Нашата защитна стена USG FLEX може да бъде управлявана и осигурявана от Центъра за управление Nebula (NCC) от фърмуера ZLD5.00 и нататък. Серията ATP може да се управлява в NCC от фърмуера ZLD5.10. Това ръководство показва как да добавите устройството в Nebula, като използвате процеса ZTP, и да конфигурирате предварително настройките на защитната стена в Nebula, преди да доставите устройството за инсталиране на място. Тази статия показва как да регистрирате защитната стена в Nebula. Тя е разделена на различни раздели, така че, моля, преминете към съответния за вас раздел в таблицата със съдържание.
Забележка: Режимът ZTP не е наличен от версия 5.37 пач 1, така че трябва да разположите устройството в Nebula, като използвате естествен режим. Ето и засегнатите модели. Серия ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Серия USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Защо не мога да използвам ZTP или роден режим за инсталиране на защитна стена в Nebula?

Ако срещнете трудности при добавянето на вашето устройство към Nebula, това може да означава, че вашето устройство е произведено преди края на 2023 г. и изисква завършване на процеса Zero Touch Provisioning (ZTP). За да продължите, следвайте следните стъпки:

• Намалете фърмуера на устройството си
• Преминете през процеса ZTP, както е необходимо
• След успешно добавяне актуализирайте устройството до най-новата версия на фърмуера

Как да регистрирате защитната си стена в Nebula (Видеоклипове)

Забележка: Вашето устройство трябва да бъде възстановено по подразбиране, за да се свърже с Nebula, като се загубят всички предишни настройки, които може да са били конфигурирани. След като бъде свързано към Nebula, устройството ще бъде конфигурирано автоматично с настройките по подразбиране на Nebula. Моля, обърнете внимание и на това, че има някои ограничения и следните функции все още не са налични в облачен режим за USG FLEX:

• HA на устройството
• Сигурност на електронната поща (Anti-Spam)
• Проверка на SSL
• Динамично маршрутизиране (RIP, OSPF, BGP)
• Свързани функции на IPv6
• Контролер на AP (вместо това трябва да се използва контролен център Nebula като контролер на AP)
• Услуга за горещи точки (Nebula Control Center вече поддържа услуги за горещи точки като Voucher, Walled garden)

Лицензиране

• Лицензиране на вашия USG FLEX в контролния център Nebula

Ако вашият USG Flex е доставен с включен в комплекта лиценз, автоматично ще ползвате Nebula Professional Pack за 1 година за вашето устройство. Лицензът за услугата UTM безпроблемно ще бъде пренесен към Nebula, независимо от оставащото му време.

В случай че вашето USG не е било снабдено с лиценз за пакета, все пак ще можете да се възползвате от 30-дневния пробен период за вашите UTM услуги. Услугите Nebula PRO Pack също включват 30-дневен пробен период автоматично, докато се създава вашата организация.

Периодът на пробния лиценз важи и за вашето устройство с пакетния лиценз.

• Мигриране на съществуващия ми лиценз за NSG (NSS) към USG FLEX (UTM)

За да мигрирате лиценза от вашия NSG към USE FLEX в облака, се прилага следната таблица за съпоставяне. Например NSG 100 може да мигрира своя лиценз само към USG FLEX 200 и не може да мигрира лиценз към други модели USG FLEX.

В случай че вашият USG FLEX 100 вече има едногодишен лиценз, след като прехвърлите оставащия лиценз от NSG50 (например: 6 месеца) към USG FLEX 100, последният ще има лиценз за 1 година и половина, който може да се използва.

Моля, подайте заявка за поддръжка и нашият екип с удоволствие ще ви помогне да разрешите проблема с миграцията на лиценза с необходимия приоритет.

Избор на режим Nebula чрез уеб графичен интерфейс

След като устройството ви работи с версия 5.10 и използва фабричните настройки по подразбиране, при първия опит за влизане в уеб конфигуратора ще се изисква актуализация на паролата на администратора по подразбиране ("1234").

• Nebula Режим

Изберете Nebula Mode (Режим Nebula), за да управлявате устройството Zyxel с помощта на Nebula Control Center (NCC). NCC е базирана в облака система за управление на мрежата, която ви позволява да управлявате и наблюдавате вашето Zyxel Device от разстояние.

Следвайте съветника за режим Nebula, за да конфигурирате настройките на WAN, за да предадете управлението на вашето устройство Zyxel на NCC.

