Partie V Mobile IP

Cette partie constitue une introduction à Mobile IP (Mobile Internet Protocol, protocole Internet mobile) et répertorie les tâches relatives à l'administration de Mobile IP. L'installation de Mobile IP sur des systèmes d'ordinateurs portables et de communication sans fil leur permet de fonctionner sur des réseaux étrangers.

La fonction Mobile IP a été supprimée de toutes les mises à jour Oracle Solaris depuis la version Solaris 10 8/07.

Chapitre 27 Mobile IP (présentation)

Mobile IP (Internet Protocol) permet de transférer des informations entre ordinateurs portables. Par ordinateurs portables, il faut entendre ordinateurs portables et communications sans fil. Un ordinateur portable peut se placer sur un réseau étranger, sans perdre sa capacité à communiquer par le biais de son réseau d'accueil. L'implémentation Solaris de Mobile IP est compatible avec IPv4 uniquement.

Le présent chapitre contient les informations suivantes :

• Introduction à Mobile IP

• Entités fonctionnelles de Mobile IP

• Mode de fonctionnement de Mobile IP

• Détection d'un agent

• Adresses d'hébergement

• Mobile IP avec création de tunnel inverse

• Enregistrement de Mobile IP

• Routage de datagrammes vers et à partir de nœuds mobiles

• Considérations relatives à la sécurité de Mobile IP

Pour les tâches relatives à Mobile IP, reportez-vous au Chapitre 28Administration de Mobile IP (tâches). Pour obtenir des références sur Mobile IP, reportez-vous au Chapitre 29Fichiers et commandes de Mobile IP (références).

Nouveautés de Mobile IP

La fonction Mobile IP est supprimée des mises à jour Solaris 10 depuis Solaris 10 8/07.

Introduction à Mobile IP

Les versions actuelles de l'IP (Internet Protocol) partent du principe que le point de connexion entre l'ordinateur et Internet ou un réseau est fixe. L'IP part également du principe que l'adresse IP de l'ordinateur permet d'identifier le réseau auquel est connecté l'ordinateur. Les datagrammes envoyés à un ordinateur sont basés sur les informations d'emplacement contenues dans l'adresse IP. Dans le cas de nombreux protocoles Internet, l'adresse IP du nœud n'est pas modifiée. Si l'un de ces protocoles est actif sur un périphérique informatique Mobile IP, cela entraîne un échec de leurs applications. Cela occasionnerait même l'échec du protocole HTTP si les connexions TCP n'étaient pas de nature si courte. La mise à jour d'une adresse IP et l'actualisation de la page Web ne sont pas des tâches complexes.

Si un ordinateur portable ou nœud mobile se déplace vers un nouveau réseau alors que son adresse IP ne change pas, l'adresse du nœud mobile ne reflète pas le nouveau point de connexion. Par conséquent, les protocoles de routage existants ne peuvent pas acheminer correctement les datagrammes vers le nœud mobile. Vous devez reconfigurer le nœud mobile avec une adresse IP qui représente le nouvel emplacement. L'attribution d'une adresse IP différente est une tâche fastidieuse. Par conséquent, sous l'IP actuel, si le nœud mobile se déplace sans modifier son adresse, le routage est perdu. Si le nœud mobile modifie son adresse, cela entraîne une perte des connexions.

Mobile IP permet de résoudre ce problème en autorisant le nœud mobile à utiliser deux adresses IP. La première adresse est une adresse d'accueil fixe. La seconde est une adresse d'hébergement qui change à chaque nouveau point de connexion. Mobile IP permet à un ordinateur de naviguer librement sur Internet. Mobile IP permet également à un ordinateur de naviguer librement sur le réseau d'une entreprise tout en conservant la même adresse d'accueil. Par conséquent, les activités de communication ne sont pas interrompues lorsque l'utilisateur modifie le point de connexion de l'ordinateur. En revanche, le réseau est mis à jour avec le nouvel emplacement du nœud mobile. Reportez-vous au Glossaire pour obtenir les définitions des termes associés à Mobile IP.

La figure suivante illustre la topologie générale de Mobile IP.

Figure 27–1 Topologie de Mobile IP

Grâce à l'utilisation de la topologie de Mobile IP de cette figure, le scénario suivant illustre le mode de déplacement d'un datagramme d'un point vers un autre au sein de la structure de Mobile IP :

1. L'hôte Internet envoie un datagramme au nœud mobile à l'aide de l'adresse d'accueil de ce dernier (processus de routage d'IP normal).

2. Si le nœud mobile se trouve dans son réseau d'accueil, le datagramme est livré par le biais du processus IP normal au nœud mobile. Autrement, l'agent d'accueil reçoit le datagramme.

3. Si le nœud mobile se trouve sur un réseau étranger, l'agent d'accueil transfère le datagramme vers ce dernier. L'agent d'accueil doit encapsuler le datagramme dans un datagramme externe de sorte que l'adresse IP de l'agent étranger s'affiche dans l'en-tête de l'IP externe.

4. L'agent étranger livre le datagramme au nœud mobile.

5. Les datagrammes sont envoyés à partir du nœud mobile vers l'hôte Internet selon les procédures de routage IP normales. Si le nœud mobile se trouve sur un réseau étranger, les paquets sont livrés à l'agent étranger. L'agent étranger transfère le datagramme vers l'hôte internet.

6. Dans les situations où le filtrage d'entrée est présent, l'adresse source doit être topologiquement correcte pour le sous-réseau dont provient le datagramme, sinon le routeur ne peut pas transférer le datagramme. Si c'est le cas pour des liens entre le nœud mobile et le nœud correspondant, l'agent étranger doit fournir un support de création de tunnel inverse. L'agent étranger peut ensuite livrer tous les datagrammes que le nœud mobile envoie à son agent d'accueil. L'agent d'accueil transfère ensuite le datagramme via le chemin qu'aurait emprunté ce dernier si le nœud mobile s'était trouvé sur le réseau d'accueil. Ce processus permet de garantir que l'adresse source est correcte pour tous les liens que doit traverser le datagramme.

En ce qui concerne les communications sans fil, la Figure 27–1 illustre l'utilisation de transducteurs pour la transmission des datagrammes vers le nœud mobile. En outre, tous les datagrammes entre l'hôte Internet et le nœud mobile utilisent l'adresse d'accueil du nœud mobile. L'adresse d'accueil est utilisée même lorsque le nœud mobile se trouve dans le réseau étranger. L'adresse d'hébergement s'utilise uniquement pour communiquer avec les agents de mobilité. L'hôte Internet ne voit pas l'adresse d'hébergement.

Entités fonctionnelles de Mobile IP

Mobile IP présente les nouvelles entités fonctionnelles suivantes :

• Nœud mobile – Hôte ou routeur qui change son point de connexion d'un réseau à un autre tout en conservant la totalité des communications existantes à l'aide de son adresse IP d'accueil.

• Agent d'accueil – Routeur ou serveur se trouvant sur le réseau d'accueil du nœud mobile. Le routeur intercepte les datagrammes destinés au nœud mobile. Il livre ensuite les datagrammes via l'adresse d'hébergement. L'agent d'accueil gère également les informations actuelles à l'emplacement du nœud mobile.

• Agent étranger – Routeur ou serveur situé sur le réseau étranger visité par le nœud mobile. Fournit un service de routage d'hôtes au nœud mobile. L'agent étranger peut également fournir une adresse d'hébergement au nœud mobile pendant l'enregistrement de ce dernier.

Mode de fonctionnement de Mobile IP

Mobile IP permet d'acheminer des datagrammes IP vers les nœuds mobiles. L'adresse d'accueil du nœud mobile identifie toujours ce dernier, quel que soit son point de connexion. En cas d'absence, une adresse d'hébergement est associée à l'adresse d'accueil du nœud mobile. L'adresse d'hébergement fournit les informations relatives au point de connexion actuel du nœud mobile. Mobile IP utilise un mécanisme d'enregistrement pour enregistrer l'adresse d'hébergement avec un agent d'accueil.

L'agent d'accueil redirige les datagrammes provenant du réseau d'accueil vers l'adresse d'hébergement. L'agent d'accueil construit un nouvel en-tête IP qui contient l'adresse d'hébergement du nœud mobile en tant qu'adresse IP de destination. Ce nouvel en-tête encapsule le datagramme IP d'origine. Par conséquent, l'adresse d'accueil du nœud mobile n'a aucune incidence sur l'acheminement du datagramme encapsulé jusqu'à ce que ce dernier parvienne à l'adresse d'hébergement. Ce type d'encapsulation correspond à la création de tunnel. Lorsque le datagramme parvient à l'adresse d'hébergement, il est désencapsulé. Le datagramme est ensuite livré au nœud mobile.

La figure suivante représente un nœud mobile qui réside sur son réseau d'accueil, le réseau A, avant d'être déplacé vers un réseau étranger, le réseau B. Mobile IP est pris en charge par les deux réseaux. Le nœud mobile est toujours associé à son adresse d'accueil, 128.226.3.30.

Figure 27–2 Nœud mobile résidant sur son réseau d'accueil

La figure suivante représente un nœud mobile qui s'est déplacé vers un réseau étranger, le réseau B. Les datagrammes destinés au nœud mobile sont interceptés par l'agent d'accueil du réseau d'accueil, soit le réseau A. Les datagrammes sont encapsulés. Ils sont ensuite envoyés à l'agent étranger du réseau B. L'agent étranger retire ensuite l'en-tête externe. L'agent étranger livre ensuite le datagramme au nœud mobile situé sur le réseau B.

Figure 27–3 Nœud mobile se déplaçant vers un réseau étranger

L'adresse d'hébergement peut appartenir à un agent étranger. Le nœud mobile peut obtenir l'adresse d'hébergement par le biais du protocole DHCP (Dynamic Host Configuration Protocol) ou PPP (Point-to-Point Protocol). Dans le deuxième cas, le nœud mobile possède une adresse d'hébergement colocalisée.

Les agents de mobilité (agents d'accueil et étrangers) indiquent leur présence à l'aide de messages de publication d'agent. Au besoin, un nœud mobile peut également demander un message de publication d'agent. Le nœud mobile utilise un agent de mobilité connecté localement via un message de demande d'agent. Un nœud mobile utilise les publications d'agent afin de déterminer s'il se trouve sur le réseau d'accueil ou sur un réseau étranger.

