移動ＩＰ技術（１）

[編者按] 隨著無線通信技術和便攜式終端技術的快速發展，面向固定網絡環境的傳統IP技術迫切需要更新，以支持主機在網絡中的漫游和移動。為此提出了移動IP技術，它是下一代通信網絡(NGN)和下一代因特網(NGI)的重要基礎技術之一。本講座分3期介紹該項技術，第1期介紹移動IPv4和移動IPv6的基本原理和關鍵技術；第2期將介紹移動IP的路由優化技術和安全技術；第3期將介紹移動IP切換技術，并簡述移動IP技術的未來發展。

1 移動IP的技術背景

下一代通信網絡將是一個以IP為核心的分組網絡，充分利用各種無線接入技術實現終端可自由移動的、無處不在的通信。無論固定通信終端還是移動通信終端都將被賦予統一編址的IP地址，網絡根據IP地址將數據分組路由傳送至終端。

IP地址采用“網絡前綴+主機地址”的兩段式結構，當主機位于其對應的子網上才能收到以它為目的地的數據分組。因此，當主機由一個子網移至另一個子網時，為保證其仍能收到數據分組，傳統IP技術可采取兩種方法：一是人工重新配置其IP地址、二是針對該主機在相應的路由器中配置特定的主機路由規則。但是，前者將導致運輸層和高層應用連接的中斷，后者將導致網絡路由表的急劇增長。為此，必須提出新的支持網絡節點自由移動的IP技術，即移動IP技術。

移動IP的基本技術要求是：網絡節點在改變接入子網時，無需改變其IP地址，仍然能和其他普通節點正常通信，且路由器和非移動主機的協議無需更新；移動IP不但支持節點在同質IP子網間的自由移動，也支持節點在異質子網如以太網和無線局域網之間的自由移動；移動IP對于運輸層及高層應用應該是完全透明的，即上層協議感覺不到它的引入，無需作任何改變；考慮到無線鏈路的有限帶寬和無線終端的有限電池容量，移動IP的協議開銷應盡可能地小；本質上，移動IP的實現將導致數據分組的重定向，因此必須有很高的安全性。

根據以上要求，IETF于1996年提出了移動IP的第一個版本，于2002年和2004年分別提出了移動IPv4和移動IPv6協議標準。

2 移動IPv4技術

2.1 移動IPv4網絡結構

移動IPv4(MIPv4)的網絡結構如圖1所示，包括以下4個功能實體：

●移動節點(MN)：裝備了移動IP協議的主機。

●對端節點(CN)：與移動節點進行通信的對端通信節點，并不要求裝備移動IP。

●家鄉代理(HA)：在MN家鄉鏈路上的路由器，其主要功能是當MN移動到外部子網時，截獲所有至該MN的數據分組，并通過隧道將其轉發給MN。所謂家鄉鏈路就是其子網前綴和移動節點IP地址的網絡前綴相同的鏈路。

●外地代理(FA)：在外地鏈路上的路由器，其主要功能是代表移動至該鏈路上的MN接收數據分組，并將其路由至MN。所謂外地鏈路就是其子網前綴和移動節點IP地址的網絡前綴不同的鏈路。

在MIPv4中，MN對應有兩個地址：

●家鄉地址(HoA)：常規配置的IP地址，該地址不隨MN的移動而改變，CN始終以此地址作為目的地地址和MN通信。

●轉交地址(CoA)：MN至外地子網后的臨時通信地址，家鄉代理以此地址作為目的地地址向MN轉發數據分組，實際上該地址就是家鄉代理至外地子網的隧道的出口地址。分為兩類轉交地址，一類稱為外地代理轉交地址，是在外地代理上配置的一個地址，通過該地址向所有連接在該外地鏈路上的MN轉發分組；另一類稱為配置轉交地址，是臨時分配給MN的一個地址，為該MN獨享。使用配置轉交地址的好處是數據分組直接遞交給MN，無需通過外地代理中轉，其代價是需要占用額外的地址空間。因此從可擴展性考慮，通常采用外地代理轉交地址。

