Náš firewall USG FLEX lze spravovat a zajišťovat pomocí řídicího centra Nebula (NCC) od firmwaru ZLD5.00 a dále. Řadu ATP lze spravovat v NCC od firmwaru ZLD5.10. Tento návod ukazuje, jak přidat zařízení na Nebula pomocí procesu ZTP a předkonfigurovat nastavení brány firewall na Nebula, před dodáním zařízení k instalaci na místě. Tento článek ukazuje, jak zaregistrovat bránu firewall v Nebula. Je rozdělen do různých částí, proto v obsahu přejděte na pro vás příslušnou část.
Poznámka: Režim ZTP není od verze 5.37 patch 1 k dispozici, proto je nutné zařízení do Nebula nasadit pomocí nativního režimu. Zde jsou uvedeny dotčené modely. Řada ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Řada USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Proč nemohu použít ZTP nebo nativní režim pro nasazení brány firewall na Nebula?

Pokud narazíte na potíže s přidáním zařízení do Nebula, může to znamenat, že vaše zařízení bylo vyrobeno před koncem roku 2023 a vyžaduje dokončení procesu Zero Touch Provisioning (ZTP). Chcete-li pokračovat, postupujte podle následujících kroků:

• Proveďte downgrade firmwaru v zařízení
• Podle potřeby projděte procesem ZTP
• Po úspěšném přidání aktualizujte zařízení na nejnovější verzi firmwaru.

Jak zaregistrovat bránu firewall do systému Nebula (Videa)

Poznámka: Pro připojení vašeho zařízení k Nebula je třeba obnovit výchozí nastavení, čímž se ztratí všechna předchozí nastavení, která mohla být nakonfigurována. Po připojení k Nebula bude zařízení automaticky nakonfigurováno s výchozími nastaveními Nebula. Upozorňujeme také na některá omezení a na to, že následující funkce zatím nejsou v režimu cloud pro zařízení USG FLEX k dispozici:

• Zařízení HA
• Zabezpečení e-mailů (Anti-Spam)
• Kontrola SSL
• Dynamické směrování (RIP, OSPF, BGP)
• Související funkce IPv6
• Řadič AP (jako řadič AP by mělo být místo toho použito řídicí centrum Nebula)
• Služba hotspot (Nebula Control Center již podporuje služby hotspotů, například Voucher, Walled garden)

Licencování

• Licencování zařízení USG FLEX do řídicího centra Nebula Control Center

Pokud bylo vaše zařízení USG Flex dodáno s přibalenou licencí, budete pro své zařízení automaticky využívat Nebula Professional Pack na 1 rok. Licence služby UTM se plynule přenese na Nebula bez ohledu na její zbývající dobu.

V případě, že vaše zařízení USG nebylo dodáno s balíčkovou licencí, budete i nadále využívat 30denní zkušební dobu pro služby UTM. Služby Nebula PRO Pack také automaticky zahrnují 30denní zkušební verzi při vytvoření vaší organizace.

Zkušební licenční období se vztahuje i na vaše zařízení s balíčkovou licencí.

• Migrace mé stávající licence NSG (NSS) na USG FLEX (UTM)

Pro migraci licence z vašeho NSG do USE FLEX v cloudu platí následující mapovací tabulka. Například NSG 100 může migrovat svou licenci pouze na USG FLEX 200 a nemůže migrovat licenci na jiné modely USG FLEX.

V případě, že váš USG FLEX 100 již má licenci na 1 rok, po migraci zbývající licence z NSG50 (např.: 6 měsíců) do USG FLEX 100, bude mít USG FLEX 100 licenci na 1,5 roku.

Založte prosím požadavek na podporu a náš tým vám rád pomůže vyřešit problém s migrací licence s náležitou prioritou.

Výběr režimu Nebula prostřednictvím webového grafického rozhraní

Jakmile je na vašem zařízení spuštěna verze 5.10 a používá výchozí tovární nastavení, bude při prvním pokusu o přihlášení do webového konfigurátoru vyžadována aktualizace výchozího hesla správce ("1234").

• Režim Nebula

Zvolte režim Nebula a spravujte zařízení Zyxel pomocí řídicího centra Nebula (NCC). NCC je cloudový systém správy sítě, který umožňuje vzdáleně spravovat a monitorovat zařízení Zyxel Device.

Postupujte podle průvodce režimem Nebula a nakonfigurujte nastavení WAN tak, abyste předali správu zařízení Zyxel do NCC.