След като режимът за управление и WAN на устройството са конфигурирани, позволявайки достъп до интернет, можете да преминете към Nebula за по-нататъшни настройки. Повече информация е представена в раздела "Nebula native mode" (Роден режим Nebula).

• Мигриране от разстояние от локален към Nebula режим

Дори ако имате статични IP настройки или фабрични настройки по подразбиране, можете да превключите вашето локално решение за управление към режим Nebula Cloud дистанционно с помощта на уеб графичния потребителски интерфейс. Имайте предвид, че устройството ще бъде нулирано в заводски режим и конфигурациите ще бъдат загубени. При Nebula Фаза 13 не е необходимо да ходите на място, за да нулирате фабрично устройството, преди да мигрирате към Nebula. Сега можете да го направите от разстояние.

Изискванията за мигриране от разстояние към Nebula са защитната стена да е изправна:

• Трябва да е в режим Nebula Native Mode, което означава, че трябва да съдържа сертификата ZTP
• Устройството трябва да е онлайн (необходим е достъп до WAN (интернет)).

Бележка: Ако устройството е в локален режим, можете да пропуснете стъпка "Nebula native mode".

• Създаване на организация и сайт

Ако все още не сте създали организация и сайт Nebula, моля, следвайте предоставената статия с връзки. След като завършите тази стъпка, можем да продължим с процеса на регистрация.
Nebula [Сайт/организация] - Как да създам/изтрия организация и сайт в Центъра за управление Nebula?

Конфигуриране на защитната стена в портала Nebula

Преди да извършите тези стъпки, моля, разполагайте предварително с топологията на мрежата, настройките на защитната стена и конфигурацията на WAN. Тази информация ще ви позволи предварително да конфигурирате настройките на защитната стена, преди да бъдат включени в портала Nebula. Защитната стена автоматично ще синхронизира тази конфигурация, когато се свърже с Nebula. Когато създавате сайта, можете да посочите модела на защитната стена, без да я добавяте. Това дава възможност за предварително конфигуриране на някои параметри, преди да добавите самото устройство.

• Настройки на групата портове

Site-wide -> Configure -> Firewall -> Port

• За да конфигурирате групите портове WAN/LAN или да добавите групи WAN/LAN, които да отговарят на вашия сценарий.

• Конфигуриране на настройките за WAN, ако имате статичен IP адрес

Site-wide -> Configure -> Firewall - interfaces

• за промяна на IP адресите на WAN/LAN интерфейса, за да съответстват на вашия сценарий.

Регистрирайте защитната стена и изберете метода на внедряване

Ръчен режим

Go to Site-wide -> License & Inventory

Влезте в страницата на устройството и щракнете върху "Add" (Добавяне), за да регистрирате защитната стена. Можете да регистрирате няколко устройства, като въведете MAC адреса и серийния номер

След това можете да присвоите устройството към правилния сайт. Възможно е да имате няколко устройства в една организация, като оттук можете да изберете конкретно устройство и да го присвоите към съответния сайт:

Ще се появи изскачащ прозорец, в който можете да изберете метода на разполагане на устройството.

Режим на предоставяне с нулево докосване

За първи път, когато устройството се записва в Nebula, трябва да се използва режим Zero Touch Provision (Предоставяне с нулево докосване) , тъй като устройството се нуждае от процеса ZTP, за да стане способно да работи в облака. Отидете на Изпълнение на ZTP процес

Нативен режим Nebula

Когато за пръв път регистрирате устройството си в Nebula, трябва да се уверите, че на устройството ви има ZTP сертификат. Във всички устройства защитната стена трябва първо да премине веднъж през процеса ZTP . В по-новите устройства сертификатът ZTP може вече да е в защитната стена (моля, проверете дали имате сертификат ZTP тук - ако нямате сертификат ZTP, трябва да извършите процеса ZTP и не можете да извършите естествения режим, за да включите защитната стена онлайн).

• Възстановете конфигурацията по подразбиране на устройството

Когато искате да мигрирате от режим Stand-alone (самостоятелен) към Nebula, първо трябва да нулирате устройството, като използвате бутона RESET (нулиране), разположен в предната част на устройството (задръжте го натиснат за 15 секунди). Ако по време на процеса промените дори най-малката настройка (например паролата на администратора), миграцията няма да успее.

