IP tunnels and Mobile IP José María Foces Morán

Transcripción

1 IP tunnels and Mobile IP

2 Índice 01 Introducción Contexto Requisitos 02 Mobile IP Conceptos y posibilidades 03 Mobile IP Solución indirecta 04 Mobile IP Solución directa

3 01 Mobile IP Introducción y contexto

4 1 Introducción La movilidad en el desarrollo de Internet En su desarrollo inicial Internet era totalmente fija La movilidad no constituía una prioridad Hoy en día es esencial Laptops Teléfonos IP móviles 4

5 1 Introducción La movilidad en el desarrollo de Internet En el momento actual, no es un problema resuelto Cuáles son los retos que presenta MIP? Escalabilidad Implantación incremental Seguridad Cuál es el contexto tecnológico previo? IPv4, DHCP, ARP, Tunneling, IPv6 5

6 1 Introducción Qué no es movilidad: ejemplo Obtener una IP vía DHCP en una red inalámbrica Moverse a otra red y obtener otra IP Y así sucesivamente El esquema anterior no siempre es satisfactorio Por ejemplo: VOIP Obviamente, es necesario obtener una IP de la red de acceso SIN EMBARGO, NO ES SUFICIENTE 6

7 1 Introducción Qué significa movilidad IP Es necesario además que el nodo móvil pueda ser localizado No sólo que sea posible la conectividad externa Dónde se ha movido este nodo móvil? El nodo móvil ha de poder ser localizado en cualquier red 7

8 1 Introducción Qué significa movilidad IP Es necesario además que el nodo móvil pueda ser localizado Si no es así, los paquetes seguirán siendo recibidos en la red de origen 8

9 1 Dificultades y requisitos Qué implica la movilidad IP Un host móvil se mueve a una nueva red Nueva IP Se necesita una forma de redirección de los paquetes IP hacia la nueva dirección IP La redirección de tráfico IP ha de ser segura Seguridad y movilidad se encuentran muy relacionadas 9

10 1 Dificultades y requisitos Las direcciones IP sirven dos propósitos Identificador: Localizador Quién es este nodo Identificación permanente Dónde se encuentra, en qué red Cómo se pueden rutar paquetes dirigidos a él 10

11 1 Dificultades y requisitos Las direcciones IP sirven dos propósitos MIP usa IPs como identificadores e IPs como localizadores Endpoint identifier No cambia cuando el nodo móvil se mueve a otra red Endpoint locator Cambia necesariamente al movernos a otra red 11

12 1 Dificultades y requisitos La IP de un nodo no cambia ( TCP ) Hay protocolos que asumen que la IP no cambia El endpoint identifier no cambia durante una conexión Este hecho requiere reflexión acerca del diseño del TCP Una misma conexión, dos Ips fuente distintas en momentos distintos En MIP el nodo móvil no cambia de IP a medida que hace roaming Las conexiones TCP resultan permanentes El roaming resulta totalmente transparente a las aplicaciones 12

13 1 Dificultades y requisitos Routers También pueden moverse a otras redes? En caso de emergencias Para desplegar rápidamente una nueva infraestructura 13

14 1 Dificultades y requisitos Despliegue incremental Durante sus dos primeras décadas internet era totalmente fija Probablemente en los próximos años la mayor parte de Internet seguirá siendo fija Cómo realizar el despliegue incremental de MIP? Coexistencia de ambas infraestructuras Mobile IP ha de afectar sólo a los nodos involucrados en la movilidad El nodo móvil El Agente Local (Un router, Home Agent, HA) 14

15 1 Dificultades y requisitos IPv6 IPv6 soporta movilidad desde su inicio Una posición ventajosa La movilidad IPv4 e IPv6 presentan grandes diferencias Mobile IPv4 vs. Mobile IPv6 El despliegue de IPv6 se encuentra en un estado muy incipiente aún Causas NAT IPv4 NAT Traversal en VOIP y en juegos multijugador El despliegue de IPv6 ha sido promovido por redes de investigación 15

16 1 Dificultades y requisitos Redes inalámbricas y Movilidad Redes inalámbricas Conexión sin cables Puede darse sin movilidad a otras redes Movilidad Nodo que se mueve a otra red y mantiene su conectividad de forma transparente El nodo que se mueve puede conectarse con un cable 16

17 1 Dificultades y requisitos Movilidad en Internet Qué ocurre en un gran sistema heterogéneo como Internet? Se necesita un soporte específico de movilidad a nivel IP: Mobile IPv4 Mobile IPv6 17

18 1 Dificultades y requisitos Movilidad en Internet L3-mobility Un nodo móvil se mueve de una red a otra La movilidad dentro de una red, ejemplos: GSM y Soportan mecanismos específicos de cambio de punto de acceso 18