Le nœud mobile utilise un processus d'enregistrement spécial afin d'informer l'agent d'accueil à propos de l'emplacement actuel du nœud mobile. Le nœud mobile est toujours "à l'écoute" des agents de mobilité au cas où ils l'informeraient de leur présence. Le nœud mobile utilise ces publications afin de déterminer le moment où se déplacer vers un autre sous-réseau. Lorsqu'un nœud mobile détermine qu'il a changé d'emplacement, il utilise le nouvel agent étranger pour transférer un message d'enregistrement vers l'agent d'accueil. Le nœud mobile utilise le même processus lorsqu'il se déplace d'un réseau étranger vers un autre.

Lorsque le nœud mobile détecte qu'il est situé sur le réseau d'accueil, il n'utilise pas les services de mobilité. Lorsque le nœud mobile revient sur le réseau d'accueil, il se désenregistre auprès de l'agent d'accueil.

Détection d'un agent

Un nœud mobile emploie la méthode appelée détection d'agent afin de déterminer les informations suivantes :

• le moment où le nœud s'est déplacé d'un réseau vers un autre ;

• si le réseau est le réseau d'accueil ou un réseau étranger ;

• l'adresse d'hébergement de l'agent étranger proposée par chaque agent étranger sur ce réseau ;

• les services de mobilité fournis par l'agent de mobilité, publiés en tant qu'indicateurs, ainsi que les extensions supplémentaires dans la publication d'agent.

Les agents de mobilité transmettent les publications d'agents afin de publier les services sur un réseau. En l'absence de publication d'agent, un nœud mobile peut demander des publications. Cette capacité est également appelée demande d'agent. Si un nœud mobile est capable de prendre en charge sa propre adresse d'hébergement colocalisée, il peut utiliser les publications de routeur habituelles dans le même objectif.

Publication d'agent

Les nœuds mobiles utilisent la publication d'agent afin de déterminer le point actuel de connexion à Internet ou au réseau d'une entreprise. Une publication d'agent correspond à une publication de routeur ICMP (Internet Control Message Protocol) qui a été étendue afin de porter une extension de publication d'agent de mobilité.

Un agent étranger peut être trop occupé pour pouvoir servir des nœuds mobiles supplémentaires. Cependant, un agent étranger doit continuer d'envoyer des publications d'agent. Ensuite, le nœud mobile, qui est déjà enregistré auprès d'un agent étranger, sait qu'il est toujours à la portée de l'agent étranger. Le nœud mobile sait également que l'agent étranger n'a pas échoué. Il est probable qu'un nœud mobile enregistré avec un agent étranger dont il ne reçoit plus de publication d'agents sache qu'il ne peut plus contacter cet agent.

Publication d'agents sur interfaces dynamiques

Vous pouvez configurer l'implémentation de l'agent étranger de sorte qu'il envoie des publications à des interfaces créées de façon dynamique. Vous pouvez également activer ou désactiver les publications non sollicitées limitées par le biais des interfaces ad hoc. Les interfaces créées de manière dynamique sont définies comme étant uniquement les interfaces configurées après le démarrage du démon mipagent. La publication sur interface dynamique est utile pour les applications prenant en charge les interfaces de mobilité transitoire. En outre, la limitation des publications non sollicitées permet de réaliser des économies de bande passante de réseau.

Demande d'agent

Chaque nœud mobile doit implémenter la demande d'agent. Pour la demande d'agents, le nœud mobile utilise les procédures, paramètres par défaut et constantes spécifiés par les routeurs ICMP pour les messages de demande.

Le nœud mobile limite la fréquence à laquelle il envoie ses demandes. Il peut envoyer trois demandes initiales à une fréquence maximale d'une demande par seconde pendant qu'il recherche un agent. Une fois le nœud mobile enregistré auprès d'un agent, la fréquence d'envoi des demandes est réduite afin de limiter le temps système du réseau local.

Adresses d'hébergement

Mobile IP propose les autres modes d'acquisition suivants pour l'acquisition d'une adresse d'hébergement :

• Un agent étranger fournit une adresse d'hébergement d'agent étranger qui est publiée sur le nœud mobile par le biais de messages de publication d'agent. En règle générale, l'adresse d'hébergement correspond à l'adresse IP de l'agent étranger qui envoie les publications. L'agent étranger constitue le point d'extrémité du tunnel. Lorsque l'agent étranger reçoit des datagrammes par le biais d'un tunnel, il les désencapsule. Ensuite, l'agent étranger livre le datagramme interne au nœud mobile. Par conséquent, de nombreux nœuds mobiles peuvent partager la même adresse d'hébergement. La bande passante est importante pour les liens sans fil. Les liens sans fil sont de bons candidats à partir desquels les agents étrangers peuvent fournir des services Mobile IP à des liens connectés à une bande passante plus importante.

• Un nœud mobile acquiert une adresse d'hébergement colocalisée en tant qu'adresse IP locale par des moyens externes. Le nœud mobile s'associe alors à l'une de ses propres interfaces réseau. Le nœud mobile peut acquérir une adresse temporaire via DHCP. L'adresse peut également correspondre à l'adresse à long terme du nœud mobile. Cependant, le nœud mobile peut utiliser l'adresse uniquement en cas de visite dans le sous-réseau auquel appartient l'adresse d'hébergement. En cas d'utilisation d'une adresse d'hébergement colocalisée, le nœud mobile sert de point d'extrémité du tunnel. Le nœud mobile désencapsule les datagrammes acheminés via le tunnel au nœud mobile.

Une adresse d'hébergement colocalisée permet à un nœud mobile de fonctionner sans agent étranger. Par conséquent, un nœud mobile peut utiliser une adresse d'hébergement colocalisée dans des réseaux n'ayant pas déployé d'agent étranger.

S'il utilise une adresse d'hébergement colocalisée, le nœud mobile doit se trouver sur le lien identifié par le préfixe réseau de l'adresse d'hébergement. Autrement, la livraison des datagrammes destinés à l'adresse d'hébergement est impossible.

Mobile IP avec création de tunnel inverse

La section Mode de fonctionnement de Mobile IP part du principe que le routage au sein d'Internet est indépendant de l'adresse source du datagramme. Les routeurs intermédiaires peuvent cependant effectuer une vérification pour une adresse source topologiquement correcte. En cas de vérification d'un routeur intermédiaire, le nœud mobile doit définir un tunnel inverse. En configurant un tunnel inverse entre l'adresse d'hébergement et l'agent d'accueil, vous garantissez que l'adresse source du paquet de données IP est correcte au point de vue de la topologie. La prise en charge des tunnels inverses est publiée par les agents étrangers et les agents d'accueil. Un nœud mobile peut émettre une demande de tunnel inverse entre l'agent étranger et l'agent d'accueil lors de son enregistrement. Un tunnel inverse commence à l'adresse d'hébergement du nœud mobile et se termine à l'agent d'accueil. La figure suivante illustre la topologie de Mobile IP utilisant un tunnel inverse.

Figure 27–4 Mobile IP avec tunnel inverse

Prise en charge des adresses privées limitées

Les nœuds mobiles dont les adresses privées ne sont pas globalement routables via Internet doivent disposer de tunnels inverses. Mobile IP Solaris assure la prise en charge des nœuds mobiles dont les adresses sont privées. Reportez-vous à Présentation de l'implémentation de Mobile IP Solaris pour connaître les fonctions que Mobile IP Solaris ne prend pas en charge.

Les entreprises utilisent des adresses privées lorsque la connectivité externe n'est pas requise. Les adresses privées ne sont pas routables via Internet. Lorsqu'un nœud mobile possède une adresse privée, il ne peut communiquer avec un nœud correspondant que si ses datagrammes sont acheminés vers l'agent d'accueil par le biais du tunnel inverse. L'agent d'accueil livre ensuite le datagramme au nœud correspondant de la manière dont il est normalement livré lorsque le nœud mobile se trouve en accueil. La figure suivante illustre une topologie de réseau avec deux nœuds mobiles possédant des adresses privées. Les deux nœuds mobiles utilisent la même adresse d'hébergement lorsqu'ils sont enregistrés auprès du même agent étranger.

Figure 27–5 Nœuds mobiles possédant des adresses privées résidant sur le même réseau étranger

L'adresse d'hébergement et l'adresse de l'agent d'accueil doivent être globalement routables si elles appartiennent à des domaines différents connectés via un Internet public.

Le même réseau étranger peut comprendre deux nœuds mobiles pour lesquels la même adresse IP sert d'adresse privée. Cependant, chaque nœud mobile doit posséder un agent d'accueil différent. En outre, chaque nœud mobile doit se trouver sur un sous-réseau de publication distinct appartenant à un agent étranger unique. La figure suivante illustre une topologie de réseau correspondant à cette situation.

Figure 27–6 Nœuds mobiles possédant des adresses privées et résidant sur des réseaux étrangers différents

Enregistrement de Mobile IP

Les nœuds mobiles détectent le moment où ils ont été déplacés d'un sous-réseau vers un autre grâce à la publication d'agent. Lorsqu'il reçoit une publication d'agent indiquant le changement de son emplacement, le nœud mobile s'enregistre par le biais d'un agent étranger. Même s'il est possible que le nœud mobile ait pu acquérir sa propre adresse d'hébergement colocalisée, cette fonction permet de restreindre l'accès aux services de mobilité.

L'enregistrement de Mobile IP fournit un mécanisme flexible permettant aux nœuds mobiles de communiquer les informations relatives à la disponibilité de l'agent d'accueil. Le processus d'enregistrement permet aux nœuds mobiles d'effectuer les tâches suivantes :

• demander des services de transfert lors de la visite d'un réseau étranger ;

• informer l'agent d'accueil de la nouvelle adresse d'hébergement ;

• renouveler une inscription qui est sur le point d'expirer ;

• se désenregister lors du retour du nœud mobile à l'accueil ;

• effectuer une requête pour un tunnel inverse.

Les messages d'enregistrement permettent l'échange d'informations entre un nœud mobile, un agent étranger et l'agent d'accueil. L'enregistrement permet de créer ou de modifier un lien de mobilité au niveau de l'agent d'accueil. L'enregistrement associe l'adresse d'accueil du nœud mobile à l'adresse d'hébergement de ce dernier pour une durée prédéterminée.

Le processus d'enregistrement permet également aux nœuds mobiles d'effectuer les opérations suivantes :

• enregistrement avec plusieurs agents étrangers ;

• désenregistrement d'adresses d'hébergement spécifiques tout en conservant d'autres liens de mobilité ;

• obtention de l'adresse d'un agent d'accueil si le nœud mobile n'est pas configuré avec ces informations.

