| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: IP Services |
Teil I Einführung in die Systemverwaltung: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Verwaltung eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Verwaltung des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
24. Internet Key Exchange (Referenz)
25. IP Filter in Oracle Solaris (Übersicht)
Agent Advertisement-Nachrichten über dynamische Schnittstellen
Eingeschränkte Unterstützung für private Adressen
Network Access Identifier (NAI)
Mobile IP-Nachrichtenauthentifizierung
Registrierungsanforderung eines mobilen Knotens
Antwort auf eine Registrierungsanforderung
Routen von Datagrammen von und an mobile Knoten
Routing von Unicast Datagrammen
Routing von Multicast-Datagrammen
Sicherheitsbetrachtungen für Mobile IP
28. Verwalten von Mobile IP (Aufgaben)
29. Mobile IP-Dateien und Befehle (Referenz)
30. Einführung in IPMP (Übersicht)
31. Verwaltung von IPMP (Aufgaben)
Teil VII IP Quality of Service (IPQoS)
32. Einführung in IPQoS (Übersicht)
33. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
34. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
35. Starten und Verwalten des IPQoS (Aufgaben)
36. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
Mobile Knoten können an den Agent Advertisement-Nachrichten erkennen, ob sie von einem Teilnetz zu einem anderen Teilnetz bewegt wurden. Wenn ein mobiler Knoten eine Agent Advertisement-Nachricht empfängt, die darauf hindeutet, dass er den Standort gewechselt hat, registriert er sich über einen Foreign-Agent. Auch wenn der mobile Knoten seine eigene co-located Care-Of-Adresse bezogen hat, ist es Standorten über diese Funktion möglich, den Zugriff auf Mobility-Services einzuschränken.
Die Mobile IP-Registrierung stellt einen flexiblen Mechanismus für mobile Knoten dar, die aktuellen Daten zur Erreichbarkeit an den Home-Agent zu übermitteln. Mit dem Registrierungsprozess können mobile Knoten die folgenden Aufgaben durchführen:
Anforderungen von Weiterleitungsdiensten beim Besuch eines Foreign-Netzwerk
Informieren des Home-Agent über die aktuelle Care-Of-Adresse
Erneuern einer ablaufenden Registrierung
Aufheben der Registrierung, wenn der mobile Knoten ins Home-Netzwerk zurückkehrt
Anfordern eines Rücktunnels
Registrierungsnachrichten tauschen Informationen zwischen einem mobilen Knoten, einem Foreign-Agent und einem Home-Agent aus. Durch eine Registrierung wird eine Mobility-Bindung zum Home-Agent erstellt oder geändert. Außerdem wird durch eine Registrierung die Home-Adresse des mobilen Knotens für die angegebene Lebensdauer mit der Care-Of-Adresse des mobilen Knotens verknüpft.
Darüber hinaus ermöglicht der Registrierungsprozess mobilen Knoten das Durchführen folgender Funktionen:
Aufheben der Registrierung bestimmter Care-Of-Adressen, während andere Mobility-Bindungen beibehalten werden
Erfassen der Adresse eines Home-Agent, wenn der mobile Knoten nicht mit diesen Informationen konfiguriert wurde
Mobile IP definiert die folgenden Registrierungsprozesse für einen mobilen Knoten:
Wenn ein mobiler Knoten eine Foreign-Agent Care-Of-Adresse registriert, informiert er den Home-Agent, dass er über diesen Foreign-Agent erreichbar ist.
Wenn ein mobiler Knoten eine Agent Advertisement-Nachricht empfängt, die eine Registrierung über einen Foreign-Agent erfordert, kann er weiterhin versuchen, eine co-located Care-Of-Adresse zu beziehen. Der mobile Knoten kann sich auch bei diesem Foreign-Agent oder einem anderen Foreign-Agent auf diesem Link registrieren.
Wenn der mobile Knoten eine co-located Care-Of-Adresse verwendet, kann er sich direkt beim Home-Agent registrieren.
Wenn der mobile Knoten in sein Home-Netzwerk zurückkehrt, hebt er die Registrierung bei dem Home-Agent auf.
Diese Registrierungsprozesse beinhalten den Austausch von Registrierungsanforderungen und zugehörigen Antwortnachrichten. Wenn ein mobiler Knoten mithilfe eines Foreign-Agent registriert wird, setzt sich der Registrierungsprozess aus den folgenden Schritten zusammen, die auch in der nachstehenden Abbildung gezeigt werden:
Zum Einleiten des Registrierungsprozesses sendet der mobile Knoten eine Registrierungsanforderung an den künftigen Foreign-Agent.
Der Foreign-Agent verarbeitet die Registrierungsanforderung und leitet sie an den Home-Agent weiter.
Der Home-Agent sendet eine Registrierungsantwort an den Foreign-Agent, in der die Anforderung gewährt oder verweigert wird.
Der Foreign-Agent verarbeitet die Registrierungsantwort und leitet sie an den mobilen Knoten weiter, um ihn über den Status der Anforderung zu informieren.
Abbildung 27-7 Mobile IP-Registrierungsprozess
Wenn sich der mobile Knoten direkt beim Home-Agent registriert, umfasst der Registrierungsprozess nur die folgenden Schritte:
Der mobile Knoten sendet eine Registrierungsanforderung an den Home-Agent.
Der Home-Agent sendet eine Registrierungsantwort an den mobilen Knoten, in der die Anforderung gewährt oder verweigert wird.
Darüber hinaus könnte der Foreign-Agent oder der Home-Agent einen Rücktunnel erfordern. Wenn der Foreign-Agent einen Rücktunnel unterstützt, verwendet der mobile Knoten den Registrierungsprozess, um einen Rücktunnel anzufordern. Der mobile Knoten setzt das Rücktunnel-Flag in der Registrierungsanforderung, um einen Rücktunnel anzufordern.
Authentifizierung, Autorisierung und Accounting (AAA)-Server im Internet stellen Authentifizierungs- und Autorisierungsservices für DFÜ-Computer zur Verfügung. Diese Services sind auch für mobile Knoten, die Mobile IP verwenden, wertvoll, wenn die Knoten versuchen, eine Verbindung mit fremden Domänen mit AAA-Servern herzustellen. AAA-Server verwenden die Network Access Identifier (NAI), um Clients zu identifizieren. Ein mobiler Knoten kann sich selbst identifizieren, indem der NAI mit in die Mobile IP-Registrierungsanforderung aufgenommen wird.
Da der NAI im Allgemeinen dazu verwendet wird, einen mobilen Knoten eindeutig zu identifizieren, ist die Home-Adresse des mobilen Knotens nicht immer für diese Funktion erforderlich. Somit kann sich ein mobiler Knoten selbst authentifizieren. Entsprechend kann ein mobiler Knoten auch dann zum Herstellen einer Verbindung mit der fremden Domäne autorisiert werden, wenn er keine Home-Adresse aufweisen kann. Um die Zuweisung einer Home-Adresse anzufordern, kann eine Nachricht, die die NAI-Erweiterung des mobilen Knotens enthält, das Feld für die Home-Adresse in der Registrierungsaufforderung auf null setzen.
Jeder mobile Knoten, Foreign-Agent und Home-Agent unterstützt eine Mobility-Sicherheitszuordnung zwischen den verschiedenen Mobile IP-Komponenten. Die Sicherheitszuordnung wird vom Security Parameter Index (SPI) und der IP-Adresse mit einem Index versehen. Bei einem mobilen Knoten ist diese Adresse die Home-Adresse des mobilen Knotens. Registrierungsnachrichten zwischen einem mobilen Knoten und dem Home-Agent werden anhand der Mobile-Home-Authentifizierungserweiterung in ihrer Echtheit bestätigt. Neben der obligatorischen Mobile-Home-Authentifizierung können Sie die optionalen Mobile-Foreign-Agent- und Home-Foreign-Agent-Authentifizierungen verwenden.
Ein mobiler Knoten verwendet eine Registrierungsanforderung-Nachricht, um sich bei dem Home-Agent zu registrieren. Als Reaktion kann der Home-Agent eine Mobility-Bindung für diesen mobilen Knoten erstellen oder ändern (beispielsweise mit einer neuen Lebensdauer). Der Foreign-Agent kann die Registrierungsanforderung an den Home-Agent weiterleiten. Will der mobile Knoten jedoch eine co-located Care-Of-Adresse registrieren, kann der mobile Knoten die Registrierungsanforderung direkt an den Home-Agent senden. Wenn der Foreign-Agent bekannt gibt, das Registrierungsnachrichten an den Foreign-Agent gesendet werden müssen, muss der mobile Knoten die Registrierungsanforderung an den Foreign-Agent senden.
Ein Mobility-Agent gibt eine Registrierungsantwort-Nachricht an einen mobilen Knoten zurück, der eine Registrierungsanforderung gesendet hat. Hat der mobile Knoten einen Service von Foreign-Agent angefordert, empfängt dieser Foreign-Agent die Antwort vom Home-Agent. Entsprechend leitet der Foreign-Agent die Antwort an den mobilen Knoten weiter. Die Antwort enthält die erforderlichen Codes, um den mobilen Knoten und den Foreign-Agent über den Status der Registrierungsanforderung zu informieren. Darüber hinaus enthält die Nachricht die, die vom Home-Agent gewährte Lebensdauer. Die Lebensdauer kann geringer als in der ursprünglichen Anforderung ausfallen. Außerdem kann eine Registrierungsanforderung eine dynamisch zugewiesene Home-Adresse enthalten.
Der Foreign-Agent spielt bei der Mobile IP-Registrierung im Wesentlichen eine passive Rolle. Der Foreign-Agent fügt alle registrierten mobilen Knoten einer Besuchertabelle hinzu. Außerdem leitet er Registrierungsanforderungen und -antworten zwischen den mobilen Knoten und Home-Agent weiter. Wenn der Foreign-Agent die Care-Of-Adresse bereitstellt, führt er darüber hinaus die Entkapselung von Datagrammen durch, sodass der Inhalt an die mobilen Knoten zugestellt werden kann. Weiterhin sendet der Foreign-Agent in regelmäßigen Abständen Agent Advertisement-Nachrichten, um sein Vorhandensein bekannt zu geben.
Wenn Home-Agents und Foreign-Agents Rücktunnel unterstützen und der mobile Knoten einen Rücktunnel anfordert, sendet der Foreign-Agent alle Pakete vom mobilen Knoten durch einen Tunnel an den Home-Agent. Der Home-Agent sendet die Pakete an den Kommunikationsknoten. Dieser Prozess ist die Umkehr des Home-Agent-Tunneling aller Pakete des mobilen Knoten an den Foreign-Agent zur Zustellung an den mobilen Knoten. Ein Foreign-Agent, der einen Rücktunnel unterstützt, meldet, dass ein Rücktunnel bei der Registrierung unterstützt wird. Aufgrund der lokalen Richtlinie kann der Foreign-Agent eine Registrierungsanforderung verweigern, wenn das Rücktunnel-Flag nicht gesetzt ist. Der Foreign-Agent kann mehrere mobile Knoten mit der gleichen (privaten) IP-Adresse nur dann unterscheiden, wenn die mobilen Knoten unterschiedliche Schnittstellen des Foreign-Agent besuchen. Bei einem Vorwärtstunnel unterscheidet der Foreign-Agent mehrere mobile Knoten, die die gleiche private Adresse nutzen, in dem er die eingehende Tunnelschnittstelle prüft. Die eingehende Tunnelschnittstelle ist einer einmaligen Home-Agent-Adresse zugeordnet.
Home-Agents spielen eine aktive Rolle im Registrierungsprozess. Der Home-Agent empfängt die Registrierungsanforderungen vom mobilen Knoten. Die Registrierungsanforderung könnte von dem Foreign-Agent weitergeleitet worden sein. Der Home-Agent aktualisiert seine Aufzeichnungen zu den Mobility-Bindungen dieses mobilen Knotens. Der Home-Agent erteilt auf jede Registrierungsanforderung eine geeignete Registrierungsantwort. Darüber hinaus leitet der Home-Agent Datenpakete an den mobilen Knoten weiter, wenn sich dieser nicht im Home-Netzwerk befindet.
Ein Home-Agent hat eventuell kein physikalisches Teilnetz für mobile Knoten konfiguriert. Dennoch muss der Home-Agent die Home-Adresse des mobilen Knotens über die Datei mipagent.conf oder einen anderen Mechanismus erkennen, wenn er die Registrierung genehmigt. Weitere Informationen zur Datei mipagent.conf finden Sie unter Erstellen einer Mobile IP-Konfigurationsdatei.
Ein Home-Agent kann privat adressierte mobile Knoten unterstützen, indem er die privat adressierten mobilen Knoten in der Datei mipagent.conf konfiguriert. Die von dem Home-Agent verwendeten Home-Adressen müssen einmalig sein.
In bestimmten Situationen kennt der mobile Knoten die Adresse seines Home-Agents nicht, wenn er sich zu registrieren versucht. In diesem Fall kann er eine dynamische Home-Agent-Adressauflösung verwenden, um die Adresse in Erfahrung zu bringen. Dazu setzt er das Home-Agent-Feld in der Registrierungsaufforderung auf die Teilnetz-gesteuerte Broadcast-Adresse seines Home-Netzwerk. Jeder Home-Agent, der eine Registrierungsaufforderung mit einer Broadcast-Zieladresse empfängt, lehnt die Registrierung des mobilen Knotens ab, in dem eine entsprechende Antwortnachricht gesendet wird. Jetzt kann der mobile Host beim nächsten Registrierungsversuch die Unicast-IP-Adresse des Home-Agent verwenden, die in der negativen Antwortnachricht angegeben ist.
|