移動IP路由方案研究

2019-11-03 09:08:18

字體：大中小

供稿：網(wǎng)友

朱健楊庚
（南京郵電學院計算機科學與技術(shù)系南京210003）　　摘要本文對移動ip技術(shù)中的各種路由方案進行了分析研究。首先，我們介紹了移動IP的功能實體和基本的通信過程；然后對三角路由和反向隧道兩種路由方案做了測試分析，并指出了他們的不足。在此基礎上，我們提出了一種路由優(yōu)化方案并引入了可靠的安全機制。

　　關(guān)鍵詞移動IP 三角路由反向隧道對端代理

1 引言

　　現(xiàn)有的IP路由體系有一個重要的規(guī)則：路由選擇只依據(jù)目的IP地址的網(wǎng)絡部分，而不是整個IP地址，即路由是針對網(wǎng)絡的。若主機從一個子網(wǎng)移動到一個新的子網(wǎng)并保持IP地址不變，則它的IP地址就不能反映出它的當前位置，由此引發(fā)的后果就是現(xiàn)有的IP路由體系不能把報文投遞給該主機。在這種情況下，主機必須配置一個新的屬于當前子網(wǎng)的IP地址來反映它的新位置。而對于一個TCP連接來說，有四個元素來唯一地標識它：源IP地址、目的IP地址、TCP源端口號、TCP目的端口號，改變其中任何一個都會導致TCP連接的中斷或丟失。因此，要保持移動主機移動時傳輸層的連接，必須保持IP地址不變。根據(jù)這些要求，IETF提出了移動IP技術(shù)。近年來，隨著對移動IP技術(shù)的理論探討不斷深入，人們發(fā)現(xiàn)它存在著一些不足，尤其在路由機制和安全機制方面還不能滿足現(xiàn)代通信的需求。

2 移動IP路由

2.1 基本原理

2.1.1 功能實體

　　移動IP定義了三個功能實體: 家鄉(xiāng)代理（HA，Home Agent）、外地代理（FA，F(xiàn)oreign Agent）和移動節(jié)點（MN，Mobile Node）。

　　（1）移動節(jié)點（MN）：當接入點從一條鏈路切換到另一條鏈路上時仍能保持所有正在進行的通信的移動主機。它有兩個IP地址，一個是家鄉(xiāng)地址（Home address），用來標識TCP連接的永久地址；另一個是轉(zhuǎn)交地址（COA，Care of Address），是當移動節(jié)點漫游到其他子網(wǎng)時所獲得的供IP包選路使用的臨時地址。轉(zhuǎn)交地址可以由外地代理提供，也可以由外地網(wǎng)絡的DHCP服務器分配。

　　（2）家鄉(xiāng)代理（HA）：移動節(jié)點本地網(wǎng)絡上的路由器。其作用是負責維護移動節(jié)點當前的位置信息，并且把送往移動節(jié)點家鄉(xiāng)地址的數(shù)據(jù)包通過隧道發(fā)往移動節(jié)點的轉(zhuǎn)交地址。　　

　　（3）外地代理（FA）：移動節(jié)點當前連接到的外地網(wǎng)絡上的路由器。其作用是在為移動節(jié)點提供路由服務，并且對經(jīng)家鄉(xiāng)代理封裝后發(fā)給移動節(jié)點的數(shù)據(jù)包進行解封裝，然后轉(zhuǎn)發(fā)給移動節(jié)點。

2.1.2 工作機制

　　移動IP的工作機制如下。

　　（1）家鄉(xiāng)代理和外地代理周期性發(fā)廣播報文，以此來向它們所在的網(wǎng)絡中的節(jié)點宣告它們的存在。

　　（2）移動節(jié)點收到廣播報文后，檢查報文的內(nèi)容來判斷它所連接的是家鄉(xiāng)網(wǎng)絡還是外地網(wǎng)絡。當連在家鄉(xiāng)網(wǎng)絡上時，采用傳統(tǒng)的IP通信方式而不使用移動IP的功能。

　　（3）當移動節(jié)點移動到外地網(wǎng)絡時，它可以從當前網(wǎng)絡的外地代理發(fā)出的代理廣播消息中獲得轉(zhuǎn)交地址，或者通過DHCP服務器配置獲得，但在目前的移動IPv4中一般采用外地代理轉(zhuǎn)交地址。

　　（4）移動節(jié)點通過外地代理向家鄉(xiāng)代理注冊轉(zhuǎn)交地址，注冊可以通過移動IP中定義的注冊消息來完成。

　　（5）家鄉(xiāng)代理對移動節(jié)點的注冊請求進行鑒權(quán)、認證，認證通過則發(fā)注冊成功消息到移動IP的轉(zhuǎn)交地址，外地代理收到消息后再轉(zhuǎn)發(fā)給移動節(jié)點。

