7-module-mobileIP

1、移动IP1主要内容概念功能实体工作过程及关键技术移动IP的低效率2移动IP的概念移动IP的定义 移动IP是一种在全球Internet上提供移动功能的方案,移动IP提供的是一种IP路由机制,移动节点可以用一个永久的IP地址连接到任何链路上。注意：移动IP只是网络层的标准,对TCP等其他技术以及应用程序的改进不属于移动IP的范畴。3移动IP的设计要求和目标设计要求改变数据链路层接入点后仍可以通信。移动节点使用永久IP地址。与非移动IP节点互通。平安威胁的考虑。选路机制只与目的IP地址有关,与网络拓扑无关。对现有网络的改动（移动节点本身、少数提供移动IP功能的主机和路由器）设计目标移动IP的选路只与

2、目的地地址的网络前缀有关,而与网络拓扑结构无关。4移动IP的历史 移动IP由IETF的移动IP小组mobileip(IP Routing for Wireless/mobile Hosts) 制定,于1996年11月公布为建议标准(建议标准是一个协议从因特网草案开展成因特网标准的第一个重要步骤)主要内容 RFC 2002：定义了移动IP协议 RFC 2003、2004: 定义的移动IP使用的隧道技术 RFC 2005：表达了移动IP的应用 RFC 2006：定义了移动IP的管理信息库MIB 关于优化、对IPv6的支持等问题的草案(draft)详见：html.charters/mobileip-

3、charter.html5移动IP的本质移动IP是一个支持主机移动的网络层解决方案同IP一样,移动IP对下层传输媒体不做任何要求,可以在不同媒介的网络间提供主机移动功能移动IP向上层屏蔽了主机移动的细节现有因特网的上层协议和应用都无须改动解决通信对端和移动主机间IP报文的发送问题通信对端如何将IP报文发送给移动主机移动主机如何将IP报文发送给通信对端移动IP通过隧道技术来实现6移动节点：它有两个地址归属地址：永久地址,它使移动主机与它归属的网络相关联转交地址：临时地址,它与外地网络相关联。当移动主机从一个网络移到另一个网络时,转交地址就改变了本地代理：有一个端口与移动节点本地链路相连的路由器,

4、它根据移动用户的转交地址,采用隧道技术转交移动节点的数据包。外地代理：移动节点的漫游链路上的路由器,它通知本地代理自己的转交地址,是移动节点漫游链路的缺省路由器。移动IP的功能实体7移动IP实体及其相互关系路由器和链路构成的任意拓扑本地代理移动节点外地代理外地代理移动节点漫游链路家乡链路8工作过程及关键技术移动IP的工作过程涉及三个阶段：代理发现注册数据包传送9过程一：代理发现判定它当前连在家乡链路上还是漫游链路上检测它是否切换了链路当连在外漫游链路上时,得到一个转交地址10代理播送代理移动节点主机主机链路代理播送本地代理/外地代理周期性播送代理播送消息,链路上的所有节点都收到这个消息。移动节

5、点检查代理播送消息,并且决定它所连接的是本地链路还是漫游链路。连在漫游链路上的移动节点从代理播送消息中得到转交地址。11代理发现使用ICMP路由器通知报文代理请求消息（10 Router solicitation message）当移动节点发送此消息时,目的是使链路上的所有代理立即发送一个代理播送消息,移动节点快速切换链路,而代理发送播送消息的频率不够时,会发送本消息。代理播送消息（9 Router advertisement message） 移动代理播送扩展 类型：16 前缀长度扩展 类型：19 代理发现使用的消息代理发现使用的消息12代理播送消息生存时间域( Lifetime )（与移动

6、代理播送扩展中的注册生存时间Registration Lifetime域无关）说明代理发送播送的频率,这个值主要用来作“移动检测。由外地代理发出的播送F比特置为1,同样,由家乡代理发出的播送H比特也置为1。前缀长度被移动节点用来作“移动检测。13代理请求消息I P包的生存时间域必须置成 1。14移动节点如何判定自己的移动1. 用生存时间域作移动检测利用代理播送消息中ICMP路由器播送局部的生存时间域,这个域告诉移动节点,每过多长时间它就可以从同一个代理那里收到一个播送如果没有收到任何播送,它就发出一个代理请求消息去询问。2. 用网络前缀作移动检测移动节点通过比较两个播送消息的网络前缀就可以判定

