Académique Documents
Professionnel Documents
Culture Documents
Introduction à Mobile IP
Entités fonctionnelles de Mobile IP
Mode de fonctionnement de Mobile IP
Détection d'un agent
Adresses d'hébergement
Mobile IP avec création de tunnel inverse
Enregistrement de Mobile IP
Routage de datagrammes vers et à partir de nœuds mobiles
Considérations relatives à la sécurité de Mobile IP
Introduction à Mobile IP
Les versions actuelles de l'IP (Internet Protocol) partent du principe que le point de connexion
entre l'ordinateur et Internet ou un réseau est fixe. L'IP part également du principe que
l'adresse IP de l'ordinateur permet d'identifier le réseau auquel est connecté l'ordinateur. Les
datagrammes envoyés à un ordinateur sont basés sur les informations d'emplacement
contenues dans l'adresse IP. Dans le cas de nombreux protocoles Internet, l'adresse IP du
nœud n'est pas modifiée. Si l'un de ces protocoles est actif sur un périphérique informatique
Mobile IP, cela entraîne un échec de leurs applications. Cela occasionnerait même l'échec du
protocole HTTP si les connexions TCP n'étaient pas de nature si courte. La mise à jour d'une
adresse IP et l'actualisation de la page Web ne sont pas des tâches complexes.
Si un ordinateur portable ou nœud mobile se déplace vers un nouveau réseau alors que son
adresse IP ne change pas, l'adresse du nœud mobile ne reflète pas le nouveau point de
connexion. Par conséquent, les protocoles de routage existants ne peuvent pas acheminer
correctement les datagrammes vers le nœud mobile. Vous devez reconfigurer le nœud mobile
avec une adresse IP qui représente le nouvel emplacement. L'attribution d'une adresse IP
différente est une tâche fastidieuse. Par conséquent, sous l'IP actuel, si le nœud mobile se
déplace sans modifier son adresse, le routage est perdu. Si le nœud mobile modifie son
adresse, cela entraîne une perte des connexions.
Nœud mobile – Hôte ou routeur qui change son point de connexion d'un réseau à un
autre tout en conservant la totalité des communications existantes à l'aide de son
adresse IP d'accueil.
Agent d'accueil – Routeur ou serveur se trouvant sur le réseau d'accueil du nœud
mobile. Le routeur intercepte les datagrammes destinés au nœud mobile. Il livre
ensuite les datagrammes via l'adresse d'hébergement. L'agent d'accueil gère également
les informations actuelles à l'emplacement du nœud mobile.
Agent étranger – Routeur ou serveur situé sur le réseau étranger visité par le nœud
mobile. Fournit un service de routage d'hôtes au nœud mobile. L'agent étranger peut
également fournir une adresse d'hébergement au nœud mobile pendant
l'enregistrement de ce dernier.
Mobile IP permet d'acheminer des datagrammes IP vers les nœuds mobiles. L'adresse
d'accueil du nœud mobile identifie toujours ce dernier, quel que soit son point de connexion.
En cas d'absence, une adresse d'hébergement est associée à l'adresse d'accueil du nœud
mobile. L'adresse d'hébergement fournit les informations relatives au point de connexion
actuel du nœud mobile. Mobile IP utilise un mécanisme d'enregistrement pour enregistrer
l'adresse d'hébergement avec un agent d'accueil.
L'agent d'accueil redirige les datagrammes provenant du réseau d'accueil vers l'adresse
d'hébergement. L'agent d'accueil construit un nouvel en-tête IP qui contient l'adresse
d'hébergement du nœud mobile en tant qu'adresse IP de destination. Ce nouvel en-tête
encapsule le datagramme IP d'origine. Par conséquent, l'adresse d'accueil du nœud mobile n'a
aucune incidence sur l'acheminement du datagramme encapsulé jusqu'à ce que ce dernier
parvienne à l'adresse d'hébergement. Ce type d'encapsulation correspond à la création de
tunnel. Lorsque le datagramme parvient à l'adresse d'hébergement, il est désencapsulé. Le
datagramme est ensuite livré au nœud mobile.
La figure suivante représente un nœud mobile qui réside sur son réseau d'accueil, le réseau A,
avant d'être déplacé vers un réseau étranger, le réseau B. Mobile IP est pris en charge par les
deux réseaux. Le nœud mobile est toujours associé à son adresse d'accueil, 128.226.3.30.
Figure 2 : Nœud mobile résidant sur son réseau d'accueil
La figure suivante représente un nœud mobile qui s'est déplacé vers un réseau étranger, le
réseau B. Les datagrammes destinés au nœud mobile sont interceptés par l'agent d'accueil du
réseau d'accueil, soit le réseau A. Les datagrammes sont encapsulés. Ils sont ensuite envoyés à
l'agent étranger du réseau B. L'agent étranger retire ensuite l'en-tête externe. L'agent étranger
livre ensuite le datagramme au nœud mobile situé sur le réseau B.
