Sections et étiquettes de fichiers de configuration (Guide d'administration système : services IP)

Guide d'administration système : services IP

Sections et étiquettes de fichiers de configuration

Le fichier de configuration Mobile IP contient les sections suivantes :

General (requis)
Advertisements (requis)
GlobalSecurityParameters (facultatif)
Pool (facultatif)
SPI (facultatif)
Address (facultatif)

Les sections General et GlobalSecurityParameters contiennent des informations relatives au fonctionnement de l'agent de Mobile IP. Ces sections ne peuvent s'afficher qu'une seule fois dans le fichier de configuration.

Section `General`

La section General contient une seule étiquette : le numéro de version du fichier de configuration. La syntaxe de la section General est la suivante :

[General]
     Version = 1.0

Section `Advertisements`

La section Advertisements contient les étiquettes HomeAgent et ForeignAgent ainsi que d'autres étiquettes. Vous devez inclure une section Advertisements différente pour chaque interface sur l'hôte local qui fournit les services de Mobile IP. La section Advertisements possède la syntaxe suivante :

[Advertisements interface]
     HomeAgent = <yes/no>
     ForeignAgent = <yes/no>
     .
     .

En règle générale, votre système possède une interface unique, eri0 ou hme0 par exemple, et prend en charge les opérations d'agent d'accueil et d'agent étranger. Si c'est le cas pour l'exemple hme0, la valeur yes est assignée aux étiquettes HomeAgent et ForeignAgent comme suit :

[Advertisements hme0]
     HomeAgent = yes
     ForeignAgent = yes
     .
     .

Pour une publication sur les interfaces dynamiques, utilisez '*' (astérisque) en guise d'ID de périphérique. Par exemple, Nom-interface ppp* implique en réalité toutes les interfaces PPP configurées après le démarrage du démon mipagent. L'ensemble des attributs dans la section de publication d'un type d'interface dynamique ne change pas.

Le tableau suivant décrit les étiquettes et les valeurs que vous pouvez utiliser dans la section Advertisements.

Tableau 29–1 Étiquettes et valeurs de la section Advertisements


Libellé	Valeur	Description
`HomeAgent`	`yes` ou `no`	Détermine si le démon `mipagent` fournit la fonctionnalité d'agent d'accueil.
`ForeignAgent`	`yes` ou `no`	Détermine si le démon `mipagent` fournit la fonctionnalité d'agent étranger.
`PrefixFlags`	`yes` ou `no`	Spécifie si les publications incluent l'extension facultative de longueur de préfixe.
`AdvertiseOnBcast`	`yes` ou `no`	Si sa valeur est `yes`, les publications sont envoyées à `255.255.255.255` , plutôt qu'à `224.0.0.1`.
`RegLifetime`	`n`	Valeur maximale de durée de vie acceptée dans les demandes d'enregistrement, exprimée en secondes.
`AdvLifetime`	`n`	Durée maximale pendant laquelle la publication est considérée comme valide en l'absence de publications supplémentaires, exprimée en secondes.
`AdvFrequency`	`n`	Durée entre deux publications consécutives, exprimée en secondes.
`ReverseTunnel`	`yes` ou `noFA` ou `HA` ou `both`	Détermine si le démon `mipagent` fournit une fonctionnalité de tunnel inverse. La valeur `yes` signifie que l'agent étranger et l'agent d'accueil prennent en charge la création de tunnel inverse. La valeur `no` signifie que l'interface ne prend pas en charge la création de tunnel inverse. La valeur `FA` signifie que l'agent étranger prend en charge la création de tunnel inverse. La valeur `HA` signifie que l'agent d'accueil prend en charge la création de tunnels inverses. La valeur `both` signifie que l'agent d'accueil et l'agent étranger prennent tous deux en charge la création de tunnels inverses.
`ReverseTunnelRequired`	`yes` ou `no`	Détermine si le démon `mipagent` requiert la fonctionnalité de tunnel inverse. Détermine par conséquent si un nœud mobile doit demander un tunnel inverse lors de son enregistrement. La valeur `yes` signifie que l'agent étranger et l'agent d'accueil requièrent tous deux un tunnel inverse. La valeur `no` signifie que l'interface ne requiert pas de tunnel inverse. La valeur `FA` signifie que l'agent étranger requiert un tunnel inverse. La valeur `HA` signifie que l'agent d'accueil requiert un tunnel inverse.
`AdvInitCount`	`n`	Détermine le nombre initial de publications non demandées. La valeur par défaut est 1. Cette valeur n'a un sens que si `AdvLimitUnsolicited` est configuré sur `yes`.
`AdvLimitUnsolicited`	`yes` ou `no`	Active ou désactive un nombre limité de publications non demandées sur l'interface de mobilité.

