Página 1
U n i ó n I n t e r n a c i o n a l d e T e l e c o m u n i c a c i o n e s UIT-T J.191 (03/2004) SECTOR DE NORMALIZACIÓN DE LAS TELECOMUNICACIONES...
Recomendación UIT-T J.191 Lote de características basadas en el protocolo Internet para mejorar los módems de cable Resumen Esta Recomendación presenta un juego de características basadas en el protocolo Internet (IP) que pueden añadirse a los módems de cable o incorporarse en un dispositivo autónomo, para que los operadores de cable puedan ofrecer a sus clientes un conjunto suplementario de servicios mejorados, entre ellos el soporte de la calidad de servicio (QoS) IPCablecom, las características adicionales de administración y configuración de los servicios y mejoras en el direccionamiento y en el tratamiento...
Página 4
PREFACIO La UIT (Unión Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones. El UIT-T (Sector de Normalización de las Telecomunicaciones de la UIT) es un órgano permanente de la UIT. Este órgano estudia los aspectos técnicos, de explotación y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalización de las telecomunica- ciones en el plano mundial.
ÍNDICE Página Alcance ......................... Referencias ........................Referencias normativas .................. Referencias informativas ................Términos y definiciones ....................Abreviaturas, siglas o acrónimos y convenios.............. Abreviaturas, siglas o acrónimos..............Convenios ....................... Arquitectura de referencia .................... Arquitectura lógica de referencia ..............Modelo de referencia funcional de IPCable2Home ........Modelo de la interfaz de mensajería de IPCable2Home ........
Página 6
Página 10.2 Arquitectura de la QoS ................... 10.3 Requisitos de la mensajería QoS de cable............Seguridad ........................11.1 Introducción y presentación ................11.2 Arquitectura de seguridad................11.3 Requisitos ....................... Procesos de gestión....................... 12.1 Introducción y presentación ................12.2 Proceso de las herramientas de gestión ............12.3 Funcionamiento del PS...................
Recomendación UIT-T J.191 Lote de características basadas en el protocolo Internet para mejorar los módems de cable Alcance Esta Recomendación presenta un juego de características basadas en el protocolo Internet (IP) que pueden añadirse a los módems de cable o incorporarse en un dispositivo autónomo, para que los operadores de cable puedan ofrecer a sus clientes un conjunto suplementario de servicios mejorados, entre ellos el soporte de la calidad de servicio (QoS) IPCablecom, las características adicionales de administración y configuración de los servicios y mejoras en el direccionamiento y...
Página 8
– IETF RFC 768 (1980), User Datagram Protocol (UDP). – IETF RFC 792 (1981), Internet Control Message Protocol, DARPA Internet Program, Protocol specification. – IETF RFC 868 (1983), Time Protocol. – IETF RFC 1034 (1987), Domain Names – Concepts and Facilities. –...
servicio de portal (PS, portal service): Elemento funcional que proporciona las funciones de gestión y traducción entre el HFC y el hogar. dispositivo protocolo Internet de la red de área local: El dispositivo IP de LAN representa el típico dispositivo IP que se instala en el hogar, dotado además de una pila TCP/IP y de un cliente DHCP.
DHCP Protocolo dinámico de configuración de anfitrión (dynamic host configuration protocol) Sistema de nombres de dominio (domain name system) DOCSIS Especificación de interfaz del servicio de datos por cable (data-over-cable service interface specification) DQoS Calidad de servicio dinámica (IPCablecom) (dynamic quality of service (IPCablecom)) E-MTA Adaptador de terminal de medios insertado (embedded multimedia terminal...
PS WAN-Man Interfaz de gestión entre el elemento servicio de portal y la red de área extensa (portal service element WAN management interface) Servicio de portal (portal service) Calidad de servicio (quality of service) Petición de comentarios (request for comments) Rivest, Shamir y Adleman SHA-1 Algoritmo de troceo seguro 1 (secure hash algorithm 1)
"DEBERÍA(N)" Esta palabra o el adjetivo "RECOMENDADO" significa que, en determinadas circunstancias, puede haber motivos justificados para ignorar este elemento, aunque deben tenerse en cuenta todas las repercusiones, estudiando detenidamente todas y cada una de las circunstancias antes de optar por una alternativa diferente. "NO DEBERÍA(N)"...
• Descarga segura de ficheros de configuración y de soporte lógico. • QoS segura en el enlace HFC. • Gestión remota de la barrera contra fuegos de la pasarela particular. La comunicación en la LAN y en la WAN está basada en el protocolo IPv4, el cual tendrá ventajas sobre los protocolos específicos que se definen en el resto de esta Recomendación.
comunicar información necesaria para gestionar y entregar servicios por las redes de IPCable2Home. En esta Recomendación se define una entidad lógica sencilla denominada elemento de servicios de portal (PS, portal service). 5.1.2.1 Servicios de portal (PS) Un portal es un elemento lógico que proporciona al mismo tiempo la seguridad, la gestión, la configuración y los servicios de direccionamiento.
Página 16
Figura 5-2/J.191 – PS autónomo y PS integrado 5.1.4 Sector de direcciones El sector de direcciones se define como "el dominio de la red en el que las direcciones de red se asignan unívocamente a entidades susceptibles de recibir datagramas dirigidos a ellas" [RFC 2663]. En la presente Recomendación, los sectores de direcciones se clasifican en sector de direcciones de la WAN y sector de direcciones de la LAN (véase la figura 5-3).
Las direcciones de la WAN pertenecen a uno de los dos siguientes sectores: el sector de direcciones de gestión de la WAN (WAN-Man) o el sector de direcciones de datos de la WAN (WAN-Data). Las direcciones de la LAN pertenecen asimismo a uno de los siguientes sectores: el sector de direcciones transferencia de la LAN (LAN-Pass, pass-though LAN address) o el sector de direcciones traducidas de la LAN (LAN-Trans).
Página 18
• Funciones de gestión del cliente. • Funciones de gestión del portal. Hay varias funciones de gestión del servidor que pertenecen a la cabecera (HE, headend). Las funciones de gestión del cliente se suelen encontrar dentro de los dispositivos IP de LAN. Las funciones de gestión del portal se encuentran en el elemento lógico PS, pudiendo incluir funcionalidades tipo servidor, tipo cliente y tipo enlace para agregar y traducir mensajes entre la cabecera y los dispositivos IP de LAN.
Página 19
Cuadro 5-3/J.191 − Descripción de las funciones de gestión cliente Funciones de gestión cliente Descripción Cliente DHCP del dispositivo IP La función cliente DHCP del cable es un componente interno al hogar de LAN utilizado durante el proceso de configuración del dispositivo IP de LAN para solicitar dinámicamente direcciones IP e información de configuración de otros elementos lógicos.
Página 20
Cuadro 5-4/J.191 –Descripción de la función portal de seguridad Funciones portal de seguridad Descripción Portal de seguridad del cable El CSP se comunica con los servidores de seguridad (CSP, cable security portal) de la cabecera, e incluye funciones que permiten la participación del lado cliente en los procesos de autenticación, intercambio de claves y gestión de certificados que se definen en IPCable2Home.
Modelo de la interfaz de mensajería de IPCable2Home La comunicación entre las funciones de los elementos de red de IPCable2Home y de los dispositivos IP de LAN se produce a través de interfaces de mensajería. Los tipos de interfaz de mensajería se distinguen por los elementos que intervienen en la comunicación.
Las interfaces de mensajería de IPCable2Home se resumen en el cuadro 5-6. Cuadro 5-6/J.191 − Trayectos de interfaz válidos para cada funcionalidad Interfaz Funcionalidad Protocolo HE-Dispositivo PS-Dispositivo HE-PS IP de LAN IP de LAN Nombre del Sin especificar Sin especificar Esta Recomendación servicio Descarga de...
Página 23
Figura 5-7/J.191 − Relación entre las funciones PS y la base de datos PS La base de datos del PS almacena una gran cantidad de relaciones de datos. El CMP proporciona la interfaz de gestión de WAN (SNMP) con la base de datos PS. Las funciones del PS acceden en la base de datos del PS y revisan las relaciones entre los datos.
Página 24
Figura 5-8/J.191 − Ejemplo detallado de implementación de la base de datos del PS El PS se gestiona desde la WAN a través del CMP, lo que en gran medida supone el acceso a la información contenida en la base de datos del PS. La gestión tiene por objeto la inicialización y configuración de los elementos de la red del lado WAN por una parte, y de los diagnósticos y estado de la LAN de otra.
El CDP contiene las funciones de dirección que dan soporte al servidor DHCP en el sector LAN-Trans y a los clientes DHCP en los sectores de la WAN. El CAP crea correspondencias de traducción de direcciones entre los sectores de direcciones WAN-Data y LAN-Trans.
Página 26
Figura 5-9/J.191 – Modos operacionales del PS Si la información del fichero de configuración del PS (ubicación del servidor y nombre del fichero) se suministra al PS pero no se suministra información del servidor Kerberos, en el ACK DHCP emitido por el servidor DHCP de la red de cable, el PS funcionará en el modo de configuración DHCP.
Cuadro 5-8/J.191 – Infraestructuras del PS Capacidad directamente Modo Infraestructura que se pretende afectada Modo de configuración SNMP Descarga del fichero de Infraestructura de IPCable2Home configuración ampliada Modo de configuración DHCP Descarga del fichero de Infraestructuras DOCSIS 1.0 y 1.1 configuración Modo de configuración DHCP: Versión de SNMP utilizada entre...
(lectura/escritura) a las funciones del PS NO DEBE permitirse a través del mecanismo que se emplea para configurar las funciones que no pertenecen a IPCable2Home. Herramientas de gestión Introducción y presentación Las herramientas de gestión dotan al operador de cable de la funcionalidad de supervisar y configurar el elemento de servicios de portal (PS) IP, así...
Arquitectura de gestión 6.2.1 Directrices de diseño del sistema El cuadro 6-1 contiene las directrices del diseño del sistema de herramientas de gestión de IPCable2Home. Esta relación sirve de orientación para el desarrollo de las especificaciones de las herramientas de gestión. Cuadro 6-1/J.191 −...
Figura 6-1/J.191 − Arquitectura de gestión Los elementos funcionales CMP y CTP se encuentran en el interior del PS. El elemento lógico PS puede incorporarse o ser autónomo, con relación a la funcionalidad del módem de cable, conforme a la cláusula 5. En ambos casos, desde el punto de vista de la gestión, el CM y el PS son entidades separadas e independientes, y no existe forzosamente la compartición de datos entre el CM y PS excepto en el caso de descarga de una imagen de soporte lógico en un PS incorporado.
• Permitir al NMS la visualización y actualización de la información de configuración de la barrera contra fuegos. • Permitir el ping distante para los dispositivos IP de LAN del sector de direcciones LAN-Trans, a través del portal de prueba del cable (CTP). •...
Página 32
controla mediante el cuadro NmAccess de RFC 2669 y se soportan los protocolos SNMPv1/v2c. Si el PS se configura de modo que funcione en el modo de coexistencia SNMPv3, el acceso a la gestión se controla conforme a RFC 2576, y se soportan los protocolos SNMPv1/v2c/v3, además de USM y VACM, y se distribuyen claves de SNMPv3 utilizando RFC 2786 y TLV en el fichero de configuración del PS.
Página 33
• NMS- Dispositivo IP de LAN: intercambio de mensajes de gestión entre el NMS de la red de cable y dispositivos IP de LAN en el sector LAN-Trans (proporcionado por la configuración del CAP – véase 8.3.2). Esta mensajería no está especificada por IPCable2Home.
Figura 6-3/J.191 − Diagramas de bloque del PS Las herramientas de gestión del NMS utilizan el SNMP para acceder a objetos del PS y gestionarlos. Si el PS está funcionando en el modo de coexistencia SNMPv3, el SNMPv3 otorga al operador del NMS autenticación de usuario del PS, acceso orientado a vistas de los objetos de la base de información de gestión (MIB) del PS y criptación de los mensajes de gestión cuando sea necesario.
Página 35
Si el PS está funcionando en el modo de configuración DHCP (indicado por el valor '1' de cabhPsDevProvMode) el CMP DEBE utilizar por defecto SNMPv1/v2c para la mensajería de gestión con el NMS y obedecer las reglas para el modo NmAccess y el de coexistencia descritas en 6.3.6.1.
El objeto sysObjectID del grupo del sistema MIB-2 [RFC 3418] DEBE implementarse y DEBE conservarse en las reactivaciones de los dispositivos y ciclos de alimentación. El objeto sysUpTime del grupo del sistema MIB-2 [RFC 3418] DEBE implementarse. Si SysUpTime es el periodo de tiempo transcurrido desde la última reactivación del sistema. El objeto sysContact del grupo de sistema MIB-2 [RFC 3418] DEBE implementarse y DEBE mantenerse a pesar de las reactivaciones de dispositivos y ciclos de potencia.
MIB de comunidades SNMP [RFC 2576]. SNMPv2-CONF. Para soportar el SMIv2, DEBEN implementarse las siguientes RFC del IETF: Estructura de la información gestionada versión 2 (SMIv2) [RFC 2578]. Convenios textuales para el SMIv2 [RFC 2579]. Declaraciones de conformidad para SMIv2 [RFC 2580]. 6.3.6 Requisitos del modo de gestión de red En la cláusula 5.5 se describieron dos modos de configuración (modo de configuración DHCP y...
• El proceso satisfactorio de todos los elementos MIB del fichero de configuración del PS DEBE llevarse a buen fin antes de iniciar el cálculo de los valores públicos del cuadro usmDHKickstart. Si el PS está funcionando en el modo de configuración DHCP, el contenido del fichero de configuración del PS determina el modo de gestión de la red como se indica a continuación: •...
Modo de coexistencia utilizando SNMPv1/v2c/v3 Durante el modo de coexistencia SNMPv3, el PS DEBE soportar los requisitos de "inicialización de SNMPv3" y "modificaciones de clave DH" conforme a 11.3.3.1.2. Estos requisitos incluyen el cálculo de los parámetros públicos del cuadro de arranque USM Diffie-Hellman. Se aplican las siguientes reglas al funcionamiento del PS durante y después del cálculo de los parámetros públicos (valores) conforme se indica: Durante el cálculo de los valores públicos de usmDHKickstartTable:...
Página 40
En la figura 6-4 se muestran algunas vistas de gestión posibles para el PS. IPCable2Home define una vista de administrador WAN (vista de administrador del PS) y un usuario de administrador WAN (usuario administrador del PS). Mediante la autorización final (administrador del PS) pueden establecerse otras vistas y usuarios, como es el caso de la vista de mantenimiento WAN, la vista de administrador LAN o la vista de usuario LAN, apegándose a las reglas definidas en RFC 3414 y RFC 3415.
