test

Guide d'administration système : services IP

Chapitre 27 Mobile IP (présentation)

Mobile IP (Internet Protocol) permet de transférer des informations entre ordinateurs portables. Par ordinateurs portables, il faut entendre ordinateurs portables et communications sans fil. Un ordinateur portable peut se placer sur un réseau étranger, sans perdre sa capacité à communiquer par le biais de son réseau d'accueil. L'implémentation Solaris de Mobile IP est compatible avec IPv4 uniquement.

Le présent chapitre contient les informations suivantes :

Pour les tâches relatives à Mobile IP, reportez-vous au Chapitre 28Administration de Mobile IP (tâches). Pour obtenir des références sur Mobile IP, reportez-vous au Chapitre 29Fichiers et commandes de Mobile IP (références).

Nouveautés de Mobile IP

La fonction Mobile IP est supprimée des mises à jour Solaris 10 depuis Solaris 10 8/07.

Introduction à Mobile IP

Les versions actuelles de l'IP (Internet Protocol) partent du principe que le point de connexion entre l'ordinateur et Internet ou un réseau est fixe. L'IP part également du principe que l'adresse IP de l'ordinateur permet d'identifier le réseau auquel est connecté l'ordinateur. Les datagrammes envoyés à un ordinateur sont basés sur les informations d'emplacement contenues dans l'adresse IP. Dans le cas de nombreux protocoles Internet, l'adresse IP du nœud n'est pas modifiée. Si l'un de ces protocoles est actif sur un périphérique informatique Mobile IP, cela entraîne un échec de leurs applications. Cela occasionnerait même l'échec du protocole HTTP si les connexions TCP n'étaient pas de nature si courte. La mise à jour d'une adresse IP et l'actualisation de la page Web ne sont pas des tâches complexes.

Si un ordinateur portable ou nœud mobile se déplace vers un nouveau réseau alors que son adresse IP ne change pas, l'adresse du nœud mobile ne reflète pas le nouveau point de connexion. Par conséquent, les protocoles de routage existants ne peuvent pas acheminer correctement les datagrammes vers le nœud mobile. Vous devez reconfigurer le nœud mobile avec une adresse IP qui représente le nouvel emplacement. L'attribution d'une adresse IP différente est une tâche fastidieuse. Par conséquent, sous l'IP actuel, si le nœud mobile se déplace sans modifier son adresse, le routage est perdu. Si le nœud mobile modifie son adresse, cela entraîne une perte des connexions.

Mobile IP permet de résoudre ce problème en autorisant le nœud mobile à utiliser deux adresses IP. La première adresse est une adresse d'accueil fixe. La seconde est une adresse d'hébergement qui change à chaque nouveau point de connexion. Mobile IP permet à un ordinateur de naviguer librement sur Internet. Mobile IP permet également à un ordinateur de naviguer librement sur le réseau d'une entreprise tout en conservant la même adresse d'accueil. Par conséquent, les activités de communication ne sont pas interrompues lorsque l'utilisateur modifie le point de connexion de l'ordinateur. En revanche, le réseau est mis à jour avec le nouvel emplacement du nœud mobile. Reportez-vous au Glossaire pour obtenir les définitions des termes associés à Mobile IP.

La figure suivante illustre la topologie générale de Mobile IP.

Figure 27–1 Topologie de Mobile IP

Affiche la relation au sein d'un nœud mobile entre le réseau d'accueil de l'agent d'accueil et le réseau étranger d'un agent étranger.

Grâce à l'utilisation de la topologie de Mobile IP de cette figure, le scénario suivant illustre le mode de déplacement d'un datagramme d'un point vers un autre au sein de la structure de Mobile IP :

  1. L'hôte Internet envoie un datagramme au nœud mobile à l'aide de l'adresse d'accueil de ce dernier (processus de routage d'IP normal).

  2. Si le nœud mobile se trouve dans son réseau d'accueil, le datagramme est livré par le biais du processus IP normal au nœud mobile. Autrement, l'agent d'accueil reçoit le datagramme.

  3. Si le nœud mobile se trouve sur un réseau étranger, l'agent d'accueil transfère le datagramme vers ce dernier. L'agent d'accueil doit encapsuler le datagramme dans un datagramme externe de sorte que l'adresse IP de l'agent étranger s'affiche dans l'en-tête de l'IP externe.

