RFC2003 在IP内封装IP

576次阅读  |  发布于5年以前

组织:中国互动出版网(http://www.china-pub.com/) RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm) E-mail:ouyang@china-pub.com 译者:Hlp(hlp,huangliuqi@hotmail.com) 译文发布时间:2001-5-23 版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须 保留本文档的翻译及版权信息。

Network Working Group                                         C. Perkins Request for Comment: 2003                                            IBM Category: Standards Track                                   October 1996

在IP内封装IP (RFC2003   IP Encapsulation within IP)

Status of This Memo

   This document specifies an Internet standards track protocol for the    Internet community, and requests discussion and suggestions for    improvements.  Please refer to the current edition of the "Internet    Official Protocol Standards" (STD 1) for the standardization state    and status of this protocol.  Distribution of this memo is unlimited.

摘要    本文档描述了一种可在IP数据报中封装另一个IP数据包(作为净负载)的方法.封装通 过把路由信息送往某个中间目的地(不是由原IP头部的IP Destination Address域)把正 常的IP路由变为数据报。封装可用于多方面,例如使用移动IP把数据报传送到某个移动节点.  1.简介    本文档描述了一种可在IP数据报中封装另一个IP数据包(作为净负载)的方法.封装通 过把路由信息送往某个中间目的地(不是由原IP头部的IP Destination Address域)把正 常的IP路由变为数据报。一旦封装后的数据报到达该中间目的地节点,就被拆分,得到原 IP数据报,然后原数据报被送到目的地址(由原Destination Address域决定). 封装与拆 分数据报的过程通常称为数据报“隧道”("tunneling"),封装方和拆分方分别为隧道的端点 (“endpoints");封装方称为隧道的“入口点”("entry point"),拆分方称为隧道的出口 点("exit point").     在最常见的隧道中我们有       source ---> encapsulator --------> decapsulator ---> destination

   其中source, encapsulator, decapsulator和destination是独立的节点。encapsulator  节点称为隧道的“入口点”而decapsulator节点称为隧道的“出口点”.在封装与拆分的过 程中同一个隧道可能有多个source-destination对。 2.动机     移动IP工作组指定封装作为移动IP工作组已经规定把封装作为从移动节点的"家乡网络 “("home network" )向代理(agent)传送数据包的方法,该代理能够以传统方式在移动节 点在当前异于家乡的位置“本地”地传送数据包(参见参考文献[8])。封装的使用也可表明 在IP数据报的源地址(或者中间路由器)必须影响数据报送达最终目的地所经过的路由。封 装的其他的应用包括多播,预付费,安全属性选择路由,总的(general)路由选择策略。    封装与松散的IP源路由选择(IP loose source routing option,参考文献[10])可以 相似方式影响数据报的路由,但由几个技术上的原因使得愿意选择:     -松散的IP源路由还有尚未解决的安全问题     -当前Internet路由器在转发包括IP选项的数据报(包括IP远路由选择)时暴露出性 能问题。     - 很多Interner节点在处理IP源路由选择时出错。 -防火墙(firewalls)可能把IP远路由数据报拒之门外。 - 插入IP远路由选择可能使数据报的源地址和/或目的地址的认证信息的处理变得复杂 化,取决于认证如何进行.     - 中间路由器不应(it's impolite)改变不是由它产生的数据报.

   使用封装时必须权衡封装的优缺点:     - 封装后的数据报一般比使用源路由算法的数据报大。

     -分片(由于封装头部的大小)将作为路径MTU发现的受益者,在封装后只执行一次。这 将阻止对一个数据报进行多次分片,提高拆分方和隧道内部的处理效率。      -如果未封装数据报的源正在做路径MTU发现,那么要求封装方知道隧道的MTU。任何来 自隧道内部的Datagram Too Big信息被返回到封装方,正如在5中所注的那样,封装 方不可能把所有ICMP信息中继给未封装数据报的发送方.通过维护隧道MTU的软状态, 封装方可以把正确的Datagram Too Big信息返回给未封装数据报的发送方以支持它 自己的路径MTU发现.在这种情况下,由封装方发送给原发送方的MTU应该是隧道的 MTU减去正封装的IP头部的大小。这将避免最初IP数据报被封装方分片。

