Como implantar o controlador EAP em uma nuvem privada (AWS EC2)
Visão geral
O controlador EAP (2.0.3 e versões mais recentes fora da nuvem) oferece suporte ao gerenciamento L3. Um controlador EAP pode gerenciar EAPs de múltiplas redes remotas que cruzam a Internet. No entanto, será necessário configurar o encaminhamento de porta ou túneis VPN se houver firewalls NAT na frente do controlador EAP. (Ver FAQ913)
Alguns usuários podem querer instalar o controlador EAP em uma plataforma de nuvem privada, para obter gerenciamento L3 de qualquer lugar sem hospedar um PC LAN. Além disso, se o servidor em nuvem vier com endereços IP públicos, ele também poderá poupar o trabalho de configuração de encaminhamento de porta ou túneis VPN para penetração através de firewalls NAT.
Uma solução alternativa
Embora o controlador EAP não seja um aplicativo em nuvem, ele ainda pode ser instalado em um host Windows baseado em nuvem, o que pode ser uma solução alternativa para atender parte da demanda.
Neste artigo, os leitores aprenderão como instalar e executar um controlador EAP em um host AWS EC2 Windows.
Nota: A TP-LINK desenvolverá um verdadeiro serviço de controlador EAP baseado em nuvem no futuro, portanto, a solução alternativa que será apresentada neste artigo é apenas uma solução provisória antes do lançamento final do verdadeiro serviço de controlador baseado em nuvem.
Sobre o AWS EC2
O Amazon Elastic Compute Cloud (Amazon EC2) fornece capacidade de computação escalável na nuvem Amazon Web Services (AWS). Um recurso significativo do EC2 são os ambientes de computação virtual, conhecidos como instâncias, que incluem hosts virtuais do Windows.
O nível gratuito da Amazon Web Services (AWS) oferece aos novos usuários registrados 750 horas por mês de uso da instância t2.micro do Windows gratuitamente dentro de determinados limites de uso. Agora é altamente recomendável que você consulte a página do nível gratuito da AWS para obter informações detalhadas. Todas as informações aqui fornecidas estão sujeitas a alterações ou atualizações pela AWS sem aviso prévio.
Aqui tomamos o AWS EC2 como exemplo para apresentar como instalar e executar um controlador EAP em uma nuvem privada.
Parte 1: Prepare o AWS EC2
1.1 Crie uma conta AWS
Observação: pule esta etapa 1 e faça login diretamente se você já tiver uma conta AWS.
- Abra http://aws.amazon.com/ e escolha Criar uma conta AWS.
- Siga as instruções on-line para criar uma conta AWS.
Sobre a região
A Amazon possui data centers em diferentes áreas do mundo (por exemplo, América do Norte, Europa e Ásia). Da mesma forma, o Amazon EC2 está disponível para uso em diferentes regiões . Ao lançar instâncias em regiões separadas, você pode projetar seu aplicativo para estar mais próximo de clientes específicos ou para atender a requisitos legais ou outros.
Você pode escolher uma região preferencial antes de criar uma instância do Windows.
1.2 Iniciar uma instância do Windows
Observação: ignore esta etapa 2 se você já tiver uma instância do Windows disponível para executar um controlador EAP.
- Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/ .
No painel do console, escolha Iniciar instância .
- A página Escolha uma imagem de máquina da Amazon (AMI) exibe uma lista de configurações básicas, chamadas de imagens de máquina da Amazon (AMIs), que servem como modelos para sua instância. Selecione a AMI para Microsoft Windows Server. Observe que neste tutorial escolhemos o Windows Server 2012 R2 marcado como "Elegível para nível gratuito" como exemplo.
- Na página Escolher um tipo de instância , você pode selecionar a configuração de hardware da sua instância. Selecione o tipo t2.micro, que é selecionado por padrão. Observe que esse tipo de instância está qualificado para o nível gratuito.
- Escolha Review and Launch para permitir que o assistente conclua as outras definições de configuração para você.
- Na página Review Instance Launch , em Security Groups, você verá que o assistente criou e selecionou um grupo de segurança para você. Agora escolha Editar grupos de segurança .
Configurações do grupo de segurança (importante)
Um grupo de segurança é um conjunto de regras de firewall que controlam o tráfego da sua instância. Para atingir o objetivo de gerenciar EAPs remotos, adicione regras que permitam acesso irrestrito às portas a seguir.