  4. L'agent étranger livre le datagramme au nœud mobile.

  5. Les datagrammes sont envoyés à partir du nœud mobile vers l'hôte Internet selon les procédures de routage IP normales. Si le nœud mobile se trouve sur un réseau étranger, les paquets sont livrés à l'agent étranger. L'agent étranger transfère le datagramme vers l'hôte internet.

  6. Dans les situations où le filtrage d'entrée est présent, l'adresse source doit être topologiquement correcte pour le sous-réseau dont provient le datagramme, sinon le routeur ne peut pas transférer le datagramme. Si c'est le cas pour des liens entre le nœud mobile et le nœud correspondant, l'agent étranger doit fournir un support de création de tunnel inverse. L'agent étranger peut ensuite livrer tous les datagrammes que le nœud mobile envoie à son agent d'accueil. L'agent d'accueil transfère ensuite le datagramme via le chemin qu'aurait emprunté ce dernier si le nœud mobile s'était trouvé sur le réseau d'accueil. Ce processus permet de garantir que l'adresse source est correcte pour tous les liens que doit traverser le datagramme.

En ce qui concerne les communications sans fil, la Figure 27–1 illustre l'utilisation de transducteurs pour la transmission des datagrammes vers le nœud mobile. En outre, tous les datagrammes entre l'hôte Internet et le nœud mobile utilisent l'adresse d'accueil du nœud mobile. L'adresse d'accueil est utilisée même lorsque le nœud mobile se trouve dans le réseau étranger. L'adresse d'hébergement s'utilise uniquement pour communiquer avec les agents de mobilité. L'hôte Internet ne voit pas l'adresse d'hébergement.

Entités fonctionnelles de Mobile IP

Mobile IP présente les nouvelles entités fonctionnelles suivantes :

Mode de fonctionnement de Mobile IP

Mobile IP permet d'acheminer des datagrammes IP vers les nœuds mobiles. L'adresse d'accueil du nœud mobile identifie toujours ce dernier, quel que soit son point de connexion. En cas d'absence, une adresse d'hébergement est associée à l'adresse d'accueil du nœud mobile. L'adresse d'hébergement fournit les informations relatives au point de connexion actuel du nœud mobile. Mobile IP utilise un mécanisme d'enregistrement pour enregistrer l'adresse d'hébergement avec un agent d'accueil.

L'agent d'accueil redirige les datagrammes provenant du réseau d'accueil vers l'adresse d'hébergement. L'agent d'accueil construit un nouvel en-tête IP qui contient l'adresse d'hébergement du nœud mobile en tant qu'adresse IP de destination. Ce nouvel en-tête encapsule le datagramme IP d'origine. Par conséquent, l'adresse d'accueil du nœud mobile n'a aucune incidence sur l'acheminement du datagramme encapsulé jusqu'à ce que ce dernier parvienne à l'adresse d'hébergement. Ce type d'encapsulation correspond à la création de tunnel. Lorsque le datagramme parvient à l'adresse d'hébergement, il est désencapsulé. Le datagramme est ensuite livré au nœud mobile.

La figure suivante représente un nœud mobile qui réside sur son réseau d'accueil, le réseau A, avant d'être déplacé vers un réseau étranger, le réseau B. Mobile IP est pris en charge par les deux réseaux. Le nœud mobile est toujours associé à son adresse d'accueil, 128.226.3.30.

Figure 27–2 Nœud mobile résidant sur son réseau d'accueil

Illustre un nœud mobile résidant sur son réseau d'accueil et sa connexion à l'agent d'accueil, ainsi que sa relation avec l'agent étranger.

La figure suivante représente un nœud mobile qui s'est déplacé vers un réseau étranger, le réseau B. Les datagrammes destinés au nœud mobile sont interceptés par l'agent d'accueil du réseau d'accueil, soit le réseau A. Les datagrammes sont encapsulés. Ils sont ensuite envoyés à l'agent étranger du réseau B. L'agent étranger retire ensuite l'en-tête externe. L'agent étranger livre ensuite le datagramme au nœud mobile situé sur le réseau B.

