1. SOBRE O PROJETO
A descrição deste documento atende projetos compostos por:
• Servidor KeyAccess hospedado em plataforma;
• Controladoras KeyAccess;
• Leitores faciais marca Hikvision.
2. KEYACCESS SERVER – DADOS DE ACESSO
Os dados que servirão de base da implantação serão fornecidos após a aberturado do chamado, com a criação do servidor em nuvem.
As informações básicas são:
• Endereço de acesso ao servidor KeyAccess;
• Porta UDP para conexão da controladora ao servidor;
• ID da licença que deverá ser configurado na controladora KeyAccess utilizando o menu DNS Options => Type: RETAIL => ID: 000000000[x];
• Portas de comunicação com facial.
3. PRÉ-REQUISITO DE LINK PARA SERVIDORES KEYACCESS EM NUVEM
O link do cliente NÃO PODE estar atrás de um CGNAT (carrier-grade NAT; um sub-roteador do lado da operadora que agrupa vários clientes na região, entregando a eles um IP INACESSÍVEL NA INTERNET no range 100.64.0.0/10).
Para saber se está atrás de um CGNAT ou se tem um endereço válido e próprio, ainda que com IP dinâmico, na internet, consulte um site de verificação de IPs (meuip.com.br; whatismyipaddress.com etc.) e veja se o IPv4 (não IPv6) está no range 100.xxx.yyy.zzz ou se é um outro IPv4 válido para a internet.
Caso suspeite fortemente que esteja atrás de um CGNAT, consulte a operadora sobre a possibilidade de troca do link para um com endereço válido na internet (sem CGNAT), caso contrário, não será possível a comunicação com início de conexão bidirecional (o terminal facial fica inacessível para o servidor KeyAccess em nuvem).
Em caso de maiores dúvidas, leia o artigo https://pt.wikipedia.org/wiki/Carrier_Grade_NAT.
4. ARQUITETURA
A arquitetura básica compreende um servidor KeyAccess em nuvem que estabelece a comunicação com os leitores faciais da marca Hikvision e as controladoras KeyAccess.
FIGURA 01: Diagrama 1
A comunicação deve ser plena. Para tanto, é necessário que o cliente realize configurações em sua rede para que os dispositivos possam interagir com o servidor em nuvem.
No exemplo a seguir, o projeto é composto por um servidor KeyAccess em nuvem, cinco controladoras KeyAccess e cinco dispositivos de reconhecimento facial marca Hikvision.
FIGURA 02: Diagrama 2
4.1. Leitores faciais Hikvision
Os leitores faciais devem ser encontrados a partir da rede externa. O cliente deve estabelecer as configurações de forma que o servidor KeyAccess possa encontrar os dispositivos Hikvision. Caso não haja um IP fixo público na estrutura de entrada do modem do cliente, poderá ser utilizada a plataforma DynDNS para criar uma conta que gere uma rota apontando para a estrutura local.
As portas 7824, 7825, 7826, 7827 e 7828 precisam ser associadas ao IP externo.
O diagrama 3 estabelece o relacionamento entre o IP externo e as cinco portas externas com os IP internos e portas internas configurados nos dispositivos de reconhecimento facial.
Atenção:
Os IPs que constam no diagrama são fictícios, portanto, as configurações devem ser realizadas de acordo com as informações passadas pelo time de TI do cliente. No exemplo a seguir, utilizamos um IP fixo fictício 200.212.111.22 e IPs internos 192.168.1.10, 192.168.1.11, 192.168.1.12, 192.168.1.13 e 192.168.1.14. O time de TI do cliente deve configurar as chamadas que serão realizadas a partir do servidor KeyAccess em nuvem para os dispositivos instalados nas dependências do cliente.
Por exemplo: A chama do KeyAccess Server em nuvem para o IP externo 200.212.111.22:7824 deve ser direcionada para 192.168.1.10:443.
FIGURA 03: Diagrama 3
Para maiores informações sobre as configurações no roteador veja o item 4.2.
Segue um exemplo de configuração do dispositivo facial no servidor KeyAccess em nuvem, considerando o IP externo 200.212.111.22 e a porta 7824. Observe que neste caso o campo IP/Nome do servidor foi preenchido com o IP fixo externo fornecido pelo cliente e o campo Porta de comunicação do servidor com a porta externa.
4.2. CONFIGURAÇÕES NO ROTEADOR
De forma a permitir que haja comunicação pelo canal seguro HTTPS entre o servidor KeyAccess na nuvem e o terminal facial no local, é necessária a liberação e roteamento de portas no NAT (Network Address Translator = tradutor de endereços IP e portas entre redes externa e interna) do roteador da operadora de serviços de internet no site do cliente.
O roteador da operadora, em seu NAT, possui por padrão um firewall que bloqueia início de conexões da WAN (internet) para a LAN (rede interna). É uma segurança intrínseca que ajuda a evitar ataques externos.
Porém, nessa configuração padrão, também inviabiliza aplicações como esta, onde ambos os elementos (terminal facial e servidor KeyAccess) iniciam conexões (agem como servidores de forma mútua).
De forma a permitir essa comunicação, precisaremos liberar (abrir e rotear) uma porta do roteador para a internet, redirecionando conexões ao IP na internet deste roteador e na porta específica para o IP e porta internos do terminal facial. Para isso, você deve configurar seu roteador para realizar PORT FORWARDING (em alguns roteadores mais novos, esse recurso se chama criar um VIRTUAL SERVER).
OBS: Algumas operadoras bloqueiam, em outros roteadores mais acima em sua rede, a conexão de portas padrão como 80 e 443. Ainda, POR QUESTÕES DE SEGURANÇA (ex: mitigar ação de robôs hackers que ficam explorando conexões em portas padrão para realizar tentativas de invasão), é altamente recomendado escolher uma porta PARA A INTERNET, no redirecionamento, fora dos valores padrão definidos pela IANA (simplificando – exemplo: redirecione a porta 443 do terminal facial para a porta 7834 ou outro valor não utilizado) – maiores informações sobre tabela IANA: https://pt.wikipedia.org/wiki/Lista_de_portas_dos_protocolos_TCP_e_UDP
A Figura 04 mostra um exemplo disso realizado em um roteador da operadora Vivo. Seu roteador pode ser diferente (de outra operadora, outro fabricante etc.) mas entender o conceito é o mais importante para que você realize a operação similar em seu roteador, consultando o manual do mesmo ou vídeos que expliquem como realizar tal operação no seu modelo. Caso não consiga realizar o procedimento, consulte um especialista em redes.
OBS: O servidor KeyAccess deve ter o IP e a porta do terminal facial configurados para o IP válido na internet do roteador da operadora e a porta escolhida para forwarding (7834 no exemplo acima).
FIGURA 04: Exemplo de Port Forwarding ou Virtual Server em roteador da operadora Vivo. Neste caso, a porta interna TCP 443 do IP do terminal facial foi conectada a porta TCP 7834 do IP valido na internet do roteador. Tudo o que entra via 7834 chega na 443 do terminal facial.
4.3. Controladoras Keyaccess
A controladora KeyAccess deve receber as configurações de rede local fornecidas pelo cliente com liberação de acesso para a Internet.
O endereço do servidor KeyAccess em nuvem e a porta de comunicação UDP devem estar liberadas, caso contrário, as controladoras ficarão em modo offline.
5. CONFIGURAÇÕES NO SERVIDOR KEYACCESS
As configurações do servidor KeyAccess, controladoras e dispositivos de reconhecimento facial serão realizados pelo time de implantação de acordo com os IPs e portas informados pelo cliente.