Mobile IP définit les processus d'enregistrement suivants pour un nœud mobile :

• Si un nœud mobile enregistre l'adresse d'hébergement d'un agent étranger, il informe l'agent d'accueil qu'il est accessible par le biais de cet agent étranger.

• Si un nœud mobile reçoit une publication d'agent requérant son enregistrement par le biais d'un agent étranger, il peut tenter d'obtenir une adresse d'hébergement colocalisée. Le nœud mobile peut également s'enregistrer auprès de cet agent étranger ou de tout autre agent étranger situé sur ce lien.

• Si un nœud mobile utilise une adresse d'hébergement colocalisée, il s'enregistre directement auprès de l'agent d'accueil.

• Si un nœud mobile retourne sur le réseau d'accueil, il se désenregistre auprès de l'agent d'accueil.

Ces processus d'enregistrement impliquent un échange de requêtes d'enregistrement et de messages de réponse d'enregistrement. Lorsque le nœud mobile s'enregistre à l'aide d'un agent étranger, le processus d'enregistrement effectue les étapes suivantes, représentées par la figure ci-desous :

1. Le nœud mobile envoie une demande d'enregistrement à l'agent étranger adéquat pour qu'il démarre le processus d'enregistrement.

2. L'agent étranger traite la demande d'enregistrement, puis relaie la demande auprès de l'agent d'accueil.

3. L'agent d'accueil envoie une réponse d'enregistrement à l'agent étranger afin d'accepter ou de refuser la demande.

4. L'agent étranger traite la réponse d'enregistrement, puis la relaie auprès du nœud mobile afin de l'informer du traitement de la demande.

Figure 27–7 Processus d'enregistrement de Mobile IP

Lorsque le nœud mobile s'enregistre directement auprès de l'agent d'accueil, le processus d'enregistrement nécessite les étapes suivantes uniquement :

• Le nœud mobile envoie une demande d'enregistrement à l'agent d'accueil.

• L'agent d'accueil envoie une réponse d'enregistrement au nœud mobile qui accepte ou refuse la demande.

De plus, l'agent étranger ou l'agent d'accueil peut nécessiter un tunnel inverse. Si l'agent étranger prend en charge la création de tunnels inverse, le nœud mobile utilise le processus d'enregistrement pour demander un tunnel inverse. Le nœud mobile définit l'indicateur de tunnel inverse dans la demande d'enregistrement de sorte qu'il effectue une demande de tunnel inverse.

NAI (Network Access Identifier, identificateur d'accès au réseau)

Lorsqu'ils sont utilisés sur Internet, les serveurs AAA (Authentication, Autorization, and Accounting ; authentification, autorisation et comptabilisation) offrent des services d'authentification et d'autorisation aux ordinateurs à connexion téléphonique. ll est possible que ces services soient tout aussi importants pour les nœuds mobiles faisant appel à Mobile IP lorsqu'ils essaient de se connecter à des domaines étrangers avec des serveurs AAA. Les NAI permettent aux serveurs AAA d'identifier des clients. Un nœud mobile peut s'identifier en incluant les NAI dans la demande d'enregistrement de Mobile IP.

Dans la mesure où, en règle générale, un NAI identifie le nœud mobile de façon unique, l'adresse d'accueil du nœud mobile n'est pas toujours nécessaire à l'obtention de cette fonction. Par conséquent, un nœud mobile peut s'authentifier lui-même. Ainsi, un nœud mobile peut obtenir une autorisation de connexion à un domaine étranger sans même posséder une adresse d'accueil. Pour demander l'attribution d'une adresse d'accueil, un message contenant l'extension NAI du nœud mobile peut définir le champ d'adresse d'accueil à zéro dans la demande d'enregistrement.

Authentification de message de Mobile IP

Chaque nœud mobile, d'agent étranger et d'agent d'accueil assure la prise en charge d'une association de sécurité de mobilité entre les différents composants de Mobile IP. L'association de sécurité est indexée par le SPI et l'adresse IP. Dans l'instance du nœud mobile, cette adresse correspond à l'adresse d'accueil de ce dernier. Les messages d'enregistrement entre un nœud mobile et l'agent d'accueil sont authentifiés par l'extension d'authentification mobile-accueil. En plus de l'authentification mobile-accueil obligatoire, vous pouvez utiliser les authentifications facultatives agent mobile-étranger et agent d'accueil-étranger.

Demande d'enregistrement de nœud mobile

Un nœud mobile utilise un message de demande d'enregistrement pour s'enregistrer auprès de l'agent d'accueil. Ainsi, l'agent d'accueil peut créer ou modifier un lien de mobilité pour ce nœud mobile, en lui attribuant par exemple une nouvelle durée de vie. L'agent étranger peut relayer la demande d'enregistrement vers l'agent d'accueil. Cependant, si le nœud mobile enregistre une adresse d'hébergement colocalisée, il peut alors envoyer la demande d'enregistrement directement à l'agent d'accueil. Si l'agent étranger indique que les messages d'enregistrement doivent être envoyés à l'agent étranger, le nœud mobile doit alors envoyer la demande d'enregistrement à l'agent étranger.

Message de réponse d'enregistrement

Un agent de mobilité renvoie un message de réponse d'enregistrement à un nœud mobile ayant envoyé un message de demande d'enregistrement. Si le nœud mobile demande un service venant d'un agent étranger, ce dernier reçoit la réponse de l'agent d'accueil. Par conséquent, l'agent étranger relaie la réponse vers le nœud mobile. Le message de réponse contient les codes nécessaires permettant d'informer le nœud mobile et l'agent étranger du statut de la demande d'enregistrement. Le message contient également la durée de vie accordée à l'agent d'accueil. La durée de vie peut être inférieure à la demande originale. La réponse d'enregistrement peut également contenir une assignation d'adresse d'accueil dynamique.

Considérations relatives aux agents étrangers

La plupart du temps, l'agent étranger joue un rôle passif dans l'enregistrement Mobile IP. L'agent étranger ajoute tous les nœuds mobiles enregistrés dans la table de visiteurs. L'agent étranger relaie les demandes d'enregistrement entre les nœuds mobiles et les agents d'accueil. De plus, lorsque l'agent étranger fournit l'adresse d'hébergement, ce dernier désencapsule les datagrammes en vue d'une livraison au nœud mobile. L'agent étranger envoie également des messages périodiques de publication d'agent pour informer de sa présence.

Si les agents d'accueil et étrangers prennent en charge les tunnels inverses et si le nœud mobile demande un tunnel de retour, l'agent étranger achemine l'ensemble des paquets à partir du nœud mobile vers l'agent d'accueil. L'agent d'accueil envoie alors les paquets au nœud correspondant. Ce processus est l'inverse de celui où l'agent d'accueil achemine tous les paquets du nœud mobile vers l'agent étranger en vue d'une livraison au nœud mobile. Un agent étranger qui prend en charge les tunnels inverses indique que ces derniers sont pris en charge pour l'enregistrement. Selon la stratégie locale, l'agent étranger peut refuser une demande d'enregistrement en l'absence de définition d'indicateur de tunnel inverse. L'agent étranger peut distinguer plusieurs nœuds mobiles avec la même adresse IP (privée) uniquement lorsque ces derniers visitent différentes interfaces sur l'agent étranger. Dans le cas d'un tunnel d'acheminement, l'agent étranger fait la distinction entre plusieurs nœuds mobiles partageant la même adresse privée en consultant l'interface du tunnel entrant. L'interface du tunnel entrant mappe vers une adresse d'agent d'accueil unique.

Considérations relatives aux agents d'accueil

Les agents d'accueil jouent un rôle actif dans le processus d'enregistrement. L'agent d'accueil reçoit les demandes d'enregistrement provenant du nœud mobile. La demande d'enregistrement peut être transmise à l'agent étranger. L'agent d'accueil met à jour les enregistrements des liens de mobilité pour ce nœud mobile. Il émet une réponse d'enregistrement adaptée à chaque demande. De plus, il transfère les paquets vers le nœud mobile lorsque celui-ci ne se trouve pas dans le réseau d'accueil.

Un agent d'accueil peut ne pas posséder de sous-réseau configuré pour les nœuds mobiles. Cependant, l'agent d'accueil doit reconnaître l'adresse d'accueil du nœud mobile par le biais du fichier mipagent.conf ou d'un autre mécanisme lorsqu'il autorise un enregistrement. Pour de plus amples informations sur le fichier mipagent.conf, reportez-vous à la section Création du fichier de configuration de Mobile IP.

Un agent d'accueil peut prendre en charge des nœuds mobiles disposant d'une adresse privée en les configurant dans le fichier mipagent.conf. Les adresses d'accueil utilisées par l'agent d'accueil doivent être uniques.

Détection dynamique d'agent d'accueil

Dans certains cas, le nœud mobile peut ne pas connaître l'adresse de l'agent d'accueil lorsqu'il tente de s'enregistrer. Si le nœud mobile ne possède pas l'adresse de l'agent d'accueil, il peut utiliser la résolution dynamique d'adresse d'agent d'accueil pour la connaître. Dans ce cas, le nœud mobile définit le champ de l'agent d'accueil de la demande d'enregistrement à l'adresse de diffusion destinée au sous-réseau de son réseau d'accueil. Chaque agent d'accueil qui reçoit une demande d'enregistrement avec une adresse de destination de diffusion refuse l'enregistrement du nœud mobile en envoyant une réponse de refus d'enregistrement. Ce faisant, le nœud mobile peut utiliser l'adresse IP unicast de l'agent d'accueil indiquée dans la réponse négative lors de la prochaine tentative d'enregistrement.

Routage de datagrammes vers et à partir de nœuds mobiles

Cette section décrit le mode de coopération entre les nœuds mobiles, les agents d'accueil et les agents étrangers afin d'acheminer les datagrammes vers les nœuds mobiles connectés à un réseau étranger. Reportez-vous à Présentation de l'implémentation de Mobile IP Solaris pour obtenir des informations sur les fonctions de Mobile IP prises en charge par le système d'exploitation Solaris.

Méthodes d'encapsulation

Les agents d'accueil et étrangers utilisent l'une des méthodes d'encapsulation disponibles pour la prise en charge des datagrammes utilisant un tunnel. Les méthodes d'encapsulation définies sont l'encapsulation IP dans IP, l'encapsulation minimale et l'encapsulation de routage générique. Les cas d'agents étrangers et d'accueil, ou de nœuds mobiles indirects colocalisés et d'agents d'accueil, doivent prendre en charge la même méthode d'encapsulation. Toutes les entités de Mobile IP doivent obligatoirement prendre en charge l'encapsulation IP dans IP .

