Нашият USG FLEX защитна стена може да бъде управлявана и конфигурирана чрез Nebula Control Center (NCC) от фърмуер ZLD5.00 и по-нататък. Серията ATP може да се управлява в NCC от фърмуер ZLD5.10. Това ръководство показва как да добавите устройството в Nebula чрез процеса ZTP и да предварително конфигурирате настройките на защитната стена в Nebula, преди да доставите устройството за инсталация на място. Тази статия показва как да регистрирате вашата защитна стена в Nebula. Тя е разделена на различни секции, така че моля, навигирайте до съответната за вас секция в съдържанието.
 Забележка: Режимът ZTP не е наличен от версия 5.37 patch 1, затова трябва да внедрите устройството в Nebula чрез нативен режим. Ето засегнатите модели. Серия ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Серия USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Защо не мога да използвам ZTP или нативен режим за внедряване на моята защитна стена в Nebula?

Ако срещнете затруднения при добавянето на вашето устройство в Nebula, това може да означава, че устройството ви е произведено преди края на 2023 г. и изисква завършване на процеса Zero Touch Provisioning (ZTP). За да продължите, следвайте тези стъпки:

• Понижете версията на фърмуера на вашето устройство
• Преминете през процеса ZTP според изискванията
• След успешно добавяне, обновете устройството до най-новата версия на фърмуера

Как да регистрирате вашата защитна стена в Nebula (видеа)

Забележка: Вашето устройство трябва да бъде нулирано до фабрични настройки, за да се свърже с Nebula, като се загубят всички предишни настройки, които може да са били конфигурирани. След като се свърже с Nebula, устройството ще бъде конфигурирано автоматично с подразбиращите се настройки на Nebula. Моля, обърнете внимание, че има някои ограничения и следните функции все още не са налични в облачния режим за USG FLEX:

• Устройство HA
• Защита на електронната поща (Анти-спам)
• SSL инспекция
• Динамично маршрутизиране (RIP, OSPF, BGP)
• Свързани функции за IPv6
• AP контролер (Nebula Control Center трябва да се използва като AP контролер вместо това)
• Hotspot услуга (Nebula Control Center вече поддържа hotspot услуги като Ваучер, Walled garden)

Лицензиране

• Лицензиране на вашия USG FLEX в Nebula Control Center

Ако вашият USG Flex идва с включен лиценз, автоматично ще получите Nebula Professional Pack за 1 година за вашето устройство. Лицензът за UTM услугата ще бъде пренесен безпроблемно в Nebula, независимо от оставащото време.

В случай, че вашият USG не е с включен лиценз, все още ще имате 30-дневен пробен период за вашите UTM услуги. Услугите на Nebula PRO Pack също включват автоматично 30-дневен пробен период при създаването на вашата организация.

Пробният лицензен период важи и за вашето устройство с включен лиценз.

• Мигриране на съществуващия ми NSG лиценз (NSS) към USG FLEX (UTM)

За да мигрирате лиценза от вашия NSG към USG FLEX в облака, следната таблица за съответствие важи. Например, NSG 100 може да мигрира своя лиценз само към USG FLEX 200 и не може да мигрира лиценз към други модели USG FLEX.

В случай че вашият USG FLEX 100 вече има 1-годишен лиценз, след мигриране на оставащия лиценз от NSG50 (например: 6 месеца) към USG FLEX 100, последният ще има лиценз за 1 и половина година за използване.

Моля, подайте Заявка за поддръжка, и нашият екип с удоволствие ще ви помогне да разрешите проблема с миграцията на лиценза с необходимия приоритет.

Избиране на Nebula режим чрез Web GUI

След като вашето устройство работи с версия 5.10 и използва фабричните настройки по подразбиране, при първото влизане в уеб конфигуратора ще се изисква актуализация на администраторската парола по подразбиране ("1234").

• Nebula режим

Изберете Nebula режим, за да управлявате вашето Zyxel устройство чрез Nebula Control Center (NCC). NCC е облачна система за управление на мрежи, която ви позволява да управлявате и наблюдавате вашето Zyxel устройство дистанционно.