19 02 Mobile IP Conceptos y posibilidades

20 2 Tunnelling Normal IP encapsulation R1 Internet R2 Get myfile.txt Application Get myfile.txt Presentation Get myfile.txt Session Preamble Dst MAC Dst MAC Src MAC Src MAC Dst IP Dst IP Dst IP Src IP Src IP Src IP Protocol 6 Protocol 6 Protocol 6 Dst port 2000 Dst port 2000 Dst port 2000 Dst port 2000 Src port Src port Src port Src port Get myfile.txt Get myfile.txt Get myfile.txt Get myfile.txt Transport Network Datalink Physical 20

21 2 Protocol Numbers RFC

22 2 IP-in-IP encapsulation/multiplexing: Tunnelling R1 Internet R2 Get myfile.txt Application Get myfile.txt Presentation Get myfile.txt Session Protocol 6 Dst port 2000 Dst port 2000 Src port Src port Get myfile.txt Get myfile.txt Transport Network Protocol 4 Network Dst MAC Src MAC Protocol 4 Datalink Dst MAC Src MAC Protocol 4 Physical 22

23 2 Mobile IP MIP Arquitectura de Internet actual Mecanismo principal de envío de tráfico IP a nodos móviles No supone cambios en los nodos fijos No supone cambios en la mayoría de los routers Aborda con éxito el despliegue incremental de la movilidad 23

24 2 Mobile IP MIP Es un estándar abierto RFC 2002 y otros posteriores RFC 3344 Permite roaming entre redes IP Manteniendo el mismo IP address Y las conexiones TCP Y el estado de las aplicaciones Escalable 24

25 2 Mobile IP Mobile host Se supone que el nodo móvil posee una IP permanente Conocida como Home Address (HoA) Pertenece a la red base: Home Network Esta red recibe todos los paquetes dirigidos al nodo móvil No cambia: un identificador permanente del nodo móvil 25

26 2 Mobile IP El nodo móvil viaja a otra red Denominada Foreign Network Ingresa en la red solicitando una IP vía DHCP Esta IP cambia cada vez que el host hace roaming Esta IP es un localizador El host no pierde su IP identificadora 26

27 2 Mobile IP Terminología Correspondent node = Sending host = Nodo Remitente Tunnel = IP-in-IP encapsulation 27

28 2 Interconnecting large corporations: VPN FIGURE 3.26 An example of virtual private networks: (a) two separate private networks; (b) two virtual private networks sharing common switches. 28

29 2 Simple IP tunnel An IP internetwork may serve for connecting Net 1 and Net 2 As though they had a dedicated point-to-point circuit But both Net 1 and Net 2 will be exposed to other networks as well IP tunnel R1 is the entrance to the tunnel, R2 is the exit point 29

30 2 Simple IP tunnel FIGURE 3.27 A tunnel through an internetwork is the address of R2 that can be reached from R1 across the internetwork. 30

31 2 Mobile IP Un router con funcionalidad MIP Al menos un router ha de soportar MIP en la Home Network Denominado Home Agent (HoA) Foreign Network En el primer caso, también un router ha de soportar MIP (FoA) 31

32 03 Mobile IP Solución indirecta

33 3 Mobile IP, solución indirecta Solución basada en un agente local y un agente remoto Home Agent and Foreign Agent 33

34 3 Mobile IP, solución indirecta Home Agent y Foreign Agents Anuncian su presencia periódicamente en ambas redes Agent Advertisement Messages (AAM) IRDP = ICMP Router Discovery Protocol El nodo móvil espera un AAM, solicita un anuncio explícito al ingresar en una red Agent solicitation message 34

35 3 Mobile IP, solución indirecta Nodo móvil en red local (Home network) Aprende quién es su Home Agent mediante un anuncio (advertisement) antes de hacer roam Nodo móvil en una red remota 1. Aprende quién es su Foreign Agent (FA) al ingresar y registrarse 2. Le entrega la IP de su Home Agent (HA) 3. El FoA contacta al HoA y le da una dirección IP delegada (care-of-address) a la que hacer llegar los paquetes dirigidos al nodo móvil (La IP del FoA normalmente) 35

36 3 Mobile IP, solución indirecta Nodo móvil en una red remota 1. Aprende quién es su Foreign Agent (FA) al ingresar y registrarse 2. Le entrega la IP de su Home Agent (HA) 3. El FA contacta al HA y le concede una dirección IP delegada care-of-address: Es la IP que recibirá el tráfico en la red remota care-of-address. Dos tipos: Obtenido a partir del FA Colocalizado: Asociado al nodo móvil en sí mismo Un nodo móvil que hace funciones de FA Este care-of-address no se puede compartir con otros nodos móviles 36

37 3 Mobile IP, solución indirecta Tres fases para entregar tráfico al Nodo Móvil 1 Qué hace el Home Agent para interceptar un paquete IP dirigido al Nodo Móvil? 2 Qué hace el Home Agent para entregar el paquete al Agente Remoto (Foreign Agent)? 3 Qué hace el Foreign Agent para entregar el paquete al Nodo Móvil? 37

