rfc2344.txt

RFC规范的翻译稿

组织：中国互动出版网（http://www.china-pub.com/）
RFC文档中文翻译计划（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
译者：Hlp(hlp,huangliuqi@hotmail.com)
译文发布时间：2001-3-30
版权：本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载，但必须保留本文档的翻译及版权信息。


Network Working Group                              G. Montenegro, Editor
Request for Comments: 2344                        Sun Microsystems, Inc.
Category: Standards Track                                       May 1998




  
RFC2344  移动IP反向隧道
(RFC2344 Reverse Tunneling for Mobile IP)


本备忘录状态
   This memo provides information for the Internet community.  It does
   not specify an Internet standard of any kind.  Distribution of this
   memo is unlimited.
版权声明
   Copyright (C) The Internet Society (1999).  All Rights Reserved.

摘要

   移动IP在家乡代理和移动节点的转交地址之间使用隧道，但在相反方向却很少使用。通常，移动节点通过一台位于外地网络上的路由器发送数据包，并假定数据包的路由与源地址无关。如果该假设不成立（即路由与源地址有关）,就可以很方便地在转交地址和家乡代理之间建立起一个拓扑上正确（topologically correct）的反向隧道。
   本文档推荐移动IP的一种向后兼容的扩展以支持在拓扑上正确的反向隧道。由位于家乡代理和移动节点转交地址之间的防火墙所引发的各种问题，本文档不予解决。




目录
1. 简介	3
1.1. 术语	4
1.2. 假定	4
1.3. 合理性	5
2. 总述	5
3.新的数据包格式	5
3.1. 移动代理广告扩展	5
3.2. 注册请求	6
3.3. 封装发送方式扩展	7
3.4.新的注册应答码	7
4. 协议工作方式的变化	8
4.1. 移动节点方面的考虑	8
4.1.1.给外地代理发送注册请求	8
4.1.2.接收来自外地代理的注册应答	8
4.2. 外地代理方面的考虑	9
4.2.1. 接收来自移动节点的注册请求	9
4.2.2. 把注册请求中继到家乡代理	9
4.3. 家乡代理方面的考虑	10
4.3.1. 从外地代理接收注册请求	10
4.3.2. 向外地代理发送注册应答	10
5. 移动节点到外地代理的发送方式	10
5.1. 直接发送方式	11
5.1.1. 数据包的处理	11
5.1.2. 数据包头部格式及各域	11
5.2. 封装发送方式	12
5.2.1 数据包的处理	12
5.2.2. 数据包头部格式及各域	12
5.3. 广播和多播数据报的支持	13
5.4.可选的反向隧道	13
6. 安全方面的考虑	14
6.1. 反向隧道劫机及拒绝服务攻击	14
6.2. 入口处过滤	14
7. 致谢	14
参考文献	14
编辑和主席地址	15
完整版权通告	16






1. 简介
   移动IP（参考文献[1]）的1.3列出了下面的假设:
      我们假设IP单播数据报的路由基于数据报头的目的地址(也就是说，不是根据源地址进行路由)。
   出于安全方面的考虑(例如IP欺骗攻击),以及根据RFC 2267（参考文献[8]）和CERT(参考文献[3])的建议,不遵循这个假设的路由器正在变得越来越常见。
   在这种路由器中数据包中的源地址和目的地址必须在拓扑上正确。前向隧道符合这一点，因为其端点(家乡代理和转交地址)各自被指定了正确的地址。但是另一方面,移动节点发送的数据包的源IP地址与其发送地的网络前缀不一致。
   本文档讨论在拓扑上正确的反向隧道。

RFC 2344            Reverse Tunneling for Mobile IP             May 1998

  移动IP在多播数据报和移动路由器的情况下没有规定使用反向隧道。但是,源IP地址被设置为移动节点的家乡地址，因此这些隧道在拓扑上不正确。
   注意不管拓扑正确性如何，反向隧道有几个用处：

