El nodo móvil utiliza un proceso de regisro especial para informar al agente interno acerca de la actual ubicación del nodo. El nodo móvil siempre está atento a los anuncios de los agentes de movilidad advirtiendo de su presencia. El nodo utiliza estos anuncios para determinar cuándo se ha trasladado a otra subred. Cuando un nodo móvil determina que el nodo móvil ha cambiado de ubicación, el nodo utiliza el nuevo agetnte externo para reenviar un mensaje de registro al agente interno. El nodo móvil utiliza el mismo proceso cuando el nodo móvil se mueve de una red externa a otra.

Cuando el nodo móvil detecta que se envcuentra en la red principal, el nodo deja de utilizar los servicios de movilidad. Cuando el nodo móvil vuelve a su red prinicpal, anula su registro con el agente interno.

Descubrimiento de agentes

Los nodos móviles utilizan el método denominado descubrimiento de agentes para determinar la información siguiente:

• Cuándo se ha trasladado el nodo de una red a otra

• Si la red es la prinipal o una red externa

• La dirección de auxilio de agente externo que ofrece cada agente externo de esa red

• Los servicios de movilidad que ofrece el agente de movilidad, anunciados en forma de indicadores, y las extensiones adiconales en el anuncio de agente

Los agentes de movilidad transmiten anuncios de agentes para avisar de sus servicios en una red. En ausencia de anuncios de agente, un nodo móvil puede solicitarlos. Esta función se denomina solicitud de agente. Si un nodo móvil admite su propia dirección de auxilio coubicada, el nodo puede utilizar anuncios de enrutador normales para la misma finalidad.

Anuncio de agente

Los nodos móviles utilizan anuncios de agentes para determinar el punto de conexión actual a Internet o a la red de una organización. Un anuncio de agente es un anuncio de enrutador del protocolo de mensajes de control de Internet (ICMP) que se ha ampliado para llevar también una extensión de anuncio de agente de movilidad.

Un agente externo puede estar demasiado ocupado para servir a otros nodos móviles. Sin embargo, el agente externo debe seguir enviando anuncios de agente. Así, el nodo móvil, ya registrado con un agente externo, sabe que no se ha movido fuera del ámbito del agente externo. El nodo móvil sabe también de este modo que no ha habido un fallo del agente externo. Un nodo móvil registrado con un agetne externo del que ya no recibe anuncios de agente probablemente sabe que ha perdido el contacto con ese agente.

Anuncios de agente a través de interfaces dinámicas

Se puede configurar la implementación del agente externo de modo que envía anuncios a través de interfaces creadas dinámicamente. También se pueden habilitar o inhabilitar anuncios no solicitados limitados a través de las interfaces de anuncios. Las interfaces creadas dinámicamente se definen como aquellas interfaces que se configuran después de que se inicie el daemon mipagent. Los anuncios a través de interfaces dinámicas son útiles en el caso de aplicaciones compatibles con interfaces de movilidad transitorios. Además, la limitación de anuncios no solicitados ayuda a ahorrar ancho de banda.

Solciitud de agente

Todos los nodos móviles deberían implementar la solicitud de agentes. El nodo móvil utiliza los mismos procedimientos, valores predeterminados y constantes que se especifican para los mensajes de solicitud de enrutadores ICMP.

El ritmo de envío de solicitudes por parte del nodo móvil está limitado por el nodo en sí. El nodo móvil puede enviar tras solicitudes iniciales al ritmo máximo de una solicitud por segundo mientras el nodo busca un agente. Una vez que el nodo móvil se registra con un agente, el ritmo de envío de solicitudes se reduce para limitar la carga sobre la red local.

Direcciones de auxilio

IP para móviles ofrece los siguientes modos alternativos para la obtención de direcciones de auxilio:

• Un agente externo proporciona una dirección de auxilio de agente externo, que se notifica al nodo móvil mediante mensajes de anuncio de agentes. La dirección de auxilio suele ser la dirección IP del agente externo que envía el anuncio. El agente externo es el extremo final del túnell. Cuando el agente externo recibe datagramas a través de un túnel, los desencapsula. A continuación, el agente entrega el datagrama interno al nodo móvil. Por tanto, varios nodos móviles pueden compartir la misma dirección de auxilio. En los enlaces inalámbricos, el ancho de banda es un factor importante. Desde los enlaces inalámbricos, los agentes externos pueden ofrecer servicios de IP para móviles a enlaces con un mayor ancho de banda.

• Un nodo móvil obtiene una dirección de auxilio coubicada como dirección IP local a través de algún medio externo. El nodo móvil se asocia a continuación con alguna de sus propios interfaces de red. El nodo puede obtener la dirección en forma temporal mediante DHCP. La direcicón puede también ser propiedad del nodo móvil a largo plazo. Sin embargo, el nodo solo puede utilizar la dirección mientras se halla de visita en la subred a la que pertenece la dirección de auxilio. Al utilizar una dirección de auxilio coubicada, el nodo móvil actúa como extremo final del túnel. El nodo efectúa el desencapsulado de los datagramas que le envían a través del túnel.

Una dirección de auxilio coubicada permite que el nodo móvil funcione sin necesidad de agente externo. Por tanto, un nodo móvil puede utilzar una dirección de auxilio coubicada en redes que no tienen implementado un agente externo.

Si un nodo móvil utiliza una dirección de auxilio coubicada, el nodo debe hallarse en un enlace identificado por el prefijo de red de la dirección de auxilio. En caso contrario, los datagramas que vayan destinados a la dirección de auxilio no se podrán entregar.

IP para móviles con túnel inverso

En la sección Funcionamiento de IP para móviles se asume que el enrutamiento dentro de Internet es independiente de la dirección de origen del datagrama. Sin embargo, es posible que un enrutador intermedio compruebe si la dirección de origen es topológicamente correcta. Si un enrutador intermedio efectúa esa comprobación, el nodo móvil deberá configurar un túnel inverso. Al configurar un túnel inverso desde la dirección de auxilio al agente interno, se garantiza que la dirección de origen del paquete de datos IP es topológicamente correcta. Los agentes externos e internos anuncian su compatibilidad con la función de túnel inverso. Un nodo móvil puede solicitar un túnel inverso entre al agente externo y el interno cuando el nodo se registra. Un túnel inverso empieza en la dirección de auxilio del nodo móvil y termina en el agente interno. En la figura siguiente se muestra la topología de IP para móviles que utiliza un túnel inverso.

Figura 27–4 IP para móviles con túnel inverso

Admisión limitada de direcciones privadas

Los nodos móviles con direcciones privadas que no son enrutables globalmente a través de Internet requieren el uso de túneles inversos. IP para móviles de Solaris es compatible con nodos móviles con direcciones privadas. ConsulteDescripción general de la implementación de IP para móviles en Solaris para conocer qué funciones no son compatibles con IP para móviles de Solaris.

Las empresas suelne emplear direcciones privadas si no necesitan conectividad externa. Las direcciones privadas no se pueden enrutar a través de Internet. Cuando un nodo móvil tiene una dirección privada, el nodo sólo puede comunicarse con un nodo de destino si su agente interno hace pasar sus datagramas a través de un túnel inverso. El agente interno entrega entences el datagrama al otro nodo de la misma forma que se entrega cuando el nodo móvil está en su red principal. En la figura siguiente se muestra una tiopología de red con dos nodos móviles con direcciones privadas. Los dos nodos utilizan la misma dirección de auxilio cuando se registran con el mismo agente externo.

Figura 27–5 Nodos móviles con dirección privada ubicados en la misma red externa

La dirección de auxilio y la dirección del agente interno deben ser direcciones enrutables globalmente si pertenecen a dominios distintos conectados por Internet pública.

La misma red externa puede incluir dos nodos móviles con direcciones privadas que tengan la misma dirección IP. Sin embargo, cada nodo móvil debe tener un agente interno distinto. Asimismo, cada dirección debe hallarse en una subred de anuncios distinta de un único agente externo. En la figura siguiente se muestra una topología de red en la que se muestra esta situación.

Figura 27–6 Nodos móviles con dirección privada ubicados en redes externas distintas

Registro de IP para móviles

Los nodos móviles detectan si se han trasladado de una subred a otra mediante el uso de anuncios de agentes. Cuando el nodo móvil recibe un anuncio de agente que indica que ha cambiado de ubicación, el nodo se regstra a través de un agente externo. Aunque es posible que el nodo móvil haya obtenido su propia dirección de auxilio coubicada, esta función se ofrece para restringir el acceso a siervicios de movilidad.

