7-module-mobileIP

移动IP主要内容1.概念2.功能实体3.工作过程及关键技术4.移动IP的低效率移动IP的概念移动IP的定义移动IP是一种在全球Internet上提供移动功能的方案，移动IP提供的是一种IP路由机制，移动节点可以用一个永久的IP地址连接到任何链路上。注意：移动IP只是网络层的标准，对TCP等其他技术以及应用程序的改进不属于移动IP的范畴。移动IP的设计要求和目标设计要求改变数据链路层接入点后仍可以通信。移动节点使用永久IP地址。与非移动IP节点互通。安全威胁的考虑。选路机制只与目的IP地址有关，与网络拓扑无关。对现有网络的改动（移动节点本身、少数提供移动IP功能的主机和路由器）设计目标移动IP的选路只与目的地地址的网络前缀有关，而与网络拓扑结构无关。移动IP的历史•移动IP由IETF的移动IP小组mobileip(IPRoutingforWireless/mobileHosts)制定，于1996年11月公布为建议标准(建议标准是一个协议从因特网草案发展成因特网标准的第一个重要步骤)•主要内容–RFC2002：定义了移动IP协议–RFC2003、2004:定义的移动IP使用的隧道技术–RFC2005：叙述了移动IP的应用–RFC2006：定义了移动IP的管理信息库MIB–关于优化、对IPv6的支持等问题的草案(draft)•详见：http://www.ietf.org/html.charters/mobileip-charter.html移动IP的本质•移动IP是一个支持主机移动的网络层解决方案–同IP一样，移动IP对下层传输媒体不做任何要求，可以在不同媒介的网络间提供主机移动功能–移动IP向上层屏蔽了主机移动的细节–现有因特网的上层协议和应用都无须改动•解决通信对端和移动主机间IP报文的发送问题–通信对端如何将IP报文发送给移动主机–移动主机如何将IP报文发送给通信对端•移动IP通过隧道技术来实现移动节点：它有两个地址归属地址：永久地址，它使移动主机与它归属的网络相关联转交地址：临时地址，它与外地网络相关联。当移动主机从一个网络移到另一个网络时，转交地址就改变了本地代理：有一个端口与移动节点本地链路相连的路由器，它根据移动用户的转交地址，采用隧道技术转交移动节点的数据包。外地代理：移动节点的漫游链路上的路由器，它通知本地代理自己的转交地址，是移动节点漫游链路的缺省路由器。移动IP的功能实体移动IP实体及其相互关系路由器和链路构成的任意拓扑本地代理移动节点外地代理外地代理移动节点漫游链路家乡链路工作过程及关键技术移动IP的工作过程涉及三个阶段：代理发现注册数据包传送过程一：代理发现•判定它当前连在家乡链路上还是漫游链路上•检测它是否切换了链路•当连在外漫游链路上时，得到一个转交地址代理广播代理移动节点主机主机链路代理广播本地代理/外地代理周期性广播代理广播消息，链路上的所有节点都收到这个消息。移动节点检查代理广播消息，并且决定它所连接的是本地链路还是漫游链路。连在漫游链路上的移动节点从代理广播消息中得到转交地址。代理发现使用ICMP路由器通知报文代理请求消息（10Routersolicitationmessage）当移动节点发送此消息时，目的是使链路上的所有代理立即发送一个代理广播消息，移动节点快速切换链路，而代理发送广播消息的频率不够时，会发送本消息。代理广播消息（9Routeradvertisementmessage）移动代理广播扩展类型：16前缀长度扩展类型：19代理发现使用的消息代理发现使用的消息代理广播消息生存时间域(Lifetime)（与移动代理广播扩展中的注册生存时间RegistrationLifetime域无关）表明代理发送广播的频率，这个值主要用来作“移动检测”。由外地代理发出的广播F比特置为1，同样，由家乡代理发出的广播H比特也置为1。前缀长度被移动节点用来作“移动检测”。代理请求消息IP包的生存时间域必须置成1。