L'adresse d'hébergement peut appartenir à un agent étranger. Le nœud mobile peut obtenir
l'adresse d'hébergement par le biais du protocole DHCP (Dynamic Host Configuration
Protocol) ou PPP (Point-to-Point Protocol). Dans le deuxième cas, le nœud mobile possède
une adresse d'hébergement colocalisée.
Les agents de mobilité (agents d'accueil et étrangers) indiquent leur présence à l'aide de
messages de publication d'agent. Au besoin, un nœud mobile peut également demander un
message de publication d'agent. Le nœud mobile utilise un agent de mobilité connecté
localement via un message de demande d'agent. Un nœud mobile utilise les publications
d'agent afin de déterminer s'il se trouve sur le réseau d'accueil ou sur un réseau étranger.
Le nœud mobile utilise un processus d'enregistrement spécial afin d'informer l'agent d'accueil
à propos de l'emplacement actuel du nœud mobile. Le nœud mobile est toujours "à l'écoute"
des agents de mobilité au cas où ils l'informeraient de leur présence. Le nœud mobile utilise
ces publications afin de déterminer le moment où se déplacer vers un autre sous-réseau.
Lorsqu'un nœud mobile détermine qu'il a changé d'emplacement, il utilise le nouvel agent
étranger pour transférer un message d'enregistrement vers l'agent d'accueil. Le nœud mobile
utilise le même processus lorsqu'il se déplace d'un réseau étranger vers un autre.
Lorsque le nœud mobile détecte qu'il est situé sur le réseau d'accueil, il n'utilise pas les
services de mobilité. Lorsque le nœud mobile revient sur le réseau d'accueil, il
se désenregistre auprès de l'agent d'accueil.
Les agents de mobilité transmettent les publications d'agents afin de publier les services sur
un réseau. En l'absence de publication d'agent, un nœud mobile peut demander des
publications. Cette capacité est également appelée demande d'agent. Si un nœud mobile est
capable de prendre en charge sa propre adresse d'hébergement colocalisée, il peut utiliser les
publications de routeur habituelles dans le même objectif.
Publication d'agent
Les nœuds mobiles utilisent la publication d'agent afin de déterminer le point actuel de
connexion à Internet ou au réseau d'une entreprise. Une publication d'agent correspond à une
publication de routeur ICMP (Internet Control Message Protocol) qui a été étendue afin de
porter une extension de publication d'agent de mobilité.
Un agent étranger peut être trop occupé pour pouvoir servir des nœuds mobiles
supplémentaires. Cependant, un agent étranger doit continuer d'envoyer des publications
d'agent. Ensuite, le nœud mobile, qui est déjà enregistré auprès d'un agent étranger, sait qu'il
est toujours à la portée de l'agent étranger. Le nœud mobile sait également que l'agent étranger
n'a pas échoué. Il est probable qu'un nœud mobile enregistré avec un agent étranger dont il ne
reçoit plus de publication d'agents sache qu'il ne peut plus contacter cet agent.
Demande d'agent
Chaque nœud mobile doit implémenter la demande d'agent. Pour la demande d'agents, le
nœud mobile utilise les procédures, paramètres par défaut et constantes spécifiés par les
routeurs ICMP pour les messages de demande.
Le nœud mobile limite la fréquence à laquelle il envoie ses demandes. Il peut envoyer trois
demandes initiales à une fréquence maximale d'une demande par seconde pendant qu'il
recherche un agent. Une fois le nœud mobile enregistré auprès d'un agent, la fréquence
d'envoi des demandes est réduite afin de limiter le temps système du réseau local.
Adresses d'hébergement
Mobile IP propose les autres modes d'acquisition suivants pour l'acquisition d'une adresse
d'hébergement :
Une adresse d'hébergement colocalisée permet à un nœud mobile de fonctionner sans agent
étranger. Par conséquent, un nœud mobile peut utiliser une adresse d'hébergement colocalisée
dans des réseaux n'ayant pas déployé d'agent étranger.
S'il utilise une adresse d'hébergement colocalisée, le nœud mobile doit se trouver sur le lien
identifié par le préfixe réseau de l'adresse d'hébergement. Autrement, la livraison des
datagrammes destinés à l'adresse d'hébergement est impossible.
Les entreprises utilisent des adresses privées lorsque la connectivité externe n'est pas requise.
Les adresses privées ne sont pas routables via Internet. Lorsqu'un nœud mobile possède une
adresse privée, il ne peut communiquer avec un nœud correspondant que si ses datagrammes
sont acheminés vers l'agent d'accueil par le biais du tunnel inverse. L'agent d'accueil livre
ensuite le datagramme au nœud correspondant de la manière dont il est normalement livré
lorsque le nœud mobile se trouve en accueil. La figure suivante illustre une topologie de
réseau avec deux nœuds mobiles possédant des adresses privées. Les deux nœuds mobiles
utilisent la même adresse d'hébergement lorsqu'ils sont enregistrés auprès du même agent
étranger.
