Tải bản đầy đủ (.pdf) (74 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Nghiên cứu về MobileIP và triển khai giải pháp bảo mật với IPSec trên GNS3

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.81 MB, 74 trang )

BỘ THƠNG TIN VÀ TRUYỀN THƠNG
HỌC VIỆN BƯU CHÍNH VIỄN THÔNG
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

NGHIÊN CỨU BẢO MẬT DỮ LIỆU ĐỐI VỚI
MOBILE IP
Ngành: An ninh thông tin
Mã số:

Sinh viên thực hiện:
1. Mã SV:

Họ và tên: Nguyễn Trọng Đạt

Hà Nội, 2022
i


MỤC LỤC
MỤC LỤC .................................................................. Error! Bookmark not defined.
Danh mục kí hiệu và viết tắt.................................................................................. iv
Danh mục hình vẽ.................................................................................................... v
Danh mục bảng ...................................................................................................... vii
Lời Cảm ơn ........................................................................................................... viii
Lời nói đầu .............................................................................................................. ix
Chương 1. Tổng quan mobile ip ............................................................................ 1
1.1. Khái niệm cơ bản .......................................................................................... 1
1.2. Giao thức Mobile IPv4 .................................................................................. 3
1.2.1. Phát hiện agent ...................................................................................... 3


1.2.2. Quá trình đăng ký .................................................................................. 6
1.2.3. Tạo đường hầm ...................................................................................... 9
1.3. Giao thức Mobile IPv6 ................................................................................ 10
1.3.1. Các tùy chọn trong Mobile IPv6.......................................................... 10
1.3.2. Cấu trúc dữ liệu ................................................................................... 11
1.4. Cơ chế định tuyến gói tin trong Mobile IP ................................................. 11
1.4.1. Định tuyến gói tin bởi MN ................................................................... 11
1.4.2. Định tuyến gói tin bởi HA .................................................................... 12
1.4.3. Định tuyến gói tin bởi FA .................................................................... 13
1.5. Đánh giá về Mobile IPv4 và Mobile IPv6 .................................................. 14
1.5.1. Mobile IPv4.......................................................................................... 14
1.5.2. Mobile IPv6.......................................................................................... 16
1.6. Kết luận chương 1 ....................................................................................... 16
Chương 2. Nghiên cứu vấn đề bảo mật trong MOBILE IP .............................. 17
2.1. Các yêu cầu bảo mật thông tin trên mạng ................................................... 17
2.2. Các nguy cơ mất an ninh trong Mobile IP .................................................. 17
2.2.1. Tấn công từ chối dịch vụ ..................................................................... 17
2.2.2. Tấn công phát lại ................................................................................. 19
2.2.3. Tấn công chiếm phiên liên lạc ............................................................. 19
2.2.4. Nghe lén thụ động ................................................................................ 20
2.3. Các giải pháp tăng cường an ninh cho Mobile IP ....................................... 21
2.3.1. Giải pháp xác thực và phân quyền với giao thức AAA ....................... 21
2.3.2. Bảo mật dữ liệu Mobile IP với IPSec .................................................. 22
2.3.3. Cơ chế chống lại định tuyến tối ưu ...................................................... 35
2.3.4. Tường lửa và lọc gói tin ...................................................................... 37
2.3.5. Tạo địa chỉ Mobile IPv6 từ mật mã khóa cơng khai ........................... 37
2.4. Kết luận chương .......................................................................................... 41
Chương 3. Cài đặt, thử nghiệm bảo vệ dữ liệu Mobile IP................................. 43
ii



3.1. Giới thiệu Site-Site VPN với IPSec ............................................................ 43
3.2. Triển khai, cài đặt bảo mật dữ liệu trong Mobile IP ................................... 44
3.2.1. Mơ hình mạng Mobile IP ..................................................................... 44
3.2.2. Cài đặt và cấu hình Mobile IP các node ............................................. 45
3.2.3. Cài đặt và cấu hình IP SEC VPN ........................................................ 54
Kết luận .................................................................................................................. 64
Tài liệu tham khảo................................................................................................. 65

iii


DANH MỤC KÍ HIỆU VÀ VIẾT TẮT
AH

Authentication Header

ARP

Address Resolution Protocol

CoA

Care of Address

DHCP

Dynamic Host Configuration Protocol

ESP


Encapsulating Security Payload

GRE

Generic Routing Encapsulation

ICMP

Internet Control Message Protocol

ICV

Integrity Check Value

IETF

Internet Engineering Task Force

IKE

Internet Key Exchange

IP

Internet Protocol

ISP

Internet Service Provider


NAT

Network Address Translators

SA

Security Association

TCP

Transmission Control Protocol

TTL

Time To Live

UDP

User Datagram Protocol

VPN

Virtual Private Network

iv


DANH MỤC HÌNH VẼ
Hình 1.1: Cấu trúc bản tin Agent Advertisement...................................................... 4

Hình 1.2: Cấu trúc bản tin Agent Solicitation ........................................................... 6
Hình 1.3: Mobile Node đăng ký gián tiếp ................................................................. 7
Hình 1.4: Mobile Node đăng ký trực tiếp ................................................................. 8
Hình 1.5: Cấu trúc bản tin Registration Request ...................................................... 8
Hình 1.6: Cấu trúc bản tin Registration Reply .......................................................... 9
Hình 1.7: Các cách để đặt HA trên mạng chủ......................................................... 13
Hình 2.1: Kẻ tấn cơng sử dụng DDos ..................................................................... 18
Hình 2.2: Replay Attack .......................................................................................... 19
Hình 2.3: Session hjacking ...................................................................................... 20
Hình 2.4: Cấu trúc trong IPSec ............................................................................... 23
Hình 2.5: AH trong Transport Mode....................................................................... 24
Hình 2.6: AH trong Tunnel Mode ........................................................................... 25
Hình 2.7: ESP trong Transport Mode ..................................................................... 28
Hình 2.8: ESP trong Tunnel Mode.......................................................................... 28
Hình 2.9: Hoạt động của IPSec ............................................................................... 33
Hình 2.10: Mơ hình triển khai MN - HA ................................................................ 35
Hình 2.11: Định tuyến tối ưu .................................................................................. 35
Hình 2.12: Ví dụ về tường lửa ................................................................................ 37
Hình 3.1 Mơ hình mạng VPN truy nhập từ xa ........................................................ 43
Hình 3.2: Mơ hình triển khai Mobile IP.................................................................. 44
Hình 3.3: Hiển thị địa chỉ cấu hình IP trên R2 ........................................................ 46
Hình 3.4: Hiển thị cấu hình định tuyến IP trên R2 ................................................ 46
Hình 3.5: Hiển thị cấu hình địa chỉ IP trên HA....................................................... 47
Hình 3.6: Hiển thị cấu hình định tuyến IP trên HA ................................................ 48
Hình 3.7: Hiển thị cấu hình Mobile IP trên HA ...................................................... 48
Hình 3.8: Hiển thị cấu hình IP trên FA1 ................................................................. 49
Hình 3.9: Hiển thị cấu hình định tuyến IP trên FA1 ............................................... 49
Hình 3.10: Hiển thị cấu hình Mobile IP trên FA1 .................................................. 50
Hình 3.11: Hiển thị cấu hình địa chỉ IP trên FA2 ................................................... 51
Hình 3.12: Hiển thị cấu hình định tuyến IP trên FA2 ............................................. 51

