Cisco Aironet 1200 シリーズ アクセス ポイント インストレーション コンフィギュレーション ガイド, 12.2(8)JA
プロキシ モバイル IP の設定
プロキシ モバイル IP の設定
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

プロキシ モバイル IP の設定

プロキシ モバイル IP の概要

概要

プロキシ モバイル IP ネットワークのコンポーネント

プロキシ モバイル IP の機能

エージェント検出

サブネット マップの交換

登録

トンネリング

プロキシ モバイル IP セキュリティ

プロキシ モバイル IP の設定

設定のガイドライン

ワイヤード LAN でのプロキシ モバイル IP の設定

アクセス ポイントでのプロキシ モバイル IP の設定

プロキシ モバイル IP の設定

この章では、アクセス ポイントのプロキシ モバイル IP 機能を設定する方法について説明します。 この章の内容は次のとおりです。

「プロキシ モバイル IP の概要」

「プロキシ モバイル IP の設定」

プロキシ モバイル IP の概要

アクセス ポイントでプロキシ モバイル IP を実行する方法を、次の項で説明します。

「概要」

「プロキシ モバイル IP ネットワークのコンポーネント」

「プロキシ モバイル IP の機能」

「プロキシ モバイル IP セキュリティ」

概要

アクセス ポイントのプロキシ モバイル IP 機能は、IOS の モバイル IP 機能との組み合わせで機能します。 アクセス ポイントとワイヤード ネットワークでプロキシ モバイル IP を有効にすると、他のネットワークのクライアント デバイスはそのアクセス ポイントで他のホーム ネットワークとの接続を維持できます。 アクセス ポイントにアクセスするクライアント デバイスは特別なソフトウェアを必要としません。アクセス ポイントはクライアント デバイスに代わってプロキシ モバイル IP サービスを提供します。 すべてのワイヤレス クライアントが参加できます。

モバイル IP を使用することで、ホーム サブネット以外の場所でも、ホーム IP アドレスを維持しながら自由にローミングできます。 これによって、移動中のモバイル ユーザからは IP データグラムのルーティングが見えなくなり、ローミングの間にデータ セッションを開始することができます。 たとえば、IP アドレスが 192.95.5.2 のクライアント デバイスは、IP アドレスが 209.165.200.x の範囲にあるネットワーク上のアクセス ポイントに結合できます。 ゲスト クライアントのデバイスは IP アドレス 192.95.5.2 を維持し、アクセス ポイントはモバイル IP に対応したルータ からインターネットを使ってクライアントのホーム ネットワーク上のルータにパケットを転送します。

プロキシ モバイル IP が有効なアクセス ポイントは、アクセス ポイントに結合するすべてのクライアントにプロキシ サービスを提供しようとしますが、次の操作は行いません。

新しい IP アドレスを取得するための DHCP 要求を発行しません。

モバイル IP スタックをサポートしません。 デバイスがモバイル IP スタックをサポートする場合、アクセス ポイント側では、デバイスがそれぞれのモバイル IP 機能を実行すると仮定されます。

アクセス ポイントの特定の SSID にプロキシ モバイル IP を有効にすると、サポートできるのは、その SSID を使用するクライアントだけです。 プロキシ モバイル IP は VLAN をサポートしません。 プロキシ モバイル IP のサポートは、プロキシ モバイル IP 設定を維持したまま停止することができます。

プロキシ モバイル IP はデフォルトで無効に設定されています。


) ゲスト クライアントはブロードキャストとマルチキャスト パケットを受け取りません。


プロキシ モバイル IP ネットワークのコンポーネント

プロキシ モバイル IP は 5 つのデバイスで構成されています。

巡回クライアント デバイス。 巡回クライアント デバイスは、personal digital assitant(PDA)やラップトップ PC などの、ワイヤレス アクセス ポイントに結合できるデバイスです。 このデバイスは特別なプロキシ モバイル IP ソフトウェアを必要としません。

プロキシ モバイル IP が有効になったアクセス ポイント。 アクセス ポイントは巡回クライアント デバイスの代理を務め、そのデバイスのすべてのモバイル IP サービスを実行します。

プロキシ モバイル IP をサポートする、ネットワークの信頼のおけるアクセス ポイント。 信頼できるアクセス ポイントは、サブネット マスクを使用して、すべての巡回クライアント デバイスのホーム エージェント情報を追跡します。

