Hola, tengo armada una red con camopy y quería ser ISP. Pero tengo algunas dudas con respecto a la seguridad que el Canopy le proporciona a mi red. En mi sitio central cuento con un servidor con dhcp en el que esta instalado el BAM. En este mismo sitio cuenta con 6 APs, con el certificado para APAS.Y tengo cerca de 10 Sm instalados. La preguntas son las siguientes. Como realizo la validacion de la red, para poder darles a mis clientes, una direccion ip dinamica en su PC, y como se que el mismo no va a cambiar dicha ip por otra similar sin crear conflicto con mi dhcp. Si alguien tiene experiencia como ISP con una red Canopy le agradecería sus comentarios.
Saludos.
Lionel
Hola Lionel,
Respondo a tus preguntas:
1.- ¿Como realizo la validación de la red, para poder darles a mis clientes, una dirección IP dinámica en su PC?
Tú puedes configurar el equipo Canopy de dos formas:
A) Como BRIDGE inalámbrico, con lo cual puedes asignarle a cada computadora una dirección IP de forma dinámica para que tengan acceso a Internet. De esta forma tu no puedes controlar la configuración de las computadoras de los clientes, así es que ellos pueden hacer todos los cambios que quieran.
B) Como NAT (CPE para el cliente), con lo cual te permite establecer al SM como un pequeño ruteador, este te permite manejar un DHCP client para que tu le asignes una dirección dinámica por SM, y también funciona como DHCP Server para que las computadoras del cliente sean fácilmente configurables.
Puedes encontrara mayor detalle en los manuales del SM disponibles en la página de Canopy.
¿Como se que el mismo no va a cambiar dicha IP por otra similar sin crear conflicto con mi dhcp?
La respuesta de la pregunta anterior hace referencia a esto, en resumen, si tu utilizas el SM como bridge no tienes forma de controlar la configuración de las maquinas de los clientes, si usa el SM como NAT, tu controlas la configuración del equipo y si el cliente quiere cambiar la configuración de su red es posible que no funcione el servicio de Internet.
Adicionalmente veo en tu mensaje que cuentas con el servidor de BAM, este te sirve para dos cosas:
1.- Autenticación de cada SM vía MAC Address.
2.- Control de ancho de banda por cada SM.
Espero que esto ayude a resolver tus dudas.
Saludos!
Hola joelge
Ante todo gracias por su respuesta.
Quería aprovechar para hacerte dos preguntas más acerca de como ser ISP con Canopy.
En este momento mi red se esta iniciando y no tengo muchos requerimientos de mis usuarios. Pero en un futuro cercano, ellos van a comenzar a pedirme direcciones IP públicas y otros servicios. Mis preguntas son las siguientes.
Si yo configuro a cada SM como dhcp client y como dhcp server, es totalmente seguro que cada cliente que cambie la ip asignada por el SM por una en el mismo segmento a la asignada, va a quedarse sin navegación?. Remarco esto porque es muy conflictivo para una red, que las direcciones ip se pisen, o comiencen a crearse conflicto entre ellas. Y en Argentina como en muchas partes a los clientes finales les gusta hackear los equipos de los ISP.
La segunda pregunta es, con la misma configuración en los SM, si un cliente me solicitara una o mas direcciones IP públicas, (sean para casillas de email, servicios, vinculación de redes, etc.), como realizo la asignación de las mismas, teniendo configurado dhcp server y client en mi SM. Y teniendo la certeza de que el cliente si cambia la IP pública asignada deje de navegar, y no cree conflicto con la de otro cliente, o con alguna que tenga yo configurada como salida de un servicio propio?.
Por otro lado creo que el BAM es una excelente solución, para el manejo de ancho de banda y la validación de los usuarios. Pero quería aprovechar y hacerte unas consultas sobre este. Mi proveedor me entrego la versión 1.1 aludiendo que se podía realizar un upgrade de manera gratuita desde Internet a la versión 2.x. Pero leyendo información sobre el mismo encontramos que es necesario enviar la MAC address de mi servidor para generar un key code, para la instalación del mismo. Nosotros tenemos pensado comprar otra licencia de BAM para tener una configuración 1 + 1, la pregunta es que pasa si mis dos servidores llegarán a quemarse. Tendría que dejar a mis clientes sin servicio hasta generar un nuevo key code.