Figure 27–3 Nœud mobile se déplaçant vers un réseau étranger

Représente un nœud mobile résidant actuellement sur un réseau étranger, sa connexion à l'agent étranger ainsi que sa relation avec l'agent d'accueil.

L'adresse d'hébergement peut appartenir à un agent étranger. Le nœud mobile peut obtenir l'adresse d'hébergement par le biais du protocole DHCP (Dynamic Host Configuration Protocol) ou PPP (Point-to-Point Protocol). Dans le deuxième cas, le nœud mobile possède une adresse d'hébergement colocalisée.

Les agents de mobilité (agents d'accueil et étrangers) indiquent leur présence à l'aide de messages de publication d'agent. Au besoin, un nœud mobile peut également demander un message de publication d'agent. Le nœud mobile utilise un agent de mobilité connecté localement via un message de demande d'agent. Un nœud mobile utilise les publications d'agent afin de déterminer s'il se trouve sur le réseau d'accueil ou sur un réseau étranger.

Le nœud mobile utilise un processus d'enregistrement spécial afin d'informer l'agent d'accueil à propos de l'emplacement actuel du nœud mobile. Le nœud mobile est toujours "à l'écoute" des agents de mobilité au cas où ils l'informeraient de leur présence. Le nœud mobile utilise ces publications afin de déterminer le moment où se déplacer vers un autre sous-réseau. Lorsqu'un nœud mobile détermine qu'il a changé d'emplacement, il utilise le nouvel agent étranger pour transférer un message d'enregistrement vers l'agent d'accueil. Le nœud mobile utilise le même processus lorsqu'il se déplace d'un réseau étranger vers un autre.

Lorsque le nœud mobile détecte qu'il est situé sur le réseau d'accueil, il n'utilise pas les services de mobilité. Lorsque le nœud mobile revient sur le réseau d'accueil, il se désenregistre auprès de l'agent d'accueil.

Détection d'un agent

Un nœud mobile emploie la méthode appelée détection d'agent afin de déterminer les informations suivantes :

Les agents de mobilité transmettent les publications d'agents afin de publier les services sur un réseau. En l'absence de publication d'agent, un nœud mobile peut demander des publications. Cette capacité est également appelée demande d'agent. Si un nœud mobile est capable de prendre en charge sa propre adresse d'hébergement colocalisée, il peut utiliser les publications de routeur habituelles dans le même objectif.

Publication d'agent

Les nœuds mobiles utilisent la publication d'agent afin de déterminer le point actuel de connexion à Internet ou au réseau d'une entreprise. Une publication d'agent correspond à une publication de routeur ICMP (Internet Control Message Protocol) qui a été étendue afin de porter une extension de publication d'agent de mobilité.

Un agent étranger peut être trop occupé pour pouvoir servir des nœuds mobiles supplémentaires. Cependant, un agent étranger doit continuer d'envoyer des publications d'agent. Ensuite, le nœud mobile, qui est déjà enregistré auprès d'un agent étranger, sait qu'il est toujours à la portée de l'agent étranger. Le nœud mobile sait également que l'agent étranger n'a pas échoué. Il est probable qu'un nœud mobile enregistré avec un agent étranger dont il ne reçoit plus de publication d'agents sache qu'il ne peut plus contacter cet agent.

Publication d'agents sur interfaces dynamiques

Vous pouvez configurer l'implémentation de l'agent étranger de sorte qu'il envoie des publications à des interfaces créées de façon dynamique. Vous pouvez également activer ou désactiver les publications non sollicitées limitées par le biais des interfaces ad hoc. Les interfaces créées de manière dynamique sont définies comme étant uniquement les interfaces configurées après le démarrage du démon mipagent. La publication sur interface dynamique est utile pour les applications prenant en charge les interfaces de mobilité transitoire. En outre, la limitation des publications non sollicitées permet de réaliser des économies de bande passante de réseau.

Demande d'agent

Chaque nœud mobile doit implémenter la demande d'agent. Pour la demande d'agents, le nœud mobile utilise les procédures, paramètres par défaut et constantes spécifiés par les routeurs ICMP pour les messages de demande.

