Le fichier de configuration Mobile IP contient les sections suivantes :
General (requis)
Advertisements (requis)
GlobalSecurityParameters (facultatif)
Pool (facultatif)
SPI (facultatif)
Address (facultatif)
Les sections General et GlobalSecurityParameters contiennent des informations relatives au fonctionnement de l'agent de Mobile IP. Ces sections ne peuvent s'afficher qu'une seule fois dans le fichier de configuration.
La section General contient une seule étiquette : le numéro de version du fichier de configuration. La syntaxe de la section General est la suivante :
[General] Version = 1.0 |
La section Advertisements contient les étiquettes HomeAgent et ForeignAgent ainsi que d'autres étiquettes. Vous devez inclure une section Advertisements différente pour chaque interface sur l'hôte local qui fournit les services de Mobile IP. La section Advertisements possède la syntaxe suivante :
[Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> . . |
En règle générale, votre système possède une interface unique, eri0 ou hme0 par exemple, et prend en charge les opérations d'agent d'accueil et d'agent étranger. Si c'est le cas pour l'exemple hme0, la valeur yes est assignée aux étiquettes HomeAgent et ForeignAgent comme suit :
[Advertisements hme0] HomeAgent = yes ForeignAgent = yes . . |
Pour une publication sur les interfaces dynamiques, utilisez '*' (astérisque) en guise d'ID de périphérique. Par exemple, Nom-interface ppp* implique en réalité toutes les interfaces PPP configurées après le démarrage du démon mipagent. L'ensemble des attributs dans la section de publication d'un type d'interface dynamique ne change pas.
Le tableau suivant décrit les étiquettes et les valeurs que vous pouvez utiliser dans la section Advertisements.
Tableau 29–1 Étiquettes et valeurs de la section Advertisements
La section GlobalSecurityParameters contient les étiquettes maxClockSkew, HA-FAauth, MN-FAauth, Challenge et KeyDistribution. La syntaxe de cette section est la suivante :
[GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files |
Le protocole Mobile IP fournit une protection contre la rediffusion de messages en autorisant la présence d'un horodatage dans les messages. Si les horloges sont en décalage, l'agent d'accueil renvoie une erreur au nœud mobile avec l'heure actuelle que le nœud mobile peut utiliser pour s'enregistrer à nouveau. Utilisez l'étiquette MaxClockSkew afin de configurer le nombre maximum de secondes de différence entre les horloges de l'agent d'accueil et du nœud mobile. La valeur par défaut est 300 secondes.
Les étiquettes HA-FAauth et MN-FAauth permettent respectivement d'activer ou de désactiver la nécessité d'authentification accueil-étranger et mobile-étranger. La valeur par défaut est désactivée. L'étiquette challenge permet à l'agent étranger d'émettre des questions-réponses au nœud mobile dans ses publications. L'étiquette permet d'obtenir une protection contre les rediffusions. La valeur par défaut est également désactivée.
Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section GlobalSecurityParameters.
Tableau 29–2 Étiquettes et valeurs de la section GlobalSecurityParameters
L'agent d'accueil peut attribuer des adresses dynamiques aux nœuds mobiles. L'attribution d'adresses dynamiques s'effectue au sein du démon mipagent, indépendamment du protocole DHCP. Vous pouvez créer un pool d'adresses qui peut être utilisé par les nœuds mobiles en demandant une adresse d'accueil. Les pools d'adresses se configurent par le biais de la section Pool du fichier de configuration.
La section Pool contient les étiquettes BaseAddress et Size. La syntaxe de la section Pool est la suivante :
[Pool pool-identifier] BaseAddress = IP-address Size = size |
Si vous utilisez un identificateur Pool, il doit également exister dans la section Address du nœud mobile.
La section Pool permet de définir les pools d'adresses qu'il est possible d'assigner aux nœuds mobiles. L'étiquette BaseAddress permet de définir la première adresse IP du pool. L'étiquette Size permet de spécifier le nombre d'adresses disponibles dans le pool.
