Cisco Aironet 1100 シリーズ アクセス ポイント インストレーション コンフィギュレーション ガイド, 12.2(4)JA
プロキシ モバイル IP の設定
プロキシ モバイル IP の設定
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

プロキシ モバイル IP の設定

プロキシ モバイル IP の概要

概要

プロキシ モバイル IP ネットワークのコンポーネント

プロキシ モバイル IP の機能

エージェント ディスカバリ

サブネット マップ交換

レジストレーション

トンネリング

プロキシ モバイル IP セキュリティ

プロキシ モバイル IP の設定

設定時の注意事項

ワイヤード LAN でのプロキシ モバイル IP の設定

アクセス ポイントでのプロキシ モバイル IP の設定

プロキシ モバイル IP の設定

この章では、アクセス ポイントのプロキシ モバイル IP 機能の設定手順について説明します。 この章では、次の項目について説明します。

「プロキシ モバイル IP の概要」

「プロキシ モバイル IP の設定」

プロキシ モバイル IP の概要

ここでは、アクセス ポイントが、プロキシ モバイル IP を管理する手順を説明します。

「概要」

「プロキシ モバイル IP ネットワークのコンポーネント」

「プロキシ モバイル IP の機能」

「プロキシ モバイル IP セキュリティ」

概要

アクセス ポイントのプロキシ モバイル IP 機能は、IOS のモバイル IP 機能と共に動作します。 アクセス ポイントとワイヤード ネットワークでプロキシ モバイル IP 機能を有効にすると、アクセス ポイントは、他のネットワークからのクライアント デバイスが、ホーム ネットワークへの接続を維持できるように支援します。 アクセスしてくるクライアント デバイスは、特別のソフトウェアは必要なく、アクセス ポイントがプロキシ モバイル IP サービスをクライアント デバイスに提供します。 どのようなワイヤレス クライアントでも参加できます。

モバイル IP は、ユーザが自分のホーム IP アドレスを維持しながら、ホーム サブネットを越えて自由にローミングができるようにします。 これによって、モバイル ユーザは移動中に IP データグラムのトランスペアレント ルーティングが可能になり、データ セッションをローミング中に起動できます。 たとえば、IP アドレスが 192.95.5.2 の クライアント デバイスは、IP アドレスが 209.165.200.x の範囲にあるネットワーク上のアクセス ポイントと結合できます。 ゲスト クライアント デバイスは、192.95.5.2 IP アドレスを維持し、アクセス ポイントは、パケットをモバイル IP イネーブル ルータを通じて、インターネット経由で、クライアントのホーム ネットワーク上のルータに転送します。

プロキシ モバイル IP が有効なアクセス ポイントは、結合していても次のことは実行しないクライアント デバイスに対して、プロキシ サービスを提供しようと試みます。

新しい IP アドレスを入手するために DHCP 要求を発行しないクライアント デバイス。

モバイル IP スタックをサポートしないクライアント デバイス。 デバイスが、モバイル IP スタックをサポートする場合、アクセス ポイントはそのデバイスが、デバイス自身のモバイル IP 機能を実行すると仮定します。

アクセス ポイント上の特定の SSID に対してプロキシ モバイル IP を有効にし、その SSID を使用するクライアントに対してサポートを提供します。 プロキシ モバイル IP は、VLAN をサポートしません。 プロキシ モバイル IP の設定を維持しながら、プロキシ モバイル IP サポートを一時停止できます。

プロキシ モバイル IP は、デフォルトで無効にされています。


) ゲスト クライアント デバイスは、ブロードキャストとマルチキャストのパケットを受信しません。


プロキシ モバイル IP ネットワークのコンポーネント

プロキシ モバイル IP には 5 つのデバイスが参加しています。

アクセスしてくるクライアント デバイス。 アクセスしてくるクライアント デバイスとは、ワイヤレス アクセス ポイントに結合できる携帯情報端末やラップトップのようなデバイスです。 特別なプロキシ モバイル IP ソフトウェアは必要ありません。

プロキシ モバイル IP が有効のアクセス ポイント。 アクセスしてくるクライアント デバイスのためのアクセス ポイント プロキシで、そのデバイスに対してすべてのモバイル IP サービスを実行します。

プロキシ モバイル IP をサポートするネットワーク上の信頼できるアクセス ポイント。 信頼できるアクセス ポイントは、サブネット マップを使用して、アクセスしてくるすべてのクライアント デバイス用にホーム エージェント情報の記録を取っておきます。