El registro de IP para móviles ofrece un mecanismo flecible para que los nodos móviles comuniquen al agente interno la información de su actual estado de accesibilidad. El proceso de registro permite a los nodos móviles efectuar las siguientes tareas:

• Solicitar servicios de reenvío al visitar una red externa

• Informar al agente interno de su dirección de auxilio actual

• Renovar un registro que esté a punto de caducar

• Anular el registro cuando el nodo móvil vuelve a su red principal

• Solicitar un túnel inverso

En los mensajes de registro se intercambia información entre un nodo móvil, un agente externo y el agente interno. El registro crea o modifica un enlace de movilidad en el agente interno. El proceso de registro asocia la dirección permanente del nodo móvil durante la vida útil especificada.

El proceso de registro permite también a los nodos móviles efectuar las siguientes funciones:

• Registrarse con varios agentes externos

• Anular direcciones de auxilio específicas al tiempo que se conservan otros enlaces de movilidad

• Descubrir la dirección de un agente interno si el nodo móvil no está configurado con esta información

IP para móviles define los siguientes procesos de registro para un nodo móvil:

• Si un nodo móvil registra la dirección de auxilio de un agente externo, el nodo móvil está indicando al agente interno que está accesible a través de dicho agente externo.

• Si un nodo móvil recibe un anuncio de agente que exige que el nodo se registre a través de un agente externo, el nodo móvil puede aún intentar obtener una dirección de auxilio coubicada. El nodo móvil puede también registrarse con ese agente externo o cualquier otro en ese enlace.

• Si un nodo móvil utiliza una dirección de auxilio coubicada, el nodo se registra directamente con el agente interno.

• Si un nodo móvil vuelve a su red principal, el nodo anula su registro con el agente interno.

Estos procesos de registro implican el intercambio de solicitudes de registro y de mensajes de respuesta de registro. Cuando el nodo móvil se registra mediante un agente externo, el proceso de registro reocrre los pasos siguientes, que se muestran en la figura a continuación:

1. El nodo móvil envía una solicitud de registro al agente externo previsto para iniciar el proceso de registro.

2. El agente externo procesa la solicitud de registro y a continuación la envía al agente interno.

3. El agente interno envía una respuesta de registro al agente externo para conceder o denegar la solicitud.

4. El agente externo procesa la respuesta de registro y a continuación la envía al nodo móvill para indicarle la disposición de la solicitud.

Figura 27–7 Proceso de registro de IP para móviles

Cuando el nodo móvil se registra directamente en el agente interno, el proceso de registro se compone únicamente de estos pasos:

• El nodo móvil envía una solicitud de registro al agente interno.

• El agente interno envía una respuesta de registro al nodo móvil que concede o deniega la solicitud.

Asimismo, el agente externo o el interno pueden requerir un túnel inverso. Si el agente externo es compatible con la función de túnel inverso, el nodo móvil utiliza el proceso de registro para solicitar un túnel inverso. El nodo móvil activa el indicador de túnel inverso en la solicitud de registro para pedir un túnel inverso.

Identificador de acceso de red (NAI)

Los servidores de autenticación, autorización y contbilidad (en inglés, AAA) utilizados en Internet proporcionan servicios de autentivcación y autorización para sistemas de acceso telefónico. Estos servicios son también válidos para nodos móviles que utilizan IP para móviles cuando los nodos intentan conectarse a dominios externos con servidores AAA. Los servidores AAA utilizan el Identifcicador de acceso de red (NAI) para identificar a los clientes. Un nodo móvil puede identificarse a sí mismo si incluye el NAI en la solicitud de registro de IP para móviles.

El NAI se suele utilizar como identificador exclusivo del nodo móvil, por lo que no siempre es necesaria la dirección permanente del nodo para proporcionar dicha función. Así, un nodo móvil se puede autenticar a sí mismo. Por tanto, se puede autorizar a un nodo móvil la conexión a un dominio externo sin siquiera disponer de una dirección permanente. Para solicitar la asignación de una dirección permanente, un mensaje que contenga la extensión NAI del nodo móvil puede poner a cero el de .campo de dirección permanente de la solicitud de registro.

Autenticación mediante mensaje de IP para móviles

Cada nodo móvil, agente interno y externo admiten una asociación de seguridad de movilidad entre los distintos componentes de IP para móviles. La asociación de seguridad está indexada por el índice de parámetro de seguridad (SPI) y la dirección IP. En el caso del nodo móvil, esta dirección es la dirección permanente del nodo. Los mensajes de registro entre un nodo móvil y el agente interno se autentican con la extensión de autenticación nodo móvil-agente interno. Aparte de la autenticación nodo móvil-agente interno, que es obligatoria, puede utilizar las autenticaciones opcionales nodo móvil-agente externo y agente externo-agente interno.

Solicitud de registro del nodo móvil

Los nodos móviles utilizan un mensaje de solicitud de registro para registrarse con el agente interno. Así, el agente interno puede crear o modificar un enlace de movilidad para ese nodo móvil (por ejemplo, con un nuevo valor de vida útil). El agente externo puede transmitir la solicitud de registro al agente interno. Sin embargo, si el nodo móvil está registrando una dirección de auxilio coubicada, el nodo puede enviar la solicitud de registro directamente al agente interno. Si el agente externo anunca que los mensajes de registro se deben enviar al agente externo, el nodo móvil deberá enviar la solicitud de registro al agente externo.

Mensaje de respuesta de registro

Un agente de movilidad devuelve un mensaje de respuesta de registro a un nodo móvil que ha enviado un mensaje de solicitud de registro. Si el nodo móvil solicita servicio de un agente externo, ese agente recibe la respuesta del agente interno. A continuación, el agente externo transmite la respuesta al nodo móvil. El mensaje de respuesta contiene los códigos necesarios para informar al agente externo del estado de la solicitud de registro. El mensaje contiene también la vida útil que concede el agente interno. Dicha vida puede ser inferior a la solicitud original. La respuesta de registro puede contener también una asignación de dirección permanente dinámica.

Consideraciones del agente externo

El agente externo tiene mayoritamiente un papel pasivo en el proceso de registro de IP para móviles. El agente externo agrega todos los nodos móviles registrados a la tabla de visitantes. El agente externo tranmite las solicitudes de registro entre nodos móviles y agentes internos. Asimismo, cuando el agente interno proporciona la dirección de auxilio, el agente externo desencapsula los datagramas para su entrega al nodo móvil, El agente externo envvía también mensajes periódicos de anuncio de agente para advertir de su presencia.

Si los agentes internos y los externos admiten túneles inversos y el nodo móvil solicita un túnel inverso, el agente externo envía por el túnel todos los paquetes del nodo móvil al agente interno. A continuación, el agente interno envía los paquetes al nodo de destino. Este proceso es inverso al del agente interno enviando por túnel todos los paquetes del nodo móvil al agente externo para su entrega al nodo móvil. Un agente externo compatible con túneles inversos anuncia esta compatibilidad para el registro. A causa de las directrices locales, el agente externo pude denegar una solicitud de registro si el indicador de túnel inverso no está activado. El agente externo sólo puede distinguir varios nodos móviles con la misma dirección IP (privada) si dichos nodos visitan interfaces distintas del agente externo. En la situación del túnel directo, el agente externo distingue entre los diversos nodos móviles que comparten la misma dirección privada consultando la interfaz del túnel entrante. La interfaz del túnel entrante está asociada únívocamente con una dirección de agente interno.

Consideraciones del agente interno

El agente interno tiene una tarea activa en el proceso de registro. El agente interno recibe solicitudes de registro del nodo móvil. La solicitud de registro puede haber sido trasnmitida por el agente externo. El agente interno actualiza su registro de los enlaces de movilidad de este nodo móvil. El agente interno emite una respuesta de registro adecuada para cada solicitud de registro. El agente interno reenvía también paquetes al nodo móvil cuando este no está en la red principal.

Un agente interno puede no tener configurada una subred física para los nodos móviles. Sin embargo, el agente debe reconocer la dirección permanente del nodo móvil mediante el archivo mipagent.conf u otro mecanismo cuando concede el registro. Para obtener más información acerca de mipagent.conf, consulte Creación del archivo de configuración de IP móvil.

Un agente interno puede admitir nodos móviles con direcciones privadas configurando estos nodos en el archivo mipagent.conf. Las direcciones permanentees que utiliza el agente interno deben ser exclusivas.

Descubrimiento dinámico de agente interno

En ciertas situaciones, es posible que el nodo móvil no conozca la dirección del agente interno cuando el nodo intenta registrarse. Si el nodo móvil no sabe la dirección del agente interno, puede utilizar la resolución dinámica de la dirección del agente para averiguarla. En esta sitaución, el nodo móvil asigna como valor del campo de agente interno en la solicitud de registro la dirección de multidifusión de su red principal dirigida a la subred. Cada agente interno que reciba una solicitud de registro con una dirección de destino que sea una dirección de multidifusión rechazaará el registro del nodo móvil devolviendo una respuesta de rechazo de registro. De esta forma, el nodo móvil puede utilizar la dirección IP de unidifusión del agente interno indicada en la respuesta de rechazo la siguiente vez que el nodo intente registrarse.