Usted pensará como es posible que dos Server se quemen al mismo tiempo, pero permita comentarle que nuestra red esta en un lugar desiertico, y nuestros clientes en su mayoría son empresas. Por lo tanto nuestros servidores no están en lugares de fácil acceso, por lo cual tenemos pensado, si un Server si llegara a fallar deberíamos ir con otro y simplemente remplazarlo.
Nuevamente gracias por su tiempo y ayuda.
Lionel.
Hola Lionel,
Intento responder tus preguntas:
1.- Cuando configuras el SM para DHCP client y server, el equipo queda con una IP dinámica en la parte WAN y una IP fija (por default la 1 de la clase C que elijas) que servirá como gateway de la red del cliente, lo que es muy importante es que configures el Canopy con sus passwords para que el usuario no tenga acceso al equipo y no pueda cambiar la parte de DHCP Client que es la que entiendo te causa dudas. Adicionalmente a las dos IP que mencionamos arriba, el equipo tiene una tercer dirección IP la cual sirve para la administración del equipo, esta es la única IP a la cual puedes hacerle pings, accesar vía web, telnet y ftp, así es que la recomendación es que tengas clases totalmente diferentes, una para el DHCP client, otra para la red del cliente y una mas para la administración del equipo.
2.- Tu puedes prender o apagar el DHCP client, de tal forma que le puedes asignar una dirección fija al Canopy para prestar servicios específicos detrás del Canopy, adicionalmente el equipo cuenta con un puerto DMZ, que sirve exactamente para que puedas colocar algún servicio detrás del NAT, como una cámara web, teléfono IP, etc.
3.- Para poder instalar el BAM 2.0 es necesario generar el Key code y esto va amarrado a la MAC de la tarjeta de red, es muy bueno que pienses tener dos servidores por cuestiones de redundancia, en cuanto a dejar a tus clientes sin servicio, eso NO sucede, solo estarías desactivando temporalmente la autenticación y control de ancho de banda.
Quiero ser muy claro en esto, cuando tú prendes un SM, intenta ligarse vía inalámbrica, para esto el AP checa contra la base de datos de BAM la MAC y llave en caso de tenerla, una vez que el BAM autoriza el acceso envía los anchos de banda al SM y con esto se completa el proceso de registro. Lo anterior no se repite hasta que el SM se cae por cualquier razón, así es que si el BAM no esta presente durante este proceso el SM no podrá registrarse, lo que puedes hacer es deshabilitar la autenticación en los AP’s mientras levantas un nuevo BAM.
Por otro lado, si revisas bien la documentación esta MAC address que se solicita es para el control de las licencias flotantes de los AP’s, lo cual interactúa con un software llamado Licenses Manager (Este forma parte del BAM también), pero no necesariamente debe estar instalado en los mismos servidores donde están las bases de datos.
Considero muy importante solicites a tu proveedor de equipo Canopy un curso técnico a la brevedad, ya que este tipo de temas se tocan con detalle en este curso.
De cualquier forma te sigo ayudando en todo lo que pueda.
Saludos!
Joel,
Gracias por tu ayuda.
Pondré en practica todos tus consejos.
Saludos !!!
Lionel
Saludos.
Lionel
Yo tengo un ISP en Texas y queria mensionarte una cuarta opcion. Tus clientes pueden usar un routeador domestico como Linksys. Esto te permitiria tener un subnet para los SM y los clientes en su propio subnet. De esta manera si un cliente te pide un IP publico para algun servicio al intrnet lo cual es comun en mis clientes que son negocios, se te haria mas facil asignar un IP publico. En esta configuracion tambien puedes expander la infraestructura facilmente poniendo routeadores para dividir la red en secciones.
lionel.
con respecto al control de ancho de banda de cada SM, si todo sale mal y dejan de funcionar los dos servidores BAM y ves que vas a tardar algunos dias en llegar al sitio, la ultima version de software 6.1 te permite controlar el MIR de cada SM.