Professional Documents
Culture Documents
Protokollet e Rrjetit - K2
Protokollet e Rrjetit - K2
Protokollet e Rrjetit - K2
8.4
Shembull rrjeti
HA
MN
router
end-system router
8.5
Transferi i të dhënave në sistemin mobil
HA
2
MN
FA foreign
network
8.6
Transferi i të dhënave nga sistemi mobil
HA
1 MN
FA foreign
network
receiver
8.7
Pamja
COA
router
home router MN
FA
network HA
foreign
Internet network
CN router
3.
router
home router MN
2. FA
network HA
4.
foreign
Internet network
1.
CN router
8.8
Integrimi i rrjetit
• Njoftimi për agjent
• HA dhe FA periodikisht dërgojnë mesazhe njoftimi në subnete të
tyre fizike
• MN i dëgjon këto mesazhe dhe detekton, nëse është në rrjetin bazë
apo të huaj (rasti standard për rrjetin bazë)
• MN lexon një COA nga mesazeht e njoftimit FA
• Regjistrimi (gjithmonë me jetëgjatësi të kufizuar!)
• MN sinjalizon COA për në HA përmes FA, HA vërteton përmes FA
drejt MN
• Këto veprime duhet të sigurohen përmes vërtetimit
• Njoftimi
• HA njofton IP adresën e (si në sistemet fikse), p.sh., informacion
standard të rutimit
• Ruterët përshtatin shënimet e tyre, këto janë më stabile për një
kohë më të gjatë (HA përgjegjëse për një MN për një kohë)
• Paketet për MN i dërgohen HA,
• I pavarur nga ndryshimet në COA/FA
8.9
Regjistrimi
MN FA HA MN HA
8.10
Optimizimi i përcjelljes së paketeve
• Problemi: Rutimi trekëndor
• Dërguesi dërgon të gjitha paketet përmes HA në MN
• Vonesë më e madhe dhe ngarkesë më e madhe e rrjetit
• “Zgjidhjet”
• Dërguesi njoftohet për lokacionin aktual të MN
• Tunelim direkti në këtë lokacion
• HA informon dërguesin për lokacionin e MN
• Probleme të mëdha të sigurisë!
• Ndryshimi i FA
• Paketet gjate transmetimit mund të humbin
• FA e re e informon FA e vjetër për të evituar humbje të
paketeve, FA e vjetër tash përcjell paketet e mbetura drejt
FA të re
• Ky informacion po ashtu i mundëson FA të vjetër lirimin e
resurseve për MN
8.11
Ndryshimi i agjentit të huaj
CN HA FAold FAnew MN
Data Data
MN changes
location
Update Registration
ACK
Data
Data Data
Warning
Request
Update
ACK
Data
Data
t
8.12
Tunelimi i kundërt
HA
2
MN
FA foreign
network
1. MN sends to FA
3 2. FA tunnels packets to HA
CN by encapsulation
3. HA forwards the packet to the
receiver (standard case)
receiver
8.13
IP mobile me tunelim të kundërt
• Ruterët shpesh pranojnë vetëm adresa “topologjikisht korrekte“
(firewall!)
• Një paketë nga MN e enkapsuluar nga FA tash është topologjikisht
korrekte
• Aq më tepër zgjidhen problemet multicast dhe TTL (TTL në rrjetin
bazë korrekte, por MN është larg nga marrësi)
• Tunelimi i kundërt nuk zgjidh
• Problemet me firewalle, tunelimi i kundërt mund të keqpërdoret për
të anashkaluar mekanizma të sigurisë (tunnel hijacking)
• Optimizimin e shtigjeve të dhënash, p.sh., paketet do të përcjellen
nëpër tunel përmes HA për në dhënës (rutim i dyfishtë trekëndor)
• Standardi është kompatibil së prapthi
• Zgjerimet mund të implementohen lehtë me implementimet
aktuale pa këto zgjerime
• Njoftimet për agjentë mund të bartin kërkesa për tunelim të
kundërt
8.14
IP mobile IP dhe IPv6 (RFC 3775)
• IP mobile u zhvillua për IPv4, por IPv6 i thjeshton
protokollet
• Siguria është e integruar dhe nuk është një shtesë, vërtetimi i
regjistrimit është i përfshirë
• COA mund të caktohet përmes auto-konfigurimit (DHCPv6 është
një kandidat), çdo nyje ka auto-konfigurim të adresës
• S’ka nevojë për një FA të ndarë, të gjithë ruterët mund të
zbatojnë njoftim të ruterit i cili mund të përdoret në vend të
njoftimit të agjentit të posaçëm; adresat janë gjithmonë të ko-