Figure 5 : Nœuds mobiles possédant des adresses privées résidant sur le même réseau étranger
Le même réseau étranger peut comprendre deux nœuds mobiles pour lesquels la même
adresse IP sert d'adresse privée. Cependant, chaque nœud mobile doit posséder un agent
d'accueil différent. En outre, chaque nœud mobile doit se trouver sur un sous-réseau de
publication distinct appartenant à un agent étranger unique. La figure suivante illustre une
topologie de réseau correspondant à cette situation.
Figure 6 : Nœuds mobiles possédant des adresses privées et résidant sur des réseaux étrangers différents
Enregistrement de Mobile IP
Les nœuds mobiles détectent le moment où ils ont été déplacés d'un sous-réseau vers un autre
grâce à la publication d'agent. Lorsqu'il reçoit une publication d'agent indiquant le
changement de son emplacement, le nœud mobile s'enregistre par le biais d'un agent étranger.
Même s'il est possible que le nœud mobile ait pu acquérir sa propre adresse d'hébergement
colocalisée, cette fonction permet de restreindre l'accès aux services de mobilité.
Le processus d'enregistrement permet également aux nœuds mobiles d'effectuer les opérations
suivantes :
De plus, l'agent étranger ou l'agent d'accueil peut nécessiter un tunnel inverse. Si l'agent
étranger prend en charge la création de tunnels inverse, le nœud mobile utilise le processus
d'enregistrement pour demander un tunnel inverse. Le nœud mobile définit l'indicateur de
tunnel inverse dans la demande d'enregistrement de sorte qu'il effectue une demande de tunnel
inverse.
NAI (Network Access Identifier, identificateur d'accès au réseau)
Lorsqu'ils sont utilisés sur Internet, les serveurs AAA (Authentication, Autorization, and
Accounting ; authentification, autorisation et comptabilisation) offrent des services
d'authentification et d'autorisation aux ordinateurs à connexion téléphonique. ll est possible
que ces services soient tout aussi importants pour les nœuds mobiles faisant appel à Mobile IP
lorsqu'ils essaient de se connecter à des domaines étrangers avec des serveurs AAA. Les NAI
permettent aux serveurs AAA d'identifier des clients. Un nœud mobile peut s'identifier en
incluant les NAI dans la demande d'enregistrement de Mobile IP.
Dans la mesure où, en règle générale, un NAI identifie le nœud mobile de façon unique,
l'adresse d'accueil du nœud mobile n'est pas toujours nécessaire à l'obtention de cette fonction.
Par conséquent, un nœud mobile peut s'authentifier lui-même. Ainsi, un nœud mobile peut
obtenir une autorisation de connexion à un domaine étranger sans même posséder une adresse
d'accueil. Pour demander l'attribution d'une adresse d'accueil, un message contenant
l'extension NAI du nœud mobile peut définir le champ d'adresse d'accueil à zéro dans la
demande d'enregistrement.
Si les agents d'accueil et étrangers prennent en charge les tunnels inverses et si le nœud
mobile demande un tunnel de retour, l'agent étranger achemine l'ensemble des paquets à partir
du nœud mobile vers l'agent d'accueil. L'agent d'accueil envoie alors les paquets au nœud
correspondant. Ce processus est l'inverse de celui où l'agent d'accueil achemine tous les
paquets du nœud mobile vers l'agent étranger en vue d'une livraison au nœud mobile. Un
agent étranger qui prend en charge les tunnels inverses indique que ces derniers sont pris en
charge pour l'enregistrement. Selon la stratégie locale, l'agent étranger peut refuser une
demande d'enregistrement en l'absence de définition d'indicateur de tunnel inverse. L'agent
étranger peut distinguer plusieurs nœuds mobiles avec la même adresse IP (privée)
uniquement lorsque ces derniers visitent différentes interfaces sur l'agent étranger. Dans le cas
d'un tunnel d'acheminement, l'agent étranger fait la distinction entre plusieurs nœuds mobiles
partageant la même adresse privée en consultant l'interface du tunnel entrant. L'interface du
tunnel entrant mappe vers une adresse d'agent d'accueil unique.
Un agent d'accueil peut ne pas posséder de sous-réseau configuré pour les nœuds mobiles.
Cependant, l'agent d'accueil doit reconnaître l'adresse d'accueil du nœud mobile par le biais du
fichier mipagent.conf ou d'un autre mécanisme lorsqu'il autorise un enregistrement. Pour de
plus amples informations sur le fichier mipagent.conf, reportez-vous à la section Création du
fichier de configuration de Mobile IP.
Un agent d'accueil peut prendre en charge des nœuds mobiles disposant d'une adresse privée
en les configurant dans le fichier mipagent.conf. Les adresses d'accueil utilisées par l'agent
d'accueil doivent être uniques.