Encaminamiento de datagramas entre nodos móviles

En esta sección se describe de qué modo los nodos móviles y los agentes externos cooperan para enrutar los datagramas de los nodos móviles conectados a una red externa. ConsulteDescripción general de la implementación de IP para móviles en Solaris para conocer qué funciones son compatibles con el SO Solaris.

Métodos de encapsulado

Los agentes internos y externos utilizan alguno de los métodos de encapsulado disponibles para admitir datagramas que utilcen túnel. Los métodos de encapsulado definidos son Encapsulado de IP en IP, Encapsulado mínimo y Encapsulado de enrutamiento genérico (GRE). El agente interno y el externo, o el nodo móvil coubicado indirecto y el agente interno, deben admitir el mismo método de encapsulado. Todas las entidades de IP para móviles deben admitir el encapsulado de IP en IP.

Encaminamiento de datagramas de unidifusión

Al registrarse en una red externa, el nodo móvil utiliza las siguientes reglas para elegir un enrutador predeterminado:

• Si el nodo móvil está registrado y utiliza una dirección de auxilio de un agente externo, el proceso es directo. El nodo móvil elige su enrutador predeterminado de entre las direcciones de enrutador anunciado en la parte de anuncio de enrutador ICMP del anuncio del agente. El nodo móvil puede también tener en cuenta la dirección IP de origen del anuncio del agente como otra posible opción para la dirección IP de un enrutador predeterminado.

• El nodo móvil puede registrarse directamente con el agente interno mediante el uso de una dirección de auxilio coubicada. A continuación, el nodo móvil elige su enrutador predeterminado entre los que están anunciados en cualquier mensaje de anuncio de enrutador ICMP que reciba. El prefijo de red del enrutador predeterminado elegido debe coincidir con el prefijo de red de la dirección de auxilio del nodo móvil que se obtiene de forma externa. La dirección debe coincidir con la dirección IP de origen del anuncio de agente bajo el prefijo de red. El nodo puede asimismo considerar esa dirección IP de origen como otra posible alternativa de dirección IP de un enrutador predeterminado.

• Si el nodo móvil está registrado, un agente externo que admita túnel inverso enruta los datagramas de unidifusión del nodo móvil al agente interno a través del túnel inverso. Si el nodo móvil está registrado con un agente externo que admite túnel inverso, el nodo deberá utilizar ese agente como enrutador predeterminado.

Datagramas de multidifusión

Cuando un agente interno recibe un datagrama de multidifusión o de difusión, el agente interno reenvía únicamente el datagrama a los nodos móviles que han solicitado específicamente recibirlos. El modo en que el agente interno envía estos datagramas a los nodos móviles depende principalmente de dos factores. Bien el nodo móvil utiliza una dirección de auxilio proporcionada por un agente externo o bien utiliza du propia dirección de auxilio coubicada. El primer caso implica que el datagrama debe tener un doble encapsulado. El primer encabezado IP identifica el nodo móvil para el que se debe entregar el datagrama. El primer encabezado IP no está presente en el datagrama de multidifusión o difusión. El segundo encabezado IP identifica la dirección de auxilio y es el encabezado de túnel habitual. En el segundo caso, el nodo móvil desencapsula sus propios datagramas, y basta con enviar el datagrama a través del túnel usual.

Encaminamiento de datagramas de multidifusión

Para empezar a recibir tráfico de multidifusión cuando un nodo móvil está visitando una subred externa, el nodo puede unirse a un grupo de multidifusión mediante uno de estos métodos:

• Si el nodo móvil utiliza una dirección de auxilio coubicada, puede utilizarla como dirección IP de origen de cualquier mensaje de entrada del Protocolo de gestión de grupos de Internet (IGMP). Sin embargo, la subred visitada debe disponer de un enrutador de multidifusión.

• Si el nodo móvil quiere unirse al grupo de ICMP desde su subred principal, deberá utilizar un túnel inverso para enviar mensajes de entrada IGMP al agente interno. Sin embargo, el agente interno del nodo móvil debe ser un enrutador de multidifusión. El agente interno reenvía entonces los datagramas de multidifusión al nodo móvil a través del túnel.

• Si el nodo móvil utiliza una dirección de auxilio coubicada, puede utilizarla como dirección IP de origen de los mensajes de entrada IGMP. Sin embargo, la subred visitada debe disponer de un enrutador de multidifusión. Una vez que el nodo móvil ha entrado en el grupo, puede participar enviando sus propios paquetes de multidifusión directamente en la red visitada.

• Enviar directamente en la red visitada.

• Enviar al agente interno a través de un túnel.

El enrutamiento de multidifusión depende de la dirección IP de origen. Un nodo móvil que envía un datagrama de multidifusión debe enviarlo desde una dirección de origen válida en ese enlace. Así, un nodo móvil que envíe datagramas de multidifusión directamente en la red visitada debe utilizar una dirección de auxilio coubicada como dirección IP de origen. Asimismo, el nodo móvil debe haberse unido al grupo de multidifusión asociado con la dirección. De forma similar, un nodo móvil que se haya unido a un grupo de multidifusión mientras estaba en su subred, antes de trasladarse, o se haya unido a un grupo de multidifusión utilizando itinerancia a través de un túnel inverso con su agente interno, deberá utilizar su dirección permanente como dirección IP de origen del datagrama de multidifusión. Así, el nodo móvil deberá enviar también estos datagramas por túnel inverso a su subred principal, ya sea él mismo mediante su dirección de auxilio coubicada o a través del túnel inverso de un agente externo.

Aunque parece más eficiente que un nodo móvil se una siempre desde la subred que está visitando, sigue siendo un nodo móvil. En consecuencia, el nodo debería repetir la entrada cada vez que cambiase de subred. La forma más eficiente es que el nodo móvil se una a través de su agente interno, sin tener que encargarse de la carga adicional. Asimismo, puede haber sesiones de multidifusión solo disponibles desde la subred principal. Otros factores pueden también exigir que el nodo móvil participe de un modo específico.

Consideraciones de seguridad para IP para móviles

En numerosas situaciones, los equipos móviles utilizan enlaces inalámbricos para conectarse a la red. Los enlaces inalámbricos son especialmente vulnerables a intrusiones pasivas, ataques de repetición activos y otros ataques activos.

IP para móviles carece de capacidad para reducir o eliminar esta vulnerabilidad, de modo que utiliza un tipo de autenticación para proteger los mensajes de registro de IP para móviles contra estos ataques. El algoritmo predeterminado utilizado es MD5, con una clave de 128 bits. El modo de funcionamiento predeterminado exige que la clave preceda y remate los datos del hash. El agente externo utiliza MD5 para la autenticación. Este agente utiliza también claves de 128 bits o mayores, con distribución de claves manual. IP para móviles puede admitir otros algoritmos de autenticación, modos de algoritmo, métodos de distribución de claves y tamaños de clave.

Estos métodos impiden la modificación de los mensajes de registro de IP para móviles. Sin embargo, IP para móviles utiliza también una forma de protección de repetición para avisar a las entidades de IP para móviles cuando reciben duplicados de mensajes de registro anteriores. Sin este método de protección, el nodo móvil y su agente interno podrían perder la sincronización cuando alguno de ellos recibiese un mensaje de registro. Así, IP para móviles actualiza su estado. Por ejemplo, un agente interno recibe un mensaje de anulación de registro duplicado mientras el nodo móvil está registrado a través de un agente externo.

La protección de repetición se efectúa mediante un método denominado nonces o indicaciones de hora. Los agentes internos y los nodos móviles intercambian nonces e indicaciones de hora dentro de los mensajes de registro de IP para móviles. Las nonces e indicaciones de hora están protegidas contra modificaciones por un algoritmo de autenticación. Por consiguiente, si un agente interno recibe un mensaje duplicado, el mensaje puede descartarse.

El uso de túneles puede suponer una vulnerabilidad significativa, en especial si el registro no está autenticado. Asimismo, el Protocolo de resolución de direcciones (ARP) no está autenticado, y se puede utilizar para robar el tráfico de otro host.

Capítulo 28 Administración de IP móvil (tareas)

En este capítulo se ofrecen procedimientos para modificar, agregar, eliminar y mostrar parámetros del archivo de configuración de IP móvil. En él se indica también como mostrar el estado del agente de movilidad.