　　（6）此后所有發(fā)往移動節(jié)點的數(shù)據(jù)會先發(fā)往移動節(jié)點的家鄉(xiāng)網(wǎng)絡，然后由家鄉(xiāng)代理通過IP in IP隧道封裝，發(fā)往移動節(jié)點注冊的轉(zhuǎn)交地址。

　　（7）外地代理收到數(shù)據(jù)包后先解封裝，再轉(zhuǎn)發(fā)給移動節(jié)點。而移動節(jié)點發(fā)往與它通信的其他主機的數(shù)據(jù)會直接經(jīng)過外地代理轉(zhuǎn)發(fā)到相應主機。這就形成了一個“三角路由”。

2.2 反向隧道

　　目前，在很多局域網(wǎng)中采用了入口過濾路由器來防止拒絕服務攻擊，即路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包之前檢查IP數(shù)據(jù)報的源地址域，對于來自內(nèi)部網(wǎng)絡而源地址不是內(nèi)部網(wǎng)絡的報文，路由器會直接將它丟棄。采用這樣的方法對傳統(tǒng)的IP網(wǎng)絡不會帶來影響，但是將導致移動節(jié)點不能進行正常通信。因為當移動節(jié)點連接在外地網(wǎng)絡上時，它發(fā)出的報文要經(jīng)過外地網(wǎng)絡的路由器。路由器會檢查報文的源地址和目的地址，而報文的源地址是移動節(jié)點的家鄉(xiāng)地址不屬于本網(wǎng)絡，于是報文被丟棄。

　　為了解決這個問題，IETF在移動IP中引入了反向隧道技術(shù)。反向隧道是指以移動節(jié)點的轉(zhuǎn)交地址為源地址，以家鄉(xiāng)代理為目的地址的隧道。如果移動節(jié)點要向通信對端發(fā)送數(shù)據(jù)包，首先要將數(shù)據(jù)包送到外地代理，并由外地代理進行IP in IP封裝，然后通過隧道發(fā)送給家鄉(xiāng)代理，再由家鄉(xiāng)代理轉(zhuǎn)發(fā)給通信對端。這樣一來，對外地網(wǎng)絡的路由器來講，它收到的數(shù)據(jù)包的源地址是移動節(jié)點的轉(zhuǎn)交地址，轉(zhuǎn)交地址屬于路由器所在的網(wǎng)絡。所以，數(shù)據(jù)包的源地址和目的地址在拓撲上都是正確的，不會被丟棄。

　　反向隧道技術(shù)的引入解決了入口過濾路由器給移動IP通信帶來的問題，但是它對通信的速率產(chǎn)生了一定的影響。我們搭建了一個移動IP模擬平臺，并對三角路由和反向隧道的傳輸速率做了測試，表1是我們所做的一些測試結(jié)果。

　　可以看出，當移動主機漫游到外地網(wǎng)絡時，如果使用三角路由，ping程序中的ICMP包平均往返時間從0.827ms激增至2.598ms，網(wǎng)絡延遲明顯增加。這是因為在隧道的起點和終點處對數(shù)據(jù)包的封裝和解封裝會引入延遲，降低速度，更為重要的一個原因是，傳統(tǒng)的移動IP使用三角路由，即通信節(jié)點發(fā)送數(shù)據(jù)包到移動節(jié)點時，需要通過其家鄉(xiāng)代理，而移動節(jié)點根據(jù)標準IP路由規(guī)則將數(shù)據(jù)包直接發(fā)送到通信節(jié)點，這個三角形的路由過程與直接路由相比，網(wǎng)絡開銷大大增加。另外，三角路由還存在一些潛在的危害，例如增加引入流量的時候容易引起家鄉(xiāng)代理處的路由瓶頸。而反向隧道的通信效率更低，因為它比三角路由增加了更多封裝、解封過程，而且數(shù)據(jù)包多走了從外地代理到家鄉(xiāng)代理的通信鏈路。

2.3 路由優(yōu)化

　　根據(jù)測試結(jié)果可以看出采用三角路由和反向隧道會產(chǎn)生一定延遲，加重網(wǎng)絡負擔，所以它們都不是好的報文傳輸方式。實際上，我們可以很容易想到最佳的路由方案就是讓移動節(jié)點和通信對端之間直接進行通信，而不經(jīng)過家鄉(xiāng)代理轉(zhuǎn)發(fā)。

