Comment déployer un contrôleur EAP sur un cloud privé (AWS EC2) ?

Aperçu

Le contrôleur EAP (versions 2.0.3 et plus récentes non cloud) prend en charge la gestion L3. Un contrôleur EAP peut gérer les EAP de plusieurs réseaux distants traversant Internet. Cependant, il faudra configurer des tunnels de redirection de port ou VPN s'il y a des pare-feu NAT devant le contrôleur EAP. (Voir FAQ913)

Certains utilisateurs peuvent souhaiter installer le contrôleur EAP sur une plate-forme de cloud privé, afin de réaliser la gestion L3 de n'importe où sans héberger un PC LAN. De plus, si le serveur cloud est livré avec des adresses IP publiques, il peut également économiser le travail de configuration de la redirection de port ou des tunnels VPN pour pénétrer à travers les pare-feu NAT.

 

Une solution de contournement

Bien que le contrôleur EAP soit une application non cloud, il peut toujours être installé sur un hôte Windows basé sur le cloud, ce qui peut être une solution de contournement pour répondre à une partie de la demande.

Dans cet article, les lecteurs apprendront comment installer et exécuter un contrôleur EAP sur un hôte Windows AWS EC2.

Remarque : TP-LINK développera à l'avenir un véritable service de contrôleur EAP basé sur le cloud, de sorte que la solution de contournement qui sera introduite dans cet article n'est qu'une solution provisoire avant la version finale du véritable service de contrôleur basé sur le cloud.

 

À propos d'AWS EC2

Amazon Elastic Compute Cloud (Amazon EC2) fournit une capacité de calcul évolutive dans le cloud Amazon Web Services (AWS). Une caractéristique importante d'EC2 est les environnements informatiques virtuels, appelés instances, qui incluent les hôtes virtuels Windows.

Le niveau gratuit d'Amazon Web Services (AWS) offre aux nouveaux utilisateurs enregistrés 750 heures par mois d'utilisation gratuite de l'instance Windows t2.micro dans certaines limites d'utilisation. Il vous est désormais fortement recommandé de vous référer à la page d'AWS Free Tier pour des informations détaillées. Toutes les informations fournies ici sont susceptibles d'être modifiées ou mises à jour par AWS sans préavis.

Ici, nous prenons AWS EC2 comme exemple pour présenter comment installer et exécuter un contrôleur EAP sur un cloud privé.

 

Partie 1 : Préparez AWS EC2

 

1.1 Créer un compte AWS

Remarque : Ignorez cette étape 1 et connectez-vous directement si vous avez déjà un compte AWS.

• Ouvrez http://aws.amazon.com/, puis choisissez Créer un compte AWS.
• Suivez les instructions en ligne pour créer un compte AWS.

 

À propos de la région

Amazon possède des centres de données dans différentes régions du monde (par exemple, l'Amérique du Nord, l'Europe et l'Asie). De même, Amazon EC2 peut être utilisé dans différentes  régions . En lançant des instances dans des régions distinctes, vous pouvez concevoir votre application pour qu'elle soit plus proche de clients spécifiques ou pour répondre à des exigences légales ou autres. 

Vous pouvez choisir une région préférée avant de créer une instance Windows.

 

1.2 Lancer une instance Windows

Remarque : ignorez cette étape 2 si vous disposez déjà d'une instance Windows disponible pour exécuter un contrôleur EAP.

• Ouvrez la console Amazon EC2 à l' adresse https://console.aws.amazon.com/ec2/ .

Dans le tableau de bord de la console, choisissez Launch Instance .

 

                 

• La page Choisir une Amazon Machine Image (AMI) affiche une liste de configurations de base, appelées Amazon Machine Images (AMI), qui servent de modèles pour votre instance. Sélectionnez l'AMI pour Microsoft Windows Server. Notez que dans ce didacticiel, nous choisissons Windows Server 2012 R2 marqué "Éligible au niveau gratuit" comme exemple.          
• Sur la page Choisir un type d'instance , vous pouvez sélectionner la configuration matérielle de votre instance. Sélectionnez le type t2.micro, qui est sélectionné par défaut. Notez que ce type d'instance est éligible pour l'offre gratuite.                                 
• Choisissez Vérifier et lancer pour laisser l'assistant terminer les autres paramètres de configuration pour vous.
• Sur la page Examiner le lancement de l'instance , sous Groupes de sécurité, vous verrez que l'assistant a créé et sélectionné un groupe de sécurité pour vous. Choisissez maintenant  Modifier les groupes de sécurité .

 

Paramètres du groupe de sécurité (important)

Un groupe de sécurité est un ensemble de règles de pare-feu qui contrôlent le trafic de votre instance. Pour atteindre l'objectif de gestion des EAP distants, ajoutez des règles qui autorisent un accès illimité aux ports suivants.