Méthodes d'encapsulation
Les agents d'accueil et étrangers utilisent l'une des méthodes d'encapsulation disponibles pour
la prise en charge des datagrammes utilisant un tunnel. Les méthodes d'encapsulation définies
sont l'encapsulation IP dans IP, l'encapsulation minimale et l'encapsulation de routage
générique. Les cas d'agents étrangers et d'accueil, ou de nœuds mobiles indirects colocalisés
et d'agents d'accueil, doivent prendre en charge la même méthode d'encapsulation. Toutes les
entités de Mobile IP doivent obligatoirement prendre en charge l'encapsulation IP dans IP .
Si le nœud mobile est enregistré et utilise l'adresse d'hébergement d'un agent étranger,
le processus est relativement simple. Le nœud mobile choisit son routeur par défaut
parmi les adresses de routeur publiées dans la partie publication du routeur ICMP de la
publication de cet agent. Il peut également considérer l'adresse IP source de la
publication d'agent comme un autre choix possible d'adresse IP de routeur par défaut.
Le nœud mobile peut être enregistré directement auprès de l'agent d'accueil à l'aide
d'une adresse d'hébergement colocalisée. Ensuite, le nœud mobile sélectionne son
routeur par défaut parmi ceux qui sont publiés dans tout message de publication de
routeur ICMP qu'il est susceptible de recevoir. Le préfixe réseau du routeur par défaut
sélectionné doit correspondre au préfixe réseau de l'adresse d'hébergement du nœud
mobile provenant d'une source externe. L'adresse peut correspondre à l'adresse IP
source de la publication d'agent sous le préfixe réseau. Ensuite, le nœud mobile peut
également considérer que l'adresse IP source est un autre choix possible pour l'adresse
IP d'un routeur par défaut.
Si le nœud mobile est enregistré, un agent étranger qui prend en charge les tunnels
inverses achemine les datagrammes de monodiffusion à partir du nœud mobile vers
l'agent d'accueil via le tunnel inverse. S'il est enregistré avec un agent étranger qui
assure la prise en charge de tunnel inverse, le nœud mobile doit utiliser cet agent
étranger en tant que routeur par défaut.
Datagrammes de diffusion
Lorsqu'un agent d'accueil reçoit un datagramme de diffusion ou de multidiffusion, il le
transfère uniquement vers les nœuds mobiles qui ont indiqué spécifiquement qu'ils souhaitent
recevoir des datagrammes. Le mode de transmission des datagrammes de diffusion et
multidiffusion vers les nœuds mobiles dépend principalement de deux facteurs. Le nœud
mobile utilise soit une adresse d'hébergement fournie par un agent étranger, soit sa propre
adresse d'hébergement colocalisée. Dans le premier cas, cela signifie qu'une double
encapsulation du datagramme est nécessaire. Le premier en-tête IP identifie le nœud mobile
auquel le datagramme doit être livré. Cet en-tête ne se trouve pas dans le datagramme de
diffusion ou de multidiffusion. Le second en-tête IP identifie l'adresse d'hébergement et
constitue l'en-tête de tunnel habituel. Dans le deuxième cas, le nœud mobile décapsule ses
propres datagrammes et il suffit d'envoyer le datagramme via le tunnel habituel.
Si le nœud mobile utilise une adresse d'hébergement colocalisée, il peut utiliser celle-
ci en tant qu'adresse IP source de tout message IGMP (Internet Group Management
Protocol). Cependant, le sous-réseau visité doit disposer d'un routeur de
multidiffusion.
Si le nœud mobile souhaite rejoindre le groupe ICMP de son sous-réseau d'accueil, il
doit utiliser un tunnel inverse pour envoyer des messages IGMP à l'agent d'accueil.
Cependant, l'agent d'accueil du nœud mobile doit être un routeur de multidiffusion.
L'agent d'accueil transfère ensuite les datagrammes de multidiffusion via le tunnel vers
le nœud mobile.
Si le nœud mobile utilise une adresse d'hébergement colocalisée, il peut utiliser cette
adresse en tant qu'adresse IP source de tout message d'adhésion IGMP. Cependant, le
sous-réseau visité doit disposer d'un routeur de multidiffusion. Lorsque le nœud
mobile a rejoint le groupe, il peut participer en envoyant ses propres paquets de
multidiffusion directement sur le réseau visité.
Dans la mesure où Mobile IP reconnaît son incapacité à réduire ou éliminer cette faiblesse,
une forme d'authentification permet de protéger les messages d'enregistrement Mobile IP de
ce type d'attaques. L'algorithme par défaut utilisé est MD5 avec une taille de clé de 128 octets.
Le mode d'opération par défaut exige que cette clé de 128 octets précède et suive les données
à hacher. L'agent étranger utilise MD5 pour la prise en charge de l'authentification. Il utilise
également des clés d'une taille minimale de 128 octets, avec distribution de clé manuelle.
Mobile IP peut prendre en charge d'autres algorithmes d'authentification, modes
d'algorithmes, méthodes de distribution de clé et tailles de clé.
Ces méthodes empêchent les modifications sur les messages d'enregistrement Mobile IP.
Cependant, Mobile IP utilise une forme de protection contre la rediffusion afin d'alerter les
entités Mobile IP dans le cas où elles recevraient des duplicatas de messages d'enregistrement
précédents. Sans cette méthode de protection, le nœud mobile et son agent d'accueil
pourraient se désynchroniser si l'un d'entre eux recevait un message d'enregistrement. Ainsi,
Mobile IP met son état à jour. Par exemple, un agent d'accueil reçoit le duplicata d'un message
de désenregistrement alors que le nœud mobile est enregistré via un agent étranger.
La protection contre la rediffusion est assurée par les méthodes connues sous les noms
de nonce ou horodatage. Les agents d'accueil et les nœuds mobiles échangent les nonces et
les horodatages au sein des messages d'enregistrement Mobile IP. Les nonces et les
horodatages sont protégés contre les modifications par un mécanisme d'authentification. Par
conséquent, si un agent d'accueil ou un nœud mobile reçoit un message dupliqué, ce message
peut être rejeté.
Remarque –
La fonction Mobile IP est supprimée des mises à jour Solaris 10 depuis Solaris 10
8/07.
de configuration de
Mobile IP.
# /etc/inet.d/mipagent start
Configuration de la section General
Si vous avez copié un des exemples de fichiers dans le répertoire /etc/inet, vous
pouvez omettre cette procédure, car l'exemple de fichier contient cette
entrée. Section General contient les descriptions des étiquettes et valeurs utilisées
dans cette section.
[General]
Version = 1.0
2.
3. Remarque –
4. Le fichier /etc/inet/mipagent.conf doit contenir cette entrée.
5.
Configuration de la section Advertisements
Section Advertisements contient les descriptions des étiquettes et valeurs utilisées
dans cette section.
[Advertisements interface]
HomeAgent = <yes/no>
ForeignAgent = <yes/no>
PrefixFlags = <yes/no>
AdvertiseOnBcast = <yes/no>
RegLifetime = n
AdvLifetime = n
AdvFrequency = n
ReverseTunnel = <yes/no/FA/HA/both>
ReverseTunnelRequired = <yes/no/FA/HA>
2.
3. Remarque –
4. Vous devez inclure une section Advertisements différente pour chaque
interface sur l'hôte local qui fournit les services de Mobile IP.
5.
Configuration de la section GlobalSecurityParameters
La Section GlobalSecurityParameters contient les descriptions des étiquettes et
valeurs utilisées dans cette section.
[GlobalSecurityParameters]
MaxClockSkew = n
HA-FAauth = <yes/no>
MN-FAauth = <yes/no>
Challenge = <yes/no>
KeyDistribution = files
Configuration de la section Pool
La Section Pool fournit les descriptions des étiquettes et valeurs utilisées dans cette
section.
1. Modifiez le fichier /etc/inet/mipagent.conf
2. Ajoutez ou modifiez les lignes suivantes avec les valeurs requises pour votre
configuration :
[Pool pool-identifier]
BaseAddress = IP-address
Size = size
Configuration de la section SPI
La Section SPI contient les descriptions des étiquettes et valeurs utilisées dans cette
section.
1. Modifiez le fichier /etc/inet/mipagent.conf .
2. Ajoutez ou modifiez les lignes suivantes avec les valeurs requises pour votre
configuration :
[SPI SPI-identifier]
ReplayMethod = <none/timestamps>
Key = key
3.
4. Remarque –
5. Vous devez inclure une section SPI différente pour chaque contexte de
sécurité déployé.
6.
Configuration de la section Address
La Section Address contient les descriptions des étiquettes et valeurs utilisées dans
cette section.
1. Modifiez le fichier /etc/inet/mipagent.conf .
2. Ajoutez ou modifiez les lignes suivantes avec les valeurs requises pour votre
configuration :
o Pour un nœud mobile, utilisez ce qui suit :
[Address address]
Type = node
SPI = SPI-identifier
[Address address]
Type = agent
SPI = SPI-identifier
[Address NAI]
Type = Node
SPI = SPI-identifier
Pool = pool-identifier
[Address Node-Default]
Type = Node
SPI = SPI-identifier
Pool = pool-identifier
Modification de la section General
1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en
tant qu'administrateur principal ou superutilisateur.
Le rôle d'administrateur principal inclut le profil d'administrateur principal.
Pour plus d'informations sur la création d'un rôle et son assignation à un
utilisateur, reportez-vous au Chapitre 2, Working With the Solaris
Management Console (Tasks) du System Administration Guide: Basic
Administration.
Modification de la section Advertisements
1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en
tant qu'administrateur principal ou superutilisateur.
Modification de la section GlobalSecurityParameters
1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en
tant qu'administrateur principal ou superutilisateur.
Modification de la section Pool
1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en
tant qu'administrateur principal ou superutilisateur.
L'exemple suivant indique les commandes à utiliser pour modifier l'adresse de base
en 192.168.1.1, ainsi que la taille du Pool de 10 à 100.
Modification de la section SPI
1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en
tant qu'administrateur principal ou superutilisateur.
