ch23-隧道技术-移动IP技术-教学课件.ppt

隧道技术Topologically correct/routable IP address is said to be topologically correct or routable if the host or router using that address is physically attached to the network to which that IP address belongs.For example,the IP address 137.132.21.3 with netmask 255.255.255.0 is topologically correct or routable if the host using it is physically attached to the 137.132.21.0 network.This IP address is topologically incorrect if the host is physically attached to the 137.132.88.0 network.Tunnel is a method of transporting topologically non-routable IP datagrams by encapsulating that datagram in another topologically routable datagramTunneling is a term for the process of running one network protocol on top of another1)Record route option5.4.5 为什么用隧道而不是源路由1)Record route concept2)Strict source route concept67.14.10.22140.10.5.4200.14.7.14140.10.6.3140.10.5.4200.14.7.14140.10.6.3200.14.7.9200.14.7.14140.10.6.3200.14.7.9138.6.22.263)Loose source route option为什么说源路由不是一个好方案首先，虽然Record Route 和Loose Source Option在IPv4标准RFC 791已经定义，但是两个选项基本上从来没有在IPv4主机中正确地实现过其次，包含选项的IP数据包需要从源到目的地沿途所有路由器打开带有选项的数据包进行语法分析，以防选项可能与该路由器有关。带来性能下降快。隧道技术只需要两台路由器：家乡代理和隧道出口（外地代理或移动节点自己）作特殊处理。安全问题：一个坏家伙可以向移动节点的通信对端发送一个包，将一个伪造的转交地址当作中间目的地址，通信对端使源路由反向后，在它的应答中也将伪造的转交地址作为中间目的地址。这时，移动节点就被从与对端的通信中挤出去了，这个坏人可以得到移动节点的通信对端送给移动节点的所有数据包。IP datagram6.1 IP分片MTU 数据链路层MTU（Maximum Transfer Unit）为避免分片的发生，IPv4建议(IPv6则要求)主机查明从源到目的之间路径的MTU分片的工作原理IP FragmentationDetailed example6.2 IP-in-IP封装移动IP要求家乡代理和外地代理实现IPinIP封装，以实现从家乡代理到转交地址的隧道。Home agent tunnels(encapsulates)packets to care-of addressTunnel source is the home agents addressTunnel destination is the care-of addressRFC2474 Definition of the Differentiated Services Field(DS Field)in the IPv4 and IPv6 Headers6.3 最小封装RFC2004 Minimal Encapsulation within IP(optional)最小封装的目的是减少实现隧道所需的额外字节数，可通过将IP的IP封装中内层IP报头和外层IP报头的冗余部分去掉来完成。e.g.TTL,IHL,version,DS(RFC 2474,old:TOS)采用最小封装的隧道中，从隧道入口到出口的每一台路由器都会将原始数据包的生存时间减小。因此，经过最小封装的包可能不能到达目的地。最小封装不能用于那些已经经过分片的原始数据包Generic Routing Encapsulation RFC2784GRE还支持其他网络层协议，它允许采用一种协议的数据包封装在采用另一种协议的数据包的净荷中6.4 多协议封装技术11.1.6 向移动节点路由其他协议的数据包6.5 本章总结分片是一个将IP包分成几个小块的过程，每个小块称为片，目的是为使IP包能通过最大传输单元MTU（Maximum Transfer Unit）小于包的总长度的链路IP-in-IP封装，这是移动IP中一定要实现的隧道技术，所有的家乡代理和外地代理都要支持这个技术，那些支持配置转交地址的移动节点也应实现IP的IP封装。最小封装和通用路由封装（GRE），这是另外两种在移动IP的实现中可能支持的隧道技术。最小封装只在原始数据包没有经过分片时才可以使用GRE可以支持多种协议的封装，并有防止递归封装的特别机制。5.4.4 IP包的路由与它们的源地址无关吗IAB(Internet Architecture Board)建议因特网业务提供商对数据包依据源地址进行过滤，过滤掉那些可能来自“非法”地方的数据包。这种类型的过滤称为网络入口过滤Network Ingress Filtering通过“反向隧道”解决了这个问题Reverse Tunneling见第10.3.4节。Reverse Tunneling for Mobile IP5.6.Ingress FilteringMany routers implement security policies such as ingress filtering“that do not allow forwarding of packets that have a Source Address which appears topologically incorrect.Ferguson,P.and D.Senie,Network Ingress Filtering:Defeating Denial of Service Attacks which employ IP Source Address Spoofing,BCP 38,RFC 2827,May 2000.(Obsoletes:2267)In environments where this is a problem,mobile nodes may use reverse tunneling with the foreign agent supplied care-of address as the Source Address.Montenegro,G.,Reverse Tunneling for Mobile IP,revised,RFC 3024,January 2001.(Obsoletes:2344)Reverse tunneled packets will be able to pass normally through such routers,while ingress filtering rules will still be able to locate the true topological source of the packet in the same way as packets from non-mobile nodes.10.3.4 入口过滤有关的移动IP改进为了解决入口过滤路由器问题，移动节点可以使用拓扑正确的隧道数据包连接自己的家乡代理。在 RFC 3024 中描述的上述规程，为一个移动节点从外地代理和注册的家乡代理那里申请一个隧道提供了一种方式。Montenegro,G.,Reverse Tunneling for Mobile IP,revised,RFC 3024,January 2001.(Obsoletes:2344)Reverse Tunneling for Mobile IP1.代理搜索扩展外地代理一直在周期性地发送代理广播，它通过在移动代理广播扩展中的T比特表明自己对反向隧道的支持。希望建立反向隧道的移动节点可以从带有 T比特置位的代理广播中发现适当的外地代理。2.注册扩展希望与自己的家乡代理建立反向隧道的移动节点将“注册请求“中新定义的T比特置位。外地代理和家乡代理按照正常方式处理该注册请求。如果都不支持反向隧道，它们会拒绝该注册，并在Code域中注明原因。如果外地代理和家乡代理要求采用反向隧道，而移动节点却没有申请，那么外地代理或家乡代理也会拒绝该请求，并在Code域中注明原因。在外地代理隶属的服务提供商正在进行入口过滤的情况下，外地代理会坚持要求移动节点使用反向隧道。除了T比特外，RFC 3012中还定义了一个经类型-长度-数据编码的新扩展，以便移动节点使用外地代理转交地址来限定移动节点希望在外地链路上投递数据包的方式。一种方法是直接发送，另外一种方法是使用隧道。Reverse Tunneling for Mobile IP4.总结反向隧道可以解决入口过滤给移动IP带来的问题。当移动节点注册时，可以申请反向隧道服务，将自己产生的数据包进行隧道封装后再送到家乡代理。隧道封装工作可以由外地代理完成，也可以由移动节点自己完成。隧道（外层）报头的IP源地址和目的地址在拓扑上都是正确的，所以不会被入口过滤机制丢弃掉。