ホーム エージェント。 ホーム エージェントは、巡回クライアントのホーム ネットワーク上で、アクセス ポイントと巡回クライアントの通信用のアンカー ポイントとして機能するルータです。 ホーム エージェントは、インターネット上の対応するノードから巡回クライアント デバイスにかけて、パケットをトンネリングします。

外部エージェント。 外部エージェントはユーザ側ネットワークのルータで、巡回クライアント デバイスがユーザ側ネットワークを訪れたときの結合ポイントとして機能し、ホーム エージェントから巡回クライアントにパケットを送信します。

図 14-1に 5 つの構成デバイスを示します。

図 14-1 プロキシ モバイル IP の構成デバイス

 

プロキシ モバイル IP の機能

プロキシ モバイル IP プロセスは、主に 4 つのフェーズで進められます。 次の項で各フェーズを説明します。

「エージェント検出」

「サブネット マップの交換」

「登録」

「トンネリング」

エージェント検出

エージェント検出フェーズの間、ホーム エージェントと外部エージェントはネットワークで、ICMP Router Discovery Protocol(IRDP)を使用してサービスをアドバタイズします。 アクセス ポイントはこれらのアドバタイズをリスニングします。

IRDP アドバタイズにより、エージェントの種類(ホーム エージェント、外部エージェント、あるいはその両方)、気付アドレス、逆トンネリングや generic routing encapsulation(GRE;総称ルーティング カプセル化)といったエージェントのサービス タイプ、および巡回クライアント デバイスに許可された登録有効期間またはローミング期間を指定するモバイル IP 拡張機能が伝送されます。 アクセス ポイントはエージェントのアドバタイズを待たずに、エージェント要請を送信することができます。 この要請は、ネットワーク上のすべてのエージェントから即時エージェント アドバタイズを送信させるものです。

アクセス ポイントがクライアント デバイスと外部ネットワークとの接続を判断すると、循環クライアント用に気付アドレスを獲得します。 気付アドレスは、クライアント デバイスが訪問しているネットワークにインターフェイスを持つ外部エージェントの IP アドレスです。 アクセス ポイントはこのアドレスを、多くの巡回クライアント デバイスと共有できます。

巡回クライアントがアクセス ポイントに結合すると、アクセス ポイントはクライアントの IP アドレスを保有する IP ネットワーク情報と比較し、クライアントが別のネットワークからの訪問者であることを検出します。 その後アクセス ポイントは登録を開始します。 ただし、アクセス ポイントは巡回クライアントに代わって登録プロセスを開始する前に、巡回クライアントのホーム エージェントの IP アドレスを入手していなければなりません。 アクセス ポイントはホーム エージェントの IP アドレスを、サブネット マップ テーブルを検索して入手します。

サブネット マップの交換

プロキシ モバイル IP が有効な各アクセス ポイントは、サブネット マップ テーブルを保有しています。 サブネット マップ テーブルには、ホーム エージェントの IP アドレスとそのサブネット マスクのリストが収められています。 表 14-1 にサブネット マップ テーブルの例を示します。

 

表 14-1 サブネット マップ テーブルの例

ホーム エージェント
サブネット マスク

10.10.10.1

255.255.255.0

10.10.4.2

255.255.255.0

10.3.4.4

255.255.255.248

10.12.1.1

255.255.0.0

アクセス ポイントはサブネット マップ テーブルを使用して、巡回クライアントのホーム エージェントの IP アドレスを判断します。 アクセス ポイントがブートしたとき、またはプロキシ モバイル IP がアクセス ポイントで最初に有効になったときに、アクセス ポイントはエージェント検出メカニズムを使用してホーム エージェント情報を入手します。 アクセス ポイントはこの情報を authoritative access point(AAP)と呼ばれる別のアクセス ポイントに送信します。 AAP は最新のサブネット マップ テーブルの維持を担当するアクセス ポイントです。