2.2 MIPv4協議過程

MIPv4包括3個協議過程：

●代理發現過程：MIPv4規定FA應周期性地廣播代理公告報文，該報文是因特網控制消息協議(ICMP)路由公告報文的擴展。MN通過監聽該報文判定其是否位于外地網絡或從一個外地網絡遷移至另一外地網絡，并由此獲得外地代理轉交地址。MN也可主動發送代理請求報文，請求外地代理發送代理公告報文。

●注冊過程：如圖2所示。MN發現新的外地代理后，向HA發送注冊請求報文，告之HA其在外地網絡中的轉交地址。HA接受其注冊，回送注冊應答報文，并將MN的家鄉地址和轉交地址綁定。通過綁定實現數據分組的重定向，即原來指向MN家鄉地址的數據包至HA后轉發給MN的轉交地址，最后遞交給MN。

●數據轉發過程：注冊成功后，如注冊的是外部代理轉交地址，則HA和FA之間將建立隧道，HA截獲CN發往MN的分組后，通過隧道轉發給FA，再由FA遞交給MN。因此，MN無需改變其家鄉地址仍然能收到CN發給它的數據分組。MIPv4規定必需支持的隧道技術是IP in IP隧道技術，可以選擇的隧道技術則是IP內最小封裝隧道技術和通用路由封裝(GRE)隧道技術。

圖3所示為HA采用IP in IP隧道方式向MN轉發數據的情況。其中，X表示CN的IP地址，Proto=4表示隧道封裝的是IP協議數據包。

2.3 三角路由問題

在MIPv4中，CN發給MN的數據包將沿著CN-->HA-->FA-->MN的繞行路徑傳送，而MN發給CN的數據包仍然按照直接路徑MN-->CN傳送，由此形成了所謂的“三角路由”。在MN和CN離家鄉鏈路較遠，兩者通信的持續時間又較長的情況下，經由HA轉發數據分組會造成網絡資源消耗的顯著增加。

一個自然的想法是讓CN獲知MN的轉交地址，從而將數據分組直接發送給MN，旁路掉家鄉代理，這就是移動IP的路由優化。MIPv4之所以沒有采用優化路由的主要原因是安全問題，在網絡設備FA和HA之間配置建立安全關聯則是可行的，但是要在終端設備MN和眾多的CN之間都配置建立安全關聯是不大現實的，必須要有一種自動機制確保優化路由的安全性，MIPv6定義了這樣一種自動的安全機制。

3 移動IPv6技術

移動IPv6(MIPv6)的基本思想和MIPv4類似，但是它充分利用了IPv6的增強功能，完善和提升了協議的性能。和MIPv4相比，MIPv6有兩點主要不同：一是利用IPv6的地址自動配置功能，省略了外地代理的設置；二是利用IPv6的增強安全功能，實現路由優化。

3.1 IPv6協議及其移動擴展

IPv6是下一代因特網的標志性技術，對于移動IP來說，以下的技術特點尤為重要。

首先，IPv6的地址空間巨大，可用地址極其充裕，因此完全可以采用由MN獨占的配置轉交地址，無需使用外地代理轉交地址。

其次，IPv6定義了地址自動配置協議，包括有狀態配置和無狀態配置兩種機制。前者類似于IPv4中的動態主機配置協議，利用動態主機配置協議第6版(DHCPv6)實現；后者使主機可以自動生成所需的地址。同時，IPv6還定義了鄰居發現ICMPv6協議，主機藉此可檢驗無狀態生成的地址是否和其他主機生成的地址沖突。利用這些功能，MN就可以自動生成唯一的配置轉交地址。

再次，IPv6規定IPSec是所有主機和路由器，包括所有MN和CN必需具有的功能，這為移動IP實現路由優化奠定了基礎。

最后，IPv6報頭結構采用“固定報頭+擴展報頭”的形式，擴展報頭可包含多個描述有關信息的選項，這樣的可擴展的報頭結構形式便于定義新的增強協議功能。標準IPv6協議已定義了逐跳選項報頭、目的地選項報頭、路由選項報頭、片段報頭、認證報頭、封裝安全有效載荷報頭、上層協議報頭共7個擴展報頭。