La vista de lectura representa el conjunto de ejemplares de objeto autorizados para el grupo cuando lee objetos. La lectura de objetos tiene lugar cuando se procesa una operación de recuperación (tratando PDU de la clase lectura). La vista de escritura representa el conjunto de ejemplares de objeto autorizados al grupo cuando escribe objetos.
La especificación de usuario para la vista del administrador de la WAN DEBE implementarse del siguiente modo: vacmSecurityModel 3 (USM) vacmSecurityName 'PS Administrator' vacmGroupName 'PS Administrator' vacmSecurityToGroupStorageType permanente vacmSecurityToGroupStatus activo La especificación de grupo de la vista del administrador del PS DEBE implementarse del siguiente modo: PS Administrator Group vacmGroupName...
Página 43
Un fichero de configuración PS PUEDE incluir elementos MIB TLV (tipo 28) que efectúan asientos en cualquiera de los 11 cuadros relacionados anteriormente. Se prevé que estos elementos MIB TLV no tendrán columnas de índice que comiencen con los caracteres "@config" o "@PSconfig". Los cuadros de esta cláusula muestran cómo se colocan los campos del elemento TLV del fichero de configuración PS (las etiquetas entre corchetes angulares <...
Página 44
Cuadro 6-5/J.191 – snmpTargetAddrTable snmpTargetAddrTable [RFC 2573] Nueva fila SNMP-TARGET-MIB Nombre de columna (* = parte del índice) Valor de columna * snmpTargetAddrName "@PSconfig_n", donde n va de 0 a m–1, y m es el número de elementos TLV del receptor de notificación en el fichero de configuración del PS snmpTargetAddrTDomain snmpUDPDomain –...
Página 45
Cuadro 6-7/J.191 – snmpTargetParamsTable para <Trap type> 1, 2 ó 3 snmpTargetParamsTable [RFC 2573] Nueva fila SNMP-TARGET-MIB Nombre de columna (* = Parte del índice) Valor de columna * snmpTargetParamsName "@PSconfig_n", donde n va de 0 a m – 1, y m es el número de elementos TLV del receptor de notificación en el fichero de configuración del PS snmpTargetParamsMPModel...
Página 46
Si <Trap type> es 4 ó 5, y el campo <Security Name> no tiene longitud cero, se debe crear el cuadro de la siguiente manera: Cuadro 6-8/J.191 – snmpTargetParamsTable para <Trap type> 4 ó 5 snmpTargetParamsTable [RFC 2573] Nueva fila SNMP-TARGET-MIB Nombre de columna (* = Parte del índice) Valor de columna...
Página 47
6.3.6.4.6 snmpNotifyFilterTable Se debe crear una fila para cada elemento TLV que tenga una longitud diferente de cero <Filter Length>. Cuadro 6-10/J.191 – snmpNotifyFilterTable snmpNotifyFilterTable [RFC 2573] Nueva fila SNMP-NOTIFICATION-MIB Nombre de columna (* = Parte del índice) Valor de columna * snmpNotifyFilterProfileName "@PSconfig_n", donde n va de 0 a m –...
Página 48
Cuadro 6-12/J.191 – usmUserTable usmUserTable [RFC 2574] Primera fila SNMP-USER-BASED-SM-MIB Nombre de columna (* = Parte del índice) Valor de columna * usmUserEngineID * usmUserName "@PSconfig" Cuando se crean otras filas, ésta se sustituye con el campo <Security Name> de elemento TLV usmUserSecurityName "@PSconfig"...
Página 49
Se trata de las tres filas con valores fijos que se utilizan para los asientos TLV con <Trap Type> fijado a 1, 2 ó 3 o con un <Security Name> de longitud cero. Cuadro 6-14/J.191 – vacmAccessTable vacmAccessTable [RFC 2575] Primera fila Segunda fila Tercera fila...
6.3.7 Requisitos de la MIB Los objetos de la MIB que se relacionan en el anexo A DEBEN implementarse en un elemento PS de IPCable2Home PS. Los objetos MIB necesarios proceden de los siguientes documentos MIB: MIB del grupo de interfaces [RFC 2863]. MIB del dispositivo de cable DOCSIS [RFC 2669].
Página 51
En el caso del PS integrado, los objetos MIB del módem de cable sólo son visibles y accesibles cuando el gestor accede a los mismos a través de la dirección IP de gestión del módem de cable y NO DEBEN ser visibles o accesibles a través de ninguna dirección IP del PS, con excepción de: subárbol snmpV2 de RFC 2578, grupo SNMP de RFC 3418, contadores de grupo IP e ICMP de RFC 2011, y contadores de grupo UDP de RFC 2013 que podrán compartirse entre las entidades de gestión CM y PS.
Página 52
Figura 6-5/J.191 – Jerarquía MIB 6.3.8 Requisitos de la MIB del grupo de interfaces La MIB del grupo de interfaces constituye una potente herramienta que permite a los operadores de cable averiguar el estado de todas las interfaces físicas del elemento servicio de portal y consultar sus estadísticas.
Página 53
DEBE existir un ejemplar IfEntry para cada interfaz LAN física del elemento PS. DEBE existir un ejemplar ifEntry para una interfaz de 'Interfaces LAN agregadas', que se identifica mediante el valor 255 de ifIndex. Las interfaces DEBEN numerarse como se indica en el cuadro 6-16. Cuadro 6-16/J.191 –...
6.3.9 Requisitos de ipNetToMediaTable El ipNetToMediaTable (RFC 2011) hace corresponder las direcciones IP y las direcciones físicas, y su utilización es simple si cada dirección IP se asocia a una interfaz física y si ésta se asocia a una dirección física. No obstante, el PS utiliza distintas direcciones IP que pueden aplicarse a varias interfaces físicas, y asocia la interfaz WAN física con dos direcciones de soporte físico.
Cuadro 6-18/J.191 – Directrices de diseño del sistema CMP Referencia Directrices de diseño del sistema CMP CTP 1 Necesidad de que las interfaces soporten las características y funciones de gestión y diagnóstico necesarias para soportar los servicios basados en cable prestados en la red doméstica.
IP de LAN en el sector de direcciones LAN-Trans que implementa la función de servicio de eco conforme a la norma RFC 347. La cláusula sobre requisitos verificables del CTP, que figura más adelante en este texto, enumera los parámetros y respuestas correspondientes a la herramienta de velocidad de conexión. La cláusula 12.2.1.1 detalla el funcionamiento de la herramienta de velocidad de conexión.
Página 57
• cuando se detiene el temporizador, fijar cabhCtpConnStatus = complete(3), Y notificar el evento apropiado (véase el anexo B – Eventos del CTP); • almacenar el valor del temporizador (en milisegundos) en cabhCtpConnRTT; • si el valor del temporizador es igual al valor de cabhCtpConnTimeOut antes de que se reciba el último bit del dispositivo IP de LAN objetivo, notificar el evento apropiado (véase el anexo B –...
Página 58
El CTP DEBE fijar el valor de cabhCtpConnStatus a timedOut(5) si el temporizador (cabhCtpConnTimeOut) de la herramienta de velocidad de conexión expira antes de que el CTP reciba el último paquete enviado por la herramienta de velocidad de la conexión. El CTP NO DEBE utilizar ninguna dirección IP de la dirección IP de origen de la herramienta de velocidad de conexión (cabhCtpConnSrcIp) excepto una dirección IP válida actual WAN-Data del PS (es decir, un valor de objeto cabhCdpWanDataAddrIp activo) O una dirección IP válida...
La cabida útil de los paquetes transmitidos durante el funcionamiento de la herramienta Ping NO DEBERÍA ser ni todos ceros ni todos unos. Cuando se arranca la herramienta Ping (es decir, cuando el valor de cabhCtpPingControl se fija a start(1)) DEBE reactivar cabhCtpPingNumSent,...
Los mensajes de petición SNMP SET dirigidos al objeto RFC 2669 docsDevEvReporting utilizando los valores siguientes DEBEN provocar un error 'Wrong Value' para las PDU SNMP: • 0x20 = sólo registro de sistema • 0x40 = sólo trampa • 0x60 = sólo (trampa + registro de sistema) Un evento comunicado por trampa, histórico del sistema o informativo DEBE generar asimismo una anotación histórica en el registro local ya sea volátil o no volátil conforme al cuadro 6-19, y como se describe en 6.5.1.1.
Página 61
El PS PUEDE soportar eventos específicos del fabricante. Caso de soportarse, los eventos PS específicos del fabricante que puedan comunicarse mediante SNMP TRAP DEBEN describirse en una MIB privada distribuida con el PS. En la definición de las trampas del SNMP específicas del fabricante, la declaración de OBJECTS de la definición de la trampa privada DEBERÍA contener como mínimo los objetos indicados a continuación: •...
6.5.2 Formato de los eventos Los mensajes de eventos de gestión de IPCable2Home PUEDEN contener las informaciones siguientes: • Contador de eventos – indicador de la secuencia de eventos. • Hora del evento – momento de la ocurrencia del evento. •...
Página 63
Evento de alarma (prioridad 5) Avería que podría interrumpir el flujo normal de datos. Los informes de Syslog y Trap están activados por defecto para este nivel. Evento de notificación (prioridad 6) Evento de importancia que no constituye una avería y que puede comunicarse en tiempo real utilizando el mecanismo TRAP o el SYSLOG.
Cuadro 6-20/J.191 – Nivel mínimo de soporte del tipo de notificación por prioridad del evento en el PS No volátil Trampa Prioridad del SYSLOG Volátil local local SNMP Nota evento (bit-2) (bit-3) (bit-0) (bit-1) 1) Emergencia Sí Sí Sí Sí Específico del fabricante 2) Alerta Sí...
del soporte lógico. Estos eventos tienen aplicación únicamente en los PS autónomos, ya que la actualización de soporte lógico (al que se hace referencia también como descarga segura de soporte lógico) de un PS integrado la controla y gestiona el módem de cable. En 11.3.7.1, se definen los requisitos para la descarga segura de soporte lógico de las dos clases de elementos de servicios de portal.
Figura 7-1/J.191 – Arquitectura de configuración 7.1.3 Objetivos Entre los objetivos del portal DHCP de cable se encuentran: • La asignación, mediante DHCP, de direcciones IP a los dispositivos IP de LAN de acuerdo con las reglas especificadas en esta cláusula. •...
Entre las hipótesis de funcionamiento de la hora del día cliente se encuentra la siguiente: • El servidor DHCP de cabecera proporcionará una opción DHCP a la interfaz WAN-gestión que señale a un servidor de hora del día que funcione dentro de la red de cabecera. Arquitectura del portal DHCP de cable El portal DHCP de IPCable2Home (CDP) es una de las tres herramientas de configuración presentadas en 7.1.
Página 68
El PS utiliza dos direcciones de soporte físico, una para obtener una dirección IP para fines de gestión y la otra podría utilizarse para obtener una o más direcciones para los datos. Para evitar la simulación de la dirección de soporte físico, el PS no permite la modificación de ninguna de las dos direcciones de soporte físico.
Página 69
Figura 7-2/J.191 – Funciones del CDP 7.2.2.1 Descripción del sistema CDS El CDS es un servidor DHCP normal definido en RFC 2131, incluyéndose entre sus fines los siguientes: • El CDS asigna direcciones y entrega parámetros de configuración del DHCP a los dispositivos IP de LAN que reciben una dirección del sector de direcciones LAN-Trans.
Página 70
del PS por defecto, actualiza los plazos de expiración de las licencias activas en el sector LAN-Trans para volver a sincronizarse con los clientes DHCP en los dispositivos IP de LAN y mantiene las licencias basadas en dicho instante de arranque hasta que el PS se sincronice con el servidor de hora del día de la red de cable.
La MIB del CDS contiene asimismo los parámetros comienzo del grupo de direcciones (cabhCdpLanPoolStart) y final del grupo de direcciones (cabhCdpLanPoolEnd). Estos parámetros indican el intervalo de direcciones del sector LAN-Trans que el CDS puede asignar a dispositivos IP de LAN. El cuadro de direcciones LAN del CDP (cabhCdpLanAddrTable) contiene la lista de parámetros asociados a las direcciones asignadas a los dispositivos IP de LAN con direcciones LAN-Trans.
portal (PS) de IPCable2Home, siempre que un CDC solicite una dirección WAN-Man o WAN-Data. La opción de información específica del fabricante (opción 43 del DHCP) identifica además el tipo de dispositivo y sus capacidades. Describe el tipo de componente que lanza la petición (integrado o autónomo, CM o PS), los componentes que contiene el dispositivo (CM, MTA, PS, etc.), el número de serie del dispositivo y permite asimismo parámetros específicos del dispositivo.
Página 73
Modo 2 de direccionamiento WAN: El elemento PS consigue una dirección IP WAN-Man utilizando la dirección única de soporte físico WAN-Man y a continuación el NMS lo configura para solicitar una o más direcciones únicas IP WAN-Data. El elemento PS tendrá una interfaz IP WAN-Man y una o varias interfaces IP WAN-Data.
DHCP cuando solicita direcciones IP WAN-Data. Si los valores de ID de cliente no han sido suministrados, es decir, no existen las anotaciones cabhCdpWanDataAddrClientId, o el número de los valores de ID de cliente proporcionados es menor que el valor de cabhCdpWanDataIpAddrCount, el PS genera varios valores únicos de ID de cliente de manera que en combinación con los ID de cliente suministrados, el número total de ID de cliente únicos será...
El PS (CDC) solicita (repitiendo el proceso DHCP DISCOVER según proceda) tantas direcciones Data únicas según especifique valor cabhCdpWanDataIpAddrCount, utilizando la dirección de soporte físico WAN-Data en el campo chaddr del mensaje DHCP y el valor o valores de ID de cliente del paso 3) en la opción 61 de DHCP, iniciando con la primera anotación cabhCdpWanDataAddrClientId de cabhCdpWanDataAddrTable.
Página 76
• Cuando fracasa el primer intento del CDC para conseguir una licencia de dirección IP WAN-Man del PS. • Cuando el PS está funcionando en el modo de configuración DHCP y fracasa el primer intento para descargar o procesar el fichero de configuración del PS. •...
Página 77
Cuando el CDS asigna una licencia activa para una dirección IP a un dispositivo IP de LAN, el CDP DEBE suprimir esa dirección del grupo de direcciones IP disponibles para su asignación a los dispositivos IP de LAN. Si el CDS recibe una petición de licencia de un dispositivo IP de LAN y no puede atenderla debido a la falta de direcciones en el grupo de direcciones IP (definido por cabhCdpLanPoolStart y CabhCdpLanPoolEnd), deberá...