7、它们是否来自同一条链路如果发现它已移动到新链路上了,就应向在新链路上的外地代理进行注册15移动节点收不到任何播送消息时怎么办设法在家乡链路上通信可以向它在家乡链路上用的缺省路由器发送ICMP Echo Request消息,如果这台缺省路由器给出了应答,那么移动节点很可能正连在它的家乡链路上,这样就可以继续通信了在漫游链路上用DHCP和手工配置如果缺省路由器没有应答,那么移动节点可以认为它正连在一条漫游链路上无需播送消息的移动检测（假定可以得到一个配置转交地址）TCP进程监测：在它已翻开的TCP连接上检查最近有没有转发进行。如没有,则移动过了检查链路上的所有包：这些包中没有一个网络前缀与它的转交

8、地址的网络前缀一样16过程二：注册位置移动时,进行得到转交地址的注册移动节点可以通过注册得到外地链路上的外地代理的路由效劳（认证）。移动节点可以通知家乡代理它的转交地址。回到本地链路时,重新进行注册。（注销）使用的地址超过了生存时间时（使一个要过期的注册重新生效）17“绑定-Binding家乡代理必然有一张移动节点家乡地址和转交地址的对应表,这张表中的一个表项就称为绑定表项（ Binding Entry）注册过程的主要目的就是产生、修改或删除家乡代理中移动节点的绑定表项18注册请求消息注册应答消息注册消息包括短的定长局部加上一个或者多个变长的扩展局部构成。注册消息在UDP数据段中封装。注册过程

9、使用的消息19注册的种类外地代理本地代理移动节点漫游链路路由器和链路组成的任意拓扑家乡链路142注册请求注册应答移动节点向本地代理注册转交地址1.移动节点用外地代理转交地址注册在一条漫游链路上320注册的种类本地代理移动节点漫游链路路由器和链路组成的任意拓扑家乡链路注册请求注册应答2.移动节点用配置转交地址注册在一条漫游链路上21注册的种类本地代理移动节点路由器和链路组成的任意拓扑家乡链路注册请求注册应答3.移动节点在回到本地链路后进行注销22注册消息格式移动-外地认证扩展外地-家乡认证扩展B、D、M、G和V比特主要与选路有关生存时间为零表示移动节点希望注销一个转交地址注册请求消息注册应答消息

10、（定长局部）Code域给出了拒绝的原因23移动节点何时注册当移动节点发现自己从一条链路切换到了另一条链路上时就开始注册过程有时即使没有链路的切换,它也进行注册当移动节点发现它所连接的外地代理进行了重起时（这可从外地代理播送消息中的序列号得知） ；当目前的注册就要过期时,移动节点也应重新注册。24移动节点如何发送注册请求消息移动节点根据它代理搜索过程中得到的信息,选择一种注册种类,并组装它的注册请求消息M比特和G比特要求家乡代理在隧道中采用最小封装（ Minimal Encapsulation） RFC2004 或通用路由封装（Generic Routing Encapsulation）RFC1

11、701,而不是RFC 2003中的IP封装（IP in IP Encapsulation）。移动节点和外地代理在外地链路上能支持 RFC11 4 4 中定义的 Van Jacobson 报头压（Header Compression）时,就将V比特置为1。(5.4.8节）帧头IP头UDP头25如何确定在当前链路上发送注册消息时采用的数据链路层的目的地址？移动节点不能在外地链路上发送包含它的家乡地址的ARP帧。移动节点应记录下外地代理发送的代理播送消息中的数据链路层源地址,从而得到外地代理的数据链路层地址,移动节点可将这个地址作为承载注册消息的数据链路层帧的数据链路层目的地址。移动节点得到外地链路