Hình 3.13: Hiển thị cấu hình Mobile trên FA2 ....................................................... 51
Hình 3.14: Hiển thị cấu hình địa chỉ IP trên CN ..................................................... 52
v


Hình 3.15: Hiển thị cấu hình địa chỉ IP trên MN .................................................... 53
Hình 3.16: Hiển thị cấu hình định tuyến IP trên MN.............................................. 53
Hình 3.17: Hiển thị cấu hình Mobile IP trên MN ................................................... 54

vi


DANH MỤC BẢNG
Bảng 1: Bảng địa chỉ IP trên các Router ................................................................. 45

vii


LỜI CẢM ƠN
Trong quá trình thực hiện đồ án tốt nghiệp này, tơi đã nhận được sự giúp đỡ
tận tình của cán bộ hướng dẫn, sự quan tâm sâu sát của cán bộ Hệ quản lý sinh viên,
sự động viên của người thân và bạn bè.
Xin cảm ơn tất cả mọi người đã tạo những điều kiện tốt nhất để tơi hồn thành
đồ án tốt nghiệp này.
SINH VIÊN THỰC HIỆN ĐỒ ÁN

viii


LỜI NĨI ĐẦU

Internet và truyền thơng di động và khơng dây đang phát triển một cách nhanh
chóng. Trong đó, các thông tin và dịch vụ được triển khai thông qua giao thức IP
chiếm ưu thế. Nhu cầu duy trì liên tục các kết nối IP của các thiết bị di động trở nên
hết sức cần thiết. Giao thức Mobile IP đã ra đời và được đưa vào ứng dụng để đáp
ứng nhu cầu này.
Mục tiêu của Mobile IP là hỗ trợ khả năng kết nối IP khi các thiết bị di chuyển
trong liên mạng với kết nối không dây nên vấn đề bảo mật dữ liệu là rất quan trọng.
Đề tài sẽ đi vào nghiên cứu Mobilie IP như là sự hỗ trợ cho kết nối IP của các
thiết bị không cố định và vấn đề bảo mất dữ liệu gắn liền với giao thức này.
Mục tiêu đặt ra khi thực hiện đồ án là:
1. Nghiên cứu tổng quan về Mobile IP.
2. Nghiên cứu về vấn đề bảo mật trong Mobile IP.
3. Cài đặt, thử nghiệm bảo vệ dữ liệu Mobile IP với công nghệ bảo mất SiteSite VPN
.
Sau thời gian khoảng ba tháng thực hiện đồ án, các mục tiêu về cơ bản đã đạt
được. Tuy nhiên mật mã là lĩnh vực khoa học phức tạp, thời gian thực hiện đồ án
tương đối ngắn nên chắc chắn không tránh khỏi thiếu sót. Rất mong được sự góp ý
của các thầy cô, cũng như các bạn học viên để đồ án này được hoàn thiện hơn.
SINH VIÊN THỰC HIỆN ĐỒ ÁN

ix


CHƯƠNG 1. TỔNG QUAN MOBILE IP
1.1. Khái niệm cơ bản
Mobile IP là một giao thức của IETF giúp người dùng với thiết bị di động có
thể di chuyển từ mạng này sang mạng khác mà vẫn duy trì được kết nối đang diễn
ra. Mobile IP trở thành giao thức không thể thiếu trong thế giới di động, trong công
nghệ tương lai (cơng nghệ 4G). Mobile IP có rất nhiều mở rộng và phát triển khác
nhau như Mobile IPv4, Mobile IPv6, Fast Mobile IP, Multiple CoA Mobile IP,…

Mobile IP cho phép các node tiếp tục nhận dữ liệu mà không quan tâm đến vị
trí kết nối của node vào mạng Internet. Mobile IP cung cấp các bản tin điều khiển
cho phép các thành phần trong mạng cập nhật các bảng định tuyến một cách tin cậy.
Mobile IP được triển khai mà khơng cần có bất cứ một u cầu nào với các tầng vật
lý và liên kết dữ liệu, vì vậy Mobile IP độc lập với các công nghệ truy cập không
dây [1].
Một số khái niệm cơ bản trong Mobile IP:
- Mobile Node (MN) nút di động: để chỉ một host hoặc một rounter thay đổi
điểm kết nối từ mạng này sang mạng khác.
- Home Agent (HA), khi MN di chuyển khỏi mạng thường trú (home network)
nó cần một đại diện thay mặt, đại diện này là HA, vai trò của HA là tạo đường hầm
để chuyển tiếp gói tin đến MN khi nó rời khỏi mạng thường trú và lưu trữ thơng tin
ví trí hiện tại của MN.
- Foreign Agent (FA), khi MN di chuyển khỏi mạng thường trú nó phải có
một địa chỉ tạm trú gọi là CoA (Care of Address) là địa chỉ IP có thể được sử dụng
để truyền các gói dữ liệu đến đích tương ứng với địa chỉ này theo những giao thức
tìm đường cơ bản của IP. MN thông báo địa chỉ CoA cho HA để biết địa điểm của
MN, MN có địa chỉ này từ FA.
- Correspondent Node (CN) là một node trong mạng có nhu cầu truyền thơng
với MN, CN khơng phải là một thành phần của Mobile IP nhưng được đưa vào để
mô tả hoạt động của giao thức.
Nguyên tắc hoạt động của Mobile IP:
- Khi một MN ra khỏi mạng thường trú (home network), làm thế nào để MN
biết là nó đã đi ra khỏi mạng cũng như tìm đại diện mới nếu đã ở mạng khách (foreign
network)? HA và FA thường xun gửi gói tin quảng bá để thơng báo khả năng của
mình theo chu kỳ, do đó MN phát hiện ra nó đang ở mạng khác và tiến hành q
trình tìm kiếm đại diện tạm trú của nó.
1



