Verkkotekniikan jatkokurssi Mobile IPv4 26.1.2006

Samankaltaiset tiedostot
Liikkuvien isäntäkoneiden reititys

5. Mobile IP (RFC 3220)

Liikkuvien isäntäkoneiden reititys

IP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?

Monilähetysreititys (multicast routing)

Monilähetysreititys (multicast routing)

Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

Yksi puu koko ryhmälle

TAMPEREEN AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma Tietoliikennetekniikka. Tutkintotyö. Jari Kuusisto. MOBILE IPv6

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

Piiponniemi Petri. Mobiili-IP

Reititys 3. Multihoming, liikkuvuudenhallinta ja vielä vähän muutakin reitityksestä. luvut 18 ja verkkolähteet

Tällä kerralla esitellään. Uutuudet. Reaaliaikainen tiedonsiirto. Äänen ja videon siirto. Session Initiation Protocol (SIP) IP-puhelin

Dynamo-Sovellusprojekti. Vaatimusmäärittely

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Multihoming ja liikkuvuudenhallinta

Luennon runko. TLT-2600 Verkkotekniikan jatkokurssi. DNS: nimestä osoitteeksi. DNS: nimestä osoitteeksi (2)

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

WL54AP2. Langattoman verkon laajennusohje WDS

Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

ITKP104 Tietoverkot - Teoria 3

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Uutuudet. Tosiaikapalvelut Liikkuvuus. Sanna Liimatainen T Tietokoneverkot

Kysymykset, vastaukset ja tarjouspyynnön tarkennukset

Dynamo-Sovellusprojekti. Testausraportti. Tero Hätinen Joni Purojärvi Antti Pyykkönen

Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

Chapter 4 Network Layer

Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet

Dynamo-Sovellusprojekti. Vaatimusmäärittely. Tero Hätinen Joni Purojärvi Antti Pyykkönen

Dynamo-Sovellusprojekti. Testaussuunnitelma. Tero Hätinen Joni Purojärvi Antti Pyykkönen

TW- LTE REITITIN: GRE- OHJEISTUS

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Tomi Stolpe Versio ALI- JA YLIVERKOTTAMINEN. Esim. C-luokan verkko on aliverkotettu, 3 bittiä käytetty Aliverkottamiseen.

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

100 % Kaisu Keskinen Diat

Pikaohje IPv6-ominaisuuksiin FreeBSD-järjestelmässä Päivitetty Niko Suominen

IPv6 - Ominaisuudet ja käyttöönotto

Redundanttisuus kontrolleripohjaisessa langattomassa lähiverkossa. Hakkarainen, Joni Vanhala, Pasi

Dynamo-Sovellusprojekti. Testaussuunnitelma. Tero Hätinen Joni Purojärvi Antti Pyykkönen

Liikkuvuudenhallinnan haasteita Proxy Mobile IPv6 -verkossa

Dynamo-Sovellusprojekti. Testaussuunnitelma. Tero Hätinen Joni Purojärvi Antti Pyykkönen

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

Dynamo-Sovellusprojekti. Vaatimusmäärittely. Tero Hätinen Joni Purojärvi Antti Pyykkönen

Verkkoinformaation välittämiseen isäntäkoneiden ja reitittimien välillä

Foscam kameran asennus ilman kytkintä/reititintä

Sovelluskerros. Sovelluskerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros

KAIKKI LAITTEET KÄYNNISTETÄÄN UUDELLEEN ENNEN TARKISTUSTA

TW- EAV510 v2: WDS- TOIMINTO KAHDEN TW- EAV510 V2 LAITTEEN VÄLILLÄ

TCP/IP-protokollapino. Verkkokerros ja Internetprotokolla. Sisältö. Viime luennolla. Matti Siekkinen

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

Vuonimiö on pelkkä tunniste

Vuonimiö on pelkkä tunniste

... Laajennusotsakkeet. Reititysotsake. Vuonimiö on pelkkä tunniste. Vuonimiöiden käsittely solmuissa