- PORTA TCP 8088
- PORTA TCP 8043
- PORTA UDP 29810
- PORTA TCP 29811
- PORTA TCP 29812
- PORTA TCP 29813
Permita também o acesso RDP para acesso à Área de Trabalho Remota do Windows.
- Em seguida, escolha Revisar e iniciar .
- Na página Review Instance Launch (Revisar inicialização da instância) , escolha Launch .
- Quando for solicitado um par de chaves, selecione o par de chaves que você criou, se tiver um. Caso contrário, você poderá criar um novo par de chaves. Selecione Criar um novo par de chaves , insira um nome para o par de chaves e escolha Fazer download do par de chaves . Esta é a única chance para você salvar o arquivo de chave privada, portanto, faça o download. Salve o arquivo da chave privada em um local seguro. Você precisará fornecer o nome do seu par de chaves ao iniciar uma instância e a chave privada correspondente sempre que se conectar à instância.
Observação: não selecione a opção Continuar sem um par de chaves . Se você iniciar sua instância sem um par de chaves, não será possível conectar-se a ela.
- Quando estiver pronto, marque a caixa de seleção de confirmação e escolha Launch Instances .
- Uma página de confirmação informa que sua instância está sendo iniciada. Escolha Exibir instâncias na parte inferior da página para fechar a página de confirmação e retornar ao console do EC2.
- De volta ao console EC2 no menu Instâncias , você pode ver que a instância do Windows recém-iniciada agora está em execução.
1.3 Atribuir um endereço Elastic IP para o host Windows
Embora mostre que a instância recebeu um endereço IP público agora, esse endereço IP padrão não é permanente. Depois de encerrar ou reinicializar a instância, ela poderá ser liberada ou alterada para outra.
Para ter um endereço IP público estático para o Windows, precisamos criar um endereço IP elástico e atribuí-lo à instância. Um endereço IP elástico é um endereço IP público estático que você pode alocar à sua conta. Você pode associá-lo a instâncias conforme necessário e ele será alocado em sua conta até que você decida liberá-lo.
No console EC2, navegue até NETWORK & SECURITY -> Elastic IPs , a lista deverá estar vazia se você não tiver criado nenhuma. Agora clique em Alocar novo endereço e confirme para alocar quando solicitado.
Em seguida, uma nova entrada de endereço Elastic IP será mostrada na lista.
Selecione a entrada, clique em Ações -> Endereço Associado .
Clique na caixa de entrada Instância e escolha a instância do Windows na lista suspensa. Clique em Associar para associar esse endereço Elastic IP à instância do Windows.
Volte ao menu Instâncias, agora você pode ver que a instância do Windows está associada ao endereço Elastic IP.
Com todas as etapas acima, o host AWS EC2 Windows agora está pronto.
Parte 2: Instale o controlador EAP no EC2
2.1 Conecte-se ao Windows através da Área de Trabalho Remota
No console EC2 , selecione a instância do Windows e clique em Conectar .
Você pode se conectar à sua instância do Windows usando um cliente de área de trabalho remota de sua escolha e baixando e executando o arquivo de atalho RDP conforme indicado nas instruções.
Antes de realmente conectar-se através do RDP, você deve obter a senha usando seu arquivo de chave que foi salvo nas etapas anteriores. Carregue o arquivo de chave e escolha Descriptografar senha para obter sua senha.
Com o nome de usuário/senha fornecidos, agora você pode se conectar à instância do Windows por meio do cliente de área de trabalho remota (RDP) de qualquer PC remoto em qualquer lugar que desejar.
2.2 Baixe e instale o controlador EAP no EC2
Nota: Quando o ESC do IE está ativado, você recebe pop-ups o tempo todo e é solicitado a adicionar cada novo URL à zona de sites confiáveis do IE. Você pode querer desabilitar o IE ESC temporariamente para a conveniência de baixar o controlador EAP dos sites oficiais da TP-LINK.
Para desabilitar a segurança aprimorada do IE no Windows Server 2012 R2, inicie o Server Manager , no lado esquerdo clique em Local Server. No lado direito, clique no link Ativado ao lado de Configuração de segurança aprimorada do IE .
