移動IP路由方案研究

2019-11-03 09:08:18

字體：大中小

來源：轉載

供稿：網友

朱健楊庚
（南京郵電學院計算機科學與技術系南京210003）　　摘要本文對移動ip技術中的各種路由方案進行了分析研究。首先，我們介紹了移動IP的功能實體和基本的通信過程；然后對三角路由和反向隧道兩種路由方案做了測試分析，并指出了他們的不足。在此基礎上，我們提出了一種路由優化方案并引入了可靠的安全機制。

　　關鍵詞移動IP 三角路由反向隧道對端代理

1 引言

　　現有的IP路由體系有一個重要的規則：路由選擇只依據目的IP地址的網絡部分，而不是整個IP地址，即路由是針對網絡的。若主機從一個子網移動到一個新的子網并保持IP地址不變，則它的IP地址就不能反映出它的當前位置，由此引發的后果就是現有的IP路由體系不能把報文投遞給該主機。在這種情況下，主機必須配置一個新的屬于當前子網的IP地址來反映它的新位置。而對于一個TCP連接來說，有四個元素來唯一地標識它：源IP地址、目的IP地址、TCP源端口號、TCP目的端口號，改變其中任何一個都會導致TCP連接的中斷或丟失。因此，要保持移動主機移動時傳輸層的連接，必須保持IP地址不變。根據這些要求，IETF提出了移動IP技術。近年來，隨著對移動IP技術的理論探討不斷深入，人們發現它存在著一些不足，尤其在路由機制和安全機制方面還不能滿足現代通信的需求。

2 移動IP路由

2.1 基本原理

2.1.1 功能實體

　　移動IP定義了三個功能實體: 家鄉代理（HA，Home Agent）、外地代理（FA，Foreign Agent）和移動節點（MN，Mobile Node）。

　?。?）移動節點（MN）：當接入點從一條鏈路切換到另一條鏈路上時仍能保持所有正在進行的通信的移動主機。它有兩個IP地址，一個是家鄉地址（Home address），用來標識TCP連接的永久地址；另一個是轉交地址（COA，Care of Address），是當移動節點漫游到其他子網時所獲得的供IP包選路使用的臨時地址。轉交地址可以由外地代理提供，也可以由外地網絡的DHCP服務器分配。

　?。?）家鄉代理（HA）：移動節點本地網絡上的路由器。其作用是負責維護移動節點當前的位置信息，并且把送往移動節點家鄉地址的數據包通過隧道發往移動節點的轉交地址?！　?br>
　　（3）外地代理（FA）：移動節點當前連接到的外地網絡上的路由器。其作用是在為移動節點提供路由服務，并且對經家鄉代理封裝后發給移動節點的數據包進行解封裝，然后轉發給移動節點。

2.1.2 工作機制

　　移動IP的工作機制如下。

　?。?）家鄉代理和外地代理周期性發廣播報文，以此來向它們所在的網絡中的節點宣告它們的存在。

　?。?）移動節點收到廣播報文后，檢查報文的內容來判斷它所連接的是家鄉網絡還是外地網絡。當連在家鄉網絡上時，采用傳統的IP通信方式而不使用移動IP的功能。

　?。?）當移動節點移動到外地網絡時，它可以從當前網絡的外地代理發出的代理廣播消息中獲得轉交地址，或者通過DHCP服務器配置獲得，但在目前的移動IPv4中一般采用外地代理轉交地址。

　?。?）移動節點通過外地代理向家鄉代理注冊轉交地址，注冊可以通過移動IP中定義的注冊消息來完成。

　?。?）家鄉代理對移動節點的注冊請求進行鑒權、認證，認證通過則發注冊成功消息到移動IP的轉交地址，外地代理收到消息后再轉發給移動節點。

　?。?）此后所有發往移動節點的數據會先發往移動節點的家鄉網絡，然后由家鄉代理通過IP in IP隧道封裝，發往移動節點注冊的轉交地址。

　?。?）外地代理收到數據包后先解封裝，再轉發給移動節點。而移動節點發往與它通信的其他主機的數據會直接經過外地代理轉發到相應主機。這就形成了一個“三角路由”。

2.2 反向隧道

　　目前，在很多局域網中采用了入口過濾路由器來防止拒絕服務攻擊，即路由器在轉發數據包之前檢查IP數據報的源地址域，對于來自內部網絡而源地址不是內部網絡的報文，路由器會直接將它丟棄。采用這樣的方法對傳統的IP網絡不會帶來影響，但是將導致移動節點不能進行正常通信。因為當移動節點連接在外地網絡上時，它發出的報文要經過外地網絡的路由器。路由器會檢查報文的源地址和目的地址，而報文的源地址是移動節點的家鄉地址不屬于本網絡，于是報文被丟棄。

　　為了解決這個問題，IETF在移動IP中引入了反向隧道技術。反向隧道是指以移動節點的轉交地址為源地址，以家鄉代理為目的地址的隧道。如果移動節點要向通信對端發送數據包，首先要將數據包送到外地代理，并由外地代理進行IP in IP封裝，然后通過隧道發送給家鄉代理，再由家鄉代理轉發給通信對端。這樣一來，對外地網絡的路由器來講，它收到的數據包的源地址是移動節點的轉交地址，轉交地址屬于路由器所在的網絡。所以，數據包的源地址和目的地址在拓撲上都是正確的，不會被丟棄。