Este capítulo contiene la información siguiente:

• Creación del archivo de configuración de IP móvil (mapa de tareas)

• Creación del archivo de configuración de IP móvil

• Modificación del archivo de configuración de IP móvil

• Modificación del archivo de configuración de IP móvil (mapa de tareas)

• Presentación del estado del agente de movilidad

• Presentación de las rutas de movilidad de un agente externo

Para ver una introducción a IP para móviles, consulte el Capítulo 27IP para móviles (Descripción general). Para ver información detallada sobre IP para móviles, consulte el Capítulo 29Archivos y comandos de IP para móviles (referencia) .

La función IP móvil se suprime de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.

Creación del archivo de configuración de IP móvil (mapa de tareas)

Creación del archivo de configuración de IP móvil

En esta sección se explica cómo planificar para IP móvil y crear el archivo /etc/inet/mipagentconfiguración.

Cómo planificar para IP móvil

Cuando se configura el archivo mipagent.conf por primera vez, se deben efectuar las tareas siguientes:

1. En función de las necesidades de su organización, determinar qué funciones puede ofrecer su agente de IP móvil:

   • solo funcionalidad de agente externo

   • sólo funcionalidad de agente interno

   • Funcionalidad de agente interno y externo

2. Cree el archivo /etc/inet/mipagent.conf y especifique los parámetros necesarios mediante los procedimientos descritos en esta sección. También puede copiar uno de los archivos siguientes en /etc/inet/mipagentconfiguración y modificarlo según sus necesidades:

   • Para funcionalidad de agente externo, copie /etc/inet/mipagentconfiguración.fa-sample .

   • Para funcionalidad de agente interno, copie /etc/inet/mipagentconfiguración.ha-sample .

   • Para funcionalidad de agente externo y de agente interno, copie /etc/inet/mipagentconfiguración-sample.

3. Puede reiniciar el equipo e invocar la secuencia de inicio que inicia el daemon mipagent. También puede iniciar mipagent escribiendo el comando siguiente:

   # /etc/inet.d/mipagent start

Creación del archivo de configuración de IP móvil

1. Asuma la función de administrador principal, o conviértase en superusuario, en el sistema en el que quiera activar IP móvil.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

2. Cree el archivo /etc/inet/mipagentconfiguración mediante una de estas opciones:

   • En el directorio /etc/inet, cree un archivo vacío con el nombre mipagentconfiguración.

   • Copie el archivo de la lista siguiente que ofrezca la funcionalidad que desee para el archivo /etc/inet/mipagentconfiguración.

     • /etc/inet/mipagentconfiguración.fa-sample

     • /etc/inet/mipagentconfiguración.ha-sample

     • /etc/inet/mipagentconfiguración-sample

3. Agregue o modifique parámetros de configuración en el archivo /etc/inet/mipagentconfiguración para adaptarse a sus requisitos.

   En el resto de procedimientos de esta sección se describen los pasos para modificar las secciones de /etc/inet/mipagentconfiguración.

Cómo configurar la sección General

Si ha copiado uno de los archivos de ejemplo del directorio /etc/inet, puede hacer caso omiso de este procedimiento, porque el archivo de ejemplo ya contiene esta entrada. Sección General proporciona descripciones de las etiquetas y valores que se utilizan en esta sección.

1. Edite el archivo /etc/inet/mipagentconfiguración y agreugue las líneas siguientes:

   [General] Version = 1.0

   ---

   Nota –

   El archivo /etc/inet/mipagent.conf debe contener esta entrada.

   ---

Cómo configurar la sección Advertisements

Sección Advertisements proporciona descripciones de las etiquetas y valores que se utilizan en esta sección.

1. Edite el archivo /etc/inet/mipagentconfiguración y agregue o modifique las siguientes líneas utilizando los valores requeridos para su configuración.

   [Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> PrefixFlags = <yes/no> AdvertiseOnBcast = <yes/no> RegLifetime = n AdvLifetime = n AdvFrequency = n ReverseTunnel = <yes/no/FA/HA/both> ReverseTunnelRequired = <yes/no/FA/HA>

   ---

   Nota –

   Deberá incluir una sección Advertisements distinta para cada interfaz del host local que ofrezca servicios de IP móvil.

   ---

Cómo configurar la sección GlobalSecurityParameters

Sección GlobalSecurityParameters proporciona descripciones de las etiquetas y valores que se utilizan en esta sección.

1. Edite el archivo /etc/inet/mipagentconfiguración y agregue o modifique las siguientes líneas utilizando los valores requeridos para su configuración.

   [GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files

Cómo configurar la sección Pool

Sección Pool proporciona descripciones de las etiquetas y valores que se utilizan en esta sección:

1. Edite el archivo /etc/inet/mipagentconfiguración

2. Agregue o modifique las siguientes líneas utilizando los valores necesarios para su configuración:

   [Pool pool-identifier] BaseAddress = IP-address Size = size

Cómo configurar la sección SPI

Sección SPI proporciona descripciones de las etiquetas y valores que se utilizan en esta sección.

1. Edite el archivo /etc/inet/mipagentconfiguración .

2. Agregue o modifique las siguientes líneas utilizando los valores necesarios para su configuración:

   [SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key

   ---

   Nota –

   Deberá incluir una sección SPI distinta para cada contexto de seguridad implementado.

   ---

Cómo configurar la sección Address

Sección Address proporciona descripciones de las etiquetas y valores que se utilizan en esta sección.

1. Edite el archivo /etc/inet/mipagentconfiguración .

2. Agregue o modifique las siguientes líneas utilizando los valores necesarios para su configuración:

   • Para un nodo móvil, utilice lo siguiente:

     [Address address] Type = node SPI = SPI-identifier

   • Para un agente, utilice lo siguiente:

     [Address address] Type = agent SPI = SPI-identifier

   • Para un nodo móvil identificado por su NAI, utilice lo siguiente:

     [Address NAI] Type = Node SPI = SPI-identifier Pool = pool-identifier

   • Para un nodo móvil predeterminado, utilice lo siguiente:

     [Address Node-Default] Type = Node SPI = SPI-identifier Pool = pool-identifier

Modificación del archivo de configuración de IP móvil (mapa de tareas)

Modificación del archivo de configuración de IP móvil

En esta sección se indica cómo modificar el archivo de configuración de IP móvil mediante el comando mipagentconfig. También se indica cómo mostrar los valores actuales de los destinos de parámetros.

EnConfiguración del agente de movilidad IP se ofrece una descripción conceptual del uso del comando mipagentconfig. También puede consultar la página de comando man mipagentconfig(1M).

Cómo modificar la sección General

1. Asuma la función de Administrador principal, o conviértase en superusuario, en el sistema en el que quiera activar IP móvil.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

2. En una línea de comandos, escriba el comando siguiente para cada etiqueta de la sección General que quiera modificar.

   # mipagentconfig change <label> <value>

Ejemplo 28–1 Modificación de un parámetro de la sección General

En el ejemplo siguiente se muestra cómo modificar el número de versión en la sección General del a. de configuración.

# mipagentconfig change version 2

Cómo modificar la sección Advertisements

1. Asuma la función de administrador principal, o conviértase en superusuario, en el sistema en el que quiera activar IP móvil.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

2. Escriba el comando siguiente para cada una de las etiquetas que quiera modificar en la sección Advertisements:

   # mipagentconfig change adv device-name <label> <value>

   Por ejemplo, si va a modificar la vida útil anunciada del agente a 300 segundos para el dispositivo hme0, utilice el siguiente comando.

   # mipagentconfig change adv hme0 AdvLifetime 300

Ejemplo 28–2 Modificación de la sección Advertisements

En el ejemplo siguiente se muestra cómo modificar otros parámetros en la sección Advertisements del a. de configuración.

# mipagentconfig change adv hme0 HomeAgent yes
# mipagentconfig change adv hme0 ForeignAgent no
# mipagentconfig change adv hme0 PrefixFlags no
# mipagentconfig change adv hme0 RegLifetime 300
# mipagentconfig change adv hme0 AdvFrequency 4
# mipagentconfig change adv hme0 ReverseTunnel yes

Cómo modificar la sección GlobalSecurityParameters

1. Asuma la función de administrador principal, o conviértase en superusuario, en el sistema en el que quiera activar IP móvil.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

2. Escriba el comando siguiente para cada una de las etiquetas que quiera modificar en la sección GlobalSecurityParameters:

   # mipagentconfig change <label> <value>

   Por ejemplo, si quiere activar la autenticación para el agente interno y el externo, utilice el comando siguiente:

   # mipagentconfig change HA-FAauth yes

Ejemplo 28–3 Modificación de la sección GlobalSecurityParameters

En el ejemplo siguiente se muestra cómo modificar otros parámetros en la sección GlobalSecurityParameters del a. de configuración.