- Sau khi đã nhận được thông tin về FA, MN có thể bắt đầu liên lạc với FA.
MN gửi yêu cầu đăng ký thông tin đến HA (ở đây là địa chỉ CoA, tùy theo phương
thức kết nối mạng mà MN gửi đăng ký trực tiếp đến HA hoặc thông qua FA) để
được lưu thông trong một thời gian, yêu cầu này có thể là cho phép hoặc từ chối.
- Nếu HA cho phép nó sẽ làm việc như người được ủy nhiệm của MN. Khi
mạng gốc của MN nhận được các gói tín hiệu có địa chỉ đến là MN, HA sẽ nhận
những gói tin này đóng gọi lại và tiếp tục gửi tới địa chỉ của FA mà MN đã đăng ký.
FA sẽ mở các gói tin này và gửi tới MN vì nó biết MN đang ở đó một cách chính
xác. HA dùng phương pháp đóng gói để chuyển thơng tin cho MN bằng cách dùng
thêm phần mào đầu của gói và chuyển theo đường hầm đến MN.
- Quá trình trên sẽ tiếp tục cho đến khi hết hạn đăng ký hoặc MN chuyển đến
mạng mới. Khi xảy ra hiện tượng hết hạn, MN phải đăng ký lại với HA của nó thơng
qua FA, khi MN chuyển đến mạng khác, nó gửi yêu cầu đăng ký mới qua FA mới,
trong trường hợp này HA sẽ thay đổi địa chỉ nhờ chuyển CoA của MN và sẽ gửi tiếp
các gói tin đã đóng gói tới địa chỉ nhờ chuyển CoA.
- Khi MN trở về mạng thường trú, nó gửi một u cầu đăng ký lại đến HA
thơng báo nó đã ở mạng thường trú để khơng thực hiện đường hầm và dọn bỏ các
địa chỉ nhờ gửi trước.
Như vậy có thể phân chia thành 3 chức năng tương đối cách biệt như sau:
 Phát hiện agent (agent discovery): qua chức năng này các HA và FA có thể
quảng bá khả năng của mình trên mỗi liên kết mà nó cung cấp dịch vụ. MN
mới đến một mạng có thể gửi các u cầu nhận thơng tin để qua đó xác
định các agent có khả năng phục vụ.
 Đăng ký (registration): chức năng cung cấp cho MN khi hoạt động ở ngoài
mạng thường trú, MN sẽ đăng ký CoA của nó với HA. Tùy thuộc vào
phương thức kết nối mạng ở mạng khách mà MN sẽ gửi trực tiếp đăng ký
đến HA hoặc thông qua trung gian chuyển tiếp là FA.
 Tạo đường hầm (tunnelling): để chuyển tiếp dữ liệu đến MN khi rời khỏi
mạng thường trú, HA sẽ tạo một đường hầm và gửi dữ liệu đến CoA của
MN.

Nguyên tắc hoạt động của Mobile IP có vẻ đơn giản nhưng đây cũng là một
giải pháp hiệu quả để đảm bảo sự di động trong thế hệ mạng tương lai, mạng 4G. Để
hiểu rõ hơn về nguyên lý hoạt động của Mobile IP ta xem xét bản Mobile IPv4.

2


1.2. Giao thức Mobile IPv4
1.2.1. Phát hiện agent
Mobile IP sử dụng các bản tin để thực hiện, các bản tin được định nghĩa dựa
trên giao thức tiêu chuẩn ICMP Router Discovery (Internet Control Message
Protocol Router Discovery). Hai bản tin trong Mobile IP được hình thành dựa trên
2 bản tin của ICMP có thêm phần mở rộng.
- Bản tin Agent Advertisement (bản tin quảng cáo trạm): được truyền bởi các
trạm phục vụ để quảng cáo các dịch vụ của nó trên một liên kết. MN dùng các bản
tin quảng cáo này để xác định điểm kết nối hiện tại của nó vào Internet. Bản tin
Agent Advertisement chính là bản tin ICMP Router Advertisment được mở rộng
thêm phần bắt buộc Mobility Agent Advertisement Extension, có thể có 2 phần tùy
chọn phần Prefix-Lengths Extension và One-byte Padding Extension, hoặc các phần
mở rộng khác có thể được định nghĩa trong tương lai.
Cấu trúc bản tin Agent Advertisement được định nghĩa như hình vẽ sau:

3


Hình 1.1: Cấu trúc bản tin Agent Advertisement
Với phần IP header: Time to Live luôn được thiết lập là 1, do bản tin này chỉ
có tác dụng trên vùng mạng mà trạm phục vụ quản lý. Destination Address: với 1
bản tin Multicast Agent Advertisement phải là địa chỉ multicast “all systems on this
link” (224.0.0.1) hoặc địa chỉ broadcast được giới hạn (255.255.255.255).

