移动互联网技术详解课件

移动互联网技术详解课件 第六章 移动互联网 Standard: IETF相关工作组 Mobility for IPv4(mip4) IP Mobility Support for IPv4 (RFC3344) Mobility for IPv6 (mip6) Mobility Support in IPv6 (RFC 3775) Using IPsec to Protect Mobile IPv6 Signaling between Mobile Nodes and Home Agents (RFC 3776) Using IPsec between Mobile and Correspondent IPv6 Nodes (draft-ietf-mip6-cn-ipsec-013>.txt ) MIPv6 Signaling and Handoff Optimization (mipshop) Fast Handovers for Mobile IPv6 (RFC 4068) Hierarchical Mobile IPv6 mobility management (HMIPv6) (RFC 4140) Mobile IPv6 Fast Handovers for 802.11 Networks (draft-ietf-mipshop-80211fh-04.txt) Mobile Nodes and Multiple Interfaces in IPv6 (monami6) Network Mobility (nemo) Network Mobility Support Goals and Requirements (draft-ietf-nemo-requirements-05.txt) Network Mobility (NEMO) Basic Support Protocol (RFC 3963) Papers JSAC: IEEE Journal on Selected Areas in Communications MOBILE ROUTERS AND NETWORK MOBIITY //.jsac.ucsd.edu/TOC/2006/Sept06.html IEEE //ieeexplore.ieee.org ACM //portal.acm.org 内容 引言 移动IP(MIP: Mobile IP)的基本原理 移动IPv4(MIPv4)的原理 移动IPv6(MIPv6)的原理 MIP的安全性 MIPv4的安全性 MIPv6的安全性 MIPv6信令和切换优化 网络移动(Network Mobility) 内容 引言 移动IP(MIP: Mobile IP)的基本原理 移动IPv4(MIPv4)的原理 移动IPv6(MIPv6)的原理 MIP的安全性 MIPv4的安全性 MIPv6的安全性 MIPv6信令和切换优化 网络移动(Network Mobility) 为什么在IP层引入移动性 各种底层无线网络之间的漫游 IP Over Everything 数据、语音、视频等多种业务的融合 Everything Over IP 移动IP需要解决的问题 接入路由器1 通信对端 移动节点 接入路由器2 ADDR1 ADDR1 DATA 移动IP需要解决的问题 接入路由器1 通信对端 移动节点 接入路由器2 ADDR2 ADDR1 DATA IP地址的改变对于通信对端和上层(IP层以上)是透明的 移动节点需要一个在移动过程中保持不变的标识 不中断已经建立的连接 通信对端始终能够找到移动节点 家乡地址 内容 引言 移动IP(MIP: Mobile IP)的基本原理 移动IPv4(MIPv4)的原理 移动IPv6(MIPv6)的原理 MIP的安全性 MIPv4的安全性 MIPv6的安全性 MIPv6信令和切换优化 网络移动 术语 家乡地址(HoA: Home Address):移动节点的标识，手动配置或者由家乡网络分配，通常不变 转交地址(CoA: Care-of