　　要實現(xiàn)移動節(jié)點和通信對端之間直接通信，通信對端必須要記錄下移動節(jié)點的轉(zhuǎn)交地址，并且必須要將移動節(jié)點的轉(zhuǎn)交地址和家鄉(xiāng)地址對應。通常，通信對端是采用綁定表來記錄和它通信的移動節(jié)點的信息，這種表有兩個表項，分別是移動節(jié)點的家鄉(xiāng)地址和轉(zhuǎn)交地址。當通信對端有能力記錄移動節(jié)點的轉(zhuǎn)交地址后，剩下的問題就是如何將轉(zhuǎn)交地址告訴它，這個任務通常是由家鄉(xiāng)代理來完成的。在通信對端不知道移動節(jié)點的轉(zhuǎn)交地址時，它就會向移動節(jié)點的家鄉(xiāng)地址發(fā)送數(shù)據(jù)包，這個數(shù)據(jù)包會路由到移動節(jié)點的家鄉(xiāng)網(wǎng)絡。家鄉(xiāng)代理收到這個數(shù)據(jù)包后就會利用和外地代理之間的隧道發(fā)往外地代理，然后它會檢查移動節(jié)點的注冊請求中的P比特數(shù)，看移動節(jié)點是否允許將轉(zhuǎn)交地址發(fā)給其他節(jié)點。如果允許，則發(fā)綁定更新報文給通信對端。綁定更新報文中包括了以下一些信息：移動節(jié)點的家鄉(xiāng)地址、轉(zhuǎn)交地址以及一個生存時間值。其中生存時間值用于告訴通信對端多長時間要重新更新綁定表表項，如果為零，則表示要將有關(guān)這個移動節(jié)點的表項刪除，也就意味著通信對端不能和移動節(jié)點用優(yōu)化的路由通信，而只能采用三角路由或反向隧道。

　　采用這種方案，顯然可以提高數(shù)據(jù)包的傳輸效率，但是值得注意的是這對與移動節(jié)點通信的每一臺主機都提出了很高的要求。因為這些主機各自需要維護一個綁定表，也就是說要對Internet上的幾乎所有的主機的軟件做出修改，這是不太現(xiàn)實的。

　　為此，我們對上述方法進行了改進。在同一個子網(wǎng)中，我們選擇用一個專門的節(jié)點來維護這個子網(wǎng)中所有其他主機的綁定表，姑且把它叫做對端代理CA（Correspondent Agent）, 與通信對端（Corres-pondent Node）對應。這樣一來，如果這個子網(wǎng)中的某一臺主機A要與一個連接在外地鏈路上的移動節(jié)點B通信，它會首先發(fā)數(shù)據(jù)包到移動節(jié)點B的家鄉(xiāng)網(wǎng)絡，正常情況下B的家鄉(xiāng)代理會發(fā)綁定更新消息給A，告訴它移動節(jié)點B當前的轉(zhuǎn)交地址。A然后發(fā)請求給對端代理，請求建立綁定表。以后，從A發(fā)出的數(shù)據(jù)包就根據(jù)B的轉(zhuǎn)交地址直接發(fā)往移動節(jié)點所連接的外地鏈路。

　　這種改進方案大大縮短了傳輸路徑，減小了傳輸延遲，可為綜合業(yè)務提供很好的支持，減輕了家鄉(xiāng)代理處的負擔。更關(guān)鍵的是，這種方案的實現(xiàn)并不是很困難。

　　對于優(yōu)化的路由來說，最大的問題在于它的安全性。相對與傳統(tǒng)的移動IP來講，它需要對更多的實體進行認證。為了提高路由優(yōu)化后移動IP網(wǎng)絡中實體之間通信的安全性，我們采用了IPSec協(xié)議對數(shù)據(jù)進行封裝。對家鄉(xiāng)代理、外地代理和對端代理三對實體間的通信采用IPSec中的ESP協(xié)議封裝，選擇通道模式。

　　采用通道模式的原因是可以穿過家鄉(xiāng)網(wǎng)絡和外地網(wǎng)絡的防火墻，而且可以對整個IP數(shù)據(jù)包進行保護。假如通信對端要發(fā)數(shù)據(jù)包到移動節(jié)點，則由對端代理進行封裝。外層IP頭的源IP地址為對端代理地址，目的地址為外地代理的地址。內(nèi)層IP頭的源IP地址為通信對端地址，而目的地址為移動節(jié)點的家鄉(xiāng)地址。采用ESP協(xié)議可以確保IP數(shù)據(jù)包的機密性、數(shù)據(jù)的完整性以及對數(shù)據(jù)源的身份驗證。

　　在這三對實體間采用IPSec加密可以保證數(shù)據(jù)包在Internet上的安全傳遞，再加上移動IP自身的認證、鑒權(quán)以及加密機制，已經(jīng)可以滿足移動IP通信的安全性要求。

3 結(jié)束語

　　通過以上的路由優(yōu)化方案，縮短了傳輸路徑，減小了傳輸延遲，顯著提高了移動IP的通信效率，解決家鄉(xiāng)代理網(wǎng)絡瓶頸的問題，保證了移動IP用戶的業(yè)務質(zhì)量。而且，還引入了可靠的安全機制，保證了通信的安全。我們相信這種方案的提出，會對移動IP技術(shù)的發(fā)展產(chǎn)生積極的意義。

----《中國數(shù)據(jù)通信》