Section `GlobalSecurityParameters`

La section GlobalSecurityParameters contient les étiquettes maxClockSkew, HA-FAauth, MN-FAauth, Challenge et KeyDistribution. La syntaxe de cette section est la suivante :

[GlobalSecurityParameters]
     MaxClockSkew = n
     HA-FAauth = <yes/no>
     MN-FAauth = <yes/no>
     Challenge = <yes/no>
     KeyDistribution = files

Le protocole Mobile IP fournit une protection contre la rediffusion de messages en autorisant la présence d'un horodatage dans les messages. Si les horloges sont en décalage, l'agent d'accueil renvoie une erreur au nœud mobile avec l'heure actuelle que le nœud mobile peut utiliser pour s'enregistrer à nouveau. Utilisez l'étiquette MaxClockSkew afin de configurer le nombre maximum de secondes de différence entre les horloges de l'agent d'accueil et du nœud mobile. La valeur par défaut est 300 secondes.

Les étiquettes HA-FAauth et MN-FAauth permettent respectivement d'activer ou de désactiver la nécessité d'authentification accueil-étranger et mobile-étranger. La valeur par défaut est désactivée. L'étiquette challenge permet à l'agent étranger d'émettre des questions-réponses au nœud mobile dans ses publications. L'étiquette permet d'obtenir une protection contre les rediffusions. La valeur par défaut est également désactivée.

Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section GlobalSecurityParameters.

Tableau 29–2 Étiquettes et valeurs de la section GlobalSecurityParameters


Libellé	Valeur	Description
`MaxClockSkew`	`n`	Nombre de secondes de différence entre sa propre heure locale et l'heure des demandes d'enregistrement qu'accepte le démon `mipagent`.
`HA-FAauth`	`yes` ou `no`	Spécifie si les extensions d'authentification HA-FA doivent se trouver dans les demandes et les réponses d'enregistrement.
`MN-FAauth`	`yes` ou `no`	Spécifie si les extensions d'authentification MN-FA doivent se trouver dans les demandes et les réponses d'enregistrement.
`Challenge`	`yes` ou `no`	Spécifie si l'agent étranger inclut des questions/réponses dans ses publications de mobilité.
`KeyDistribution`	`files`	Doit être définie sur les fichiers.

Section `Pool`

L'agent d'accueil peut attribuer des adresses dynamiques aux nœuds mobiles. L'attribution d'adresses dynamiques s'effectue au sein du démon mipagent, indépendamment du protocole DHCP. Vous pouvez créer un pool d'adresses qui peut être utilisé par les nœuds mobiles en demandant une adresse d'accueil. Les pools d'adresses se configurent par le biais de la section Pool du fichier de configuration.

La section Pool contient les étiquettes BaseAddress et Size. La syntaxe de la section Pool est la suivante :

[Pool pool-identifier]
     BaseAddress = IP-address
     Size = size

Remarque –

Si vous utilisez un identificateur Pool, il doit également exister dans la section Address du nœud mobile.

La section Pool permet de définir les pools d'adresses qu'il est possible d'assigner aux nœuds mobiles. L'étiquette BaseAddress permet de définir la première adresse IP du pool. L'étiquette Size permet de spécifier le nombre d'adresses disponibles dans le pool.

Par exemple, si les adresses IP de 192.168.1.1 à 192.168.1.100 sont réservées dans le pool 10, la section Pool possède l'entrée suivante :

[Pool 10]
     BaseAddress = 192.168.1.1
     Size = 100

Remarque –

Les plages d'adresses ne doivent pas inclure l'adresse de diffusion. Par exemple, vous ne devez pas assigner BaseAddress = 192.168.1.200 et Size = 60, car cette plage inclut l'adresse de diffusion 192.168.1.255.