Address):移动节点位置的标识，由移动到的外地网络分配，随位置变化 家乡代理(Home Agent):保存移动节点的家乡地址和转交地址之间的映射关系(绑定) 通信对端(Correspond Node):和移动节点进行通信的网络节点，它可能是静止的节点，也可能是移动节点 知道移动节点家乡地址如何将数据包路由到移动节点的转交地址, 数据包先路由到家乡代理，由家乡代理发送给移动节点～ HoA与CoA的对应关系称为绑定(Binding)<HoA, CoA> 基本过程 移动检测 移动节点检测到自己移动到了外地网络 代理公告(MIPv4)/路由器公告(MIPv6) 转交地址配置 MIPv4 外地代理转交地址(即外地代理地址)(Foreign Agent CoA) 配置转交地址(Co-located CoA) MIPv6 全局可路由转交地址 <家乡地址、转交地址>的绑定注册 MIPv4/MIPv6) 到家乡代理( 到通信对端(MIPv6) :使用外地代理转交地址 MIPv4原理 移动检测 家乡代理 通信对端 移动节点 外地代理 MIPv4原理:使用外地代理转交地址 移动检测 家乡代理 通信对端 移动节点 外地代理 ?代理公告 使用外地代理转交地址 MIPv4原理:使用外地代理转交地址 绑定注册 家乡代理 通信对端 移动节点 外地代理 ?注册请求 ?注册请求 ?注册应答 ?注册应答 MIPv4原理:使用外地代理转交地址 /发送分组 接收 家乡代理 通信对端 移动节点 外地代理 代理ARP和免费ARP 隧道 IP数据 IP头标 IP数据 IP头标 IP头标 家乡代理处IP-in-IP封装 外地代理处 IP-in-IP解封装 源:家乡代理地址 目的:外地代理地址 分组 分组 分组 分组 MIPv4原理:使用外地代理转交地址 三角路由问题 家乡代理 通信对端 移动节点 外地代理 三角路由问题 :使用配置转交地址 MIPv4原理 移动检测 家乡代理 通信对端 移动节点 外地代理 MIPv4原理:使用配置转交地址 移动检测 家乡代理 通信对端 移动节点 外地代理 ?代理公告 通过DHCP等方式获取配置转交地址 MIPv4原理:使用配置转交地址 绑定注册 家乡代理 通信对端 移动节点 外地代理 ?注册请求 ?注册应答 MIPv4原理:使用配置转交地址 /发送分组 接收 家乡代理 通信对端 移动节点 外地代理 代理ARP和免费ARP 隧道 IP数据 IP头标 IP数据 IP头标 IP头标 家乡代理处IP-in-IP封装 移动节点处 IP-in-IP解封装 源:家乡代理地址 目的:配置转交地址 分组 分组 分组 MIPv4原理:使用配置转交地址 三角路由问题 家乡代理 通信对端 移动节点 外地代理 三角路由问题 MIPv4原理: 反向隧道 通过家乡地址来唯一标识移动节点，使得通信对端不需要知道移动节点的位 置信息 移动节点和通信对端的通信始终使用家乡地址，通过家乡代理转发到移动节 点的分组,使得移动对于通信对端以及IP层以上的应用是透明的 存在入口过滤问题:当移动到外地时， 防火墙可能过滤源地址为移动节点家乡地址的分组 通过反向隧道解决入口过滤问题 反向隧道:使用外地代理转交地址 家乡代理 移动节点 外地代理 外地代理转交地址 通信对端 反向IP-in-IP隧道 IP数据 IP头标 IP数据 IP头标 IP头标 外地代理处IP-in-IP封装 家乡代理处 IP-in-IP解封装 源:外地代理地址 目的:家乡代理地址 分组 分组 分组 反向隧道:配置转交地址 家乡代理 移动节点 外地代理 通信对端 反向IP-in-IP隧道 IP数据 IP头标 IP数据 IP头标 IP头标 移动节点处IP-in-IP封装 家乡代理处 IP-in-IP解封装 源:配置转交地址 目的:家乡代理地址 配置转交地址 分组 分组 MIPv6原理 移动检测和地址自动配置 家乡代理 通信对端 移动节点 接入路由器 家乡地址:HoA 转交地址:CoA MIPv6原理 移动检测和地址自动配置 家乡代理 通信对端 移动节点 接入路由器 家乡地址:HoA 转交地址:CoA ?