• Проверете дали имате DHCP или статичен IP адрес на WAN

Ако имате статичен IP на WAN, трябва да влезете в устройството чрез уеб графичния интерфейс, да изберете режим Nebula и да въведете IP информацията, необходима за установяване на връзка:

Ако имате статичен IP на WAN, преминете през съветника по-долу и след като приключите, преминете към стъпка 2 - регистрирайте устройството:

• Изберете родния режим

Свържете порта WAN към посочения на картинката порт (в този пример P2), а LAN към посочения порт (в този пример P4) - Забележка: Не трябва да се свързва нищо друго

• Трябва да можете да видите, че се чака устройството да се свърже с Nebula (в менюто Devices (Устройства) -> Firewall (Защитна стена)):

Сега защитната стена трябва да се рестартира бързо и след рестартирането устройството трябва да се включи в рамките на 20 минути.

Отстраняване на неизправности - "Waiting device connected" [Checking ZTP Certificate]

Ако устройството ви е заседнало в режим Native (Роден) "Waiting for a device connected" (Чакане на свързано устройство) - трябва да проверите два пъти дали имате ZTP сертификат:

Влезте чрез SSH в устройството (като използвате програмата Putty или Teraterm) и въведете show native mode cert file status:

Ако получите грешка или сертификатът не е там, значи все още не сте извършили процеса ZTP на тази защитна стена и трябва да използвате процеса ZTP този път. Възможно е също така да не разполагате с версията на фърмуера 5.10 и да трябва да обновите защитната стена, преди да използвате родния режим.

• Мигриране от локален режим към режим Nebula в уеб графичен интерфейс

Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula

След това ще се появи изскачащ прозорец и трябва да щракнете върху Да:

След това изчакайте устройството да се включи в режим Nebula.

Изпълнение на процеса ZTP

Видеоклиповете, показани в началото на статията, показват целия процес, като само последната част е различна. Тази последна част съответства на процеса ZTP, за който са налични два метода, както е показано във видеото. Този метод е разгледан в следващите 2 подраздела.

За процеса ZTP е необходимо да се посочи как ще бъде настроена WAN връзката (DCHP/PPPoE/Static IP) и да се посочи имейл адрес, на който ще бъде изпратено електронното писмо, съдържащо връзката и JSON файла. "Ще инсталирам защитната стена сам" изпраща имейла до акаунта, който в момента добавя устройството към сайта. Възможно е също така да посочите всеки друг имейл акаунт, за да може инсталаторът да стартира процеса ZTP.

• Активиране на облачната възможност на защитната стена чрез URL адрес

След като устройството е с най-новия работещ фърмуер, свържете захранващия порт към подходящ източник на захранване и включете защитната стена. Изчакайте светодиодът SYS да светне в зелено. След това свържете интерфейса WAN (P2) към интернет.

Свържете интерфейса LAN (P4) към компютъра.

Отворете електронното писмо, получено от Nebula, и щракнете върху "Allow Nebula to Manage My Device" (Разрешаване на Nebula да управлява моето устройство).

Изчакайте, докато Nebula Zero Touch Provisioning бъде успешно извършено. Щракнете върху "Go to Nebula Control Center" (Отиди в Центъра за управление на Nebula), за да получите достъп до Nebula

На устройството ще му отнеме няколко минути, за да се свърже с Nebula и да стане онлайн.

Забележка: Ако имате устройство като AP, което вече е свързано към порт 4 на USG FLEX, и AP вече предоставя Wi-Fi мрежа в подмрежата 192.168.1.1/24, можете да изпълните ZTP чрез URL от всяко устройство, свързано към Wi-Fi мрежата, което позволява да го направите от мобилно устройство.

• Активиране на облачната способност на защитната стена чрез USB

Като алтернатива можете да активирате защитната стена и чрез USB памет. Копирайте файла, приложен в имейла, изпратен от Nebula, на ново/чисто USB (FAT32) и го свържете към USB порта на защитната стена. Включете защитната стена, светодиодът SYS мига в червено, когато се свързва с Nebula, и постоянно в зелено, когато е свързан.

Отидете на таблото за управление Nebula, за да проверите състоянието на шлюза.

На устройството ще му отнеме няколко минути, за да се свърже с Nebula и да стане онлайн.

Отстраняване на неизправности

• Интернет връзката не работи - Проверете интернет връзката

Уеб браузърът показва, че интернет връзката е прекъсната, когато е осъществен достъп до URL адреса в имейла.