38 3 Mobile IP, solución indirecta 1. Qué hace HoA para interceptar un paquete IP dirigido al Nodo Móvil? HoA asume la IP del nodo móvil y lo sustituye a nivel ARP Proxy ARP Todos los mensajes ARP llevan la IP del Nodo Móvil, en vez de la suya MAC Home Agent = IP del nodo móvil 38

39 3 Mobile IP, solución indirecta 1. Qué hace el Home Agent para interceptar un paquete IP dirigido al Nodo Móvil? HoA: Proxy ARP Las asociaciones ARP pueden cachearse en los nodos El HA envía un mensaje ARP cuando el nodo móvil se registra en otra red Gratuitous ARP: Permite la actualización explícita de las caches ARP 39

40 3 Mobile IP, solución indirecta 2. Entrega de un paquete interceptado HA -> FA Tunneling (IP-in-IP encapsulation) El paquete se encapsula en un nuevo paquete IP Nuevo: Fuente HoA /Destino FoA Encapsulado: Fuente Nodo Emisor / Destino Home Address Al llegar al FoA, éste extrae el payload: Paquete IP: Fuente Nodo Emisor / Destino Home Address Reconoce el Home Address como el de un nodo móvil registrado Entrega el paquete encapsulado una nueva trama de nivel 2 dirigida a la dirección MAC del nodo móvil 40

41 3 Mobile IP, solución indirecta 2. Entrega de un paquete interceptado HoA -> FoA Foreign Agent vs. Nodo móvil Pueden ser el mismo computador Función FA Función nodo móvil La adquisición de una IP de la Foreign Network vía DHCP (Care-of-address) 41

42 3 Mobile IP, solución indirecta 3. Entrega de un paquete interceptado HA -> FA Al llegar al FoA, éste extrae el payload: Un paquete IP: Fuente: Nodo Emisor / Destino: Home Address Reconoce el Home Address como el de un nodo móvil registrado Entrega el paquete encapsulado una nueva trama de nivel 2 dirigida a la dirección MAC del nodo móvil 42

43 3 Mobile IP, solución indirecta 3. Entrega del paquete IP al nodo móvil Si no hay FA en una red Es emulado por el propio nodo móvil MIP necesita sólo un HA y nuevo software en el nodo móvil + DHCP 43

44 3 Mobile IP, solución indirecta Tráfico procedente del nodo móvil IP fuente: Su dirección permanente (Home Network) IP destino: Cualquiera que sea el nodo de internet de destino Como en un caso normal 44

45 3 Mobile IP, solución indirecta, topológicamente correcta Tráfico procedente del nodo móvil IP fuente: Su dirección permanente (Home Network) IP destino: Cualquiera que sea el nodo de internet de destino Este tráfico se deriva al HoA a través de un túnel inverso Reverse tunnel 45

46 3 Mobile IP, solución indirecta, topológicamente correcta Tunel inverso FoA -> HoA 46

47 04 Mobile IP Solución directa

48 4 Mobile IP, solución directa La ruta IP Mobile Node Correspondent puede resultar muy ineficiente Caso extremo El nodo móvil y el nodo remitente se encuentran en la misma red Todo el tráfico entre ambos resulta derivado hacia la Home Network Todo ese tráfico ha de regresar a la Foreign Network Muy ineficiente 48

49 4 Mobile IP, solución directa La ruta IP puede resultar muy ineficiente Caso extremo El nodo móvil y el nodo remitente se encuentran en la misma red La solución consiste en lograr que el remitente descubra que el nodo móvil se encuentra en su misma red Así, puede enviar los paquetes al nodo móvil directamente 49

50 4 Mobile IP, solución directa La ruta IP puede resultar muy ineficiente Caso general Que el remitente envíe los paquetes al nodo móvil sin pasar por el Home Agent Problema de routing en triángulo 50

51 4 Mobile IP, solución directa La ruta IP puede resultar muy ineficiente Solución Permitir al remitente que conozca la dirección care-of-address del nodo móvil La ruta resultante será óptima 51

52 4 Mobile IP, solución directa Binding update Home Agent SI ve un paquete dirigido al nodo móvil Envía un binding update al remitente El remitente añade una entrada a su binding cache Nodo móvil --- care-of-address De ahora en adelante, el HA creará un túnel con el FA directamente Cache: datos caducados FA (antiguo) envía un Binding warning 52

53 4 Mobile IP, solución directa Problemas de seguridad Sobre todo, se requieren esquemas de autenticación fuerte Autenticación de fuente y de mensajes Todos los mensajes de registro del nodo móvil al agente local requieren Mobile-Home Authentication Extension (MHAE) Algoritmo MD5 en modo prefijo+sufijo: obligatorio También se soporta HMAC-MD5 Protección anti re-play con marcas de tiempo y números de secuencia CISCO IOS: Las claves de movilidad IP se guardan en Radius y TACACS servers 53

54 4 Mobile IP, solución directa Conclusiones Mobile IP Escalable: Sólo los nodos que participan expíicitamente en Mobile IP han de soportar Mobile IP Transparente a las aplicaciones Seguro: Uso de criptografía de clave pública y autenticación de fuente y de mensajes 54