ADMINISTRACIÓN DE DIRECCIONES IP PÚBLICAS

Cuando se contrata un enlace dedicado de Internet de alta velocidad como un E-3 es común que el carrier otorgue un segmento de direcciones IP públicas que le pertenece, y durante el uso del servicio el ISP pueda utilizarlas a conveniencia. Para un enlace E-3 es probable que el carrier conceda una subred de direcciones IP públicas de la clase C con una máscara de subred de 27 o 28 bits lo que implica 30 y 14 hosts respectivamente. Considerando que no es económicamente viable el uso de IPs públicas hacia cada uno de los suscriptores de Internet porque eso implicaría la renta de una cantidad elevada de direcciones IPs públicas y éstas requerían un monto adicional, se utiliza la técnica de Traducción de Direcciones de Red (NAT, Network Address Translation) para poder hacer que todas las direcciones privadas de cada uno de los CPEs tenga acceso a Internet a través de 1 o más direcciones IP públicas. De esta manera el ahorro de direcciones públicas puede llevarse a cabo colocando 1 sola dirección IP pública para todas las subredes de un sector o bien para todas las subredes de una zona. Por otra parte esta técnica imposibilita que el equipo de un usuario en particular sea accesible a través de Internet ya que la dirección IP pública representa las direcciones IP privadas de la subred que contiene los equipos de cómputo de los usuarios.

Debido a que únicamente los CPEs son los que requieren de acceso a Internet, cada unas de las 4 subredes declaradas por cada sector en la tabla 4-2 serán controladas por 1 sola dirección IP pública. De esta manera sólo 4 direcciones IP Públicas se utilizarán por el acceso a Internet de los suscriptores y las demás quedarán reservadas para clientes especiales y equipos de conectividad como son el router, el firewall en la interfaz outside, servidores en la DMZ, el CMTS, etc.

Considerando que el carrier proporciona una subred de IPs públicas de clase C y máscara de subred /29, nos permite 6 hosts de los cuales 4 se utilizan para NAT de cada uno de los sectores y 1 para la interfaz Outside del Firewall. En el esquema de red, el proceso de NAT lo llevará a cabo el Firewall y se muestra en la figura 4.4. De esta manera las direcciones IP privadas de los CPEs de cada uno de los 4 sectores se conservan al pasar por el CMTS hasta llegar a la interfaz Inside del Firewall y a partir de ese instante pasarán a la interfaz Outside “enmascaradas” con 1 dirección IP pública.

Inicio y Operación del Servicio de Internet por Cable

4.6 APROVISIONAMIENTO

El aprovisionamiento (Provisioning) consiste en indicar a cada uno de los cable módems que se conectan al CMTS cual es la política de navegación sobre la cual deberán proporcionar el acceso a Internet. La política de navegación se envía a través de un archivo de configuración DOCSIS (DOCSIS Config File) el cual es un archivo de contenido binario y se transmite al cable módem cada ocasión que éste se enciende o reinicia y por lo tanto se enlaza con el CMTS. Una vez que el cable módem ha recibido el archivo de configuración el estado de ese cable módem es registrado.

En el proceso de registro se lleva a cabo un reconocimiento por ambas partes. Mientras que en la red HFC para los nodos bidireccionales se encuentra de manera permanente la señal de downstream emitida por el CMTS, el cable módem que se conecte a la red de cable debe reconocer esta señal y posteriormente emitir su señal de upstream.

Para llevar a cabo el aprovisionamiento y el posterior registro de un cable módem, se requiere de un servidor que maneje una base de datos sobre todos los cable módems que se encuentran y sobre los que se instalarán en la red HFC para el servicio de Internet, este servidor es un software que almacena las direcciones MAC de los cable módems como medio de identificación para posteriormente enviar su correspondiente archivo de configuración DOCSIS. El CMTS no maneja bases de datos y tiene que apoyarse siempre en el servidor de aprovisionamiento, de otra manera los cable módems nunca se registrarían.

Es necesario que todos los cable módems obtengan una dirección IP a través de un servidor que emplea el Protocolo de Configuración Dinámica de Huéspedes (DHCP, Dynamic Host Configuration Protocol), una referencia de tiempo real proporcionada por un servidor de Hora del Día (ToD, Time of Day)y finalmente el archivo de configuración que le indicará el tipo de servicio que prestará en base a la velocidad de transmisión de datos download (recibidos desde Internet) y upload (enviados hacia Internet) y número de CPEs permitidos principalmente, a través de un servidor que recurre al Protocolo de Transferencia Trivial de Archivos (TFTP, Trivial File Transfer Protocol).

Todo el proceso desde que el cable módem detecta la señal de Downstream emitida por el CMTS hasta que el CPE queda en línea (online) se puede apreciar en la figura 4.5.

La conexión de los 3 servidores es a través de Gigabit Ethernet con el CMTS, todos se encuentran dentro de la zona Inside de máxima seguridad determinada por el Firewall. Al otorgar una dirección IP, que pertenece a una subred privada y limitada por una máscara de subred, al cable módem puede acceder únicamente a las subredes autorizadas en donde se encuentra el CMTS y los servidores encargados del aprovisionamiento; todo esto representa una medida de seguridad para la red de datos.

Cuando un cable módem ha quedado totalmente registrado en el CMTS al haber previamente obtenido dirección IP, referencia ToD y archivo de configuración, el propio CMTS describe al cable módem como un dispositivo en línea y se encuentra listo para operar el servicio de datos con lo que ahora ya se tratará de un puente para el acceso hacia Internet. Sin embargo el CPE debe adquirir una dirección IP de la subred asignada y que se encuentra dada de alta en el

Inicio y Operación del Servicio de Internet por Cable

servidor DHCP. Esta subred debe restringir el acceso hacia el CMTS y servidores de aprovisionamiento por parte de un CPE con la finalidad de prevenir ataques hacia el CMTS que afecten a toda la red de cable módems o bien denegar el acceso hacia los servidores que contienen las bases de datos junto con las políticas de navegación. Cuando un CPE ha adquirido una dirección IP privada declarada dentro de alguna de las subredes, el CMTS registra al CPE con estado de online. [23]

! " #$ % %# % & # %' ! #$ $ ( ) ! *+ ( # ! ! ,# - ! * . /) ! ,# * ! ! ,# ! ,# ) ! ! ,# # ! & 0 & 0 # ! * 1 ( ) ! $ (0 * 1 ( ) ! # ! ! ,# $ (0 ! ,# * 1 , ! ,# #2 #$

De manera física los tres servidores implicados en el aprovisionamiento (DHCP, ToD y TFTP) se pueden encontrar como software ejecutado en una sola plataforma de hardware, es decir se trata de procesos permanente que se encuentran ejecutando sobre un sólo servidor de alto rendimiento. De manera comercial existe software que permiten realizar el aprovisionamiento completo en una sola ventana y de manera sencilla, por lo tanto debe ser instalado sobre un servidor e incluso pueden operar sobre computadoras de escritorio.

Inicio y Operación del Servicio de Internet por Cable