Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

Drum prüfe, wer sich ewig bindet …

Das Binding und die Verwaltung des Bindings sind elementare Bestandteile von MIPv6. Normalerweise findet es zwischen dem Mobile Node und dem Home Agent statt. Es ist jedoch auch möglich, Bindings zwischen dem Mobile Node und dem Correspondent Node durchzuführen, um eine Routing-optimierte Kommunikation zu ermöglichen. Verlässt ein Mobile Node seinen Home Link und erhält an einem Foreign Link eine Care-of-Address, so sendet er eine Binding-Update-Nachricht an seinen Home Agent. Diese enthält neben dem IPv6-Header einen Destination-Options-Header, in dem die Home-Address-Option gesetzt ist (Abbildung 4). Sie dient dazu, dem Home Agent anzuzeigen, welche Home Address genutzt werden soll, da es theoretisch auch mehrere geben könnte.

Abbildung 4: Der Binding-Update-Header.

Die Nachricht wird mittels IPSec in einem ESP-Header gesichert übertragen und enthält darüber hinaus noch einen Mobility Header, der den Nachrichten-Typ 5 (Binding Update) mit einem gesetzten Home-Registration-Flag enthält, das den Empfänger auffordert, die Home Agent-Funktion zu übernehmen. Außerdem ist das Acknowledge-Flag gesetzt, um den Home Agent zu einer Antwort aufzufordern. Im Mobility Header ist darüber hinaus eine Lifetime in 4-Sekunden-Einheiten angegeben, um die Gültigkeit des Bindings festzulegen. Binding-Update-Nachrichten werden zur Auffrischung des vorhandenen Bindings oder zur Information über eine neue Care-of-Address gesendet.

Die Antwort des Home Agents in Form eines Binding-Acknowledgment enthält statt des Destination Headers einen Typ-2-Routing-Header mit der Home Address des Mobile Node. Das Binding-Ack ist eine Typ-6-Nachricht, die die Angaben des Mobile Nodes bestätigt und einige weitere Verwaltungsinformationen enthält, wie zum Beispiel, ob IPSec einen Netzwerkwechsel unterstützt oder nicht – Letzteres sollte die Ausnahme sein. Das Statusfeld des Binding-Ack zeigt den Zustand des Bindings an. Dabei stehen die Werte 1 bis 127 für ein erfolgreiches Update, während Statuswerte von 128 und höher bestimmte definierte Probleme anzeigen. Binding-Acks werden zur Bestätigung von Binding-Updates geschickt. Der Home Agent kann mit einer Binding-Refresh-Request-Nachricht eine Aktualisierung der Informationen in Form eines Binding-Updates vom Mobile Node anfordern.

Ein Binding-Update kann ebenso direkt an den Correspondent Node gesendet werden, wenn dieser MIPv6 unterstützt. Hierzu sind allerdings spezielle Sicherheitsmaßnahmen erforderlich, um Angriffe durch Umleiten der Kommunikation zu verhindern. Dieser Sicherungsprozess wird als Return Routability Procedure bezeichnet und ermöglicht es dem Correspondent Node zu testen, ob der Mobile Node tatsächlich sowohl über seine Care-of-Address als auch über seine Home Address erreichbar ist. Erst dann werden Binding-Updates vom CN akzeptiert. Da die Bindings per IPSec kryptografisch gesichert sind, werden in diesem Zusammenhang Autorisierungsinformationen in Form kryptografischer Token ausgetauscht. Über den sogenannten Binding-Management-Key werden die Informationen letztlich gesichert.

Abbildung 5: Der Binding-Update-Prozess.

Neue ICMPv6-Funktionen

Mobile IPv6 bringt einige Erweiterungen für ICMPv6 mit sich, die zusätzliche Features erschließen. Bei der Home Agent Address Discovery ist es dem Mobile Node möglich, die Adresse seines Home Agent zu ermitteln. Hierzu wird ein Home Agent Address Discovery Request an die Home-Agent-Anycast-Adresse seines Home Link gesendet. Dies ist eine spezielle Anycast-Adresse, auf die alle Home Agents reagieren. Ein Home Agent reagiert auf diese Anfrage mit einem Home Agent Address Discovery Reply. Es enthält eine Liste mit Home Agent-Adressen, sortiert nach deren Präferenzen.

Bei temporären IPv6-Adressen kann es zu Änderungen des Präfixes der Heimnetze eines Mobile Node kommen. Diese Änderung kann der Mobile Node mittels einer Mobile-Prefix-Solicitation-Nachricht ermitteln. Sie wird an den Home Agent gesendet, der mit einem Mobile Prefix Advertisement antwortet. Diese Advertisements können bei Bedarf auch unaufgefordert an die aktuelle Care-of-Address des MN gesendet werden.

Jeder Mobile Node muss in seinem Home Link eine Liste mit Home Agents erstellen können. Dazu benötigt er über die Router Advertisements nicht nur die Link-Local-Adressen seiner Home-Agent-Router, sondern auch deren Global-Unicast-Adressen. Hierzu wurde das Router Advertisement modifiziert. Enthält es ein R-Flag (für Router Address), so enthält die Prefix-Option kein Präfix, sondern eine vollständige Global-Unicast-Adresse des Routers.

Weitere Änderungen im Neighbour Discovery betreffen die Angabe der Präferenz der Home-Agent-Adressen und ein verringertes Mindestintervall für Router Advertisements, damit Mobile Nodes in Foreign Links möglichst zeitnah über ihre neue Care-of-Address informiert werden können. Dieses Intervall wurde von ursprünglich 3 Sekunden auf 0,03 Sekunden reduziert. Dieser Wert kann auf WLAN-Routern sinnvoll sein, die ausschließlich für die Unterstützung von mobilen Geräten konfiguriert sind.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019