# mipagentconfig change MaxClockSkew 200
# mipagentconfig change MN-FAauth yes
# mipagentconfig change Challenge yes
# mipagentconfig change KeyDistribution files

Cómo modificar la sección Pool

1. Asuma la función de administrador principal, o conviértase en superusuario, en el sistema en el que quiera activar IP móvil.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

2. Escriba el comando siguiente para cada etiqueta de la sección Pool que quiera modificar.

   # mipagentconfig change Pool pool-identifier <label> <value>

Ejemplo 28–4 Modificación de la sección Pool

En el ejemplo siguiente se muestran los comandos que se utilizan para cambiar la dirección base a 192.168.1.1 y el tamaño de la agrupación 10 a 100.

# mipagentconfig change Pool 10 BaseAddress 192.168.1.1
# mipagentconfig change Pool 10 Size 100

Cómo modificar la sección SPI

1. Asuma la función de administrador principal, o conviértase en superusuario, en el sistema en el que quiera activar IP móvil.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

2. Escriba el comando siguiente para cada una de las etiquetas que quiera modificar en la sección SPI:

   # mipagentconfig change SPI SPI-identifier <label> <value>

   Por ejemplo, si va a cambiar la clave de SPI 257 en 5af2aee39ff0b332, utilice el comando siguiente.

   # mipagentconfig change SPI 257 Key 5af2aee39ff0b332

Ejemplo 28–5 Modificación de la sección SPI

En el ejemplo siguiente se indica cómo cambiar la etiqueta ReplayMethod en la sección SPI del archivo de configuración.

# mipagentconfig change SPI 257 ReplayMethod timestamps

Cómo modificar la sección Address

1. Asuma la función de administrador principal, o conviértase en superusuario, en el sistema en el que quiera activar IP móvil.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

2. Escriba el comando siguiente para cada una de las etiquetas que quiera modificar en la sección Address:

   # mipagentconfig change addr [NAI | IPaddr | node-default] <label> <value>

   Para ver una descripción de los tres métodos de configuración (NAI, dirección IP y nodo predeterminado), consulte Sección Address.

   Por ejemplo, para modificar el SPI de la dirección IP 10.1.1.1 a 258, utilice el siguiente comando:

   # mipagentconfig change addr 10.1.1.1 SPI 258

Ejemplo 28–6 Modificación de la sección Address

En el ejemplo siguiente se muestra cómo modificar los otros parámetros incluidos en la sección Address del archivo de configuración de ejemplo.

# mipagentconfig change addr 10.1.1.1 Type agent
# mipagentconfig change addr 10.1.1.1 SPI 259
# mipagentconfig change addr mobilenode@abc.com Type node
# mipagentconfig change addr mobilenode@abc.com SPI 258
# mipagentconfig change addr mobilenode@abc.com Pool 2
# mipagentconfig change addr node-default SPI 259
# mipagentconfig change addr node-default Pool 3
# mipagentconfig change addr 10.68.30.36 Type agent
# mipagentconfig change addr 10.68.30.36 SPI 260

Cómo agregar o eliminar parámetros del archivo de configuración

1. Asuma la función de administrador principal, o conviértase en superusuario, en el sistema en el que quiera activar IP móvil.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

2. Escriba el comando correspondiente para cada etiqueta que quiera agregar o eliminar en la sección designada:

   • Para la sección General, utilice el siguiente comando:

     # mipagentconfig [add | delete] <label> <value>

   • Para la sección Advertisements, utilice el siguiente comando:

     # mipagentconfig [add | delete] adv device-name <label> <value>

     ---

     Nota –

     Para agregar una interfaz, escriba lo siguiente:

     # mipagentconfig add adv device-name

     En este caso se asignan a la interfaz valores predeterminados (tanto para el agente externo como para el interno).

     ---

   • Para la sección GlobalSecurityParameters, utilice el siguiente comando:

     # mipagentconfig [add | delete] <label> <value>

   • Para la sección Pool, utilice el siguiente comando:

     # mipagentconfig [add | delete] Pool pool-identifier <label> <value>

   • Para la sección SPI, utilice el siguiente comando:

     # mipagentconfig [add | delete] SPI SPI-identifier <label> <value>

   • Para la sección Address, utilice el siguiente comando:

     # mipagentconfig [add | delete] addr [NAI | IP-address | node-default] \ <label> <value>

   ---

   Nota –

   No cree secciones Advertisements, Pool , SPI y Address idénticas.

   ---

Ejemplo 28–7 Modificación de parámetros de archivo

Por ejemplo, para crear una nueva agrupación de direcciones, Pool 11, con una dirección base de 192.167.1.1 y un tamaño de 100, utilice estos comandos.

# mipagentconfig add Pool 11 BaseAddress 192.167.1.1 
# mipagentconfig add Pool 11 size 100

Ejemplo 28–8 Eliminación de SPI

En el ejemplo siguiente se muestra cómo eliminar el parámetro de seguridad SPI SPI 257.

# mipagentconfig delete SPI 257

Cómo mostrar los valores actuales de los parámetros del archivo de configuración

Se puede utilizar el comando mipagentconfig get para mostrar los valores actuales asociados con los destinos de los parámetros.

1. Asuma la función de Administrador principal, o conviértase en superusuario, en el sistema en el que quiera activar IP móvil.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

2. Escriba el comando siguiente para cada uno de los parámetros cuyo valor quiera mostrar:

   # mipagentconfig get [<parameter> | <label>]

   Por ejemplo, si quiere mostrar los valores de anuncio del dispositivo hme0, utilice el siguiente comando:

   # mipagentconfig get adv hme0

   El resultado del comando será una pantalla similar a la siguiente:

   [Advertisements hme0] HomeAgent = yes ForeignAgent = yes

Ejemplo 28–9 Uso del comando mipagentconfig get para mostrar valores de parámetros

En el ejemplo siguiente se muestra el resultado del uso del comando mipagentconfig get con otros destinos de parámetros.

# mipagentconfig get MaxClockSkew
      [GlobalSecurityParameters]
         MaxClockSkew=300

# mipagentconfig get HA-FAauth
      [GlobalSecurityParameters]
         HA-FAauth=no

# mipagentconfig get MN-FAauth
      [GlobalSecurityParameters]
         MN-FAauth=no

# mipagentconfig get Challenge
      [GlobalSecurityParameters]
         Challenge=no

# mipagentconfig get Pool 10
      [Pool 10]
         BaseAddress=192.168.1.1
         Size=100

# mipagentconfig get SPI 257
      [SPI 257]
         Key=11111111111111111111111111111111
         ReplayMethod=none

# mipagentconfig get SPI 258
      [SPI 258]
         Key=15111111111111111111111111111111
         ReplayMethod=none

# mipagentconfig get addr 10.1.1.1
      [Address 10.1.1.1]
         SPI=258
         Type=agent

# mipagentconfig get addr 192.168.1.200
      [Address 192.168.1.200]
         SPI=257
         Type=node

Presentación del estado del agente de movilidad

Puede utilizar el comando mipagentstat para mostrar la lista de visitantes del agente externo y la tabla de enlace del agente interno. EnEstado de un agente de movilidad de IP para móviles se ofrece una descripción conceptual del uso del comando mipagentstat. También puede consultar la página de comando man mipagentstat(1M).

Cómo mostrar el estado del agente de movilidad

1. Conviértase en superusuario o asuma una función equivalente en el sistema en el que va a activar IP móvil.

   Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Muestre el estado del agente de movilidad.

   # mipagentstat options

   -f

   Muestra la lista de nodos móviles activos en la lista de visitantes del agente externo.

   -h

   Muestra la lista de nodos móviles activos en la tabla de enlace del agente interno.

   -p

   Muestra la lista de asociaciones de seguridad con los agentes de movilidad equivalentes de un agente.

Ejemplo 28–10 Presentación del estado del agente de movilidad

En este ejemplo se indica cómo mostrar la lista de visitantes de todos los nodos móviles registrados con un agente externo.

# mipagentstat -f

El resultado será una pantalla similar a la siguiente:

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  ha1.xyz.com    600          125       .....T.
10.1.5.23       10.1.5.1       1000         10        .....T.

El resultado será una pantalla similar a la siguiente:

Foreign                  ..... Security Association(s).....
Agent                    Requests Replies  FTunnel  RTunnel
----------------------   -------- -------- -------- --------
forn-agent.eng.sun.com   AH       AH       ESP      ESP

En este ejemplo se indica cómo mostrar las asociaciones de seguridad de un agente interno.

# mipagentstat -fp

El resultado será una pantalla similar a la siguiente:

Home                     ..... Security Association(s) .....
Agent                    Requests Replies  FTunnel  RTunnel
----------------------   -------- -------- -------- --------
home-agent.eng.sun.com   AH       AH       ESP      ESP
ha1.xyz.com              AH,ESP   AH       AH,ESP   AH,ESP

Presentación de las rutas de movilidad de un agente externo

Utilice el comando netstat para mostrar información adicional acerca de rutas específicas de cada origen creadas mediante túneles directos e inversos. Para más información acerca de este comando consulte la página de comando man netstat(1M).