Modification de la section Address
1. Connectez-vous au système sur lequel vous souhaitez activer Mobile IP en
tant qu'administrateur principal ou superutilisateur.
L'exemple suivant indique comment modifier les autres paramètres fournis dans la
section Address de l'exemple de fichier de configuration.
o
o Remarque –
o La commande suivante permet d'ajouter une interface :
o Dans cette instance, les valeurs par défaut sont assignées à l'interface
(pour l'agent étranger et l'agent d'accueil).
o
3.
4. Remarque –
5. Veillez à ne pas créer des
sections Advertisements, Pool , SPI et Address identiques.
6.
[Advertisements hme0]
HomeAgent = yes
ForeignAgent = yes
# mipagentstat options
3. -f
4. Affiche la liste des nœuds mobiles actifs dans la liste des visiteurs de l'agent
étranger.
5. -h
6. Affiche la liste des nœuds mobiles actifs dans la table de liaisons de l'agent
d'accueil.
7. -p
8. Affiche la liste des associations de sécurité avec les homologues d'agent d'un
agent de mobilité.
Cet exemple indique comment afficher la liste de visiteurs de tous les nœuds
mobiles enregistrés avec un agent étranger.
# mipagentstat -f
Cet exemple indique comment afficher les associations de sécurité des agents
d'accueil.
# mipagentstat -fp
# netstat -rn
L'exemple suivant illustre les routes d'un agent étranger qui utilise un tunnel de
retour.
Glossaire
Ce glossaire contient la définition de nouveaux termes utilisés dans cet ouvrage et qui ne
figurent pas dans le glossaire Sun général, disponible sur le site Web docs.sun.com.
3DES
Voir Triple-DES.
AC
Adresse unicast dont la portée du routage est exclusivement locale (au sein du masque
de sous-réseau ou d'un réseau d'abonnés). Cette adresse peut également avoir un
caractère local ou global.
adresse anycast
adresse CIDR
adresse d'hébergement
Adresse temporaire d'un nœud mobile utilisée comme point de sortie du tunnel lorsque
le nœud mobile est connecté à un réseau étranger.
adresse de diffusion
Adresses réseau IPv4 avec la partie hôte de l'adresse ne comportant que des zéros
(10.50.0.0) ou des valeurs à un bit (10.50.255.255). Un paquet envoyé à une adresse
de diffusion à partir d'un ordinateur situé sur le réseau local est transmis à tous les
ordinateurs reliés au réseau.
adresse de données
adresse de multidiffusion
Adresse IPv6 identifiant un groupe d'interfaces d'une manière particulière. Un paquet
envoyé à une adresse de multidiffusion est diffusé à toutes les interfaces du groupe. La
fonctionnalité de l'adresse de multidiffusion IPv6 est similaire à celle de l'adresse de
diffusion IPv4.
adresse de test
Adresse IP dans un groupe IPMP à utiliser comme adresse source ou cible de test et
non comme adresse source ou cible du trafic des données.
adresse DÉSAPPROUVÉE
Adresse IP ne pouvant pas servir d'adresse source pour les données d'un groupe IPMP.
En règle générale, les adresses de test IPMP sont DÉSAPPROUVÉES . Toutefois,
toute adresse peut être indiquée comme adresse DÉSAPPROUVÉE en vue d'empêcher
son utilisation en tant qu'adresse source.
adresse domicile
Adresse IP allouée pendant une longue période à un nœud mobile. L'adresse reste
identique lorsque le nœud est rattaché à un autre point d'Internet ou du réseau de
l'organisation.
adresse lien-local
Dans IPv6, désignation utilisée en guise d'adresse d'une liaison simple lors d'une
configuration d'adresse automatique, par exemple. Par défaut, l'adresse lien-local est
créée à partir de l'adresse MAC du système.
adresse privée
Adresse IP impossible à acheminer via le réseau Internet. Les adresses privées peuvent
être utilisées par des réseaux internes sur des hôtes n'ayant pas besoin d'établir une
connexion Internet. Ces adresses sont définies dans Allocation d'adresses aux Internets
privés et souvent appelées adresses "1918".
adresse unicast
Adresse IPv6 identifiant une interface unique sur un nœud IPv6. Le préfixe de site,
l'ID du sous-réseau et l'ID de l'interface sont les trois composantes de l'adresse unicast.
AES
agent de mobilité
agent étranger
agent local
association de sécurité
Dans IPsec, attaque impliquant la capture d'un paquet par un intrus. Le paquet stocké
remplace ou réplique l'original par la suite. Pour se protéger contre ce type d'attaque, il
suffit que le paquet contienne un champ qui s'incrémente pendant la durée de vie de la
clé secrète assurant la sécurité du paquet.
basculement
Processus de rétablissement de l'accès réseau à partir d'une interface défaillante vers
une interface physique correcte. L'accès réseau inclut le trafic IPv4 monodiffusion,
multidiffusion et diffusion, ainsi que le trafic IPv6 monodiffusion et multidiffusion.