Jakmile jsou režim správy a síť WAN zařízení nakonfigurovány tak, že umožňují přístup k internetu, můžete přejít k dalšímu nastavení Nebula. Další informace naleznete v části "Nativní režim Nebula ".

• Vzdálená migrace z místního režimu do režimu Nebula

I když máte statické nastavení IP nebo výchozí nastavení z výroby, můžete své lokální řešení správy přepnout do režimu Nebula Cloud vzdáleně pomocí webového grafického rozhraní. Upozorňujeme, že zařízení bude resetováno do továrního nastavení a konfigurace budou ztraceny. V případě Nebula fáze 13 nemusíte před přechodem na Nebula chodit na místo, abyste zařízení resetovali do továrního nastavení. Nyní to můžete provést na dálku.

Požadavky pro vzdálenou migraci na Nebula jsou, aby brána firewall:

• Musí být v nativním režimu Nebula, což znamená, že musí obsahovat certifikát ZTP.
• Zařízení musí být online (potřebný přístup k síti WAN (internetu)).

Poznámka: Pokud máte zařízení v režimu on-premise, můžete krok "Nebula nativní režim " přeskočit.

• Vytvoření organizace a webu

Pokud jste ještě nezaložili organizaci a web Nebula, postupujte podle článku s uvedeným odkazem. Jakmile tento krok dokončíte, můžeme pokračovat v procesu registrace.
Nebula [Site/Organization] - Jak vytvořit/odstranit organizaci a web v řídicím centru Nebula?

Konfigurace brány firewall na portálu Nebula

Před provedením těchto kroků si předem připravte topologii sítě, nastavení brány firewall a konfiguraci sítě WAN. Tyto informace vám umožní předem nakonfigurovat nastavení brány firewall před jejím zapnutím v rámci portálu Nebula. Brána Firewall bude tuto konfiguraci automaticky synchronizovat při připojení k Nebula. Při vytváření webu můžete zadat model brány firewall, aniž byste ji přidávali. To umožňuje předkonfigurovat některé parametry ještě před přidáním samotného zařízení.

• Nastavení skupiny portů

Site-wide -> Configure -> Firewall -> Port

• Konfigurace skupin portů WAN/LAN nebo přidání skupin WAN/LAN podle vašeho scénáře.

• Nakonfigurovat nastavení sítě WAN, pokud máte statickou IP adresu.

Site-wide -> Configure -> Firewall - interfaces

• pro změnu IP adres rozhraní WAN/LAN tak, aby odpovídaly vašemu scénáři.

Zaregistrujte bránu firewall a vyberte metodu nasazení

Ruční režim

Go to Site-wide -> License & Inventory

Vstupte na stránku zařízení a kliknutím na "Add" (Přidat) zaregistrujte bránu Firewall. Zadáním adresy MAC a sériového čísla můžete zaregistrovat více zařízení.

Poté můžete zařízení přiřadit ke správné lokalitě. V organizaci můžete mít několik zařízení, odtud můžete vybrat konkrétní zařízení a přiřadit je k příslušné lokalitě:

Zobrazí se vyskakovací okno, ve kterém můžete vybrat způsob nasazení zařízení.

Režim Zero Touch Provision

Při prvním zápisu zařízení do systému Nebula je třeba použít režim Zero Touch Provision (Zajištění bezdotykového přístupu) , protože zařízení potřebuje proces ZTP, aby se stalo schopným provozu v cloudu. Přejděte na Spustit proces ZTP

Nativní režim Nebula

Při první registraci zařízení do Nebula se musíte ujistit, že máte v zařízení certifikát ZTP. Ve všech zařízeních musí firewall nejprve jednou projít procesem ZTP . V novějších zařízeních může být certifikát ZTP již ve firewallu ( zde zkontrolujte, zda máte certifikát ZTP - pokud certifikát ZTP nemáte, musíte provést proces ZTP a nemůžete provést nativní režim, abyste firewall uvedli do provozu).

• Obnovte výchozí konfiguraci zařízení

Pokud chcete přejít z režimu Stand-alone do režimu Nebula, musíte zařízení nejprve resetovat pomocí tlačítka RESET umístěného na přední straně zařízení (podržte jej stisknuté po dobu 15 sekund). Pokud během procesu změníte i sebemenší nastavení (např. heslo správce), migrace se nezdaří.

• Zkontrolujte, zda máte v síti WAN nastavenou adresu DHCP nebo statickou IP.