ホーム エージェント。 ホーム エージェントは、アクセス ポイントと、アクセスしてくるクライアント間の、通信用のアンカー ポイントとして機能する、そのクライアントのホーム ネットワーク上のルータです。 ホーム エージェントは、インターネット上の対応するノードから、アクセスしてくるクライアント デバイスへと、パケットを通します。

外部のエージェント。 外部のエージェントがネットワークに存在する場合、それは、アクセスしてくるクライアント デバイス用の結合ポイントとして機能するネットワーク上のルータです。ホーム エージェントから、アクセスしてくるクライアントへパケットを運びます。

図 14-1に、参加している 5 つのデバイスを示します。

図 14-1 プロキシ モバイル IP に参加しているデバイス

 

プロキシ モバイル IP の機能

プロキシ モバイル IP プロセスには、4 つの主要なフェーズがあります。 ここでは、各フェーズについて説明します。

「エージェント ディスカバリ」

「サブネット マップ交換」

「レジストレーション」

「トンネリング」

エージェント ディスカバリ

エージェント ディスカバリ フェーズ中は、ホーム エージェントと外部のエージェントが、ICMP Router Discovery Protocol(IRDP)を使用して、ネットワーク上のサービスをアドバタイズします。 アクセス ポイントはこれらのアドバタイズを待ち受けます。

IRDP アドバタイズは、モバイル IP 拡張を運びます。これは、エージェントがホーム エージェントか、外部のエージェントかまたは両方かを指定します。また、宛先のアドレス、リバース トンネリングや Generic Routing Encapsulation(GRE;総称ルーティング カプセル化)のような提供するサービスのタイプ、アクセスしてくるクライアント デバイス用の許可されているレジストレーション存続期間やローミング期間を指定します。 アクセス ポイントは、エージェントのアドバタイズを待たずに、自分でエージェント送信請求を送ることができます。 この送信請求により、ネットワーク上のエージェントは、すぐにエージェント アドバタイズを送信します。

アクセス ポイントは、クライアント デバイスが外部のネットワークに接続されていると判断すると、アクセスしてくるクライアントのために宛先アドレスを取得します。 宛先アドレスは、クライアント デバイスによってアクセスされているネットワークにインターフェイスがある外部のエージェントの IP アドレスです。 アクセス ポイントは、このアドレスを、多くのアクセスしてくるクライアント デバイスの間で共有できます。

アクセスしてくるクライアントがアクセス ポイントに結合する場合、アクセス ポイントにより、クライアントの IP アドレスが、保有している IP ネットワーク情報と比較され、そのクライアントが別のネットワークからの訪問者であることが検出されます。 アクセス ポイントは次に、レジストレーションを開始します。 ただし、アクセス ポイントがそのアクセスしてくるクライアントのためにレジストレーション プロセスを開始するには、そのクライアントのホーム エージェントの IP アドレスを前もって知っておく必要があります。 ホーム エージェントのアドレスを、サブネット マップ テーブルで探して入手します。

サブネット マップ交換

プロキシ モバイル IP が有効な各アクセス ポイントは、サブネット マップ テーブルを保持しています。 サブネット マップ テーブルは、ホーム エージェント IP アドレスとそのサブネット マスクのリストで構成されています。 表 14-1 に、サブネット マップ テーブルの例を示します。

 

表 14-1 サブネット マップ テーブルの例

ホーム エージェント
サブネット マスク

10.10.10.1

255.255.255.0

10.10.4.2

255.255.255.0

10.3.4.4

255.255.255.248

10.12.1.1

255.255.0.0

アクセス ポイントはサブネット マップ テーブルを使用して、アクセスしてくるクライアントのホーム エージェントの IP アドレスを判断します。 アクセス ポイントが起動するか、または、プロキシ モバイル IP が初めてアクセス ポイントで有効になるときに、エージェント ディスカバリ メカニズムを使ってホーム エージェント情報が入手されます。 アクセス ポイントは、Authoritative Access Point(AAP)と呼ばれる別のアクセス ポイントに、この情報を送ります。 AAP は、最新のサブネット マップ テーブルの保管を担当しているアクセス ポイントです。

AAP は新しい情報を受け取ると、最新のサブネット マップ テーブルのコピーを使ってアクセス ポイントに応答します。 新しいアクセス ポイントは最新のサブネット マップ テーブルをローカルに保持し、アクセスしてくるクライアント用にプロキシ モバイル IP を実行する準備をします。 サブネット マップ テーブルをローカルに保持することにより、アクセス ポイントがホーム エージェント情報をすばやく検索できるようにします。 一方で、AAP は新しいアクセス ポイントをアクセス ポイントのリストに追加し、ホーム エージェント情報をサブネット マップ テーブルに追加します。 AAP は、その他すべてのアクセス ポイントを、この追加情報を使って更新します。