Следвайте съветника за Nebula режим, за да конфигурирате WAN настройките и да предадете управлението на вашето Zyxel устройство на NCC.

След като режимът на управление и WAN на устройството са конфигурирани и имат достъп до интернет, можете да продължите към Nebula за по-нататъшна настройка. Повече информация има в секцията "Nebula нативен режим"

• Мигриране дистанционно от локален режим към Nebula режим

Дори ако имате статични IP настройки или фабрични настройки по подразбиране, можете да превключите решението си за локално управление към облачен режим Nebula дистанционно чрез Web GUI. Обърнете внимание, че устройството ще бъде възстановено до фабрични настройки и конфигурациите ще бъдат загубени. В Nebula Фаза 13 не е нужно да посещавате мястото за фабрично нулиране преди миграция към Nebula. Сега можете да го направите отдалечено.

Изискванията за дистанционно мигриране към Nebula са, че защитната стена:

• Трябва да е в Nebula нативен режим, което означава, че трябва да има ZTP сертификат
• Устройството трябва да е онлайн (необходим е достъп до WAN (интернет))

Забележка: Ако имате устройството в локален режим, може да пропуснете стъпка "Nebula нативен режим"

• Създайте организация и сайт

Ако все още не сте създали организация и сайт в Nebula, моля, следвайте предоставената статия. След като завършите тази стъпка, можем да продължим с процеса на регистрация.
Nebula [Сайт/Организация] - Как да създам/изтрия организация и сайт в Nebula Control Center?

Конфигуриране на защитната стена в портала Nebula

Преди да направите тези стъпки, моля, имайте предварително топологията на мрежата, настройките на защитната стена и WAN конфигурацията. Тази информация ще ви позволи да предварително конфигурирате настройките на защитната стена преди тя да бъде включена в Nebula. Защитната стена автоматично ще синхронизира тази конфигурация, когато се свърже с Nebula. При създаване на сайта можете да посочите модела на вашата защитна стена без да я добавяте. Това позволява предварително конфигуриране на някои параметри преди добавяне на самото устройство.

• Настройки на порт групите

Site-wide -> Configure -> Firewall -> Port

• За конфигуриране на WAN/LAN порт групи или добавяне на WAN/LAN групи, за да съответстват на вашия сценарий.

• Конфигурирайте WAN настройките, ако имате статичен IP

Site-wide -> Configure -> Firewall - interfaces

•  за промяна на IP адресите на WAN/LAN интерфейсите, за да съответстват на вашия сценарий.

Регистриране на защитната стена и избор на метод за внедряване

Ръчен режим

Отидете на Site-wide -> License & Inventory

Влезте в страницата на устройството и кликнете на "Add", за да регистрирате защитната стена. Можете да регистрирате няколко устройства, като въведете MAC адреса и сериен номер

След това можете да присвоите устройството на правилния сайт. Може да имате няколко устройства в една организация, от тук можете да изберете конкретно устройство и да го присвоите на съответния сайт:

Ще се появи изскачащ прозорец, където можете да изберете метода за внедряване на устройството.

Режим Zero Touch Provision

При първото записване на устройството в Nebula трябва да се използва режим Zero Touch Provision, тъй като устройството изисква процеса ZTP, за да стане облачно съвместимо. Отидете на Изпълнение на ZTP процес

Нативният режим на Nebula

Когато първо регистрирате устройството си в Nebula, трябва да се уверите, че имате ZTP сертификат на устройството. При всички устройства защитната стена първо трябва да премине през процеса ZTP веднъж. При по-новите устройства ZTP сертификатът вече може да е наличен в защитната стена (моля, проверете дали имате ZTP сертификат тук - ако нямате ZTP сертификат, трябва да направите процеса ZTP и не можете да използвате нативния режим, за да осъществите връзка на защитната стена онлайн).

• Нулирайте устройството до фабричните настройки

Ако искате да мигрирате от Stand-alone режим към Nebula, първо трябва да нулирате устройството, като натиснете бутона RESET, разположен отпред на устройството (задръжте го за 15 секунди). Ако по време на процеса промените дори и най-малката настройка (например администраторската парола), миграцията няма да успее.