Página 78
Cuadro 7-3/J.191 – Opciones DHCP del CDS Soporte del Datos por Número de protocolo CDS (M) Nombre del objeto Función de la opción defecto de la opción obligatorio u (O) de la MIB fábrica del CDS opcional Rellenar Terminar Máscara de subred 255.255.255.0 cabhCdpServerSubn etMask...
Página 79
El CDC DEBE utilizar la dirección de soporte físico WAN-Man del PS en el campo chaddr Y en la opción 61 del DHCP, en los mensajes DHCP DISCOVER y DHCP REQUEST, cuando solicite una dirección IP de la WAN-Man al servidor DHCP de cabecera. Si el valor de cabhCdpWanDataIpAddrCount es cero, el PS DEBE utilizar la dirección IP de WAN-Man para las interfaces de WAN-Man y WAN-Data.
Página 80
número total de octetos de datos. El valor del octeto de longitud no se incluye a sí mismo ni al octeto de etiqueta. El octeto de longitud es seguido por octetos de "longitud" de los datos de la subopción. Más adelante se define la codificación de cada subopción de la opción 43. En los cuadros 7-5 y 7-6 se puede encontrar el objetivo previsto para cada subopción.
Página 81
Cuadro 7-5/J.191 – Opciones del DHCP para las peticiones de direcciones de los sectores WAN-Man y WAN-Data del PS integrado Opciones de petición del DHCP Valor Descripción Petición de una dirección de gestión de la WAN del DHCP de los servicios de portal integrados Opción 60 del CPE "IPCable2Home"...
Página 82
Cuadro 7-6/J.191 – Opciones del DHCP para las peticiones de direcciones de los sectores WAN-Man y WAN-Data del PS autónomo Opciones de petición del Valor Descripción DHCP Petición de una dirección de gestión de la WAN del DHCP de servicios de portal autónomos Opción 60 del CPE "IPCable2Home"...
Página 83
Cuadro 7-7/J.191 – Opciones DHCP del CDC Obligatoriedad (M) de Número Función de la opción soporte del protocolo de la opción del CDC Relleno Final Máscara de la subred Opción de desplazamiento de tiempo Opción del encaminador Opción del servidor de tiempos Servidor de nombres de dominio Servidor de anotaciones históricas (syslog) Nombre del anfitrión...
Página 84
entidad del centro de distribución de claves (KDC) del proveedor de servicios. A continuación se describe el formato de la subopción 6 de la opción 177 del DHCP: El nombre del sector Kerberos suministrado al PS en la subopción 6 de la opción 177 del DHCP DEBE codificarse conforme al nombre de sector de estilo de dominio que se describe en [RFC 1510].
Página 85
El PS DEBE solicitar las opciones DHCP relacionadas como obligatorias en el cuadro 7-9, dentro de la opción 55 del DHCP (Lista de petición de parámetros) [RFC 2132] enviada en los mensajes DHCP DISCOVER y DHCP REQUEST. Cuadro 7-9/J.191 – Opciones DHCP del CDC solicitadas con la opción 55 Número de Obligatoriedad (M) de la Función de la opción...
Página 86
Aun cuando esté utilizando la dirección IP de WAN-Data por defecto 192.168.100.5, el CDC DEBE continuar ejecutando un DHCP DISCOVER cada 10 segundos hasta que se otorgue una licencia DHCP válida a esa interfaz WAN-Data del PS (o a la interfaz WAN- Man, si las WAN-Man y WAN-data comparten una dirección IP).
Página 87
• Aceptar la licencia de dirección IP ofrecida (CPE) y utilizarla como la dirección WAN-Data del PS en el cuadro de correspondencia CAP, incluida la asignación de la dirección a cabhCdpWanDataAddrIp e introduciendo las otras anotaciones del cuadro de dirección WAN-Data del CDP (cabhCdpWanDataAddrTable). El PS funcionará sin una dirección IP de WAN-Man, que es una situación distinta de cualquiera de los modos de dirección WAN descritos en 7.2.2.2.2.
Esto permitirá proteger contra posibles ataques de piratas informáticos durante el proceso de configuración cuando se inhabilita la barrera contra fuegos del PS. Arquitectura de configuración de los servicios de portal en bloque 7.3.1 Directrices de diseño del sistema de configuración de los servicios de portal en bloque Las siguientes directrices de diseño del sistema permiten obtener las capacidades definidas para la herramienta de configuración del PS en bloque: Cuadro 7-10/J.191 –...
Un PS que funciona en el modo de configuración SNMP DEBE tener la capacidad de funcionar sin un fichero de configuración de PS, pero debe poder descargar y procesar dicho fichero si se activa conforme a 7.3.3.2 Las fijaciones de los objetos MIB transferidas en el fichero de configuración del PS tendrán prioridad sobre las fijaciones de objetos MIB existentes, y las DEBEN reemplazar.
Tipo Longitud Valor − − 7.3.3.1.2 Nombre del fichero de actualización del soporte lógico Se trata del nombre del fichero de actualización del soporte lógico del dispositivo IPCable2Home. Este nombre se especifica con la calificación completa del directorio. Se prevé que el fichero resida en un servidor TFTP identificado en una de las opciones de los valores de configuración.
Tipo Longitud Valor Variable vinculación variable El PS DEBE tratar la vinculación variable, en un TLV de tipo 28, como si formase parte de la petición SNMP SET con las siguientes advertencias: • DEBE tratar las peticiones como plenamente autorizadas (no puede rechazar la petición por falta de privilegios).
Para el conjunto de caracteres ASCII, la codificación UTF8 y la ASCII son idénticas. Normalmente se especificará como uno de los usuarios USM incorporados en DOCSIS, por ejemplo, "docsisManager", "docsisOperator", "docsisMonitor", "docsisUser". El nombre de seguridad NO termina en cero. Esto se indica en usmDHKickStartTable como usmDHKickStartSecurityName y en usmUserTable como usmUserName y usmUserSecurityName.
Se DEBEN reconocer los siguientes valores de tipo de trampa: – 1 = Trampa SNMP v1 en un paquete SNMP v1; – 2 = Trampa SNMP v2c en un paquete SNMP v2c; – 3 = Informativo SNMP en un paquete SNMP v2c; –...
NOTA 1 – Al recibir uno de estos elementos TLV, el PS DEBE efectuar anotaciones en los siguientes cuadros a fin de provocar la transmisión de trampas deseada: snmpNotifyTable, snmpTargetAddrTable, snmpTargetParamsTable, snmpNotifyFilterProfileTable, snmpNotifyFilterTable, snmpCommunityTable, usmUserTable, vacmSecurityToGroupTable, vacmAccessTable y vacmViewTreeFamilyTable. NOTA 2 – Tipo de trampa: La cadena de comunidad para las trampas de los paquetes SNMP v1 y v2 DEBE ser "public".
Página 95
Este parámetro incluye un troceo (PS MIC) que se calcula con un algoritmo de troceo seguros (SHA-1, secure hash algorithm) que se define en FIPS 180-2. Este TLV se utiliza únicamente en el fichero de configuración inmediatamente antes del marcador de fin de datos. 7.3.3.2 Modo de activación La transferencia del fichero de configuración desde el servidor TFTP en la red de cabecera hasta el...
Página 96
configuración de PS (sujeto a las condiciones que se describen más adelante para otros requisitos), DEBE concluir la fase de descarga. Cuando el PS (CMP) termina satisfactoriamente dicha descarga, DEBE procesarlo antes de emitir una petición TFTP de otro fichero de configuración de PS. Se necesita un mecanismo de señalización para informar a la entidad de gestión que el PS se encuentra procesando un fichero de configuración.
fichero como se describe más adelante. Consúltese 7.3.3.4 para obtener detalles sobre el tratamiento de errores y la generación de eventos durante el procesamiento del fichero de configuración del PS. El PS DEBE utilizar parámetros obtenidos del fichero de configuración de PS para fijar los objetos gestionados en la base de datos del PS.
7.3.3.3.1 Algoritmo de autenticación del fichero de configuración del PS para el modo de configuración DHCP El procedimiento para verificar el troceo del fichero de configuración de PS mediante el elemento PS funcionando en el modo de configuración DHCP es el siguiente: Cuando el generador del fichero de configuración del sistema de configuración crea un nuevo fichero de configuración de PS o modifica un fichero existente, dicho generador creará...
Página 99
7.3.3.4 Medios de comunicación del estado El PS DEBE comunicar el estado y las condiciones de error de descarga del fichero de configuración por medio del proceso de comunicación de eventos descrito en 6.5. En el cuadro 7-12 se indican los modos de éxito y de fracaso con los que podría encontrarse la descarga y el procesamiento del fichero de configuración del PS, y las medidas que DEBE tomar el PS cuando los detecta.
Página 100
Si el contador de reintentos del fichero de configuración del PS indica menos de 5, Y concluye el periodo de temporización de la petición TFTP Get, el fichero de configuración del PS no se encuentra en el servidor TFTP, O la petición TFTP Get sufre un fallo debido al desorden de los paquetes, el PS DEBE iniciar el funcionamiento de CDS y CNP, comunicar el evento pertinente y reintentar la descarga del fichero de configuración del PS, de acuerdo con el algoritmo de reintentos que se describe en 7.3.3.2.
Arquitectura del cliente de hora del día 7.4.1 Directrices de diseño del sistema cliente de hora del día Las siguientes directrices de diseño del sistema permiten obtener las capacidades definidas para el cliente de hora del día del PS: Cuadro 7-13/J.191 − Directrices de diseño del sistema cliente de hora del día Número Directrices de diseño del sistema cliente de hora del día TOD 1...
Página 102
Un PS integrado DEBE utilizar la hora del día válida más reciente obtenida del servidor ToD para el reloj de hora del día del sistema, aun en el caso de que esto signifique la sustitución de la hora del sistema obtenida por el CM. Si un PS integrado no puede obtener la hora del día del servidor ToD, DEBE utilizar la hora del día obtenida por el módem de cable para el reloj de hora del día del sistema.
Si el valor de cabhPsDevTodSyncStatus es '1', es decir, si ya se estableció el tiempo local, no es necesario que el cliente hora del día emita una petición ToD. El PS DEBE enviar y recibir mensajes ToD sólo a través de la interfaz WAN-Man. Tratamiento de los paquetes y traducción de direcciones Introducción y presentación 8.1.1...
Página 104
8.2.2 Descripción del sistema de tratamiento de paquetes Esta cláusula proporciona una visión general de los conceptos clave del tratamiento de paquetes y traducción de direcciones. 8.2.2.1 Resumen funcional del tratamiento de paquetes La funcionalidad de traducción de direcciones y de tratamiento de paquetes la proporciona una entidad funcional denominada portal de dirección del cable (CAP).
Página 105
Figura 8-1/J.191 − Funciones del portal de dirección de cable (CAP) En esta Recomendación, las expresiones vinculación de direcciones, desvinculación de direcciones, traducción de direcciones y sesión se utilizan respetando las definiciones de RFC 2663. Por otra parte, el término "correspondencia" se define como la información necesaria para ejecutar un encaminamiento transparente C-NAT y un encaminamiento transparente C-NAPT.
Página 106
toman principalmente en la capa 2 de OSI (capa del enlace de datos). En este modo, el CAP no ejecuta función alguna de encaminamiento transparente C-NAT ni C-NAPT. El CAP soporta el encaminamiento de la capa 3 de OSI (capa de red) tanto en el modo de encaminamiento transparente C-NAT como en el modo de encaminamiento transparente C-NAPT, como se describe más adelante.
Página 107
termina una sesión TCP. Las correspondencias C-NAPT dinámicas para el tráfico ICMP se destruyen cuando expira un límite temporal de inactividad, cabhCapIcmpTimeWait. Además, pueden crearse y destruirse correspondencias C-NAPT estáticas cuando el sistema NMS describe o suprime entradas del cuadro de la MIB cabhCapMappingTable. La figura 8-2 muestra un proceso característico de correspondencia C-NAPT dinámica con un paquete TCP.
Página 108
Se supone que cuando el PS se encuentre en el modo de encaminamiento (C-NAT/C-NAPT), podrá procesar tráfico de difusión conforme a las normas RFC 919, 922, 1812 y 2644. Además, se prevé que cuando el PS se encuentre en el modo de transferencia, el tráfico de difusión se puenteará a todas las interfaces.
El CAP entrega a la LAN tráfico IGMP con origen en la WAN para que los anuncios lleguen a los dispositivos IP de LAN. Un dispositivo IP de LAN determinará la multidifusión a la que desea incorporarse y enviará un mensaje "join" de multidifusión. A continuación la fuente de multidifusión podrá...
Página 110
Figura 8-4/J.191 – Ejemplo de procesamiento de paquetes LAN-a-WAN Rec. UIT-T J.191 (03/2004)
Figura 8-5/J.191 – Ejemplo de proceso de paquetes WAN-a-LAN Requisitos CAP 8.3.1 Requisitos generales Para poder comunicarse normalmente con los anfitriones de Internet, las interfaces IP lógicas del elemento de servicios de portal DEBEN ser conformes con las secciones 3 y 4 de RFC 1122. Rec.
Página 112
El CAP DEBE soportar tráfico de multidifusión de WAN-a-LAN puenteando de manera transparente los mensajes IGMP de WAN-a-LAN y los paquetes multidifusión IP de WAN a LAN como se describe en RFC 2236. Si el modo de tratamiento de paquetes primario, cabhCapPrimaryMode, se fija a transferencia, todos los mensajes IGMP de LAN-a-WAN DEBEN puentearse de manera transparente.
8.3.2.1 Requisitos del modo transferencia Cuando el modo primario de tratamiento de paquetes del CAP, cabhCapPrimaryMode, tiene el valor modo transferencia, el CAP DEBE actuar como un puente transparente, definido en ISO/CEI 15802-3, entre los sectores WAN-Data y LAN-Pass, y NO DEBE ejecutar función alguna de encaminamiento transparente C-NAT ni C-NAPT.
8.3.3 Requisitos del USFS La funcionalidad de conmutación de entrega selectiva hacia el origen (USFS) DEBE aplicarse al procesamiento de paquetes, con independencia del modo de tratamiento de paquetes del CAP (transferencia, C-NAT, C-NAPT o híbrido puenteo/encaminamiento). El elemento PS DEBE obtener todas las direcciones IP LAN-Trans, IP LAN-Pass y MAC de los dispositivos IP de LAN asociados a cada una de sus interfaces de red físicas activas.
