Vores USG FLEX-firewall kan administreres og klargøres af Nebula Control Center (NCC) fra ZLD5.00-firmware og fremefter. ATP-serien kan administreres i NCC fra firmware ZLD5.10. Denne vejledning viser, hvordan du tilføjer enheden på Nebula ved hjælp af ZTP-processen og forudkonfigurerer firewallindstillingerne på Nebula, før du leverer enheden til installation på stedet. Denne artikel viser, hvordan du registrerer din firewall i Nebula. Den er opdelt i forskellige afsnit, så naviger venligst til det relevante afsnit for dig i indholdsfortegnelsen.
Bemærk: ZTP-tilstand er ikke tilgængelig fra og med version 5.37 patch 1, så du skal implementere enheden i Nebula ved hjælp af den oprindelige tilstand. Her er de berørte modeller. ATP-serien: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 USG FLEX-serien: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Hvorfor kan jeg ikke bruge ZTP eller Native Mode til at implementere min firewall på Nebula?

Hvis du har problemer med at tilføje din enhed til Nebula, kan det tyde på, at din enhed blev fremstillet før udgangen af 2023 og kræver fuldførelse af Zero Touch Provisioning (ZTP)-processen. Følg disse trin for at fortsætte:

• Nedgrader firmwaren på din enhed
• Naviger gennem ZTP-processen efter behov
• Når den er tilføjet, skal du opdatere enheden til den nyeste firmwareversion

Sådan registrerer du din firewall i Nebula (Videoer)

Bemærk: Din enhed skal nulstilles til standard for at kunne tilslutte den til Nebula, så alle tidligere indstillinger, der måtte være konfigureret, går tabt. Når den er tilsluttet Nebula, konfigureres enheden automatisk med Nebula's standardindstillinger. Bemærk også, at der er nogle begrænsninger, og at følgende funktioner endnu ikke er tilgængelige i cloud-tilstand for USG FLEX:

• Enhed HA
• E-mail-sikkerhed (anti-spam)
• SSL-inspektion
• Dynamisk routing (RIP, OSPF, BGP)
• Relaterede IPv6-funktioner
• AP-controller (Nebula Control Center bør bruges som AP-controller i stedet)
• Hotspot-tjeneste (Nebula Control Center understøtter allerede hotspot-tjenester som Voucher, Walled garden)

Licensering

• Licensering af din USG FLEX til Nebula Control Center

Hvis din USG Flex kom med en samlet licens, får du automatisk en Nebula Professional Pack på 1 år til din enhed. UTM-servicelicensen vil problemfrit blive overført til Nebula, uanset den resterende tid.

Hvis din USG ikke kom med en pakkelicens, vil du stadig nyde godt af 30 dages prøveperiode for dine UTM-tjenester. Nebula PRO Pack-tjenesterne inkluderer også 30 dages prøveperiode automatisk, mens din organisation oprettes.

Prøvelicensperioden gælder også for din enhed med en pakkelicens.

• Migrering af min eksisterende NSG-licens (NSS) til USG FLEX (UTM)

For at migrere licensen fra din NSG til USE FLEX i skyen gælder følgende kortlægningstabel. For eksempel kan NSG 100 kun migrere sin licens til USG FLEX 200 og kan ikke migrere licens til andre USG FLEX-modeller.

Hvis din USG FLEX 100 allerede har en 1-årig licens, vil sidstnævnte efter migrering af den resterende licens fra NSG50 (f.eks.: 6 måneder) til USG FLEX 100 ende med at have en licens på 1,5 år, der kan bruges.

Opret venligst en supportanmodning, og vores team vil med glæde hjælpe dig med at løse dit migreringslicensproblem med behørig prioritet.

Valg af Nebula-tilstand via web-GUI

Når din enhed kører 5.10 og bruger fabriksindstillingerne, skal du opdatere administratorens standardadgangskode ("1234"), når du prøver at logge ind på webkonfiguratoren for første gang.

• Nebula-tilstand

Vælg Nebula-tilstand for at administrere din Zyxel-enhed ved hjælp af Nebula Control Center (NCC). NCC er et skybaseret netværksstyringssystem, der giver dig mulighed for at styre og overvåge din Zyxel-enhed eksternt.