Le tableau suivant décrit les étiquettes et valeurs utilisées dans la section Pool.

Tableau 29–3 Étiquettes et valeurs de la section Pool


Libellé	Valeur	Description
`BaseAddress`	`n.n.n.n`	Première adresse du pool d'adresses
`Size`	`n`	Nombre d'adresses dans le pool

Section `SPI`

Dans la mesure où le protocole Mobile IP requiert une authentification de message, vous devez identifier le contexte de sécurité à l'aide d'un SPI (security parameter index, index de paramètres de sécurité) . Le contexte de sécurité est défini dans la section SPI. Vous devez inclure une section SPI distincte pour chaque contexte de sécurité défini. Un ID numérique identifie le contexte de sécurité. Le protocole Mobile IP se réserve les 256 premiers SPI. Utilisez pour cette raison des valeurs SPI supérieures à 256 uniquement. La section SPI contient des informations sur la sécurité, notamment sur les secrets partagés et la protection contre la rediffusion.

La section SPI contient également les étiquettes ReplayMethod et Key. La syntaxe de la section SPI est la suivante :

[SPI SPI-identifier]
     ReplayMethod = <none/timestamps>
     Key = key

Deux homologues qui communiquent doivent partager le même identificateur SPI. Vous devez les configurer avec la même clé et la même méthode de rediffusion. La clé est spécifiée comme une chaîne de chiffres hexadécimaux. La longueur maximale est de 16 octets. Par exemple, si la longueur de la clé est de 16 octets et si cette dernière contient les valeurs hexadécimales de 0 à f, la chaîne de la clé pourrait ressembler à ce qui suit :

Key = 0102030405060708090a0b0c0d0e0f10

Le nombre de chiffres d'une clé doit être pair et correspondre à la représentation de deux chiffres par octet.

Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section SPI.

Tableau 29–4 Étiquettes et valeurs de la section SPI


Libellé	Valeur	Description
`ReplayMethod`	`none` ou `timestamps`	Spécifie le type d'authentification de rediffusion utilisé pour le SPI.
`Key`	`x`	Clé d'authentification en hexadécimales

Section `Address`

L'implémentation Solaris de Mobile IP vous permet de configurer les nœuds mobiles selon trois méthodes différentes. Chaque méthode est configurée dans la section Address. La première méthode suit le protocole Mobile IP classique ; chaque nœud mobile doit posséder une adresse d'accueil. La seconde méthode permet à un nœud mobile d'être identifié grâce à son NAI (Network Access Identifier, identificateur d'accès au réseau). La dernière méthode permet de configurer un nœud mobile par défaut qui peut être utilisé par tout nœud mobile disposant de la valeur SPI adéquate et du matériel de chiffrement associé.

Nœud mobile

La section Address d'un nœud mobile contient les étiquettes Type et SPI qui définissent le type d'adresse et l'identificateur SPI. La syntaxe de la section Address est la suivante :

[Address address]
     Type = node
     SPI = SPI-identifier

Vous devez inclure une section Address dans le fichier de configuration de l'agent d'accueil de chaque nœud mobile pris en charge.

Si l'authentification de message Mobile IP est requise entre l'agent étranger et l'agent d'accueil, vous devez inclure une section Address pour chaque homologue avec lequel un agent doit communiquer.

La valeur SPI que vous configurez doit représenter une section SPI présente dans le fichier de configuration.

Vous pouvez également configurer des adresses privées pour un nœud mobile.

Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section Address pour un nœud mobile.

Tableau 29–5 Étiquettes et valeurs de la section Address (nœud mobile)


Libellé	Valeur	Description
`Type`	`nœud`	Spécifie que l'entrée est destinée à un nœud mobile
`SPI`	`n`	Spécifie la valeur SPI de l'entrée associée

Agent de mobilité

La section Address pour un agent de mobilité contient les étiquettes Type et SPI qui définissent le type d'adresse et l'identificateur SPI. La section Address d'un agent de mobilité utilise la syntaxe suivante :

[Address address]
     Type = agent
     SPI = SPI-identifier

Vous devez inclure une section Address dans le fichier de configuration de l'agent d'accueil pour chaque agent de mobilité pris en charge.