Arquitectura 9.2.1 Directrices de diseño del sistema Cuadro 9-1/J.191 − Directrices de diseño del sistema de resolución de nombres Referencia Directriz de diseño del sistema Resolución de Proporcionar el servicio de nombres de dominio (DNS) desde un servidor del PS a los nombres 1 clientes DNS de dispositivos IP de LAN, para la resolución de nombres de los dispositivos IP de LAN (independientemente del estado de la conexión de la WAN).
Página 116
Figura 9-1/J.191 – Procesamiento de los paquetes del CNP El CNP se basa en el cuadro cabhCdpLanAddrTable del CDP, para enterarse de los nombres de anfitrión asociados con las direcciones IP actuales de los dispositivos IP de LAN activos. Mientras un dispositivo IP de LAN mantiene una licencia DHCP activa con el CDP y ha proporcionado un nombre de anfitrión al CDP (como parte de su proceso de adquisición de dirección IP) el CNP podrá...
Cuadro 9-2/J.191 − Campos del registro SOA Campo RDATA de RFC 1035 Objeto de la MIB del CDP MNAME cabhCdpServerDomainName RNAME Sin especificar SERIAL Sin especificar REFRESH Sin especificar RETRY Sin especificar EXPIRE Sin especificar MINIMUM Sin especificar El campo MNAME es el nombre de dominio del sector de direcciones LAN-Trans. El CNP utiliza el valor almacenado en cabhCdpServerDomainName como nombre del dominio del sector de direcciones LAN-Trans.
responder a la consulta de determinación del nombre de anfitrión con el error adecuado que se especifica en RFC 1035. El CNP DEBE responder a las consultas DNS del tipo QCLASS = IN y QTYPE = A, NS, SOA o PTR. Las respuestas del CNP a las consultas DNS DEBEN respetar la sección 3.3 de RFC 1035, con el bit de respuesta autorizada de la sección de cabecera igual a '1' (véase la sección 4.1.1 de RFC 1035).
10.2 Arquitectura de la QoS La arquitectura de la calidad de servicio del cable (CQoS, cable quality of service) está integrada por elementos funcionales de IPCable2Home y por la clase de dispositivo HA. Los diseñadores de equipos de red de IPCable2Home (tanto de soporte físico como de soporte lógico) implementan uno o más de estos elementos en función del conjunto de características que se desea exhiban dichos productos.
10.2.2.1.1 Componente CQP El elemento PS incorpora un componente de portal de calidad de servicio del cable (CQP), que desempeña la función de un portal CQP para aplicaciones conformes a IPCablecom. Su función primordial es retransmitir los mensajes de QoS entre el CMTS y las aplicaciones de IPCablecom. 10.2.2.1.2 Configuración del PS autónomo En esta Recomendación no se determinan los requisitos de QoS entre un PS y un CM, y por consiguiente no se describen las funciones necesarias para mantener las prioridades de la sesión de...
En las siguientes subcláusulas se definen los requisitos funcionales del CQP y demás elementos CQoS. 10.3.1 Requisitos del CQP El CQP DEBE actuar como puente transparente y entregar los mensajes QoS IPCablecom J.161 y J.163 entre el CMTS y las aplicaciones IPCablecom. Los datos de la aplicación se asocian a un flujo de servicio DOCSIS de acuerdo con un clasificador creado en la interfaz CM a partir de la información contenida en los mensajes IPCablecom (tales como RSVP PATH).
• Pueden existir niveles de seguridad inferiores en la red doméstica cuando los servicios prestados se consideren de escaso valor. 11.2 Arquitectura de seguridad La arquitectura de seguridad se basa en la arquitectura general definida en la cláusula 5. La arquitectura define un elemento de servicios de portal (PS), que incluye las funciones de gestión y configuración, seguridad y QoS.
11.2.2 Descripción del sistema Esta cláusula proporciona un resumen de todos los elementos que integran la arquitectura de seguridad. La arquitectura de seguridad está compuesta por los siguientes elementos de seguridad: • Dominio de seguridad. • Función de servicios de portal (PS). •...
11.2.2.2 La función PS – Servicios de portal El servicio de portal (PS) es un elemento lógico dotado de funciones de direccionamiento de la red, gestión y portal de seguridad, que sólo reside en los dispositivos HA. El PS está integrado por los siguientes elementos: •...
Página 125
El filtrado estático, o SPF, y los ASP de una barrera contra fuegos son en última ejemplar los controles que utiliza la política de seguridad para implementar el nivel de seguridad deseado en un sitio. No obstante, aunque la política de seguridad determina los servicios permitidos y su modo de utilización a través de una barrera contra fuegos, no define en detalle la configuración específica de la barrera contra fuegos.
Figura 11-2/J.191 − Ejemplo de elemento PS de un dispositivo HA 11.2.3 Servidor del centro de distribución de claves (KDC) El servidor de seguridad soportado en IPCable2Home es el servidor del centro de distribución de claves (KDC). Si hay disponible un servidor KDC que soporte IPCable2Home en la cabecera, se utilizará...
cabecera. El CMP activa las funciones de gestión del PS y entre ellas la gestión de los servicios de seguridad. En las cláusulas 12 y 13, y en la cláusula 10 relativa a QoS, se exponen en más detalles estos elementos y sus funciones.
Los certificados utilizados en PKINIT para IPCable2Home se especifican en la sección PKI de esta Recomendación. En esta Recomendación se propone un certificado para el elemento PS (certificado del elemento PS) para aquellos casos en que IPCablecom especifica un certificado de dispositivo MTA, y las implementaciones de los elementos PS DEBEN incluir el certificado del elemento PS.
carácter hexadecimal de la dirección MAC. Los caracteres hexadecimales a-f DEBEN indicarse con minúsculas. Un nombre principal de elemento de NMS DEBE ser del tipo NT-SRV-HST exactamente con dos componentes: el primero DEBE ser la cadena "provsrvr" (sin incluir las comillas) y el segundo DEBE ser la dirección de la entidad SNMP del proveedor de servicio: provsrvr/<SNMP entity address>...
certificates). Para los certificados CA la extensión keyUsage DEBE marcarse como crítica con un valor de keyCertSign y cRLSign. Para los certificados CVC la extensión keyUsage DEBE marcarse como crítica con un valor de digitalSignature y keyEncipherment. Los certificados de la entidad final pueden utilizar la extensión keyUsage como se especifica en RFC 3280.
instaladas ambas arquitecturas de red en sus sistemas, éstas podrán utilizar el mismo KDC y el mismo certificado de KDC para la comunicación en ambos sistemas, es decir, IPCablecom e IPCable2Home. En este caso, el KDC de IPCable2Home es equivalente o idéntico al KDC de MSO de IPCablecom (IPCablecom recomienda el empleo de varios KDC).
Página 132
Cuadro 11-2/J.191 − Certificado CA raíz del fabricante Forma del nombre del sujeto C=<país> CN=CA raíz del fabricante Uso previsto Este certificado se utiliza para expedir certificados CA de fabricante Firmado por Autofirmado Periodo de validez Superior a 20 años Longitud del módulo 2048 Extensiones...
Cuadro 11-3/J.191 − Certificado CA del fabricante Extensiones keyUsage[c,m](keyCertSign, cRLSign), subjectKeyIdentifier [n,m], authorityKeyIdentifier [n,m] basicConstraints[c,m](cA=true, pathLenConstraint=0) El nombre de la empresa en el campo Organización (O) PUEDE ser distinto del nombre de la empresa (CN, company name) en el campo Nombre Común. 11.3.2.2.1.3 Certificado del elemento PS El certificado del elemento PS DEBE verificarse como parte de la cadena de certificados que...
Página 134
La información contenida en los siguientes cuadros corresponde a los valores específicos de los campos requeridos de acuerdo con RFC 3280. Estos valores específicos para la jerarquía de certificado de verificación de código DEBEN cumplirse de acuerdo con los cuadros 11-5, 11-6, 11-7, 11-8 y 11-9 a continuación.
11.3.2.2.2.3 Certificado de verificación de código del fabricante Este certificado DEBE verificarse como parte de la cadena de certificados que contiene el certificado CA raíz de verificación de código, el certificado CA de verificación de código y los certificados de verificación de código. Cuadro 11-7/J.191 −...
11.3.2.2.2.5 Certificado de verificación de código del proveedor de servicios El certificado de verificación de código del proveedor de servicios DEBE verificarse como parte de la cadena de certificados que contiene el certificado CA raíz de verificación de código, el certificado CA de verificación de código y el certificado de verificación de código del proveedor de servicios.
Cuadro 11-10/J.191 − Certificado CA raíz del proveedor de servicios Forma del nombre del C=<país> sujeto CN=CA raíz del proveedor de servicios Uso previsto Este certificado se utiliza para expedir certificados CA del proveedor de servicios. Firmado por Autofirmado Periodo de validez Superior a 20 años Longitud del módulo 2048...
El nombre de la empresa en el campo Organización (O) PUEDE ser distinto del nombre de la empresa (CN) en el campo nombre común. 11.3.2.2.3.3 Certificado CA del sistema local Este certificado es opcional para el proveedor de servicios. Si existe este certificado DEBE verificarse como parte de la cadena de certificados que contiene el certificado CA raíz del proveedor de servicios, el certificado CA del proveedor de servicios, el certificado CA opcional del sistema local y los certificados auxiliares.
Cuadro 11-13/J.191 − Certificado KDC Forma del nombre del C=<país> sujeto O=<nombre de la empresa> [OU=<nombre del sistema local>] OU=centro de distribución de claves CN=<nombre de DNS> Uso previsto Este certificado se emite ya sea por la CA del proveedor de servicios o por la CA del sistema local, y se utiliza para autenticar la identidad del KDC ante los clientes Kerberos durante los intercambios PKINIT.
11.3.2.3.1 Validación de la cadena del fabricante y de la verificación raíz El KDC DEBE validar la cadena vinculada de certificados del fabricante. El primer certificado de la cadena no suele incluirse explícitamente en la cadena de certificados que se envía por el cable. En los casos en que el certificado CA raíz del fabricante se incluye explícitamente en el cable ya DEBE ser conocido por la parte verificante antes del momento de verificación de este certificado.
11.3.3.1.1 El modo NmAccess Si el elemento PS se provee en el modo de configuración DHCP con el modo NmAccess, la gestión de la red basada en SNMP dentro del elemento PS no utiliza SNMPv3 y por consiguiente no necesita inicializar las funciones de seguridad SNMPv3. La inicialización del enlace de gestión SNMPv1/v2 se define en 6.3.6.1.
Página 142
usmUserAuthKeyChange: (derived from set value) usmUserOwnAuthKeyChange: (derived from set value) usmUserPrivProtocol: usmDESPrivProtocol usmUserPrivKeyChange: (derived from set value) usmUserOwnPrivKeyChange: (derived from set value) usmUserPublic usmUserStorageType: permanente usmUserStatus: activo NOTA – En el caso de las anotaciones (PS) dhKickstart en usmUserTable, permanente significa que las mismas DEBEN escribirse pero no suprimirse y que no se conservan durante los rearranques.
El gestor del SNMP accede al contenido de usmDHKickstartTable empleando el nombre de seguridad 'dhKickstart' sin autenticación. El PS DEBE suministrar anotaciones preinstaladas en el cuadro USM y en los cuadros VACM para crear apropiadamente el usuario 'dhKickstart' del nivel de seguridad noAuthNoPriv que tiene acceso de sólo lectura al grupo de sistema y a usmDHkickstartTable.
11.3.3.2.3 SNMPv3 kerberizada El perfil de gestión de claves kerberizadas específico para SNMPv3 DEBERÁ seguirse conforme a lo definido en 6.5.7/J.170. 11.3.3.2.4 ID del motor SNMPv3 Como el gestor SNMP y el cliente DEBEN verificar que el ID del motor SNMPv3 en los mensajes de petición AP y en los mensajes de respuesta AP se basa en el oportuno nombre principal de Kerberos del tique [Rec.
Página 145
• usmUserPrivProtocol: indica el protocolo de criptación seleccionado para el usuario, obtenido del mensaje de respuesta AP; • usmUserPrivKeyChange: valor por defecto ""; • usmUserOwnPrivKeyChange: valor por defecto ""; • usmUserPublic: valor por defecto ""; • usmUserStorageType: permanente; • usmUserStatus: activo. PODRÁN crearse nuevos usuarios SNMPv3 mediante clonación SNMPv3 normal como se define en [RFC 3414].
11.3.4.2 Arquitectura DQoS con seguridad IPCablecom Cuadro 11-14/J.191 − Arquitectura DQoS segura E-MTA Enlace con el MTA en el hogar Protocolo Protocolo de seguridad E-MTA/CM – CMS IPSec E-MTA/CM – CMTS DOCSIS BPI+ Figura 11-4/J.191 − Arquitectura DQoS segura en el MTA 11.3.4.3 Arquitectura de seguridad del CQoS El CQoS requiere que la mensajería DQoS de IPCablecom [Rec.
11.3.5 Gestión de la barrera contra fuegos Mientras que las cuestiones de seguridad siempre han tenido gran importancia para las empresas que trabajaban con redes, el aumento de la ubicuidad de la conectividad de Internet gracias al módem de cable (CM) plantea problemas de seguridad en el hogar. Como el abonado medio carece de los conocimientos técnicos, de la comprensión de cuestiones de seguridad y del tiempo necesario para mantener los computadores domésticos en funcionamiento seguro al máximo nivel, la barrera contra fuegos se convierte en el elemento necesario de primera línea de defensa para la protección...
Entre los protocolos definidos por IPCable2Home se encuentran los siguientes: • Prestación SNMPv3, DHCP, DNS, TFTP, SYSLOG • Gestión ICMP • Seguridad Kerberos La barrera contra fuegos DEBERÍA proteger contra la exploración de puertos o de la red ya sea desde el interior como desde el exterior de la red doméstica.
b) envía instrucción SNMP para actualizar objeto cabhSecFwPolicyFileURL. Si cabhSecFwPolicyFileOperStatus no es inProgress(1) y el valor utilizado para FIJAR el objeto cabhSecFwPolicyFileURL difiere valor cabhSecFwPolicySuccessfulFileURL, el elemento PS DEBE descargar inmediatamente el fichero nombrado del servidor TFTP configurado. El elemento PS DEBE calcular un troceo SHA-1 [FIPS 186-2] de todo el contenido del fichero de configuración de la barrera contra fuegos y comparar el resultado con el troceo representado por el valor del objeto MIB cabhSecFwPolicyFileHash.