Le nœud mobile limite la fréquence à laquelle il envoie ses demandes. Il peut envoyer trois demandes initiales à une fréquence maximale d'une demande par seconde pendant qu'il recherche un agent. Une fois le nœud mobile enregistré auprès d'un agent, la fréquence d'envoi des demandes est réduite afin de limiter le temps système du réseau local.

Adresses d'hébergement

Mobile IP propose les autres modes d'acquisition suivants pour l'acquisition d'une adresse d'hébergement :

Une adresse d'hébergement colocalisée permet à un nœud mobile de fonctionner sans agent étranger. Par conséquent, un nœud mobile peut utiliser une adresse d'hébergement colocalisée dans des réseaux n'ayant pas déployé d'agent étranger.

S'il utilise une adresse d'hébergement colocalisée, le nœud mobile doit se trouver sur le lien identifié par le préfixe réseau de l'adresse d'hébergement. Autrement, la livraison des datagrammes destinés à l'adresse d'hébergement est impossible.

Mobile IP avec création de tunnel inverse

La section Mode de fonctionnement de Mobile IP part du principe que le routage au sein d'Internet est indépendant de l'adresse source du datagramme. Les routeurs intermédiaires peuvent cependant effectuer une vérification pour une adresse source topologiquement correcte. En cas de vérification d'un routeur intermédiaire, le nœud mobile doit définir un tunnel inverse. En configurant un tunnel inverse entre l'adresse d'hébergement et l'agent d'accueil, vous garantissez que l'adresse source du paquet de données IP est correcte au point de vue de la topologie. La prise en charge des tunnels inverses est publiée par les agents étrangers et les agents d'accueil. Un nœud mobile peut émettre une demande de tunnel inverse entre l'agent étranger et l'agent d'accueil lors de son enregistrement. Un tunnel inverse commence à l'adresse d'hébergement du nœud mobile et se termine à l'agent d'accueil. La figure suivante illustre la topologie de Mobile IP utilisant un tunnel inverse.

Figure 27–4 Mobile IP avec tunnel inverse

Illustre le mode de communication entre un nœud mobile et un nœud correspondant via un tunnel inverse.

Prise en charge des adresses privées limitées

Les nœuds mobiles dont les adresses privées ne sont pas globalement routables via Internet doivent disposer de tunnels inverses. Mobile IP Solaris assure la prise en charge des nœuds mobiles dont les adresses sont privées. Reportez-vous à Présentation de l'implémentation de Mobile IP Solaris pour connaître les fonctions que Mobile IP Solaris ne prend pas en charge.

Les entreprises utilisent des adresses privées lorsque la connectivité externe n'est pas requise. Les adresses privées ne sont pas routables via Internet. Lorsqu'un nœud mobile possède une adresse privée, il ne peut communiquer avec un nœud correspondant que si ses datagrammes sont acheminés vers l'agent d'accueil par le biais du tunnel inverse. L'agent d'accueil livre ensuite le datagramme au nœud correspondant de la manière dont il est normalement livré lorsque le nœud mobile se trouve en accueil. La figure suivante illustre une topologie de réseau avec deux nœuds mobiles possédant des adresses privées. Les deux nœuds mobiles utilisent la même adresse d'hébergement lorsqu'ils sont enregistrés auprès du même agent étranger.

Figure 27–5 Nœuds mobiles possédant des adresses privées résidant sur le même réseau étranger

Illustre la topologie de réseau de deux nœuds mobiles disposant d'adresses privées et utilisant la même adresse d'hébergement lorsqu'ils sont enregistrés auprès du même agent étranger.

L'adresse d'hébergement et l'adresse de l'agent d'accueil doivent être globalement routables si elles appartiennent à des domaines différents connectés via un Internet public.

Le même réseau étranger peut comprendre deux nœuds mobiles pour lesquels la même adresse IP sert d'adresse privée. Cependant, chaque nœud mobile doit posséder un agent d'accueil différent. En outre, chaque nœud mobile doit se trouver sur un sous-réseau de publication distinct appartenant à un agent étranger unique. La figure suivante illustre une topologie de réseau correspondant à cette situation.

Figure 27–6 Nœuds mobiles possédant des adresses privées et résidant sur des réseaux étrangers différents

Illustre la topologie de réseau de deux nœuds mobiles possédant des adresses privées et résidant sur deux réseaux étrangers différents.