Pokud máte na síti WAN statickou adresu IP, je třeba se k zařízení přihlásit prostřednictvím webového grafického rozhraní, zvolit režim Nebula a zadat informace o adrese IP potřebné pro navázání spojení:

Pokud máte statickou IP na síti WAN, projděte níže uvedeným průvodcem a po dokončení přejděte ke kroku 2 - registrace zařízení:

• Zvolte nativní režim

Připojte port WAN k portu uvedenému na obrázku (v tomto příkladu P2) a LAN k portu uvedenému na obrázku (v tomto příkladu P4) - Poznámka: Nic jiného by nemělo být připojeno.

• Měli byste vidět, že se čeká na to, až se zařízení samo připojí k Nebula (v části Zařízení -> Firewall):

Firewall by měl nyní provést rychlý restart a po restartu by mělo být zařízení do 20 minut online.

Řešení problémů - "Čeká na připojení zařízení" [Kontrola certifikátu ZTP]

Pokud se zařízení zaseklo v nativním režimu "Čeká na připojené zařízení" - je třeba překontrolovat, zda máte certifikát ZTP:

Přihlaste se přes SSH k zařízení (pomocí programu Putty nebo Teraterm) a zadejte příkaz show native mode cert file status:

Pokud se zobrazí chyba nebo certifikát není k dispozici, neprovedli jste ještě proces ZTP na tomto firewallu a musíte tentokrát použít proces ZTP. Může se také stát, že nemáte verzi firmwaru 5.10 a před použitím nativního režimu musíte firewall aktualizovat.

• Migrace z režimu on-premise do režimu Nebula ve webovém grafickém rozhraní

Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula

Poté se zobrazí vyskakovací okno a je třeba kliknout na tlačítko ano:

Poté počkáte, až se zařízení připojí do režimu Nebula.

Spuštění procesu ZTP

Videa uvedená na začátku článku ukazují celý proces, liší se pouze poslední částí. Tato poslední část odpovídá procesu ZTP, k jehož provedení jsou k dispozici dvě metody, jak je ukázáno na videu. Touto metodou se zabývají následující 2 podkapitoly.

Pro proces ZTP je třeba zadat, jak bude nastaveno připojení WAN (DCHP/PPPoE/Static IP), a zadat e-mailovou adresu, na kterou bude odeslán e-mail obsahující odkaz a soubor JSON. "Nainstaluji firewall sám" odešle e-mail na účet, který v danou chvíli přidává zařízení na web. Je také možné zadat jakýkoli jiný e-mailový účet, aby mohl instalační program spustit proces ZTP.

• Aktivace cloudové funkce brány firewall prostřednictvím adresy URL

Po spuštění zařízení s nejnovějším firmwarem připojte napájecí port k vhodnému zdroji napájení a zapněte bránu firewall. Počkejte, až se kontrolka SYS rozsvítí zeleně. Poté připojte rozhraní WAN (P2) k internetu.

Připojte rozhraní LAN (P4) k počítači.

Otevřete e-mail přijatý od Nebula a klikněte na "Allow Nebula to Manage My Device".

Počkejte, dokud Nebula Zero Touch Provisioning neproběhne úspěšně. Klepnutím na "Go to Nebula Control Center" (Přejít do ovládacího centra Nebula) získáte přístup k Nebula.

Zařízení se bude několik minut připojovat k Nebula a bude online.

Poznámka: Pokud již máte na portu 4 zařízení USG FLEX připojeno zařízení, například AP, a AP již poskytuje síť Wi-Fi v podsíti 192.168.1.1/24, můžete provést ZTP prostřednictvím adresy URL z libovolného zařízení připojeného k síti Wi-Fi, což umožňuje provést jej z mobilního zařízení.

• Aktivace funkce Firewall cloud prostřednictvím USB

Alternativně můžete bránu Firewall aktivovat také pomocí paměťového zařízení USB. Zkopírujte soubor přiložený v e-mailu zaslaném z Nebula na nové/čisté USB (FAT32) a připojte jej k portu USB brány Firewall. Zapněte bránu Firewall, kontrolka SYS bliká červeně, když se připojuje k Nebula, a trvale zeleně, když je připojena.

Přejděte na ovládací panel Nebula a zkontrolujte stav brány.

Zařízení bude trvat několik minut, než se připojí k Nebula a bude online.

Řešení problémů

• Nefunguje připojení k internetu - Zkontrolujte připojení k internetu

Webový prohlížeč ukazuje, že internetové připojení je nefunkční, když byla otevřena adresa URL v e-mailu.