ワイヤレス LAN に最高 3 つまで AAP を指定できます。 アクセス ポイントが最初の AAP に到達でいない場合は、次に設定されている AAP が試されます。 AAP は、相互にサブネット マップ テーブルを定期的に比較し、同じサブネット マップ テーブルがあるかどうかを確認します。 特定のホーム エージェントに対してこれ以上アクセス ポイントがないことを検出したら、AAP は、ホームエージェントのサブネットのブロードキャスト アドレスのためにレジストレーション抹消のパケットを送信して、そのホーム エージェントがまだアクティブであるかどうかを確認します。 ホーム エージェントが応答する場合、AAP は、ホーム エージェントのサブネットにアクセス ポイントがなくてもサブネット マップ テーブル内のホーム エージェント エントリを保持します。 このプロセスはすでに外部のネットワークにローミングされているクライアント デバイスをサポートします。 ホーム エージェントが応答しない場合は、AAP は、サブネット マップ テーブルからホーム エージェントのエントリを削除します。

クライアント デバイスがアクセス ポイントに結合しており、そのクライアントが別のネットワークからアクセスしてきていると判断すると、アクセス ポイントはサブネット マップ テーブルで最長一致検索を行い、そのアクセスしているクライアント用のホーム エージェント アドレスを確保します。 アクセス ポイントがホーム エージェント アドレスを保有している場合、レジストレーション ステップに進むことができます。

レジストレーション

アクセス ポイントには、すべてのアクセスしてくる可能性のあるクライアントと、それに対応するホーム エージェントとのモビリティ セキュリティ アソシエーション(共有鍵を含む)が設定されています。 モビリティ セキュリティ アソシエーション情報をアクセス ポイントやネットワーク上の RADIUS サーバにローカルに入力でき、プロキシ モバイル IP が有効になっているアクセス ポイントは、その情報にアクセスできます。

アクセス ポイントはセキュリティ アソシエーション情報、アクセスしてくるクライアントの IP アドレス、外部のエージェントのアドバタイズから習得する情報を使用して、アクセスしてくるクライアントのためにモバイル IP レジストレーション要求を形成します。 レジストレーション要求を、外部のエージェントを通じて、アクセスしてくるクライアントのホーム エージェントに送信します。 外部のエージェントはレジストレーション要求の有効性をチェックします。これには要求された存続期間がその制限を越えていないか、要求されたトンネルのカプセル化が利用可能かどうかのチェックが含まれています。 レジストレーション要求が有効な場合、外部のエージェントがホーム エージェントに要求を中継します。

ホーム エージェントがレジストレーション要求の有効性をチェックします。これには、アクセスしてくるクライアントの認証を含みます。 レジストレーション要求が有効な場合、ホーム エージェントがモビリティ バインディング(アクセスしてくるクライアントと宛先アドレスとのアソシエーション)、宛先アドレスへのトンネル、トンネルを経由してホーム アドレスに転送されるパケット用のルーティング エントリを生成します。

ホーム エージェントは、次にレジストレーション応答を外部のエージェントを通じてクライアントに送信します(なぜなら、レジストレーション要求が外部のエージェントを通じて受信されたからです)。 外部のエージェントがレジストレーション応答の有効性をチェックし、それには関連するレジストレーション要求がペンディング リストに存在しているかどうかの確認が含まれています。 レジストレーション応答が有効な場合、外部のエージェントは、アクセスしてくるクライアントを訪問者リストに追加し、ホーム エージェントへのトンネルを設定し、ホーム アドレスにパケットを転送するためのルーティング エントリを作成します。 次に、アクセスしてくるクライアントに、レジストレーション応答を中継します。

最後に、アクセス ポイントはレジストレーション応答の有効性をチェックします。 レジストレーション応答が、そのレジストレーションが受理されていることを明らかにすれば、アクセス ポイントは、モビリティ エージェントが、アクセスしてくるクライアントのローミングを認識していることを確認できます。 続いて、アクセス ポイントは、アクセスしてくるクライアントからのすべてのパケットを代行受信し、それを外部のエージェントに送信します。