Nas janelas solicitadas, clique em Off para desligar o IE ESC .
Então visite www.tp-link.com , pesquise qualquer modelo da série EAP, por exemplo, EAP220. Na página do produto, navegue até a página de suporte e baixe o controlador EAP mais recente na guia Utilitário .
Após o download, extraia o zip e instale o controlador EAP através do assistente de configuração.
Após a instalação, inicie o EAP controller.exe e conclua o Assistente de configuração rápida. Anote o nome de usuário/senha e mantenha o controlador EAP funcionando.
Agora, tudo da instância EC2 está pronto. Agora você pode deixar o EC2 em execução, pois suas configurações estão todas concluídas.
Você pode acessar a interface web do controlador a partir de um PC remoto através da URL Https://Elastic IP:8088
As próximas etapas são executadas nos lados do EAP.
Parte 3: Configurações no lado EAP
Ainda tome a seguinte topologia como exemplo.
Em primeiro lugar, os EAPs devem ter acesso à Internet, o que significa que você deve atribuir-lhes parâmetros corretos de IP/gateway através de DHCP (recomendado) ou configuração manual. O padrão dos EAPs é DHCP, portanto isso não deve ser um problema, desde que haja um serviço DHCP adequado na LAN.
Depois vem a parte mais importante. Nos lados EAP, o endereço IP público do controlador, no exemplo acima 54.169.xx, precisa ser configurado em cada dispositivo EAP, para que os EAPs possam saber onde encontrar o controlador EAP através da Internet. Existem dois métodos para configurar o endereço IP do controlador nos EAPs.
Método 1. Via utilitário EAP Discover
- Baixe o controlador EAP do site TP-LINK. Instale o controlador EAP em um PC na filial 1 do site. O PC deve estar na mesma sub-rede IP dos EAPs. No exemplo é PC1.
- Execute o EAP Discover Utility (você o encontrará em C:\Program Files (x86)\ TP-LINK\EAP Controller\bin se não tiver alterado o caminho de instalação). Todos os dispositivos EAP na rede local serão listados.
- Como todos os EAPs têm o mesmo nome de usuário e senha, você pode usar a configuração em lote para definir o IP do controlador para todos eles. Se seus dispositivos EAP tiverem nome de usuário e senha diferentes, você poderá usar o botão de gerenciamento para definir o nome do host/IP do controlador, respectivamente.
- Aguarde até que o status seja exibido como Configuração bem-sucedida .
- Um tempo depois os EAPs serão exibidos como APs pendentes no controlador aguardando adoção e gerenciamento. Você pode adotá-los usando o nome de usuário/senha do EAP. (Padrão: administrador/administrador)
- Para EAPs localizados na Filial 2 use os mesmos métodos para definir o endereço IP do controlador.
Método 2. Defina a opção 138 no servidor DHCP
Os dispositivos EAP podem solicitar o IP do controlador através da opção 138 através do DHCP.
Veja a Filial 1 como exemplo.
- Suponha que o servidor DHCP na Filial 1 seja capaz de configurar opções variáveis de DHCP. Defina o IP do controlador como o valor da opção 138 nele.
- Todos os EAPs na rede local reconhecerão o endereço IP do controlador automaticamente através da comunicação DHCP logo após a inicialização.
A forma de definir a opção 138 no servidor DHCP varia de implementação para implementação, o que está fora do escopo deste documento. Consulte a documentação do servidor DHCP para obter ajuda. Os dois exemplos abaixo usados em nosso teste são para sua referência.
CLI do Cisco IOS:
teste de pool ip dhcp
rede 192.168.1.0 255.255.255.0
roteador padrão 192.168.1.1
servidor DNS 8.8.8.8
opção 138 ip 56.169.xx
Para obter mais detalhes, consulte o site da Cisco .
MikroTik RouterOS CLI:
#Suponha que você já tenha configurado um servidor DHCP com número de item 0
#0xC0000002 é igual a 56.169.xx
Opção /ip dhcp-server adicionar código = 138 nome = valor do controlador = 0xC0000002
/ip conjunto de rede do servidor dhcp 0 dhcp-option = controlador
Para mais detalhes, consulte o manual do MikroTik .
Este artigo se aplica ao controlador EAP 2.0.3 e controlador não baseado em nuvem posterior.