移動IPv6對于IPv6的擴展主要表現在：

●新定義了兩個擴展報頭：一個是移動報頭，該報頭攜帶了MIPv6的主要協議報文，用于綁定和路由優化的實現；另一個是第2類路由報頭，用于通過優化路由直接傳送CN-->MN數據包時攜帶MN的家鄉地址。

●新定義了一個家鄉地址選項，該選項置于目的地選項擴展報頭中，用于MN-->CN發送數據包時攜帶MN的家鄉地址。

●新定義了4個ICMPv6報文，用于發現家鄉代理地址以及發現家鄉網絡前綴的改變。

MIPv6的網絡結構和MIPv4的網絡結構基本相同，只是網絡不再包含外地代理，圖1中的外地代理只是外地網絡中的一個普通路由器。

3.2 MIPv6協議過程

MIPv6包括4個協議過程：

●配置轉交地址：MN發現移動進入一個新的子網時，利用地址自動配置協議自動配置轉交地址。

●HA注冊：MN通過和HA交互綁定更新(BU)和綁定更新確認(BA)報文，登記其配置的轉交地址，HA建立其家鄉地址和轉交地址的綁定關系，并建立和MN的隧道。

●路由優化：MN收到CN通過HA轉發來的數據分組后，根據需要可以向CN發送綁定更新報文，將其轉交地址告之CN，CN建立綁定關系。

●數據傳送：MN和CN之間的數據傳送可有兩種方式。

一種是非路由優化的隧道方式，類似于MIPv4。但不同的是，此時MN-->CN的數據也必須通過經由HA的反向隧道傳送，不能由MN直接發往CN。其原因是直接傳送的數據分組的源地址為MN的家鄉地址，未使用外地鏈路的網絡前綴，而MIPv6又沒有外地代理，數據分組將直接發送給外部鏈路上的接入路由器，路由器的入口過濾會認為分組的拓撲非法而將其丟棄。

另一種是路由優化方式，MN和CN之間利用轉交地址直接傳送數據，不再經由HA隧道轉發。為了保證對于上層協議的透明性，數據分組需利用新定義的第2類路由擴展報頭和家鄉地址選項攜帶關于目的地址和源地址的補充信息。

3.3 MIPv6的實現技術

MIPv6的實現需要考慮以下幾項技術：

(1)移動檢測

移動檢測指的是檢測MN在網絡層的移動，即MN是否離開家鄉網絡進入外部網絡或由一個外部網絡進入另一個外部網絡，以觸發移動IP協議過程的啟動。為了保證可靠性，移動檢測必須準確無誤。判定網絡層移動事件發生需同時滿足兩個條件：一是發現了新的網絡前綴，二是原先的默認路由器已不可達。

網絡前綴信息是通過路由器公告報文獲得的，但是由于通常路由器公告報文的源地址是本地鏈路地址，即使是位于不同子網中的路由器，其播發的公告的網絡前綴也是相同的，無法予以區分。為此，MIPv6修改后的路由器公告報文中增設了描述路由器全局地址的網絡前綴選項，并相應增設了該選項存在的指示比特。

另外還要考慮在同一子網中可能有多個路由器的情況，這些路由器的網絡前綴是不相同的，即使是同一路由器也可能配置有多個網絡前綴。為此，要求支持移動IP的路由器播發路由器公告時應包括鏈路標識符選項，MN應根據該選項信息判定播發該公告的路由器是否和默認路由器位于同一鏈路上。

即使確認發現了位于新的外部鏈路上的路由器，原先鏈路上的默認路由器可能仍然有效，這在無線接入的情況下是很可能的。因此，還需進一步判定原先路由器的可達狀態。為此，MIPv6為路由器公告報文新定義了一個通告時間間隔選項，以ms為單位給出組播路由器公告發送的最大時間間隔，MN可據此判定路由器的可達性，也可通過主動發送路由器請求予以判定。