Enregistrement de Mobile IP

Les nœuds mobiles détectent le moment où ils ont été déplacés d'un sous-réseau vers un autre grâce à la publication d'agent. Lorsqu'il reçoit une publication d'agent indiquant le changement de son emplacement, le nœud mobile s'enregistre par le biais d'un agent étranger. Même s'il est possible que le nœud mobile ait pu acquérir sa propre adresse d'hébergement colocalisée, cette fonction permet de restreindre l'accès aux services de mobilité.

L'enregistrement de Mobile IP fournit un mécanisme flexible permettant aux nœuds mobiles de communiquer les informations relatives à la disponibilité de l'agent d'accueil. Le processus d'enregistrement permet aux nœuds mobiles d'effectuer les tâches suivantes :

Les messages d'enregistrement permettent l'échange d'informations entre un nœud mobile, un agent étranger et l'agent d'accueil. L'enregistrement permet de créer ou de modifier un lien de mobilité au niveau de l'agent d'accueil. L'enregistrement associe l'adresse d'accueil du nœud mobile à l'adresse d'hébergement de ce dernier pour une durée prédéterminée.

Le processus d'enregistrement permet également aux nœuds mobiles d'effectuer les opérations suivantes :

Mobile IP définit les processus d'enregistrement suivants pour un nœud mobile :

Ces processus d'enregistrement impliquent un échange de requêtes d'enregistrement et de messages de réponse d'enregistrement. Lorsque le nœud mobile s'enregistre à l'aide d'un agent étranger, le processus d'enregistrement effectue les étapes suivantes, représentées par la figure ci-desous :

  1. Le nœud mobile envoie une demande d'enregistrement à l'agent étranger adéquat pour qu'il démarre le processus d'enregistrement.

  2. L'agent étranger traite la demande d'enregistrement, puis relaie la demande auprès de l'agent d'accueil.

  3. L'agent d'accueil envoie une réponse d'enregistrement à l'agent étranger afin d'accepter ou de refuser la demande.

  4. L'agent étranger traite la réponse d'enregistrement, puis la relaie auprès du nœud mobile afin de l'informer du traitement de la demande.

Figure 27–7 Processus d'enregistrement de Mobile IP

Illustre un nœud mobile s'enregistrant auprès de l'agent d'accueil par le biais de l'agent étranger.

Lorsque le nœud mobile s'enregistre directement auprès de l'agent d'accueil, le processus d'enregistrement nécessite les étapes suivantes uniquement :

De plus, l'agent étranger ou l'agent d'accueil peut nécessiter un tunnel inverse. Si l'agent étranger prend en charge la création de tunnels inverse, le nœud mobile utilise le processus d'enregistrement pour demander un tunnel inverse. Le nœud mobile définit l'indicateur de tunnel inverse dans la demande d'enregistrement de sorte qu'il effectue une demande de tunnel inverse.

NAI (Network Access Identifier, identificateur d'accès au réseau)

Lorsqu'ils sont utilisés sur Internet, les serveurs AAA (Authentication, Autorization, and Accounting ; authentification, autorisation et comptabilisation) offrent des services d'authentification et d'autorisation aux ordinateurs à connexion téléphonique. ll est possible que ces services soient tout aussi importants pour les nœuds mobiles faisant appel à Mobile IP lorsqu'ils essaient de se connecter à des domaines étrangers avec des serveurs AAA. Les NAI permettent aux serveurs AAA d'identifier des clients. Un nœud mobile peut s'identifier en incluant les NAI dans la demande d'enregistrement de Mobile IP.

Dans la mesure où, en règle générale, un NAI identifie le nœud mobile de façon unique, l'adresse d'accueil du nœud mobile n'est pas toujours nécessaire à l'obtention de cette fonction. Par conséquent, un nœud mobile peut s'authentifier lui-même. Ainsi, un nœud mobile peut obtenir une autorisation de connexion à un domaine étranger sans même posséder une adresse d'accueil. Pour demander l'attribution d'une adresse d'accueil, un message contenant l'extension NAI du nœud mobile peut définir le champ d'adresse d'accueil à zéro dans la demande d'enregistrement.