Blowfish
Algorithme de chiffrement par bloc symétrique de longueur de clé variable (entre 32 et
448 bits). Son créateur, Bruce Schneier, affirme que Blowfish est optimisé pour les
applications pour lesquelles la clé n'a pas besoin d'être régulièrement modifiée.
charge utile
Données transportées dans un paquet. La charge utile n'inclut pas les informations
d'en-tête nécessaires pour amener le paquet à destination.
classe
Dans IPQoS, processus visant à collecter et à enregistrer les informations sur les flux
de trafic. Pour ce faire, il convient de définir les paramètres du module flowacct dans
le fichier de configuration IPQoS.
compteur
configuration automatique
Processus selon lequel un hôte configure automatiquement son adresse IPv6 à partir
du préfixe de site et des adresses MAX locales.
Processus par lequel un hôte génère ses propres adresses IPv6 en combinant son
adresse MAC et un préfixe IPv6 publié par un routeur IPv6 local.
couche liaison
Couche située immédiatement sous IPv4/IPv6.
Système cryptographique utilisant deux clés différentes : une clé publique connue de
tous et une clé privée présentée exclusivement au destinataire du message. IKE fournit
des clés publiques à IPsec.
datagramme
Voir datagramme IP.
datagramme IP
DES
Dans un réseau IP mobile, processus selon lequel un nœud mobile détermine s'il a
changé de place et indique sa position actuelle ainsi que son adresse d'hébergement sur
un réseau étranger.
détection de défaillance
Processus de détection intervenant lorsqu'une interface ou le chemin d'une interface
vers un périphérique de couche Internet ne fonctionne plus. Le multiacheminement sur
réseau IP (IPMP, IP Network Multipathing) inclut deux types de détection de
défaillance : l'une utilise les liaisons (par défaut), l'autre les sondes (facultatif).
détection de réparation
détection de routeur
Processus selon lequel les hôtes localisent des routeurs résidant sur une liaison directe.
Mécanisme IP permettant à des hôtes de localiser d'autres hôtes résidant sur une
liaison directe.
DOI
double pile
DSA
DSCP
DS Codepoint, point de code DS. Valeur de 6 bits qui, si elle figure dans le champ DS
d'un en-tête IP, indique le mode de transfert d'un paquet.
en-tête
Voir en-tête IP.
en-tête d'authentification
En-tête d'extension assurant l'authentification et l'intégrité des datagrammes IP, mais
pas leur confidentialité.
en-tête de paquet
Voir en-tête IP.
en-tête IP
encapsulation
Processus selon lequel un en-tête et une charge utile sont placés dans le premier
paquet, puis insérés dans la charge utile du deuxième paquet.
encapsulation IP-in-IP
encapsulation minimal
Forme facultative IPv4 de la mise en tunnel IPv4 prise en charge par les agents locaux,
les agents étrangers et les nœuds mobiles. L'encapsulation permet d'économiser 8 ou
12 octets de surcharge par rapport à l'encapsulation IP-in-IP.
enregistrement
filtrage de paquets
filtre
GRE
groupe anycast
groupe IPMP
HMAC
hôte
hôte multiréseau
Système doté de plusieurs interfaces physiques et qui ne traite pas les paquets. Un hôte
multiréseau peut exécuter des protocoles de routage.
ICMP
Paquet transmis à une machine sur Internet en vue de solliciter une réponse. De tels
paquets sont communément appelés paquets "ping".
NAI, Network Access Identifier. Désignation qui identifie de manière unique le nœud
mobile sous la forme utilisateur@domaine.
IKE
Internet Key Exchange, échange de clé Internet. IKE automatise la mise en service de
matériel d'identification authentifié pour les association de sécurité IPsec.
SPI, Security Parameter Index. Nombre entier indiquant la rangée de la SADB qui
permettra au récepteur de décrypter un paquet reçu.
interface de réserve
Interface physique prévue pour gérer le trafic des données uniquement en cas de
défaillance d'une autre interface physique.
interface physique
IP
Internet Protocol, protocole Internet. Méthode ou protocole utilisé pour envoyer les
données d'un ordinateur à l'autre via Internet.
IP
Voir IP, IPv4, IPv6.
IPQoS
IPsec
IPv4
Protocole Internet, version 4. IPv4 est parfois appelé IP. Cette version prend en charge
un espace d'adressage à 32 bits.
IPv6
liaison de mobilité
liaison IP
Liste des certificats de clés publiques ayant fait l'objet d'une révocation par une AC.
Les LRC sont stockées dans la base de données des LRC, gérée par IKE.
MAC
marqueur
2. Module dans l'implémentation IPQoS qui marque l'indicateur de réseau local virtuel
d'un datagramme Ethernet par une valeur de priorité utilisateur. La valeur de priorité
utilisateur indique comment les datagrammes sont transmis sur un réseau comportant
des périphériques VLAN. Ce module est appelé dlcosmk.