　　反向隧道技術的引入解決了入口過濾路由器給移動IP通信帶來的問題，但是它對通信的速率產生了一定的影響。我們搭建了一個移動IP模擬平臺，并對三角路由和反向隧道的傳輸速率做了測試，表1是我們所做的一些測試結果。

　　可以看出，當移動主機漫游到外地網絡時，如果使用三角路由，ping程序中的ICMP包平均往返時間從0.827ms激增至2.598ms，網絡延遲明顯增加。這是因為在隧道的起點和終點處對數據包的封裝和解封裝會引入延遲，降低速度，更為重要的一個原因是，傳統的移動IP使用三角路由，即通信節點發送數據包到移動節點時，需要通過其家鄉代理，而移動節點根據標準IP路由規則將數據包直接發送到通信節點，這個三角形的路由過程與直接路由相比，網絡開銷大大增加。另外，三角路由還存在一些潛在的危害，例如增加引入流量的時候容易引起家鄉代理處的路由瓶頸。而反向隧道的通信效率更低，因為它比三角路由增加了更多封裝、解封過程，而且數據包多走了從外地代理到家鄉代理的通信鏈路。

2.3 路由優化

　　根據測試結果可以看出采用三角路由和反向隧道會產生一定延遲，加重網絡負擔，所以它們都不是好的報文傳輸方式。實際上，我們可以很容易想到最佳的路由方案就是讓移動節點和通信對端之間直接進行通信，而不經過家鄉代理轉發。

　　要實現移動節點和通信對端之間直接通信，通信對端必須要記錄下移動節點的轉交地址，并且必須要將移動節點的轉交地址和家鄉地址對應。通常，通信對端是采用綁定表來記錄和它通信的移動節點的信息，這種表有兩個表項，分別是移動節點的家鄉地址和轉交地址。當通信對端有能力記錄移動節點的轉交地址后，剩下的問題就是如何將轉交地址告訴它，這個任務通常是由家鄉代理來完成的。在通信對端不知道移動節點的轉交地址時，它就會向移動節點的家鄉地址發送數據包，這個數據包會路由到移動節點的家鄉網絡。家鄉代理收到這個數據包后就會利用和外地代理之間的隧道發往外地代理，然后它會檢查移動節點的注冊請求中的P比特數，看移動節點是否允許將轉交地址發給其他節點。如果允許，則發綁定更新報文給通信對端。綁定更新報文中包括了以下一些信息：移動節點的家鄉地址、轉交地址以及一個生存時間值。其中生存時間值用于告訴通信對端多長時間要重新更新綁定表表項，如果為零，則表示要將有關這個移動節點的表項刪除，也就意味著通信對端不能和移動節點用優化的路由通信，而只能采用三角路由或反向隧道。

　　采用這種方案，顯然可以提高數據包的傳輸效率，但是值得注意的是這對與移動節點通信的每一臺主機都提出了很高的要求。因為這些主機各自需要維護一個綁定表，也就是說要對Internet上的幾乎所有的主機的軟件做出修改，這是不太現實的。

　　為此，我們對上述方法進行了改進。在同一個子網中，我們選擇用一個專門的節點來維護這個子網中所有其他主機的綁定表，姑且把它叫做對端代理CA（Correspondent Agent）, 與通信對端（Corres-pondent Node）對應。這樣一來，如果這個子網中的某一臺主機A要與一個連接在外地鏈路上的移動節點B通信，它會首先發數據包到移動節點B的家鄉網絡，正常情況下B的家鄉代理會發綁定更新消息給A，告訴它移動節點B當前的轉交地址。A然后發請求給對端代理，請求建立綁定表。以后，從A發出的數據包就根據B的轉交地址直接發往移動節點所連接的外地鏈路。

　　這種改進方案大大縮短了傳輸路徑，減小了傳輸延遲，可為綜合業務提供很好的支持，減輕了家鄉代理處的負擔。更關鍵的是，這種方案的實現并不是很困難。

　　對于優化的路由來說，最大的問題在于它的安全性。相對與傳統的移動IP來講，它需要對更多的實體進行認證。為了提高路由優化后移動IP網絡中實體之間通信的安全性，我們采用了IPSec協議對數據進行封裝。對家鄉代理、外地代理和對端代理三對實體間的通信采用IPSec中的ESP協議封裝，選擇通道模式。

　　采用通道模式的原因是可以穿過家鄉網絡和外地網絡的防火墻，而且可以對整個IP數據包進行保護。假如通信對端要發數據包到移動節點，則由對端代理進行封裝。外層IP頭的源IP地址為對端代理地址，目的地址為外地代理的地址。內層IP頭的源IP地址為通信對端地址，而目的地址為移動節點的家鄉地址。采用ESP協議可以確保IP數據包的機密性、數據的完整性以及對數據源的身份驗證。

　　在這三對實體間采用IPSec加密可以保證數據包在Internet上的安全傳遞，再加上移動IP自身的認證、鑒權以及加密機制，已經可以滿足移動IP通信的安全性要求。

3 結束語

　　通過以上的路由優化方案，縮短了傳輸路徑，減小了傳輸延遲，顯著提高了移動IP的通信效率，解決家鄉代理網絡瓶頸的問題，保證了移動IP用戶的業務質量。而且，還引入了可靠的安全機制，保證了通信的安全。我們相信這種方案的提出，會對移動IP技術的發展產生積極的意義。

----《中國數據通信》