路由器公告 无状态地址自动配置生成CoA MIPv6原理 到家乡代理绑定注册 家乡代理 通信对端 移动节点 接入路由器 家乡地址:HoA 转交地址:CoA 绑定更新(Binding Update) 绑定应答(Binding Ack) 绑定缓存HoA<->CoA MIPv6原理 和通信对端通信过程:不支持任何移动IPv6功能 家乡代理 通信对端 移动节点 IPv6-in-IPv6隧道 IP头标 IP数据 IP数据 IP头标 IP头标 家乡代理处 IPv6-in-IPv6封装 移动节点处 IPv6-in-IPv6解封装 源:家乡代理地址 目的:CoA IP数据 IP头标 IP数据 IP头标 IP头标 移动节点处 IPv6-in-IPv6封装 家乡代理处 IPv6-in-IPv6解封装 源:CoA 目的:家乡代理地址 家乡地址:HoA 转交地址:CoA 分组 分组 分组 分组 MIPv6原理 和通信对端通信过程:支持移动IPv6功能 家乡代理 通信对端 移动节点 >CoA 绑定缓存HoA<- 家乡地址:HoA CoA 转交地址: IPv6-in-IPv6隧道 分组 绑定更新 绑定更新列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 通信对端IPv6地址 MIPv6原理 和通信对端通信过程:支持移动IPv6功能 家乡代理 通信对端 移动节点 家乡地址:HoA 转交地址:CoA IPv6-in-IPv6隧道 分组 分组 绑定更新列表 通信对端IPv6地址 绑定缓存HoA<->CoA 对IP以上层屏蔽移动性:原理 在双向隧道模式中，移动节点和通信对端的通信始终使用家乡地址 在路由优化模式中，通过家乡地址选项(HAO，由信宿选项头标携带)和类型 2寻路头标(T2R)来实现 家乡地址选项 类型2寻路头标 路由优化模式:移动节点发送分组 TCP/UDP IPv6 移动IPv6 TCP/UDP IPv6 移动IPv6 移动节点 通信对端 HoA CNA HAO CoA CNA HAO CoA CNA HoA CNA 添加HAO选项头标，包含移动节点的转交地址，交换HAO选项头标中的地址 和数据包的源地址 交换HAO选项头标中的地址和数据包的源地址 HoA:家乡地址 CNA:通信对端的地址 CoA:转交地址 HAO:家乡地址选项，信宿选项头标 T2R:类型2寻路头标 HoA 源地址 目的地址 目的地址 源地址 扩展头标 目的地址 源地址 扩展头标 源地址 目的地址 路由优化模式:通信对端发送分组 TCP/UDP IPv6 移动IPv6 TCP/UDP IPv6 移动IPv6 移动节点 通信对端 HoA:家乡地址 CNA:通信对端的地址 CoA:转交地址 HAO:家乡地址选项，信宿选项头标 T2R:类型2寻路头标 家乡地址 T2R CNA CoA CNA HoA 添加T2R选项头标，包含移动节点的转交地址，交换T2R选项标中的地址和 数据包的目的地址 T2R CNA CoA 交换T2R选项头标中的地址和数据包的目的地址 CNA HoA 源地址 目的地址 目的地址 源地址 扩展头标 目的地址 源地址 扩展头标 源地址 目的地址 MIPv4和MIPv6比较 IPv4地址空间有限，移动节点通常使用外地代理转交地址 存在外地代理 三角路由问题 家乡地址为源地址，存在入口过滤问题 需要使用IP-in-IP隧道，开销大 … IPv6拥有巨大的地址空间，移动节点通常使用全局可路由转交地址 不需要外地代理 路由优化成为 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 的基本部分 转交地址作为源地址，不存在入口过滤问题 通过家乡地址选项(信宿选项头标)和类型2寻路头标来实现转交地址变化 对IP层以上应用的透明，不需要使用IPv6-in-IPv6隧道 … 内容 引言 移动IP(MIP: Mobile IP)的基本原理 移动IPv4(MIPv4)的原理 移动IPv6(MIPv6)的原理 