Følg guiden Nebula-tilstand for at konfigurere WAN-indstillingerne, så administrationen af din Zyxel-enhed overføres til NCC.

Når administrationstilstanden og enhedens WAN er konfigureret, så der er internetadgang, kan du gå videre til Nebula for yderligere opsætning. Flere oplysninger findes i afsnittet "Nebula native mode".

• Migrer eksternt fra on-premise til Nebula-tilstand

Selv hvis du har statiske IP-indstillinger eller fabriksindstillinger, kan du skifte din lokale administrationsløsning til Nebula Cloud-tilstand via fjernadgang ved hjælp af web-GUI. Bemærk, at enheden vil blive fabriksnulstillet, og at konfigurationer vil gå tabt. I Nebula fase 13 behøver du ikke at tage ud på stedet for at fabriksnulstille enheden, før du migrerer til Nebula. Nu kan du gøre det på afstand.

Kravene til fjernmigrering til Nebula er, at firewallen:

• Skal være i Nebula Native Mode, hvilket betyder, at den skal indeholde ZTP-certifikatet.
• Enheden skal være online (WAN (internet)-adgang er nødvendig)

Bemærk: Hvis du har enheden i on-premise-tilstand, kan du springe trinnet"Nebula native mode" over.

• Opret en organisation og et websted

Hvis du endnu ikke har oprettet en Nebula-organisation og -site, skal du følge artiklen i linket. Når du har gennemført dette trin, kan vi fortsætte med registreringsprocessen.
Nebula [Site/Organisation] - Hvordan oprettes/slettes en organisation og et site i Nebula Control Center?

Konfigurer firewallen i Nebula-portalen

Før du udfører disse trin, skal du have netværkstopologien, firewallindstillingerne og WAN-konfigurationen på forhånd. Disse oplysninger giver dig mulighed for at forudkonfigurere firewallindstillingerne, før de slås til i Nebula. Firewallen synkroniserer automatisk denne konfiguration, når den opretter forbindelse til Nebula. Når du opretter webstedet, kan du angive modellen for din firewall uden at tilføje den. Det gør det muligt at forudkonfigurere nogle parametre, før du tilføjer selve enheden.

• Indstillinger for portgruppe

Site-wide -> Configure -> Firewall -> Port

• For at konfigurere WAN/LAN-portgrupperne eller tilføje WAN/LAN-grupper, så de passer til dit scenarie.

• Сonfigurer WAN-indstillinger, hvis du har en statisk IP

Site-wide -> Configure -> Firewall - interfaces

• for at ændre WAN/LAN-grænsefladernes IP-adresser, så de passer til dit scenarie.

Registrer firewallen, og vælg implementeringsmetode

Manuel tilstand

Go to Site-wide -> License & Inventory

Gå ind på enhedssiden, og klik på "Tilføj" for at registrere firewallen. Du kan registrere flere enheder ved at indtaste MAC-adressen og serienummeret

Bagefter kan du tildele enheden til det korrekte sted. Du kan have flere enheder i en organisation, og herfra kan du vælge en bestemt enhed og tildele den til det tilsvarende sted:

Der vises et pop op-vindue, hvor du kan vælge enhedens implementeringsmetode.

Zero Touch-tilstand for klargøring

Første gang enheden registreres på Nebula, skal Zero Touch Provision-tilstanden bruges, da enheden har brug for ZTP-processen for at blive Cloud-kompatibel. Gå til Udfør ZTP-proces

Den oprindelige tilstand Nebula

Når du først registrerer din enhed i Nebula, skal du sikre dig, at du har ZTP-certifikatet på din enhed. På alle enheder skal firewallen først igennem ZTP-processen én gang. I nyere enheder kan ZTP-certifikatet allerede være i firewallen (tjek, om du har ZTP-certifikatet her - hvis du ikke har ZTP-certifikatet, skal du gennemgå ZTP-processen, og du kan ikke bruge den oprindelige tilstand til at få firewallen online).

• Nulstil enheden til standardkonfigurationen

Når du vil migrere fra Stand-alone-tilstand til Nebula, skal du først nulstille enheden ved hjælp af RESET-knappen på enhedens forside (hold den nede i 15 sekunder). Hvis du under processen ændrer selv den mindste indstilling (f.eks. administratoradgangskoden), vil migreringen ikke lykkes.

