Verkkotekniikan jatkokurssi Mobile IPv4 26.1.2006 Karri Huhtanen <karri.huhtanen@tut.fi> 1
Sisältö! 1. Arkkitehtuuri ja terminologia! 2. Toiminta 2.1 Toiminta kotiverkossa 2.2 Siirtyminen vieraaseen verkkoon 2.3 Rekisteröityminen 2.4 Toiminta vieraassa verkossa! 2.4.1 Paluupakettien reititys, versio 1! 2.4.2 Paluupakettien reititys, versio 2! 3. Ongelmia! 4. Todellisuustarkistus 2
1. Arkkitehtuuri ja terminologia network Mobile Node (MN) Visiting Mobile Node (MN) Care Of Address (CoA): 130.230.144.247 3 - Mobiilipääte (MN) vierailee/vaeltaa (roams) koti- ja vierasverkkojen välillä. - MN rekisteröi kotiosoitteensa kotiagentille - vieraillessan vierasverkossa se voi saada ko. Verkosta väliaikaisen välitysosoitteen (care of address, COA) - Kotiagentti sijaitsee kotiverkossa ja huolehtii koti- ja välitysosoitteiden (COA) rekisteröinnistä, mobiilipäätteiden (MN) sijainnista sekä liikenteen välittämisestä tarvittaessa eteenpäin mobiilipäätteille. - Vierasagentti palvelee vierailevia mobiilipäätteitä (MN) mm. - välittämällä rekisteröinti- ja välitysosoitteen päivitysviestit kotiagentille. - purkamalla niille osoitetusta liikenteestä välitykseen käytetyn ylimääräisen kehystyksen. - Nodella (CN) tarkoitetaan mitä tahansa mobiilipäätteen kotiosoitteen kanssa liikennöivää osapuolta.
2.1 Toiminta kotiverkossa network Mobile Node (MN) 4 - Kotiagentti lähettää agenttimainoksia, jotka ovat laajennettuja reititinmainoksia lähetettynä säännöllisin väliajoin multicastin avulla. - timainoksessa on mm. seuraavaa informaatiota: - sekvenssinumero - rekisteröinnin elinaika - lippuja, jotka kertovat onko kyse FA/HA:sta, tuetut IP-paketoinnit - yksi tai useampia välitysosoitteita (COA) - standardiosassa mainostettujen prefiksien pituus - Mobiilipääte (MN) tarkkailee agenttimainoksia selvittääkseen onko kyseessä sen oma kotiverkko vai vieras verkko. - Kotiverkossa ollessaan MN peruu kotiagentille rekisteröinnin normaalin reitityksen varmistamiseksi - Kuvassa MN on aloittanut kotiverkossa kommunikoinnin (sininen viiva) toisaalla sijaitsevan koneen ( Node) kanssa kotiosoitteellaan 130.230.52.82.
2.2 Siirtyminen vieraaseen verkkoon network Mobile Node (MN) Visiting Mobile Node (MN) DHCP address: 130.230.144.247 5 - MN jättää kotiverkon siirtyen vieraasen verkkoon ja saa sieltä esimerkiksi DHCP:n avulla uuden osoitteen itselleen. - Liikenne CN:ltä ja MN:lle reitittyy reitityssääntöjen mukaisesti kotiverkon reitittimelle, mutta ei toistaiseksi siitä eteenpäin, koska MN:n kotiosoitetta ei tunnusta mikään kone/reititin osaavansa. - MN tunnistaa joko siirtotien muutoksista (esim. langattoman signaalin voimakkuudesta) tai FA:n agenttimainoksista vaihtaneensa verkkoa. - MN havaitessaan itse vaihtaneensa verkkoa lähettää router ICMP router solicitation requestin, joka saa FA:n vastaamaan suoraan MN:lle osoitetulla agenttimainoksella - Kuultu agenttimainos saa MN:n aloittamaan rekisteröitymisen.