MIP的安全性 MIPv4的安全性 MIPv6的安全性 MIPv6信令和切换优化 网络移动(Network Mobility) MIPv4的安全性 注册请求和注册应答消息的认证 移动安全关联 认证算法、算法模式、密钥或者公/私密钥对、重播保护形式 缺省HMAC-MD5算法，生成128比特摘要 Mobile-Home认证扩展 必须 移动节点和家乡代理之间存在安全关联 Mobile-Foreign认证扩展 可能 移动节点和外地代理之间存在安全关联 Foreign-Home认证扩展 可能 外地代理和家乡代理之间存在安全关联 MIPv6的安全性 返回可路由(RR:Return Routability)过程 移动节点与通信对端之间的安全 基于IPsec的MIPv6安全 移动节点和家乡代理之间安全 移动节点和通信对端之间安全 返回可路由过程:概述 目标是使得通信对端可以在某种程度上确保移动节点所宣称的转交地址和 家乡地址是合法的(可寻址) 产生移动节点和通信对端之间的认证密钥(绑定管理秘钥Kbm)，并且通过 绑定认证选项来保护移动节点和通信对端之间的绑定更新 不需要预先配置信息，易于大规模部署 安全强度比IPSec弱 返回可路由过程:原理 通信对端 IPv6-in-IPv6隧道 ?HoTI Cookie HoTI:家乡测试发起 消息 CoTI:转交测试发起消息 HoT:家乡测试消息 CoT:转交测试消息 ?CoT Cookie Token HoT Cookie Token ? ?HoTI Cookie ?计算家乡密钥生成令牌 ?HoT Cookie Token ?计算转交密钥生成令牌 ?家乡密钥生成令牌和转交密钥生成令牌进行SHA1得到绑定管理密钥 移动节点 家乡代理 ?CoTI Cookie 返回可路由过程:存在的安全问题 攻击者能够监听到移动节点的数据包 伪造邻居 家乡地址:攻击者的家乡地址 转交地址:邻居地址 攻击者在家乡网络和通信对端的路径上 获得绑定管理密钥，伪造绑定更新等 基于IPsec的MIPv6安全: IPSec回顾(1) 安全策略(SP) 选择符(selector) 源地址、目的地址、源端口、目的端口、协议(TCP/UDP/ICMP)、模式(隧道/ 传输) 策略行为:丢弃、实施IPSec处理或者绕过 安全关联(SA) 索引 目的地址、安全参数索引(SPI)、协议(ESP/AH) 源地址、目的地址、协议(TCP/UDP/ICMP)、IPSec协议(ESP/AH)、模式(隧 道/传输)、认证和加密算法、密钥等 : IPSec回顾(2) 基于IPsec的MIPv6安全 认证头标(AH) 传输模式 隧道模式 封装化安全净荷(ESP) 传输模式 隧道模式 原始IP头标 逐跳、信宿 寻路、分片 AH头标 信宿 TCP UDP 数据 认证 原始IP头标 逐跳、信宿 寻路、分片 ESP头标 信宿 TCP UDP数据 ESP尾 ESP认证 加密 认证 新IP头标 扩展头标 AH头标 原始IP头标 扩展头标 TCP UDP 数据 认证 新IP头标 新扩展 头标 ESP头标 原始IP头标 原始扩展 头标 TCP UDP 数据 认证 ESP尾 ESP认证 加密 : IPSec回顾(3) 基于IPsec的MIPv6安全 AH头标 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 ESP头标格式 基于IPsec的MIPv6安全: IPSec回顾(4) 外出处理 根据数据包信息初始化selector，选择相应的一个或者多个外出SP，SP是 有序的 SP的地址始终为数据包最终的源和目的地址(内部头标地址) 根据每个SP指定的SA或者SA束执行IPSec处理，SA是无序的 进入处理 根据数据包的目的地址(外部头标地址)、IPSec协议和SPI找到相应的SA， 然后执行IPSec处理 在进入SPD找到对应的SP(内部头标地址)，验证是否对数据包执行了指定 的IPSec处理(SA或者SA束) 基于IPsec的MIPv6安全: 移动节点和家乡代理之间安全 