為了加快移動檢測的速度，在可能的情況下還應利用鏈路層切換的信息。當MN收到鏈路層切換指示時，可主動發送路由器請求報文，以判定鏈路層切換是否引起了網絡層切換。

(2)家鄉代理動態發現

考慮到在家鄉鏈路上可以部署多個家鄉代理、選定的家鄉代理可能失效、家鄉代理地址可能變化等因素，MIPv6定義了動態家鄉代理發現(DHAAD)機制，它允許MN自動發現家鄉代理地址，無需人工配置，并支持多個家鄉代理的負荷分擔。

為此，MIPv6新定義了一個家鄉代理信息選項，供家鄉代理發送的路由器公告使用。該選項內容包括家鄉代理生命期和家鄉代理優先級，家鄉代理可以根據其負荷和可用性動態改變其優先級，優先級值越大表示其可用性越高。當同一鏈路上其他家鄉代理收到該信息時，將把該家鄉代理的地址、生命期及優先級存入家鄉代理列表，在列表中各家鄉代理按優先級的高低順序排列。這樣，每個家鄉代理都保存有家鄉鏈路上所有家鄉代理的信息。

MIPv6新定義了兩個ICMPv6報文：DHAAD請求和DHAAD應答，MN可通過發送DHAAD請求發現家鄉代理。該報文的目的地址是家鄉代理任播地址，其結構是“家鄉鏈路前綴+特定的接口標識符”。家鄉鏈路上的某個家鄉代理將接收并處理該報文，在DHAAD應答中返回所有家鄉代理的信息，MN可以根據策略選擇一個合適的家鄉代理。

顯然，實現家鄉代理自動發現的前提是MN必須知道自身的家鄉鏈路前綴，因此要完全免除人工配置，實現移動節點的即插即用，還必需有家鄉地址自動發現機制。一個可能的方法是對每個MN賦予一個獨立于物理地址的域名，然后利用DNS獲得其家鄉地址，但必須要解決DNS的安全性問題。

(3)隧道實現

無論是MIPv6還是MIPv4都要用到隧道傳送技術，家鄉代理路由器可以采用虛擬端口的方法將隧道集成到它的路由表中。

我們知道，IP路由表主要包含4項內容：目的地址、前綴長度(掩碼)、下一跳地址、端口。其中，端口包含一個指向某物理接口驅動程序的指針，驅動程序負責將分組由該接口發送至外接物理鏈路，因此常稱其為“物理端口”。但是虛擬端口并不和具體接口關聯，它指向的是完成隧道封裝的一個軟件，該軟件在待發送分組外部加封裝一層外層隧道頭部，然后再交給路由表進行常規轉發。

圖4為MIPv4情況下，在家鄉代理中隧道實現的示例，其對應的路由表如表1所示。當目的地地址為MN家鄉地址(7.7.7.1)的分組到達家鄉代理時，查詢路由表得到的是家鄉地址的特定主機路由，指向虛擬端口α。α端口軟件封裝后的隧道分組的目的地地址為MN的轉交地址(1.1.1.1)，再遞交路由軟件處理。查詢路由表得到的是默認路由，指向端口2，經由FDDI鏈路轉發出去，最終通向外部代理。該FDDI鏈路就是隧道的物理通路。

另外兩項十分重要的實現技術是移動IP的路由優化和安全技術，我們將在下一期專門予以討論。(待續)

收稿日期：2008-05-19

作者簡介

糜正琨，南京郵電大學通信與信息工程學院教授、博士生導師，中國通信學會會士。目前主要研究方向是下一代網絡技術和異構網絡融合技術。曾獲江蘇省科技進步二等獎一項，信息產業部科技進步二等獎和三等獎各一項，已發表SCI、EI收錄論文30余篇，出版專著和國家級教材8部，申請國家發明專利4項。