Si un message d'authentification de Mobile IP est requis entre l'agent étranger et l'agent d'accueil, vous devez inclure une section Address pour chaque homologue avec lequel un agent doit communiquer.

La valeur SPI que vous configurez doit représenter une section SPI présente dans le fichier de configuration.

Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section Address pour un agent de mobilité.

Tableau 29–6 Étiquettes et valeurs de la section Address (agent de mobilité)


Libellé	Valeur	Description
`Type`	`agent`	Spécifie que l'entrée est destinée à un agent de mobilité.
`SPI`	`n`	Spécifie la valeur SPI de l'entrée associée.

Nœud mobile identifié par son NAI

La section Address d'un nœud mobile identifié par son NAI contient les étiquettes Type, SPI et Pool. Le paramètre NAI vous permet d'identifier les nœuds mobiles à l'aide de leurs NAI. La syntaxe de la section Address utilisant le paramètre NAI se présente comme suit :

[Address NAI]
     Type = Node
     SPI = SPI-identifier
     Pool = pool-identifier

Pour utiliser des pools, vous devez identifier les nœuds mobiles grâce à leurs NAI. La section Address vous permet de configurer un NAI et non une adresse d'accueil. Un NAI utilise le format user@domain. L'étiquette Pool permet de spécifier le pool d'adresses à utiliser afin d'allouer l'adresse d'accueil au nœud mobile.

Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section Address pour un nœud mobile identifié par son NAI.

Tableau 29–7 Étiquettes et valeurs de la section Address (nœud mobile identifié par son NAI)


Libellé	Valeur	Description
`Type`	`nœud`	Spécifie que l'entrée est destinée à un nœud mobile
`SPI`	`n`	Spécifie la valeur SPI de l'entrée associée
`Pool`	`n`	Alloue le pool à partir duquel une adresse est assignée à un nœud mobile

Vous devez disposer de sections SPI et Pool correspondantes pour les étiquettes SPI et Pool définies dans une section Address avec un nœud mobile identifié par son NAI, comme illustré dans la figure suivante.

Figure 29–1 Sections `SPI` et `Pool` correspondantes pour une section Address avec nœud mobile identifié par son NAI

Indique qu'un SPI de 251 et un POOL de 10 correspondent aux mêmes identificateurs SPI et POOL de la section ADDRESS NAI.

Nœud mobile par défaut

La section Address d'un nœud mobile par défaut contient les étiquettes Type, SPI et Pool. Le paramètre Node-Default permet d'autoriser tous les nœuds mobiles à obtenir du service s'ils possèdent le SPI correct (défini dans cette section). La syntaxe de la section Address utilisant le paramètre Node-Default est la suivante :

[Address Node-Default]
     Type = Node
     SPI = SPI-identifier
     Pool = pool-identifier

Le paramètre Node-Default permet de réduire la taille du fichier de configuration. Autrement, chaque nœud mobile requiert sa propre section. Cependant, le paramètre Node-Default constitue un risque au niveau de la sécurité. Si, pour quelque raison que ce soit, il devenait impossible de faire confiance à un nœud mobile, vous devez mettre à jour les informations de sécurité de tous les nœuds mobiles de confiance. Cette tâche peut s'avérer très fastidieuse. Vous pouvez cependant utiliser le paramètre Node-Default dans les réseaux qui accordent peu d'importance aux risques de sécurité.

Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section Address pour un nœud mobile par défaut.

Tableau 29–8 Étiquettes et valeurs de la section Address (nœud mobile par défaut)


Libellé	Valeur	Description
`Type`	`nœud`	Spécifie que l'entrée est destinée à un nœud mobile
`SPI`	`n`	Spécifie la valeur SPI de l'entrée associée
`Pool`	`n`	Alloue le pool à partir duquel une adresse est assignée à un nœud mobile

Vous devez disposer de sections SPI et Pool correspondantes pour les étiquettes SPI et Pool définies dans la section Address avec un nœud mobile par défaut, comme illustré dans la figure suivante.

Figure 29–2 Sections `SPI` et `Pool` correspondantes pour la section Address avec un nœud mobile par défaut