移动节点和家乡代理之间的信令业务 绑定更新和绑定应答 使用IPSec ESP传输模式保护 返回可路由过程 家乡测试发起(HoTI)和家乡测试(HoT) 使用IPSec ESP隧道模式保护 前缀发现 ICMPv6消息 IPSec ESP传输模式保护 基于IPsec的MIPv6安全: 绑定更新和绑定应答(1) 绑定更新头标格式 移动节点在外地网络时 移动节点在家乡网络时 绑定应答头标格式 移动节点在外地网络时 移动节点在家乡网络时 IPv6头标 源=转交地址 目的=家乡代理地址 家乡地址选项 (家乡地址) 传输模式 ESP头标 移动头标 (绑定更新) IPv6头标 =家乡代理地址 源 目的=转交地址 类型2寻路头标 (家乡地址) 传输模式 ESP头标 移动头标 (绑定应答) IPv6头标 源=家乡地址 目的=家乡代理地址 传输模式 ESP头标 移动头标 (绑定更新) IPv6头标 源=家乡代理地址 目的=家乡地址 传输模式 ESP头标 移动头标 (绑定应答) 基于IPsec的MIPv6安全:绑定更新和绑定应答(2) SP和SA使用家乡地址 家乡地址选项和类型2寻路头标包含家乡地址 家乡代理、移动节点上的SP和SA条目 移动头标 ESP传输模式 家乡地址 家乡代理地址 SA2 移动节点进入 家乡代理外出 移动头标 ESP传输模式 家乡代理地址 家乡地址 SA1 移动节点外出 家乡代理进入 移动头标 ESP传输模式 家乡地址 家乡代理地址 SP2 移动节点进入 家乡代理外出 移动头标 ESP传输模式 家乡代理地址 家乡地址 SP1 移动节点外出 家乡代理进入 协议 模式 目的地址 源地址 基于IPsec的MIPv6安全: 返回可路由过程(1) 家乡测试发起(HoTI)消息格式 移动节点经家乡代理到通信对端 家乡测试(HoT)消息格式 通信对端经家乡代理到移动节点 IPv6头标 源=转交地址 目的=家乡代理地址 隧道模式 ESP头标 移动头标 (HoTI) IPv6头标 源=家乡地址 目的=通信对端 IPv6头标 源=家乡代理地址 =转交地址 目的 隧道模式 ESP头标 移动头标 (HoT) IPv6头标 源=通信对端 目的=家乡地址 基于IPsec的MIPv6安全: 返回可路由过程(2) SP和SA使用不同的移动节点地址 SP:家乡地址 SA:转交地址 家乡代理、移动节点上的SP和SA条目 移动头标 ESP隧道模式 转交地址 家乡代理地址 SA2 移动节点进入 家乡代理外出 移动头标 ESP隧道模式 家乡代理地址 转交地址 SA1 移动节点外出家乡代理进入 移动头标 ESP隧道模式 家乡地址 任意 SP2 移动节点进入 家乡代理外出 移动头标 ESP隧道模式 任意 家乡地址 SP1 移动节点外出 家乡代理进入 协议 模式 目的地址 源地址 基于IPsec的MIPv6安全: 返回可路由过程(3) 转交地址变化时 家乡代理:收到绑定更新时，更新外出SA的目的地址和进入SA的源地址为 新的转交地址 移动节点: 收到绑定应答时，更新进入SA的目的地址和外出SA的源地址 为新的转交地址 基于IPsec的MIPv6安全: 前缀发现(1) 移动节点获取家乡子网的前缀的变化信息 移动前缀请求消息格式 移动前缀公告 IPv6头标 源=转交地址 目的=家乡代理地址 家乡地址选项 (家乡地址) 传输模式 ESP头标 ICMPv6 (前缀请求) IPv6头标 源=家乡代理地址 目的=转交地址 类型2寻路头标 (家乡地址) 传输模式 ESP头标 ICMPv6 (前缀公告) : 前缀发现(2) 基于IPsec的MIPv6安全 移动节点和家乡代理上的SP和SA条目 ICMPv6 ESP传输模式 家乡地址 家乡代理地址 SA2 移动节点进入 家乡代理外出 ICMPv6 ESP传输模式 家乡代理地址 家乡地址 SA1 移动节点外出 家乡代理进入 ICMPv6 ESP传输模式 家乡地址 家乡代理地址 SP2 移动节点进入 家乡代理外出 ICMPv6ESP传输模式 家乡代理地址家乡地址 SP1 移动节点外出 家乡代理进入 协议 模式 