An Overview of Mobile IPv6 Home Agent Redundancy - Diplomityöesitelmä

Samankaltaiset tiedostot
Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla

Liikkuvien isäntäkoneiden reititys

IP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?

Liikkuvien isäntäkoneiden reititys

5. Mobile IP (RFC 3220)

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

Turvallinen etäkäyttö Aaltoyliopistossa

TAMPEREEN AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma Tietoliikennetekniikka. Tutkintotyö. Jari Kuusisto. MOBILE IPv6

Uutuudet. Tosiaikapalvelut Liikkuvuus. Sanna Liimatainen T Tietokoneverkot

Verkkotekniikan jatkokurssi Mobile IPv

Tällä kerralla esitellään. Uutuudet. Reaaliaikainen tiedonsiirto. Äänen ja videon siirto. Session Initiation Protocol (SIP) IP-puhelin

Salasanan vaihto uuteen / How to change password

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Osavuosikatsaus Q JUKKA RINNEVAARA Toimitusjohtaja

FinFamily PostgreSQL installation ( ) FinFamily PostgreSQL

ITKP104 Tietoverkot - Teoria 3

Monilähetysreititys (multicast routing)

Monilähetysreititys (multicast routing)

Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

Langattomien verkkojen tietosuojapalvelut

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Internet Protocol version 6. IPv6

TIETEEN PÄIVÄT OULUSSA

Capacity Utilization

Yhdistä liesituulettimesi tulevaisuuteen. Asennusohje

Siirtyminen IPv6 yhteyskäytäntöön

Multihoming ja liikkuvuudenhallinta

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

1.3Lohkorakenne muodostetaan käyttämällä a) puolipistettä b) aaltosulkeita c) BEGIN ja END lausekkeita d) sisennystä

DYNAMIC CARE PLANNING (DCP) JA DYNAMIC CARE TEAM MANAGEMENT (DCTM) IHE-PROFIILIT. Konstantin Hyppönen IHE-Finland

Yhdistä uunisi tulevaisuuteen.

C++11 seminaari, kevät Johannes Koskinen

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Metsälamminkankaan tuulivoimapuiston osayleiskaava

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Reititys 3. Multihoming, liikkuvuudenhallinta ja vielä vähän muutakin reitityksestä. luvut 18 ja verkkolähteet

I-VALO VEGA FIXING MODULE B300

Security server v6 installation requirements

LYTH-CONS CONSISTENCY TRANSMITTER

Osavuosikatsaus Q JUKKA RINNEVAARA Toimitusjohtaja

Data protection template

Liikkuvuuden mahdollistaminen ja tietoturvan parantaminen Aalto yliopiston langallisessa verkossa

Tynnyrivaara, OX2 Tuulivoimahanke. ( Layout 9 x N131 x HH145. Rakennukset Asuinrakennus Lomarakennus 9 x N131 x HH145 Varjostus 1 h/a 8 h/a 20 h/a

Dynamo-Sovellusprojekti. Testausraportti. Tero Hätinen Joni Purojärvi Antti Pyykkönen

Pakettisynkronointitestauksen automaatio

Pahin tietoturvauhka istuu vieressäsi Tietoturvatietoisuuden kehittämisestä vauhtia tietoriskien hallintaan

TELESTE OYJ Vuosi 2007

Tulevaisuuden työ nyt

CALL TO ACTION! Jos aamiaistilaisuudessa esillä olleet aiheet kiinnostavat syvemminkin niin klikkaa alta lisää ja pyydä käymään!

Osavuosikatsaus JUKKA RINNEVAARA CEO

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

TM ETRS-TM35FIN-ETRS89 WTG

TM ETRS-TM35FIN-ETRS89 WTG

4. Reititys (Routing)

4. Reititys (Routing)

Yhdistä kodinkoneesi tulevaisuuteen.

1. SIT. The handler and dog stop with the dog sitting at heel. When the dog is sitting, the handler cues the dog to heel forward.

TM ETRS-TM35FIN-ETRS89 WTG

TeleWell TW-LTE/4G/3G USB -modeemi Cat 4 150/50 Mbps

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

T Tietokoneverkot kertaus

Plasmid Name: pmm290. Aliases: none known. Length: bp. Constructed by: Mike Moser/Cristina Swanson. Last updated: 17 August 2009

Vuosi Jukka Rinnevaara Toimitusjohtaja

Piiponniemi Petri. Mobiili-IP

S SÄHKÖTEKNIIKKA JA ELEKTRONIIKKA

Käytön avoimuus ja datanhallintasuunnitelma. Open access and data policy. Teppo Häyrynen Tiedeasiantuntija / Science Adviser

The necessary product key can be found in the hand out given to you.

Security server v6 installation requirements

TM ETRS-TM35FIN-ETRS89 WTG

( ( OX2 Perkkiö. Rakennuskanta. Varjostus. 9 x N131 x HH145

TM ETRS-TM35FIN-ETRS89 WTG

Uusi Ajatus Löytyy Luonnosta 4 (käsikirja) (Finnish Edition)

Opiskelijat valtaan! TOPIC MASTER menetelmä lukion englannin opetuksessa. Tuija Kae, englannin kielen lehtori Sotungin lukio ja etälukio

Citrix NetScaler. Timo Lindfors Ironnet oy

Osavuosikatsaus

Vertaispalaute. Vertaispalaute, /9

Voice Over LTE (VoLTE) By Miikka Poikselkä;Harri Holma;Jukka Hongisto

WindPRO version joulu 2012 Printed/Page :47 / 1. SHADOW - Main Result

Yhdistä kahviautomaattisi tulevaisuuteen.

Yhdistä kodinkoneesi tulevaisuuteen. Pikaopas

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

Reititys. 4. Reititys (Routing) Verkkokerroksen tehtävänä on toimittaa data (paketit) lähettäjän koneelta vastaanottajan koneelle. Reititysalgoritmit

Video ja sisällöntuotanto

Curriculum. Gym card

You can check above like this: Start->Control Panel->Programs->find if Microsoft Lync or Microsoft Lync Attendeed is listed

TM ETRS-TM35FIN-ETRS89 WTG

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

1.3 Lohkorakenne muodostetaan käyttämällä a) puolipistettä b) aaltosulkeita c) BEGIN ja END lausekkeita d) sisennystä

Liikkuvuudenhallinnan haasteita Proxy Mobile IPv6 -verkossa

Dynamo-Sovellusprojekti. Vaatimusmäärittely. Tero Hätinen Joni Purojärvi Antti Pyykkönen

Käyttöliittymät II. Käyttöliittymät I Kertaus peruskurssilta. Keskeisin kälikurssilla opittu asia?

Opinnäytetyön Loppuseminaari klo 10

Viestintäviraston EPP-rajapinta

LANSEERAUS LÄHESTYY AIKATAULU OMINAISUUDET. Sähköinen jäsenkortti. Yksinkertainen tapa lähettää viestejä jäsenille

FSD1319 Verkkopalvelujen ja tietotekniikan käyttö Tampereella 2000

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Diplomityöseminaari

Transkriptio:

Helsinki University Of Technology Networking Laboratory An Overview of Mobile IPv6 Home Agent Redundancy - Katsaus Mobile IPv6 -protokollan kotiagenttien varmennukseen Diplomityöesitelmä 14.3.2006 Heikki Keränen Valvoja: Prof. Jörg Ott Suorituspaikka: Tietoverkkolaboratorio

Sisällys 1. Etusivu 2. Sisällys 3. Tutkimusaihe 4. Onglemat 5. Arviointimalli 6. MIPv6 7. HARP 97 ja Sub 01 8. HSRP 9. VRRPv6 + MIPv6 10. HAHA 11. VHAR 14. Muutokset VHAR:iin 15. Topologia 16. VHAR:n perustoiminta 17. VHAR ja reitinoptimointi 18. VHAR ja useita päätelaitteita 19. RA -mainosten välin vaikutus 20. HA:n vaihdon aiheuttaman viiveen minimointi 21. HA:n vaihdon aiheuttaman viiveen minimointi tulos 22. Simulaatioiden tulokset 23. Diplomityön tulokset 24. Jatkotutkimus 12. Pohjustus simulaatioihin 13. Simulaatiot

Tutkimusaihe Yksi kotiagentti voi palvella lukuisia liikkuvia päätelaitteita Mobiili IPv6:n heikko lenkki : Kotiagentti IPv6 sallii useita kotiagentteja kotilinkillä, mutta: Kuinka jakaa ja päivittää päätelaitteden sidostietoa redundanttien kotiagenttien kesken? Kuinka pitää kotiagentin vaihtumiseen menevä aika pienenä?

Ongelmat Implementaation vaatimat muutokset Ylimääräiset viestit kotiverkossa Näkymättömyys liikkuvalle päätelaitteelle: Yhteydet katkeavat, viive kasvaa Uuden kotiagentin rasittuminen kun useat MN:t muodostavat yhteydet yhtäaikaa Kotiagentin vaihto (ainakin) tapahduttava HA:n toimesta, eikä MN:n. Tietoturva assosiaatio

Arviointimalli Number of new messages introduced Every new message adds extra overhead and makes implementation more complex How to detect failed HA Detection should not cause long delay, and to provide invisibility to MN, it should not invole MN. What to do when a failed HA is detected Amount of delay is evaluated, no extra messaging should occur. Invisible to MN Does any part of redundancy mechanism involve MN? Security Issuses Is SA between MN and HA maintained by mechanism? Is messagin between HAs secure? How about BU sequence number? No new issues should be introduced. Load Balancing Is dynamic load balancing supported or does even any load sharing apply?

MIPv6 Vikatila havaitaan BU Ack:n viipymisestä (hidas) HA:t ylläpitävät listaa, jossa preferenssiarvot. MN saa DHAAD käytännöllä HA listan, josta MN valitsee uuden HA:n (hidas, 32 s.) Ei näkymätön MN:lle: kuormaa ja viivettä. Kuormaa myös uudelle HA:lle. SA uudelleen neuvoteltava. BU sekvenssi häviää. DHAAD tarjoaa kuormanjakoa (uusille yhteyksille)

HARP 97 ja Subbarao 01 Active HA Yksi ensimmäisistä ehdotuksista, ja redundanssiongelman esittelijöistä: HARP. (IPv4) 1. Binding Information Sync 2. Binding Information Sync Acknowledgment HARP Esitti nyt yleistyneen mallin virtuaalisesta IP osoitteesta ja Sub01 sidostiedon synkronoinnin. Standby HA Sub01, ei ota kantaa virhetilan havaitsemiseen eikä siitä toipumiseen. Molemmat näkymättömiä MN:lle. Active HA Sub01mainitsee SA synkronoinnin Kuorma jakautuu molemmille / kaikille HA:ille, mutta ei dynaamista kuorman jakoa. (Sub01 Peer HA moodi). 1. Binding Table Request 2. Binding Table Sync 3. Binding Table Sync Acknowledgment (If unreliable transport) Standby HA

HSRP Perustuu vahvasti Sub01:seen. Cisco IOS softaan implementoitu MIP tuki, uusimissa versioissa myös sovellettu MIPv6 HSRP viesteistä havaitaan vikatila, n. 3 sek. Yhteydenvaihto toiselle HA:lle Ei tue MN ja HA:n välistä dynaamista SA:ta Näkymättömyys MN:lle häviää, jos SA halutaan muodostaa. Eikä HA:t osaa aloittaa MN:n yhteydenvaihtoa.

VRRPv6 & MIPv6 Laajentaa (VRRP RFC 3768) VRRPv6 Internet Draftia HA redundanssia varten. BC_REQUEST ja BC_UPDATE + VRRPv6 VRRP mainoksista havaitaan virhetila VRRPv6 äänestys tai HA:n käynnistämä yhteydenmuodostus (hidas) Näkymätön MN:lle niin kauan kuin vanha BU voimassa, ja olettaen että SA:ta ei tarvitse MN:n ja HA:n välillä. RFC 3775 (MIPv6): The mobile node and the home agent MUST use an IPsec security association to protect the integrity and authenticity of the Binding Updates and Acknowledgments Dynaaminen kuorman jako voidaan saavuttaa laajennuksella.

HAHA Peer HA synkronointi, eli kaikki HA:t palvelevat yhtäaikaisesti, ja päivittävät BUI keskenään. myös kuormanjako Vikatila havaitaan HELLO viesteistä, myös VRRPv6:sta voidaan käyttää. Havaitsemisen aika riippuu asetettavasta HELLO viestien taajuudesta, muutama sekunti ei vielä kasvata viestien määrää merkittävästi. Vikatilasta toivutaan HA Switch Request viestin toimeenpanemalla, sidoksen uudelleen muodostamisella. Tietoturva assosiaatiokin muodostuu näin uudestaan Ei ole näkymätön MN:lle. Sidosten uudelleenmuodostus hidasta, ja voi aiheuttaa verkkoon ruuhkautumista Globaali distribuutio Global HAHA spesifikaatiolla

VHAR Aktiivinen HA ja kaksi Backup agenttia, joiden välillä BIU synkronoidaan Vikatila havaitaan spontaaneista monilähetysmainoksista (puuttuminen), mainoksen pyyntö vahvistuksena. Mainosten väli asetettavissa, muutama sekunti ei vielä kasvata viestien määrää merkittävästi. Aktiivisen HA:n tilalle uusi toisesta Backup HA:sta, joka puolestaan pyyttää itselleen uuden Backup HA:n vapaana olevista HA reitittimistä (Inactive HA). Tietoturva assosiaatio välitetään SA synkronisaatioviesteillä Active HA:n ja Backup HA:den välillä, myös BU sekvenssinumerot synkronisoidaan. Näkymätön MN:lle. Ei kuormanjakoa

Kirjallisuustutkimus - tulos VHAR tämän tarkastelun perusteella kiinnostavin Tietoturva Tietoturva-assosiaatio ja Sidosviestien sekvenssinumero päivitetään Nopeus Näkymättömyys MN:lle Kuormanjakokin laajennuksella

Pohjustus simulaatioihin kertaus liikkuvuudenhallinnasta Käänteistunnelointi Liikenne päätelaitteen ja vertaislaitteen välillä kulkee aina kotiagentin kautta. Reitinoptimointi Liikenne päätelaitteen ja vertaislaitteen välillä kulkee singaloinnin jälkeen suoraan, kulkematta kotiagentin kautta. RFC 3775: Kotiagentin ja päätelaitteen välinen liikenne suojattava! Tähän tarvitaan IPSec -protokollakokoelmaa.

Simulaatiot VHAR tämän tarkastelun perusteella kiinnostavin Tietoturva, nopeus, näkymättömyys MN:lle, kuormanjakokin laajennuksella Onko VHAR toteutettavissa? Toimiiko reitinoptimoinnin kanssa? Miten liikenteen määrä vaikuttaa? Mitkä ovat oikeat parametrit? dead interval ja heart beat interval

Muutokset VHAR:iin Backup havaitsee Active HA:n kuoleman dead intervallin välein päivitettävästä statustiedosta, joka kerätään reitittimien mainosviesteistä. Koska kaksi Backup HA:ta, on todennäköistä, että molemmat havaitsevat yhtäaikaa, ja siirtyvät yhtä aikaa Active tilaan. Tästä johtuen VHAR:n ei toimi oikein. RATKAISU: Erotetaan Backup HA:t prioriteetilla Backup1 ja Backup2. Backup2 odottaa pitempään kuin Backup1, ennen kuin ryhtyy toimenpiteisiin. Mikäli Backup1:stä tulee uusi Active HA, niin Backup2 vastaanottaa taas mainostuksen Activelta, joten se tietää olla vaihtamatta tilaansa.

Topologia Päätelaitteiden määrää vaihtelee VoIP -liikenne

VHAR:n perustoiminta 1 MN käänteistunnelointi Valittujen kotiagenttien rajapintojen läpäisystä nähdään, että VHAR toimii oikein 0-120s MN kotiverkossa 155s BACKUP2 kaatuu 220s AP vaihtuu 240s ACTIVE HA kaatuu 310s AP vaihtuu

VHAR ja reitinoptimointi 1 MN Reitinoptimointi Valittujen kotiagenttien rajapintojen läpäisystä nähdään, että VHAR toimii oikein myös reitinoptimoinnissa 0-120s MN kotiverkossa 155s BACKUP2 kaatuu 220s AP vaihtuu 240s ACTIVE HA kaatuu 310s AP vaihtuu Ei kuormita juuri lainkaan kotiverkkoa

Useita päätelaitteita 5 MN, käänteistunnelointi 155s BACKUP2 kaatuu. 240s ACTIVE HA kaatuu. Valittujen kotiagenttien rajapintojen läpäisystä nähdään, että VHAR ei toimi oikein Liikenne ACTIVE:lta BACKUP1:lle loppuu 175s (punainen) ACTIVE luulee, että BACKUP1 vikaantunut BU:t ja SeqNo jne. eivät päivity BACKUP1:lle

RA -mainosten välin vaikutus 5 MN, käänteistunnelointi 155s BACKUP2 kaatuu 240s ACTIVE HA kaatuu Nyt heart beat -viestien väliajaksi vaihdettu 0,4s 0,6s VHAR toimii oikein. JOHTOPÄÄTÖS: Kuorman kasvaessa RA intervallia l. heart beat viestien väliä pienennettävä.

HA:n vaihdon aiheuttaman viiveen minimointi 1 MN dead interval 1,2 s Katkos kestää n. 2,1 s 20 MN dead interval 0,8 s Katkos kestää 1,3 s 20 MN ja 20 simulaatiota: dead interval Average Standard Deviation Variance 0.8 1.24416 0.04566 0.21369 1.2 1.79697 0.17125 0.41383

HA:n vaihdon aiheuttaman viiveen minimointi - tulos Toiminnan kannalta oleellista on heart beat intervallin ja dead intervallin suhde MN:n kokemaan viiveeseen vaikutaa suoraan vain dead interval Kun dead intervallia p ienennetään, täytyy myös RA mainosten välistä aikaa pienentää

Simulaatiot - tulos VHAR -protokolla on käytännössä toteutettavissa. Toimii parhaiten reitinoptimoinnilla Liikenteen määrä vaatii oikeat parametrit Oikeat parametrit määräytyvät seuraavasti: dead interval vaikuttaa katkosten pituuteen heart beat interval vaikuttaa VHAR:n toimivuuteen dead intervallin oltava heart beat :n monikerta

Diplomityön tulokset Varmennusprotokollalla tarkat vaatimukset Toteutuksen helppous, näkymättömyys, nopeus, tietoturva-asiat VHAR täyttää vaatimukset parhaiten VHAR implementoitavissa tietyin muutoksin VHAR:n parametrit asetettava oikein dead interval moninkertainen verrattuna heart beat -intervalliin

Jatkotutkimus VHAR -protokollan toteutus käytännössä MIPv6 verkkoon. VHAR -protokollan käytännön vertailu toiseen toteutettuun varmuusprotokollaan, esim. Cisco HSRP Useiden tässä työssä tutkittujen protokollien tai laajennuksien parhaiden puolien yhdistäminen yhdeksi toimivaksi protokollaksi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute