Vores USG FLEX firewall kan administreres og provisioneres af Nebula Control Center (NCC) fra ZLD5.00 firmware og frem. ATP-serien kan administreres i NCC fra ZLD5.10 firmware. Denne vejledning viser, hvordan man tilføjer enheden til Nebula ved hjælp af ZTP-processen og forkonfigurerer firewall-indstillingerne på Nebula, inden enheden leveres til installation på stedet. Denne artikel viser, hvordan du registrerer din firewall i Nebula. Den er opdelt i forskellige sektioner, så naviger venligst til den relevante sektion for dig i indholdsfortegnelsen.
 Bemærk: ZTP-tilstand er ikke tilgængelig fra version 5.37 patch 1, så du skal implementere enheden til Nebula ved hjælp af native mode. Her er de berørte modeller. ATP-serien: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 USG FLEX-serien: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Hvorfor kan jeg ikke bruge ZTP eller Native Mode til at implementere min firewall på Nebula?

Hvis du oplever problemer med at tilføje din enhed til Nebula, kan det indikere, at din enhed blev produceret før slutningen af 2023 og kræver gennemførelse af Zero Touch Provisioning (ZTP) processen. For at fortsætte, følg disse trin:

• Nedgrader firmwaren på din enhed
• Gennemfør ZTP-processen som krævet
• Når enheden er tilføjet med succes, opdater enheden til den nyeste firmwareversion

Sådan registrerer du din firewall i Nebula (Videoer)

Bemærk: Din enhed skal nulstilles til fabriksindstillinger for at kunne forbinde den til Nebula, hvilket medfører tab af alle tidligere konfigurationer. Når enheden er tilsluttet Nebula, vil enheden automatisk blive konfigureret med standardindstillingerne i Nebula. Bemærk også, at der er nogle begrænsninger, og følgende funktioner er endnu ikke tilgængelige i cloud-tilstand for USG FLEX:

• Device HA
• Email Security (Anti-Spam)
• SSL Inspection
• Dynamisk routing (RIP, OSPF, BGP)
• Relaterede IPv6-funktioner
• AP-controller (Nebula Control Center bør i stedet anvendes som AP-controller)
• Hotspot-service (Nebula Control Center understøtter allerede hotspot-services som Voucher, Walled garden)

Licensering

• Licensering af din USG FLEX i Nebula Control Center

Hvis din USG Flex blev leveret med en bundlet licens, vil du automatisk få glæde af et Nebula Professional Pack på 1 år til din enhed. UTM-servicelicensen vil sømløst blive overført til Nebula, uanset den resterende tid.

Hvis din USG ikke blev leveret med en bundlet licens, vil du stadig få en 30-dages prøveperiode til dine UTM-tjenester. Nebula PRO Pack-tjenesterne inkluderer også automatisk 30 dages prøveperiode, når din organisation oprettes.

Prøvelicensperioden gælder også for din enhed med en bundlet licens.

• Migration af min eksisterende NSG-licens (NSS) til USG FLEX (UTM)

For at migrere licensen fra din NSG til USE FLEX på cloud, gælder følgende mappings-tabel. For eksempel kan NSG 100 kun migrere sin licens til USG FLEX 200 og kan ikke migrere licens til andre USG FLEX-modeller.

Hvis din USG FLEX 100 allerede har en 1-årig licens, vil den efter migrering af den resterende licens fra NSG50 (f.eks. 6 måneder) til USG FLEX 100 ende med at have 1½ års licens til brug.

Indsend venligst en Supportanmodning, og vores team vil med glæde hjælpe dig med at løse dit migrationslicensproblem med høj prioritet.

Valg af Nebula-tilstand via Web GUI

Når din enhed kører version 5.10 og bruger fabriksindstillinger, vil du blive bedt om at opdatere standardadministrationsadgangskoden ("1234"), når du logger ind i Web Configurator første gang.

• Nebula-tilstand

Vælg Nebula-tilstand for at administrere din Zyxel-enhed via Nebula Control Center (NCC). NCC er et cloud-baseret netværksstyringssystem, der gør det muligt at administrere og overvåge din Zyxel-enhed eksternt.

Følg Nebula-tilstands-guiden for at konfigurere WAN-indstillingerne, så styringen af din Zyxel-enhed kan overgå til NCC.

Når styringstilstanden og WAN på enheden er konfigureret, så internetadgang er mulig, kan du fortsætte i Nebula for yderligere opsætning. Mere information findes i sektionen "Nebula native mode"

• Fjernmigrering fra on-premise til Nebula-tilstand

Selv hvis du har statisk IP-konfiguration eller fabriksindstillinger, kan du skifte din on-premise administrationsløsning til Nebula Cloud-tilstand eksternt via Web GUI. Bemærk, at enheden vil blive fabriksnulstillet, og konfigurationer vil gå tabt. På Nebula fase 13 behøver du ikke at være på stedet for at fabriksnulstille enheden før migrering til Nebula. Det kan nu gøres eksternt.

Kravene for fjernmigrering til Nebula er, at firewallen:

• Skal være i Nebula Native Mode, hvilket betyder, at den skal indeholde ZTP-certifikatet
• Enheden skal være online (WAN (internet) adgang nødvendig)

Bemærk: Hvis du har enheden i on-premise-tilstand, kan du springe trin "Nebula native mode"

• Opret en organisation og et site

Hvis du endnu ikke har oprettet en Nebula organisation og et site, bedes du følge den angivne linkartikel. Når du har gennemført dette trin, kan vi fortsætte med registreringsprocessen.
Nebula [Site/Organization] - Sådan opretter/sletter man en organisation og et site i Nebula Control Center?

Konfigurer firewallen i Nebula-portalen

Før du udfører disse trin, skal du have netværkstopologi, firewall-indstillinger og WAN-konfiguration klar. Disse oplysninger gør det muligt at forkonfigurere firewall-indstillingerne, inden den tændes i Nebula. Firewallen vil automatisk synkronisere denne konfiguration, når den forbinder til Nebula. Når du opretter sitet, kan du angive modellen på din firewall uden at tilføje den. Dette gør det muligt at forkonfigurere nogle parametre, inden enheden tilføjes.

• Portgruppeindstillinger

Site-wide -> Configure -> Firewall -> Port

• For at konfigurere WAN/LAN portgrupper eller tilføje WAN/LAN grupper, så de matcher dit scenarie.

• Konfigurer WAN-indstillinger, hvis du har statisk IP

Site-wide -> Configure -> Firewall - interfaces

•  for at ændre IP-adresserne på WAN/LAN-interfacene, så de passer til dit scenarie.

Registrer firewallen og vælg implementeringsmetode

Manuel tilstand

Gå til Site-wide -> License & Inventory

Gå til enhedssiden og klik på "Add" for at registrere firewallen. Du kan registrere flere enheder ved at indtaste MAC-adresse og serienummer

Derefter kan du tildele enheden til det korrekte site. Du kan have flere enheder i en organisation, og herfra kan du vælge en specifik enhed og tildele den til det tilsvarende site:

Et pop-up vindue vises, hvor du kan vælge enhedens implementeringsmetode.

Zero Touch Provision-tilstand

Første gang enheden tilmeldes på Nebula, skal Zero Touch Provision-tilstand bruges, da enheden har brug for ZTP-processen for at blive cloud-kompatibel. Gå til Udfør ZTP-proces

Nebula native mode

Når du først registrerer din enhed i Nebula, skal du sikre dig, at du har ZTP-certifikatet på din enhed. På alle enheder skal firewallen først gennemgå ZTP-processen én gang. På nyere enheder kan ZTP-certifikatet allerede være i firewallen (tjek venligst om du har ZTP-certifikatet her - hvis du ikke har ZTP-certifikatet, skal du gennemføre ZTP-processen, og du kan ikke bruge native mode for at få firewallen online).

• Nulstil enheden til standardkonfiguration

Når du vil migrere fra Stand-alone mode til Nebula, skal du først nulstille enheden ved at holde RESET-knappen nede i 15 sekunder, som sidder foran på enheden. Hvis du under processen ændrer selv den mindste indstilling (f.eks. admin-adgangskoden), vil migrationen ikke lykkes.

• Tjek om du har DHCP eller statisk IP på WAN

Hvis du har statisk IP på WAN, skal du logge ind på enheden via Web GUI, vælge Nebula-tilstand og indtaste de nødvendige IP-oplysninger for at etablere en forbindelse: 

Hvis du har statisk IP på WAN, gennemgå guiden nedenfor, og efter du er færdig, gå til trin 2 - registrer enheden:

• Vælg Native Mode

Tilslut din WAN-port til den port, der er angivet på billedet (i dette eksempel P2) og LAN på den viste port (i dette eksempel P4) - Bemærk: Intet andet må være tilsluttet

• Du burde kunne se, at den venter på, at enheden forbinder sig til Nebula (under Devices -> Firewall):

Firewallen vil nu genstarte hurtigt, og efter genstarten bør enheden være online inden for 20 minutter.

Fejlfinding - "Venter på enhed tilsluttet" [Kontrol af ZTP-certifikat]

Hvis din enhed sidder fast i Native mode "Venter på enhed tilsluttet" - skal du dobbelttjekke, at du har ZTP-certifikatet: 

Log ind via SSH på enheden (brug programmerne Putty eller Teraterm) og skriv show native mode cert file status: 

Hvis du får en fejl eller certifikatet ikke findes, har du ikke gennemført ZTP-processen endnu på den firewall og skal bruge ZTP-processen denne gang. Det kan også være, at du ikke har firmwareversion 5.10 og skal opgradere firewallen, før du bruger Native mode.

• Migrer fra on-premise mode til Nebula Mode i Web GUI

Gå til Configuration -> Mgmt. & Analytics -> Nebula, klik derefter på Apply og Go To Nebula

Du får derefter et pop-up vindue, hvor du skal klikke ja:

Herefter venter du på, at enheden kommer online i Nebula.

Udfør ZTP-proces

Videoerne vist i begyndelsen af artiklen viser hele processen med kun den sidste del, der er forskellig. Denne sidste del svarer til ZTP-processen, hvor der er to metoder tilgængelige, som vist i videoen. Denne metode dækkes i de følgende 2 underafsnit.

For ZTP-processen skal det angives, hvordan WAN-forbindelsen skal opsættes (DHCP/PPPoE/Statisk IP), og der skal angives en e-mailadresse, hvortil e-mailen med linket og JSON-filen sendes. "Jeg vil installere firewall selv" sender e-mailen til den konto, der tilføjer enheden til sitet i øjeblikket. Det er også muligt at angive en anden e-mailkonto, så en installatør kan køre ZTP-processen.

• Aktiver firewallens cloud-funktion via URL

Når enheden kører med den nyeste firmware, skal du tilslutte strømkablet til en passende strømkilde og tænde for firewallen. Vent til SYS LED lyser fast grønt. Tilslut derefter WAN (P2) interfacet til internettet.

Tilslut LAN (P4) interfacet til computeren.

Åbn e-mailen modtaget fra Nebula og klik på "Tillad Nebula at administrere min enhed".
 

Vent til Nebula Zero Touch Provisioning er gennemført. Klik på "Gå til Nebula Control Center" for at få adgang til Nebula.

Enheden vil tage et par minutter om at forbinde til Nebula og blive online.

Bemærk: Hvis du har en enhed såsom AP allerede tilsluttet port 4 på USG FLEX, og AP'en allerede leverer et Wi-Fi-netværk i subnettet 192.168.1.1/24, kan du udføre ZTP via URL fra enhver enhed tilsluttet Wi-Fi-netværket, hvilket gør det muligt at gøre det fra en mobil enhed.

• Aktiver firewallens cloud-funktion via USB

Alternativt kan du også aktivere firewallen ved hjælp af en USB-stick. Kopiér filen vedhæftet i e-mailen modtaget fra Nebula til en ny/ren USB (FAT32), og tilslut den til firewalls USB-port. Tænd for firewallen; SYS LED blinker rødt, når den forbinder til Nebula, og lyser fast grønt, når den er forbundet.

Gå til Nebula Dashboard for at tjekke gateway-status.

Enheden vil tage et par minutter om at forbinde til Nebula og blive online.

Fejlfinding

• Internetforbindelse er nede - Kontroller internetforbindelsen

Webbrowser viser, at internetforbindelsen er nede, når URL'en i e-mailen blev åbnet.

Kontroller din internetforbindelse og sørg for at forbinde til WAN (P2) interfacet. Klik derefter på "Retry" for at gentage ZTP.

Du kan også klikke på "Network Test Tools" for at logge ind i enhedens web GUI til yderligere fejlfinding. Brugernavnet er "support" og adgangskoden er firewallens serienummer.

Hvis du har en statisk IP / PPPoE-forbindelse, dobbelttjek at du har indtastet de statiske IP-oplysninger lokalt på enheden: 

Gå til Configuration -> WAN Settings og dobbelttjek, at alt er korrekt udfyldt

• Zero Touch Provisioning (ZTP) mislykkes, fordi denne enhed ikke er i fabriksstandardtilstand

Hold reset-knappen nede i 5 sekunder for at nulstille enheden til fabriksstandard. Klik derefter på URL'en for at gentage ZTP.

• ZTP via USB: SYS LED stopper ikke med at blinke rødt

Nebula Dashboard viser, at firewallen er offline.
Hvis ZTP via USB mislykkes, skal du kontrollere internetforbindelsen. Åbn ztpresult.log på USB for at tjekke status.

Her er et eksempel:

ZTP mislykkes, fordi der ikke findes en matchende ZTP-fil på USB til denne enhed. Sørg for at kopiere den korrekte ZTP-fil.

• Nebula-tilstand vises ikke, når du tilgår Web GUI

Du kan opgradere din enhed via Device Web configurator interface eller ved at bruge ZON-utility. Denne artikel viser, hvordan man gør det via ZON-utility.

Sørg for, at du har installeret ZON på din computer. Hvis ikke, kan du downloade det her:

Zyxel One Network Utility (ZON)

Tilslut strømkablet til strømforsyningen, og tænd for firewallen. Vent til SYS LED lyser fast grønt. Tilslut din computer til firewallens port 4 (P4).

Åbn ZON på din computer for at scanne firewallen. Vælg firewallen, og klik derefter på "Firmware Upgrade":

Vælg den nyeste firmwareversion fra skyen, og indtast standardadgangskoden “1234” for at opgradere. Firmwareprocessen tager ca. 5 minutter.

Licensering for USG FLEX-serien

• Bundlet Nebula-licensering for din USG FLEX i Nebula Control Center

Hvis din USG Flex blev leveret med en bundlet licens, vil du automatisk få glæde af et Nebula Professional Pack på 1 år til din enhed. UTM-servicelicensen vil sømløst blive overført til Nebula, uanset den resterende tid.

Hvis din USG ikke blev leveret med en bundlet licens, vil du stadig få en 30-dages prøveperiode til dine UTM-tjenester. Nebula Pro Pack-tjenesterne inkluderer også automatisk 30 dages prøveperiode, når din organisation oprettes.

Prøvelicensperioden gælder også for din enhed med en bundlet licens.

• Migration af min eksisterende NSG-licens (NSS) til USG FLEX (UTM)

For at migrere licensen fra din tidligere NSG til USE FLEX på cloud, gælder følgende mappings-tabel. For eksempel kan NSG 100 kun migrere sin licens til USG FLEX 200 og kan ikke migrere licens til andre USG FLEX-modeller.

Hvis din USG FLEX 100 allerede har en 1-årig licens, vil den efter migrering af den resterende licens fra NSG50 (f.eks. 6 måneder) til USG FLEX 100 ende med at have 1½ års licens til brug.

• Begrænsninger ved skift til Nebula-tilstand

Der er nogle begrænsninger, og følgende funktioner er endnu ikke tilgængelige i cloud-tilstand for USG FLEX:

- Device HA
- Email Security (Anti-Spam)
- SSL Inspection
- Dynamisk routing (RIP, OSPF, BGP)
- Relaterede IPv6-funktioner
- AP-controller (Nebula Control Center bør anvendes som AP-controller i stedet)
- Hotspot-service (Nebula Control Center understøtter allerede hotspot-services som Voucher og Walled garden)

Hvis du oplever andre problemer, er du velkommen til at kontakte vores supportteam.