Par exemple, si les adresses IP de 192.168.1.1 à 192.168.1.100 sont réservées dans le pool 10, la section Pool possède l'entrée suivante :
[Pool 10] BaseAddress = 192.168.1.1 Size = 100 |
Les plages d'adresses ne doivent pas inclure l'adresse de diffusion. Par exemple, vous ne devez pas assigner BaseAddress = 192.168.1.200 et Size = 60, car cette plage inclut l'adresse de diffusion 192.168.1.255.
Le tableau suivant décrit les étiquettes et valeurs utilisées dans la section Pool.
Tableau 29–3 Étiquettes et valeurs de la section Pool
Libellé |
Valeur |
Description |
---|---|---|
BaseAddress |
n.n.n.n | |
Size |
n |
Dans la mesure où le protocole Mobile IP requiert une authentification de message, vous devez identifier le contexte de sécurité à l'aide d'un SPI (security parameter index, index de paramètres de sécurité) . Le contexte de sécurité est défini dans la section SPI. Vous devez inclure une section SPI distincte pour chaque contexte de sécurité défini. Un ID numérique identifie le contexte de sécurité. Le protocole Mobile IP se réserve les 256 premiers SPI. Utilisez pour cette raison des valeurs SPI supérieures à 256 uniquement. La section SPI contient des informations sur la sécurité, notamment sur les secrets partagés et la protection contre la rediffusion.
La section SPI contient également les étiquettes ReplayMethod et Key. La syntaxe de la section SPI est la suivante :
[SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key |
Deux homologues qui communiquent doivent partager le même identificateur SPI. Vous devez les configurer avec la même clé et la même méthode de rediffusion. La clé est spécifiée comme une chaîne de chiffres hexadécimaux. La longueur maximale est de 16 octets. Par exemple, si la longueur de la clé est de 16 octets et si cette dernière contient les valeurs hexadécimales de 0 à f, la chaîne de la clé pourrait ressembler à ce qui suit :
Key = 0102030405060708090a0b0c0d0e0f10 |
Le nombre de chiffres d'une clé doit être pair et correspondre à la représentation de deux chiffres par octet.
Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section SPI.
Tableau 29–4 Étiquettes et valeurs de la section SPI
Libellé |
Valeur |
Description |
---|---|---|
ReplayMethod |
none ou timestamps |
Spécifie le type d'authentification de rediffusion utilisé pour le SPI. |
Key |
x |
L'implémentation Solaris de Mobile IP vous permet de configurer les nœuds mobiles selon trois méthodes différentes. Chaque méthode est configurée dans la section Address. La première méthode suit le protocole Mobile IP classique ; chaque nœud mobile doit posséder une adresse d'accueil. La seconde méthode permet à un nœud mobile d'être identifié grâce à son NAI (Network Access Identifier, identificateur d'accès au réseau). La dernière méthode permet de configurer un nœud mobile par défaut qui peut être utilisé par tout nœud mobile disposant de la valeur SPI adéquate et du matériel de chiffrement associé.
La section Address d'un nœud mobile contient les étiquettes Type et SPI qui définissent le type d'adresse et l'identificateur SPI. La syntaxe de la section Address est la suivante :
[Address address] Type = node SPI = SPI-identifier |
Vous devez inclure une section Address dans le fichier de configuration de l'agent d'accueil de chaque nœud mobile pris en charge.
Si l'authentification de message Mobile IP est requise entre l'agent étranger et l'agent d'accueil, vous devez inclure une section Address pour chaque homologue avec lequel un agent doit communiquer.
La valeur SPI que vous configurez doit représenter une section SPI présente dans le fichier de configuration.
Vous pouvez également configurer des adresses privées pour un nœud mobile.
Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section Address pour un nœud mobile.