Routage de datagramme de monodiffusion

Lors de son enregistrement sur un réseau étranger, le nœud mobile choisit un routeur par défaut en fonction des règles suivantes :

• Si le nœud mobile est enregistré et utilise l'adresse d'hébergement d'un agent étranger, le processus est relativement simple. Le nœud mobile choisit son routeur par défaut parmi les adresses de routeur publiées dans la partie publication du routeur ICMP de la publication de cet agent. Il peut également considérer l'adresse IP source de la publication d'agent comme un autre choix possible d'adresse IP de routeur par défaut.

• Le nœud mobile peut être enregistré directement auprès de l'agent d'accueil à l'aide d'une adresse d'hébergement colocalisée. Ensuite, le nœud mobile sélectionne son routeur par défaut parmi ceux qui sont publiés dans tout message de publication de routeur ICMP qu'il est susceptible de recevoir. Le préfixe réseau du routeur par défaut sélectionné doit correspondre au préfixe réseau de l'adresse d'hébergement du nœud mobile provenant d'une source externe. L'adresse peut correspondre à l'adresse IP source de la publication d'agent sous le préfixe réseau. Ensuite, le nœud mobile peut également considérer que l'adresse IP source est un autre choix possible pour l'adresse IP d'un routeur par défaut.

• Si le nœud mobile est enregistré, un agent étranger qui prend en charge les tunnels inverses achemine les datagrammes de monodiffusion à partir du nœud mobile vers l'agent d'accueil via le tunnel inverse. S'il est enregistré avec un agent étranger qui assure la prise en charge de tunnel inverse, le nœud mobile doit utiliser cet agent étranger en tant que routeur par défaut.

Datagrammes de diffusion

Lorsqu'un agent d'accueil reçoit un datagramme de diffusion ou de multidiffusion, il le transfère uniquement vers les nœuds mobiles qui ont indiqué spécifiquement qu'ils souhaitent recevoir des datagrammes. Le mode de transmission des datagrammes de diffusion et multidiffusion vers les nœuds mobiles dépend principalement de deux facteurs. Le nœud mobile utilise soit une adresse d'hébergement fournie par un agent étranger, soit sa propre adresse d'hébergement colocalisée. Dans le premier cas, cela signifie qu'une double encapsulation du datagramme est nécessaire. Le premier en-tête IP identifie le nœud mobile auquel le datagramme doit être livré. Cet en-tête ne se trouve pas dans le datagramme de diffusion ou de multidiffusion. Le second en-tête IP identifie l'adresse d'hébergement et constitue l'en-tête de tunnel habituel. Dans le deuxième cas, le nœud mobile décapsule ses propres datagrammes et il suffit d'envoyer le datagramme via le tunnel habituel.

Routage de datagramme de multidiffusion

Pour recevoir du trafic de multidiffusion lorsqu'il visite un sous-réseau étranger, un nœud mobile peut rejoindre un groupe de multidiffusion de l'une des manières suivantes :

• Si le nœud mobile utilise une adresse d'hébergement colocalisée, il peut utiliser celle-ci en tant qu'adresse IP source de tout message IGMP (Internet Group Management Protocol). Cependant, le sous-réseau visité doit disposer d'un routeur de multidiffusion.

• Si le nœud mobile souhaite rejoindre le groupe ICMP de son sous-réseau d'accueil, il doit utiliser un tunnel inverse pour envoyer des messages IGMP à l'agent d'accueil. Cependant, l'agent d'accueil du nœud mobile doit être un routeur de multidiffusion. L'agent d'accueil transfère ensuite les datagrammes de multidiffusion via le tunnel vers le nœud mobile.

• Si le nœud mobile utilise une adresse d'hébergement colocalisée, il peut utiliser cette adresse en tant qu'adresse IP source de tout message d'adhésion IGMP. Cependant, le sous-réseau visité doit disposer d'un routeur de multidiffusion. Lorsque le nœud mobile a rejoint le groupe, il peut participer en envoyant ses propres paquets de multidiffusion directement sur le réseau visité.

• Effectuer un envoi directement sur le réseau visité.

• Effectuer un envoi vers l'agent d'accueil via un tunnel.

Le routage multidiffusion dépend de l'adresse IP source. Un nœud mobile qui envoie un datagramme de multidiffusion doit l'envoyer à partir d'une adresse source valide sur ce lien. Ainsi, un nœud mobile qui envoie des datagrammes de multidiffusion directement sur le réseau visité doit utiliser une adresse d'hébergement colocalisée en guise d'adresse IP source. De plus, le nœud mobile doit faire partie du groupe de multidiffusion associé à l'adresse. De même, un nœud mobile qui a rejoint un groupe de multidiffusion alors qu'il était sur son sous-réseau d'accueil avant d'effectuer un roaming, ou pendant un roaming dans un tunnel inverse vers son agent d'accueil, doit utiliser son adresse d'accueil en guise d'adresse IP source du datagramme de multidiffusion. Par conséquent, les datagrammes de ce nœud mobile doivent également être acheminés via un tunnel inverse vers son sous-réseau d'accueil, soit à l'aide de son adresse d'hébergement colocalisée, soit par le biais d'un tunnel inverse d'agent étranger.

Bien qu'une adhésion systématique au sous-réseau qu'il visite semble plus efficace, un nœud mobile reste ce qu'il est. Par conséquent, il devrait répéter l'adhésion à chaque fois qu'il change de sous-réseau. Le mode d'adhésion le plus efficace du nœud mobile s'effectue par le biais de son agent d'accueil, ce qui représente une économie de temps système. De plus, des sessions de multidiffusion disponibles uniquement via le sous-réseau d'accueil pourraient être présentes. D'autres considérations peuvent également forcer le nœud mobile à participer d'une façon spécifique.

Considérations relatives à la sécurité de Mobile IP

Dans de nombreux cas, les ordinateurs portables utilisent des liens sans fil pour se connecter au réseau. Les liens sans fil sont particulièrement vulnérables à l'écoute passive, aux attaques de rediffusion active et autres attaques actives.

Dans la mesure où Mobile IP reconnaît son incapacité à réduire ou éliminer cette faiblesse, une forme d'authentification permet de protéger les messages d'enregistrement Mobile IP de ce type d'attaques. L'algorithme par défaut utilisé est MD5 avec une taille de clé de 128 octets. Le mode d'opération par défaut exige que cette clé de 128 octets précède et suive les données à hacher. L'agent étranger utilise MD5 pour la prise en charge de l'authentification. Il utilise également des clés d'une taille minimale de 128 octets, avec distribution de clé manuelle. Mobile IP peut prendre en charge d'autres algorithmes d'authentification, modes d'algorithmes, méthodes de distribution de clé et tailles de clé.

Ces méthodes empêchent les modifications sur les messages d'enregistrement Mobile IP. Cependant, Mobile IP utilise une forme de protection contre la rediffusion afin d'alerter les entités Mobile IP dans le cas où elles recevraient des duplicatas de messages d'enregistrement précédents. Sans cette méthode de protection, le nœud mobile et son agent d'accueil pourraient se désynchroniser si l'un d'entre eux recevait un message d'enregistrement. Ainsi, Mobile IP met son état à jour. Par exemple, un agent d'accueil reçoit le duplicata d'un message de désenregistrement alors que le nœud mobile est enregistré via un agent étranger.

La protection contre la rediffusion est assurée par les méthodes connues sous les noms de nonce ou horodatage. Les agents d'accueil et les nœuds mobiles échangent les nonces et les horodatages au sein des messages d'enregistrement Mobile IP. Les nonces et les horodatages sont protégés contre les modifications par un mécanisme d'authentification. Par conséquent, si un agent d'accueil ou un nœud mobile reçoit un message dupliqué, ce message peut être rejeté.

L'utilisation de tunnels peut constituer une vulnérabilité importante, tout particulièrement si l'enregistrement n'est pas authentifié. En outre, l'ARP (Address Resolution Protocol) n'est pas authentifié et peut être utilisé pour voler le trafic d'un autre hôte.

Chapitre 28 Administration de Mobile IP (tâches)

Ce chapitre décrit les procédures permettant de modifier, ajouter, supprimer et afficher les paramètres du fichier de configuration de Mobile IP. Il indique également la méthode à utiliser pour afficher l'état de l'agent de mobilité.

Le présent chapitre contient les informations suivantes :

• Création du fichier de configuration de Mobile IP (liste des tâches)

• Création du fichier de configuration de Mobile IP

• Modification du fichier de configuration de Mobile IP

• Modification du fichier de configuration Mobile IP (liste des tâches)

• Affichage de l'état de l'agent de mobilité

• Affichage des routes de mobilité sur un agent de mobilité

Pour obtenir une introduction à Mobile IP, consultez le Chapitre 27Mobile IP (présentation). Pour obtenir des informations détaillées à propos de Mobile IP, reportez-vous au Chapitre 29Fichiers et commandes de Mobile IP (références).

La fonction Mobile IP est supprimée des mises à jour Solaris 10 depuis Solaris 10 8/07.

Création du fichier de configuration de Mobile IP (liste des tâches)

Création du fichier de configuration de Mobile IP

Cette section décrit les procédures de planification relatives à Mobile IP et la méthode de création du fichier /etc/inet/mipagent.conf .

Procédure de planification de Mobile IP

Lors de la première configuration du fichier mipagent.conf , effectuez les tâches suivantes :

1. Selon la configuration requise par votre organisation en matière d'hôtes, identifiez les fonctionnalités que doit fournir votre agent Mobile IP :

   • fonctionnalité d'agent étranger uniquement ;

   • fonctionnalité d'agent d'accueil uniquement ;

   • fonctionnalité d'agent étranger et d'agent d'accueil.

2. Créez le fichier /etc/inet/mipagent.conf et spécifiez les paramètres nécessaires à l'aide des procédures décrites dans cette section. Vous pouvez également copier l'un des fichiers suivants dans le fichier /etc/inet/mipagent.conf et le modifier en fonction de vos besoins :

   • Pour la fonctionnalité d'agent étranger, copiez le fichier /etc/inet/mipagent.conf.fa-sample .

   • Pour la fonctionnalité d'agent d'accueil, copiez le fichier /etc/inet/mipagent.conf.ha-sample .

   • Pour la fonctionnalité d'agent étranger et d'agent d'accueil, copiez le fichier /etc/inet/mipagent.conf-sample.

