- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-NEMO配置
本章节下载: 01-NEMO配置 (358.82 KB)
NEMO(Network Mobility,网络移动)是对MIP(Mobile IP,移动IP)协议的一种扩展,能够保证用户在位置移动时网络通信不中断。NEMO把一组主机或者路由器看作一个整体移动网络,当这个网络发生移动时,网络中的设备可以不改变自己的IP地址,可以继续访问Internet或家乡网络。
· 移动节点(Mobile Node,MN):指一个主机或路由器,当它进行跨网段的漫游时可以不改变原有IP地址,仍能保持正在进行的通信。
· 家乡地址(Home Address):为移动节点分配的IP地址,不管节点在何处接入Internet,它都将保持不变。
· 家乡网络(Home Network):移动节点的家乡地址所在的网络。
· 家乡代理(Home Agent,HA):指移动节点所在的家乡网络的某一个主机或路由器,它保存了移动节点的位置信息,当移动节点离开本地网络时能够将发往移动节点的报文传给目的地。
· 转交地址(Care-of Address,CoA):移动节点隧道接口的IP地址。当移动节点不在家乡网络时,家乡代理会把报文转发到转交地址。
· 配置转交地址(Collocated Care-of Address,CCoA):移动节点通过手工配置或者DHCP获得的外地网络中的IP地址。
· 移动路由器(Mobile Router,MR):具备移动节点功能的路由器。
移动路由器的工作流程如下:
(1) 移动路由器向家乡代理发送注册请求;
(2) 如果存活时间超时,移动路由器还没有收到应答,则删除注册信息,启动重注册定时器,重新发送注册报文;
(3) 如果收到应答,移动路由器会自动创建一条隧道,并生成一条出接口为隧道接口、目的地址为家乡代理的缺省路由。
移动路由器通过3G或4G接口与家乡代理之间建立隧道,实现移动路由器及下挂子网接入到家乡网络中。
当移动网络整体移动时,只有移动路由器上的接口IP地址发生变化,移动路由器重新注册,并重新建立隧道,下挂子网中的终端感知不到任何地址变化,终端上的应用会话不会中断。
图1-1 主接入场景示意图
移动网络使用有线接入作为主链路访问网络,3G或4G无线链路作为备份链路。如果移动网络需要移动到其他场所,则有线链路断开,无线链路工作,移动网络通过无线链路访问网络。移动到另一场地,重新接入有线链路,则无线链路停止工作,继续作为备份链路。
图1-2 备接入场景示意图
MIP报文由固定部分和扩展部分组成。在MIP报文中,扩展部分必须存在认证信息,可以根据需要封装NEMO扩展或者NVSE扩展。
图1-3 MIP请求报文格式
各字段解释如下:
· Type:标识报文类型。值为1表示Request报文;值为3表示Reply报文。
· S:同步绑定;B:广播数据报;D:移动节点解封装;M:最小封装;G:GRE封装;r:发送0,在接收端忽略;T:反向隧道请求;x:发送0,在接收端忽略。
· Lifetime:存活时间。值为0表示超时,撤销注册;值为0xFFFF(65535)表示永不超时。
· Home Address:移动节点的家乡地址。
· Home Agent:家乡代理地址。
· Care-of Address:移动节点的转交地址。
· Identification:匹配请求报文和应答报文,值为格式化NTP后的值。
· Extensions:认证扩展。如果有NEMO或者NVSE,还需要封装NEMO或NVSE格式的扩展。
图1-4 MIP应答报文格式
其中,与MIP请求报文不同的字段有:
· Code:错误码。值为0~8表示成功,其它的为错误,详细信息可以参考RFC 5944。
· Identification:匹配请求报文和应答报文。如果Code字段接受请求,该字段会拷贝请求报文中的Identification。
图1-5 MIP扩展认证格式
各字段的解释如下:
· Type:认证类型,值为32。
· Length:认证长度,SPI和Authenticator长度之和。
· SPI:安全参数索引。
· Authenticator:认证密文。
图1-6 NEMO扩展报文格式
各字段的解释如下:
· Type:扩展类型,值为148。
· Length:扩展长度,不含Type长度,值为6。
· Sub-Type:扩展子类型,值为0。
· Prefix Length:子网前缀长度。
· Prefix:子网前缀。
图1-7 NVSE扩展报文格式
各字段的解释如下:
· Type:扩展类型,值为134。
· Length:长度,不含Type长度。
· Reserved:保留字段。
· Vendor/Org-ID:厂商ID字段,值为9。
· Vendor-NVSE-Type:厂商扩展类型,值为9表示显式类型,值为13表示隐式类型。
· Vendor-NVSE-Value:厂商扩展值,厂商前缀扩展。
图1-8 NVSE前缀扩展报文格式
各字段的解释如下:
· Sub-Type:前缀扩展子类型,值为1表示Request报文,值为2表示Reply报文。
· Length:长度,值为6。
· Prefix Length:子网前缀掩码。
· Code:错误码,值为0表示成功。
· Prefix:子网前缀。
· RFC 5177:Network Mobility (NEMO) Extensions for Mobile IPv4
· RFC 5944:IP Mobility Support for IPv4, Revised