Tableau 29–5 Étiquettes et valeurs de la section Address (nœud mobile)
Libellé |
Valeur |
Description |
---|---|---|
Type |
nœud | |
SPI |
n |
La section Address pour un agent de mobilité contient les étiquettes Type et SPI qui définissent le type d'adresse et l'identificateur SPI. La section Address d'un agent de mobilité utilise la syntaxe suivante :
[Address address] Type = agent SPI = SPI-identifier |
Vous devez inclure une section Address dans le fichier de configuration de l'agent d'accueil pour chaque agent de mobilité pris en charge.
Si un message d'authentification de Mobile IP est requis entre l'agent étranger et l'agent d'accueil, vous devez inclure une section Address pour chaque homologue avec lequel un agent doit communiquer.
La valeur SPI que vous configurez doit représenter une section SPI présente dans le fichier de configuration.
Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section Address pour un agent de mobilité.
Tableau 29–6 Étiquettes et valeurs de la section Address (agent de mobilité)
Libellé |
Valeur |
Description |
---|---|---|
Type |
agent |
Spécifie que l'entrée est destinée à un agent de mobilité. |
SPI |
n |
Spécifie la valeur SPI de l'entrée associée. |
La section Address d'un nœud mobile identifié par son NAI contient les étiquettes Type, SPI et Pool. Le paramètre NAI vous permet d'identifier les nœuds mobiles à l'aide de leurs NAI. La syntaxe de la section Address utilisant le paramètre NAI se présente comme suit :
[Address NAI] Type = Node SPI = SPI-identifier Pool = pool-identifier |
Pour utiliser des pools, vous devez identifier les nœuds mobiles grâce à leurs NAI. La section Address vous permet de configurer un NAI et non une adresse d'accueil. Un NAI utilise le format user@domain. L'étiquette Pool permet de spécifier le pool d'adresses à utiliser afin d'allouer l'adresse d'accueil au nœud mobile.
Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section Address pour un nœud mobile identifié par son NAI.
Tableau 29–7 Étiquettes et valeurs de la section Address (nœud mobile identifié par son NAI)
Libellé |
Valeur |
Description |
---|---|---|
Type |
nœud | |
SPI |
n | |
Pool |
n |
Alloue le pool à partir duquel une adresse est assignée à un nœud mobile |
Vous devez disposer de sections SPI et Pool correspondantes pour les étiquettes SPI et Pool définies dans une section Address avec un nœud mobile identifié par son NAI, comme illustré dans la figure suivante.
La section Address d'un nœud mobile par défaut contient les étiquettes Type, SPI et Pool. Le paramètre Node-Default permet d'autoriser tous les nœuds mobiles à obtenir du service s'ils possèdent le SPI correct (défini dans cette section). La syntaxe de la section Address utilisant le paramètre Node-Default est la suivante :
[Address Node-Default] Type = Node SPI = SPI-identifier Pool = pool-identifier |
Le paramètre Node-Default permet de réduire la taille du fichier de configuration. Autrement, chaque nœud mobile requiert sa propre section. Cependant, le paramètre Node-Default constitue un risque au niveau de la sécurité. Si, pour quelque raison que ce soit, il devenait impossible de faire confiance à un nœud mobile, vous devez mettre à jour les informations de sécurité de tous les nœuds mobiles de confiance. Cette tâche peut s'avérer très fastidieuse. Vous pouvez cependant utiliser le paramètre Node-Default dans les réseaux qui accordent peu d'importance aux risques de sécurité.
Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section Address pour un nœud mobile par défaut.
Tableau 29–8 Étiquettes et valeurs de la section Address (nœud mobile par défaut)
Libellé |
Valeur |
Description |
---|---|---|
Type |
nœud | |
SPI |
n | |
Pool |
n |
Alloue le pool à partir duquel une adresse est assignée à un nœud mobile |
Vous devez disposer de sections SPI et Pool correspondantes pour les étiquettes SPI et Pool définies dans la section Address avec un nœud mobile par défaut, comme illustré dans la figure suivante.