3. Vous pouvez réinitialiser votre système afin d'appeler le script d'initialisation qui lance le démon mipagent . Vous pouvez également démarrer mipagent à l'aide de la commande suivante :

   # /etc/inet.d/mipagent start

Création du fichier de configuration de Mobile IP

1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Créez le fichier /etc/inet/mipagent.conf à l'aide de l'une des options suivantes :

   • Dans le répertoire /etc/inet, créez un fichier vide nommé mipagent.conf.

   • À partir de la liste suivante, copiez l'exemple de fichier qui fournit la fonctionnalité que vous souhaitez attribuer au fichier /etc/inet/mipagent.conf.

     • /etc/inet/mipagent.conf.fa-sample

     • /etc/inet/mipagent.conf.ha-sample

     • /etc/inet/mipagent.conf-sample

3. Ajoutez ou modifiez les paramètres de configuration au fichier /etc/inet/mipagent.conf en fonction de la configuration requise.

   Les procédures restantes de cette section décrivent les étapes permettant de modifier les sections du fichier /etc/inet/mipagent.conf.

Configuration de la section General

Si vous avez copié un des exemples de fichiers dans le répertoire /etc/inet, vous pouvez omettre cette procédure, car l'exemple de fichier contient cette entrée. Section General contient les descriptions des étiquettes et valeurs utilisées dans cette section.

1. Modifiez le fichier /etc/inet/mipagent.conf et ajoutez les lignes suivantes :

   [General] Version = 1.0

   ---

   Remarque –

   Le fichier /etc/inet/mipagent.conf doit contenir cette entrée.

   ---

Configuration de la section Advertisements

Section Advertisements contient les descriptions des étiquettes et valeurs utilisées dans cette section.

1. Modifiez le fichier /etc/inet/mipagent.conf et ajoutez ou modifiez les lignes suivantes avec les valeurs requises pour votre configuration.

   [Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> PrefixFlags = <yes/no> AdvertiseOnBcast = <yes/no> RegLifetime = n AdvLifetime = n AdvFrequency = n ReverseTunnel = <yes/no/FA/HA/both> ReverseTunnelRequired = <yes/no/FA/HA>

   ---

   Remarque –

   Vous devez inclure une section Advertisements différente pour chaque interface sur l'hôte local qui fournit les services de Mobile IP.

   ---

Configuration de la section GlobalSecurityParameters

La Section GlobalSecurityParameters contient les descriptions des étiquettes et valeurs utilisées dans cette section.

1. Modifiez le fichier /etc/inet/mipagent.conf et ajoutez ou modifiez les lignes suivantes avec les valeurs requises pour votre configuration :

   [GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files

Configuration de la section Pool

La Section Pool fournit les descriptions des étiquettes et valeurs utilisées dans cette section.

1. Modifiez le fichier /etc/inet/mipagent.conf

2. Ajoutez ou modifiez les lignes suivantes avec les valeurs requises pour votre configuration :

   [Pool pool-identifier] BaseAddress = IP-address Size = size

Configuration de la section SPI

La Section SPI contient les descriptions des étiquettes et valeurs utilisées dans cette section.

1. Modifiez le fichier /etc/inet/mipagent.conf .

2. Ajoutez ou modifiez les lignes suivantes avec les valeurs requises pour votre configuration :

   [SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key

   ---

   Remarque –

   Vous devez inclure une section SPI différente pour chaque contexte de sécurité déployé.

   ---

Configuration de la section Address

La Section Address contient les descriptions des étiquettes et valeurs utilisées dans cette section.

1. Modifiez le fichier /etc/inet/mipagent.conf .

2. Ajoutez ou modifiez les lignes suivantes avec les valeurs requises pour votre configuration :

   • Pour un nœud mobile, utilisez ce qui suit :

     [Address address] Type = node SPI = SPI-identifier

   • Pour un agent, utilisez ce qui suit :

     [Address address] Type = agent SPI = SPI-identifier

   • Pour un nœud mobile identifié par son NAI (Network Access Identifier, identificateur d'accès à Internet), utilisez les valeurs suivantes :

     [Address NAI] Type = Node SPI = SPI-identifier Pool = pool-identifier

   • Pour un nœud mobile par défaut, utilisez les valeurs suivantes :

     [Address Node-Default] Type = Node SPI = SPI-identifier Pool = pool-identifier

Modification du fichier de configuration Mobile IP (liste des tâches)

Modification du fichier de configuration de Mobile IP

Cette section indique comment modifier le fichier de configuration de Mobile IP à l'aide de la commande mipagentconfig . Cette section indique également comment afficher les paramètres actuels des destinations de paramètres.

La section Configuration de l'agent de mobilité IP fournit une description conceptuelle de l'utilisation de la commande mipagentconfig. Reportez-vous également à la page de manuel mipagentconfig(1M).

Modification de la section General

1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Sur une ligne de commande, saisissez la commande suivante pour chaque étiquette que vous souhaitez modifier dans la section General.

   # mipagentconfig change <label> <value>

Exemple 28–1 Modification d'un paramètre de la section General

L'exemple suivant indique comment modifier le numéro de version de la section General du fichier de configuration.

# mipagentconfig change version 2

Modification de la section Advertisements

1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Saisissez la commande suivante pour chaque étiquette que vous souhaitez modifier dans la section Advertisements :

   # mipagentconfig change adv device-name <label> <value>

   Par exemple, si vous modifiez la durée de vie publiée de l'agent à 300 secondes pour le périphérique hme0, utilisez la commande suivante :

   # mipagentconfig change adv hme0 AdvLifetime 300

Exemple 28–2 Modification de la section Advertisements

L'exemple suivant indique comment modifier d'autres paramètres de la section Advertisements du fichier de configuration.

# mipagentconfig change adv hme0 HomeAgent yes
# mipagentconfig change adv hme0 ForeignAgent no
# mipagentconfig change adv hme0 PrefixFlags no
# mipagentconfig change adv hme0 RegLifetime 300
# mipagentconfig change adv hme0 AdvFrequency 4
# mipagentconfig change adv hme0 ReverseTunnel yes

Modification de la section GlobalSecurityParameters

1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Saisissez la commande suivante pour chaque étiquette que vous souhaitez modifier dans la section GlobalSecurityParameters :

   # mipagentconfig change <label> <value>

   Si vous activez par exemple l'authentification de l'agent d'accueil et de l'agent étranger, utilisez la commande suivante :

   # mipagentconfig change HA-FAauth yes

Exemple 28–3 Modification de la section des paramètres de sécurité globale

L'exemple suivant indique comment modifier d'autres paramètres de la section GlobalSecurityParameters du fichier de configuration.

# mipagentconfig change MaxClockSkew 200
# mipagentconfig change MN-FAauth yes
# mipagentconfig change Challenge yes
# mipagentconfig change KeyDistribution files

Modification de la section Pool

1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Saisissez la commande suivante pour chaque étiquette que vous souhaitez modifier dans la section Pool :

   # mipagentconfig change Pool pool-identifier <label> <value>

Exemple 28–4 Modification de la section Pool

L'exemple suivant indique les commandes à utiliser pour modifier l'adresse de base en 192.168.1.1, ainsi que la taille du Pool de 10 à 100.

# mipagentconfig change Pool 10 BaseAddress 192.168.1.1
# mipagentconfig change Pool 10 Size 100

Modification de la section SPI

1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Saisissez la commande suivante pour chaque étiquette que vous souhaitez modifier dans la section SPI :

   # mipagentconfig change SPI SPI-identifier <label> <value>

   Si vous modifiez par exemple la clé de SPI 257 en 5af2aee39ff0b332, utilisez la commande suivante :

   # mipagentconfig change SPI 257 Key 5af2aee39ff0b332

Exemple 28–5 Modification de la section SPI

L'exemple suivant indique comment modifier l'étiquette ReplayMethod de la section SPI du fichier de configuration.

# mipagentconfig change SPI 257 ReplayMethod timestamps

Modification de la section Address

1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Saisissez la commande suivante pour chaque étiquette à modifier dans la section Address :

   # mipagentconfig change addr [NAI | IPaddr | node-default] <label> <value>

   Consultez la section Section Address pour obtenir une description des trois méthodes de configuration (NAI, adresse IP et nœud-défaut).

   Si vous modifiez, par exemple, le SPI de l'adresse IP 10.1.1.1 en 258, utilisez la commande suivante :

   # mipagentconfig change addr 10.1.1.1 SPI 258

Exemple 28–6 Modification de la section Address

L'exemple suivant indique comment modifier les autres paramètres fournis dans la section Address de l'exemple de fichier de configuration.

# mipagentconfig change addr 10.1.1.1 Type agent
# mipagentconfig change addr 10.1.1.1 SPI 259
# mipagentconfig change addr mobilenode@abc.com Type node
# mipagentconfig change addr mobilenode@abc.com SPI 258
# mipagentconfig change addr mobilenode@abc.com Pool 2
# mipagentconfig change addr node-default SPI 259
# mipagentconfig change addr node-default Pool 3
# mipagentconfig change addr 10.68.30.36 Type agent
# mipagentconfig change addr 10.68.30.36 SPI 260

Ajout et suppression de paramètres du fichier de configuration

1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Saisissez la commande adéquate pour chaque étiquette que vous souhaitez ajouter ou supprimer pour la section donnée :

   • Pour la section General, utilisez la commande suivante :

     # mipagentconfig [add | delete] <label> <value>

   • Pour la section Advertisements, utilisez la commande suivante :

     # mipagentconfig [add | delete] adv device-name <label> <value>

     ---

     Remarque –

     La commande suivante permet d'ajouter une interface :

     # mipagentconfig add adv device-name

     Dans cette instance, les valeurs par défaut sont assignées à l'interface (pour l'agent étranger et l'agent d'accueil).

     ---

   • Pour la section GlobalSecurityParameters, utilisez la commande suivante :

     # mipagentconfig [add | delete] <label> <value>

   • Pour la section Pool, utilisez la commande suivante :

     # mipagentconfig [add | delete] Pool pool-identifier <label> <value>

   • Pour la section SPI, utilisez la commande suivante :

     # mipagentconfig [add | delete] SPI SPI-identifier <label> <value>

   • Pour la section Address, utilisez la commande suivante :

     # mipagentconfig [add | delete] addr [NAI | IP-address | node-default] \ <label> <value>

   ---

   Remarque –

   Veillez à ne pas créer des sections Advertisements, Pool , SPI et Address identiques.