Mobile Node Prepares registration 2.3 Rekisteröityminen Registration request (RequestID, MN home address, HA address, COA address, Process auth. Info etc.) Relayed registration request Grant / Deny Process Registration reply (RequestID, Grant/Deny, lifetime, MN home address, HA address, auth. Info etc.) Registration reply (RequestID, Grant/Deny, lifetime, MN home address, HA address, auth. Info etc.) 6 - kuva mukaillen kirjaa Huitema: Routing in the s. 319-320, kirjasta löytyy myös tarkemmat pakettien sisällöt - MN lähettää UDP-rekisteröintipyynnön FA:n porttiin 434 - FA välittää eteenpäin HA:lle, joka tekeepäätöksen pyynnön sallimisesta/hylkäämisestä - Vastaus välitetään FA:n kautta takaisin MN:lle, jolloin FA voi vaikuttaa vielä HA:n ratkaisuun - Hylätyssä vastauksessa välitetään myös syy hylkäykseen ja tieto siitä, tekikö päätöksen FA vai HA - Väärennettyjä agentteja ja viestejä vastaan varaudutaan luomalla turvallisuusassosiaatioita MN, FA ja HA:n kesken ja käyttämällä viesteissä NTP-aikaleimoja ja nonceja. - Onnistuneen rekisteröinnin jälkeen HA tietää missä osoitteessa MN on ja osaa ohjata MN:n kotiosoitteeseen osoitetun liikenteen perille proxy-arpin ja IP-IP-tunneleiden avulla
2.4 Toiminta vieraassa verkossa network Traffic to MN's home address encapsulated in IP-IP or GRE tunnel directed to FA handling MN. Traffic with the HA-FA -encapsulation removed by FA encapsulated in FA-MN IP-IP tunnel Visiting Mobile Node (MN) Care Of Address(COA): 130.230.144.247 7 - MN on nyt rekisteröitynyt HA:lle ja HA:lla on tiedossa MN:n care-of-osoite. - MN seuraa edelleen agenttimainostuksia ja sekvenssinumeron (jos alle 256) sekä tietysti rekisteröitymisen elinajan mukaan käynnistää uudelleen rekisteröitymisen tarvittaessa. - HA mainostaa nyt osaavansa reitittää MN:n kotiosoitteeseen liikennettä ja liikenne CN:ltä voi jatkaa matkaansa HA:lle asti. - HA paketoi MN:n kotiosoitteeseen osoitetun liikenteen IP-IP- (RFC2003, RFC2004) tai GRE (RFC1701) -tunneliin, jota pitkin liikenne pääsee FA:lle asti. - FA purkaa ylimääräisen kehystyksen alkuperäisen paketin ympäriltä ja tuuppaa paketin paikalliseen (vieraaseen verkkoon) sellaisenaan tai kehystettynä FA:n ja MN:n keskenään sopimalla menetelmällä. - On huomatta, että oikeastaan MN:llä ei tilanteesta ja käytettävistä Mobile- IP:n ominaisuuksista riippuen tarvitse edes välttämättä olla care-of-osoitetta vaan FA:n ja MN:n sijaitessa samassa aliverkossa se voi toimia ilmankin IPosoitetta. - MN tunnistaa sille osoitetun paketin ja liikenne CN:ltä MN:lle voi jatkaa etenemistä. - Paluupakettien reititykseen MN:ltä CN:lle onkin sitten ainakin kaksi eri tapaa, joihin tullaan seuraavaksi.
2.4.1 Paluupakettien reititys, versio 1 network Bi-directional IP-IP tunnel between FA and HA Bi-directional IP-IP tunnel between MN and FA Visiting Mobile Node (MN) Care Of Address(COA): 130.230.144.247 8 - Paluupakettien reititys, versio 1 l. täysi kaksisuuntainen tunnelointi on yleisin tai käytännössä helpoin tapa hoitaa paluupakettien reititys. - Tässä versiossa kaikki liikenne kiertää kotiagentin kautta myös takaisin päin. - Ongelmaksi tuleekin tässä tapauksessa tilanne, jossa ollaan lähellä CN:ää, mutta silti joudutaan kierrättämään liikenne kaukana sijaitsevan kotiagentin kautta. - Eräs tapa yrittää ratkaista tätä ongelmaa esitellään seuraavana versiona paluupakettien reitityksestä.
2.4.2 Paluupakettien reititys, versio 2 network Traffic to MN's home address encapsulated in IP-IP or GRE tunnel directed to FA handling MN. MN's return traffic to CN IP-IP tunnel between MN and FA Visiting Mobile Node (MN) Care Of Address(COA): 130.230.144.247 9 - tässä kolmioreititykseksikin mainitussa tilanteessa CN:n MN:lle lähettämät paketit kulkevat edelleen HA:n kautta, mutta paluupaketit lähetetäänkin suoraan MN:ltä CN:lle. [RFC2002] - yleisesti kuitenkin välissä olevat palomuurit ja reitittimet eivät salli outojen pakettien välitystä eteenpäin, joten tämä tapa reitittää paluupaketteja on oikeastaan jäänyt vanhaksi - ongelma sen sijaan on edelleen olemassa - Ratkaisuna ongelmaan Huiteman kirjassa on mainittu mm. uudelleenohjausviestien lähettäminen MN:ltä CN:lle, jolloin CN siirtyisikin välittämään liikennettä suoraan MN:n care-of-osoitteeseen. Tästä kuitenkin seuraa monia turvallisuusongelmia ylimääräisen signaloinnin tukemisen lisäksi. - Myöskään edellinen, täysin kaksisuuntainen reititys ei ole ratkaisu tiettyyn ongelmiin, joista muutama esitellään seuraavalla kalvolla.