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
ICG2000D、ICG2000D-EI |
不支持 |
|
ICG3000S |
支持 |
|
ICG3000G |
支持 |
|
ICG3000F、ICG3000F-DP |
支持 |
|
ICG5000G、ICG5000T |
支持 |
部分设备需要安装Data Software License才能使用NEMO。有关License的详细介绍,请参见“基础配置指导”中的“License管理”。
NEMO配置任务如下:
(1) 配置移动IP功能
(2) 配置移动路由器
(3) 配置漫游口
(4) 配置安全认证
(1) 进入系统视图。
system-view
(2) 开启移动IP功能,并进入移动IP视图。
router mobile
缺省情况下,移动IP功能处于关闭状态。
(3) (可选)配置移动IP路由优先级。
preference preference
缺省情况下,移动IP路由优先级为65。
(4) (可选)配置动态隧道的编号范围。
tunnel-number min min-number max max-number
缺省情况下,动态隧道编号的最小值为0,最大值为10239。
隧道范围表示MR创建隧道的可用编号,已被其他协议使用的隧道编号除外。如果隧道范围没有可用编号,MR向HA注册成功后,MR无法创建自动隧道,将启动重注册定时器。
(1) 进入系统视图。
system-view
(2) 开启移动路由器功能,并进入移动路由器视图。
ip mobile router
缺省情况下,移动路由器功能处于关闭状态。
(3) 配置移动路由器的家乡地址。
address ip-address
缺省情况下,未配置家乡地址。
(4) 配置家乡代理地址。
home-agent ip-address
缺省情况下,未配置家乡代理地址。
当移动网络发生移动时,移动路由器会向家乡代理发送注册请求。
(5) (可选)配置移动路由器与移动子网相连接的接口。
mobile-network interface-type { interface-number | interface-number.subnumber }
缺省情况下,未配置移动路由器与移动子网相连接的接口。MR向HA发送注册报文时,携带与移动子网相连接的接口的主IP地址和掩码信息。
MR向HA首次发送注册报文中会携带与移动子网相连接的接口的主IP地址和掩码信息,即移动子网的网络信息。一旦注册成功,随后的注册报文将不再携带移动子网的网络信息。
(6) (可选)配置注册请求的存活时间。
register lifetime seconds
缺省情况下,注册请求的存活时间为65534秒。
(7) (可选)配置注册成功后注册报文发送的时间间隔和重传次数。
register extend expire seconds retry retries interval interval
缺省情况下,注册请求的存活时间超时前发送注册请求的时间间隔为60秒;在没有收到回应时重发注册请求的时间间隔为10秒,重传次数为3次。
如果注册请求的存活时间小于等于发送注册请求的时间间隔,则会在注册成功后的“注册请求的存活时间/2”时刻重发注册报文。
(8) (可选)配置未注册成功时的报文发送时间间隔和重传次数。
register retransmit initial milliseconds maximum milliseconds retry retries
缺省情况下,第一次没有收到应答的重发注册的时间间隔为1000毫秒,最大重传时间间隔为5000毫秒,重传次数为3次。
(9) 开启厂商互通模式。
interop
缺省情况下,厂商互通模式处于关闭状态。
如果其他厂商设备支持RFC 5177扩展,则不需要开启厂商互通模式;如果不支持,则需要开启厂商互通模式。
(10) (可选)配置动态隧道接口的相关参数。
¡ 配置动态隧道接口的MTU值。
tunnel mtu size
缺省情况下,动态隧道接口的MTU值为64000字节。
¡ 将动态隧道接口发送报文的IP头中DF位置为0。
ip df-bit zero
缺省情况下,动态隧道接口发送IP报文头中的DF位为1。
¡ 在动态隧道接口上应用指定的IPSec安全策略。
ipsec policy policy-name
缺省情况下,在动态隧道接口上没有应用IPsec安全策略。IPsec安全策略的详细内容请参见“安全配置指导”中的“IPsec”。
¡ 配置动态隧道接口的TCP报文最大分段长度值。
tcp mss value
缺省情况下,不更改动态隧道接口的TCP报文最大分段长度。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 配置漫游口的相关参数。
a. 配置接口为漫游口。
ip mobile router-service roam
缺省情况下,接口不是漫游口。
b. (可选)配置漫游口的网关地址。
ip mobile router-service collocated gateway ip-address
缺省情况下,未配置漫游口的网关地址。
手工配置漫游口IP地址,或者漫游口通过DHCP获取地址且没有获取到DHCP网关,需要通过本命令配置网关地址,发送协议报文使用此网关地址作为下一跳。
(4) (可选)配置漫游口重新注册的时间间隔。
ip mobile router-service collocated registration retry interval
缺省情况下,漫游口重新注册的时间间隔为60秒。
移动路由器和家乡代理需要配置相同的验证模式和密码。
