Seite 3: Gelehrige Router

Inhaltsverzeichnis

Gelehrige Router

Die Autoprovisionierung beginnt bei jedem TR-069-fähigen Teilnehmergerät gleich: Schaltet man es ein, verbindet es sich mit dem ACS und der provisioniert das Teilnehmergerät, wenn es noch nicht konfiguriert ist. Diese erste Verbindung wird auch als First Connect bezeichnet. Der Verbindungsaufbau läuft grundsätzlich nur vom Teilnehmergerät zu einem spezifischen ACS ab. Die normalerweise für den Internet-Verkehr erforderliche Benutzerkennung (etwa für den T-Online-Zugang) wird dafür nicht verwendet. Vielmehr bringt das CPE für den First Connect bereits Parameter mit, die ihm die Kontaktaufnahme mit dem ACS ermöglichen (z. B. die grundlegende Konfiguration für PPPoE-Verbindungen über das Trägermedium ATM).

Je nach Anforderungen des Providers – der Position ihres eigenen ACS im Netz –, legen die Hersteller ihre CPEs entweder für die Verbindungsaufnahme übers öffentliche Internet oder für den Zugang zu einem separaten IP-Netz aus (Walled Garden). Die IP-Adresse oder URL seines ACS muss dem CPE bekannt sein (zum Beispiel https://mein-provider.de für einen ACS im öffentlichen Internet). Abhängig von der Netzinfrastruktur des Providers ist die Konfiguration für den Zugriff auf den ACS entweder in der Werkseinstellung enthalten oder sie wird mit der automatischen IP-Adressvergabe vom DHCP-Server zum Teilnehmer-Router übermittelt.

Steht die Internet-Verbindung, baut das CPE eine [# 437 HTTP]- oder [# 1271 HTTPS]-Verbindung zum ACS auf. An dieser Stelle verlangt der ACS in der Regel eine Anmeldung mit der TR-069-Kennung des Kunden (User-Credentials für die Provisionierung); eine Authentifizierung des ACS gegenüber dem CPE ist laut Spezifikation nicht erforderlich, kann aber bei HTTPS-Verbindungen anhand üblicher SSL-Mechanismen ablaufen. Nach der CPE-Authentifizierung, die per Basic- oder Digest-Verfahren abläuft, ordnet der ACS ein Gerät einem bestimmten Kunden zu und fragt die Eigenschaften und Fähigkeiten des CPE ab. So erfährt er die Gerätebezeichnung sowie dessen Einstellmöglichkeiten. Danach beginnt er mit der Konfiguration, für die er nur wenige Sekunden braucht – der Router ist dann für die vorgesehenen Dienste eingerichtet und betriebsbereit.

Bei den meisten aktuellen Geräten können die Nutzer diese Einstellungen nicht nur einsehen, sondern auch ändern und ergänzen. Letzteres ist sinnvoll, wenn man zum Beispiel zusätzliche VoIP-Provider definieren will, die der DSL-Anbieter selbst nicht vorgesehen hat.

Zero-Touch-Parametrierung

Die Beschränkung auf die PIN-Eingabe ist zwar schon eine erhebliche Vereinfachung, aber die DSL-Provider streben eine Autoprovisionierung an, bei der die Einrichtung schon mit dem Anschluss der Zugangshardware abgeschlossen ist, in Provider-Kreisen auch "Zero Touch" genannt.

Provider, die ein eigenes Zugangsnetz betreiben, darunter die Deutsche Telekom, QSC, Arcor oder auch Stadtnetzbetreiber wie Netcologne, haben für Zero Touch bessere Voraussetzungen, denn sie können an der Gegenstelle des DSL-Routers, dem DSLAM, anhand der Port-ID leicht ablesen, welchem Kunden ein Anschluss zugeordnet ist. Sie können daher die Port-ID an Stelle der User-Credentials für die Authentifizierung am ACS verwenden und mit einem kundenspezifischen CPE-Konfigurationsdatensatz verknüpfen.

DSL-Reseller erhalten die Port-ID aber üblicherweise nicht, müssen also für Zero Touch andere individuelle Merkmale der DSL-Elemente für die Zuordnung verwenden. Gewöhnlich benutzen sie dafür die Seriennummer des CPE. Diese muss daher vor dem Versand des CPE an den Teilnehmer einem kundenspezifischen Konfigurationsdatensatz zugeordnet werden. Sobald sich das CPE am ACS authentifiziert, impft der ACS das CPE mit diesem Datensatz. Weil sie für TR-069-fähige Geräte höhere Sicherheit anstreben als für herkömmliche, lassen Provider per Post versandte TR-069-Router nur gegen Vorlage des Personalausweises aushändigen. So soll verhindert werden, dass präparierte Geräte Unbefugten in die Hände fallen, die damit etwa auf fremde Kosten telefonieren und surfen.