lokalizuara
• MN mund të sinjalizojë një dërgues drejt COA, dërgimi përmes
HA i panevojshëm në këtë rast (optimizim automatik i shtegut)
• Dorëzim i „butë“, p.sh., pa humbje të paketeve, mes subneteve
është i përkrahur
• MN dërgon COA e re te ruteri i tij i vjetër
• Ruteri i vjetër enkapsulon të gjitha paketet ardhëse për MN dhe i
përcjell ato për te COA e re
• Vërtetimi është gjithmonë i lejuar
8.15
Problemet me IP mobile
• Siguria
• Vërtetimi me FA problematik, për shkak se FA i përket
organizatës tjetër
• S’ka protokoll për menaxhim dhe shpërndarje të çelësave i
cili është i standardizuar
• Kufizime në patente dhe eksport
• Firewall-et
• Zakonisht IP mobile nuk mund të përdoret së bashku me
firewall-et, rregullime të veçanta janë të nevojshme (si
p.sh., tunelimi i veçantë)
• QoS
• Shumë rezervime të reja në rast të RSVP
• Tunelimi e bën të vështirë trajtimin e veçantë të rrjedhës së
paketeve të nevojshme për QoS
• Siguria, firewall-et, QoS etj., janë tema të diskutimeve
dhe hulumtimeve
8.16
Siguria e IP mobile
• Kërkesat e sigurisë (Security Architecture for the Internet
Protocol, RFC 4301, ishte: 1825, 2401)
• Integriteti
çdo ndryshim në të dhëna mes dërguesit dhe marrësit mund
të detektohet nga marrësi
• Vërtetimi
adresa e dërguesit me të vërtetë është adresa e dërguesit
dhe të gjitha të dhënat e pranuara me të vërtetë janë të
dërguara nga ky dërgues
• Mirëbesimi
vetëm dërguesi dhe marrësi mund të lexojnë të dhënat
• Mos-mohimi
dërguesi nuk mund të mohojë dërgimin e të dhënave
• Analiza e trafikut
Krijimi i trafikut dhe i profileve të përdoruesve nuk duhet të
jetë i mundur
• Mbrojtja nga ri-leximi
Marrësit mund të detektojnë ri-leximin e mesazheve
8.17
Arkitektura e IP sigurisë I
• Dy apo më tepër partnerë duhet të negocijojnë
mekanizmat e sigurisë për të inicuar një lidhje të sigurisë
IP-Header
IP header Authentification-Header
authentication header UDP/TCP-Paket
UDP/TCP data
8.18
Arkitektura e IP sigurisë II
• Mobile Security Association për regjistrime
• Parametera për mobile host (MH), home agent (HA),
dhe foreign agent (FA)
• Zgjerime të arkitekturës së IP sigurisë
• Vërtetim i zgjeruar i regjistrimit
MH-FA authentication FA-HA authentication
MH-HA authentication
registration request
registration request
MH FA registration reply HA
registration reply
FA MH
response:
EHA-FA {session key}
EHA-MH {session key}
HA
8.20
Përkrahja për mikro-mobilitet të IP-së
• Përkrahja për mikro-mobilitet:
• Dorëzim lokal efikas brenda një domeni të huaj pa përfshirje
të një home agent
• Redukton trafikun e kontrollit në backbone
• Posaçërisht i nvepjshëm në rast të optimizimit të shtegut
• Kriter me rëndësi:
Efikasiteti i sigurisë, skalabiliteti, transparenca,
menaxhimi
8.21
IP celulare
• Operimi:
• “CIP Nyjet” mbajnë shënime të
rutimit (gjendja e butë) për MN Internet
• Shënime të shumëfishta të
mundshme Mobile IP
• Shënimet e rutimit të freskuara
bazuar në paketet e dërguara CIP Gateway
nga MN data/control
packets
• CIP Gateway: from MN 1
• Pikë fundore e IP-së mobile të
tuneluar
• Procesim fillestar i regjistrimit
BS BS BS
• Opcionet e sigurisë: packets from
• Të gjitha CIP Nyjet përdorin MN2 to MN 1
“çelësin e rrjetit”
• MN çelësi: MD5(net çelës, IP MN1 MN2
adresa)
• MN e merre çelësin pas
regjistrimit
8.22
IP celulare: Siguria
• Përparësitë:
• Regjistrimi fillestar përfshin vërtetim të MN-ve dhe
procesohet nga CIP Gateway
• Të gjitha mesazhet e kontrollit nga MN-ët janë të vërtetuara
• Mbrojtja nga ri-zhvillimi (përmes vulave kohore)
• Problemet potenciale:
• MN-ët mund të ndikojnë direkt në shënimet e rutimit