(1) 进入系统视图。
system-view
(2) 配置到家乡代理的SA(Security Association,安全联盟)。
ip mobile secure home-agent ip-address spi hex-value key ascii { cipher | simple } string
缺省情况下,未配置到家乡代理的SA。
关于SA的详细介绍,请参见“安全配置指导”中的“IPsec”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后NEMO的运行情况。
表1-1 NEMO显示和维护
|
操作 |
命令 |
|
显示MR向HA注册成功的信息 |
display ip mobile router registration |
开启移动IP功能,当移动网络整体移动时,下挂子网中的设备感知不到任何地址变化,设备上的应用会话不会中断。
在网络上HA设备是思科设备,Device是普通接入设备。在MR上插有USB 3G Modem接口模块,可通过DDR拨号接入3G网络向HA注册。
图1-9 NEMO典型配置组网图
HA设备的配置请参考思科相应手册。
# 配置MR接口GigabitEthernet1/0/1的IP地址。
<MR> system-view
[MR] interface gigabitethernet 1/0/1
[MR-GigabitEthernet1/0/1] ip address 20.1.1.1 255.255.255.0
[MR-GigabitEthernet1/0/1] quit
# 在MR上启动移动IP功能。
[MR] router mobile
[MR-MIP] quit
# 在MR上启动移动路由器功能。
[MR] ip mobile router
# 在MR上配置移动路由器的家乡地址。
[MR-mobile-router] address 1.1.1.3
# 在MR上配置移动路由器的家乡代理(使用HA上LoopBack0接口的IP地址)。
[MR-mobile-router] home-agent 1.1.1.2
# 在MR上配置接入的移动子网。
[MR-mobile-router] mobile-network gigabitethernet 1/0/1
[MR-mobile-router] quit
# 在MR上将Cellular2/4/0接口通道化出同/异步串口。
[MR] controller cellular 2/4/0
[MR-Cellular2/4/0] serial-set 0
[MR-Cellular2/4/0] quit
# 在MR上配置漫游口,该接口IP地址由运营商分配,具体详细配置参见“二层技术-广域网接入配置指导”中的“3G Modem和4G Modem管理”。
[MR] interface serial 2/4/0:0
[MR-Serial2/4/0:0] ip mobile router-service roam
[MR-Serial2/4/0:0] quit
# 配置安全认证。
HA上的认证配置需要和MR上相同,否则不能通过认证,连接将中断。
[MR] ip mobile secure home-agent 1.1.1.2 spi 100 key ascii simple abc
# MR移动前,查看MR的注册信息。
[MR] display ip mobile router registration
Registration accepted on 12/04/13 at 10:43:52, On Serial2/4/0:0
Care-of addr: 208.122.148.233, HA addr: 1.1.1.2, Home addr: 1.1.1.3
Lifetime requested: 65534, Granted: 36000
Remaining: 9 hours 58 minutes 36 seconds
Flags sbDmG-T-
Identification d64985e8.bd34f00e
Next registration: 9 hours 56 minutes 36 seconds
Extensions:
Mobile Network 20.1.1.0/24
Authentication SPI: 100
# 当MR移动到另一端时,查看MR的注册信息。可以看到,CoA发生变化,证明移动网络已经移到了另一端;移动网络的地址没有变化,终端上的应用会话不会中断。
[MR] display ip mobile router registration
Registration accepted on 12/04/13 at 11:35:45, On Serial2/4/0:0
Care-of addr: 212.48.124.187, HA addr: 1.1.1.2, Home addr: 1.1.1.3
Lifetime requested: 65534, Granted: 36000
Remaining: 9 hours 58 minutes 36 seconds
Flags sbDmG-T-
Identification d6499211.bc35e11d
Next registration: 9 hours 56 minutes 36 seconds
Extensions:
Mobile Network 20.1.1.0/24
Authentication SPI: 100
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