Cómo mostrar las rutas de movilidad de un agente externo

1. Conviértase en superusuario o asuma una función equivalente en el sistema en el que va a activar IP móvil.

   Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Muestre las rutas de movilidad.

   # netstat -rn

Ejemplo 28–11 Presentación de las rutas de movilidad de un agente externo

En el ejemplo siguiente se muestran las rutas para un agente externo que utiliza un túnel inverso.

Routing Table:   IPv4 Source-Specific     
Destination      In If     Source      Gateway Flags  Use  Out If
--------------  ------- ------------ --------- -----  ---- -------
10.6.32.11      ip.tun1      --      10.6.32.97  UH      0 hme1
    --          hme1    10.6.32.11       --      U       0 ip.tun1

La primera línea indica que la dirección IP de destino 10.6.32.11 y la interfaz entrante ip.tun1 seleccionan hme1 como interfaz de reenvío de los paquetes. La línea siguiente indica que cualquier paquete que se origine desde la interfaz hme1 y la dirección de origen 10.6.32.11 debe reenviarse a ip.tun1.

Capítulo 29 Archivos y comandos de IP para móviles (referencia)

En este capítulo se describen los componentes incluidos en la implementación de Solaris de IP para móviles. Para utilizar IP para móviles deberá en primer lugar crear el archivo de configuración de IP para móviles mediante los parámetros y comandos que se describen en este capítulo.

Este capítulo contiene la información siguiente:

• Descripción general de la implementación de IP para móviles en Solaris

• Archivo de configuración de IP para móviles

• Configuración del agente de movilidad IP

• Estado de un agente de movilidad de IP para móviles

• Información de estado de IP para móviles

• Extensiones de netstat para IP para móviles

• Extensiones snoop de IP para móviles

La función IP móvil se suprime de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.

Descripción general de la implementación de IP para móviles en Solaris

El software de agente de movilidad incorpora las funciones de agente interno y agente externo. El software de IP móvil de Solaris no ofrece un nodo móvil cliente. Únicamente se ofrece la funcionalidad de agente. Todas las redes compatibles con movilidad deben tener al menos un host estático (no móvil) que ejecute este software.

La implementación de IP para móviles en Solaris es compatible con las siguientes funciones RFC:

• RFC 1918, "Address Allocation for Private Internets"

• RFC 2002, "IP Mobility Support" (Agent only)

• RFC 2003, "IP Encapsulation Within IP"

• RFC 2794, "Mobile IP Network Access Identifier Extension for IPv4"

• RFC 3012, "Mobile IPv4 Challenge/Response Extensions"

• RFC 3024, "Reverse Tunneling for Mobile IP"

El protocolo de IP para móviles básico (RFC 2002) no resuelve el problema de distribución de claves ampliable y trata la distribución de claves como un problema ortogonal. El software IP para móviles de Solaris utiliza únicamente claves configuradas manualmente, que se especifican en un archivo de configuración.

Las siguientes funciones RFC no son compatibles con la implementación Solaris de IP para móviles:

• RFC 1701, "General Routing Encapsulation"

• RFC 2004, "Minimal Encapsulation Within IP"

Las siguientes funciones no son compatibles con la implementación Solaris de IP para móviles:

• El reenvío de tráfico de multidifusión o de difusión del agente interno al agente externo para un .n, que está visitando una red externa.

• El enrutamiento de datagramas de difusión y multidifusión a través de túneles inversos.

• Las direcciones de auxilio privadas o las direcciones de agente interno privadas.

Para obtener más información, consulte la página de comando man mipagent(1M).

Archivo de configuración de IP para móviles

El comando mipagent lee información de configuración del archivo /etc/inet/mipagent.conf al inicio. IP para móviles utiliza el archivo de configuración /etc/inet/mipagentconfiguración para inicializar el agente de movilidad de IP para móviles. Al configurarlo e implantarlo, el agente de movilidad emite anuncios de enrutador periódicos y responde a mensajes de solicitud de enrutador, y a mensajes de registro de IP para móviles.

Consulte la página de comando man mipagent.conf(4) para ver una descripción de los atributos de archivo. Consulte la página de comando man mipagent(1M) para ver una descripción del uso de este archivo.

Formato del archivo de configuración

El archivo de configuración de IP para móviles está dividido en secciones. Cada sección tiene un nombre exclusivo escrito entre corchetes. Cada sección contiene una o más etiquetas. Para asignar valores a las etiquetas, utilice el siguiente formato:

[Section_name]
     Label-name = value-assigned

Secciones y etiquetas del archivo de configuración describe los nombres de sección, las etiquetas y los posibles valores.

Ejemplos de archivos de configuración

En la instalación predeterminada de Solaris se incluyen los siguientes archivos de configuración en el directorio /etc/inet:

• mipagentconfiguración-sample – Contiene un ejemplo de configuración para un agente de IP para móviles que ofrece funciones de agente externo e interno

• mipagentconfiguración.fa-sample – Contiene un ejemplo de configuración para un agente de IP para móviles que ofrece únicamente funciones de agente externo

• mipagentconfiguración.ha-sample – Contiene un ejemplo de configuración para un agente de IP para móviles que ofrece únicamente funciones de agente interno

Estos archivos de configuración de ejemplo contienen parámetros de dirección y seguridad de nodo móvil. Antes de poder implementar IP para móviles, se debe crear un archivo de configuración con el nombre mipagent.conf y situarlo en el directorio /etc/inet. Este archivo contiene los valores de configuración adecuados para los requisitos de su implementación de IP para móviles. También puede elgir uno de los archivos de configuración de ejemplo, modificarlo con sus valores de direcciones y seguridad y copiarlo en /etc/inet/mipagent.conf.

Para más información, consulte Creación del archivo de configuración de IP móvil.

Archivomipagentconfiguración-sample

En el listado siguiente se muestran las secciones, etiquetas y valores que contiene el archivo mipagentconfiguración-sample. Secciones y etiquetas del archivo de configuración describe la sintaxis, secciones, etiquetas y valores.

[General]
   Version = 1.0    # version number for the configuration file. (required)
   
[Advertisements hme0]
   HomeAgent = yes
   ForeignAgent = yes
   PrefixFlags = yes
   AdvertiseOnBcast = yes
   RegLifetime = 200
   AdvLifetime = 200
   AdvFrequency = 5
   ReverseTunnel = no
   ReverseTunnelRequired = no
   
[GlobalSecurityParameters]
   MaxClockSkew = 300
   HA-FAauth = yes
   MN-FAauth = yes
   Challenge = no
   KeyDistribution = files

[Pool 1]
   BaseAddress = 10.68.30.7
   Size = 4

[SPI 257]
   ReplayMethod = none
   Key = 11111111111111111111111111111111

[SPI 258]
   ReplayMethod = none
   Key = 15111111111111111111111111111111

[Address 10.1.1.1]
   Type = node
   SPI = 258

[Address mobilenode@sun.com]
   Type = node
   SPI = 257
   Pool = 1

[Address Node-Default]
   Type = node
   SPI = 258
   Pool = 1

[Address 10.68.30.36]
   Type = agent    
   SPI = 257

Archivo mipagentconfiguración.fa-sample

En el listado siguiente se muestran las secciones, etiquetas y valores que contiene el archivo mipagentconfiguración.fa-sample. Secciones y etiquetas del archivo de configuración describe la sintaxis, secciones, etiquetas y valores.

El archivo mipagentconfiguración.fa-sample muestra una configuración que ofrece únicamente funciones de agente externo. Este archivo de ejemplo no contiene una sección Pool (Agrupación) porque las agrupaciones solo las emplean los agentes internos. Por lo demás, el archivo es idéntico a mipagent.confsample.

[General]
   Version = 1.0    # version number for the configuration file. (required)
   
[Advertisements hme0]
   HomeAgent = no
   ForeignAgent = yes
   PrefixFlags = yes
   AdvertiseOnBcast = yes
   RegLifetime = 200
   AdvLifetime = 200
   AdvFrequency = 5
   ReverseTunnel = yes
   ReverseTunnelRequired = no
   
[GlobalSecurityParameters]
   MaxClockSkew = 300
   HA-FAauth = yes
   MN-FAauth = yes
   Challenge = no
   KeyDistribution = files

[SPI 257]
   ReplayMethod = none
   Key = 11111111111111111111111111111111

[SPI 258]
   ReplayMethod = none
   Key = 15111111111111111111111111111111

[Address 10.1.1.1]
   Type = node
   SPI = 258

[Address 10.68.30.36]
   Type = agent    
   SPI = 257

Archivo mipagentconfiguración.ha-sample

En el listado siguiente se muestran las secciones, etiquetas y valores que contiene el archivo mipagentconfiguración.ha-sample. Secciones y etiquetas del archivo de configuración describe la sintaxis, secciones, etiquetas y valores.