• Tjek, om du har DHCP eller statisk IP på WAN

Hvis du har statisk IP på dit WAN, skal du logge ind på enheden via Web GUI, vælge Nebula-tilstand og indtaste de IP-oplysninger, der er nødvendige for, at der kan oprettes en forbindelse:

Hvis du har statisk IP på WAN, skal du gennemgå guiden nedenfor, og når du er færdig, skal du gå til trin 2 - registrer enheden:

• Vælg indbygget tilstand

Tilslut din WAN-port til den port, der er angivet på billedet (i dette eksempel P2), og LAN til den port, der er vist (i dette eksempel P4) - Bemærk: Intet andet skal være tilsluttet .

• Du bør kunne se, at den venter på, at enheden forbinder sig selv til Nebula (under Enheder -> Firewall):

Firewallen bør nu foretage en hurtig genstart, og efter genstarten bør enheden komme online inden for 20 minutter.

Fejlfinding - "Venter på tilsluttet enhed" [Kontrollerer ZTP-certifikat]

Hvis din enhed sidder fast i Native-tilstand "Waiting for a device connected" - skal du dobbelttjekke, at du har ZTP-certifikatet:

Log ind via SSH på enheden (med programmet Putty eller Teraterm), og skriv show native mode cert file status:

Hvis du får en fejl, eller certifikatet ikke er der, har du ikke udført ZTP-processen endnu på den pågældende firewall og skal bruge ZTP-processen denne gang. Det kan også være, at du ikke har firmwareversion 5.10 og skal opgradere firewallen, før du bruger Native mode.

• Migrer fra lokal tilstand til Nebula-tilstand i web-GUI

Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula

Du får derefter en pop-up, og du skal klikke på ja:

Derefter venter du på, at enheden kommer online i Nebula.

Udfør ZTP-processen

Videoerne i begyndelsen af artiklen viser hele processen, hvor kun den sidste del er anderledes. Denne sidste del svarer til ZTP-processen, som der findes to metoder til, som vist i videoen. Denne metode beskrives i de følgende 2 underafsnit.

For ZTP-processen er det nødvendigt at angive, hvordan WAN-forbindelsen skal sættes op (DCHP/PPPoE/Static IP) og angive en e-mailadresse, hvortil e-mailen, der indeholder linket og JSON-filen, skal sendes. "Jeg installerer selv firewall" sender e-mailen til den konto, der tilføjer enheden til webstedet i øjeblikket. Det er også muligt at angive en anden e-mailkonto, så en installatør kan køre ZTP-processen.

• Aktivér firewallens cloud-funktion via URL

Når enheden kører med den nyeste firmware, skal du slutte strømporten til en passende strømkilde og tænde for firewallen. Vent på, at SYS-LED'en lyser grønt. Tilslut derefter WAN-grænsefladen (P2) til internettet.

Tilslut LAN-grænsefladen (P4) til computeren.

Åbn e-mailen fra Nebula, og klik på "Tillad Nebula at administrere min enhed".

Vent, indtil Nebula Zero Touch Provisioning var vellykket. Klik på "Gå til Nebula Control Center" for at få adgang til Nebula.

Det tager et par minutter for enheden at oprette forbindelse til Nebula og blive online.

Bemærk: Hvis du har en enhed som AP, der allerede er tilsluttet port 4 på USG FLEX, og AP'en allerede leverer et Wi-Fi-netværk i undernettet 192.168.1.1/24, kan du udføre ZTP via URL fra enhver enhed, der er tilsluttet Wi-Fi-netværket, hvilket gør det muligt at gøre det fra en mobil enhed.

• Aktivér firewallens cloud-funktion via USB

Alternativt kan du også aktivere firewallen ved hjælp af en USB-nøgle. Kopier den vedhæftede fil i e-mailen fra Nebula til en ny/ren USB (FAT32), og tilslut den til firewallens USB-port. Tænd for firewallen, SYS-LED'en blinker rødt, når den opretter forbindelse til Nebula, og konstant grønt, når den er forbundet.

Gå til Nebula Dashboard for at tjekke gatewayens status.

Det tager et par minutter for enheden at oprette forbindelse til Nebula og blive online.

Fejlfinding

• Internetforbindelsen er nede - Tjek internetforbindelsen

Webbrowseren viser, at internetforbindelsen er nede, da URL'en i e-mailen blev åbnet.