   ---

Exemple 28–7 Modification de paramètres de fichiers

Par exemple, pour créer un pool d'adresses nommé Pool 11, dont l'adresse de base est 192.167.1.1 et la taille est 100, utilisez les commandes suivantes :

# mipagentconfig add Pool 11 BaseAddress 192.167.1.1 
# mipagentconfig add Pool 11 size 100

Exemple 28–8 Suppression de SPI

L'exemple suivant indique comment supprimer le paramètre de sécurité SPI SPI 257.

# mipagentconfig delete SPI 257

Affichage des valeurs de paramètres actuelles dans le fichier de configuration

La commande mipagentconfig get permet d'afficher les paramètres actuels associés aux destinations de paramètres.

1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Saisissez la commande suivante pour chaque paramètre dont vous souhaitez afficher les valeurs :

   # mipagentconfig get [<parameter> | <label>]

   Par exemple, pour afficher les paramètres de publication du périphérique hme0, utilisez la commande suivante :

   # mipagentconfig get adv hme0

   La sortie suivante s'affiche en résultat :

   [Advertisements hme0] HomeAgent = yes ForeignAgent = yes

Exemple 28–9 Utilisation de la commande mipagentconfig get pour l'affichage des valeurs de paramètres

L'exemple suivant illustre le résultat de l'utilisation de la commande mipagentconfig get avec d'autres destinations de paramètre.

# mipagentconfig get MaxClockSkew
      [GlobalSecurityParameters]
         MaxClockSkew=300

# mipagentconfig get HA-FAauth
      [GlobalSecurityParameters]
         HA-FAauth=no

# mipagentconfig get MN-FAauth
      [GlobalSecurityParameters]
         MN-FAauth=no

# mipagentconfig get Challenge
      [GlobalSecurityParameters]
         Challenge=no

# mipagentconfig get Pool 10
      [Pool 10]
         BaseAddress=192.168.1.1
         Size=100

# mipagentconfig get SPI 257
      [SPI 257]
         Key=11111111111111111111111111111111
         ReplayMethod=none

# mipagentconfig get SPI 258
      [SPI 258]
         Key=15111111111111111111111111111111
         ReplayMethod=none

# mipagentconfig get addr 10.1.1.1
      [Address 10.1.1.1]
         SPI=258
         Type=agent

# mipagentconfig get addr 192.168.1.200
      [Address 192.168.1.200]
         SPI=257
         Type=node

Affichage de l'état de l'agent de mobilité

La commande mipagentstat permet d'afficher la liste des visiteurs de l'agent étranger et la table de liaison de l'agent d'accueil. La section État de l'agent de mobilité Mobile IP fournit une description conceptuelle de la commande mipagentstat. Vous pouvez également consulter la page de manuel mipagentstat(1M).

Affichage de l'état de l'agent de mobilité

1. Connectez-vous au système sur lequel vous activez Mobile IP en tant que superutilisateur ou en prenant un rôle équivalent.

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour de plus amples informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Affichez l'état de l'agent de mobilité.

   # mipagentstat options

   -f

   Affiche la liste des nœuds mobiles actifs dans la liste des visiteurs de l'agent étranger.

   -h

   Affiche la liste des nœuds mobiles actifs dans la table de liaisons de l'agent d'accueil.

   -p

   Affiche la liste des associations de sécurité avec les homologues d'agent d'un agent de mobilité.

Exemple 28–10 Affichage de l'état de l'agent de mobilité

Cet exemple indique comment afficher la liste de visiteurs de tous les nœuds mobiles enregistrés avec un agent étranger.

# mipagentstat -f

Une sortie similaire à la suivante s'affiche :

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  ha1.xyz.com    600          125       .....T.
10.1.5.23       10.1.5.1       1000         10        .....T.

Une sortie similaire à la suivante s'affiche :

Foreign                  ..... Security Association(s).....
Agent                    Requests Replies  FTunnel  RTunnel
----------------------   -------- -------- -------- --------
forn-agent.eng.sun.com   AH       AH       ESP      ESP

Cet exemple indique comment afficher les associations de sécurité des agents d'accueil.

# mipagentstat -fp

Une sortie similaire à la suivante s'affiche :

Home                     ..... Security Association(s) .....
Agent                    Requests Replies  FTunnel  RTunnel
----------------------   -------- -------- -------- --------
home-agent.eng.sun.com   AH       AH       ESP      ESP
ha1.xyz.com              AH,ESP   AH       AH,ESP   AH,ESP

Affichage des routes de mobilité sur un agent de mobilité

La commande netstat permet d'afficher des informations supplémentaires à propos des routes spécifiques à la source créées par les tunnels de transmission et de retour. Consultez la page de manuel netstat (1M) pour de plus amples informations à propos de cette commande.

Affichage des routes de mobilité sur un agent étranger

1. Connectez-vous au système sur lequel vous activez Mobile IP en tant que superutilisateur ou en prenant un rôle équivalent.

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour de plus amples informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Affichez les routes de mobilité.

   # netstat -rn

Exemple 28–11 Affichage des routes de mobilité sur un agent de mobilité

L'exemple suivant illustre les routes d'un agent étranger qui utilise un tunnel de retour.

Routing Table:   IPv4 Source-Specific     
Destination      In If     Source      Gateway Flags  Use  Out If
--------------  ------- ------------ --------- -----  ---- -------
10.6.32.11      ip.tun1      --      10.6.32.97  UH      0 hme1
    --          hme1    10.6.32.11       --      U       0 ip.tun1

La première ligne indique que l'adresse IP de destination 10.6.32.11 et l'interface ip.tun1 sélectionnent l'interface hme1 pour la transmission de paquets. La ligne suivante indique que les paquets provenant de l'interface hme1 et de l'adresse source 10.6.32.11 doivent être transférés vers ip.tun1.

Chapitre 29 Fichiers et commandes de Mobile IP (références)

Ce chaptitre décrit les composants fournis avec l'implémentation Solaris de Mobile IP. Pour utiliser Mobile IP, commencez par configurer le fichier de configuration de Mobile IP à l'aide des paramètres et commandes décrits dans ce chapitre.

Le présent chapitre contient les informations suivantes :

• Présentation de l'implémentation de Mobile IP Solaris

• Fichier de configuration de Mobile IP

• Configuration de l'agent de mobilité IP

• État de l'agent de mobilité Mobile IP

• Informations relatives à l'état de Mobile IP

• Extensions de netstat pour Mobile IP

• Extensions snoop pour Mobile IP

La fonction Mobile IP est supprimée des mises à jour Solaris 10 depuis Solaris 10 8/07.

Présentation de l'implémentation de Mobile IP Solaris

Le logiciel de l'agent de mobilité contient les fonctionnalités de l'agent d'accueil et de l'agent étranger. Le logiciel Mobile IP Solaris ne fournit pas de nœud de client mobile, mais la fonctionnalité de l'agent uniquement. Tout réseau avec prise en charge de mobilité doit posséder au moins un hôte statique (non mobile) exécutant ce logiciel.

Les fonctions RFC suivantes sont prises en charge par l'implémentation Solaris de Mobile IP :

• RFC 1918, "Address Allocation for Private Internets"

• RFC 2002, "IP Mobility Support" (Agent only)

• RFC 2003, "IP Encapsulation Within IP"

• RFC 2794, "Mobile IP Network Access Identifier Extension for IPv4"

• RFC 3012, "Mobile IPv4 Challenge/Response Extensions"

• RFC 3024, "Reverse Tunneling for Mobile IP"

Le protocole de base de Mobile IP (RFC 2002) ne permet pas de résoudre le problème de distribution de clés évolutives et traite la distribution de clés comme un problème orthogonal. Le logiciel Mobile IP Solaris utilise uniquement des clés configurées manuellement et spécifiées dans un fichier de configuration.

Les fonctions RFC suivantes ne sont pas prises en charge dans l'implémentation Solaris de Mobile IP :

• RFC 1701, "General Routing Encapsulation"

• RFC 2004, "Minimal Encapsulation Within IP"

Les fonctions suivantes ne sont pas prises en charge dans l'implémentation Solaris de Mobile IP :

• la transmission de trafic de multidiffusion ou de trafic de diffusion par l'agent d'accueil vers l'agent étranger pour un nœud mobile accédant à un réseau étranger ;

• le routage de datagrammes de diffusion et de multidiffusion par le biais de tunnels inverses ;

• les adresses d'hébergement ou d'agent d'accueil privées.

Pour plus d'informations, consultez la page de manuel mipagent(1M).

Fichier de configuration de Mobile IP

La commande mipagent lit les informations de configuration à partir du fichier de configuration /etc/inet/mipagent.conf au démarrage. Mobile IP utilise le fichier de configuration /etc/inet/mipagent.conf afin d'initialiser son agent de mobilité. Lorsqu'il est configuré et déployé, l'agent de mobilité émet des publications de routeur périodique et répond aux messages de demande de détection de routeur ou d'enregistrement de Mobile IP.

Consultez la page de manuel mipagent.conf(4) pour obtenir une description des attributs de fichier. Consultez la page de manuel mipagent(1M) pour obtenir une description de l'utilisation de ce fichier.

Format du fichier de configuration

Le fichier de configuration Mobile IP est constitué de sections. Chaque section possède un nom unique et est mise entre crochets. Chaque section contient au moins une étiquette. Le format suivant permet d'assigner des valeurs aux étiquettes :

[Section_name]
     Label-name = value-assigned

La section Sections et étiquettes de fichiers de configuration décrit les noms, étiquettes et valeurs de section possibles.

Exemples de fichiers de configuration

L'installation Solaris fournit les exemples de fichiers de configuration suivants dans le répertoire /etc/inet :

• mipagent.conf-sample – contient un exemple de configuration pour un agent Mobile IP qui fournit des fonctionnalités d'agent étranger et d'agent d'accueil.

• mipagent.conf.fa-sample – contient un exemple de configuration pour un agent Mobile IP qui fournit uniquement une fonctionnalité d'agent étranger.

• mipagent.conf.ha-sample – contient un exemple de configuration pour un agent Mobile IP qui fournit uniquement une fonctionnalité d'agent d'accueil.

Ces exemples de fichiers de configuration contiennent des adresses de nœuds mobiles et des paramètres de sécurité. Préalablement à l'implémentation de Mobile IP, vous devez créer un fichier de configuration nommé mipagent.conf et le placer dans le répertoire /etc/inet. Ce fichier contient les paramètres de configuration répondant aux exigences d'implémentation de Mobile IP. Vous pouvez également choisir l'un des exemples de fichier de configuration, le modifier avec vos adresses et paramètres de sécurité, puis le copier dans le fichier /etc/inet/mipagent.conf .