AAP は新しい情報を受け取ると、最新のサブネット マップ テーブルのコピーをアクセス ポイントに返します。 新しいアクセス ポイントは、今度は最新のサブネット マップ テーブルをローカルに保持し、巡回クライアントのプロキシ モバイル IP を実行する準備を整えます。 サブネット マップ テーブルをローカルに保有することは、アクセス ポイントがホーム エージェント情報を迅速に検索できることを意味します。 その一方で、AAP はアクセス ポイントのリストに新しいアクセス ポイントを追加し、ホーム エージェント情報をサブネット マップ テーブルに追加します。 AAP は他のすべてのアクセス ポイントをこの追加された情報で更新します。

AAP はワイヤレス LAN で最大 3 つまで指定できます。 アクセス ポイントが最初の AAP に到達できない場合、次に設定された AAP を試行します。 AAP は定期的にそれぞれのサブネット マップ テーブルを比較して、同じサブネット マップ テーブルを保有していることを確認します。 特定のホーム エージェントにアクセス ポイントがないことを AAP が検出すると、AAP はホーム エージェントのサブネットのブロードキャスト アドレスに代わって登録解除のパケットを送信し、ホーム エージェントがまだアクティブかどうかを確認します。 ホーム エージェントが応答する場合、ホーム エージェントのサブネットにアクセス ポイントがない場合でも、AAP はサブネット マップ テーブル内のホーム エージェントのエントリを維持します。 このプロセスにより、既に外部ネットワークにローミングしたクライアント デバイスがサポートされます。 ホーム エージェントが応答しない場合、AAP はサブネット マップ テーブルからホーム エージェントのエントリを削除します。

クライアント デバイスがアクセス ポイントに結合し、クライアントが別のネットワークから訪問しているとアクセス ポイントが判断すると、アクセス ポイントはサブネット マップ テーブルで最長一致の検索を実行し、巡回クライアントのホーム エージェント アドレスを入手します。 アクセス ポイントはホーム エージェントのアドレスを入手した後、登録手順に進むことができます。

登録

アクセス ポイントには、すべての潜在的な巡回クライアントと対応するホーム エージェントのモビリティ セキュリティ アソシエーション(共有キーを含む)が設定されます。 モビリティ セキュリティ アソシエーション情報はアクセス ポイント、またはネットワーク上の RADIUS サーバにローカルに入力できます。プロキシ モバイル IP が有効なアクセス ポイントはローカルに情報にアクセスできます。

アクセス ポイントはセキュリティ アソシエーション情報や、巡回クライアントの IP アドレス、外部エージェント アドバタイズから入手した情報を使用して、巡回クライアントに代わってモバイル IP 登録要求を作成します。 アクセス ポイントは外部エージェントを通じて、登録要求を巡回クライアントのホーム エージェントに送信します。 外部エージェントは、登録要求の有効性をチェックします。ここでは、要求された有効期間が制限を超えていないかどうか、要求されたトンネル カプセル化が使用できるかどうかがチェックされます。 登録要求が有効であれば、外部エージェントはその要求をホーム エージェントに中継します。

ホーム エージェントは、巡回クライアントの認証を含めて、登録要求の有効性をチェックします。 登録要求が有効であれば、ホーム エージェントはモビリティ バインディング(巡回クライアントと気付アドレスのアソシエーション)、気付アドレスへのトンネル、およびトンネルを通じてパケットをホーム アドレスに転送するためのルーティング エントリを作成します。

ホーム エージェントは、外部エージェント(登録要求が外部エージェントを通じて返されたため)を通じて巡回クライアントに登録の返答を送信します。 外部エージェントは、関連する登録要求の保留リスト内の存在を確認するなど、登録返答の有効性をチェックします。 登録返答が有効である場合、外部エージェントは訪問者リストに巡回クライアントを追加し、ホーム エージェントにトンネルを設定し、ホーム アドレスにパケットを転送するためのルーティング エントリを作成します。 外部エージェントは、その後、巡回クライアントに登録返答を中継します。

最後にアクセス ポイントが、登録返答の有効性をチェックします。 登録返答で登録の許可が指定されている場合、アクセス ポイントはモビリティ エージェントが巡回クライアントのローミングを認識していることを確認できます。 その後、アクセス ポイントは巡回クライアントからのすべてのパケットを代行受信し、パケットを外部エージェントに送信します。

アクセス ポイントは、登録の有効期間が終了する前に、巡回クライアントに代わって再登録を行います。 ホーム エージェントと外部エージェントは、再登録の間に、それぞれモビリティ バインディングと訪問者エントリを更新します。