アクセス ポイントは、レジストレーションの存続期間が終了する前に、アクセスしてくるクライアントのために再レジストレーションを行います。 ホーム エージェントと外部のエージェントが、再レジストレーション中、それぞれ、モビリティ バインディングと訪問者のエントリを更新します。

アクセスしてくるクライアントのためのアクセス ポイントによる正常なモバイル IP レジストレーションにより、そのクライアントがローミングする際パケットをやりとりするためのルーティング メカニズムが設定されます。

トンネリング

アクセスしてくるクライアントは、ホーム IP アドレスを使用してパケットを送り、ホーム ネットワーク上に常に存在している表示を効率的に維持しています。 アクセスしてくるクライアントが外部のネットワークにローミングしている場合さえ、その動きは対応するノード(アクセスしてくるクライアントが通信する他のデバイス)にトランスペアレントです。

アクセスしてくるクライアント宛てのデータ パケットはそのホーム ネットワークにルーティングされ、そこで、ホーム エージェントが代行受信して、アクセスしてくるクライアント向けの宛先アドレスに転送します。 トンネリングには次の 2 つの主要な機能があります。 トンネルのエンドポイントに到達するためのデータ パケットのカプセル化とパケットがそのエンドポイントに配達された場合のカプセル化解除です。 アクセス ポイントがサポートするトンネル モードは、IP カプセル化内の IP カプセル化をサポートします。

一般的に、アクセスしてくるクライアントは通常の方法でパケットを送信します。 アクセス ポイントはこれらのパケットを代行受信し、それを外部のエージェントに送信し、外部のエージェントが最終宛先の対応するノードにルーティングします。

プロキシ モバイル IP セキュリティ

モバイル IP は強力な認証スキームを使用して、アクセスしてくるクライアントとのやりとりを保護します。 アクセスしてくるクライアントとホーム エージェントとの間のすべてのレジストレーション メッセージには、Mobile-Home Authentication Extension(MHAE)が含まれている必要があります。 プロキシ モバイル IP も、アクセスしてくるクライアントのためにアクセス ポイントによってホーム エージェントに送信されるレジストレーション メッセージの中でこの要件を実行します。

レジストレーション メッセージの完全性は、(アクセスしてくるクライアントのための)アクセス ポイントとホーム エージェント間の 128 ビット 共有鍵によって保護されています。 共有鍵をアクセス ポイントまたは RADIUS サーバに入力できます。

prefix+suffix モード中の鍵がつけられた Message Digest Algorithm 5(MD5)は、付加された MHAE 中の認証側の値を計算するために使用されます。 モバイル IP とプロキシ モバイル IP は、ハッシュベースのメッセージ認証コード(HMAC-MD5)もサポートします。 受信側は、メッセージ上で計算される認証側の値と、拡張機能内の値を比較して、信憑性を確認します。

任意に、Mobile-Foreign Authentication Extension および Foreign-Home Authentication Extension が付加されて、それぞれ、アクセスしてくるクライアントと外部のエージェント間、および外部のエージェントとホームエージェント間のメッセージ交換を保護します。

再送の保護は、レジストレーション メッセージの識別フィールドを、タイムスタンプとシーケンス番号として使用します。 ホーム エージェントはそのタイムスタンプを返して、アクセスしてくるクライアントをレジストレーション用に同期化します。 プロキシ モバイル IP では、アクセスしてくるクライアントはすべてのホーム エージェントのメッセージを代行受信するので、ホーム エージェントと同期化しません。

プロキシ モバイル IP の設定

ここでは、プロキシ モバイル IP の設定手順について説明します。

「設定時の注意事項」

「ワイヤード LAN でのプロキシ モバイル IP の設定」

「アクセス ポイントでのプロキシ モバイル IP の設定」

設定時の注意事項

プロキシ モバイル IP を設定する前に、次の注意事項を考慮してください。

プロキシ モバイル IP はルート アクセス ポイント(ワイヤード LAN に接続されているユニット)で有効にできます。 プロキシ モバイル IP はリピータ アクセス ポイントでは有効にできません。

プロキシ モバイル IP に参加しているアクセス ポイントは、ゲートウェイ アドレスと共に設定してください。 ゲートウェイをマニュアルで設定できます。つまり、アクセス ポイントは、DHCP を通じてゲートウェイを受信できます。

外部エージェントとホーム エージェントは、プロキシ モバイル IP をサポートしたいネットワーク ゲートウェイに常駐している必要があります。

信頼できるアクセス ポイントが DHCP を通じて IP アドレスを受信する場合、アクセス ポイントのホスト名を使用して、プロキシ モバイル IP コンフィギュレーションに AAP を指定します。