Future Internet. Markus Peuhkuri Funet tekniset päivät Aalto-yliopisto Tietoliikenne- ja tietoverkkotekniikan laitos

Johdanto Internetin reititykseen

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

TW- EAV510 JA TW- LTE REITITIN: WDS- VERKKO

Service Level Agreement. Service Level Agreement. IP verkkopalvelu. S Verkkopalvelujen tuotanto Luento 1: Service Level Agreement

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

Internet ja tietoverkot 2015 Harjoitus 7: Kertaus

Kaikki analogiset järjestelmät digitaalisiksi ja verkkokäyttöisiksi - jo tänään Kustannustekkuutta ja joustavuutta työskentelyyn

Internet perusteet. Analyysin tasot

Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Linux palomuurina (iptables) sekä squid-proxy

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

Verkkokerros ja Internet Protocol. kirja sivut

Kuljetus- ja verkkokerrokset. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

TW- EAV510/TW- EAV510AC: GRE- OHJEISTUS

Langattoman kotiverkon mahdollisuudet

Asennusopas. Huomautus. Observit RSS

Johdanto Internetin reititykseen

Kytkimet, reitittimet, palomuurit

Diplomityöseminaari

T Harjoitustyöluento

Salatun sähköpostipalvelun käyttöohje

T Tietokoneverkot

Opas vuoden 2019 maailmanlaajuisen vuosikonferenssin lippujen lunastamisesta

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Internet-protokolla versio 6. Miksi vaihtaa? Luennon sisältö. Comer luku 31, 30 (vanha kirja ss ) Internet Protocol (IPv6)

Reititys 3 9/20/11. Luennon sisältö. Multihoming. Liikkuvuus ja saavutettavuus. Multihoming moniliitännäinen? monikotinen?

Siirtyminen IPv6 yhteyskäytäntöön

Yleinen ohjeistus Linux tehtävään

Opinnäytetyön loppuseminaari

TW- EAV510 v2: WDS- TOIMINTO TW- EAV510 V2 LAITTEEN ja TW- LTE REITITTIMEN VÄLILLÄ. Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla

Nebula pilvi 9.0 saatavuusalueiden välinen verkkoliikenne

Langaton Tampere yhteisötukiaseman liittäminen

T Tietokoneverkot : Reititys sisäverkossa

1 NETIKKA PUHENETTI -PALVELUIDEN KÄYTTÖÖNOTTO-OHJE Palvelut Käyttö Yleisimmät ongelmat Yhteystietoja...

Internet Protocol version 6. IPv6

Transkriptio:

Verkkotekniikan jatkokurssi Mobile IPv4 26.1.2006 Karri Huhtanen <karri.huhtanen@tut.fi> 1

Sisältö! 1. Arkkitehtuuri ja terminologia! 2. Toiminta 2.1 Toiminta kotiverkossa 2.2 Siirtyminen vieraaseen verkkoon 2.3 Rekisteröityminen 2.4 Toiminta vieraassa verkossa! 2.4.1 Paluupakettien reititys, versio 1! 2.4.2 Paluupakettien reititys, versio 2! 3. Ongelmia! 4. Todellisuustarkistus 2

1. Arkkitehtuuri ja terminologia network Mobile Node (MN) Visiting Mobile Node (MN) Care Of Address (CoA): 130.230.144.247 3 - Mobiilipääte (MN) vierailee/vaeltaa (roams) koti- ja vierasverkkojen välillä. - MN rekisteröi kotiosoitteensa kotiagentille - vieraillessan vierasverkossa se voi saada ko. Verkosta väliaikaisen välitysosoitteen (care of address, COA) - Kotiagentti sijaitsee kotiverkossa ja huolehtii koti- ja välitysosoitteiden (COA) rekisteröinnistä, mobiilipäätteiden (MN) sijainnista sekä liikenteen välittämisestä tarvittaessa eteenpäin mobiilipäätteille. - Vierasagentti palvelee vierailevia mobiilipäätteitä (MN) mm. - välittämällä rekisteröinti- ja välitysosoitteen päivitysviestit kotiagentille. - purkamalla niille osoitetusta liikenteestä välitykseen käytetyn ylimääräisen kehystyksen. - Nodella (CN) tarkoitetaan mitä tahansa mobiilipäätteen kotiosoitteen kanssa liikennöivää osapuolta.