目的地址 源地址 内容 引言 移动IP(MIP: Mobile IP)的基本原理 移动IPv4(MIPv4)的原理 移动IPv6(MIPv6)的原理 MIP的安全性 MIPv4的安全性 MIPv6的安全性 MIPv6信令和切换优化 网络移动(Network Mobility) MIPv6信令和切换优化 概述 基本移动IPv6切换延时太大，不能满足实时和TCP延时敏感业务的需求 基本移动IPv6中的切换引入额外的信令开销 移动节点和家乡代理及通信对端之间的绑定注册过程可能需要穿越骨干网， 从而增加骨干网的信令开销 切换优化 移动IPv6快速切换(FMIPv6: Fast Handovers for Mobile IPv6) IPv6微移动管理 层次移动IPv6 (HMIPv6: Hierarchical Mobile IPv6 mobility management ) 概述:移动节点切换过程 无线接入点1 无线接入点2 移动节点 接入路由器1 (切换前接入路由器) 接入路由器2 (切换后接入路由器) 概述:移动节点切换过程 接入路由器1 (切换前接入路由器) 接入路由器2 (切换后接入路由器) 无线接入点1 无线接入点2 移动节点 链路层切换:无线接入点1到无线接入点2 IP层切换:接入路由器1所在子网到接入路由器2所在子网 概述:IP层切换过程 移动检测 和路由器公告的间隔有关 转交地址配置 地址重复检测 典型值为1到2秒 绑定注册 移动节点到家乡代理的延时 移动节点到通信对端的延时 概述:IP层切换延时分析 链路层切换完成 路由器公告 地址重复检测 绑定更新 绑定应答 绑定更新 移动检测 转交地址配置 绑定注册 0到十几秒 1到2秒 几百毫秒到几秒 移动节点 接入路由器 家乡代理 通信对端 IP层切换延时太大会影响实时应用和吞吐量敏感应用 移动IPv6快速切换要减少这个延时，具体来说就是: 移动节点一检测到新的子网链路就能够发送数据包 新的接入路由器一检测到移动节点接入就能够发送到移动节点的数据包 移动IPv6快速切换定义了实现以上目标所需要的: IP协议消息 独立于特定的链路层协议 消息交互过程 不影响标准的移动IPv6操作 移动IPv6快速切换:快速切换相关消息(1) 新的邻机发现消息 代理路由器公告请求(RtSolPr) 移动节点发送给接入路由器，请求代理路由器公告 代理路由器公告(PrRtAdv) 接入路由器发送给移动节点，提供邻近接入路由器的链路层地址、IP地址 和子网前缀信息 实现功能 辅助移动检测过程 无线接入点到其所连接的接入路由器的子网信息映射 预先生成新的转交地址 移动IPv6快速切换:快速切换相关消息(2) 接入路由器之间的消息 切换发起(HI) 通常是PAR发往NAR，发起移动节点快速切换过程 应该包含移动节点的切换前转交地址，可能包含移动节点希望使用的新的转 交地址 切换应答(HAck) NAR对切换发起消息的应答 可能包含移动节点在NAR上应该使用的新转交地址 功能 确认给出的新的转交地址是否可接受 传送和切换相关的网络常驻上下文，例如接入控制、QoS和头标压缩等 PAR:切换前接入路由器 NAR:切换后接入路由器 移动IPv6快速切换:快速切换相关消息(3) 新的移动头标消息 快速绑定更新(FBU) 移动节点发送到PAR，功能类似于绑定更新，建立切换前转交地址和切换后 转交地址的绑定(隧道) 移动节点通过隧道转发源地址为切换前转交地址的分组到PAR PAR通过隧道转发目的地址为切换前转交地址的分组到移动节点 包含移动节点切换前转交地址和切换后的转交地址信息 (FBA) 快速绑定应答 PAR对快速绑定更新的应答 快速邻机公告(FNA) 移动节点发送快速邻机公告给NAR，宣告自己到达 功能 移动节点一切换到新的链路就可以接收分组 PAR:切换前接入路由器 NAR:切换后接入路由器 移动IPv6快速切换:快速切换类型 切换发起的实体 移动节点发起的切换 移动节点发送代理路由器公告请求(RtSolPr)给当前接入路由器 网络发起的切换 PAR发送未经请求的代理路由器公告(PrRtAdv) 