• Проверете дали имате DHCP или статичен IP на WAN

Ако имате статичен IP на WAN, трябва да влезете в устройството чрез Web GUI, да изберете Nebula режим и да въведете необходимата IP информация за установяване на връзка:

Ако имате статичен IP на WAN, преминете през съветника по-долу и след като приключите, преминете към стъпка 2 - регистриране на устройството:

• Изберете нативния режим

Свържете WAN порта към порта, посочен на картинката (в този пример P2) и LAN към показания порт (в този пример P4) - Забележка: Нищо друго не трябва да бъде свързано

• Трябва да можете да видите, че устройството чака да се свърже с Nebula (под Devices -> Firewall):

Защитната стена трябва да направи бързо рестартиране и след рестарта устройството трябва да се появи онлайн в рамките на 20 минути.

Отстраняване на проблеми - "Waiting device connected" [Проверка на ZTP сертификата]

Ако вашето устройство е заседнало в нативен режим "Waiting for a device connected", трябва да проверите дали имате ZTP сертификат:

Влезте чрез SSH в устройството (използвайки програмата Putty или Teraterm) и въведете show native mode cert file status: 

Ако получите грешка или сертификатът липсва, все още не сте направили процеса ZTP на тази защитна стена и трябва да използвате процеса ZTP този път. Също така може да нямате фърмуер версия 5.10 и трябва да обновите защитната стена преди да използвате нативния режим.

• Мигриране от локален режим към Nebula режим в Web GUI

Отидете на Configuration -> Mgmt. & Analytics -> Nebula, след това кликнете на Apply и Go To Nebula

Ще се появи изскачащ прозорец и трябва да кликнете на да:

След това изчакайте устройството да се появи онлайн в Nebula.

Изпълнение на ZTP процес

Видеата, показани в началото на статията, показват целия процес с изключение на последната част, която е различна. Тази последна част съответства на процеса ZTP, за който са налични два метода, показани във видеото. Този метод е описан в следващите 2 под-секции.

За процеса ZTP е необходимо да се уточни как ще се настрои WAN връзката (DHCP/PPPoE/Статичен IP) и да се посочи имейл адрес, на който ще бъде изпратен имейлът, съдържащ линк и JSON файл. Опцията "Ще инсталирам защитната стена сам" изпраща имейла към акаунта, който добавя устройството в момента към сайта. Възможно е да се посочи и друг имейл акаунт, за да може инсталатор да изпълни процеса ZTP.

• Активирайте облачната функционалност на защитната стена чрез URL

След като устройството е с най-новия фърмуер, включете захранването и включете защитната стена. Изчакайте SYS LED да светне в зелено. След това свържете WAN (P2) интерфейса към интернет.

Свържете LAN (P4) интерфейса към компютъра.

Отворете имейла, получен от Nebula, и кликнете на "Разреши на Nebula да управлява моето устройство".
 

Изчакайте докато Zero Touch Provisioning на Nebula завърши успешно. Кликнете на "Отиди в Nebula Control Center", за да достъпите Nebula.

Устройството ще отнеме няколко минути, за да се свърже с Nebula и да стане онлайн.

Забележка: Ако имате устройство като AP вече свързано на порт 4 на USG FLEX и AP вече предоставя Wi-Fi мрежа в подсет 192.168.1.1/24, можете да изпълните ZTP чрез URL от всяко устройство, свързано към Wi-Fi мрежата, което позволява да го направите от мобилно устройство.

• Активирайте облачната функционалност на защитната стена чрез USB

Алтернативно, можете да активирате защитната стена чрез USB стик. Копирайте файла, прикачен в имейла от Nebula, на нов/чист USB (FAT32) и го свържете към USB порта на защитната стена. Включете защитната стена, SYS LED мига червено при свързване към Nebula и свети зелено, когато е свързана.

Отидете в таблото на Nebula, за да проверите статуса на шлюза.

Устройството ще отнеме няколко минути, за да се свърже с Nebula и да стане онлайн.

Отстраняване на проблеми

• Интернет връзката е прекъсната - Проверете интернет връзката

Уеб браузърът показва, че интернет връзката е прекъсната, когато се опитате да отворите URL от имейла.

Проверете интернет връзката си и се уверете, че сте свързани към WAN (P2) интерфейса. След това кликнете на "Retry", за да повторите ZTP.

Можете също да кликнете на "Network Test Tools", за да влезете в уеб GUI на устройството за допълнително отстраняване на проблеми. Потребителят е "support", а паролата е сериен номер на защитната стена.

Ако имате статичен IP / PPPoE връзка, проверете дали сте въвели правилно статичната IP информация на устройството локално:

Отидете на Configuration -> WAN Settings и проверете дали всичко е попълнено правилно

• Zero Touch Provisioning (ZTP) не успява, защото устройството не е в състояние на фабрични настройки

Задръжте бутона за нулиране за 5 секунди, за да върнете устройството до фабрични настройки. След това кликнете на URL, за да повторите ZTP.

• ZTP чрез USB: SYS LED не спира да мига червено

Nebula таблото показва, че защитната стена е офлайн.
Ако ZTP чрез USB не успее, проверете интернет връзката. Отворете файла ztpresult.log в USB, за да проверите статуса.

Ето един пример:

ZTP не успява, защото няма съвпадащ ZTP файл в USB за това устройство. Моля, уверете се, че копирате правилния ZTP файл.

• Nebula режим не се показва при достъп до Web GUI

Можете да обновите устройството си чрез уеб интерфейса на устройството или чрез ZON utility. Тази статия показва как да го направите чрез ZON utility.

Уверете се, че сте инсталирали ZON на компютъра си. Ако не, можете да го изтеглите тук:

Zyxel One Network Utility (ZON)

Свържете захранването към източника на захранване и включете защитната стена. Изчакайте SYS LED да светне в зелено. Свържете компютъра към порт 4 (P4) на защитната стена.

Отворете ZON на компютъра, за да сканирате защитната стена. Изберете защитната стена и кликнете на "Firmware Upgrade":

Изберете най-новата версия на фърмуера от облака и въведете паролата по подразбиране “1234”, за да обновите. Процесът на обновяване отнема около 5 минути.

Лицензиране за серия USG FLEX

• Включено Nebula лицензиране за вашия USG FLEX в Nebula Control Center

Ако вашият USG Flex е с включен лиценз, автоматично ще получите Nebula Professional Pack за 1 година за вашето устройство. Лицензът за UTM услугата ще бъде пренесен безпроблемно в Nebula, независимо от оставащото време.

В случай, че вашият USG не е с включен лиценз, все още ще имате 30-дневен пробен период за вашите UTM услуги. Услугите на Nebula Pro Pack също включват автоматично 30-дневен пробен период при създаването на вашата организация.

Пробният лицензен период важи и за вашето устройство с включен лиценз.

• Мигриране на съществуващия ми NSG лиценз (NSS) към USG FLEX (UTM)

За да мигрирате лиценза от вашия предишен NSG към USG FLEX в облака, следната таблица за съответствие важи. Например, NSG 100 може да мигрира своя лиценз само към USG FLEX 200 и не може да мигрира лиценз към други модели USG FLEX.

В случай че вашият USG FLEX 100 вече има 1-годишен лиценз, след мигриране на оставащия лиценз от NSG50 (например: 6 месеца) към USG FLEX 100, последният ще има лиценз за 1 и половина година за използване.

• Ограничения при преминаване към Nebula режим

Има някои ограничения и следните функции все още не са налични в облачния модел за USG FLEX:

- Устройство HA
- Защита на електронната поща (Анти-спам)
- SSL инспекция
- Динамично маршрутизиране (RIP, OSPF, BGP)
- Свързани функции за IPv6
- AP контролер (Nebula Control Center трябва да се използва като AP контролер вместо това)
- Hotspot услуга (Nebula Control Center вече поддържа hotspot услуги като Ваучер и Walled garden)

Ако срещнете други проблеми, не се колебайте да се свържете с нашия екип за поддръжка.