Pour de plus amples informations, reportez-vous à la section Création du fichier de configuration de Mobile IP .

Fichier mipagent.conf-sample

La liste suivante répertorie les sections, étiquettes et valeurs contenues dans le fichier mipagent.conf-sample. La section Sections et étiquettes de fichiers de configuration décrit la syntaxe, les sections, les étiquettes et les valeurs.

[General]
   Version = 1.0    # version number for the configuration file. (required)
   
[Advertisements hme0]
   HomeAgent = yes
   ForeignAgent = yes
   PrefixFlags = yes
   AdvertiseOnBcast = yes
   RegLifetime = 200
   AdvLifetime = 200
   AdvFrequency = 5
   ReverseTunnel = no
   ReverseTunnelRequired = no
   
[GlobalSecurityParameters]
   MaxClockSkew = 300
   HA-FAauth = yes
   MN-FAauth = yes
   Challenge = no
   KeyDistribution = files

[Pool 1]
   BaseAddress = 10.68.30.7
   Size = 4

[SPI 257]
   ReplayMethod = none
   Key = 11111111111111111111111111111111

[SPI 258]
   ReplayMethod = none
   Key = 15111111111111111111111111111111

[Address 10.1.1.1]
   Type = node
   SPI = 258

[Address mobilenode@sun.com]
   Type = node
   SPI = 257
   Pool = 1

[Address Node-Default]
   Type = node
   SPI = 258
   Pool = 1

[Address 10.68.30.36]
   Type = agent    
   SPI = 257

Fichier mipagent.conf.fa-sample

La liste suivante répertorie les sections, étiquettes et valeurs contenues dans le fichier mipagent.conf.fa-sample. La section Sections et étiquettes de fichiers de configuration décrit la syntaxe, les sections, les étiquettes et les valeurs.

Le fichier mipagent.conf.fa-sample propose une configuration qui fournit uniquement une fonctionnalité d'agent étranger. Cet exemple de fichier en contient pas de section Pool, car les pools sont utilisés uniquement par les agents d'accueil. Autrement, ce fichier est similaire au fichier mipagent.conf-sample.

[General]
   Version = 1.0    # version number for the configuration file. (required)
   
[Advertisements hme0]
   HomeAgent = no
   ForeignAgent = yes
   PrefixFlags = yes
   AdvertiseOnBcast = yes
   RegLifetime = 200
   AdvLifetime = 200
   AdvFrequency = 5
   ReverseTunnel = yes
   ReverseTunnelRequired = no
   
[GlobalSecurityParameters]
   MaxClockSkew = 300
   HA-FAauth = yes
   MN-FAauth = yes
   Challenge = no
   KeyDistribution = files

[SPI 257]
   ReplayMethod = none
   Key = 11111111111111111111111111111111

[SPI 258]
   ReplayMethod = none
   Key = 15111111111111111111111111111111

[Address 10.1.1.1]
   Type = node
   SPI = 258

[Address 10.68.30.36]
   Type = agent    
   SPI = 257

Fichier mipagent.conf.ha-sample

La liste suivante répertorie les sections, étiquettes et valeurs contenues dans le fichier mipagent.conf.ha-sample. La section Sections et étiquettes de fichiers de configuration décrit la syntaxe, les sections, les étiquettes et les valeurs.

Le fichier mipagent.conf.ha-sample propose une configuration qui fournit uniquement une fonctionnalité d'agent d'accueil. Autrement, ce fichier est similaire au fichier mipagent.conf-sample.

[General]
   Version = 1.0    # version number for the configuration file. (required)
   
[Advertisements hme0]
   HomeAgent = yes
   ForeignAgent = no
   PrefixFlags = yes
   AdvertiseOnBcast = yes
   RegLifetime = 200
   AdvLifetime = 200
   AdvFrequency = 5
   ReverseTunnel = yes
   ReverseTunnelRequired = no

[GlobalSecurityParameters]
   MaxClockSkew = 300
   HA-FAauth = yes
   MN-FAauth = yes
   Challenge = no
   KeyDistribution = files

[Pool 1]
   BaseAddress = 10.68.30.7
   Size = 4

[SPI 257]
   ReplayMethod = none
   Key = 11111111111111111111111111111111

[SPI 258]
   ReplayMethod = none
   Key = 15111111111111111111111111111111

[Address 10.1.1.1]
   Type = node
   SPI = 258

[Address mobilenode@sun.com]
   Type = node
   SPI = 257
   Pool = 1

[Address Node-Default]
   Type = node
   SPI = 258
   Pool = 1

Sections et étiquettes de fichiers de configuration

Le fichier de configuration Mobile IP contient les sections suivantes :

• General (requis)

• Advertisements (requis)

• GlobalSecurityParameters (facultatif)

• Pool (facultatif)

• SPI (facultatif)

• Address (facultatif)

Les sections General et GlobalSecurityParameters contiennent des informations relatives au fonctionnement de l'agent de Mobile IP. Ces sections ne peuvent s'afficher qu'une seule fois dans le fichier de configuration.

Section General

La section General contient une seule étiquette : le numéro de version du fichier de configuration. La syntaxe de la section General est la suivante :

[General]
     Version = 1.0

Section Advertisements

La section Advertisements contient les étiquettes HomeAgent et ForeignAgent ainsi que d'autres étiquettes. Vous devez inclure une section Advertisements différente pour chaque interface sur l'hôte local qui fournit les services de Mobile IP. La section Advertisements possède la syntaxe suivante :

[Advertisements interface]
     HomeAgent = <yes/no>
     ForeignAgent = <yes/no>
     .
     .

En règle générale, votre système possède une interface unique, eri0 ou hme0 par exemple, et prend en charge les opérations d'agent d'accueil et d'agent étranger. Si c'est le cas pour l'exemple hme0, la valeur yes est assignée aux étiquettes HomeAgent et ForeignAgent comme suit :

[Advertisements hme0]
     HomeAgent = yes
     ForeignAgent = yes
     .
     .

Pour une publication sur les interfaces dynamiques, utilisez '*' (astérisque) en guise d'ID de périphérique. Par exemple, Nom-interface ppp* implique en réalité toutes les interfaces PPP configurées après le démarrage du démon mipagent. L'ensemble des attributs dans la section de publication d'un type d'interface dynamique ne change pas.

Le tableau suivant décrit les étiquettes et les valeurs que vous pouvez utiliser dans la section Advertisements.

Section GlobalSecurityParameters

La section GlobalSecurityParameters contient les étiquettes maxClockSkew, HA-FAauth, MN-FAauth, Challenge et KeyDistribution. La syntaxe de cette section est la suivante :

[GlobalSecurityParameters]
     MaxClockSkew = n
     HA-FAauth = <yes/no>
     MN-FAauth = <yes/no>
     Challenge = <yes/no>
     KeyDistribution = files

Le protocole Mobile IP fournit une protection contre la rediffusion de messages en autorisant la présence d'un horodatage dans les messages. Si les horloges sont en décalage, l'agent d'accueil renvoie une erreur au nœud mobile avec l'heure actuelle que le nœud mobile peut utiliser pour s'enregistrer à nouveau. Utilisez l'étiquette MaxClockSkew afin de configurer le nombre maximum de secondes de différence entre les horloges de l'agent d'accueil et du nœud mobile. La valeur par défaut est 300 secondes.

Les étiquettes HA-FAauth et MN-FAauth permettent respectivement d'activer ou de désactiver la nécessité d'authentification accueil-étranger et mobile-étranger. La valeur par défaut est désactivée. L'étiquette challenge permet à l'agent étranger d'émettre des questions-réponses au nœud mobile dans ses publications. L'étiquette permet d'obtenir une protection contre les rediffusions. La valeur par défaut est également désactivée.

Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section GlobalSecurityParameters.

Section Pool

L'agent d'accueil peut attribuer des adresses dynamiques aux nœuds mobiles. L'attribution d'adresses dynamiques s'effectue au sein du démon mipagent, indépendamment du protocole DHCP. Vous pouvez créer un pool d'adresses qui peut être utilisé par les nœuds mobiles en demandant une adresse d'accueil. Les pools d'adresses se configurent par le biais de la section Pool du fichier de configuration.

La section Pool contient les étiquettes BaseAddress et Size. La syntaxe de la section Pool est la suivante :

[Pool pool-identifier]
     BaseAddress = IP-address
     Size = size

Si vous utilisez un identificateur Pool, il doit également exister dans la section Address du nœud mobile.

La section Pool permet de définir les pools d'adresses qu'il est possible d'assigner aux nœuds mobiles. L'étiquette BaseAddress permet de définir la première adresse IP du pool. L'étiquette Size permet de spécifier le nombre d'adresses disponibles dans le pool.

Par exemple, si les adresses IP de 192.168.1.1 à 192.168.1.100 sont réservées dans le pool 10, la section Pool possède l'entrée suivante :

[Pool 10]
     BaseAddress = 192.168.1.1
     Size = 100

Les plages d'adresses ne doivent pas inclure l'adresse de diffusion. Par exemple, vous ne devez pas assigner BaseAddress = 192.168.1.200 et Size = 60, car cette plage inclut l'adresse de diffusion 192.168.1.255.

Le tableau suivant décrit les étiquettes et valeurs utilisées dans la section Pool.

Section SPI

Dans la mesure où le protocole Mobile IP requiert une authentification de message, vous devez identifier le contexte de sécurité à l'aide d'un SPI (security parameter index, index de paramètres de sécurité) . Le contexte de sécurité est défini dans la section SPI. Vous devez inclure une section SPI distincte pour chaque contexte de sécurité défini. Un ID numérique identifie le contexte de sécurité. Le protocole Mobile IP se réserve les 256 premiers SPI. Utilisez pour cette raison des valeurs SPI supérieures à 256 uniquement. La section SPI contient des informations sur la sécurité, notamment sur les secrets partagés et la protection contre la rediffusion.

La section SPI contient également les étiquettes ReplayMethod et Key. La syntaxe de la section SPI est la suivante :

[SPI SPI-identifier]
     ReplayMethod = <none/timestamps>
     Key = key

Deux homologues qui communiquent doivent partager le même identificateur SPI. Vous devez les configurer avec la même clé et la même méthode de rediffusion. La clé est spécifiée comme une chaîne de chiffres hexadécimaux. La longueur maximale est de 16 octets. Par exemple, si la longueur de la clé est de 16 octets et si cette dernière contient les valeurs hexadécimales de 0 à f, la chaîne de la clé pourrait ressembler à ce qui suit :

Key = 0102030405060708090a0b0c0d0e0f10

Le nombre de chiffres d'une clé doit être pair et correspondre à la représentation de deux chiffres par octet.

Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section SPI.

Section Address

L'implémentation Solaris de Mobile IP vous permet de configurer les nœuds mobiles selon trois méthodes différentes. Chaque méthode est configurée dans la section Address. La première méthode suit le protocole Mobile IP classique ; chaque nœud mobile doit posséder une adresse d'accueil. La seconde méthode permet à un nœud mobile d'être identifié grâce à son NAI (Network Access Identifier, identificateur d'accès au réseau). La dernière méthode permet de configurer un nœud mobile par défaut qui peut être utilisé par tout nœud mobile disposant de la valeur SPI adéquate et du matériel de chiffrement associé.

Nœud mobile

La section Address d'un nœud mobile contient les étiquettes Type et SPI qui définissent le type d'adresse et l'identificateur SPI. La syntaxe de la section Address est la suivante :

[Address address]
     Type = node
     SPI = SPI-identifier

Vous devez inclure une section Address dans le fichier de configuration de l'agent d'accueil de chaque nœud mobile pris en charge.

Si l'authentification de message Mobile IP est requise entre l'agent étranger et l'agent d'accueil, vous devez inclure une section Address pour chaque homologue avec lequel un agent doit communiquer.

La valeur SPI que vous configurez doit représenter une section SPI présente dans le fichier de configuration.

Vous pouvez également configurer des adresses privées pour un nœud mobile.

Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section Address pour un nœud mobile.

Agent de mobilité

La section Address pour un agent de mobilité contient les étiquettes Type et SPI qui définissent le type d'adresse et l'identificateur SPI. La section Address d'un agent de mobilité utilise la syntaxe suivante :

[Address address]
     Type = agent
     SPI = SPI-identifier
     

Vous devez inclure une section Address dans le fichier de configuration de l'agent d'accueil pour chaque agent de mobilité pris en charge.

Si un message d'authentification de Mobile IP est requis entre l'agent étranger et l'agent d'accueil, vous devez inclure une section Address pour chaque homologue avec lequel un agent doit communiquer.

La valeur SPI que vous configurez doit représenter une section SPI présente dans le fichier de configuration.

Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section Address pour un agent de mobilité.

Nœud mobile identifié par son NAI

La section Address d'un nœud mobile identifié par son NAI contient les étiquettes Type, SPI et Pool. Le paramètre NAI vous permet d'identifier les nœuds mobiles à l'aide de leurs NAI. La syntaxe de la section Address utilisant le paramètre NAI se présente comme suit :

[Address NAI]
     Type = Node
     SPI = SPI-identifier
     Pool = pool-identifier

Pour utiliser des pools, vous devez identifier les nœuds mobiles grâce à leurs NAI. La section Address vous permet de configurer un NAI et non une adresse d'accueil. Un NAI utilise le format user@domain. L'étiquette Pool permet de spécifier le pool d'adresses à utiliser afin d'allouer l'adresse d'accueil au nœud mobile.

Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section Address pour un nœud mobile identifié par son NAI.

Vous devez disposer de sections SPI et Pool correspondantes pour les étiquettes SPI et Pool définies dans une section Address avec un nœud mobile identifié par son NAI, comme illustré dans la figure suivante.

Figure 29–1 Sections SPI et Pool correspondantes pour une section Address avec nœud mobile identifié par son NAI

Nœud mobile par défaut

La section Address d'un nœud mobile par défaut contient les étiquettes Type, SPI et Pool. Le paramètre Node-Default permet d'autoriser tous les nœuds mobiles à obtenir du service s'ils possèdent le SPI correct (défini dans cette section). La syntaxe de la section Address utilisant le paramètre Node-Default est la suivante :

[Address Node-Default]
     Type = Node
     SPI = SPI-identifier
     Pool = pool-identifier

Le paramètre Node-Default permet de réduire la taille du fichier de configuration. Autrement, chaque nœud mobile requiert sa propre section. Cependant, le paramètre Node-Default constitue un risque au niveau de la sécurité. Si, pour quelque raison que ce soit, il devenait impossible de faire confiance à un nœud mobile, vous devez mettre à jour les informations de sécurité de tous les nœuds mobiles de confiance. Cette tâche peut s'avérer très fastidieuse. Vous pouvez cependant utiliser le paramètre Node-Default dans les réseaux qui accordent peu d'importance aux risques de sécurité.

Le tableau suivant décrit les étiquettes et valeurs que vous pouvez utiliser dans la section Address pour un nœud mobile par défaut.

Vous devez disposer de sections SPI et Pool correspondantes pour les étiquettes SPI et Pool définies dans la section Address avec un nœud mobile par défaut, comme illustré dans la figure suivante.

Figure 29–2 Sections SPI et Pool correspondantes pour la section Address avec un nœud mobile par défaut

Configuration de l'agent de mobilité IP

Vous pouvez utiliser la commande mipagentconfig afin de configurer l'agent de mobilité. Cette commande permet de créer ou de modifier tout paramètre du fichier de configuration /etc/inet/mipagent.conf. Vous pouvez modifier le paramètre de votre choix. Vous pouvez également ajouter ou supprimer les clients de mobilité, les pools et les SPI. La syntaxe de la commande mipagentconfig est la suivante :

# mipagentconfig <command> <parameter> <value>

Le tableau suivant décrit les commandes qu'il est possible d'utiliser conjointement avec mipagentconfig pour créer ou modifier les paramètres du fichier de configuration /etc/inet/mipagent.conf .

Consultez la page de manuel mipagentconfig(1M) pour obtenir une description des paramètres de commandes et des valeurs acceptables. La section Modification du fichier de configuration de Mobile IP décrit les procédures faisant appel à la commande mipagentconfig.

État de l'agent de mobilité Mobile IP

La commande mipagentstat permet d'afficher la liste de visiteurs de l'agent étranger et la table de liaison d'un agent d'accueil. Vous pouvez également afficher les associations de sécurité avec les homologues d'un agent de mobilité. Pour afficher la liste des visiteurs d'agent étranger, utilisez l'option -f de la commande mipagentstat. Pour afficher la table de liaison de l'agent d'accueil, utilisez l'option -h de la commande mipagentstat. Les exemples suivants illustrent la sortie obtenue lorsque vous utilisez la commande mipagentstat conjointement avec ces options.

Exemple 29–1 Liste de visiteurs des agents étrangers

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  ha1.xyz.com    600          125       .....T.
10.1.5.23       10.1.5.1       1000         10        .....T.

Exemple 29–2 Table de liaisons de l'agent d'accueil

Mobile Node     Home Agent     Time (s)     Time (s)  Flags
                               Granted      Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com  fa1.tuv.com    600          125       .....T.
10.1.5.23       123.2.5.12     1000         10        .....T.

Consultez la page de manuel mipagentstat(1M) pour obtenir des informations supplémentaires à propos des options de la commande. La section Affichage de l'état de l'agent de mobilité décrit les procédures faisant appel à la commande mipagentstat.

Informations relatives à l'état de Mobile IP

Lors de l'arrêt, le démon mipagent stocke les informations d'état interne dans le fichier /var/inet/mipagent_state. Cet événement se produit uniquement lorsque mipagent fournit des services en tant qu'agent d'accueil. Ces informations d'état incluent la liste des nœuds mobiles pris en charge en tant qu'agent d'accueil, leurs adresses d'hébergement actuelles et les durées de vie restantes d'enregistrement. Ces informations d'état incluent la configuration d'association de sécurité avec les homologues d'agent de mobilité. Si le démon mipagent est interrompu en cas de maintenance et redémarré, le fichier mipagent_state permet de recréer autant d'état interne que possible pour l'agent de mobilité. L'objectif est de minimiser les interruptions de service pour les nœuds mobiles qui pourraient visiter d'autres réseaux. Si le fichier mipagent_state existe, il est lu immédiatement après le fichier mipagent.conf à chaque démarrage ou redémarrage du démon mipagent.

Extensions de netstat pour Mobile IP

Les extensions de Mobile IP ont été ajoutées à la commande netstat afin d'identifier les routes de transfert de Mobile IP. Vous pouvez, en particulier, utiliser la commande netstat pour afficher une nouvelle table de routage dite "spécifique à la source". Consultez la page de manuel netstat(1M) pour obtenir des informations supplémentaires.

L'exemple suivant indique la sortie de la commande netstat lors de l'utilisation des indicateurs -nr.

Exemple 29–3 Sortie Mobile IP à partir la commande netstat

Routing Table:   IPv4 Source-Specific     
Destination      In If     Source      Gateway Flags  Use  Out If
--------------  ------- ------------ --------- -----  ---- -------
10.6.32.11      ip.tun1      --      10.6.32.97  UH      0 hme1
    --          hme1    10.6.32.11       --      U       0 ip.tun1

Cet exemple affiche les routes qu'emprunte un agent étranger utilisant un tunnel inverse. La première ligne indique que l'adresse IP de destination 10.6.32.11 et l'interface ip.tun1 sélectionnent l'interface hme1 pour la transmission de paquets. La ligne suivante indique que les paquets provenant de l'interface hme1 et de l'adresse source 10.6.32.11 doivent être transférés vers ip.tun1.

Extensions snoop pour Mobile IP

Des extensions de Mobile IP ont été ajoutées à la commande snoop afin d'identifier le trafic Mobile IP sur le lien. Pour plus d'informations, reportez-vous à la page de manuel snoop(1M).

L'exemple suivant illustre la sortie de la commande snoop exécutée sur le nœud mobile, mip-mn2.

Exemple 29–4 Sortie Mobile IP à partir de la commande snoop

mip-mn2# snoop
Using device /dev/hme (promiscuous mode)
  mip-fa2 -> 224.0.0.1    ICMP Router advertisement (Lifetime 200s [1]: 
{mip-fa2-80 2147483648}), (Mobility Agent Extension), (Prefix Lengths), 
(Padding)
  mip-mn2 -> mip-fa2   Mobile IP reg rqst 
  mip-fa2 -> mip-mn2   Mobile IP reg reply (OK code 0)

Cet exemple montre que le nœud mobile a reçu une des publications d'agent de mobilité envoyées périodiquement, en provenance de l'agent étranger mip-fa2. Ensuite, mip-mn2 a envoyé une demande d'enregistrement à mip-fa2 et reçu une réponse d'enregistrement. La réponse d'enregistrement indique que le nœud mobile s'est enregistré auprès de son agent d'accueil.