      - 移动路由器:反向隧道不需要递归隧道（参考文献[1]）。

- 多播:反向隧道使得远离家乡的移动节点能够
(1) 加入到其家乡网络的多播组
(2) 发送多播数据报以便能够从其家乡网络发出（参考文献[1]）

      - 移动节点发送的数据包的TTL可能太小以至于在到达目的地之前就到期（例如，在发送数据报到其家乡网络上的其他主机时）。反向隧道解决了这个问题，因为它表现出来的只是TTL减1（参考文献[5]）。
1.1. 术语
   下面的讨论使用了移动IP规范中定义的术语。另外，还使用了下面的术语:

前向隧道
         把数据包发向移动节点的隧道。它始于家乡代理，终止于移动节点的转交地址。
反向隧道
         始于移动节点的转交地址，终止于家乡代理的隧道。
   本文当出现的关键词“必须(MUST )”，“不允许(MUST NOT)”，“要求（REQUIRED）”，“应该（SHALL）”,“不应该（SHALL NOT）”，“应该（SHOULD）”，“不应该（SHOULD NOT）”，“建议（RECOMMENDED）”，“可以(MAY)”，“可选（OPTIONAL）”等按RFC 2119（参考文献[9]）解释。（本文档的中译版将以粗体字加上红色显示）。


1.2. 假定
   移动性限制为一个通用的IP地址空间(举个例子，也就是说，移动节点与家乡代理之间的路由结构并不分为“专用”和“公用”网络)。

   本文档不解决穿越防火墙的问题。而是假设下述条件之一成立：

      - 数据包传送所经过的隧道沿途没有防火墙。
      - 任何位于其间的防火墙共享必要的安全联合来处理可能已经添加到数据包头部中的认证部分（参考文献[6]）或者加密部分（参考文献[7]）。

   这里讨论的反向隧道是对称的，就是说，它使用与前向隧道相同的配置（使用相同的封装方法，相同的IP地址作为隧道的端点）。除非指明别的封装方法，总是假设使用IP-in-IP封装（参考文献[2]）。

   路由最优化（参考文献[4]）引进了通信主机发起的前向隧道。因为移动节点可能不知道对方主机是否能对数据包进行拆封,在这种情况下的反向隧道在这里不予讨论。
1.3. 合理性
   为什么不让移动节点自己发起到家乡代理的隧道呢？实际上，这正是移动节点在以一个在拓扑上正确的配置转交地址操作时应该做的。

   但是，移动IP规范的一个基本设计目标就是不要求这种模式的操作。

   本文档大致描述的机制主要用于前向隧道依赖于外地代理的移动节点。我们所希望的就是继续支持这些移动节点，即使在出现过滤路由器的场合。
2. 总述
   移动节点到达一个外地网络，侦听代理广告并选中一个支持反向隧道的外地代理。当它通过该选中的外地代理注册时它请求使用反向隧道。此时，移动节点还根据它向外地代理发送数据包的方式在注册请求中表明是使用直接发送方式还是封装发送方式（见5节）。

   在直接发送方式中，移动节点把外地代理指明为其缺省路由器并直接把数据包发送到外地代理，也就是说没有经过封装。外地代理截获这些数据包，并通过隧道把他们传送到家乡代理。

   在封装发送方式中，移动节点把所有待发送的数据包进行封装。外地代理对这些数据包进行拆封并通过第二个隧道把他们传送到家乡代理，在第二个隧道，隧道的入口点是外地代理转交地址。

3.新的数据包格式
3.1. 移动代理广告扩展
0
1
2
3
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
       Type
    Length
          Sequence Number
            Lifetime 
R
B
H
F
M
G
V
T
     reserved
Zero or more Care-of  Addresses
     . . . . . .


   移动代理广告扩展（参考文献[1]）的唯一的变化是多出了一个“T”位：