Authentification de message de Mobile IP

Chaque nœud mobile, d'agent étranger et d'agent d'accueil assure la prise en charge d'une association de sécurité de mobilité entre les différents composants de Mobile IP. L'association de sécurité est indexée par le SPI et l'adresse IP. Dans l'instance du nœud mobile, cette adresse correspond à l'adresse d'accueil de ce dernier. Les messages d'enregistrement entre un nœud mobile et l'agent d'accueil sont authentifiés par l'extension d'authentification mobile-accueil. En plus de l'authentification mobile-accueil obligatoire, vous pouvez utiliser les authentifications facultatives agent mobile-étranger et agent d'accueil-étranger.

Demande d'enregistrement de nœud mobile

Un nœud mobile utilise un message de demande d'enregistrement pour s'enregistrer auprès de l'agent d'accueil. Ainsi, l'agent d'accueil peut créer ou modifier un lien de mobilité pour ce nœud mobile, en lui attribuant par exemple une nouvelle durée de vie. L'agent étranger peut relayer la demande d'enregistrement vers l'agent d'accueil. Cependant, si le nœud mobile enregistre une adresse d'hébergement colocalisée, il peut alors envoyer la demande d'enregistrement directement à l'agent d'accueil. Si l'agent étranger indique que les messages d'enregistrement doivent être envoyés à l'agent étranger, le nœud mobile doit alors envoyer la demande d'enregistrement à l'agent étranger.

Message de réponse d'enregistrement

Un agent de mobilité renvoie un message de réponse d'enregistrement à un nœud mobile ayant envoyé un message de demande d'enregistrement. Si le nœud mobile demande un service venant d'un agent étranger, ce dernier reçoit la réponse de l'agent d'accueil. Par conséquent, l'agent étranger relaie la réponse vers le nœud mobile. Le message de réponse contient les codes nécessaires permettant d'informer le nœud mobile et l'agent étranger du statut de la demande d'enregistrement. Le message contient également la durée de vie accordée à l'agent d'accueil. La durée de vie peut être inférieure à la demande originale. La réponse d'enregistrement peut également contenir une assignation d'adresse d'accueil dynamique.

Considérations relatives aux agents étrangers

La plupart du temps, l'agent étranger joue un rôle passif dans l'enregistrement Mobile IP. L'agent étranger ajoute tous les nœuds mobiles enregistrés dans la table de visiteurs. L'agent étranger relaie les demandes d'enregistrement entre les nœuds mobiles et les agents d'accueil. De plus, lorsque l'agent étranger fournit l'adresse d'hébergement, ce dernier désencapsule les datagrammes en vue d'une livraison au nœud mobile. L'agent étranger envoie également des messages périodiques de publication d'agent pour informer de sa présence.

Si les agents d'accueil et étrangers prennent en charge les tunnels inverses et si le nœud mobile demande un tunnel de retour, l'agent étranger achemine l'ensemble des paquets à partir du nœud mobile vers l'agent d'accueil. L'agent d'accueil envoie alors les paquets au nœud correspondant. Ce processus est l'inverse de celui où l'agent d'accueil achemine tous les paquets du nœud mobile vers l'agent étranger en vue d'une livraison au nœud mobile. Un agent étranger qui prend en charge les tunnels inverses indique que ces derniers sont pris en charge pour l'enregistrement. Selon la stratégie locale, l'agent étranger peut refuser une demande d'enregistrement en l'absence de définition d'indicateur de tunnel inverse. L'agent étranger peut distinguer plusieurs nœuds mobiles avec la même adresse IP (privée) uniquement lorsque ces derniers visitent différentes interfaces sur l'agent étranger. Dans le cas d'un tunnel d'acheminement, l'agent étranger fait la distinction entre plusieurs nœuds mobiles partageant la même adresse privée en consultant l'interface du tunnel entrant. L'interface du tunnel entrant mappe vers une adresse d'agent d'accueil unique.