プロキシ モバイル IP は、アクセスしてくるクライアントに対してブロードキャストおよびマルチキャスト トラフィックをサポートしません。

DHCP が有効になっているクライアント デバイスと共にプロキシ モバイル IP を使用するには、クライアント デバイス上のメディア検知を無効にする必要があります。 メディア検知を無効にする手順については、『Microsoft Knowledge Base Article Q239924』を参照してください。 この Article へアクセスするには、次の URL をクリックしてください。

http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q239924&

プロキシ モバイル IP は、VLAN をサポートしません。

アクセス ポイント上のプロキシ モバイル IP を無効にする場合、プロキシ モバイル IP 設定全体がクリアされます。 コンフィギュレーションをクリアすることなく、プロキシ モバイル を無効にするには、ip proxy-mobile pause コマンドを使用します。

ワイヤード LAN でのプロキシ モバイル IP の設定

アクセス ポイント上のプロキシ モバイル IP は、ネットワーク ルータに設定されているモバイル IP と連動します。 ネットワーク上のルータにモバイル IP を設定するための手順については、『12.2 T New Features (Early Deployment Releases)』の「Mobile IP」の章を参照してください。 次のリンクをクリックして、「Mobile IP」の章にアクセスしてください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t1/mobileip.htm

アクセス ポイントでのプロキシ モバイル IP の設定

アクセス ポイントでプロキシ モバイル IP を設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 2

ip proxy mobile enable

アクセス ポイントでプロキシ モバイル IP を有効にします。

ステップ 3

ip proxy mobile aap ip-address
[ip-address] [ip-address]

ステップ 4

ip proxy-mobile secure node
address-start address-end
spi spi key { hex | ascii } key

IP アドレスまたは IP アドレスの範囲用のセキュリティ アソシエーション設定を作成します。

IP アドレス、または IP の範囲の開始と終了のアドレスを入力します。

セキュリティ パラメータ インデックスを入力します。

セキュリティ パラメータ用の鍵を入力します。 鍵に、16進数または ASCII 文字を含んでいるかどうかを指定します。 16 進数を選択する場合、鍵は 32 文字必要です。 ASCII を選択する場合、鍵は16文字まで含むことができます(下限はありません)。

ステップ 5

interface fastethernet 0

イーサネット ポート用のインターフェイス コンフィギュレーション モードを入力します。

ステップ 6

proxy mobile-ip

イーサネット ポートでプロキシ モバイル IP を有効にします。

ステップ 7

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 8

interface dot11radio 0

無線ポート用のインターフェイス コンフィギュレーション モードを入力します。

ステップ 9

proxy mobile-ip

無線ポートでプロキシ モバイル IP を有効にします。

ステップ 10

ssid ssid

ステップ 11

proxy mobile-ip

SSID 用のプロキシ モバイル IP を有効にします。

ステップ 12

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 13

interface bvi1

Bridge Virtual Interface(BVI)用のインターフェイス コンフィギュレーション モードを入力します。

ステップ 14

proxy mobile-ip

BVI で、プロキシ モバイル IP を有効にします。

ステップ 15

end

イネーブル EXEC モードに戻ります。

ステップ 16

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

プロキシ モバイル IP を無効にするには、no 形式の ip proxy mobile コマンドを使用します。 プロキシ モバイル IP 設定を失わないで、プロキシ モバイル IP を無効にするには、ip proxy-mobile pause コマンドを使用します。

次の例は、IP アドレスが、10.91.7.151 から 10.91.7.176 までの SSID tsunami に対応するアクセス ポイント上のプロキシ モバイル IP を有効にする手順を示しています。

ap1100# configure terminal
ap1100(config)# ip proxy mobile enable
ap1100(config)# ip proxy mobile aap 192.168.15.22 192.168.15.24 192.168.15.28
ap1100(config)# ip proxy-mobile secure node 10.91.7.151 10.91.7.176 spi 102 key ascii 0987654
ap1100(config)# interface fastethernet 0
ap1100(config-if)# proxy mobile-ip
ap1100(config-if)# interface dot11radio 0
ap1100(config-if)# proxy mobile-ip
ap1100(config-if)# ssid tsunami
ap1100(config-if-ssid)# proxy mobile-ip
ap1100(config-if-ssid)# exit
ap1100(config-if)# exit
ap1100(config)# interface bvi1
ap1100(config-if)# proxy mobile-ip
ap1100(config-if-ssid)# end