MD5
migration d'adresse
modèle Diffserv
monter
MTU
Maximum Transmission Unit, unité de transmission maximale. Taille, exprimée en
octets, des données pouvant être transmises via une liaison. Ainsi, la MTU d'une
liaison Ethernet est de 1 500 octets.
nœud
Dans IPv6, tout système IPv6, qu'il s'agisse d'un hôte ou d'un routeur.
nœud mobile
Hôte ou routeur pouvant remplacer son point de jonction à un réseau par un autre tout
en conservant la totalité des communications existantes à l'aide de son adresse IP
domicile.
NAT
NIC
Network Interface Card, carte d'interface réseau. Carte réseau jouant le rôle d'interface
d'un réseau. Certaines cartes ont plusieurs interfaces physiques. C'est le cas des
cartes QFE.
nom du keystore
Nom qu'un administrateur attribue à une zone de stockage, ou keystore, sur une NIC.
Le nom du keystore est également appelé jeton ou ID de jeton.
paquet
Groupe d'informations transmis sous forme d'une unité sur les lignes de
communications. Un paquet contient un en-tête IP et une charge utile.
pare-feu
Dispositif ou logiciel prévu pour isoler le réseau privé ou le réseau intranet d'une
organisation d'Internet, afin de le protéger contre d'éventuelles intrusions. Un pare-feu
peut inclure le filtrage de paquets, des serveurs proxy et les valeurs NAT (Network
Address Translation, translation d'adresse réseau).
périphérique VLAN
PFS
Perfect Forward Secrecy, secret rigoureux des transmission .Avec la fonction PFS, la
clé visant à protéger la transmission des données n'est pas utilisée pour dériver d'autres
clés. Il en est de même pour la source de la clé.
PHB
Per-Hop Behavior, comportement par saut. Priorité accordée à une classe de trafic. Le
comportement par saut indique la priorité des flux de cette classe par rapport aux
autres classes de trafic.
pile
Voir pile IP.
pile de protocole
Voir pile IP.
pile IP
TCP/IP est souvent appelé une "pile". Ce terme fait référence aux couches (TCP, IP et
parfois d'autres) par lesquelles transitent toutes les données aux extrémités client et
serveur d'un échange de données.
PKI
pool d'adresses
priorité utilisateur
Valeur de 3 bits ayant pour effet de mettre en œuvre des marqueurs de classe de
services, qui définissent la façon dont les datagrammes Ethernet sont transférés sur un
réseau de périphériques VLAN.
protocole Diffie-Hellman
protocole ESP
Dans un réseau IP mobile, message envoyé à intervalles réguliers à des agents locaux
et étrangers pour publier leur présence lors d'un lien direct.
publication du routeur
Processus selon lequel les routeurs annoncent leur présence (avec divers paramètres de
connexion et paramètres Internet) de façon périodique ou en réponse à un message de
sollicitation d'un routeur.
reconfiguration dynamique
redirection
reniflage
Action d'espionner les communications des réseaux informatiques. Cette technique est
fréquemment employée avec des programmes automatisés pour extirper hors ligne des
informations telles que des mots de passe en clair.
répartition de charge
réseau étranger
réseau local
réseau virtuel
résultat
rétablissement
routeur
RSA
Méthode permettant d'obtenir des signatures numériques et des systèmes de
cryptographie par clé publique. Cette méthode qui date de 1978 a été décrite par trois
développeurs (Rivest, Shamir et Adleman).
SA
Voir association de sécurité.
SADB
saut
SCTP
sélecteur
Élément définissant de façon spécifique les critères à appliquer aux paquets d'une
classe particulière en vue de sélectionner ce trafic dans le flux du réseau. Vous
définissez les sélecteurs dans la clause de filtrage du fichier de configuration IPQoS.
serveur proxy
Serveur faisant l'interface entre une application client (telle qu'un navigateur Web) et
un autre serveur. Ce type de serveur permet de filtrer les requêtes afin d'interdire
l'accès à certains sites Web, par exemple.
SHA-1
signature numérique
sollicitation du routeur
Processus selon lequel les hôtes demandent à des routeurs de générer immédiatement
des publications du routeur, et non pas lors de la prochaine exécution programmée.
SPD
SPI
table de liaison
Dans un réseau IP mobile, table d'agents locaux associant une adresse domicile à une
adresse d'hébergement et indiquant notamment la durée de vie restante et le temps
accordé.
TCP/IP
NAT, Network Address Translation. Traduction d'une adresse IP utilisée au sein d'un
réseau sous une adresse IP différente connue au sein d'un autre réseau. Cette technique
sert à limiter le nombre d'adresses IP globales nécessaires.
Triple-DES
tunnel
tunnel bidirectionnel
tunnel inverse
usurpation
valeur de hachage
Nombre généré à partir d'une chaîne de texte. Les fonctions de hachage garantissent
que les messages transmis n'ont pas été sabotés. MD5 et SHA-1 sont des exemples de
fonctions de hachage unidirectionnel.
VPN
Virtual Private Network, réseau privé virtuel. Réseau logique sécurisé utilisant des
tunnels dans un réseau public tel qu'Internet.