发送快速绑定更新(FBU)的链路 预测型(predictive)快速切换 在切换前链路上发送FBU并且接收到FBack 反应型(reactive)快速切换 在切换后链路上发送FBU PAR:切换前接入路由器 NAR:切换后接入路由器 移动IPv6快速切换:快速切换类型 切换发起的实体 移动节点发起的切换 移动节点发送代理路由器公告请求(RtSolPr)给当前接入路由器 网络发起的切换 PAR发送未经请求的代理路由器公告(PrRtAdv) 发送快速绑定更新(FBU)的链路 预测型(predictive)快速切换 在切换前链路上发送FBU并且接收到FBack 反应型(reactive)快速切换 在切换后链路上发送FBU PAR:切换前接入路由器 NAR:切换后接入路由器 移动IPv6快速切换:预测型快速切换 连接 移动节点 PAR NAR 将要进行链路层切换指示 代理路由器公告请求 代理路由器公告 快速绑定 切换发起 切换应答 快速绑定应答 链路层连接建立指示 快速邻机公告 转发数据包 发送数据包 断开 生成新的转交地址 PAR:切换前接入路由器 NAR:切换后接入路由器 移动IPv6快速切换:反应型快速切换 连接 移动节点 PAR NAR 将要进行链路层切换指示 代理路由器公告请求 代理路由器公告 快速邻机公告[快速绑定更新] 快速绑定应答 链路层连接建立指示 转发数据包 发送数据包 断开 生成新的转交地址 PAR:切换前接入路由器 NAR:切换后接入路由器 快速绑定更新 快速切换延时分析 切换发生前生成转交地址，减少了移动IPv6切换过程中的地址自动配置延 时 切换后IP层通过来自链路层连接建立信息(Link Up触发器)立即感知移 动到了新的链路，减少了移动检测延时 切换后完成新的转交地址绑定注册之前仍然可以接收目的地址为切换前转 交地址的分组，减少了绑定注册延时 IEEE 802.21 媒介无关切换(MIH:Media Independent Handover)标准 目标:开发一个能够向上层提供链路层智能和其它相关网络相关信息的 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 ，以优化异构网络之间的切换 通过定义通用的SAP(Service Access Point)和其它的原语来实现链路层的智能 媒介无关事件服务提供了相应于链路特性和链路状态的动态变化的事件。 命令服务使得MIH用户能够管理和控制本地链路与切换和移动性媒介无关 相关的行为。 媒介无关信息服务为MIH用户提供了做出有效切换决定的有用信息。 层次移动IPv6:概述 目标 减少移动节点到家乡代理和通信对端的绑定注册延时 减少大量移动节点频繁切换所造成的骨干网上通信信令开销 兼容移动IPv6协议 原理 子网划分成域 例如一个ISP的所有子网组成一个域 域内移动只需更新域内某些移动管理相关节点上的路由或者地址绑定信息 ，也称为微移动 层次移动IPv6:定义(1) 移动锚定点(MAP) 域内类似于家乡代理功能的节点 转交地址 区域转交地址(Regional Care-of Address) MAP前缀，IPv6接口标识 域内移动切换不变 链路转交地址(On-link Care-of Address) 子网前缀，IPv6接口标识 域内移动切换变化 层次移动IPv6:定义(2) MAP选项 包含MAP的地址信息，通过路由器公告发送 绑定注册 到家乡代理 <家乡地址，区域转交地址> 到MAP <家乡地址，链路转交地址> 层次移动IPv6:域内切换过程 <家乡地址、区域转交地址> <家乡地址、区域转交地址> 接入路由器1 接入路由器2 通信对端 家乡代理 MAP <区域转交地址、链路转交地址1> 区域转交地址 链路转交地址1 数据 区域转交地址 原始数据 链路转交地址1 原始数据 链路转交地址1 层次移动IPv6:域内切换过程 <家乡地址、区域转交地址> ;家乡地址、区域转交地址> < 接入路由器1 接入路由器2 通信对端 家乡代理 MAP <区域转交地址、链路转交地址1> 层次移动IPv6:域内切换过程 路由器公告 [MAP选项] <家乡地址、区域转交地址> <家乡地址、区域转交地址> 接入路由器1 接入路由器2 通信对端 家乡代理 MAP 路由器公告 [MAP选项] <区域转交地址、链路转交地址1> 层次移动IPv6:域内切换过程 <家乡地址、区域转交地址> <家乡地址、区域转交地址> 接入路由器1 接入路由器2 通信对端 家乡代理 MAP 区域转交地址 链路转交地址2 <区域转交地址、链路转交地址1> 层次移动IPv6:域内切换过程 <家乡地址、区域转交地址> <家乡地址、区域转交地址> 接入路由器1 接入路由器2 通信对端 家乡代理 MAP 区域转交地址 链路转交地址2 绑定更新 绑定更新 <区域转交地址、链路转交地址1> 层次移动IPv6:域内切换过程 <家乡地址、区域转交地址> <家乡地址、区域转交地址> 接入路由器1 接入路由器2 通信对端 家乡代理 MAP 地址 区域转交 链路转交地址2 绑定应答 绑定应答 <区域转交地址、链路转交地址2> 层次移动IPv6:域内切换过程 <家乡地址、区域转交地址> <家乡地址、区域转交地址> 接入路由器1 接入路由器2 通信对端 家乡代理 MAP 区域转交地址 链路转交地址2 数据 区域转交地址 原始数据 链路转交地址2 原始数据 链路转交地址2 <区域转交地址、链路转交地址2> 层次移动IPv6:域内切换优化 向域内的通信对端注册绑定<家乡地址、链路转交地址> 与移动IPv6快速切换结合 层次移动IPv6:域间切换 首先执行标准的移动IPv6切换，然后执行层次移动IPv6切换 家乡地址、区域转交移动IPv6切换，向通信对端和家乡代理注册绑定< 地址> 层次移动IPv6切换，向域内MAP注册绑定<家乡地址，链路转交地址> 内容 引言 移动IP(MIP: Mobile IP)的基本原理 移动IPv4(MIPv4)的原理 移动IPv6(MIPv6)的原理 MIP的安全性 MIPv4的安全性 MIPv6的安全性 MIPv6信令和切换优化 网络移动(Network Mobility) 防火墙对源地址过滤问题 防火墙对源地址过滤问题 防火墙对源地址过滤问题 防火墙对源地址过滤问题 防火墙对源地址过滤问题 防火墙对源地址过滤问题 防火墙对源地址过滤问题 防火墙对源地址过滤问题 防火墙对源地址过滤问题 防火墙对源地址过滤问题 一般把家乡代理到外地代理或者移动节点的隧道叫做正向隧道，而把外地代理或者移动节点到家乡代理的隧道叫做反向隧道 一般把家乡代理到外地代理或者移动节点的隧道叫做正向隧道，而把外地代理或者移动节点到家乡代理的隧道叫做反向隧道 通信对端不支持任何移动IPv6功能是指通信对端不能处理移动头标，通过家乡代理和移动节点之间建立的隧道转发数据包，这个隧道是一个双向的隧道。 通信对端不支持任何移动IPv6功能是指通信对端不能处理移动头标，通过家乡代理和移动节点之间建立的隧道转发数据包，这个隧道是一个双向的隧道。 通信对端不支持任何移动IPv6功能是指通信对端不能处理移动头标，通过家乡代理和移动节点之间建立的隧道转发数据包，这个隧道是一个双向的隧道。 在需要认证的节点之间配置移动安全关联来实现信令消息的认证 在需要认证的节点之间配置移动安全关联来实现信令消息的认证 HoTI的源地址为家乡地址，CoTI的源地址为转交地址，通过HoTI和HoT就可以对家乡地址的可达性进行验证，通过CoTI和CoT就可以对转交地址的可达性进行认证。家乡密钥生成令牌和转交密钥生成令牌均由通信对端根据Kcn生成 在家乡密钥生成令牌有效的情况下，如果切换，可能只需要进行转交测试过程 SA和SP是有方向的，分为OUTBOUND和INBOUND 传输模式AH/ESP是由数据包的最终目的主机处理，可以看做是一个端到端的载荷。ESP尾包括填充和下一头标长度。 隧道模式AH/ESP可能由主机或者安全网关处理，它与外部头标的相对位置与传输模式相同。 移动节点使用前缀发现用来获取家乡子网的前缀信息。 建立的隧道可以避免入口过滤问题。