2.1 Toiminta kotiverkossa network Mobile Node (MN) 4 - Kotiagentti lähettää agenttimainoksia, jotka ovat laajennettuja reititinmainoksia lähetettynä säännöllisin väliajoin multicastin avulla. - timainoksessa on mm. seuraavaa informaatiota: - sekvenssinumero - rekisteröinnin elinaika - lippuja, jotka kertovat onko kyse FA/HA:sta, tuetut IP-paketoinnit - yksi tai useampia välitysosoitteita (COA) - standardiosassa mainostettujen prefiksien pituus - Mobiilipääte (MN) tarkkailee agenttimainoksia selvittääkseen onko kyseessä sen oma kotiverkko vai vieras verkko. - Kotiverkossa ollessaan MN peruu kotiagentille rekisteröinnin normaalin reitityksen varmistamiseksi - Kuvassa MN on aloittanut kotiverkossa kommunikoinnin (sininen viiva) toisaalla sijaitsevan koneen ( Node) kanssa kotiosoitteellaan 130.230.52.82.

2.2 Siirtyminen vieraaseen verkkoon network Mobile Node (MN) Visiting Mobile Node (MN) DHCP address: 130.230.144.247 5 - MN jättää kotiverkon siirtyen vieraasen verkkoon ja saa sieltä esimerkiksi DHCP:n avulla uuden osoitteen itselleen. - Liikenne CN:ltä ja MN:lle reitittyy reitityssääntöjen mukaisesti kotiverkon reitittimelle, mutta ei toistaiseksi siitä eteenpäin, koska MN:n kotiosoitetta ei tunnusta mikään kone/reititin osaavansa. - MN tunnistaa joko siirtotien muutoksista (esim. langattoman signaalin voimakkuudesta) tai FA:n agenttimainoksista vaihtaneensa verkkoa. - MN havaitessaan itse vaihtaneensa verkkoa lähettää router ICMP router solicitation requestin, joka saa FA:n vastaamaan suoraan MN:lle osoitetulla agenttimainoksella - Kuultu agenttimainos saa MN:n aloittamaan rekisteröitymisen.

Mobile Node Prepares registration 2.3 Rekisteröityminen Registration request (RequestID, MN home address, HA address, COA address, Process auth. Info etc.) Relayed registration request Grant / Deny Process Registration reply (RequestID, Grant/Deny, lifetime, MN home address, HA address, auth. Info etc.) Registration reply (RequestID, Grant/Deny, lifetime, MN home address, HA address, auth. Info etc.) 6 - kuva mukaillen kirjaa Huitema: Routing in the s. 319-320, kirjasta löytyy myös tarkemmat pakettien sisällöt - MN lähettää UDP-rekisteröintipyynnön FA:n porttiin 434 - FA välittää eteenpäin HA:lle, joka tekeepäätöksen pyynnön sallimisesta/hylkäämisestä - Vastaus välitetään FA:n kautta takaisin MN:lle, jolloin FA voi vaikuttaa vielä HA:n ratkaisuun - Hylätyssä vastauksessa välitetään myös syy hylkäykseen ja tieto siitä, tekikö päätöksen FA vai HA - Väärennettyjä agentteja ja viestejä vastaan varaudutaan luomalla turvallisuusassosiaatioita MN, FA ja HA:n kesken ja käyttämällä viesteissä NTP-aikaleimoja ja nonceja. - Onnistuneen rekisteröinnin jälkeen HA tietää missä osoitteessa MN on ja osaa ohjata MN:n kotiosoitteeseen osoitetun liikenteen perille proxy-arpin ja IP-IP-tunneleiden avulla