Tjek din internetforbindelse, og sørg for, at du har forbindelse til WAN-grænsefladen (P2). Klik derefter på "Prøv igen" for at gentage ZTP'en.

Du kan også klikke på "Network Test Tools" for at logge ind på enhedens web-GUI til yderligere fejlfinding. Brugeren er "support", og adgangskoden er firewallens serienummer.

Hvis du har en statisk IP/PPPoE-forbindelse, skal du dobbelttjekke, at du har indtastet de statiske IP-oplysninger på enheden lokalt:

Go to Configuration -> WAN Settings and double-check that everything is filled in correctly

• Zero Touch Provisioning (ZTP) mislykkes, fordi denne enhed ikke er i fabriksstandardtilstand

Hold nulstillingsknappen nede i 5 sekunder for at nulstille enheden til fabriksindstillingerne. Klik derefter på URL'en for at gentage ZTP'en.

• ZTP via USB: SYS-LED'en holder ikke op med at blinke rødt

Nebula Dashboard viser, at firewallen er offline.
Hvis ZTP via USB mislykkes, skal du kontrollere internetforbindelsen. Åbn ztpresult.log i USB for at kontrollere status.

Her er et eksempel:

ZTP mislykkes, fordi der ikke er nogen matchende ZTP-fil i USB'en for denne enhed. Sørg for at kopiere den korrekte ZTP-fil.

• Nebula-tilstand vises ikke, når man går ind på Web GUI

Du kan opgradere din enhed via enhedens webkonfigurationsgrænseflade (se her) eller ved hjælp af ZON-værktøjet. Denne artikel viser, hvordan du gør det via ZON-værktøjet.

Sørg for, at du har installeret ZON på din computer. Hvis ikke, kan du downloade det her:

Zyxel One Network Utility (ZON)

Slut strømforsyningen til strømkilden, og tænd for firewallen. Vent på, at SYS-LED'en lyser grønt. Tilslut din computer til firewallens port 4 (P4).

Åbn ZON på din computer for at scanne firewallen. Vælg firewallen, og klik derefter på "Firmware Upgrade":

Vælg den nyeste firmwareversion fra skyen, og indtast standardadgangskoden "1234" for at opgradere. Firmwareprocessen tager ca. 5 minutter at gennemføre

Licenser til USG FLEX-serien

• Samlet Nebula-licensering til din USG FLEX i Nebula Control Center

Hvis din USG Flex blev leveret med en samlet licens, får du automatisk en Nebula Professional Pack på 1 år til din enhed. UTM-servicelicensen vil problemfrit blive overført til Nebula, uanset den resterende tid.

Hvis din USG ikke blev leveret med en samlet licens, vil du stadig nyde godt af 30 dages prøveperiode for dine UTM-tjenester. Nebula Pro Pack-tjenesterne inkluderer også 30 dages prøveperiode automatisk, mens din organisation oprettes.

Prøvelicensperioden gælder også for din enhed med en pakkelicens.

• Migrering af min eksisterende NSG-licens (NSS) til USG FLEX (UTM)

For at migrere licensen fra din tidligere NSG til USE FLEX i skyen gælder følgende kortlægningstabel. For eksempel kan NSG 100 kun migrere sin licens til USG FLEX 200 og kan ikke migrere licens til andre USG FLEX-modeller.

Hvis din USG FLEX 100 allerede har en 1-årig licens, vil sidstnævnte efter migrering af den resterende licens fra NSG50 (f.eks.: 6 måneder) til USG FLEX 100 ende med at have en licens på 1,5 år, der kan bruges.

• Begrænsninger ved at skifte til Nebula-tilstand

Der er nogle begrænsninger, og følgende funktioner er endnu ikke tilgængelige i cloud-modellen for USG FLEX:

- Enhed HA
- E-mail-sikkerhed (anti-spam)
- SSL-inspektion
- Dynamisk routing (RIP, OSPF, BGP)
- Relaterede IPv6-funktioner
- AP-controller (Nebula Control Center bør bruges som AP-controller i stedet)
- Hotspot-tjeneste (Nebula Control Center understøtter allerede hotspot-tjenester som Voucher og Walled garden)

Hvis du støder på andre problemer, er du velkommen til at kontakte vores supportteam.