Funcionamiento de IP móvil: resumen
Seguridad en IP móvil
La autentificación de los mensajes de registro entre el MN y el HA es fundamental. De lo contrario un impostor podría suplantar al MN
Los mensajes de registro tienen una extensión de autentificación basada en una clave hash MD5 y un timestamp, para evitar los ‘replay attacks’.
La autentificación es obligatoria para el registro del MN en el HA y opcional en los demás casos
Comunicación de hosts de la HN con el MN
(Gp:) 147.156.135.22
A
D
B
HN: 147.156.0.0/16
FN: 152.48.0.0/16
MN
FA
HA
X
1: Un datagrama de MN a X (que está en la HN) llega sin problemas usando las rutas estándar (D-B-A).
2: Pero un datagrama de X a MN no llega: X lanza una ARP Request (buscando la MAC de X) que no es respondida. X no sabe que MN está fuera de su red.
3: Para evitarlo se utiliza el ‘Proxy ARP’: el HA ‘suplanta’ al MN y responde en su lugar a la ARP Request, anunciando su propia MAC para la IP del MN.
4: Para asegurar la rápida actualización de las ARP caches, cuando el MN se va de la HN el HA manda un mensaje ARP anunciando su dirección MAC para la IP del MN, sin esperar ningún ARP Request.
Esto se conoce como ‘Gratuitous ARP’.
(Gp:) ARP Request:
¿quién es 147.156.135.22?
Características de IP móvil
El MN y el FA deben tener comunicación a nivel de enlace, sin routers intermedios.
El túnel es unidireccional, los datagramas de vuelta (desde el MN al CN) siguen la ruta normal estándar, sin túneles (salvo que el CN sea también un MN).
Pero si los routers tienen filtros rechazarán datagramas que vengan de la FN (Foreign Network) con dirección de origen HA (Home Address); en ese caso hay que hacer el túnel bidireccional (camino de vuelta a través del HA).
Problema de IP móvil en routers con filtros
(Gp:) 147.156.135.22
A
D
C
B
Internet
Red 147.156.0.0/16
Red 152.48.0.0/16
No aceptar paquetes con IP origen ? 152.48.0.0/16
permit ip 152.48.0.0 0.0.255.255 any deny ip any any
1: El MN envía un datagrama hacia el CN siguiendo la ruta normal (D-B-C).
2: El router B revisa la dirección de origen del datagrama y lo rechaza pues no cumple la condición impuesta para esa interfaz
MN
CN
Túnel bidireccional: Solución al problema de routers con filtros
(Gp:) 147.156.135.22
A
D
C
B
Internet
Red 147.156.0.0/16
Red 152.48.0.0/16
No aceptar paquetes con IP origen ? 152.48.0.0/16
permit ip 152.48.0.0 0.0.255.255 any deny ip any any
1: MN envía a D un datagrama para CN
3: B revisa el datagrama y lo acepta pues la dirección de origen es D. Lo envía por tanto hacia A
Túnel bidireccional
4: A desencapsula el datagrama y lo envía a CN por la ruta normal
MN
CN
2: D encapsula el datagrama y lo envía hacia A a través del túnel
(Gp:) 1
(Gp:) 2
(Gp:) 3
(Gp:) 4
IP móvil sin ‘Foreign Agent’
A 147.156.0.0/16 por A
A 152.48.0.0/16 por D
A
D
C
B
Internet
A 147.156.0.0/16 por A
A 152.48.0.0/16 por D
Red 147.156.0.0/16
Red 152.48.0.0/16
Ping 147.156.135.22
Al MN se le asigna una IP de la red visitada (por DHCP u otro mecanismo)
Esta IP actúa como Care of Address (‘co-located Care of Address’)
El túnel va directamente desde el Home Agent hacia el Mobile Node
Evita establecer un FA en cada red, pero requiere disponer en la red visitada de un rango de direcciones reservado para CoA y el software del host es más complejo
(Gp:) Paquetes encapsulados
HA
(Gp:) 152.48.11.12 (CoA)
(Gp:) MN
CN
(Gp:) 147.156.135.22
(Gp:) Túnel IP de HA hacia MN
Encapsulado de IP Móvil
Túnel HA ? FA:
Túnel HA ? MN:
Túnel FA ? HA:
Túnel MN ? HA:
Datagrama original
IP origen
IP destino
Cabecera IP
original
Cabecera IP
túnel
Ida:
Vuelta:
Documentos sobre IP Móvil (IETF)
RFCs (IPv4):
IP Móvil:
RFC 2002 (10/96)
RFC 3220 (1/02)
RFC 3344 (8/02)
Encapsulado: RFC 2003, RFC 2004, RFC 1701
Aplicabilidad de IP Móvil: RFC 2005
MIBs de IP Móvil: RFC 2006
Desarrollos en curso
Optimización de ruta:
Intenta evitar el problema de la ineficiencia debida a la triangulación
El HA informa al CN de la CoA asociada con el MN para que éste cree su propio túnel directo, sin hacer uso del HA
El HA informa al CN de la nueva CoA del MN cada vez que ésta cambia
Otros desarrollos:
Seguridad y autentificación
Calidad de Servicio
IP móvil e IPv6
Aún no está estandarizado para IPv6. El borrador está en
Principales diferencias:
En vez de túneles se utiliza la cabecera de routing (de IPv6). El CN envía directamente los datagramas al MN. Esto conlleva automáticamente la optimización de ruta
La cabecera de routing resuelve también el problema de los routers con filtros sin recurrir al uso de túneles inversos
No existen ‘Foreign Agents’ (pero si ‘Home Agents’)
No se requiere el uso de Proxy ARP y Gratuitous ARP. En su lugar se emplea el protocolo ‘Neighbour Discovery’ de IPv6 (RFC 2461)
Los protocolos son más sencillos, robustos y eficientes
 Página anterior | Volver al principio del trabajo | Página siguiente  |