2.4 Toiminta vieraassa verkossa network Traffic to MN's home address encapsulated in IP-IP or GRE tunnel directed to FA handling MN. Traffic with the HA-FA -encapsulation removed by FA encapsulated in FA-MN IP-IP tunnel Visiting Mobile Node (MN) Care Of Address(COA): 130.230.144.247 7 - MN on nyt rekisteröitynyt HA:lle ja HA:lla on tiedossa MN:n care-of-osoite. - MN seuraa edelleen agenttimainostuksia ja sekvenssinumeron (jos alle 256) sekä tietysti rekisteröitymisen elinajan mukaan käynnistää uudelleen rekisteröitymisen tarvittaessa. - HA mainostaa nyt osaavansa reitittää MN:n kotiosoitteeseen liikennettä ja liikenne CN:ltä voi jatkaa matkaansa HA:lle asti. - HA paketoi MN:n kotiosoitteeseen osoitetun liikenteen IP-IP- (RFC2003, RFC2004) tai GRE (RFC1701) -tunneliin, jota pitkin liikenne pääsee FA:lle asti. - FA purkaa ylimääräisen kehystyksen alkuperäisen paketin ympäriltä ja tuuppaa paketin paikalliseen (vieraaseen verkkoon) sellaisenaan tai kehystettynä FA:n ja MN:n keskenään sopimalla menetelmällä. - On huomatta, että oikeastaan MN:llä ei tilanteesta ja käytettävistä Mobile- IP:n ominaisuuksista riippuen tarvitse edes välttämättä olla care-of-osoitetta vaan FA:n ja MN:n sijaitessa samassa aliverkossa se voi toimia ilmankin IPosoitetta. - MN tunnistaa sille osoitetun paketin ja liikenne CN:ltä MN:lle voi jatkaa etenemistä. - Paluupakettien reititykseen MN:ltä CN:lle onkin sitten ainakin kaksi eri tapaa, joihin tullaan seuraavaksi.

2.4.1 Paluupakettien reititys, versio 1 network Bi-directional IP-IP tunnel between FA and HA Bi-directional IP-IP tunnel between MN and FA Visiting Mobile Node (MN) Care Of Address(COA): 130.230.144.247 8 - Paluupakettien reititys, versio 1 l. täysi kaksisuuntainen tunnelointi on yleisin tai käytännössä helpoin tapa hoitaa paluupakettien reititys. - Tässä versiossa kaikki liikenne kiertää kotiagentin kautta myös takaisin päin. - Ongelmaksi tuleekin tässä tapauksessa tilanne, jossa ollaan lähellä CN:ää, mutta silti joudutaan kierrättämään liikenne kaukana sijaitsevan kotiagentin kautta. - Eräs tapa yrittää ratkaista tätä ongelmaa esitellään seuraavana versiona paluupakettien reitityksestä.

2.4.2 Paluupakettien reititys, versio 2 network Traffic to MN's home address encapsulated in IP-IP or GRE tunnel directed to FA handling MN. MN's return traffic to CN IP-IP tunnel between MN and FA Visiting Mobile Node (MN) Care Of Address(COA): 130.230.144.247 9 - tässä kolmioreititykseksikin mainitussa tilanteessa CN:n MN:lle lähettämät paketit kulkevat edelleen HA:n kautta, mutta paluupaketit lähetetäänkin suoraan MN:ltä CN:lle. [RFC2002] - yleisesti kuitenkin välissä olevat palomuurit ja reitittimet eivät salli outojen pakettien välitystä eteenpäin, joten tämä tapa reitittää paluupaketteja on oikeastaan jäänyt vanhaksi - ongelma sen sijaan on edelleen olemassa - Ratkaisuna ongelmaan Huiteman kirjassa on mainittu mm. uudelleenohjausviestien lähettäminen MN:ltä CN:lle, jolloin CN siirtyisikin välittämään liikennettä suoraan MN:n care-of-osoitteeseen. Tästä kuitenkin seuraa monia turvallisuusongelmia ylimääräisen signaloinnin tukemisen lisäksi. - Myöskään edellinen, täysin kaksisuuntainen reititys ei ole ratkaisu tiettyyn ongelmiin, joista muutama esitellään seuraavalla kalvolla.