3. Ongelmia! Täyden kaksisuuntaisen tunneloinnin ongelmat Entäpä, jos CN on lähellä ja HA kaukana? FA:n vaihto?! Multicast / Broadcast Multicast menettää ideansa. MN voi tilata kotiosoitteeseensa multicastliikennettä, joka sitten tunneloidaan unicast-liikenteeksi, joka saavuttaa vain MN:n. Broadcast kotiverkossa täytyy tunneloida myös suoraan MN:lle unicast-liikenteeksi ellei haluta lisää ongelmia ja turvallisuusuhkia.! Paikkariippuvaiset palvelut, paikallisten palveluiden käyttö Haetaan usein multicastilla, mistä MN hakee palveluita? Kotiverkostaan? Miten MN vieraassa verkossa ollessaan pääsee käyttämään paikallisia palveluita?! Yhdistäminen muiden teknologioiden kanssa Miten Mobile-IP:n autentikaatio ja tunneleiden operointi yhdistetään esim. IPSEC-pinon kanssa toimivaksi kokonaisuudeksi? Miten hoidetaan laajamittainen MN:ien autentikointi? 10 - CN lähellä, HA kaukana ongelmaa mietitään parhaillaan mm. Mobile-IPv6:n yhteydessä. - FA:n vaihto ongelmana tarkoittaa sitä, että jos HA on kaukana ja MN vaihtaa FA:a, tunnelit joudutaan rakentamaan uudelleen. Tähän ratkaisuna on esitelty hierarkiset vierasagentit ja uudet elementit kuten Gateway ja Leaf. - Mobile-IP:n ja IPSECin voi yhdistää hyvin helpostikin. IPSEC-yhteys vain luodaan kotiosoitteesta terminointipisteeseen. Kuitenkaan kovin monelta valmistajalta ei ole tullut yhdistettyä ratkaisua ainakaan Ipv4:n puolelle. - Autentikaatiojärjestelmien yhdistämistä on kehitetty ja määritelty koko ajan. Radiuksen korvaajaksi tarkoitettu Diameter on ollut tärkeässä osassa määrittelyjä tehdessä. Diameterin Base Protocol kuitenkin hyväksyttiin Proposed Standardiksi IESG:ssä 30.1.2003. - On myös erinäisiä drafteja kehitteillä, joissa esimerkiksi SIM-kortin ja matkapuhelinverkon autentikaatioinfrastruktuuria voitaisiin käyttää hyväksi MN<->FA<->HA -autentikoinnin yhteydessä.
4. Todellisuustarkistus! Standardointi Perus Mobile-IPv4 on IETF standardi. Työtä tehdään mip4-työryhmässä aiemmin mainittujen ongelmien ratkaisemiseksi, erityisesti VPN:n yhdistämiseksi ja mahdollisimman nopeiden saumattomien verkonvaihtojen toteuttamiseksi.! Käyttöjärjestelmätuki Virallinen valmistajatuki puuttuu (poikkeuksena Solaris), Mobile-IP -pinoja kyllä Linuxille, *BSD:lle ja Windowsille sekä ilmaisia että kaupallisia. Kaupallinen yhdistetty Mobile-IP IPSEC -pino saatavana Linuxille ja Windows Xp:lle SecGo:lta. Tällä hetkellä kaiketi ainoa yhdistetty pino. Microsoftilta ei vielä tukea käyttöjärjestelmän mukana.! Laitetuki Reitittimissä, langattomissa tukiasemissa on jo Mobile-IP -toteutuksia, mutta toteutettujen ominaisuuksien määrä vaihtelee.! Mobile-IP on jo käytössä Liikkuvissa verkoissa, IP-pohjaisissa langattomissa verkoissa (GPRS, 3G, WLAN, 4G) Mobile-IP ratkaisee jo joitain ongelmia, tulevaisuudessa varmasti vielä enemmän. CDMA2000-verkossa Mobile-IP on jo aktiivisessa käytössä, vaikka se ei suoranaisesti näy käyttäjälle. 11