• cabhSecFwPolicyFileHash – Define el resumen SHA-1 del fichero del conjunto de reglas correspondiente. • cabhSecFwPolicyFileOperStatus – Este objeto indica el estado de la descarga del fichero de configuración de la barrera contra fuegos y se define como InProgress(1), indicando que la descarga del fichero de configuración de la barrera contra fuegos se encuentra en proceso.
• Dirección IP de origen. • Dirección IP de destino. • Puerto de destino (TCP y UDP) o tipo de mensaje (ICMP). • Regla de política aplicable. • Descripción del evento (opcional). La cláusula 6.5.2.1 define un campo de prioridad de eventos que describe distintos niveles de prioridad para los eventos registrados en el histórico.
• docsDevSwOperStatus – Estado de la descarga de soporte lógico. El PS autónomo DEBE soportar las MIB de soporte a la descarga de soporte lógico definidas en [draft-ietf-ipcdn-bpiplus-mib-12]: • docsBpi2CodeDownloadGroup – Colección de objetos de soporte a la descarga de soporte lógico autenticado.
Página 154
Si el nombre del fichero de actualización de soporte lógico que figura en el fichero de configuración no concuerda con la actual imagen de soporte lógico del dispositivo, el elemento PS DEBE solicitar el fichero en cuestión a través del servidor de soporte lógico vía TFTP.
certificados que acaban de indicarse y que son comprendidos por el elemento PS incluyendo los nuevos certificados en la imagen de código. La inclusión del certificado CVC del fabricante y/o un CVC de confirmante y la CVS correspondiente permiten que el elemento PS pueda verificar que la imagen de código no ha sido alterada desde que se agregó...
Página 156
Cuadro 11-16/J.191 − Estructura del fichero de código Fichero de código Descripción Firma digital PKCS#7 { ContentInfo SignedData ContentType El valor del contenido de datos firmados EXPLICIT: incluye SignedData () CVS que cumplen CVS y X.509 } Fin de la firma digital PKCS#7 SignedContent { Formato TLV obligatorio (Tipo 28).
Página 157
Cuadro 11-17/J.191 − Datos firmados PKCS#7 Campo PKCS#7 Descripción (REQUERIDO para todos los ficheros de código) mfgCVC (OPCIONAL; requerido para las cofirmas) co-signerCVC } fin de certificados SignerInfo{ (REQUERIDO para todos los ficheros de código) MfgSignerInfo { versión = 1 version issuerAndSerialNumber issuerName...
11.3.7.2.1.2 Contenido firmado El campo de contenido firmado del fichero de código contiene la imagen de código y el campo de parámetros de descarga que contendrá probablemente elementos opcionales adicionales como certificado CA raíz del proveedor de servicio, certificado CA raíz CVC del laboratorio de prueba de certificación (CTL, certification testing laboratory), un certificado CA CVC CTL y/o un certificado CA del fabricante.
Tipo Longitud Valor Variable Certificado CA X.509 (ASN.1 codificada en DER) 11.3.7.3 Formato del certificado de verificación de código (CVC) 11.3.7.3.1 Formato CVC para la descarga segura de soporte lógico Para la descarga segura de soporte lógico, el formato utilizado para el CVC cumple X.509. No obstante, la estructura X.509 se ha restringido para facilitar el procesamiento que debe efectuar el elemento PS para validar el certificado y extraer la clave pública utilizada para verificar el CVS.
11.3.7.3.2 Revocación de certificados Esta Recomendación no requiere ni define la utilización de las listas de revocación de certificados (CRL, certificate revocation lists). No es necesario que el elemento PS soporte las CRL. Los operadores podrían tener interés en definir y utilizar CRL fuera de la red HFC como ayuda a la gestión de los ficheros de código que les proporcionan los fabricantes.
Los valores UTCTime del CVC DEBEN expresarse como GMT y DEBEN incluir segundos. Es decir, DEBEN expresarse en la siguiente forma: YYMMDDhhmmssZ. El campo de año (YY) DEBE interpretarse del siguiente modo: • Cuando YY sea igual o mayor que 50, el año se interpretará como 19YY. •...
El fabricante debe inicializar los siguientes certificados en la memoria no volátil del elemento PS integrado: • Certificado CA de raíz del proveedor de servicio. • Certificado CA del fabricante. • Certificado del elemento PS. 11.3.7.5.2 Inicialización de la red Para poder llevar a cabo la verificación del código, el fichero de configuración PS se utiliza como medio autenticado en el que inicializará...
De estos valores, el conjunto del fabricante DEBE almacenarse en la memoria no volátil del elemento PS y no desaparecer cuando se interrumpe la alimentación de corriente del dispositivo ni durante los rearranques. Cuando se asigna un cofirmante al elemento PS, el conjunto de valores CVC del cofirmante, DEBE almacenarse en la memoria del elemento PS.
ii) SI el organizationName no coincide totalmente con el actual nombre del cofirmante ENTONCES una vez validado el CVC (y completado su registro) este nombre de organización sujeto se convertirá en el nuevo cofirmante de código del elemento PS. El elemento PS NO DEBE aceptar un fichero de código a no ser que haya sido firmado por el fabricante y cofirmado por dicho cofirmante de código.
11.3.7.7 Requisitos de la firma de código 11.3.7.7.1 Requisitos de la autoridad del certificado (CA) Los certificados de verificación de código (CVC) los firma y expide la CA del CVC del laboratorio de prueba de certificación (CTL). El CVC DEBE ajustarse exactamente a lo especificado en 11.3.7.3.
11.3.7.2.1.1. Esta Recomendación no requiere que un operador cofirme los ficheros de código, pero cuando el operador cumple con todas las reglas definidas en esta Recomendación para la preparación del fichero de código, el elemento PS DEBE aceptarlo. 11.3.7.8 Proceso de activación Las descargas de código, independientemente del modo de configuración, pueden iniciarse durante el proceso de prestación y registro a través de una descarga iniciada por el fichero de configuración;...
Página 167
• docsDevSwFilename DEBE ser el nombre del fichero de soporte lógico cuyo proceso de actualización resultó fallido. • docsDevSwServer DEBE ser la dirección del servidor TFTP que contiene el soporte lógico cuyo proceso de actualización resultó fallido. • docsDevSwOperStatus DEBE ser other{5}. •...
• DocsDevSwCurrentVer DEBE ser la versión actual de soporte lógico que funciona en el dispositivo. Cuando el elemento PS determina que la imagen de descarga está dañada o corrompida, el elemento PS DEBE rechazar la imagen descargada. El elemento PS PUEDE reintentar la descarga si no se ha alcanzado el número MAX de reintentos de la secuencia TFTP.
iniciada por el fichero de configuración, el estado del elemento PS DEBE cumplir los siguientes requisitos una vez registrados: • docsDevSwAdminStatus DEBE ser allowProvisioningUpgrade{2}. • docsDevSwFilename DEBE ser el nombre de fichero de soporte lógico cuy proceso de actualización resultó fallido. •...
Página 170
b) igual o mayor que el instante de comienzo de validez del CVC del fabricante; c) menor o igual que el instante de finalización de la validez del CVC del fabricante. El elemento PS DEBE validar el CVC del fabricante verificando que: a) el organizationName sujeto del CVC es idéntico al nombre del fabricante almacenado actualmente en la memoria del elemento PS;...
e) El elemento PS DEBE ejecutar un nuevo troceado SHA-1 sobre el SignedContent. Si el valor del messageDigest no concuerda con el nuevo troceado, el elemento PS DEBE considerar la firma del fichero de código como no válida. f) Si no se verifica la firma, todos los componentes del fichero de código (incluida la imagen de código) y los valores derivados del proceso de verificación DEBEN rechazarse y DEBERÍAN descartarse inmediatamente.
h) El valor signingTime PKCS#7 del cofirmante es inferior al valor codeAccessStart que figura actualmente en el elemento PS. i) El valor horario de comienzo de validez PKCS#7 del cofirmante es inferior al valor cvcAccessStart que figura actualmente en el elemento PS. j) El instante de comienzo de validez del CVC del cofirmante es inferior al valor cvcAccessStart que figura actualmente en el elemento PS.
11.3.8 Seguridad física Esta Recomendación requiere que el PS mantenga en memoria, las claves y otras variables criptográficas relativas a la seguridad de la red. Todos los elementos y dispositivos DEBEN impedir el acceso físico no autorizado a dicho material criptográfico. El nivel de protección física del material de criptación que requieren los elementos y dispositivos de red se especifica en términos de los niveles de seguridad definidos en la norma FIPS PUBS 140-2, requisitos de seguridad para los módulos criptográficos.
12.1.1 Objetivos Esta cláusula está integrada principalmente por texto informativo, destinada a facilitar la comprensión del mismo por parte del lector y no contiene ningún requisito. Los ejemplos describen la forma de utilizar las herramientas de gestión para poder conseguir funciones de gestión típicas. Se proporcionan asimismo gráficos secuenciales de procesos adicionales relativos a la gestión (es decir, los no definidos en la cláusula 6), incluidos los procesos de gestión o las etapas de proceso asociadas al uso de las herramientas de gestión.
Figura 12-1/J.191 − Diagrama secuencial del proceso de la herramienta de la velocidad de la conexión 12.2.1.2 Proceso de la herramienta Ping La herramienta ping distante puede servir para validar el estado de la conectividad, los niveles de la calidad de funcionamiento e identificar posibles errores de configuración. •...
petición SNMP GET hasta que los resultados de la prueba indiquen que se ha completado la misma. Figura 12-2/J.191 − Diagrama secuencial del proceso de la herramienta Ping 12.3 Funcionamiento del PS El portal de gestión del cable (CMP) permite el acceso a la base de datos del PS a través de la interfaz WAN-Man del PS, de acuerdo con lo descrito en la cláusula 6.
Figura 12-3/J.191 − Diagrama secuencial del acceso a la base de datos del PS desde la interfaz WAN-Man del PS 12.3.2 Reconfiguración 12.3.2.1 Descarga de soporte lógico del PS La figura 12-4 ilustra el proceso de descarga de soporte lógico y de microprogramas con destino a un PS en el modo de configuración SNMP.
Figura 12-4/J.191 – Diagrama secuencial de la descarga de soporte lógico del PS 12.3.2.2 Descarga del fichero de configuración del PS La figura 12-5 ilustra la reconfiguración de un PS en el modo de configuración SNMP, mediante la descarga del fichero configuración. Este proceso lo activa el NMS. El fichero de configuración llega al PS escribiendo en el PS el nombre del servidor y del fichero y activando en el PS la descarga del fichero.
Figura 12-5/J.191 − Diagrama secuencial de la reconfiguración del PS (descarga del fichero de configuración) 12.4 Acceso a la MIB 12.4.1 Configuración del VACM El operador de cable controla el dominio de gestión. En la figura 12-6 se muestra un ejemplo de configuración de los parámetros del VACM.
Figura 12-6/J.191 − Secuencia de configuración del PS (parámetros del VACM) 12.4.2 Configuración de la mensajería de eventos de gestión 12.4.2.1 Funcionamiento de la notificación de eventos del CMP Los eventos se comunican mediante la anotación histórica local de eventos, los mensajes SNMP TRAP y SNMP INFORM y mediante SYSLOG.
Página 181
Figura 12-7/J.191 − Secuencia de la configuración del PS (control de eventos) La figura 12-8 ilustra la descarga de un fichero de configuración para un PS que se encuentra en el modo de configuración SNMP. Este proceso se activa mediante una petición SNMP Set. El PS debe verificar este fichero antes de aceptarlo.
Página 182
Figura 12-8/J.191 − Secuencia de descarga del fichero de configuración del PS (con TLV no válidos) En la figura 12-9 se ilustra el proceso de obtención por parte de un dispositivo IP de LAN de una dirección IP del servidor DHCP local (CDS). La función CDS comprueba si hay direcciones IP disponibles en la base de datos del PS.
Figura 12-9/J.191 − Secuencia de adquisición de direcciones del dispositivo IP de LAN (la petición sobrepasa el contador suministrado) 12.4.2.2 Ejemplo de funcionamiento del estrangulamiento y limitación de eventos del CMP Se proporciona un mecanismo de estrangulamiento a través de la funcionalidad CMP del PS. El estrangulamiento y la limitación de eventos son muy flexibles pudiendo incluir casos en los que todos los eventos se comuniquen y casos en los que no se comunique ningún evento al NMS.
Página 184
Figura 12-10/J.191 − Operación de estrangulamiento y limitación de eventos del CMP Procesos de configuración Esta cláusula describe los procesos implicados en la utilización de las herramientas de prestación, descritas en la cláusula 7, para la prestación inicial del dispositivo IP de LAN y del elemento PS. La prestación se descompone en las tres tareas siguientes: Adquisición de las direcciones de red.
Página 185
• Prestación de dispositivo IP de LAN en el sector LAN-Pass correspondiente un dispositivo IP de LAN con dirección IP que se hace llegar a la WAN. La prestación del elemento módem de cable de un PS integrado es independiente y distinta de la prestación del PS y ajena al objeto de la presente Recomendación.
Página 186
El PS funciona en el modo de configuración DHCP (modo DHCP) si el servidor DHCP de la red de cable proporciona una dirección IP válida para el servidor TFTP en el campo 'siaddr' del mensaje DHCP, proporciona un nombre de fichero válido para el fichero de configuración del PS en el campo 'file' del mensaje DHCP y NO proporciona la subopción 51 de la opción 177 del DHCP a la CDC del PS, durante la fase DHCPOFFER del proceso de inicialización.
Página 187
Figura 13-2/J.191 − Modos de configuración Rec. UIT-T J.191 (03/2004)
Página 188
13.2 Proceso de prestación de la gestión del PS: modo de configuración DHCP El PS solicita del sistema de prestación de cabecera una dirección IP para el intercambio de los mensajes de gestión entre el NMS y el PS. El PS analiza el mensaje DHCP devuelto en el DHCP OFFER y toma una decisión en cuanto al modo de configuración bajo el que va a funcionar (véase 7.2.3.3).
Página 189
Figura 13-3/J.191 − Proceso de prestación de la gestión del PS − Modo de prestación DHCP El cuadro 13-1 describe los mensajes CHPSWMD-1 a CHPSWMD-11 mostrados en la figura 13-3. Rec. UIT-T J.191 (03/2004)
Página 190
Cuadro 13-1/J.191 − Descripciones del flujo del proceso de prestación PS WAN-Man en el modo de configuración DHCP Prestación WAN-Man del PS: Secuencia Fase Secuencia de fallo Modo de prestación DHCP normal CHPSWMD-1 Mensaje de difusión DHCP discover Comenzar la Si ha fallado de acuerdo con secuencia de el protocolo DHCP...
Página 191
Cuadro 13-1/J.191 − Descripciones del flujo del proceso de prestación PS WAN-Man en el modo de configuración DHCP Prestación WAN-Man del PS: Secuencia Fase Secuencia de fallo Modo de prestación DHCP normal CHPSWMD-5 Petición de hora del día (ToD) CHPSWMD-5 Continuar en CHPSWMD-6.
Página 192
Cuadro 13-1/J.191 − Descripciones del flujo del proceso de prestación PS WAN-Man en el modo de configuración DHCP Prestación WAN-Man del PS: Secuencia Fase Secuencia de fallo Modo de prestación DHCP normal CHPSWMD-9 Petición TFTP – fichero de Si falla el TFTP, continuar configuración de la barrera contra CHPSWMD-9 el funcionamiento del PS...
Página 193
Cuadro 13-1/J.191 − Descripciones del flujo del proceso de prestación PS WAN-Man en el modo de configuración DHCP Prestación WAN-Man del PS: Secuencia Fase Secuencia de fallo Modo de prestación DHCP normal CHPSWMD-11 Fin de la prestación CHPSWMD-11 Si falla la trampa SNMP, el DEBE tener servidor de prestación puede Si lo solicita el sistema de prestación,...
Cuadro 13-1/J.191 − Descripciones del flujo del proceso de prestación PS WAN-Man en el modo de configuración DHCP Prestación WAN-Man del PS: Secuencia Fase Secuencia de fallo Modo de prestación DHCP normal Si el temporizador de prestación del PS expira antes de completar todos los pasos necesarios desde CHPSWMD-1 a CHPSWMD-10 Y si el PS recibió...
Página 195
Figura 13-4/J.191 – Proceso de prestación de la gestión del PS – Modo de prestación SNMP Rec. UIT-T J.191 (03/2004)
Página 196
En el cuadro 13-2 se describen los pasos del proceso de configuración mostrado en la figura 13-4. Cuadro 13-2/J.191 − Descripciones del flujo del proceso de configuración WAN-Man del PS en el modo de configuración SNMP Configuración WAN-Man del PS: Secuencia Fase Secuencia de fallo...
Página 197
Cuadro 13-2/J.191 − Descripciones del flujo del proceso de configuración WAN-Man del PS en el modo de configuración SNMP Configuración WAN-Man del PS: Secuencia Fase Secuencia de fallo Modo de configuración SNMP ordinaria CHPSWMS-5 Petición de la hora del día (ToD) con CHPSWMS-5 Continuar en CHPSWMS-6.
Página 198
Cuadro 13-2/J.191 − Descripciones del flujo del proceso de configuración WAN-Man del PS en el modo de configuración SNMP Configuración WAN-Man del PS: Secuencia Fase Secuencia de fallo Modo de configuración SNMP ordinaria CHPSWMS-12 Respuesta AP CHPSWMS-12 Volver a CHPSWMS-1. DEBE tener Se recibe el mensaje de respuesta AP El PS inicia el...
Página 199
Cuadro 13-2/J.191 − Descripciones del flujo del proceso de configuración WAN-Man del PS en el modo de configuración SNMP Configuración WAN-Man del PS: Secuencia Fase Secuencia de fallo Modo de configuración SNMP ordinaria CHPSWMS-15 SNMP Set (opcional) Si CHPSWMS- Volver a CHPSWMS-1 si se 15 tiene lugar, recibió...
Página 200
Cuadro 13-2/J.191 − Descripciones del flujo del proceso de configuración WAN-Man del PS en el modo de configuración SNMP Configuración WAN-Man del PS: Secuencia Fase Secuencia de fallo Modo de configuración SNMP ordinaria CHPSWMS-17 El servidor TFTP envía el fichero de Si CHPSWMS- Si falla la descarga TFTP, configuración (opcional)
Cuadro 13-2/J.191 − Descripciones del flujo del proceso de configuración WAN-Man del PS en el modo de configuración SNMP Configuración WAN-Man del PS: Secuencia Fase Secuencia de fallo Modo de configuración SNMP ordinaria CHPSWMS-20 Notificación SYSLOG CHPSWMS-20 DEBE tener Si el PS recibió una dirección de lugar tras servidor SYSLOG en el mensaje completarse...
13.3.2 Temporizador de configuración del PS Se proporciona un temporizador de configuración para que el PS continúe los ciclos del proceso de configuración cuando queda incompleta alguna operación. objeto temporizador, cabhPsDevProvTimer, tiene un valor de inicialización por defecto de 5 minutos. 13.3.3 Informe de terminación de la admisión a configuración y de la configuración Sólo para el PS funcionando en el modo de configuración SNMP, el informe de admisión de configuración (cabhPsDevProvEnrollTrap) permite que el servidor de configuración determine si el...
Página 203
Figura 13-5/J.191 − Proceso de configuración WAN-Data del PS Cuadro 13-3/J.191 − Descripción del flujo de la configuración WAN-Data del PS Configuración de dirección Secuencia Fase Secuencia ordinaria WAN-Data del PS de fallo CHPSWD-1 Mensaje de difusión DHCP Discover Continuar en CHPSWD-2. Si falla en virtud del protocolo El PS difunde un mensaje DHCP...
Página 204
Esta cláusula describe el proceso de configuración correspondiente al caso en que el NMS haya provisto al PS del funcionamiento en el modo de tratamiento de paquetes primario C-NAT o C-NAPT (véase la cláusula 8). No hay diferencia entre el proceso de configuración de los dispositivos IP del sector LAN-Trans en los modos de configuración DHCP y SNMP.
Cuadro 13-4/J.191 − Descripción del flujo del proceso de configuración LAN-Trans del PS Configuración de dirección Secuencia Fase Secuencia de fallo LAN-Trans del cliente ordinaria CHPSLT-1 Mensaje de difusión DHCP Discover Continuar en Si falla el CHPSLT-2. protocolo DHCP El Cliente (nota 1) envía un mensaje de difusión repetir CHPSLT-1.
Página 206
transferencia (puenteo transparente). Como se describe en 8.2.2.2, el puenteo tiene lugar cuando el NMS de la red de cable establece el modo de tratamiento de paquetes primario (cabhCapPrimaryMode) en transferencia, o escribiendo direcciones MAC de dispositivo IP de LAN individuales en el cuadro transferencia (cabhCapPassthroughTable).
Página 207
Cuadro 13-5/J.191 − Descripción del flujo del proceso de configuración LAN-Pass Configuración de dirección transferencia Secuencia Secuencia Fase del cliente ordinaria de fallo CHPSLP-1 Mensaje de difusión del DHCP Discover Continuar en Si falla el CHPSLP-2. protocolo DHCP El dispositivo IP de LAN difunde un mensaje repetir DHCP DISCOVER en su LAN (nota) local.
Página 208
Anexo A Objetos MIB Este anexo contiene la relación de todos los objetos de la MIB necesarios, indicados en 6.3.7. Acceso # de anotaciones Nombre/parámetro de la MIB máximo conserva que se conservan mib-2 system sysDescr sólo lectura sysObjectID sólo lectura sysUpTime sólo lectura sysContact...
Página 209
ip [RFC 2011] ipForwarding lectura- escritura ipDefaultTTL lectura- escritura ipInReceives sólo lectura ipInHdrErrors sólo lectura ipInAddrErrors sólo lectura ipForwDatagrams sólo lectura ipInUnknownProtos sólo lectura ipInDiscards sólo lectura ipInDelivers sólo lectura ipOutRequests sólo lectura ipOutDiscards sólo lectura ipOutNoRoutes sólo lectura ipReasmTimeout sólo lectura ipReasmReqds sólo lectura...
Página 210
icmpInAddrMaskReps sólo lectura icmpOutMsgs sólo lectura icmpOutErrors sólo lectura icmpOutDestUnreachs sólo lectura icmpOutTimeExcds sólo lectura icmpOutParmProbs sólo lectura icmpOutSrcQuenchs sólo lectura icmpOutRedirects sólo lectura icmpOutEchos sólo lectura icmpOutEchosReps sólo lectura icmpOutTimestamps sólo lectura icmpOutTimestampReps sólo lectura icmpOutAddrMasks sólo lectura icmpOutAddrMaskReps sólo lectura udp [RFC 2013] udpInDatagrams...
Página 211
docsBpi2CodeCvcUpdate lectura- Sí escritura snmp [RFC 3416] snmpInPkts sólo lectura snmpInBadVersions sólo lectura snmpInBadCommunityNames sólo lectura snmpInBadCommunityUses sólo lectura snmpInASNParseErrs sólo lectura snmpEnableAuthenTraps lectura- escritura snmpSilentDrops sólo lectura ifMIB [RFC 2863] ifMIBOjects ifXTable/ifXEntry ifName sólo lectura ifInMulticastPkts sólo lectura ifInBroadcastPkts sólo lectura ifOutMulticastPkts sólo lectura...
Página 212
docsDevNmAccessControl lectura- creación docsDevNmAccessInterfaces lectura- creación docsDevNmAccessStatus lectura- creación docsDevNmAccessTrapVersion lectura- creación docsDevSoftware docsDevSwServer lectura- Sí escritura docsDevSwFilename lectura- Sí escritura docsDevSwAdminStatus lectura- escritura docsDevSwOperStatus sólo lectura docsDevSwCurrentVers sólo lectura docsDevEvent docsDevEvControl lectura- escritura docsDevEvSyslog lectura- escritura docsDevEvThrottleAdminStatus lectura- escritura docsDevEvThrottleInhibited sólo lectura docsDevEvThrottleThreshold...
Página 213
private enterprises cableLabs clabProject clabProjCableHome cabhPsDevMib cabhPsDevBase cabhPsDevDateTime lectura- escritura cabhPsDevResetNow lectura- escritura cabhPsDevSerialNumber sólo lectura cabhPsDevHardwareVersion sólo lectura cabhPsDevWanManMacAddress sólo lectura cabhPsDevWanDataMacAddress sólo lectura cabhPsDevTypeIdentifier sólo lectura cabhPsDevSetToFactory lectura- escritura cabhPsDevTodSyncStatus sólo lectura cabhPsDevProvMode sólo lectura cabhPsDevLastSetToFactory sólo lectura –...
Página 214
cabhSecFwPolicyFileHash lectura- escritura cabhSecFwPolicyFileOperStatus sólo lectura cabhSecFwPolicyFileCurrentVersion sólo lectura cabhSecFwPolicySuccessfulFileURL, Max-Access sólo lectura Sí cabhSecFwLogCtl cabhSecFwEventType1Enable lectura- escritura cabhSecFwEventType2Enable lectura- escritura cabhSecFwEventType3Enable lectura- escritura cabhSecFwEventAttackAlertThreshold lectura- escritura cabhSecFwEventAttackAlertPeriod lectura- escritura cabhSecCertObjects cabhSecCertPsCert sólo lectura Sí cabhCapMib cabhCapObjects cabhCapBase cabhCapTcpTimeWait lectura- Sí...
Página 215
cabhCapMappingLanPort lectura- Sí (nota) creación cabhCapMappingMethod sólo lectura cabhCapMappingProtocol lectura- Sí (nota) creación cabhCapMappingRowStatus lectura- Sí creación cabhCapPass-throughTable/cabhCapPass-throughEntry cabhCapPass-throughIndex inaccesible Sí cabhCapPass-throughMACAddr lectura- Sí creación cabhCapPass-throughRowStatus lectura- Sí creación NOTA – Los objetos cabhCapMappingEntry se conservan si son suministrados por el NMS y no se conservan si se crearon dinámicamente basándose en el tráfico saliente.
Página 216
cabhCdpWanDataAddrRenewalTime sólo lectura cabhCdpWanDataAddrRowStatus lectura- creación cabhCdpWanDataAddrServerTable/cabhCdpWanDataAddrServerEntry cabhCdpWanDataAddrDnsIpType inaccesible cabhCdpWanDataAddrDnsIp inaccesible cabhCdpWanDataAddrDnsRowStatus lectura- creación cabhCdpServer cabhCdpLanPoolStartType lectura- Sí escritura cabhCdpLanPoolStart lectura- Sí escritura cabhCdpLanPoolEndType lectura- Sí escritura cabhCdpLanPoolEnd lectura- Sí escritura cabhCdpServerNetworkNumberType lectura- Sí escritura cabhCdpServerNetworkNumber lectura- Sí escritura cabhCdpServerSubnetMaskType lectura- Sí...
Página 218
cabhCtpPingPktSize lectura- escritura cabhCtpPingTimeBetween lectura- escritura cabhCtpPingTimeOut lectura- escritura cabhCtpPingControl lectura- escritura cabhCtpPingStatus sólo lectura cabhCtpPingNumSent sólo lectura cabhCtpPingNumRecv sólo lectura cabhCtpPingAvgRTT sólo lectura cabhCtpPingMinRTT sólo lectura cabhCtpPingMaxRTT sólo lectura cabhCtpPingNumIcmpError sólo lectura cabhCtpPingIcmpError sólo lectura experimental snmpUSMDHObjectsMIB [RFC 2786] usmDHKeyObjects usmDHPublicObjects usmDHPParamaters...
Página 219
snmpFrameworkMIB [RFC 2576] snmpEngine snmpEngineID sólo lectura snmpEngineBoots sólo lectura Sí snmpEngineTime sólo lectura snmpEngineMaxMessageSize sólo lectura snmpMPDMIB [RFC 3412] snmpMPDObjects snmpMPDStats snmpUnknownSecurityModels sólo lectura snmpInvalidMsgs sólo lectura snmpUnknownPDUHandlers sólo lectura snmpTargetMIB [RFC 3413] snmpTargetObjects snmpTargetSpinLock lectura- escritura snmpTargetAddrTable/snmpTargetAddrEntry snmpTargetAddrName inaccesible snmpTargetAddrTDomain lectura-...
Página 220
snmpTargetParamsRowStatus lectura- creación snmpUnavailableContexts sólo lectura snmpUnknownContexts sólo lectura snmpNotificationMIB [RFC 3413] snmpNotifyObjects snmpNotifyTable/snmpNotifyEntry snmpNotifyName inaccesible snmpNotifyTag lectura- creación snmpNotifyType lectura- creación snmpNotifyStorageType lectura- creación snmpNotifyRowStatus lectura- creación snmpNotifyFilterProfileTable/snmpNotifyFilterProfileEntry snmpNotifyFilterProfileName lectura- creación snmpNotifyFilterProfileStorType lectura- creación snmpNotifyFilterProfileRowStatus lectura- creación snmpNotifyFilterTable/snmpNotifyFilterEntry snmpNotifyFilterSubtree inaccesible snmpNotifyFilterMask lectura-...