Với các trường ICMP:
 Kiểu (Type): 9.
 Mã (Code): Trường mã của bản tin quảng cáo địa lý có các giá trị.
 Đại lý di động chỉ đóng vai trị như các bộ định tuyến cho các gói tin IP,
khơng có liên quan gì tới các trạm di động.
 Đại lý di động có thể khơng thực hiện việc định tuyến các lưu lượng IP
thông thường. Tuy vậy, các đại lý ngoại phải chuyển tiếp (có thể là tới một
bộ định tuyến mặc định) bất kỳ gói tin nào mà nó nhận được từ một trạm
di động đã đăng ký.
 ICMP Checksum: là số bù 1 của toàn bộ bản tin ICMP, bắt đầu từ trường
kiểu. Để tính checksum, giá trị của trường này cần phải được thiết lập 0.
 Thời gian tồn tại (Lifetime) là khoảng thời gian tối đa mà một bản tin quảng
cáo được xem là hợp lệ, khi chưa xuất hiện các bản tin quảng cáo tiếp theo.
 Số lượng địa chỉ (Num Addrs) chi ra số lượng địa chỉ của các bộ định tuyến
được quảng bá trên bản tin này. Trường này có thể có giá trị là 0.
 Kích thước của mỗi địa chỉ (Addr Entry Size): Có giá trị là 32 để chỉ trường
địa chỉ bộ định tuyến là 32 bit.
 Địa chỉ của mỗi bộ định tuyến quảng bá trong bản tin này thường kèm theo
một giá trị ưu tiên để biểu thị khả năng cung cấp dịch vụ cho các trạm mới.
Thơng thường bộ định tuyến nào có mức ưu tiên cao sẽ được chọn.
Với các trường trong phần mở rộng quảng cáo đại lý di động (Mobile Agent
Advert. Extension):
 Kiểu (Type): 16.
 Độ dài (Length): Có giá trị là (6+4*N) bytes, trong đó N là số lượng địa
chỉ care - of được quảng cáo.
 Số thứ tự (Sequence number): Số hệu của bản tin quảng cáo đại lý được
gửi đi kể từ khi đại lý được khởi tạo.

4



 Thời gian tồn tại của đăng ký: là khoảng thời gian tối đa (tính bằng giây)
mà đại lý này sẵn sàng nhận bất kỳ yêu cầu đăng ký nào. Nếu tất cả các bit
của trường này đều có giá trị là 1, nó biểu thị thời gian tồn tại của đăng ký
là vô tận.
 R: Yêu cầu đăng ký. Bit này chỉ thị rằng trạm di động phải thực hiện đăng
ký với đại lý ngoại này (hoặc với với một đại lý ngoại khác trên cùng tuyến)
thay cho việc sử dụng địa chỉ colocated care – of.
 B: Bận. Nếu bit này được thiết lập, đại lý ngoại sẽ không chấp nhận việc
đăng ký thêm bất kỳ một trạm di động nào nữa.
 H: Đại lý gốc. Đại lý này sẽ thực hiện chức năng của một đại lý gốc trên
tuyến mà ở đó bản tin quảng cáo được gửi đi.
 F: Đại lý ngoại. Đại lý này sẽ thực hiện chức năng của một đại lý ngoại
trên tuyến mà ở đó bản tin quảng cáo được gửi đi.
 M: Đóng gói tối thiểu. Đại lý này sẽ nhận các gói tin được gửi đi (tunnel)
theo phương pháp đóng gói tối thiểu.
 G: Đóng gói GRE. Đại lý này sẽ nhận các gói tin được gửi đi (tunnel) theo
phương pháp đóng gói GRE.
 V: Nén tiêu đề Van Jacobson. Đại lý này hỗ trợ việc sử dụng nén tiêu đề
của Van Jacobson trên cùng tuyến với trạm di động đã đăng ký.
 Dự trữ (Reserved): Trường này được thiết lập 0 khi gửi và được bỏ qua khi
nhận.
 Các địa chỉ care – of: Có thể là một hay nhiều địa chỉ care – of mà đại lý
ngoại này có thể cung cấp. Nếu bit F được thiết lập thì bản tin quảng cáo
đại lý (đại lý ngoại) phải chứa ít nhất một địa chỉ care – of được quyết định
bởi trường độ dài của quyết định này.
Với phần mở rộng độ dài tiền tố (Prefix – Length):
 Kiểu (Type): 19.
 Độ dài (Length): N, Trong đó N là giá trị của trường số lượng địa chỉ (Num
Addrs) trong phần quảng cáo bộ định tuyến của bản tin quảng cáo đại lý.

 Độ dài tiền tố: Số lượng các bit của phần định danh mang trong địa chỉ của
các bộ định tuyến được liệt kê trong phần quảng cáo bộ định tuyến của bản
tin quảng cáo đại lý.
Với phần Byte đệm mở rộng (One – Byte Padding Extension):

5


Nếu độ dài ICMP của một bản tin quảng cáo đại lý là lẻ thì có thể bổ xung
thêm byte đệm mở rộng để làm cho độ dài ICMP này chẵn. Một quảng cáo đại lý
không bao giờ được phép có nhiều hơn một byte đệm và nếu có thì byte đệm này
nên là phần mở rộng cuối cùng trong bản tin quảng cáo đại lý.
Lưu ý rằng không giống như các mở rộng khác sử dụng trong IPv4, byte đệm
này khơng có trường độ dài cũng như trường dữ liệu, mà chỉ bao gồm trường kiểu,
trong đó các bit đều có giá trị 0.
- Bản tin tìm kiếm đại lý (Agent Solicitation) có khn dạng giống với bản tin
tìm kiếm bộ định tuyến ICMP (ICMP Router Solicitation). Tuy nhiên, có thêm một
ràng buộc đó là trường TTL, trong phần tiêu đề của gói tin IP, phải được thiết lập 1
và trường địa chỉ IP đích phải là địa chỉ multicast đến tất cả các bộ định tuyến trên
mạng (224.0.0.2) hoặc địa chỉ broadcast trực tiếp (255.255.255.255). Bất kỳ địa lý
(hay bộ định tuyến) nào khi nhận được bản tin này sẽ trả lời bằng một bản tin quảng
cáo đại lý (hay quảng cáo bộ định tuyến) trực tiếp tới địa chỉ unicast của trạm đã yêu
cầu. Trạm di động sử lý bản tin này giống như các bản tin quảng cáo khác gửi theo
địa chỉ multicast hay broadcast.
Cấu trúc bản tin agent solicitation như sau:

Hình 1.2: Cấu trúc bản tin Agent Solicitation
1.2.2. Quá trình đăng ký
Mobile IPv4 hỗ trợ hai thủ tục đăng ký tram di động với địa lý gốc: Thủ tục
thứ nhất là sử dụng đại lý ngoại để chuyển tiếp các bản tin đăng ký. Thủ tục thứ hai

là cho phép trạm di động đăng ký trực tiếp với đại lý gốc của nó. Các nguyên tắc sau
đây sẽ xác đinh thủ tục đăng ký nào sẽ được sử dụng trong từng tình huống cụ thể:
1. Nêu trạm di động đã đăng ký địa chỉ care – of của một đại lý ngoại thì trạm
di động phải thực hiện đăng ký thông qua đại lý ngoại đó.
2. Nếu trạm di động sử dụng địa chỉ colocated care – of thì nó có thể gửi u
cầu đăng ký trực tiếp đến đại lý gốc.
3. Trong bất kỳ tình huống nào, nếu trạm di động nhận được một bản tin
quảng cáo từ một đại lý ngoại, với bit R được thiết lập, thì trạm di động
buộc phải đăng ký thông qua đại lý ngoại.
6


4. Nếu trạm di động trở về mạng gốc nó sẽ gửi bản tin đăng ký trực tiếp tới
đại lý gốc để huỷ bỏ việc đăng ký.
Một MN thực hiện đăng ký bất kỳ khi nào nó phát hiện điểm kết nối của nó
vào mạng đã thay đổi từ liên kết này sang liên kết khác, đồng thời do các đăng ký
này chỉ hợp lệ trong một thời gian xác định (lifetime) nên một MN phải đăng ký lại
khi đăng ký của nó sắp hết hạn. Đăng ký là phương pháp mà các MN yêu cầu các
dịch vụ chuyển tiếp gói tin khi MN đang ở một mạng ngồi. Cho HA của chúng biết
CoA hiện tại của chúng. Làm mới lại một đăng ký sắp hết hạn. Hoặc hủy đăng ký
khi chúng trở về mạng thường trú.
Thông qua việc trao đổi các bản tin Registration Request và Reply có 2 kiểu
đăng ký: trực tiếp với HA và gián tiếp thông qua FA.
Đăng ký gián tiếp thông qua FA, thủ tục đăng ký gồm 4 giai đoạn:
 MN gửi một bản tin Registration Request đến FA để bắt đầu tiến trình đăng
ký.
 FA xử lý bản tin Registration Request và sau đó truyền nó đến HA.
 HA gửi một bản tin Registration Reply đến FA để chấp nhận hoặc từ chối
yêu cầu đăng ký.
 FA xử lý bản tin Registration Reply và sau đó truyền nó đến MN để MN

biết việc đăng ký thành cơng hay thất bại.

Hình 1.3: Mobile Node đăng ký gián tiếp
Đăng ký trực tiếp với HA, thủ tục đăng ký gồm 2 giai đoạn:
 MN gửi một bản tin Registration Request đến HA.

7


 HA gửi một bản tin Registration Reply đến MN, nhằm chấp nhận hay từ
chối yêu cầu đăng ký.

Hình 1.4: Mobile Node đăng ký trực tiếp
Cả 2 kiểu đăng ký trên (trực tiếp với HA hoặc gián tiếp qua FA) đều thông
qua việc trao đổi các bản tin Registration Request và Registration Reply.
- Bản tin Registration Request (bản tin yêu cầu đăng ký): bản tin được gửi bởi
một MN để bắt đầu tiến trình đăng ký. MN gửi bản tin Registraton Request có thể trực
tiếp đến HA hoặc gián tiếp thông qua FA. Bản tin gồm phần mào đầu IP, phần mào
đầu UDP và các phần mở rộng. Phần mở rộng Mobile Home Authentication Extension
là bắt buộc. Cấu trúc bản tin Registration Request như sau:

Hình 1.5: Cấu trúc bản tin Registration Request

8


- Bản tin Registration Reply (bản tin trả lời đăng ký): trạm phục vụ sẽ trả lời
bản tin Registration Reply đến MN đã gửi bản tin Registration Request. Nếu MN
đang yêu cầu dịch vụ từ một FA, thì FA sẽ nhận bản tin Registration Reply từ HA,
xử lý và truyền nó đến MN. Bản tin Registration Reply chứa trường code cho MN

biết về kết quả việc đăng ký, bản tin này có Lifetime được chấp nhận bởi HA, giá trị
của trường này có thể nhỏ hơn trong bản tin đăng ký gốc. FA không được tăng
Lifetime do MN chọn trong Registration Request, vì Lifetime được đặt trong phần
chứng thực Mobile Home Authentication Extension. HA khơng được tăng Lifetime
vì thực hiện điều này có thể khiến Lifetime tăng quá Lifetime tối đa được cho phép
bởi FA. Nếu Lifetime trong 2 bản ghi Registration Request và Reply khác nhau thì
giá trị nhỏ hơn sẽ được dùng. Cấu trúc bản tin Registration Reply như sau:

Hình 1.6: Cấu trúc bản tin Registration Reply
1.2.3. Tạo đường hầm
Như đã đề cập trong nguyên lý hoạt động, sau khi đăng ký với đại lý gốc, trạm
di động có thể trao đổi thơng tin với bất kỳ trạm nào khác. Các gói tin từ trạm di
động sẽ được gửi trực tiếp theo con đường ngắn nhất đến địa chỉ đích. Tuy nhiên,
lời đáp sẽ khơng theo con đường ngắn nhất trực tiếp đến trạm di động. Thay vào đó,
lời đáp sẽ được chuyển đến mạng gốc của trạm di động. Đại lý gốc, đã biết được vị
trí của trạm di động từ thủ tục đăng ký, sử dụng cách đóng gói IP – trong – IP để
chuyển tiếp các gói tin này đến địa chỉ care – of của trạm di động.