移动节点如何判定自己的移动1.用生存时间域作移动检测–利用代理广播消息中ICMP路由器广播部分的生存时间域，这个域告诉移动节点，每过多长时间它就可以从同一个代理那里收到一个广播–如果没有收到任何广播，它就发出一个代理请求消息去询问。2.用网络前缀作移动检测–移动节点通过比较两个广播消息的网络前缀就可以判定它们是否来自同一条链路–如果发现它已移动到新链路上了，就应向在新链路上的外地代理进行注册移动节点收不到任何广播消息时怎么办•设法在家乡链路上通信•可以向它在家乡链路上用的缺省路由器发送ICMPEchoRequest消息，如果这台缺省路由器给出了应答，那么移动节点很可能正连在它的家乡链路上，这样就可以继续通信了•在漫游链路上用DHCP和手工配置•如果缺省路由器没有应答，那么移动节点可以认为它正连在一条漫游链路上•无需广播消息的移动检测（假定可以得到一个配置转交地址）•TCP进程监测：在它已打开的TCP连接上检查最近有没有转发进行。如没有，则移动过了•检查链路上的所有包：这些包中没有一个网络前缀与它的转交地址的网络前缀一样过程二：注册•位置移动时，进行得到转交地址的注册–移动节点可以通过注册得到外地链路上的外地代理的路由服务（认证）。–移动节点可以通知家乡代理它的转交地址。•回到本地链路时，重新进行注册。（注销）•使用的地址超过了生存时间时（使一个要过期的注册重新生效）“绑定”-Binding•家乡代理必然有一张移动节点家乡地址和转交地址的对应表，这张表中的一个表项就称为绑定表项（BindingEntry）•注册过程的主要目的就是产生、修改或删除家乡代理中移动节点的绑定表项注册请求消息注册应答消息注册消息包括短的定长部分加上一个或者多个变长的扩展部分构成。注册消息在UDP数据段中封装。注册过程使用的消息注册的种类外地代理本地代理移动节点漫游链路路由器和链路组成的任意拓扑家乡链路142注册请求注册应答移动节点向本地代理注册转交地址1.移动节点用外地代理转交地址注册在一条漫游链路上3注册的种类本地代理移动节点漫游链路路由器和链路组成的任意拓扑家乡链路注册请求注册应答2.移动节点用配置转交地址注册在一条漫游链路上注册的种类本地代理移动节点路由器和链路组成的任意拓扑家乡链路注册请求注册应答3.移动节点在回到本地链路后进行注销注册消息格式移动-外地认证扩展外地-家乡认证扩展B、D、M、G和V比特主要与选路有关生存时间为零表示移动节点希望注销一个转交地址注册请求消息注册应答消息（定长部分）Code域给出了拒绝的原因移动节点何时注册•当移动节点发现自己从一条链路切换到了另一条链路上时就开始注册过程•有时即使没有链路的切换，它也进行注册–当移动节点发现它所连接的外地代理进行了重起时（这可从外地代理广播消息中的序列号得知）；–当目前的注册就要过期时，移动节点也应重新注册。移动节点如何发送注册请求消息移动节点根据它代理搜索过程中得到的信息，选择一种注册种类，并组装它的注册请求消息M比特和G比特要求家乡代理在隧道中采用最小封装（MinimalEncapsulation）[RFC2004]或通用路由封装（GenericRoutingEncapsulation）[RFC1701]，而不是[RFC2003]中的IP封装（IPinIPEncapsulation）。移动节点和外地代理在外地链路上能支持[RFC1144]中定义的VanJacobson报头压（HeaderCompression）时，就将V比特置为1。(5.4.8节）帧头IP头UDP头•如何确定在当前链路上发送注册消息时采用的数据链路层的目的地址？–移动节点不能在外地链路上发送包含它的家乡地址的ARP帧。–移动节点应记录下外地代理发送的代理广播消息中的数据链路层源地址，从而得到外地代理的数据链路层地址，移动节点可将这个地址作为承载注册消息的数据链路层帧的数据链路层目的地址。•移动节点得到外地链路上的缺省路由器IP地址的方法–这台缺省路由器是注册消息经过的第一跳，也是所有由移动节点发出的数据包经过的第一跳–移动节点可以通过ARP得到缺省路由器的数据链路层地址，只要在ARP请求消息中包含的是它的转交地址而不是家乡地址。移动节点如何发送注册请求消息外地代理如何处理注册请求•外地代理接收到注册请求后，要对它进行一系列的有效性检查–移动节点在注册请求消息中包含了移动外地认证扩展部分，而其中的认证算法域（Authenticator）却是无效的，即移动节点在这个外地代理上的认证没有成功–移动节点请求的生存时间（Lifetime）超过了移动代理所允许的最大值–外地代理不支持移动节点所请求的隧道类型–外地代理没有足够的资源来支持更多的移动节点外地代理如何处理注册请求•注册应答的Code域给出了拒绝的原因•有效，则将该消息中继到移动节点的家乡代理那里–外地代理将包含注册请求消息的数据包的IP报头和UDP头完全剥去，再加上新的报头后才送给家乡代理•在中继注册请求消息前，外地代理要记录源数据链路层地址、源IP地址、源UDP端口号、家乡代理地址、标识域和请求的生存时间，为注册应答和路由数据包用。“R”比特的处理•移动代理广播扩展的“注册要求”比特，即R比特,为外地代理提供了一种机制，通知移动节点必须向它进行注册，即使移动节点采用的是配置转交地址，否则外地代理将拒绝为该节点路由数据包。•外地代理是一台外地链路上的路由器–有时它同时为移动节点提供路由和拆封功能（当移动节点采用外地代理转交地址时）–有时它只向移动节点提供路由功能（当移动节点采用配置转交地址时）家乡代理如何处理注册请求•做一系列和外地代理相似的有效性检查•如果注册请求是有效的，将对移动节点的绑定表项进行更新•家乡代理根据请求开始通过隧道向移动节点的转交地址传送数据包，或者应移动节点的要求关闭所有隧道•另外，家乡代理还将发送代理ARP消息•最后，家乡代理向移动节点发送注册应答，告知注册成功家乡代理对绑定的更新多重绑定多重绑定•用途：–克服乒乓效应，减少注册次数–双播机制实现快速切换–多接口实现多连接，多家乡，异构切换•方法：–移动节点将注册请求消息中的S比特置1，通知家乡代理它希望对一个特定的转交地址进行绑定，而保持当前别的绑定不变–如果移动节点在两个蜂窝之间来回切换，它就可以同时注册这两条链路上的转交地址，这样无论移动节点当前接收的是哪一个发射器的信号，它都可以接收通过隧道传过来的数据包处于两个蜂窝边界上的移动节点移动节点如何处理注册应答•在接收到注册应答后，移动节点就开始进行自己的有效性检查•如果这条应答消息是有效的，那么移动节点就检查Code域，看看这次注册是被家乡代理（和外地代理）接受还是被拒绝了。•常见的拒绝原因有：过长的生存时间（大于外地代理所允许的最大长度）和无效的标识域（这时家乡代理可能期望的是另一个值）-〉重新尝试一次注册。•如果Code域表示注册请求已被接受，那么移动节点就可以调整它的路由表，以适应当前链路，然后就可以开始通信或继续先前的通信了。节点如何知道注册消息的真正发送者•移动节点为每次注册请求选择一个唯一的值写入标识域（Identification）–第一个目的是使移动节点可以将注册应答和相应的注册请求对应起来，使移动节点可以判断一大堆注册请求中的哪一个被接受了或被拒绝了。–第二个目的是防止有人将移动节点的一个注册请求消息存下来，之后又送回一个注册应答。所有的数据包送到“坏家伙”那里。•标识域的唯一性以及移动-家乡认证扩展（Mobile-HomeAuthenticationExtension）一起阻止这种事情（称为拒绝服务攻击）的发生。拒绝服务攻击因特网家乡代理家乡网络外地代理路由器坏家伙外地链路移动节点通信对端伪造的注册报文拒绝服务攻击•‘坏家伙’向家乡代理发送一个伪造的注册请求消息，家乡代理将它的IP地址当作移动节点的转交地址。所有发送给移动节点报文都将被送给‘坏家伙’–坏家伙可以在任意地点实施攻击–移动IP使用IPSec机制，要求