Zkontrolujte připojení k internetu a ujistěte se, že jste připojeni k rozhraní WAN (P2). Poté klikněte na "Retry" (Znovu zkusit) a proveďte ZTP znovu.

Můžete také kliknout na "Network Test Tools" a přihlásit se do webového grafického rozhraní zařízení pro další řešení problémů. Uživatel je "support" a heslo je sériové číslo brány firewall.

Pokud máte připojení se statickou IP / PPPoE, překontrolujte, zda jste zadali informace o statické IP na zařízení lokálně:

Go to Configuration -> WAN Settings and double-check that everything is filled in correctly

• Zero Touch Provisioning (ZTP) selhává, protože toto zařízení není ve výchozím stavu z výroby

Podržením tlačítka reset na 5 sekund obnovte výchozí tovární nastavení zařízení. Poté klikněte na adresu URL a proveďte znovu ZTP.

• ZTP pomocí USB: LED dioda SYS nepřestává blikat červeně.

Nebula Přístrojová deska ukazuje, že brána firewall je offline.
Pokud se ZTP přes USB nezdaří, zkontrolujte připojení k internetu. Otevřete soubor ztpresult.log v USB a zkontrolujte stav.

Zde je uveden příklad:

ZTP se nezdaří, protože v USB není pro toto zařízení žádný odpovídající soubor ZTP. Zkontrolujte, zda jste zkopírovali správný soubor ZTP.

• Režim Nebula se nezobrazuje při přístupu k webovému grafickému rozhraní.

Zařízení můžete aktualizovat prostřednictvím webového rozhraní konfigurátoru zařízení (podívejte se sem) nebo pomocí nástroje ZON. Tento článek ukazuje, jak to provést prostřednictvím nástroje ZON.

Ujistěte se, že máte v počítači nainstalovaný nástroj ZON. Pokud ne, můžete si jej stáhnout zde:

Zyxel One Network Utility (ZON).

Připojte napájecí port ke zdroji napájení a zapněte bránu firewall. Počkejte, až se kontrolka SYS rozsvítí zeleně. Připojte počítač k portu 4 (P4) brány firewall.

Otevřete v počítači program ZON a prohledejte bránu firewall. Vyberte bránu firewall a klikněte na "Firmware Upgrade":

Vyberte nejnovější verzi firmwaru z cloudu a zadejte výchozí heslo "1234" pro aktualizaci. Proces přechodu na firmware trvá přibližně 5 minut.

Licencování pro řadu USG FLEX

• Sdružené licencování Nebula pro zařízení USG FLEX do řídicího centra Nebula.

Pokud byl váš přístroj USG Flex dodán s přibalenou licencí, automaticky získáte pro své zařízení profesionální balíček Nebula na 1 rok. Licence služby UTM se plynule přenese na Nebula bez ohledu na její zbývající dobu.

V případě, že vaše zařízení USG nebylo dodáno s přibalenou licencí, budete i nadále využívat 30denní zkušební dobu pro služby UTM. Služby Nebula Pro Pack zahrnují také 30denní zkušební verzi automaticky při vytvoření vaší organizace.

Zkušební licenční období se však vztahuje i na vaše zařízení s balíčkovou licencí.

• Migrace mé stávající licence NSG (NSS) na USG FLEX (UTM)

Pro migraci licence z vašeho předchozího NSG do USE FLEX v cloudu platí následující mapovací tabulka. Například NSG 100 může migrovat svou licenci pouze na USG FLEX 200 a nemůže migrovat licenci na jiné modely USG FLEX.

V případě, že váš USG FLEX 100 již má licenci na 1 rok, po migraci zbývající licence z NSG50 (např.: 6 měsíců) do USG FLEX 100, bude mít USG FLEX 100 licenci na 1,5 roku.

• Omezení při přechodu na režim Nebula

Existují určitá omezení a následující funkce zatím nejsou v cloudovém modelu pro USG FLEX k dispozici:

- Zařízení HA
- Zabezpečení e-mailů (Anti-Spam)
- Kontrola SSL
- Dynamické směrování (RIP, OSPF, BGP)
- Související funkce IPv6
- Řadič AP (jako řadič AP by mělo být místo toho použito řídicí centrum Nebula)
- Služba hotspot (Nebula Control Center již podporuje služby hotspotů, jako jsou Voucher a Walled garden)

Pokud narazíte na další problémy, neváhejte se obrátit na náš tým podpory.