• Çelësi i rrjetit i njohur nga shumë entitete (rrit rrezikun e
kompromentimit)
• Pa mekanizma për ri-caktim të çelësit për çelësin e rrjetit
• Pa zgjedhje të algoritmit (gjithmonë MD5, modi
prefix+suffix)
• Mekanizma të vjetër (jo, p.sh., IPSec AH)
8.23
IP celulare: Çështje tjera
• Përparësitë:
• Arkitekturë e thjeshtë dhe elegante
• Zakonisht vetë-konfigurues (shumë pak menaxhim)
• Integrim me firewalle / i mundshëm adresimi privat
• Problemet potenciale:
• Jo transparente ndaj MN-ve (mesazhe shtesë të kontrollit)
• Kodimi i çelësave publikë të MN-ve mund të jetë problem për
MN me resurse të kufizuara
• Përcjellja në shumë shtigje mund të shkaktojë përdorim
joefikas të brezit freukuencor
8.24
IPv6 hierarkik mobil ( Hierarchical Mobile IPv6)
• Operimi:
• Rrjeti përmban mobility
anchor point (MAP) Internet
HA
• Mapim të COA regjionale
(RCOA) në link COA (LCOA)
RCOA
• Pas dorëzimit, MN e
informon vetëm MAP MAP
• Merr LCOA të re, mban
RCOA
binding
• HA kontaktohet veëtm nëse AR AR
update
MAP ndryshon
LCOAnew LCOAold
• Opcioent e sigurisë: MN MN
• Pa opcione të sigurisë
specifike sa i përket HMIP
• Freskimet e lidhjes duhet të
verifikohen
8.25
Hierarchical Mobile IP: Siguria
• Përparësitë:
• COA-të lokale mund të fshehen, gjë që siguron së paku një
lloj të privatësisë së lokacionit
• Rutim direkt mes CN-ve, që shfrytëzojnë bashkërisht të
njëjtin link, i mundur (por me rrezik)
• Problemet potenciale:
• Funksionalitet i decentralizuar kritik sa i përket sigurisë
(procesim i handoverit) në MAP
• MN-ët munden (duhet!) të ndikojnë drejtpërdrejtë në
shënimet e rutimit përmes freskimeve të lidhjes (vërtetim i
nevojshëm)
8.26
Hierarchical Mobile IP: Çështjet tjera
• Përparësitë:
• Dorëzimi kërkon numër minimal të ndryshimeve të
përgjithshme në tabelat e rutimit
• Integrimi me firewall-e / përkrahje për adresa private i
mundur
• Problemet potenciale:
• Jo transparente në MN-ët
• Efikasiteti i dorëzimit në skenarë mobile pa tela :
• Operacione komplekse MN
• Të gjitha mesazhet e rikonfigurimit të rutimit dërgohen përmes
linkut pa tela
8.27
DHCP: Dynamic Host Configuration Protocol
• Aplikimi
• Thjeshtësim i instalimit dhe i mirëmabjtjes së rrjeteve
kompjuterike
• I furnizon sistemet me të gjitha informacionet e nevojshme, si IP
adresa, adresa e DNS serverit, emri i domenit, subnet maska,
ruteri i paracaktuar etj.
• Mundëson integrim automatik të sistemeve në një Intranet apo në
Internet, mund të përdoret për të siguruar një COA për IP mobile
• Modeli Client/Server
• Klienti dërgon një kërkesë, përmes një trasnmetimi MAC, drejt
DHCP serveri (mund të jetë përmes një DHCP relay)
DHCPDISCOVER
DHCPDISCOVER
server client
client relay
8.28
DHCP veçoritë
• Serveri
• Disa serverë mund të konfigurohen për DHCP, Koordinimi
ende jo i standardizuar (p.sh., konfihurimet munuale)
• Ripërtëritja e konfigurimeve
• IP adresat mund të kërkohen periodikisht, protokoll i
thjeshtësuar
• Opcionet
• Në dispozicion për ruterët, subnet mask, NTP (network time
protocol) timeserver, SLP (service location protocol)
directory, DNS (domain name system)
8.29
Rrjete mobile ad hoc
• IP mobile standarde ka nevojë për infrastrukturë
• Home Agent/Foreign Agent në rrjetin fiks
• DNS, rutimi etj. Nuk janë dizajnuar për mobilitet
• Ndonjëherë nuk ka infrastrukturë!
• Vendet në largësi, mbledhje ad-hoc, vende të shkatërruara
• Kostoja mund të jetë argument kundër infrastrukturës!
• Tema kryesore: rutimi
• Pa ruter të paracaktuar në dispozicion
• Çdo nyje duhet të jetë në gjendje të luaje rolin e ruterit!