9


Các gói được đánh địa chỉ đến MN được định tuyến đến mạng thường trú của
nó, tại đây HA bắt gói và đẩy vào đường hầm đến CoA (hướng về MN). Tạo đường
hầm có 2 chức năng chính: đóng gói các gói dữ liệu để tiến đến điểm kết thúc đường
hầm, và mở gới khi gói được phân phối đến điểm kết thúc. Kiểu đường hầm mặc
định là IP đóng gói trong IP. CoA chỉ đơn giản là điểm cuối của đường hầm, nó có
thể là địa chỉ của FA, hoặc là địa chỉ tạm thời được yêu cầu bởi MN.
Có thể tóm tắt như sau: Bởi vì trạm di động sử dụng địa chỉ gốc của nó làm
địa chỉ nguồn khi trao đổi thông tin với các trạm khác, mỗi lời đáp sẽ được chuyển
đến mạng gốc của trạm di động. Đại lý gốc, đại diện cho trạm di động, nhận gói tin,

đóng gói nó vào trong một gói tin khác và chuyển đến địa chỉ care – of hiện thời của
trạm di động [5].
1.3. Giao thức Mobile IPv6
Giao thức Mobile IPv6 là mở rộng hỗ trợ cho di dộng của giao thức IPv6 hứa
hẹn tạo ra một cuộc cách mạng trong lĩnh vực mạng và truyền thông. Một trong
những đặc điểm nổi bật của giao thưc IPv6 là mở rộng cấu trúc địa chỉ. Với thiết kế
mới, IPv6 cho phép tăng chiều dài một địa chỉ từ 32 bit lên 128 bit. Đồng nghĩa với
việc tăng không gian địa chỉ lên con số vô cùng lớn. Do vậy khắc phục được hạn chế
về số lượng địa chỉ của IPv4 [5].
Mobile IPv6 yêu cầu trao đổi các thông tin bổ sung so với một thông điệp
trong Mobile IPv4, mọi thông điệp mới được sử dụng trong Mobile IPv6 đều được
xác định như là các tùy chọn đích IPv6 (IPv6 Destination Options). Các lựa chọn
này được sử dụng trong IPv6 để mang các thông tin bổ sung cần được kiểm tra bởi
node đích của gói tin [1].
1.3.1. Các tùy chọn trong Mobile IPv6
Tất cả các bản tin dùng trong Mobile IPv6 đều được định nghĩa dưới dạng các
tuỳ chọn đích của giao thức IPv6.
Có 4 tùy chọn đích được định nghĩa trong Mobile IPv6:
1. Cập nhật liên kết (Binding Update): tùy chọn “Cập nhật liên kết” được sử
dụng bởi MN để thông báo cho HA hoặc các CN biết về CoA hiện tại của
nó. Bất kỳ gói tin nào chứa tùy chọn cập nhật liên kết phải chứa các header
AH (Authentication Header) và ESP (Encapsulating Security Payload).
2. Sự báo nhận liên kết (Binding Acknowledgement): tùy chọn “Sự báo nhận
liên kết” được sử dụng để yêu cầu đưa ra báo nhận khi nhận được cập nhật
10


liên kết. Bất kỳ một gói tin nào chứa lựa chọn sự báo nhận liên kết cũng
đều phải chứa header AH và ESP.
3. Yêu cầu liên kết (Binding Request): được sử dụng bất kỳ node nào muốn

yêu cầu một MN gửi cập nhật liên kết với CoA.
4. Địa chỉ gốc (Home Address): được sử dụng khi một gói tin được gửi bởi
một MN để thơng báo cho bên nhận gói tin này về địa chỉ Haddr của MN
đó. Nếu một gói tin với lựa chọn địa chỉ nhà được xác thực thì lựa chọn
địa chỉ nhà cũng phải được kiểm tra bởi xác thực này.
1.3.2. Cấu trúc dữ liệu
Đặc tả Mobile IPv6 mô tả giao thức theo 3 cấu trúc dữ liệu sau:
 Bộ nhớ đệm liên kết (Binding Cache – BC): mỗi node IPv6 có một BC
được sử dụng để lưu thông tin về các liên kết với các node khác. Nếu một
node nhận được một cập nhật liên kết, nó sẽ đưa thêm liên kết đó vào BC.
Mỗi khi gửi đi một gói tin, node sẽ tìm kiếm trong BC để xác định địa chỉ
cần gửi.
 Danh sách cập nhật liên kết (Binding Update List - BUL): mỗi MN sẽ có
một BUL được sử dụng để lưu thơng tin về các cập nhật liên kết được gửi
bởi chính MN khi mà Lifetime của cập nhật liên kết chưa hết hạn, BUL
chứa mọi cập nhật liên kết đực gửi tới tất cả CN (kể cả di động và cố định)
và tới HA của nó.
 Danh sách HA (Home Agent List): mỗi HA trong mạng thường trú sẽ có
một danh sách chứa thông tin về mọi HA khác trong mạng đó. Thơng tin
về danh sách này được thu nhập từ các bản tin quảng cáo router được gửi
bởi các HA, trong bản tin đó cời HA phải được thiết lập. Thông tin về mọi
HA được sử dụng bởi cơ chế phát hiện HA động.
1.4. Cơ chế định tuyến gói tin trong Mobile IP
1.4.1. Định tuyến gói tin bởi MN
Khi được kết nối với HA của mình, MN hoạt động khơng có sự hỗ trợ của các
dịch vụ di động. Nghĩa là nó hoạt động giống như một host hay router cố định nào
đó. MN có thể dựa vào DHCP để biết một router mặc định khi được kết nối đến HA
của mình hoặc khi ra khỏi mạng chủ và dùng địa chỉ CCOA.
Khi được đăng ký trên mạng khách, MN chọn một router mặc định sử dụng
các quy luật sau:

11


- Nếu MN được đăng ký dùng FA COA, thì MN có thể xem địa chỉ nguồn IP
của thơng báo agent như sự lựa chọn có thể khác cho địa chỉ IP của một router mặc
định. Trong các trường hợp như thế, địa chỉ nguồn IP được xem xét như là sự lựa
chọn khơng thích hợp nhất (ưu tiên thấp nhất) cho router mặc định.
- Nếu MN được đăng ký trực tiếp với HA của nó dùng CCOA, thì MN nên
chọn router mặc định của nó từ trong bản tin ICMP Router Advertisement mà nó thu
cho địa chỉ mà CCOA và địa chỉ router phù hợp theo prefix mạng. Nếu CCOA của
MN phù hợp với địa chỉ nguồn IP của thơng báo agent theo prefix mạng, MN cũng
có thể coi địa chỉ nguồn IP như là sự lựa chọn có thể khác cho địa chỉ IP của router
mặc định, cùng với các địa chỉ router mà có thể được biết từ phần ICMP Router
Advertisement của bản tin. Nếu thế, địa chỉ nguồn IP được xem như sự lựa chọn
khơng thích hợp nhất (ưu tiên thấp nhất) cho router mặc định. Prefix mạng có thể
nhận được từ prefix-length extension trong Router Advertisement, nếu có. Nó cũng
dùng được cho prefix để nhận được thông qua các cơ chế khác (chẳng hạn các giao
thức thuộc quyền sở hữu độc quyền) [1].
Ngoài các quy luật này, sự lựa chọn router mặc định thật sự được thực hiện
bởi phương pháp lựa chọn đã chỉ trong ICMP router discovery. Trong trường hợp
nào đó, MN đã đăng ký theo cách FA có thể chọn FA của nó như router mặc định.
MN có thể sử dụng ARP quảng bá để xác định địa chỉ lớp 2 của FA hoặc router mặc
định khác. Điều này làm cho việc sử dụng của các router khác được thông báo trong
ICMP router advertisement không chắc chắn cho đến khi các cơ chế mới được thiết
lập cho việc dùng với Mobile IP.
1.4.2. Định tuyến gói tin bởi HA
HA được yêu cầu để có thể chặn các gói tin trên mạng chủ đề địa chỉ gửi đến
MN trong khi MN được đăng ký rời khỏi mạng thường trú. Proxy và gratuitous ARP
có thể được sử dụng để có thể thực hiện cơng việc này.
HA phải so sánh địa chỉ IP đích của tất cả các gói tin đến có phải là home

address của mobile node nào đó đã đăng ký rời khỏi mạng chủ khơng. Nếu đúng,
HA truyền đường hầm gói tin đến COA hoặc các địa chỉ hiện đã đăng ký. Nếu HA
hỗ trợ khả năng tùy chọn của nhiều danh sách (binding) di động đồng thời, nó truyền
tunnel bản copy đến mỗi COA trong danh sách (binding) di động của MN. Nếu MN
khơng có các binding di động hiện tại, HA khơng được phép nỗ lực chặn các gói
định gửi đến MN. Vì vậy, HA sẽ khơng nhận các gói tin. Tuy nhiên nếu HA cũng là
một router xử lý lưu lượng IP chung, nó có thể thực hiện được việc nhận các gói tin
12


để gửi đến mạng chủ. Trong trường hợp này, HA được yêu cầu để thừa nhận MN
đang ở nhà và gửi một cách đơn giản gói tin một cách trực tiếp đến mạng chủ.

Hình 1.7: Các cách để đặt HA trên mạng chủ
Khi HA nhận một gói tin, chặn gói tin cho một trong những MN đã đăng ký
rời khỏi nhà, HA xem gói tin để kiểm tra gói tin đã được đóng gói hay chưa. Nếu
thế, hai quy tắc đặc biệt được áp dụng để gửi gói tin đến MN:
- Nếu inner (đã đóng gói) destination address giống như outer destination
address (home address của MN), thì HA cũng được yêu cầu để kiểm tra outer source
address của gói tin đã đóng gói (địa chỉ nguồn của tunnel). Nếu outer source address
này giống như COA hiện tại của MN, HA được yêu cầu để bỏ gói tin đó để ngăn
chặn khả năng vòng lặp định tuyến. Nếu, outer source address khơng giống COA
hiện tại của MN, thì HA nên gửi gói tin đến MN. Để gửi gói tin trong trường hợp
này, HA có thể đơn giản thay đổi outer destination address thành COA hơn là đóng
gói lại gói tin.
- Nếu inner destination address không giống như outer destination address,
HA nên đóng gói lại gói tin (đóng gói đệ quy) với outer destination address mới
được đặt bằng COA của MN. Nghĩa là HA gửi tồn bộ gói tin đến MN như cách của
gói tin khác (được đóng gói hay khơng).
1.4.3. Định tuyến gói tin bởi FA

Khi thu gói tin đóng gói gửi đến COA được thông báo, một FA được yêu cầu
để so sánh inner destination address với các các đầu vào trong danh sách tạm trú của
13


nó. Khi đích phù hợp với địa chỉ của MN nào đó hiện đang trong danh sách tạm trú,
FA gửi gói tin đã được mở gói đến MN. Ngược lại, FA khơng thể gửi gói tin mà
khơng có các sửa đổi đến header IP nguyên thủy, và một vòng lặp định tuyến có khả
năng xảy ra. Chú ý rằng nếu FA sử dụng các kỹ thuật của tối ưu định tuyến (route
optimization), các kết quả có thể đạt được. Ngược lại, gói tin nên được loại bỏ. Bản
tin ICMP destination unreachable không được phép gửi khi FA không thể gửi gói
tin được truyền đường hầm đến [1].
FA khơng được phép thơng báo sự có mặt của MN hoặc router nào đó đến các
router khác trong routing domain của nó, cũng như bất kỳ MN khác nào đó.
FA được yêu cầu định tuyến các gói tin nhận được từ các MN đã đăng ký. Tại
mức tối thiểu, nghĩa là FA phải xác nhận IP header checksum, giảm bớt IP TTL, tính
tốn lại IP header checksum và gửi các gói tin đến một router mặc định.
1.5. Đánh giá về Mobile IPv4 và Mobile IPv6
1.5.1. Mobile IPv4
Ưu điểm:
 Mobile IPv4 đề xuất một phương pháp hỗ trợ di động tương đối hiệu quả
cho giao thức nền tảng IPv4.
 Việc triển khai Mobile IPv4 khơng cần các thiết bị mạng có tính năng đặc
biệt, các tác tử có thể được tích hợp vào các router hoặc chỉ đơn thuần là
các node bất kỳ trong mạng.
 Việc triển khai Mobile IPv4 không làm ảnh hưởng đến việc lưu thơng trên
mạng, các node có hay khơn hỗ trợ di động vẫn hoạt động trao đổi dữ liệu
bình thường.
 Các chức năng của các tầng trên khơng bị ảnh hưởng.
Nhược điểm:

Trong quá trình triển khai giao thức Mobile IP có những vấn đề làm giảm hiệu
năng hệ thống, đó có thể coi là nhược điểm của giao thức.
 Hiện tượng “Triangular Routing”: trong Mobile IPv4 mọi gói tin từ CN
gửi đến MN đều phải qua trung gian là HA thay vì đến trực tiếp MN, đó là
hiện tượng Triangular Routing. Hiện tượng này làm giảm hiệu năng hệ
thống. Trong giao thức có đề xuất một giải pháp tối ưu hóa đường đi (Route
Optimization) cho phép HA cung cấp thơng tin về MN cho CN, để CN có
thể trực tiếp liên hệ với MN, tuy nhiên giải pháp này gặp khó khăn trong
việc cập nhật địa chỉ cho CN.
14


 Hiện tượng cần thiết lập đường hầm ngược: khi triển khai Mobile Ipv4 tồn
tại các firewall, MN sử dụng địa chỉ Haddr của mình như là địa chỉ nguồn
của các gói tin mà nó sẽ gửi, nhưng firewall lại khơng cho phép các gói tin
có địa chỉ mạng khơng giống như địa chỉ mạng mà nó đang bảo vệ, vì vậy
các gói tin của MN có thể sẽ khơng được phép qua firewall. Để tránh giải
pháp này, cơ chế thiết lập đường hầm ngược được sử dụng. Khi đó một
đường hầm sẽ được thiết lập với 2 đầu đường hầm là: vị trí ứng với CoA
và HA. Giải pháp này vơ hình dung đã làm giảm hiệu năng của hệ thống.
 Vấn đề với NAT: NAT (Network Address Translators) được sử dụng trong
mạng để phục vụ các địa chỉ IP public cho các máy trạm có trong mạng
khi có nhu cầu truy nhập Internet (với địa chỉ IP cục bộ của mình, các trạm
này khơng thể trực tiếp kết nối với Internet), số lượng địa chỉ này có giới
hạn nên có thể nhiều trạm chia sẻ một địa chỉ IP và vì vậy cần được phân
biệt thơng qua số hiệu cổng. Điều này nảy sinh vấn đề khi Mobile IPv4
được triển khai, khi HA hoặc CN tạo ra gói tin đường hầm kiểu IP-in-IP
và gửi đến CoA của MN, nhưng do sự giới hạn của số lượng CoA nên
nhiều MN chia sẻ một CoA. Khi gói tin đến NAT tại mạng khách, gói tin
sẽ cần phải gửi đến đúng MN nhưng lại khơng có số hiệu cổng vì vậy

khơng thể gửi đến đúng MN. Giải pháp cho vấn đề này là bao gói IP-inUDP, để UDP header có thể cung cấp số hiệu cổng phục vụ cho triển khai
NAT.
 Vấn đề thiếu địa chỉ: trong Mobile IPv4 dù đã sử dụng địa chỉ CoA, nhưng
MN vẫn cần có Haddr vì vậy dẫn đến khả năng khơng đủ địa chỉ IP cung
cấp cho MN tại mạng thường trú. Giải pháp đưa ra là sử dụng cơ chế cấp
phát địa chỉ IP động thông qua giao thức DHCP.
 Vấn đề với FA: việc cần phải cài đặt FA trong mạng khách có thể là chướng
ngại lớn nhất đối với việc triển khai Mobile IPv4. Thêm FA tức là cần phải
có một thành phần mạng có chức năng chuyên biệt điều này sẽ làm các nhà
quản lý mạng cân nhắc trước khi triển khai. Nếu MN chuyển đến một mạng
khác khơng có FA, coi như MN sẽ mất kết nối với mạng. Vấn đề an tồn
bảo mật sẽ được thực hiện khó khăn hơn vì HA cần phải kiểm tra độ tin
cậy của FA. Triển khai FA nghĩa là vi phạm một điểm trong nguyên tắc
thiết kế end-to-end của mạng do có một trạm trung gian sửa đổi thơng tin
trong gói tin.
15


1.5.2. Mobile IPv6
Mobile IP6 được dựa vào hỗ trợ quản lý di động trong giao thức IPv6, đã giải
quyết được nhiều vấn đề trước đây là nhược điểm của Mobile IPv4 như:
 Chỉ có duy nhất địa chỉ CCoA được sử dụng, vì số lượng địa chỉ IP mà
IPv6 cung cấp là tương đối lớn với 128 bit địa chỉ.
 Trong Mobile IPv6 khơng cần có sự xuất hiện của FA vì các đặc điểm mở
rộng của IPv6 như Neighbour Discovery, Address Auto-configuration, và
bất kỳ router nào cũng có khả năng gửi các bản tin router advertisement.
 Tối ưu hóa đường đi (router optimization) được coi như thành phần cơ bản
trong Mobile IPv6.
 Khơng cần có cơ chế tạo đường hầm ngược, địa chỉ của MN được lưu trong
gói tin thơng qua lựa chọn đích Home Address. Điều này cho phép MN sử

dụng CoA của nó như là địa chỉ nguồn trong IP Header của gói tin gửi đi,
do đó, gói tin sẽ khơng gặp vấn đề gì trở ngại với firewall.
 Các gói tin khơng cần được bao gói, vì CoA của MN được lưu trong
Routing Header của gói tin gốc. Khơng cần phân biệt các gói tin điều khiển
một cách riêng rẽ, bởi vì tùy chọn đích cho phép các thông điệp điều khiển
được đưa vào các tùy chọn của gói tin.
1.6. Kết luận chương 1
Trong chương này, đồ án đã trình bày một cách tổng quan các vấn đề sau của
Mobile IP:
 Các khái niệm cơ bản, mơ hình mạng triển khai giao thức Mobile IP.
 Đặc tả giao thức Mobile IPv4 và Mobile IPv6.
 So sánh ưu nhược điểm của 2 giao thức Mobile IPv4 và Mobile IPv6. Từ
đó đưa ra kịch bản sử dụng 2 giao thức này 1 cách hợp lý.

16


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×