巡回クライアントに代わるアクセス ポイントによるモバイル IP の登録が成功すると、巡回クライアントのローミングの間に、パケットを送受信するルーティング メカニズムが確立します。

トンネリング

巡回クライアントはホーム IP アドレスを使用してパケットを送信し、ホーム ネットワーク上に常に表示される外観を効率的に維持します。 巡回クライアントが外部ネットワークをローミングしている間も、対応するノード(巡回クライアントの通信先のデバイス)からその動きは見えません。

巡回クライアントに宛てたデータ パケットはホーム ネットワークにルーティングされます。ホーム ネットワークではホーム エージェントが代行受信し、パケットを巡回クライアント宛ての気付アドレスにトンネリングします。 トンネリングには 2 つの重要な機能があります。 すなわちトンネルの出口までのデータ パケットのカプセル化と、送信されたパケットの出口でのカプセル除去です。 アクセス ポイントがサポートするトンネル モードは、IP Encapsulation within IP Encapsulation です。

通常、巡回クライアントは通常どおりパケットを送信します。 アクセス ポイントはこれらのパケットを代行受信し、外部エージェントに送信します。外部エージェントは最終的な送信先、すなわち対応するノードにパケットをルーティングします。

プロキシ モバイル IP セキュリティ

モバイル IP は強力な暗号化方式を使用して、巡回クライアント間の通信を保護します。 巡回クライアントとホーム エージェント間のすべての登録メッセージには、Mobile-Home Authentication Extension(MHAE)が含まれていなければなりません。 またプロキシ モバイル IP は、アクセス ポイントが巡回クライアントに代わってホーム エージェントに送信した登録メッセージにも、この要件を実装します。

登録メッセージの整合性は、アクセス ポイント(巡回クライアントの代理)とホーム エージェント間の共有128 ビット キーにより保護されます。 共有キーはアクセス ポイントまたは RADIUS サーバで指定できます。

鍵付きの message digest アルゴリズム 5(MD5)のプレフィックス モードとサフィックス モードは、添付された MHAE の認証者の値を計算するために使用されます。 モバイル IP とプロキシ モバイル IP は、hash-based message authentication code(HMAC-MD5)もサポートします。 受信側はメッセージで計算した認証者の値を拡張機能の値と比べて、認証を確認します。

オプションで、巡回クライアントと外部エージェント、および外部エージェントとホーム エージェント間でのメッセージ交換を保護する場合は、それぞれ Mobile-Foreign Authentication Extension と Foreign-Home Authentication Extension を追加します。

返答の保護では、登録メッセージの識別フィールドがタイムスタンプとシーケンス番号として使用されます。 ホーム エージェントは登録する巡回クライアントを同期化するためのタイムスタンプを返します。 プロキシ モバイル IP の場合、アクセス ポイントがホーム エージェントのすべてのメッセージを代行受信するため、巡回クライアントはホーム エージェントに同期化されません。

プロキシ モバイル IP の設定

次の項では、プロキシ モバイル IP の設定方法を説明します。

「設定のガイドライン」

「ワイヤード LAN でのプロキシ モバイル IP の設定」

「アクセス ポイントでのプロキシ モバイル IP の設定」

設定のガイドライン

プロキシ モバイル IP を設定する前に、次のガイドラインに注意する必要があります。

プロキシ モバイル IP はルート アクセス ポイント(ワイヤード LAN に接続したユニット)でのみ有効にできます。 リピータ アクセス ポイントでは、プロキシ モバイル IP を有効にできません。

プロキシ モバイル IP が設定されるアクセス ポイントには、ゲートウェイ アドレスが設定されている必要があります。 ゲートウェイは手動で設定できます。あるいは、アクセス ポイントで DHCP を通じてゲートウェイを受信できます。

外部エージェントとホーム エージェントは、プロキシ モバイル IP をサポートする必要のあるネットワーク ゲートウェイに存在しなければなりません。

信頼できるアクセス ポイントが DHCP を通じて IP アドレスを受け取る場合、アクセス ポイントのホスト名を使用してプロキシ モバイル IP 設定に AAP を指定します。