• TCP PORT 8088
• TCP PORT 8043
• UDP PORT 29810
• TCP PORT 29811
• TCP PORT 29812
• TCP PORT 29813

Autorisez également l'accès RDP pour l'accès au Bureau à distance Windows.

• Choisissez ensuite Réviser et lancer .
• Sur la  page Examiner le lancement de l'instance  , choisissez  Lancer .
• Lorsque vous êtes invité à entrer une paire de clés, sélectionnez la paire de clés que vous avez créée si vous en avez une. Sinon, vous pouvez créer une nouvelle paire de clés. Sélectionnez  Créer une nouvelle paire de clés , entrez un nom pour la paire de clés, puis choisissez  Télécharger la paire de clés . C'est la seule chance pour vous d'enregistrer le fichier de clé privée, alors assurez-vous de le télécharger. Enregistrez le fichier de clé privée dans un endroit sûr. Vous devrez fournir le nom de votre paire de clés lorsque vous lancerez une instance et la clé privée correspondante à chaque fois que vous vous connecterez à l'instance.

Remarque : ne sélectionnez pas l'   option Continuer sans paire de clés . Si vous lancez votre instance sans paire de clés, vous ne pouvez pas vous y connecter.

• Lorsque vous êtes prêt, cochez la case d'accusé de réception, puis choisissez  Launch Instances .
• Une page de confirmation vous informe que votre instance est en cours de lancement. Choisissez  Afficher les instances  en bas de la page pour fermer la page de confirmation et revenir à la console EC2.

• De retour à la console EC2 → Menu Instances , vous pouvez voir que l'instance Windows nouvellement lancée est maintenant en cours d'exécution.

 

 

1.3 Attribuer une adresse IP Elastic à l'hôte Windows

Bien qu'il montre que l'instance se voit désormais attribuer une adresse IP publique, cette adresse IP par défaut n'est pas permanente. Une fois que vous avez arrêté ou redémarré l'instance, elle peut être libérée ou remplacée par une autre.

Pour avoir une adresse IP publique statique pour Windows, nous devons créer une adresse IP élastique et l'attribuer à l'instance. Une adresse IP Elastic est une adresse IP publique statique que vous pouvez allouer à votre compte. Vous pouvez l'associer à et depuis des instances selon vos besoins, et il est alloué à votre compte jusqu'à ce que vous décidiez de le libérer.

Dans la console EC2, accédez à NETWORK & SECURITY -> Elastic IPs , la liste doit être vide si vous n'en avez pas créé. Cliquez maintenant sur Attribuer une nouvelle adresse, confirmez l'attribution lorsque vous y êtes invité.

Ensuite, une nouvelle entrée d'adresse IP Elastic sera affichée dans la liste.

Sélectionnez l'entrée, cliquez sur Actions -> Associer l'adresse .

Cliquez sur la zone de saisie Instance et choisissez l'instance Windows dans la liste déroulante. Cliquez sur Associer pour associer cette adresse IP Elastic à l'instance Windows.

Revenez au menu Instances, vous pouvez maintenant voir que l'instance Windows est désormais associée à l'adresse IP Elastic.

Avec toutes les étapes ci-dessus, l'hôte AWS EC2 Windows est maintenant prêt.

 

Partie 2 : Installer le contrôleur EAP sur EC2

 

2.1 Se connecter à Windows via Remote Desktop

Dans la console EC2 , sélectionnez l'instance Windows et cliquez sur Connecter .

Vous pouvez vous connecter à votre instance Windows à l'aide d'un client de bureau à distance de votre choix, et en téléchargeant et en exécutant le fichier de raccourci RDP comme indiqué dans les instructions.

Avant de vous connecter via RDP, vous devez obtenir le mot de passe à l'aide de votre fichier de clé enregistré lors des étapes précédentes. Téléchargez le fichier de clé, puis choisissez Décrypter le mot de passe pour obtenir votre mot de passe.

Avec le nom d'utilisateur/mot de passe fourni, vous pouvez maintenant vous connecter à l'instance Windows via le client de bureau à distance (RDP) à partir de n'importe quel PC distant, où que vous soyez.

 

2.2 Télécharger et installer le contrôleur EAP sur EC2

Remarque : Lorsque IE ESC est activé, vous obtenez une fenêtre contextuelle tout le temps et vous êtes invité à ajouter chaque nouvelle URL à la zone des sites de confiance IE. Vous souhaiterez peut-être désactiver temporairement IE ESC pour faciliter le téléchargement du contrôleur EAP à partir des sites Web officiels de TP-LINK.

Pour désactiver la sécurité renforcée d'IE dans Windows Server 2012 R2, lancez le  Gestionnaire de serveur , sur le côté gauche, cliquez sur  Serveur local. Sur le côté droit, cliquez sur le  lien  On à côté de IE Enhanced Security Configuration .

Dans les fenêtres d'invite, cliquez sur  Off  pour désactiver  IE ESC .