Considérations relatives aux agents d'accueil

Les agents d'accueil jouent un rôle actif dans le processus d'enregistrement. L'agent d'accueil reçoit les demandes d'enregistrement provenant du nœud mobile. La demande d'enregistrement peut être transmise à l'agent étranger. L'agent d'accueil met à jour les enregistrements des liens de mobilité pour ce nœud mobile. Il émet une réponse d'enregistrement adaptée à chaque demande. De plus, il transfère les paquets vers le nœud mobile lorsque celui-ci ne se trouve pas dans le réseau d'accueil.

Un agent d'accueil peut ne pas posséder de sous-réseau configuré pour les nœuds mobiles. Cependant, l'agent d'accueil doit reconnaître l'adresse d'accueil du nœud mobile par le biais du fichier mipagent.conf ou d'un autre mécanisme lorsqu'il autorise un enregistrement. Pour de plus amples informations sur le fichier mipagent.conf, reportez-vous à la section Création du fichier de configuration de Mobile IP.

Un agent d'accueil peut prendre en charge des nœuds mobiles disposant d'une adresse privée en les configurant dans le fichier mipagent.conf. Les adresses d'accueil utilisées par l'agent d'accueil doivent être uniques.

Détection dynamique d'agent d'accueil

Dans certains cas, le nœud mobile peut ne pas connaître l'adresse de l'agent d'accueil lorsqu'il tente de s'enregistrer. Si le nœud mobile ne possède pas l'adresse de l'agent d'accueil, il peut utiliser la résolution dynamique d'adresse d'agent d'accueil pour la connaître. Dans ce cas, le nœud mobile définit le champ de l'agent d'accueil de la demande d'enregistrement à l'adresse de diffusion destinée au sous-réseau de son réseau d'accueil. Chaque agent d'accueil qui reçoit une demande d'enregistrement avec une adresse de destination de diffusion refuse l'enregistrement du nœud mobile en envoyant une réponse de refus d'enregistrement. Ce faisant, le nœud mobile peut utiliser l'adresse IP unicast de l'agent d'accueil indiquée dans la réponse négative lors de la prochaine tentative d'enregistrement.

Routage de datagrammes vers et à partir de nœuds mobiles

Cette section décrit le mode de coopération entre les nœuds mobiles, les agents d'accueil et les agents étrangers afin d'acheminer les datagrammes vers les nœuds mobiles connectés à un réseau étranger. Reportez-vous à Présentation de l'implémentation de Mobile IP Solaris pour obtenir des informations sur les fonctions de Mobile IP prises en charge par le système d'exploitation Solaris.

Méthodes d'encapsulation

Les agents d'accueil et étrangers utilisent l'une des méthodes d'encapsulation disponibles pour la prise en charge des datagrammes utilisant un tunnel. Les méthodes d'encapsulation définies sont l'encapsulation IP dans IP, l'encapsulation minimale et l'encapsulation de routage générique. Les cas d'agents étrangers et d'accueil, ou de nœuds mobiles indirects colocalisés et d'agents d'accueil, doivent prendre en charge la même méthode d'encapsulation. Toutes les entités de Mobile IP doivent obligatoirement prendre en charge l'encapsulation IP dans IP .

Routage de datagramme de monodiffusion

Lors de son enregistrement sur un réseau étranger, le nœud mobile choisit un routeur par défaut en fonction des règles suivantes :

Datagrammes de diffusion

Lorsqu'un agent d'accueil reçoit un datagramme de diffusion ou de multidiffusion, il le transfère uniquement vers les nœuds mobiles qui ont indiqué spécifiquement qu'ils souhaitent recevoir des datagrammes. Le mode de transmission des datagrammes de diffusion et multidiffusion vers les nœuds mobiles dépend principalement de deux facteurs. Le nœud mobile utilise soit une adresse d'hébergement fournie par un agent étranger, soit sa propre adresse d'hébergement colocalisée. Dans le premier cas, cela signifie qu'une double encapsulation du datagramme est nécessaire. Le premier en-tête IP identifie le nœud mobile auquel le datagramme doit être livré. Cet en-tête ne se trouve pas dans le datagramme de diffusion ou de multidiffusion. Le second en-tête IP identifie l'adresse d'hébergement et constitue l'en-tête de tunnel habituel. Dans le deuxième cas, le nœud mobile décapsule ses propres datagrammes et il suffit d'envoyer le datagramme via le tunnel habituel.