12、上的缺省路由器IP地址的方法这台缺省路由器是注册消息经过的第一跳,也是所有由移动节点发出的数据包经过的第一跳移动节点可以通过ARP得到缺省路由器的数据链路层地址,只要在ARP请求消息中包含的是它的转交地址而不是家乡地址。移动节点如何发送注册请求消息26外地代理如何处理注册请求外地代理接收到注册请求后,要对它进行一系列的有效性检查移动节点在注册请求消息中包含了移动外地认证扩展局部,而其中的认证算法域（Authenticator ）却是无效的,即移动节点在这个外地代理上的认证没有成功移动节点请求的生存时间（ Lifetime）超过了移动代理所允许的最大值外地代理不支持移动节点所请求的隧道类型外地代

13、理没有足够的资源来支持更多的移动节点27外地代理如何处理注册请求注册应答的Code域给出了拒绝的原因有效,则将该消息中继到移动节点的家乡代理那里外地代理将包含注册请求消息的数据包的IP报头和UDP头完全剥去,再加上新的报头后才送给家乡代理在中继注册请求消息前,外地代理要记录源数据链路层地址、源IP地址、源UDP端口号、家乡代理地址、标识域和请求的生存时间,为注册应答和路由数据包用。28“R比特的处理移动代理播送扩展的“注册要求比特,即R比特, 为外地代理提供了一种机制,通知移动节点必须向它进行注册,即使移动节点采用的是配置转交地址,否则外地代理将拒绝为该节点路由数据包。外地代理是一台外地链路上

14、的路由器有时它同时为移动节点提供路由和拆封功能（当移动节点采用外地代理转交地址时）有时它只向移动节点提供路由功能（当移动节点采用配置转交地址时）29家乡代理如何处理注册请求做一系列和外地代理相似的有效性检查如果注册请求是有效的,将对移动节点的绑定表项进行更新家乡代理根据请求开始通过隧道向移动节点的转交地址传送数据包,或者应移动节点的要求关闭所有隧道另外,家乡代理还将发送代理ARP消息最后,家乡代理向移动节点发送注册应答,告知注册成功家乡代理对绑定的更新多重绑定30多重绑定用途：克服乒乓效应,减少注册次数双播机制实现快速切换多接口实现多连接,多家乡,异构切换方法：移动节点将注册请求消息中的S比特

15、置1,通知家乡代理它希望对一个特定的转交地址进行绑定,而保持当前别的绑定不变如果移动节点在两个蜂窝之间来回切换,它就可以同时注册这两条链路上的转交地址,这样无论移动节点当前接收的是哪一个发射器的信号,它都可以接收通过隧道传过来的数据包处于两个蜂窝边界上的移动节点31移动节点如何处理注册应答在接收到注册应答后,移动节点就开始进行自己的有效性检查如果这条应答消息是有效的,那么移动节点就检查Code域,看看这次注册是被家乡代理（和外地代理）接受还是被拒绝了。常见的拒绝原因有：过长的生存时间（大于外地代理所允许的最大长度）和无效的标识域（这时家乡代理可能期望的是另一个值）-重新尝试一次注册。如果Cod

16、e域表示注册请求已被接受,那么移动节点就可以调整它的路由表,以适应当前链路,然后就可以开始通信或继续先前的通信了。32节点如何知道注册消息的真正发送者移动节点为每次注册请求选择一个唯一的值写入标识域（ Identification） 第一个目的是使移动节点可以将注册应答和相应的注册请求对应起来,使移动节点可以判断一大堆注册请求中的哪一个被接受了或被拒绝了。第二个目的是防止有人将移动节点的一个注册请求消息存下来,之后又送回一个注册应答。所有的数据包送到“坏家伙那里。标识域的唯一性以及移动-家乡认证扩展（Mobile-Home Authentication Extension）一起阻止这种事情（称

17、为拒绝效劳攻击）的发生。33拒绝效劳攻击因特网家乡代理家乡网络外地代理路由器坏家伙外地链路移动节点通信对端伪造的注册报文34拒绝效劳攻击 坏家伙向家乡代理发送一个伪造的注册请求消息,家乡代理将它的IP地址当作移动节点的转交地址。所有发送给移动节点报文都将被送给坏家伙坏家伙可以在任意地点实施攻击移动IP使用IPSec机制,要求移动节点和家乡代理之间建立平安协定(Security Association),对所有的注册消息都要进行有效的认证35重发攻击因特网家乡代理家乡网络外地代理路由器坏家伙外地链路移动节点通信对端记录注册报文36重发攻击家乡代理家乡网络外地代理路由器坏家伙移动节点通信对端记录的