A B C
8.30
Zgjidhja: rrjete pa tela ad-hoc
• Rrjeti pa infrastukturë
• Përdorin komponentet e pjesëmarrësve për rrjetetëzim
• Shembuj
• Një-hop: Të gjithë partnerët larg
në maksimum një hop
• Bluetooth piconet, PDA-të në dhomë,
pajisjet për lojë…
Mobile
Router
Manet
Mobile
Devices
Mobile IP,
DHCP
Fixed
Network
8.32
Problemi 1: Rutimi
• Topologji e rrjetit me dinamikë të lartë
• Mobiliteti i pajisjes plus kualiteti i ndryshueshëm i kanalit
• Ndarje dhe shkrirje e rrjeteve e mundshme
• Të mundshme koneksione asimetrike
N7 N6
N6
N7
N1 N1
N2 N3
N3 N2
N4 N4
N5 N5
time = t1 time = t2
Link i mirë
Link i dobët
8.33
Algoritmet tradicionale të rutimit
• Distance Vector
• Shkëmbim periodik i mesazheve me të gjithë fqinjët fizikë që
përmbajnë informacion rreth asaj se kush mund të arrihet në
çfarë distancë
• Selektim i shtegut më të shkurtë nëse disa shtigje janë në
dispozicion
• Link State
• Njoftim periodik i të gjithë ruterëve prë gjendjen momentale të
të gjitha linqeve fizike
• Ruter merr një pamje komplete të rrjetit
• Shembull
• ARPA packet radio network (1973), DV-Routing
• Çdo 7.5s shkëmbim të tabelave të rutimit përfshirë këtu edhe
kualitetin e linkut
• Freskim të tabelave përmes pranimit të paketeve
• Problemet e rutimit zgjidhen me vërshim të kufizuar
8.34
Rutimi në rrjete ad-hoc
• Tema kryesore në shumë projekte hulumtimi
• Më shumë se 50 propozime të ndryshme ekzistojnë
• Më i thjeshti: Vërshimi!
• Arsyet
• Qasjet klasike bazuar në rrjete fikse dështojnë
• Konvergjencë shumë e ngadaltë, overhead i madh
• Dinamikë e lartë, brez i ultë, fuqi e ultë kompjuterike
8.35
Problemet e algoritmeve tradicionale të rutimit
• Dinamika e topologjisë
• Ndryshimet e shpeshta të koneksioneve, kualiteti i
koneksionit, pjesëmarrësit
8.36
DSDV (Destination Sequenced Distance Vector)
• DSDV eshte nje protokoll I rutimit hop-by-hop qe I kerkon
seciles nyje qe ne menyre periodike te dergoje broadcast
8.37
DSR (Dynamic Source Routing)
8.38
DSR: Route Discovery
Dërgimi prej C drejt O P R
C
G Q
B I
E
K M O
A
H
D L
F J N
8.39
DSR: Route Discovery
Broadcast P R
[O,C,4711]
C
[O,C,4711] G Q
B I
E
K M O
A
H
D L
F J N
8.40
DSR: Route Discovery
P R
[O,C/G,4711]
C
G [O,C/G,4711] Q
[O,C/B,4711]
B I
E
K M O
A
[O,C/E,4711] H
D L
F J N
8.41
DSR: Route Discovery
P R
C
G Q
[O,C/G/I,4711]
B I
E
K M O
A
H
[O,C/E/H,4711]
[O,C/B/A,4711] D L
F J N
[O,C/B/D,4711]
(alternatively: [O,C/E/D,4711])
8.42
DSR: Route Discovery
P R
C
G Q
[O,C/G/I/K,4711]
B I
E
K M O
A
H
D L
F J N
[O,C/E/H/J,4711]
[O,C/B/D/F,4711]
8.43
DSR: Route Discovery
P R
C
G Q
[O,C/G/I/K/M,4711]
B I
E
K M O
A
H
D L
F J N
[O,C/E/H/J/L,4711]
(alternatively: [O,C/G/I/K/L,4711])
8.44
DSR: Route Discovery
P R
C
G Q
B I
E
K M O
A
H
D L
F J N
[O,C/E/H/J/L/N,4711]
8.45
DSR: Route Discovery
P R
C
G Q
Path: M, K, I, G
B I
E
K M O
A
H
D L
F J N
8.46
Protokolli DSR
• Mirëmbajtja e shtigjeve
• Pas dërgimit të një paketi
• Prit për vërtetim nga shtresa 2 (nëse e aplikueshme)
• Dëgjo në medium prë të detektuar nëse stacionet tjera
prëcjellin paketin (nese e mundshme)
• Kërko për vërtetim eksplicit
• Nëse stacioni përbalelt me probleme ai mund të lajmërojë
dhënësin e paketit apo të kërkojë një shteg të ri lokalisht
8.47
Grupimi i rrjeteve ad-hoc
Internet
Cluster head
Base station
Cluster
Super cluster
8.48