Routage de datagramme de multidiffusion

Pour recevoir du trafic de multidiffusion lorsqu'il visite un sous-réseau étranger, un nœud mobile peut rejoindre un groupe de multidiffusion de l'une des manières suivantes :

Le routage multidiffusion dépend de l'adresse IP source. Un nœud mobile qui envoie un datagramme de multidiffusion doit l'envoyer à partir d'une adresse source valide sur ce lien. Ainsi, un nœud mobile qui envoie des datagrammes de multidiffusion directement sur le réseau visité doit utiliser une adresse d'hébergement colocalisée en guise d'adresse IP source. De plus, le nœud mobile doit faire partie du groupe de multidiffusion associé à l'adresse. De même, un nœud mobile qui a rejoint un groupe de multidiffusion alors qu'il était sur son sous-réseau d'accueil avant d'effectuer un roaming, ou pendant un roaming dans un tunnel inverse vers son agent d'accueil, doit utiliser son adresse d'accueil en guise d'adresse IP source du datagramme de multidiffusion. Par conséquent, les datagrammes de ce nœud mobile doivent également être acheminés via un tunnel inverse vers son sous-réseau d'accueil, soit à l'aide de son adresse d'hébergement colocalisée, soit par le biais d'un tunnel inverse d'agent étranger.

Bien qu'une adhésion systématique au sous-réseau qu'il visite semble plus efficace, un nœud mobile reste ce qu'il est. Par conséquent, il devrait répéter l'adhésion à chaque fois qu'il change de sous-réseau. Le mode d'adhésion le plus efficace du nœud mobile s'effectue par le biais de son agent d'accueil, ce qui représente une économie de temps système. De plus, des sessions de multidiffusion disponibles uniquement via le sous-réseau d'accueil pourraient être présentes. D'autres considérations peuvent également forcer le nœud mobile à participer d'une façon spécifique.

Considérations relatives à la sécurité de Mobile IP

Dans de nombreux cas, les ordinateurs portables utilisent des liens sans fil pour se connecter au réseau. Les liens sans fil sont particulièrement vulnérables à l'écoute passive, aux attaques de rediffusion active et autres attaques actives.

Dans la mesure où Mobile IP reconnaît son incapacité à réduire ou éliminer cette faiblesse, une forme d'authentification permet de protéger les messages d'enregistrement Mobile IP de ce type d'attaques. L'algorithme par défaut utilisé est MD5 avec une taille de clé de 128 octets. Le mode d'opération par défaut exige que cette clé de 128 octets précède et suive les données à hacher. L'agent étranger utilise MD5 pour la prise en charge de l'authentification. Il utilise également des clés d'une taille minimale de 128 octets, avec distribution de clé manuelle. Mobile IP peut prendre en charge d'autres algorithmes d'authentification, modes d'algorithmes, méthodes de distribution de clé et tailles de clé.

Ces méthodes empêchent les modifications sur les messages d'enregistrement Mobile IP. Cependant, Mobile IP utilise une forme de protection contre la rediffusion afin d'alerter les entités Mobile IP dans le cas où elles recevraient des duplicatas de messages d'enregistrement précédents. Sans cette méthode de protection, le nœud mobile et son agent d'accueil pourraient se désynchroniser si l'un d'entre eux recevait un message d'enregistrement. Ainsi, Mobile IP met son état à jour. Par exemple, un agent d'accueil reçoit le duplicata d'un message de désenregistrement alors que le nœud mobile est enregistré via un agent étranger.

La protection contre la rediffusion est assurée par les méthodes connues sous les noms de nonce ou horodatage. Les agents d'accueil et les nœuds mobiles échangent les nonces et les horodatages au sein des messages d'enregistrement Mobile IP. Les nonces et les horodatages sont protégés contre les modifications par un mécanisme d'authentification. Par conséquent, si un agent d'accueil ou un nœud mobile reçoit un message dupliqué, ce message peut être rejeté.

L'utilisation de tunnels peut constituer une vulnérabilité importante, tout particulièrement si l'enregistrement n'est pas authentifié. En outre, l'ARP (Address Resolution Protocol) n'est pas authentifié et peut être utilisé pour voler le trafic d'un autre hôte.