El archivo mipagentconfiguración.ha-sample muestra una configuración que ofrece únicamente funciones de agente interno. Por lo demás, el archivo es idéntico a mipagentconfiguración-sample.

[General]
   Version = 1.0    # version number for the configuration file. (required)
   
[Advertisements hme0]
   HomeAgent = yes
   ForeignAgent = no
   PrefixFlags = yes
   AdvertiseOnBcast = yes
   RegLifetime = 200
   AdvLifetime = 200
   AdvFrequency = 5
   ReverseTunnel = yes
   ReverseTunnelRequired = no

[GlobalSecurityParameters]
   MaxClockSkew = 300
   HA-FAauth = yes
   MN-FAauth = yes
   Challenge = no
   KeyDistribution = files

[Pool 1]
   BaseAddress = 10.68.30.7
   Size = 4

[SPI 257]
   ReplayMethod = none
   Key = 11111111111111111111111111111111

[SPI 258]
   ReplayMethod = none
   Key = 15111111111111111111111111111111

[Address 10.1.1.1]
   Type = node
   SPI = 258

[Address mobilenode@sun.com]
   Type = node
   SPI = 257
   Pool = 1

[Address Node-Default]
   Type = node
   SPI = 258
   Pool = 1

Secciones y etiquetas del archivo de configuración

El archivo de configuración de IP para móviles se compone de las secciones siguientes:

• General (obligatoria)

• Advertisements (obligatoria)

• GlobalSecurityParameters (opcional)

• Pool (opcional)

• SPI (opcional)

• Address (opcional)

Las secciones General y GlobalSecurityParameters contienen información relativa al funcionamiento del agente de IP para móviles. Estas secciones solo pueden aparecer una vez en el archivo de configuración.

Sección General

La sección General sólo contiene una etiqueta: el número de versión del archivo de configuración. La sintaxis de la sección General es la siguiente:

[General]
     Version = 1.0

Sección Advertisements

La sección Advertisements contiene las etiquetas HomeAgent y ForeignAgent y otras. Se debe incluir una sección Advertisements distinta para cada interfaz del host local que ofrezca servicios de IP para móviles. La sintaxis de la sección Advertisements es la siguiente:

[Advertisements interface]
     HomeAgent = <yes/no>
     ForeignAgent = <yes/no>
     .
     .

Generalmente, un sistema tiene una única interfaz, por ejemplo eri0 o hme0, y admite operaciones de agente interno y de agente externo. Si se da esta situación para el ejemplo hme0, el valor yes se asigna a las etiquetas HomeAgent y ForeignAgent, como se indica a continuación:

[Advertisements hme0]
     HomeAgent = yes
     ForeignAgent = yes
     .
     .

Para anuncios a través de interfaces dinámicas, utilice '*' en la parte de ID de dispositivo. Por ejemplo, nombre_interfaz ppp* implica en realidad que se han iniciado todas las interfaces PPP configuradas después del daemon mipagent. Todos los atributos de la sección Advertisements de una interfaz dinámica permanecen iguales.

En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la sección Advertisements.

Sección GlobalSecurityParameters

La sección GlobalSecurityParameters contiene las etiquetas maxClockSkew, HA-FAauth, MN-FAauth, Challenge y KeyDistribution. La sintaxis de la sección es la siguiente:

[GlobalSecurityParameters]
     MaxClockSkew = n
     HA-FAauth = <yes/no>
     MN-FAauth = <yes/no>
     Challenge = <yes/no>
     KeyDistribution = files

El protocolo IP para móviles ofrece protección de repetición de mensajes por el procedimiento de permitir la presencia de marcas de tiempo en los mensajes. Si las horas difieren, el agente interno devuelve un error al nodo móvil con la hora actual y el nodo puede volver a registrarse utilizando la hora actual. La etiqueta MaxClockSkew se utiliza para configurar el número máximo de segundos de diferencia entre los relojes del agente interno y del agente externo. El valor predeterminado es de 300 segundos.

Las etiquetas HA-FAauth y MN-FAauth activan o desactivan el requisito de autenticación interna-externa o móvil-externa, respectivamente. El valor predeterminado es desactivado. La etiqueta challenge se utiliza para que el agente externo emita desafíos al nodo móvil en sus anuncios. La etiqueta se usa para protección de repetición. El valor predeterminado es también desactivado.

En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la sección GlobalSecurityParameters.

Sección Pool

El agente interno puede asignar a los nodos móviles direcciones dinámicas. La asignación de direcciones dinámicas se lleva a cabo mediante el daemon mipagent de forma independiente de DHCP. Se puede crear una agrupación de direcciones que los nodos móviles pueden utilizar mediante la solicitud de una dirección permanente. Las agrupaciones de direcciones se configuran mediante la sección Pool del archivo de configuración.

La sección Pool contiene las etiquetas BaseAddress y Size. La sintaxis de la sección Pool es la siguiente:

[Pool pool-identifier]
     BaseAddress = IP-address
     Size = size

Si utiliza un identificador Pool, también deberá estar en la sección Address del nodo móvil.

La sección Pool se utiliza para definir agrupaciones de direcciones que se pueden asignar a los nodos móviles. La etiqueta BaseAddress se utiliza para establecer la primera dirección IP de la agrupación. La etiqueta Size se utiliza para especificar el número de direcciones disponibles en la agrupación.

Por ejemplo, si las direcciones IP 192.168.1.1 a 192.168.1.100 están reservadas en la agrupación 10, la entrada de la sección Pool será la siguiente:

[Pool 10]
     BaseAddress = 192.168.1.1
     Size = 100

Los intervalos de direcciones no deben abarcar la dirección de difusión. Por ejemplo, no se debe asignar BaseAddress = 192.168.1.200 y Size = 60, porque este rango abarca la dirección de difusión 192.168.1.255.

En la tabla siguiente se describen las etiquetas y valores que se utilizan en la sección Pool.

Sección SPI

El protocolo de IP para móviles requiere autenticación de mensajes, por lo tanto se debe identificar el contexto de seguridad mediante el índice de parámetros de seguridad (SPI). El contexto de seguridad se define en la sección SPI. Se debe incluir una sección SPI distinta para cada contexto de seguridad definido. El contexto de seguridad se identifica con un código numérico. El protocolo IP para móviles reserva los primeros 256 SPI. Por lo tanto, sólo debe utilizar valores SPI superiores a 256. En la sección SPI se puede encontrar información relacionada con la seguridad, como secretos compartidos y protección de repetición.

La sección SPI contiene también las etiquetas ReplayMethod y Key. La sintaxis de la sección SPI es la siguiente:

[SPI SPI-identifier]
     ReplayMethod = <none/timestamps>
     Key = key

Dos equivalentes que se comuniquen deben compartir el mismo identificador SPI. Es necesario configurarlos con la misma clave y método de repetición. La clave se especifica en forma de cadena de dígitos hexadecimales. La longitud máxima es de 16 bytes. Por ejemplo, si la clave tiene una longitud de 16 bytes y contiene los valores hexadecimales 0 a f, el aspecto de la cadena de la clave será similar a:

Key = 0102030405060708090a0b0c0d0e0f10

El número de dígitos de las claves debe ser par, para corresponderse con la representación de dos dígitos por byte.

En la tabla siguiente se describen las etiquetas y valores que se pueden utilizar en la sección SPI.

Sección Address

La implementación de Solaris de IP para móviles permite configurar los nodos móviles con tres métodos posibles. Cada método se configura en la sección Address. El primer método sigue el protocolo IP para móviles tradicional, y exige que cada nodo móvil tenga una dirección permanente. El segundo método permite identificar un nodo móvil mediante su Identificador de acceso de red (NAI). El último método permite configurar un nodo móvil predeterminado, que puede utilizar cualquier nodo móvil que tenga el valor de SPI adecuado y el material de clave relacionado.

Nodo móvil

La sección Address de un nodo móvil contiene las etiquetas Type y SPI, que definen el tipo de dirección y el identificador SPI. La sintaxis de la sección Address es la siguiente:

[Address address]
     Type = node
     SPI = SPI-identifier

Se debe incluir una sección Address en el archivo de configuración de un agente interno por cada nodo para móviles que se admita.

Si se exige autenticación de mensajes de IP para móviles entre el agente externo y el agente interno, se debe incluir una sección Address por cada equivalente con el que un agente necesita comunicarse.