プロキシ モバイル IP は巡回クライアントのブロードキャストおよびマルチキャスト トラフィックをサポートしません。

DHCP が有効なクライアント デバイスでプロキシ モバイル IP を使用する場合、クライアント デバイスで Media Sense を無効にする必要があります。 Media Sense を無効にする手順については、『Microsoft Knowledge Base Article Q239924』を参照してください。 この記事には、次の URL をクリックするとアクセスできます。

http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q239924&

プロキシ モバイル IP は VLAN をサポートしません。

アクセス ポイントでプロキシ モバイル IP を無効にすると、プロキシ モバイル IP の設定全体がクリアされます。 設定をクリアせずにプロキシ モバイル IP を無効にする場合は、ip proxy-mobile pause コマンドを使用します。

ワイヤード LAN でのプロキシ モバイル IP の設定

アクセス ポイントのプロキシ モバイル IP は、ネットワーク ルータに設定されたモバイル IP とともに機能します。 ネットワークのルータにモバイル IP を設定する手順については、『12.2 T New Features(Early Deployment Releases)』の「モバイル IP」の章を参照してください。 次のリンクをクリックすると、「モバイル IP」の章を参照できます。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t1/mobileip.htm

アクセス ポイントでのプロキシ モバイル IP の設定

イネーブル EXEC モードから、次の手順に従ってアクセス ポイントにプロキシ モバイル IP を設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip proxy-mobile enable

アクセス ポイントでプロキシ モバイル IP を有効にします。

ステップ 3

ip proxy-mobile aap ip-address
[ip-address] [ip-address]

ステップ 4

ip proxy-mobile secure node
address-start address-end
spi spi key { hex | ascii } key

特定の IP アドレスまたは特定範囲の IP アドレスにセキュリティ アソシエーション設定を作成します。

IP アドレスまたは IP 範囲の開始アドレスと終了アドレスを入力します。

セキュリティ パラメータ インデックスを入力します。

セキュリティ パラメータのキーを入力します。 キーに使用されているのが 16 進文字と ASCII 文字のいずれであるかを指定します。 16 進文字を選択した場合、キーは 32 文字になります。 ASCII を選択すると、キーには 0 ~ 16 文字を使用できます。

ステップ 5

interface fastethernet 0

イーサネット ポートのインターフェイス コンフィギュレーション モードを開始します。

ステップ 6

ip proxy-mobile

イーサネット ポートでプロキシ モバイル IP を有効にします。

ステップ 7

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 8

interface dot11radio { 0 | 1 }

無線ポートのインターフェイス コンフィギュレーション モードを開始します。 2.4GHz無線は Radio 0、5GHz 無線は Radio 1 です。

ステップ 9

ip proxy-mobile

無線ポートでプロキシ モバイル IP を有効にします。

ステップ 10

ssid ssid

ステップ 11

ip proxy-mobile

SSID にプロキシ モバイル IP を有効にします。

ステップ 12

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 13

interface bvi1

bridge virtual interface(BVI)のインターフェイス コンフィギュレーション モードを開始します。

ステップ 14

ip proxy-mobile

BVI でプロキシ モバイル IP を有効にします。

ステップ 15

end

イネーブル EXEC モードに戻ります。

ステップ 16

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

プロキシ モバイル IP を無効にする場合は、ip proxy-mobile コマンドの no フォームを使用します。 プロキシ モバイル IP 設定を維持したままプロキシ モバイル IP を無効にする場合は、ip proxy-mobile pause コマンドを使用します。

次の例は、アクセス ポイントの SSID tsunami に対して IP アドレス 10.91.7.151 ~ 10.91.7.176 でプロキシ モバイル IP を有効にする方法を示します。

ap1200# configure terminal
ap1200(config)# ip proxy-mobile enable
ap1200(config)# ip proxy-mobile aap 192.168.15.22 192.168.15.24 192.168.15.28
ap1200(config)# ip proxy-mobile secure node 10.91.7.151 10.91.7.176 spi 102 key ascii 0987654
ap1200(config)# interface fastethernet 0
ap1200(config-if)# ip proxy-mobile
ap1200(config-if)# interface dot11radio 0
ap1200(config-if)# ip proxy-mobile
ap1200(config-if)# ssid tsunami
ap1200(config-if-ssid)# ip proxy-mobile
ap1200(config-if-ssid)# exit
ap1200(config-if)# exit
ap1200(config)# interface bvi1
ap1200(config-if)# ip proxy-mobile
ap1200(config-if-ssid)# end