Página 221
usmUserName inaccesible usmUserSecurityName sólo lectura usmUserCloneFrom lectura- creación usmUserAuthProtocol lectura- creación usmUserAuthKeyChange lectura- creación usmUserOwnAuthKeyChange lectura- creación usmUserPrivProtocol lectura- creación usmUserPrivKeyChange lectura- creación usmUserOwnPrivKeyChange lectura- creación usmUserPublic lectura- creación usmUserStorageType lectura- creación usmUserStatus lectura- creación SNMP-VIEW-BASED-ACM-MIB [RFC 3415] snmpVacmMIB vacmMIBObjects vacmContextTable/vacmContextEntry vacmContextName sólo lectura...
Página 222
vacmAccessNotifyViewName lectura- creación vacmAccessStorageType lectura- creación vacmAccessStatus lectura- creación vacmMIBViews vacmViewSpinLock lectura- escritura vacmViewTreeFamilyTable/vacmViewTreeFamilyEntry vacmViewTreeFamilyViewName inaccesible vacmViewTreeFamilySubtree inaccesible vacmViewTreeFamilyMask lectura- creación vacmViewTreeFamilyType lectura- creación vacmViewTreeFamilyStorageType lectura- creación vacmViewTreeFamilyStatus lectura- creación snmpCommunityMIB [RFC 2576] snmpCommunityMIBObjects snmpCommunityTable/snmpCommunityEntry snmpCommunityIndex inaccesible snmpCommunityName lectura- creación snmpCommunitySecurityName lectura- creación...
Página 223
clabSecCertObject clabSrvcPrvdrRootCACert sólo lectura clabCVCRootCACert sólo lectura clabCVCCACert sólo lectura clabMfgCVCCert sólo lectura Anexo B Formato y contenido de los eventos, SYSLOG y trampa SNMP El cuadro B.1 resume el formato y el contenido de las anotaciones históricas de eventos, de los mensajes syslog y trampa SNMP.
Página 224
Cuadro B.1/J.191 − Eventos definidos para IPCable2Home Conjunto Notas y Prioridad ID del Nombre de Proceso Subproceso Texto del evento detalles códigos del PS evento la trampa del mensaje errores Errores DHCP antes de completar la configuración Inicialización DHCP Crítica FALLÓ...
Página 225
Cuadro B.1/J.191 − Eventos definidos para IPCable2Home Conjunto Notas y Prioridad ID del Nombre de Proceso Subproceso Texto del evento detalles códigos del PS evento la trampa del mensaje errores Inicialización TFTP Notificación TFTP conseguido D10.0 68001000 Análisis sintáctico TLV Inicialización Análisis sintáctico Notificación TLV-28 –...
Página 226
Cuadro B.1/J.191 − Eventos definidos para IPCable2Home Conjunto Notas y Prioridad ID del Nombre de Proceso Subproceso Texto del evento detalles códigos del PS evento la trampa del mensaje errores Actualización Inicialización de Notificación INIT de descarga de P1 = nombre del E102.0 69010200 cabhPsDev del SW...
Página 227
Cuadro B.1/J.191 − Eventos definidos para IPCable2Home Conjunto Notas y Prioridad ID del Nombre de Proceso Subproceso Texto del evento detalles códigos del PS evento la trampa del mensaje errores Actualización Fallo general de la Error Actualización de Únicamente para E106.0 69010600 cabhPsDev del SW...
Página 228
Cuadro B.1/J.191 − Eventos definidos para IPCable2Home Conjunto Notas y Prioridad ID del Nombre de Proceso Subproceso Texto del evento detalles códigos del PS evento la trampa del mensaje errores Actualización Fallo general de la Error Interrupción de la Únicamente para E110.0 69011000 cabhPsDev del SW...
Página 229
Cuadro B.1/J.191 − Eventos definidos para IPCable2Home Conjunto Notas y Prioridad ID del Nombre de Proceso Subproceso Texto del evento detalles códigos del PS evento la trampa del mensaje errores Alarma Respuesta ToD D04.4 68000404 cabhPsDev recibida – formato ToDFailTrap de datos no válido Verificación del fichero de código Actualización...
Página 230
Cuadro B.1/J.191 − Eventos definidos para IPCable2Home Conjunto Notas y Prioridad ID del Nombre de Proceso Subproceso Texto del evento detalles códigos del PS evento la trampa del mensaje errores Actualización Fallo general de la Error Fallo en la Únicamente para E205.0 69020500 cabhPsDev del SW...
Página 231
Cuadro B.1/J.191 − Eventos definidos para IPCable2Home Conjunto Notas y Prioridad ID del Nombre de Proceso Subproceso Texto del evento detalles códigos del PS evento la trampa del mensaje errores Eventos CSP Barrera contra Notificación Sobrepasado el P101.0 80010100 cabhPsDev fuegos umbral de piratería CSPTrap...
Página 232
Cuadro B.1/J.191 − Eventos definidos para IPCable2Home Conjunto Notas y Prioridad ID del Nombre de Proceso Subproceso Texto del evento detalles códigos del PS evento la trampa del mensaje errores TFTP de la barrera Crítica Descarga completa P1 = URL del P133.0 80013300 cabhPsDev contra fuegos...
Página 233
Cuadro B.1/J.191 − Eventos definidos para IPCable2Home Conjunto Notas y Prioridad ID del Nombre de Proceso Subproceso Texto del evento detalles códigos del PS evento la trampa del mensaje errores Herramienta de Notificación Fin de P1 = dirección IP P302.0 80030200 cabhPsDev velocidad de la temporización de la...
Página 234
Anexo C Amenazas de seguridad y medidas preventivas Amenazas de seguridad Cuando se diseña una tecnología de seguridad es importante tener una idea precisa de las principales amenazas para una determinada aplicación o entorno. Esta información puede utilizarse para seleccionar las herramientas de seguridad y las tecnología más eficaces destinadas a proteger y prevenir los ataques maliciosos.
Página 235
C.2.2 protección de copias: Los métodos de protección de copias limitan la posibilidad de que un dispositivo receptor haga copias no autorizadas de los contenidos del servicio. La protección de copia contribuye a evitar el robo del servicio limitando el número máximo de copias que puede realizarse, pero no evita el acceso no autorizado a los servicios.
Página 236
Anexo D Aplicaciones a través de CAT y barreras contra fuegos Se sabe que la presencia del NAT y de la funcionalidad de barreras contra fuegos perturban determinados protocolos de aplicaciones. Los siguientes protocolos de aplicaciones DEBEN trabajar a través de implementaciones CAT y barreras contra fuegos de IPCable2Home. Esta lista NO supone ninguna prioridad específica.
Página 237
Anexo E Las MIB MIB del servicio de portal (PS) La MIB Dev del PS DEBE implementarse como se define a continuación. CABH-PS-DEV-MIB DEFINITIONS ::= BEGIN IMPORTS MODULE-IDENTITY, OBJECT-TYPE, Integer32, NOTIFICATION-TYPE FROM SNMPv2-SMI TruthValue, PhysAddress, DateAndTime, TEXTUAL-CONVENTION FROM SNMPv2-TC SnmpAdminString FROM SNMP-FRAMEWORK-MIB OBJECT-GROUP, MODULE-COMPLIANCE,...
Página 238
DESCRIPTION "This MIB module supplies the basic management objects for the PS Device. The PS device parameter describes general PS Device attributes and behaviour characteristics. Most of the PS Device MIB is needed for configuration download." { clabProjCableHome 1 } -- Textual conventions X509Certificate ::= TEXTUAL-CONVENTION STATUS current...
Página 239
cabhPsDevWanManMacAddress OBJECT-TYPE SYNTAX PhysAddress MAX-ACCESS read-only STATUS current DESCRIPTION "The PS WAN-MAN MAC address. This is the PS hardware address to be used by the CDC to uniquely identify the PS to the cable data network DHCP server for the acquisition of an IP address to be used for management messaging between the cable network NMS and the CMP."...
Página 240
Server in the cable network. The PS sets this object to true(1) if the PS successfully synchronizes its time with the ToD server. The PS sets this object to false(2) if the PS does not successfully synchronize with the ToD server." DEFVAL { false } ::= { cabhPsDevBase 10 } cabhPsDevProvMode...
Página 241
MAX-ACCESS read-only STATUS current DESCRIPTION "Size of the configuration file." ::={ cabhPsDevProv 4 } cabhPsDevProvConfigFileStatus OBJECT-TYPE SYNTAX INTEGER idle (1), busy MAX-ACCESS read-only STATUS current DESCRIPTION "This object indicates the current status of the configuration file download process. It is provided to indicate to the management entity that the PS will reject PS Configuration File triggers (set request to cabhPsDevProvConfigFile) when busy."...
Página 242
DESCRIPTION "This object indicates the completion state of the initialization process. Pass or Fail states occur after completion of the initialization flow. InProgress occurs from PS initialization start to PS initialization end." ::= { cabhPsDevProv 9 } cabhPsDevProvAuthState OBJECT-TYPE SYNTAX INTEGER accepted (1),...
Página 243
cabhPsDevInitTLVUnknownTrap NOTIFICATION-TYPE OBJECTS docsDevEvLevel, docsDevEvId, docsDevEvText, cabhPsDevWanManMacAddress STATUS current DESCRIPTION "Event due to detection of unknown TLV during the TLV parsing process. The values of docsDevEvLevel, docsDevEvId, and docsDevEvText are from the entry which logs this event in the docsDevEventTable. The value of cabhPsDevWanManMacAddress indicates the Wan-Man MAC address of the PS.
Página 244
cabhPsDevSwUpgradeInitTrap NOTIFICATION-TYPE OBJECTS { docsDevEvLevel, docsDevEvId, docsDevEvText, cabhPsDevWanManMacAddress, docsDevSwFilename, docsDevSwServer STATUS current DESCRIPTION "An event to report a software upgrade initiated event. The values of docsDevSwFilename, and docsDevSwServer indicate the software image name and the server IP address the image is from." ::= { cabhPsNotification 5 } cabhPsDevSwUpgradeFailTrap NOTIFICATION-TYPE OBJECTS {...
Página 245
STATUS current DESCRIPTION "An event to report the failure of the verification of code file happened during a secure software upgrade attempt." ::= { cabhPsNotification 8 } cabhPsDevTODFailTrap NOTIFICATION-TYPE OBJECTS { docsDevEvLevel, docsDevEvId, docsDevEvText, cabhPsDevTimeServerAddr, cabhPsDevWanManMacAddress STATUS current DESCRIPTION "An event to report the failure of a time of day server. The value of cabhPsDevTimeServerAddr indicates the server IP address."...
Página 246
cabhPsDevCapTrap NOTIFICATION-TYPE OBJECTS { docsDevEvLevel, docsDevEvId, docsDevEvText, cabhPsDevWanManMacAddress STATUS current DESCRIPTION "To report an event with the Cable Address Portal." ::= { cabhPsNotification 13 } cabhPsDevCtpTrap NOTIFICATION-TYPE OBJECTS { docsDevEvLevel, docsDevEvId, docsDevEvText, cabhPsDevWanManMacAddress STATUS current DESCRIPTION "To report an event with the CableHome Test Portal." ::= { cabhPsNotification 14 } cabhPsDevProvEnrollTrap NOTIFICATION-TYPE...
Página 247
-- unconditionally mandatory groups MANDATORY-GROUPS { cabhPsGroup ::= { cabhPsCompliances 1} cabhPsGroup OBJECT-GROUP OBJECTS { cabhPsDevDateTime, cabhPsDevResetNow, cabhPsDevSerialNumber, cabhPsDevHardwareVersion, cabhPsDevWanManMacAddress, cabhPsDevWanDataMacAddress, cabhPsDevTypeIdentifier, cabhPsDevSetToFactory, cabhPsDevWanManClientId, cabhPsDevTodSyncStatus, cabhPsDevProvMode, cabhPsDevProvisioningTimer, cabhPsDevProvConfigFile, cabhPsDevProvConfigHash, cabhPsDevProvConfigFileSize, cabhPsDevProvConfigFileStatus, cabhPsDevProvConfigTLVProcessed, cabhPsDevProvConfigTLVRejected, cabhPsDevProvSolicitedKeyTimeout, cabhPsDevProvState, cabhPsDevProvAuthState, cabhPsDevProvCorrelationId, cabhPsDevTimeServerAddrType, cabhPsDevTimeServerAddr STATUS current DESCRIPTION "Group of objects for PS MIB."...
Página 248
MIB del portal de prueba del cable La MIB del CPT DEBE implementarse como se define a continuación. CABH-CTP-MIB DEFINITIONS ::= BEGIN IMPORTS MODULE-IDENTITY, OBJECT-TYPE FROM SNMPv2-SMI TruthValue, TEXTUAL-CONVENTION FROM SNMPv2-TC OBJECT-GROUP, MODULE-COMPLIANCE FROM SNMPv2-CONF InetAddressType, InetAddress, InetAddressIPv4, InetAddressIPv6 FROM INET-ADDRESS-MIB clabProjCableHome FROM CLAB-DEF-MIB;...
Página 249
cabhCtpSetToFactory OBJECT-TYPE SYNTAX TruthValue MAX-ACCESS read-write STATUS current DESCRIPTION "Setting this object to true(1) causes all the tables in the CTP MIB to be cleared, and all CTP MIB objects with default values set back to those default values. Reading this object always returns false(2)." ::={cabhCtpBase 1} Parameter and results from Connection Speed Command cabhCtpConnSrcIpType...
Página 250
cabhCtpConnProto OBJECT-TYPE SYNTAX INTEGER { (1), MAX-ACCESS read-write STATUS current DESCRIPTION "The protocol used in the Connection Speed Test. testing is optional." DEFVAL { udp } ::= { cabhCtpConnSpeed 5 } cabhCtpConnNumPkts OBJECT-TYPE SYNTAX INTEGER (1..65535) MAX-ACCESS read-write STATUS current DESCRIPTION "The number of packets the CTP is to send when triggered to execute the Connection Speed Tool."...
Página 251
cabhCtpConnStatus OBJECT-TYPE SYNTAX INTEGER { notRun(1), running(2), complete(3), aborted(4), timedOut(5) MAX-ACCESS read-only STATUS current DESCRIPTION "The status of the Connection Speed Tool." DEFVAL { notRun } ::={ cabhCtpConnSpeed 10 } cabhCtpConnPktsSent OBJECT-TYPE SYNTAX INTEGER (0..65535) MAX-ACCESS read-only STATUS current DESCRIPTION "The number of packets the CTP sent after it was triggered to execute the Connection Speed Tool."...
