Như roaming layer 2, mục tiêu của roaming layer 3 là client chuyển vùng một cách trong suốt. Sự khác nhau là bạn làm việc với nhiều bộ điều khiển trên nhiều subnet khác nhau. Điểm đáng chú ý ở đây là mặc dù các bộ điều khiển khác subnet nhưng user vẫn không thay đổi địa chỉ IP. Thay vào đó các tunnel của luồng dữ liệu trong các bộ điều khiển quay trở về bộ điều khiển gốc. Vì thế nó là một cấu hình smoke-and-mirrors. Bạn làm cho mạng tin rằng user không chuyển vùng. 2 phương pháp đường hầm: đường hầm bất đối xứng và đường hầm đối xứng
• Đường hầm bất đối xứng
Khi một client chuyển vùng trong một intercontroller roam, toàn bộ cơ sở dữ liệu chuyển đến bộ điều khiển mới. Đó không phải là trường hợp với chuyển vùng layer 3. Trong trường hợp chuyển vùng layer 3, toàn bộ client trong bộ điều khiển gốc được đánh dấu như một anchor. Sau đó toàn bộ cở sở dữ liệu không được chuyển đi; thay vào đó, nó được sao chép đến bộ điều khiển ngoài. Trên bộ điều khiển ngoài, toàn bộ được đánh dấu là “Foreign”. Client sau đó được chứng thực lại, toàn bộ được cập nhật trong AP mới. Địa chỉ IP không thay đổi. Tất cả điều này đều trong suốt đối với user
Bình thường khi một client gửi dữ liệu, nó được gửi đến một default gateway, giả sử nó rời subnet và đến đich. Luồng lưu lượng tạo cho nó một con đường quay trở lại client. Điều này có nghĩa là nếu bộ điều khiển 1 gửi dữ liệu đên Router 1 và sau đó đến Server 1, Server 1 trả lại qua Router 1 và sau đó về bộ điều khiển 1 như trong hình 12-10
Sau khi client chuyển vùng đến bộ điều khiển mới và một AP mới, luồng dữ liệu trả về không được phân phối đến đúng bộ điều khiển. Vì thế bộ điều khiển anchor thấy luồng dữ liệu trả về cho client với toàn bộ anchor được đánh dấu và biết rằng nó cần đường hầm để đến bộ điều khiển ngoài. Bộ điều khiển ngoài nhận gói tin và chuyển đến client.
Tuy nhiên, cấu hình này có một số vấn đề. Mạng ngày nay mang nhiều biện pháp bảo mật; một trong số chúng là Reverse Path Filtering (RPF), một chức năng được sử dụng bởi các router. Router kiểm tra tất cả gói tin nhận được để đảm bảo địa chỉ nguồn và interface nguồn xuất hiện trong bảng routing và nối interface với gói tin nhận được. Ngoài ra, theo RFC 3837 và một số đề nghị của antispoofing ALC khác, địa chỉ nguồn không được nối thì bị drop.
• Đường hầm đối xứng
Bộ điều khiển ngoài theo đường hầm dẫn gói tin đến bộ điều khiển anchor thay vì chuyển nó. Sau đó bộ điều khiển anchor chuyển gói tin đến server 1. Server 1 hồi đáp, gửi dữ liệu lại bộ điều khiển anchor. Bộ điều khiển anchor chuyển theo đường hầm đế bộ điều khiển ngoài. Bộ điều khiển ngoài phân phối gói tin trở lại client. Nếu client chuyển vùng đến bộ điều khiển ngoài khác, cở sở dữ liệu được chuyển đến bộ điều khiển ngoài mới như bộ điều khiển anchor không thay đổi
Lê Minh Tín – VnPro
• Đường hầm bất đối xứng
Khi một client chuyển vùng trong một intercontroller roam, toàn bộ cơ sở dữ liệu chuyển đến bộ điều khiển mới. Đó không phải là trường hợp với chuyển vùng layer 3. Trong trường hợp chuyển vùng layer 3, toàn bộ client trong bộ điều khiển gốc được đánh dấu như một anchor. Sau đó toàn bộ cở sở dữ liệu không được chuyển đi; thay vào đó, nó được sao chép đến bộ điều khiển ngoài. Trên bộ điều khiển ngoài, toàn bộ được đánh dấu là “Foreign”. Client sau đó được chứng thực lại, toàn bộ được cập nhật trong AP mới. Địa chỉ IP không thay đổi. Tất cả điều này đều trong suốt đối với user
Bình thường khi một client gửi dữ liệu, nó được gửi đến một default gateway, giả sử nó rời subnet và đến đich. Luồng lưu lượng tạo cho nó một con đường quay trở lại client. Điều này có nghĩa là nếu bộ điều khiển 1 gửi dữ liệu đên Router 1 và sau đó đến Server 1, Server 1 trả lại qua Router 1 và sau đó về bộ điều khiển 1 như trong hình 12-10
Sau khi client chuyển vùng đến bộ điều khiển mới và một AP mới, luồng dữ liệu trả về không được phân phối đến đúng bộ điều khiển. Vì thế bộ điều khiển anchor thấy luồng dữ liệu trả về cho client với toàn bộ anchor được đánh dấu và biết rằng nó cần đường hầm để đến bộ điều khiển ngoài. Bộ điều khiển ngoài nhận gói tin và chuyển đến client.
Tuy nhiên, cấu hình này có một số vấn đề. Mạng ngày nay mang nhiều biện pháp bảo mật; một trong số chúng là Reverse Path Filtering (RPF), một chức năng được sử dụng bởi các router. Router kiểm tra tất cả gói tin nhận được để đảm bảo địa chỉ nguồn và interface nguồn xuất hiện trong bảng routing và nối interface với gói tin nhận được. Ngoài ra, theo RFC 3837 và một số đề nghị của antispoofing ALC khác, địa chỉ nguồn không được nối thì bị drop.
• Đường hầm đối xứng
Bộ điều khiển ngoài theo đường hầm dẫn gói tin đến bộ điều khiển anchor thay vì chuyển nó. Sau đó bộ điều khiển anchor chuyển gói tin đến server 1. Server 1 hồi đáp, gửi dữ liệu lại bộ điều khiển anchor. Bộ điều khiển anchor chuyển theo đường hầm đế bộ điều khiển ngoài. Bộ điều khiển ngoài phân phối gói tin trở lại client. Nếu client chuyển vùng đến bộ điều khiển ngoài khác, cở sở dữ liệu được chuyển đến bộ điều khiển ngoài mới như bộ điều khiển anchor không thay đổi
Lê Minh Tín – VnPro