Ensuite, visitez www.tp-link.com , recherchez n'importe quel modèle de la série EAP, par exemple EAP220. Dans la page du produit, accédez à la page Support et téléchargez le dernier contrôleur EAP sous l' onglet Utilitaire .

Après le téléchargement, extrayez le zip et installez le contrôleur EAP via l'assistant de configuration.

   

Après l'installation, lancez EAP controller.exe et terminez l'assistant de configuration rapide. Notez le nom d' utilisateur/mot de passe , puis laissez le contrôleur EAP fonctionner.

Maintenant, tout de l'instance EC2 est prêt. Vous pouvez maintenant laisser l'EC2 fonctionner puisque ses paramètres sont tous terminés.

Vous pouvez accéder à l'interface utilisateur Web du contrôleur à partir d'un PC distant via l'URL Https://Elastic IP:8088

Les étapes suivantes sont effectuées du côté EAP.

 

Partie 3 : Paramètres côté EAP

Prenez toujours la topologie suivante comme exemple.

Tout d'abord, les EAP doivent avoir accès à Internet, ce qui signifie que vous devez leur attribuer des paramètres IP/passerelle corrects via DHCP (recommandé) ou une configuration manuelle. Les EAP sont par défaut DHCP, cela ne devrait donc pas poser de problème tant qu'il existe un service DHCP approprié sur le réseau local.

Vient ensuite la partie la plus importante. Du côté EAP, l'adresse IP publique du contrôleur, dans l'exemple ci-dessus, 54.169.xx doit être configurée dans chaque périphérique EAP, afin que les EAP puissent savoir où trouver le contrôleur EAP via Internet. Il existe deux méthodes pour configurer l'adresse IP du contrôleur dans les EAP.

 

Méthode 1. Via EAP Discover Utility

1. Téléchargez le contrôleur EAP à partir du site Web TP-LINK. Installez le contrôleur EAP sur un PC du site Branche 1. Le PC doit se trouver dans le même sous-réseau IP que les EAP. Dans l'exemple, il s'agit de PC1.
2. Exécutez EAP Discover Utility (vous le trouverez dans C:\Program Files (x86)\ TP-LINK\EAP Controller\bin  si vous n'avez pas modifié le chemin d'installation). Tous les appareils EAP du réseau local seront répertoriés.

3. Étant donné que tous les EAP ont le même  nom d' utilisateur  et  mot de passe,  vous pouvez utiliser  le réglage par lots  pour définir l'IP du contrôleur pour tous. Si vos appareils EAP ont un nom d'utilisateur et un mot de passe différents, vous pouvez utiliser le  bouton de gestion  pour définir respectivement le nom d'hôte/IP du contrôleur.

4. Attendez que l'état s'affiche comme  Setting Succeed .

5. Un peu plus tard, les EAP seront affichés en tant qu'AP en attente sur le contrôleur en attente d'adoption et de gestion. Vous pouvez les adopter en utilisant le nom d'utilisateur/mot de passe de l'EAP. (Par défaut : admin/admin)

6. Pour les EAP situés dans la branche 2, utilisez les mêmes méthodes pour définir l'adresse IP du contrôleur. 

 

Méthode 2. Définir l'option 138 sur le serveur DHCP

Les appareils EAP peuvent demander l'adresse IP du contrôleur via l'option 138 via DHCP.

Prenons la branche 1 comme exemple.

1. Supposons que le serveur DHCP de la branche 1 soit capable de configurer des options DHCP variables. Définissez l'adresse IP du contrôleur comme valeur de l'option 138.
2. Tous les EAP du réseau local connaîtront automatiquement l'adresse IP du contrôleur via la communication DHCP juste après le démarrage.

La façon de définir l'option 138 sur le serveur DHCP varie d'une implémentation à l'autre, ce qui sort du cadre de ce document. Veuillez consulter la documentation du serveur DHCP pour obtenir de l'aide. Les deux exemples ci-dessous utilisés dans notre test sont pour votre référence.

 

CLI de Cisco IOS :

test de pool ip dhcp

réseau 192.168.1.0 255.255.255.0

routeur par défaut 192.168.1.1

serveur DNS 8.8.8.8

option 138 IP 56.169.xx

Pour plus de détails, veuillez consulter le  site Web de Cisco .

 

MikroTik RouterOS CLI :

# Supposons que vous avez déjà configuré un serveur DHCP avec le numéro d'élément 0

#0xC0000002 equeals 56.169.x.x

/option dhcp-server ip ajouter le code=138 nom=valeur du contrôleur=0xC0000002

/ip dhcp-server network set 0 dhcp-option=controller

Pour plus de détails, veuillez vous référer au  manuel MikroTik .

 

Cet article s'applique au contrôleur EAP 2.0.3 et aux contrôleurs non basés sur le cloud ultérieurs.