Página 252
DESCRIPTION "The IP Address Type for CTP Ping Tool source address." DEFVAL { ipv4 } ::={ cabhCtpPing 1 } cabhCtpPingSrcIp OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS read-write STATUS current DESCRIPTION "The IP Address used as the source address for the Ping Test. The default value is the value of CabhCdpServerRouter (192.168.0.1)."...
Página 253
cabhCtpPingTimeOut OBJECT-TYPE SYNTAX INTEGER (1..600000) UNITS "milliseconds" MAX-ACCESS read-write STATUS current DESCRIPTION "The time out for ping response (ICMP reply) for a single transmitted ping message (ICMP request)." DEFVAL { 5000 } -- 5 seconds ::={ cabhCtpPing 8 } cabhCtpPingControl OBJECT-TYPE SYNTAX INTEGER { start(1),...
Página 254
STATUS current DESCRIPTION "The resulting average of round trip times for acknowledged packets." ::= { cabhCtpPing 13 } cabhCtpPingMaxRTT OBJECT-TYPE SYNTAX INTEGER (0..600000) UNITS "millisec" MAX-ACCESS read-only STATUS current DESCRIPTION "The resulting maximum of round trip times for acknowledged packets." ::= { cabhCtpPing 14 } cabhCtpPingMinRTT OBJECT-TYPE...
Página 255
DESCRIPTION "The compliance statement for devices that implement Portal Service feature." MODULE --cabhCtpMib -- unconditionally mandatory groups MANDATORY-GROUPS { cabhCtpGroup ::= { cabhCtpCompliances 3 } cabhCtpGroup OBJECT-GROUP OBJECTS { cabhCtpSetToFactory, cabhCtpConnSrcIpType, cabhCtpConnSrcIp, cabhCtpConnDestIpType, cabhCtpConnDestIp, cabhCtpConnProto, cabhCtpConnNumPkts, cabhCtpConnPktSize, cabhCtpConnTimeOut, cabhCtpConnControl, cabhCtpConnStatus, cabhCtpConnPktsSent, cabhCtpConnPktsRecv, cabhCtpConnRTT,...
MIB de seguridad La MIB de seguridad DEBE implementarse como se define a continuación. CABH-SEC-MIB DEFINITIONS ::= BEGIN IMPORTS MODULE-IDENTITY, Unsigned32, BITS, OBJECT-TYPE FROM SNMPv2-SMI TruthValue, DisplayString, TimeStamp FROM SNMPv2-TC OBJECT-GROUP, MODULE-COMPLIANCE FROM SNMPv2-CONF InetAddressIPv4 FROM INET-ADDRESS-MIB SnmpAdminString FROM SNMP-FRAMEWORK-MIB -- RFC 2571 X509Certificate FROM DOCS-BPI2-MIB clabProjCableHome...
Página 257
cabhSecFwPolicyFileEnable OBJECT-TYPE SYNTAX INTEGER { enable (1), disable MAX-ACCESS read-write STATUS current DESCRIPTION "This parameter indicates whether or not to enable the firewall functionality." DEFVAL {enable} ::= { cabhSecFwBase 1 } cabhSecFwPolicyFileURL OBJECT-TYPE SYNTAX DisplayString MAX-ACCESS read-write STATUS current DESCRIPTION "This object contains the name and IP address of the policy rule set file in a TFTP URL format.
Página 258
cabhSecFwPolicyFileCurrentVersion OBJECT-TYPE SYNTAX SnmpAdminString MAX-ACCESS read-only STATUS current DESCRIPTION "The rule set version currently operating in the PS device. This object should be in the syntax used by the individual vendor to identify software versions. Any PS element MUST return a string descriptive of the current rule set file load. If this is not applicable, this object MUST contain an empty string."...
Página 259
DEFVAL { disable } ::= { cabhSecFwLogCtl 3 } cabhSecFwEventAttackAlertThreshold OBJECT-TYPE SYNTAX INTEGER (0..65535) MAX-ACCESS read-write STATUS current DESCRIPTION "If the number of type 1 or 2 hacker attacks exceeds this threshold in the period defined by cabhSecFwEventAttackAlertPeriod, a firewall message event MUST be logged with priority level 4." DEFVAL { 65535 } ::= { cabhSecFwLogCtl 4 } cabhSecFwEventAttackAlertPeriod OBJECT-TYPE...
MIB del portal DHCP del cable (CDP) La MIB del CDP DEBE implementarse como se define a continuación. CABH-CDP-MIB DEFINITIONS ::= BEGIN IMPORTS MODULE-IDENTITY, OBJECT-TYPE, Integer32, Unsigned32 FROM SNMPv2-SMI TruthValue, TimeStamp, RowStatus, TEXTUAL-CONVENTION FROM SNMPv2-TC OBJECT-GROUP, MODULE-COMPLIANCE FROM SNMPv2-CONF InetAddressType, InetAddress, InetAddressIPv4, InetAddressIPv6...
Página 263
cabhCdpObjects OBJECT IDENTIFIER ::= { cabhCdpMib 1 } cabhCdpBase OBJECT IDENTIFIER ::= { cabhCdpObjects 1 } cabhCdpAddr OBJECT IDENTIFIER ::= { cabhCdpObjects 2 } cabhCdpServer OBJECT IDENTIFIER ::= { cabhCdpObjects 3 } The following group describes the base objects in the Cable DHCP Portal.
Página 264
cabhCdpLanTransThreshold OBJECT-TYPE SYNTAX INTEGER (0..65533) MAX-ACCESS read-write STATUS current DESCRIPTION "The threshold number of LAN-Trans IP addresses allocated or assigned above which the PS generates an alarm condition. Whenever an attempt is made to allocate a LAN-Trans IP address when cabhCdpLanTransCurCount is greater than or equal to cabhCdpLanTransThreshold, an event is generated.
Página 265
--======================================================================== cabhCdpLanAddrTable (CDP LAN Address Table) The cabhCdpLanAddrTable contains the DHCP parameters for each IP address served to the LAN-Trans realm. This table contains a list of entries for the LAN side CDP parameters. These parameters can be set either by the CDP or by the cable operator through the CMP.
Página 266
address reservation by accessing the cabhCdpLanAddrRowStatus object with an index comprised of a new cabhCdpLanAddrIp and its Type." ::= { cabhCdpLanAddrEntry 2 } cabhCdpLanAddrClientID OBJECT-TYPE SYNTAX CabhCdpLanTransDhcpClientId MAX-ACCESS read-create STATUS current DESCRIPTION "The client ID as indicated in Option 61 of the DHCP Discover. There is a one-to-one relationship between the Client ID and the assigned LAN address.
Página 267
cabhCdpLanAddrRowStatus OBJECT-TYPE SYNTAX RowStatus MAX-ACCESS read-create STATUS current DESCRIPTION "The RowStatus interlock for creation and deletion." ::= { cabhCdpLanAddrEntry 8 } --======================================================================== cabhCdpWanDataAddrTable (CDP WAN-Data Address Table) The cabhCdpWanDataAddrTable contains the configuration or DHCP parameters for each IP address mapping per WAN-Data IP Address. --========================================================================= cabhCdpWanDataAddrTable OBJECT-TYPE SYNTAX...
Página 268
cabhCdpWanDataAddrIpType OBJECT-TYPE SYNTAX InetAddressType MAX-ACCESS read-only STATUS current DESCRIPTION "The address type assigned on the WAN-Data side." DEFVAL { ipv4 } ::= { cabhCdpWanDataAddrEntry 3 } cabhCdpWanDataAddrIp OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS read-only STATUS current DESCRIPTION "The address assigned on the WAN-Data side." ::= { cabhCdpWanDataAddrEntry 4 } cabhCdpWanDataAddrRenewalTime OBJECT-TYPE SYNTAX...
Página 269
CabhCdpWanDataAddrServerEntry ::= SEQUENCE { cabhCdpWanDataAddrDnsIpType InetAddressType, cabhCdpWanDataAddrDnsIp InetAddress, cabhCdpWanDataAddrDnsRowStatus RowStatus cabhCdpWanDataAddrDnsIpType OBJECT-TYPE SYNTAX InetAddressType MAX-ACCESS not-accessible STATUS current DESCRIPTION "This parameter indicates the IP address type of a DNS server." DEFVAL { ipv4 } ::= { cabhCdpWanDataAddrServerEntry 1 } cabhCdpWanDataAddrDnsIp OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS...
Página 270
DESCRIPTION "The Address type of the end of range LAN Trans IP Addresses." DEFVAL { ipv4 } ::= { cabhCdpServer 3 } cabhCdpLanPoolEnd OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS read-write STATUS current DESCRIPTION "The end of range for LAN-Trans IP Addresses." DEFVAL { 'c0a800fe'h } -- 192.168.0.254 ::= { cabhCdpServer 4 } cabhCdpServerNetworkNumberType OBJECT-TYPE...
Página 271
cabhCdpServerRouterType OBJECT-TYPE SYNTAX InetAddressType MAX-ACCESS read-write STATUS current DESCRIPTION "Type of Address, Router for the LAN-Trans address realm." DEFVAL { ipv4 } ::= { cabhCdpServer 10 } cabhCdpServerRouter OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS read-write STATUS current DESCRIPTION "Option value 3 - Router for the LAN-Trans address realm."...
Página 272
cabhCdpServerDomainName OBJECT-TYPE SYNTAX SnmpAdminString(SIZE(0..128)) MAX-ACCESS read-write STATUS current DESCRIPTION "Option value 15 - Domain name of LAN-Trans address realm." DEFVAL {""} ::= { cabhCdpServer 16 } cabhCdpServerTTL OBJECT-TYPE SYNTAX INTEGER (0..255) MAX-ACCESS read-write STATUS current DESCRIPTION "Option value 23 - LAN-Trans Time to Live." DEFVAL { 64 } ::= { cabhCdpServer 17 }...
Página 273
DESCRIPTION "Option value 54 - LAN-Trans DHCP server IP address. It defaults to the router address as specified in cabhCdpServerRouter. Alternatively a vendor may want to separate CDS address from router address." DEFVAL { 'c0a80001'h } 192.168.0.1 ::= { cabhCdpServer 22 } -- Notification group is for future extension.
Página 274
cabhCdpWanDataAddrClientId, cabhCdpWanDataAddrIp, cabhCdpWanDataAddrRenewalTime, cabhCdpWanDataAddrRowStatus, cabhCdpWanDataAddrDnsRowStatus, cabhCdpLanPoolStartType, cabhCdpLanPoolStart, cabhCdpLanPoolEndType, cabhCdpLanPoolEnd, cabhCdpServerNetworkNumberType, cabhCdpServerNetworkNumber, cabhCdpServerSubnetMaskType, cabhCdpServerSubnetMask, cabhCdpServerTimeOffset, cabhCdpServerRouterType, cabhCdpServerRouter, cabhCdpServerDnsAddressType, cabhCdpServerDnsAddress, cabhCdpServerSyslogAddressType, cabhCdpServerSyslogAddress, cabhCdpServerDomainName, cabhCdpServerTTL, cabhCdpServerInterfaceMTU, cabhCdpServerVendorSpecific, cabhCdpServerLeaseTime, cabhCdpServerDhcpAddressType, cabhCdpServerDhcpAddress STATUS current DESCRIPTION "Group of objects for Cable CDP MIB." ::= { cabhCdpGroups 1 } Portal de dirección del cable La MIB de CAP DEBE implementarse como se define a continuación.
Página 276
cabhCapUdpTimeWait OBJECT-TYPE SYNTAX Unsigned32 UNITS "seconds" MAX-ACCESS read-write STATUS current DESCRIPTION "The inactivity time to wait before destroying CAP mappings for UDP." DEFVAL { 300 } -- 5 minutes ::={ cabhCapBase 2 } cabhCapIcmpTimeWait OBJECT-TYPE SYNTAX Unsigned32 UNITS "seconds" MAX-ACCESS read-write STATUS current DESCRIPTION "The inactivty time to wait before destroying...
Página 277
cabhCapMappingTable OBJECT-TYPE SYNTAX SEQUENCE OF CabhCapMappingEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "This table contains IP address mapping for all CAP mappings." ::= { cabhCapMap 1 } cabhCapMappingEntry OBJECT-TYPE SYNTAX CabhCapMappingEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "List of CAP IP mappings." INDEX { cabhCapMappingIndex } ::= { cabhCapMappingTable 1 } CabhCapMappingEntry ::= SEQUENCE {...
Página 278
DEFVAL { 0 } ::= { cabhCapMappingEntry 4 } cabhCapMappingLanAddrType OBJECT-TYPE SYNTAX InetAddressType MAX-ACCESS read-create STATUS current DESCRIPTION "The IP address type assigned on the LAN side. IP version 4 is typically used." DEFVAL { ipv4 } ::= { cabhCapMappingEntry 5 } cabhCapMappingLanAddr OBJECT-TYPE SYNTAX InetAddress...
Página 279
modification of this table's columns when the cabhCapMappingRowStatus object is in the active state." ::={ cabhCapMappingEntry 10 } --======================================================================== cabhCapPassthroughTable (CAP Passthrough Table) The cabhCapPassthroughTable contains the MAC Addresses for all LAN-IP Devices which will be configured as passthrough. --========================================================================= cabhCapPassthroughTable OBJECT-TYPE SYNTAX SEQUENCE OF CabhCapPassthroughEntry...
Página 280
table (i.e., cabhCapPassthroughMacAddr) when the status of cabhCapPassthroughRowStatus is active." ::= { cabhCapPassthroughEntry 3 } -- Notification group is for future extension. cabhCapNotification OBJECT IDENTIFIER ::= { cabhCapMib 2 0 } cabhCapConformance OBJECT IDENTIFIER ::= { cabhCapMib 3 } cabhCapCompliances OBJECT IDENTIFIER ::= { cabhCapConformance 1 } cabhCapGroups OBJECT IDENTIFIER ::= { cabhCapConformance 2 } Notification Group -- compliance statements...
SERIES DE RECOMENDACIONES DEL UIT-T Serie A Organización del trabajo del UIT-T Serie D Principios generales de tarificación Serie E Explotación general de la red, servicio telefónico, explotación del servicio y factores humanos Serie F Servicios de telecomunicación no telefónicos Serie G Sistemas y medios de transmisión, sistemas y redes digitales Serie H...