Проверете интернет връзката си и се уверете, че се свързвате към интерфейса WAN (P2). След това щракнете върху "Retry" (Повторение), за да извършите отново ZTP.

Можете също така да щракнете върху "Network Test Tools" (Инструменти за тестване на мрежата), за да влезете в уеб графичния интерфейс на устройството за по-нататъшно отстраняване на неизправности. Потребителят е "support" (поддръжка), а паролата е серийният номер на защитната стена.

Ако имате статична IP / PPPoE връзка, проверете два пъти дали сте въвели статичната IP информация на устройството локално:

Go to Configuration -> WAN Settings and double-check that everything is filled in correctly

• Zero Touch Provisioning (ZTP) не успява, защото това устройство не е в състояние по подразбиране

Моля, задръжте бутона за нулиране в продължение на 5 секунди, за да върнете устройството в състояние по фабрични настройки. След това щракнете върху URL адреса, за да извършите отново ZTP.

• ZTP чрез USB: Светодиодът SYS не спира да мига в червено

Nebula Информационното табло показва, че защитната стена е офлайн.
Ако ZTP чрез USB не успее, моля, проверете интернет връзката. Отворете ztpresult.log в USB, за да проверите състоянието.

Ето един пример:

ZTP не успява, защото в USB няма съответстващ ZTP файл за това устройство. Моля, уверете се, че сте копирали правилния ZTP файл.

• Режимът Nebula не се показва при достъп до уеб графичния интерфейс

Можете да актуализирате устройството си чрез интерфейса на уеб конфигуратора на устройството (проверете тук) или с помощта на помощната програма ZON. Тази статия показва как да го направите чрез помощната програма ZON.

Уверете се, че сте инсталирали ZON на вашия компютър. Ако не, можете да го изтеглите от тук:

Zyxel One Network Utility (ZON)

Свържете захранващия порт към източника на захранване и включете защитната стена. Изчакайте светодиодът SYS да светне в зелено. Свържете компютъра си към порт 4 (P4) на защитната стена.

Отворете ZON на компютъра си, за да сканирате защитната стена. Изберете защитната стена, след което щракнете върху "Firmware Upgrade" (Обновяване на фърмуера):

Изберете най-новата версия на фърмуера от облака и въведете паролата по подразбиране "1234", за да надстроите. Процесът на обновяване на фърмуера отнема около 5 минути

Лицензиране за серията USG FLEX

• Комплексно лицензиране на Nebula за вашия USG FLEX в Центъра за управление Nebula

Ако вашият USG FLEX е доставен с пакетно лицензиране, вие автоматично ще ползвате Nebula Професионален пакет от 1 година за вашето устройство. Лицензът за услугата UTM безпроблемно ще бъде пренесен към Nebula, независимо от оставащото му време.

В случай че вашето USG не е било доставено с пакетния лиценз, вие все пак ще се възползвате от 30-дневния пробен период за вашите UTM услуги. Услугите Nebula Pro Pack също включват 30-дневен пробен период автоматично, докато се създава вашата организация.

Периодът на пробния лиценз се отнася и за вашето устройство с пакетния лиценз.

• Мигриране на съществуващия ми лиценз за NSG (NSS) към USG FLEX (UTM)

За да мигрирате лиценза от вашия предишен NSG към USE FLEX в облака, се прилага следната таблица за съпоставяне. Например NSG 100 може да мигрира своя лиценз само към USG FLEX 200 и не може да мигрира лиценз към други модели USG FLEX.

В случай че вашият USG FLEX 100 вече има едногодишен лиценз, след като прехвърлите оставащия лиценз от NSG50 (например: 6 месеца) към USG FLEX 100, последният ще има лиценз за 1 година и половина, който може да се използва.

• Ограничения при преминаване към режим Nebula

Съществуват някои ограничения и следните функции все още не са налични в облачния модел за USG FLEX:

- HA на устройството
- Сигурност на електронната поща (Anti-Spam)
- Проверка на SSL
- Динамично маршрутизиране (RIP, OSPF, BGP)
- Свързани функции на IPv6
- Контролер на AP (вместо това трябва да се използва контролен център Nebula като контролер на AP)
- Услуга за горещи точки (Nebula Control Center вече поддържа услуги за горещи точки като Voucher и Walled garden)

Ако срещнете други проблеми, моля, не се колебайте да се свържете с нашия екип за поддръжка.