《ch23 隧道技术 移动IP技术 教学课件》由会员分享,可在线阅读,更多相关《ch23 隧道技术 移动IP技术 教学课件(28页珍藏版)》请在金锄头文库上搜索。
1、隧道技术 Topologically correct/routable IP address is said to be topologically correct or routable if the host or router using that address is physically attached to the network to which that IP address belongs. For example, the IP address 137.132.21.3 with netmask 255.255.255.0 is topologically correct
2、 or routable if the host using it is physically attached to the 137.132.21.0 network. This IP address is topologically incorrect if the host is physically attached to the 137.132.88.0 network. Tunnel is a method of transporting topologically non- routable IP datagrams by encapsulating that datagram
3、in another topologically routable datagram Tunneling is a term for the process of running one network protocol on top of another1)Record route option5.4.5 为什么用隧道而不是源路由1)Record route concept2)Strict source route option2)Strict source route concept67.14.10.22 140.10.5.4 200.14.7.14140.10.6.3 140.10.5.
4、4 200.14.7.14140.10.6.3 200.14.7.9 200.14.7.14140.10.6.3 200.14.7.9 138.6.22.263)Loose source route option为什么说源路由不是一个好方案 首先,虽然Record Route 和Loose Source Option在IPv4 标准RFC 791已经定义,但是两个选项基本上从来没有 在IPv4主机中正确地实现过 其次,包含选项的IP数据包需要从源到目的地沿途所有路 由器打开带有选项的数据包进行语法分析,以防选项可能 与该路由器有关。带来性能下降快。 隧道技术只需要两台路由器:家乡代理和隧道出口
5、(外地代理或 移动节点自己)作特殊处理。 安全问题:一个坏家伙可以向移动节点的通信对端发送一 个包,将一个伪造的转交地址当作中间目的地址,通信对 端使源路由反向后,在它的应答中也将伪造的转交地址作 为中间目的地址。这时,移动节点就被从与对端的通信中 挤出去了,这个坏人可以得到移动节点的通信对端送给移 动节点的所有数据包。第6章隧道技术 IP包分片影响了隧道入口处许多封装方法的使用 如果 IP包比传送它的数据链路层的 MTU要大,在传送 前就要将 IP包分片(Fragmentation) 详细介绍移动IP中使用的三种隧道技术: IP的IP封装 ( IP in IP Encapsulation )
6、 RFC2003 最小封装 ( Minimal Encapsulation) RFC2004 通用路由封装 GRE (Generic Routing Encapsulation) RFC2784IP datagram6.1 IP分片MTU 数据链路层MTU(Maximum Transfer Unit) 为避免分片的发生,IPv4建议( IPv6则要求) 主机查明从源到目的之间路径的MTU分片的工作原理 IP FragmentationFragmentation exampleDetailed exampleIPv4如何确定路径的MTU RFC 1191 发送者先假设路径的MTU等于将用来转发数
7、据包的那条链 路的MTU。 发送者将所有的IP数据包送往目的地, IP包的Don t Fragment比特置1。 路径上任一台想对IP包进行分片的路由器因为下一跳 链路的MTU小于包的总长度域中标明的值向包的发送 者发一条ICMP Destination Unreachable 消息,其中的 Code域指明应该分片而被禁止了,同时,它将IP包丢弃 。 发送者收到ICMP报文后,将路径MTU的估计值减小,并 重新向目的地发送更小的包。 当发送者不再收到上面所述的ICMP报文时,它也就找到 了到目的地的路径MTU。6.2 IP-in-IP封装 移动IP要求家乡代理和外地代理实现IPinIP封装,
8、以实现从家乡代理到转交地址的隧道。 Home agent tunnels (encapsulates) packets to care-of address Tunnel source is the home agents address Tunnel destination is the care-of addressIP-in-IP-encapsulation (mandatory, RFC 2003)e.g. IPv6 in IPv4 (6Bone), Multicast in Unicast (Mbone) Tunnel between HA and CoA 采用IP的IP封装的隧道对