18、注册报文因特网37拒绝效劳攻击为对付这种攻击 ,移动IP要求对移动节点和家乡代理之间的注册消息进行认证。认证是一个发送节点向接收节点提供身份证明的过程,常采用一个只有发送者和接收者知道的秘密值来实现。这种认证不可能通过检查网上的数据包进行攻击。移动 IP在注册请求消息中采用了标识域,以防止这种重发攻击的发生。移动节点和外地代理以及外地代理和家乡代理之间的认证移动-外地认证扩展。外部-家乡认证扩展。由发送数据包的节点直接将包通过隧道(非移动-家乡隧道）送往转交地址,而不是先路由到家乡链路上,这显然效率要高得多。之所以不采用这种优化的路由技术,主要是对付拒绝效劳攻击。38过程三：包传送路由器路由器

19、本地代理本地链路本地代理向其他路由器广播对移动节点本地地址的可达性。（代理ARP）路由更新：“我可以到达具有与移动节点的本地地址相同的网络前缀的所有目的地。”39包传送主机路由器本地代理本地链路本地代理的广播可达性消息吸收了发往移动节点本地地址的数据包。数据包40包传送外地代理本地代理移动节点 本地代理截取送往移动节点本地地址的数据包，并通过隧道送往它的转交地址。 外地代理从隧道取出原始数据包，并且通过漫游链路送给移动节点。41移动节点外地代理本地代理从本地代理到外地代理的IP隧道外层报头报头净荷外部净荷封装的IP包报头净荷原始IP包IP源远程主机地址,IP目的移动主机归属地址IP源本地代理,

20、IP目的外地代理42移动节点外地代理本地代理从外地代到移动节点外层报头报头净荷外部净荷封装的IP包报头净荷到移动节点的IP包IP源远程主机地址,IP目的移动主机转交地址IP源本地代理,IP目的外地代理43移动节点主机本地代理路由器路由器路由器外地代理用外地代理转交地址的移动节点用配置转交地址的移动节点经隧道封装的数据包原始数据包移动节点移动节点44移动节点如何发送数据包直接路由原路返回45直接路由因特网外地代理移动节点家乡代理10.0.0.450.0.0.120.0.0.4中间路由器通信对端源IP地址目的IP地址10.0.0.450.0.0.110.0.0.X46路由器入口过滤的影响因特网外地

21、代理移动节点家乡代理10.0.0.450.0.0.120.0.0.4中间路由器通信对端源IP地址目的IP地址10.0.0.450.0.0.1为了安全，中间路由器对流入的报文进行过滤，将源IP地址不合法的报文丢弃10.0.0.X47反向隧道因特网外地代理移动节点家乡代理IP地址：10.0.0.450.0.0.1通信对端20.0.0.1转交地址：20.0.0.410.0.0.X隧道源IP地址隧道宿IP地址20.0.0.410.0.0.1源IP地址目的IP地址10.0.0.450.0.0.1反向隧道源IP地址目的IP地址10.0.0.450.0.0.148移动IP的优化路由优化切换优化49三角路由问

22、题外地代理家乡代理通信对端移动节点因特网通信对端能否直接将报文发给移动节点的转交地址？50绑定缓存策略通信对端维护一个绑定缓存,存储它要访问的移动节点的对当通信对端要向移动节点发送报文时,它检查自己的缓存,找到移动节点的转交地址,直接将报文通过隧道发给移动节点由于移动节点的转交地址是随着节点位置的变化而变化的,所以通信对端要对绑定缓存进行维护51绑定缓存的建立家乡代理截获一个目的地址为移动节点的报文时,它知道通信对端没有关于移动节点的绑定信息,就向通信对端发送绑定更新消息,通知它移动节点的家乡IP地址和转交地址通信对端可以主动向移动节点的家乡代理发送绑定请求消息,家乡代理使用绑定更新消息将移动节点的转交地址送给通信对端52绑定缓存的维护采用定时更新机制,删除过老的绑定信息如果外地代理通过隧道收到一个消息,但对应的移动节点已不在自己的访问列表中。这说明通信对端