El valor de SPI configurado debe representar una sección SPI que esté presente en el archivo de configuración.

También puede configurar direcciones privadas para un nodo móvil.

En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la sección Address de un nodo móvil.

Agente de movilidad

La sección Address de un agente de movilidad contiene las etiquetas Type y SPI, que definen el tipo de dirección y el identificador SPI. La sección Address de un agente de movilidad presenta la siguiente sintaxis:

[Address address]
     Type = agent
     SPI = SPI-identifier
     

Se debe incluir una sección Address en el archivo de configuración de un agente interno por cada agente de movilidad que se admita.

Si se requiere autenticación de mensajes IP entre los agentes interno y externo, debe incluirse una sección Address para cada equivalente con el que un agente desee comunicarse.

El valor de SPI configurado debe representar una sección SPI que esté presente en el archivo de configuración.

En la tabla siguiente se describen las etiquetas y valores que se pueden utilizar en la sección Address de un agente de movilidad.

Nodo móvil identificado por su NAI

La sección Address para un nodo móvil identificado mediante su NAI contiene las etiquetas Type, SPI y Pool. El parámetro NAI permite identificar nodos móviles a través de su NAI. La sintaxis de la sección Address con el parámetro NAI es la siguiente:

[Address NAI]
     Type = Node
     SPI = SPI-identifier
     Pool = pool-identifier

Para utilizar agrupaciones, los nodos móviles se deben identificar mediante su NAI. La sección Address permite configurar un NAI, en lugar de una dirección permanente. Un NAI tiene el formato usuario@dominio. La etiqueta Pool se utiliza para especificar la agrupación de direcciones que se debe utilizar para asignar la dirección permanente al nodo móvil.

En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la sección Address para un nodo móvil identificado por su NAI.

Deberá tener secciones SPI y Pool correspondientes a las etiquetas SPI y Pool definidas en una sección Address con un nodo móvil identificado por su NAI, como se muestra en la figura siguiente.

Figura 29–1 Secciones SPI y Pool correspondientes para la sección Address en un nodo móvil identificado por su NAI

Nodo móvil predeterminado

La sección Address para un nodo móvil predeterminado contiene las etiquetas Type, SPI y Pool. Con el parámetro Node-Default se puede dar permiso para que todos los nodos móviles obtengan servicio si tienen el SPI correcto (definido en esta sección). La sintaxis de la sección Address con el parámetro Node-Default es la siguiente:

[Address Node-Default]
     Type = Node
     SPI = SPI-identifier
     Pool = pool-identifier

El parámetro Node-Default permite reducir el tamaño del archivo de configuración. En caso contrario, cada nodo móvil necesitaría su propia sección. Sin embargo, el parámetro Node-Default implica un riesgo de seguridad. Si un nodo móvil deja de ser de confianza, es necesario actualizar la información de seguridad en todos los nodos móviles de confianza. Se trata de una tarea muy tediosa. Sin embargo, se puede utilizar el parámetro Node-Default en redes en las que los riesgos de seguridad no tienen importancia.

En la tabla siguiente se describen las etiquetas y valores que se pueden utilizar en la sección Address para un nodo móvil predeterminado.

Deberá tener secciones SPI y Pool correspondientes a las etiquetas SPI y Pool definidas en una sección Address con un nodo móvil predeterminado, como se muestra en la figura siguiente.

Figura 29–2 Secciones SPI y Pool correspondientes para la sección Address en un nodo móvil predeterminado

Configuración del agente de movilidad IP

El comando mipagentconfig es apto para configurar el agente de movilidad. Este comando permite crear o modificar cualquier parámetro del archivo de configuración /etc/inet/mipagentconfiguración. Específicamente, se puede modificar cualquier configuración. También se pueden agregar o eliminar clientes de movilidad, agrupaciones y SPI. La sintaxis del comando mipagentconfig es la siguiente:

# mipagentconfig <command> <parameter> <value>

En la tabla siguiente se describen todos los comandos que se pueden utilizar con mipagentconfig para crear o modificar parámetros en el archivo de configuración /etc/inet/mipagent.conf.

Consulte la página del comando man mipagentconfig(1M)para ver una descripción de los parámetros de los comandos y de los valores que pueden adquirir. En Modificación del archivo de configuración de IP móvil se detallan procedimientos que utilizan el comando mipagentconfig.

Estado de un agente de movilidad de IP para móviles

El comando mipagentstat se utiliza para obtener una lista de visitantes de agente externo y una tabla de enlace de agente interno. También se pueden mostrar las asociaciones de seguridad con los agentes de movilidad equivalentes de un agente. Para mostrar la lista de visitantes del agente externo se debe utilizar el comando mipagentstat con la opción -f. Para mostrar la tabla de enlace del agente interno se debe utilizar el comando mipagentstat con la opción -h. En los ejemplos siguientes se muestran pantallas de salida típicas del comando mipagentstat con las opciones mencionadas.

Ejemplo 29–1 Lista de visitantes de agente externo

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  ha1.xyz.com    600          125       .....T.
10.1.5.23       10.1.5.1       1000         10        .....T.

Ejemplo 29–2 Tabla de enlace de agente interno

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  fa1.tuv.com    600          125       .....T.
10.1.5.23       123.2.5.12     1000         10        .....T.

Consulte la página de comando man mipagentstat(1M) para obtener más información sobre las opciones del comando. En Presentación del estado del agente de movilidad se detallan procedimientos que utilizan el comando mipagentstat.

Información de estado de IP para móviles

Al cerrarse, el daemon mipagent almacena la información de estado interna en /var/inet/mipagent_state. Esto ocurre cuando mipagent ofrece servicios como agente interno. Esta información de estado incluye la lista de nodos móviles a los que ofrece servicio como agente interno, sus direcciones de auxilio actuales y los tiempos de registro restantes. En esta información se incluye también la configuración de asociación de seguridad con los agentes de movilidad equivalentes. Si el daemon mipagent se cierra por mantenimiento y luego se reinicia, mipagent_state se utiliza para volver a crear el estado interno del agente de movilidad con la máxima fidelidad posible. La intención es minimizar la interrupción de servicio en los nodos móviles que pueden estar visitando otras redes. Si existe mipagent_state, se lee inmediatamente después de mipagent.conf cada vez que se inicia o reinicia mipagent.

Extensiones de netstat para IP para móviles

Se han agregado extensiones para IP para móviles al comando netstat para identificar rutas de reenvío de IP para móviles. En concreto, se puede utilizar el comando netstat para mostrar una nueva tabla de enrutamiento denominada "Source-Specific". Consulte la página de comando man netstat(1M) para obtener más información.

En el ejemplo siguiente se muestra la salida de netstat cuando se utilizan los indicadores -nr.

Ejemplo 29–3 Salida de IP para móviles del comando netstat

Routing Table:   IPv4 Source-Specific     
Destination      In If     Source      Gateway Flags  Use  Out If
--------------  ------- ------------ --------- -----  ---- -------
10.6.32.11      ip.tun1      --      10.6.32.97  UH      0 hme1
    --          hme1    10.6.32.11       --      U       0 ip.tun1

En el ejemplo se muestran las rutas para un agente externo que utiliza un túnel inverso. La primera línea indica que la dirección IP de destino 10.6.32.11 y la interfaz entrante ip.tun1 seleccionan hme1 como interfaz de reenvío de los paquetes. La siguiente línea indica que todos los paquetes con origen en la interfaz hme1 y la dirección de origen 10.6.32.11 deben reenviarse a ip.tun1.

Extensiones snoop de IP para móviles

Se han agregado extensiones para IP para móviles al comando snoop para identificar el tráfico de IP para móviles en el enlace. Consulte la página de comando man snoop(1M) para obtener más información.

En el ejemplo siguiente se muestra la salida de snoop que se ejecuta en el nodo móvil mip-mn2.

Ejemplo 29–4 Salida de IP para móviles del comando snoop

mip-mn2# snoop
Using device /dev/hme (promiscuous mode)
  mip-fa2 -> 224.0.0.1    ICMP Router advertisement (Lifetime 200s [1]: 
{mip-fa2-80 2147483648}), (Mobility Agent Extension), (Prefix Lengths), 
(Padding)
  mip-mn2 -> mip-fa2   Mobile IP reg rqst 
  mip-fa2 -> mip-mn2   Mobile IP reg reply (OK code 0)

En este ejemplo se muestra que el nodo móvil ha recibido uno de los anuncios de agente de movilidad enviados periódicamente desde el agente externo, mip-fa2. A continuación, mip-mn2 ha enviado una solicitud de registro a mip-fa2 y, a cambio, ha recibido una respuesta de registro. En la respuesta se indica que el nodo móvil se ha registrado satisfactoriamente con su agente interno.