这样,封装方正常情况下应该做路径MTU发现,要求封装方在所有送往隧道的数 据报均在IP头部设置"Don't  Fragment" 位。但是该方法带来几个问题。当原始发送 方设置"Don't Fragment"位时,发送方能通过重传原始数据报来对返回的Datagram Too  BigICMP错误信息迅速做出反应。另一方面,假定封装方收到来自隧道内部的Datagram  Too BigICMP错误信息,如果未封装数据报的发送者没有设置"Don't Fragment"位,封装 方将无法让原始发送方知道该错误。封装方可能在试图递增隧道的MTU时保存已发送数 据报的一份拷贝,以允许它在收到Datagram Too Big响应时分片并重传该数据报。          另一种选择是在未封装数据报没有设置"Don't Fragment"位时,封装方可能(以) 设置某些类型的数据报不设置"Don't Fragment"位。 5.2.拥塞    封装方可能收到来自隧道内部的拥塞的暗示,例如,收到隧道内部的源淹没(Source  Quench)ICMP信息。另外,与Internet无关的链路层以及各种协议可能以Congestion    Experienced标志位(参考文献[6])的形式提供该暗示。封装方应该在隧道的软状态中反映 拥塞状态,在随后向隧道转发数据报时,封装方应该使用适当手段来对拥塞进行控制(参考 文献[3]);但是,封装方不应该向位封装数据报的发送方发送源淹没(Source Quench )ICMP 信息。 6. 安全方面的考虑    IP封装潜在地降低了Internet的安全性,所以在使用IP封装时应该注意。例如IP封装 使边沿路由器很难根据其头部对数据报进行过滤。特别是,IP头部的原始的Source Address,  Destination Address,和Protocol各域,以及数据报中传输层头部使用的端口号,在封装后并 不处在它们正常的位置。因为任何IP数据报能被封装并通过隧道传输,这样的过滤边沿路由 器需要认真检查每一个数据报 6.1.路由器方面的考虑    路由器需要知道IP封装的协议以便能够对传进来的数据报进行过滤。这样的过滤应该与 IP身份认证(参考文献1)集成在一起。在使用IP身份认证的地方,如果正在封装的(外层) 数据包或者已经封装的(内层)数据包由一个经过认证的可信的源发送,则封装后的数据报 可被允许进入某组织。不包含这些认证的封装后的数据包是一个极大的安全隐患。

   封装和加密后的IP数据报(参考文献[2])也可能给过滤路由器带来问题。在这种情况下, 路由器只能过滤那些共享了用于加密的安全联合的数据报。在所有数据包都需要过滤(或者 至少说明)的环境中,为允许这种加密,接收节点必须采用一种机制来安全地把安全联合送 到边沿路由器。对于传出的数据包也适用这种安全联合,但较少使用。 6.2.主机方面的考虑   能够接收封装后的IP数据报的主机应该只接受符合下面几种类型的一种或多种的数据报:     -  协议无害:不需要进行基于源地址的身份认证。     - 正封装的(外层)数据报来自认证识别的可信的源,源的真实性建立于物理安全和边 沿路由器的配置,但更可能来自IP身份认证头部(参考文献[1]). -封装后的(内层)数据报包括一个IP身份认证头部  -封装后的(内层)数据报送到属于拆分方的网络接口,或者拆分方已与之建立特殊关系以传 输这些封装后数据报的节点。 

   这些检查的某些或全部在边沿路由器而不是接受节点进行,但如果边沿路由器检查作为备 份而不是仅仅作为检察会更好。 7.致谢    3和5节部分节选自移动IP因特网草案(Bill Simpson)的早期版本(参考文献[8]).6 节(安全考虑)的源文来自Bob Smart.从RFC 1853(参考文献[11],作者也是Bill Simpson) 中的到很多好主意,也感谢Anders Klemets发现草案中的错误并提出改进建议。最后感谢 David Johnson对草案的非常细致的审阅,勘误,润色以及其他方面的。

参考文献    [1] Atkinson, R., "IP Authentication Header", RFC 1826, August 1995.    [2] Atkinson, R., "IP Encapsulating Security Payload", RFC 1827,        August 1995.    [3] Baker, F., Editor, "Requirements for IP Version 4 Routers", RFC        1812, June 1995.    [4] Gilligan, R., Nordmark, E., and B. Hinden, "IPAE: The SIPP        Interoperability and Transition Mechanism", Work in Progress.    [5] Knowles, S., "IESG Advice from Experience with Path MTU        Discovery", RFC 1435, March 1993.    [6] Mankin, A., and K. Ramakrishnan, "Gateway Congestion Control        Survey", RFC 1254, August 1991.    [7] Mogul, J., and S. Deering, "Path MTU Discovery", RFC 1191,        November 1990.    [8] Perkins, C., Editor, "IP Mobility Support", RFC 2002,        October 1996.    [9] Postel, J., Editor, "Internet Control Message Protocol", STD 5,        RFC 792, September 1981.    [10] Postel, J., Editor, "Internet Protocol", STD 5, RFC 791,         September 1981.    [11] Simpson, W., "IP in IP Tunneling", RFC 1853, October 1995. 作者地址    关于本文档的问题可通过下述方式直接联系:    Charles Perkins    Room H3-D34    T. J. Watson Research Center    IBM Corporation    30 Saw Mill River Rd.    Hawthorne, NY  10532    Work:   +1-914-784-7350    Fax:    +1-914-784-6205    EMail: perk@watson.ibm.com     本工作组可以通过现任主席联系:    Jim Solomon    Motorola, Inc.    1301 E. Algonquin Rd.    Schaumburg, IL  60196

   Work:   +1-847-576-2753    EMail: solomon@comm.mot.com RFC2003   IP Encapsulation within I P                              在IP内封装IP

1 RFC文档中文翻译计划

Copyright© 2013-2020

All Rights Reserved 京ICP备2023019179号-8