9、穿过它们的数据包来说就像一条虚拟链路 转发到它的目的地址,这时这个包的生存时间域会被减小两次,好像隧道只是连 接这两台路由器的一条链路一样。 在隧道入口对数据包进行封装以便送入隧道时,可以根据软状态变量产生ICMP报 文,送到数据包的源,而不必等到隧道入口收到来自隧道内部的ICMP报文后再进 行。 防止递归封装RFC2474 Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers6.3 最小封装 RFC2004 Minimal Encapsulation within IP
10、(optional) 最小封装的目的是减少实现隧道所需的额外字节数,可通过将IP的IP 封装中内层IP报头和外层IP报头的冗余部分去掉来完成。 e.g. TTL, IHL, version, DS (RFC 2474, old: TOS) 采用最小封装的隧道中,从隧道入口到出口的每一台路由器都会将原 始数据包的生存时间减小。因此,经过最小封装的包可能不能到达目 的地。 最小封装不能用于那些已经经过分片的原始数据包Generic Routing Encapsulation RFC2784 GRE还支持其他网络层协议,它允许采用一种协议的数据包封装在采用另一 种协议的数据包的净荷中6.4 多协议封
11、装技术11.1.6 向移动节点路由其他协议的数据包6.5 本章总结 分片是一个将IP包分成几个小块的过程,每个小块称为片 ,目的是为使IP包能通过最大传输单元MTU(Maximum Transfer Unit)小于包的总长度的链路 IP-in-IP封装,这是移动IP中一定要实现的隧道技术,所 有的家乡代理和外地代理都要支持这个技术,那些支持配 置转交地址的移动节点也应实现IP的IP封装。 最小封装和通用路由封装(GRE),这是另外两种在移动 IP的实现中可能支持的隧道技术。 最小封装只在原始数据包没有经过分片时才可以使用 GRE可以支持多种协议的封装,并有防止递归封装的特别机制。5.4.4 I
12、P包的路由与它们的源地址无关吗 IAB ( Internet Architecture Board ) 建议因 特网业务提供商对数据包依据源地址进行 过滤,过滤掉那些可能来自“非法”地方的数 据包。 这种类型的过滤称为网络入口过滤 Network Ingress Filtering 通过“反向隧道”解决了这个问题 Reverse Tunneling 见第10.3. 4节。10.3.3 入口过滤对移动IP的影响 路由器设置入口过滤以后,它会将看起来从“错误”地点到 达的数据包丢弃。 这种做法使移动IP中的一个假设失效: IP单播数据包路由 过程与源地址无关。 这样配置的路由器将会把一个连接在外地
13、链路上的移动节 点发出的数据包全部丢弃,因为它使用的源地址是它的家 乡地址,而路由器认为该地址应该位于移动节点的家乡链 路上。 这样,入口过滤严重影响到了位于外地链路上的移动节点 发出的数据包。 注意,入口过滤并不影响发往移动节点的数据包,因为隧 道IP报头中的源地址(家乡代理地址)和目的地址(转交 地址)在网络拓扑上都是正确的。Reverse Tunneling for Mobile IP 5.6. Ingress Filtering Many routers implement security policies such as “ingress filtering“ that do no
14、t allow forwarding of packets that have a Source Address which appears topologically incorrect. Ferguson, P. and D. Senie, “Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing“, BCP 38, RFC 2827, May 2000. (Obsoletes: 2267 ) In environments where th
15、is is a problem, mobile nodes may use reverse tunneling with the foreign agent supplied care-of address as the Source Address. Montenegro, G., “Reverse Tunneling for Mobile IP, revised“, RFC 3024, January 2001.(Obsoletes: 2344 ) Reverse tunneled packets will be able to pass normally through such rou
16、ters, while ingress filtering rules will still be able to locate the true topological source of the packet in the same way as packets from non-mobile nodes.10.3.4 入口过滤有关的移动IP改进 为了解决入口过滤路由器问题,移动节点 可以使用拓扑正确的隧道数据包连接自己 的家乡代理。 在 RFC 3024 中描述的上述规程,为一个 移动节点从外地代理和注册的家乡代理那 里申请一个隧道提供了一种方式。 Montenegro, G., “Reverse Tunneling for Mobile IP, revised“, RFC 3