3. Ongelmia! Täyden kaksisuuntaisen tunneloinnin ongelmat Entäpä, jos CN on lähellä ja HA kaukana? FA:n vaihto?! Multicast / Broadcast Multicast menettää ideansa. MN voi tilata kotiosoitteeseensa multicastliikennettä, joka sitten tunneloidaan unicast-liikenteeksi, joka saavuttaa vain MN:n. Broadcast kotiverkossa täytyy tunneloida myös suoraan MN:lle unicast-liikenteeksi ellei haluta lisää ongelmia ja turvallisuusuhkia.! Paikkariippuvaiset palvelut, paikallisten palveluiden käyttö Haetaan usein multicastilla, mistä MN hakee palveluita? Kotiverkostaan? Miten MN vieraassa verkossa ollessaan pääsee käyttämään paikallisia palveluita?! Yhdistäminen muiden teknologioiden kanssa Miten Mobile-IP:n autentikaatio ja tunneleiden operointi yhdistetään esim. IPSEC-pinon kanssa toimivaksi kokonaisuudeksi? Miten hoidetaan laajamittainen MN:ien autentikointi? 10 - CN lähellä, HA kaukana ongelmaa mietitään parhaillaan mm. Mobile-IPv6:n yhteydessä. - FA:n vaihto ongelmana tarkoittaa sitä, että jos HA on kaukana ja MN vaihtaa FA:a, tunnelit joudutaan rakentamaan uudelleen. Tähän ratkaisuna on esitelty hierarkiset vierasagentit ja uudet elementit kuten Gateway ja Leaf. - Mobile-IP:n ja IPSECin voi yhdistää hyvin helpostikin. IPSEC-yhteys vain luodaan kotiosoitteesta terminointipisteeseen. Kuitenkaan kovin monelta valmistajalta ei ole tullut yhdistettyä ratkaisua ainakaan Ipv4:n puolelle. - Autentikaatiojärjestelmien yhdistämistä on kehitetty ja määritelty koko ajan. Radiuksen korvaajaksi tarkoitettu Diameter on ollut tärkeässä osassa määrittelyjä tehdessä. Diameterin Base Protocol kuitenkin hyväksyttiin Proposed Standardiksi IESG:ssä 30.1.2003. - On myös erinäisiä drafteja kehitteillä, joissa esimerkiksi SIM-kortin ja matkapuhelinverkon autentikaatioinfrastruktuuria voitaisiin käyttää hyväksi MN<->FA<->HA -autentikoinnin yhteydessä.

4. Todellisuustarkistus! Standardointi Perus Mobile-IPv4 on IETF standardi. Työtä tehdään mip4-työryhmässä aiemmin mainittujen ongelmien ratkaisemiseksi, erityisesti VPN:n yhdistämiseksi ja mahdollisimman nopeiden saumattomien verkonvaihtojen toteuttamiseksi.! Käyttöjärjestelmätuki Virallinen valmistajatuki puuttuu (poikkeuksena Solaris), Mobile-IP -pinoja kyllä Linuxille, *BSD:lle ja Windowsille sekä ilmaisia että kaupallisia. Kaupallinen yhdistetty Mobile-IP IPSEC -pino saatavana Linuxille ja Windows Xp:lle SecGo:lta. Tällä hetkellä kaiketi ainoa yhdistetty pino. Microsoftilta ei vielä tukea käyttöjärjestelmän mukana.! Laitetuki Reitittimissä, langattomissa tukiasemissa on jo Mobile-IP -toteutuksia, mutta toteutettujen ominaisuuksien määrä vaihtelee.! Mobile-IP on jo käytössä Liikkuvissa verkoissa, IP-pohjaisissa langattomissa verkoissa (GPRS, 3G, WLAN, 4G) Mobile-IP ratkaisee jo joitain ongelmia, tulevaisuudessa varmasti vielä enemmän. CDMA2000-verkossa Mobile-IP on jo aktiivisessa käytössä, vaikka se ei suoranaisesti näy käyttäjälle. 11

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute