Nebula [ZTP] - Cómo registrar la pasarela USGFLEX/ATP en el Centro de Control Nebula

Creación - Actualización
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con exactitud. Si hay preguntas o discrepancias sobre la exactitud de la información en la versión traducida, por favor revise el artículo original aquí:Versión Original

Nuestro firewall USG FLEX puede ser gestionado y aprovisionado por Nebula Control Center (NCC) desde ZLD5.00 firmware y en adelante. La serie ATP puede gestionarse en NCC a partir del firmware ZLD5.10. Esta guía muestra cómo añadir el dispositivo en Nebula mediante el proceso ZTP y preconfigurar los ajustes del cortafuegos en Nebula, antes de entregar el dispositivo para la instalación in situ. Este artículo muestra cómo registrar su cortafuegos en Nebula. Está dividido en diferentes secciones, así que por favor navegue a la sección relevante para usted en la tabla de contenidos.
Nota: El modo ZTP no está disponible a partir de la versión 5.37 parche 1, por lo que debe desplegar el dispositivo en Nebula utilizando el modo nativo. Estos son los modelos afectados Serie ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Serie USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

¿Por qué no puedo utilizar ZTP o el modo nativo para implementar mi cortafuegos en Nebula?

Si encuentra dificultades para añadir su dispositivo a Nebula, puede indicar que su dispositivo se fabricó antes de finales de 2023 y requiere completar el proceso de Zero Touch Provisioning (ZTP). Para continuar, siga estos pasos:

  • Desactualiza el firmware de tu dispositivo
  • Navegue por el proceso ZTP según sea necesario
  • Una vez añadido correctamente, actualice el dispositivo a la última versión de firmware

Cómo registrar su cortafuegos en Nebula (Vídeos)

Registro en PRD_N_tKTLFGVrY_0 utilizando el modo ZTP URL Registro en PRD_N_tKThLFGVrY_0 utilizando el modo ZTP USB

Nota: Para conectarlo a Nebula es necesario restablecer los valores predeterminados del dispositivo, con lo que se perderán todos los ajustes anteriores que se hayan podido configurar. Una vez conectado a Nebula, el dispositivo se configurará automáticamente con los ajustes predeterminados de Nebula. Tenga en cuenta también que existen algunas limitaciones y que las siguientes funciones aún no están disponibles en el modo de nube para el USG FLEX:

  • HA del dispositivo
  • Seguridad de correo electrónico (antispam)
  • Inspección SSL
  • Enrutamiento dinámico (RIP, OSPF, BGP)
  • Funciones IPv6 relacionadas
  • Controlador AP (Nebula Control Center debe utilizarse como controlador AP)
  • Servicio Hotspot (Nebula Control Center ya admite servicios Hotspot como Voucher, Walled garden)

Licencias

  • Licencia de su USG FLEX en Nebula Control Center

Si su USG Flex venía con una licencia incluida, disfrutará automáticamente de un Nebula Professional Pack de 1 año para su dispositivo. La licencia de servicio UTM se transferirá sin problemas a Nebula, independientemente del tiempo que le quede.

En caso de que su USG no venga con un paquete de licencias, seguirá disfrutando de 30 días de prueba para sus servicios UTM. Los servicios Nebula PRO Pack también incluyen 30 días de prueba automáticamente mientras se crea su organización.

El periodo de prueba de la licencia también se aplica a su dispositivo con un paquete de licencias.

  • Migración de mi licencia existente de NSG (NSS) a USG FLEX (UTM)

Para migrar la licencia de su NSG al USG FLEX en la nube, se aplica la siguiente tabla de asignación. Por ejemplo, NSG 100 sólo puede migrar su licencia a USG FLEX 200 y no puede migrar la licencia a otros modelos de USG FLEX.

Serie NSG NSG50 NSG100 NSG200 NSG300
Serie USG FLEX USG FLEX 100/100W USG FLEX 200 USG FLEX 500 USG FLEX 700

En caso de que su USG FLEX 100 ya tenga una licencia de 1 año, después de migrar la licencia restante del NSG50 (Ej.: 6 meses) al USG FLEX 100, este último termina teniendo 1 año y medio de licencia para ser utilizada.

Por favor, plantee una solicitud de soporte, y nuestro equipo estará encantado de ayudarle a resolver su problema de licencia de migración con la debida prioridad.

Elección del modo Nebula a través de la GUI Web

Una vez que su dispositivo esté ejecutando la versión 5.10 y esté utilizando la configuración predeterminada de fábrica, cuando intente iniciar sesión en el Configurador Web por primera vez, se requerirá una actualización de la contraseña predeterminada de administrador ("1234").

  • Modo Nebula

Seleccione Nebula Mode para gestionar su dispositivo Zyxel utilizando Nebula Control Center (NCC). NCC es un sistema de gestión de red basado en la nube que le permite gestionar y supervisar su dispositivo Zyxel de forma remota.

Siga el asistente del modo Nebula para configurar los ajustes de la WAN para pasar la gestión de su Dispositivo Zyxel a NCC.

mceclip4.png mceclip5.png

Una vez que el modo de gestión y la WAN del dispositivo estén configurados para permitir el acceso a Internet, puede pasar a Nebula para continuar con la configuración. Encontrará más información en la sección "Nebula modo nativo".

  • Migrar remotamente del modo local al modo Nebula

Incluso si tiene una configuración IP estática o una configuración predeterminada de fábrica, puede cambiar su solución de gestión local al modo en la nube Nebula de forma remota mediante la interfaz gráfica de usuario web. Tenga en cuenta que el dispositivo se restablecerá a los valores de fábrica y se perderán las configuraciones. En Nebula Fase 13, no tiene que ir in situ para restablecer a valores de fábrica el dispositivo antes de migrar a Nebula. Ahora puede hacerlo de forma remota.

Los requisitos para migrar remotamente a Nebula es que el cortafuegos:

  • Debe estar en modo nativo Nebula, lo que significa que debe contener el certificado ZTP.
  • El dispositivo debe estar en línea (se necesita acceso WAN (Internet)).

Nota: Si tiene el dispositivo en modo local, puede omitir el paso "Modo nativo Nebula".

  • Cree una organización y un sitio

Si aún no ha establecido una organización y un sitio Nebula, siga el artículo del enlace proporcionado. Una vez que haya completado ese paso, podemos proceder con el proceso de registro.
Nebula [Sitio/Organización] - ¿Cómo crear/eliminar una organización y un sitio en Nebula Control Center?

Configurar el cortafuegos en el portal Nebula

Antes de realizar estos pasos, tenga a mano la topología de la red, la configuración del cortafuegos y la configuración de la WAN. Esta información le permitirá preconfigurar los ajustes del cortafuegos antes de activarlo en Nebula. El Cortafuegos sincronizará automáticamente esta configuración cuando se conecte a Nebula. Al crear el sitio, puede especificar el modelo de su cortafuegos sin añadirlo. Esto permite preconfigurar algunos parámetros antes de añadir el propio dispositivo.

  • Configuración del grupo de puertos 
Site-wide -> Configure -> Firewall -> Port
  • Para configurar los grupos de puertos WAN/LAN o añadir grupos WAN/LAN que se ajusten a su escenario.
  • Сonfigure los ajustes WAN si tiene una IP estática 
Site-wide -> Configure -> Firewall - interfaces
  • para cambiar las direcciones IP de la interfaz WAN/LAN para que coincidan con su escenario.

Registre el cortafuegos y elija el método de despliegue

Modo manual 

Go to Site-wide -> License & Inventory

Entre en la página del dispositivo y haga clic en "Añadir" para registrar el cortafuegos. Puede registrar varios dispositivos introduciendo la dirección MAC y el número de serie

Después, puede asignar el dispositivo al sitio correcto. Puede tener varios dispositivos en una organización, desde aquí puede seleccionar un dispositivo específico y asignarlo al sitio correspondiente:

mceclip9.png

Aparecerá una ventana emergente en la que podrá seleccionar el método de despliegue del dispositivo.

Modo de provisión Zero Touch

Para la primera vez que el dispositivo se inscribe en Nebula, se debe utilizar el modo de Aprovisionamiento Cero Toques ya que el dispositivo necesita el proceso ZTP para ser capaz de Cloud. Ir a Ejecutar proceso ZTP

El modo nativo Nebula

Cuando registre por primera vez su dispositivo en Nebula, deberá asegurarse de que tiene el certificado ZTP en su dispositivo. En todos los dispositivos, el cortafuegos tiene que pasar primero por el proceso ZTP una vez. En los dispositivos más nuevos, el certificado ZTP podría estar ya en el cortafuegos (por favor, compruebe si tiene el certificado ZTP aquí - si no tiene el certificado ZTP necesita hacer el proceso ZTP y no puede hacer el modo nativo para poner el cortafuegos en línea).

  • Restablecer el dispositivo a la configuración por defecto

Cuando desee migrar del modo Stand-alone a Nebula, primero debe restablecer el dispositivo utilizando el botón RESET situado en la parte frontal del dispositivo (manteniéndolo pulsado durante 15 segundos). Si durante el proceso cambia el más mínimo ajuste (por ejemplo, la contraseña de administrador), la migración no tendrá éxito.

  • Comprueba si tienes DHCP o IP estática en la WAN

Si dispone de IP estática en su WAN, deberá iniciar sesión en el dispositivo a través de la interfaz gráfica de usuario web, seleccionar el modo Nebula e introducir la información IP necesaria para establecer una conexión:

mceclip11.png

Si dispone de IP estática en la WAN, siga el asistente que se indica a continuación y, una vez finalizado, vaya al paso 2: registre el dispositivo:

mceclip12.png
  • Elija el Modo Nativo

Conecte su puerto WAN al puerto indicado en la imagen (en este ejemplo P2) y la LAN al puerto indicado (en este ejemplo P4) - Nota: No debe conectar nada más.

mceclip13.png
  • Debería poder ver que está esperando a que el dispositivo se conecte a Nebula (en Dispositivos -> Cortafuegos):

El cortafuegos debería reiniciarse rápidamente y, tras el reinicio, el dispositivo debería conectarse en 20 minutos.

Solución de problemas - "Dispositivo en espera conectado" [Comprobación del certificado ZTP]

Si tu dispositivo está atascado en modo Nativo "Esperandodispositivo conectado" - necesitas comprobar que tienes el certificado ZTP:

Entra vía SSH en el dispositivo (usando el programa Putty o Teraterm) y escribe show native mode cert file status:

mceclip15.png

Si obtienes un error o el certificado no está ahí, es que aún no has hecho el proceso ZTP en ese cortafuegos y necesitas usar el proceso ZTP esta vez. También puede ser que no tenga la versión de firmware 5.10 y necesite actualizar el cortafuegos antes de utilizar el modo nativo.

  • Migrar del modo on-premise al modo Nebula en Web GUI 
Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula
mceclip0.png

A continuación, aparecerá una ventana emergente y debe hacer clic en sí:

mceclip1.png

A continuación, espere a que el dispositivo se conecte en Nebula.

Ejecutar el proceso ZTP

Los vídeos mostrados al principio del artículo muestran todo el proceso con la única diferencia de la última parte. Esta última parte corresponde al proceso ZTP para el que existen dos métodos, tal y como se muestra en el vídeo. Este método se trata en las 2 subsecciones siguientes.

mceclip16.png

Para el proceso ZTP, es necesario especificar cómo se configurará la conexión WAN (DCHP/PPPoE/IP estática) y especificar una dirección de correo electrónico a la que se enviará el correo electrónico que contiene el enlace y el archivo JSON. "Instalaré el cortafuegos yo mismo" envía el correo electrónico a la cuenta que está añadiendo el dispositivo al sitio en ese momento. También es posible especificar cualquier otra cuenta de correo electrónico para que un instalador pueda ejecutar el proceso ZTP.

mceclip17.png

  • Activar la capacidad de Firewall en la nube a través de URL

Teniendo el dispositivo con el último firmware en ejecución, conecte el puerto de alimentación a una fuente de alimentación adecuada y encienda el cortafuegos. Espere a que el LED SYS se encienda en verde fijo. A continuación, conecte la interfaz WAN (P2) a Internet.

Conecte la interfaz LAN (P4) al ordenador.


mceclip18.png

Abra el correo electrónico recibido de Nebula y haga clic en "Permitir a Nebula administrar mi dispositivo".

mceclip19.png

Espere hasta que Nebula Zero Touch Provisioning se haya realizado correctamente. Haga clic en "Ir a Nebula Centro de control" para acceder a Nebula.

mceclip20.png

El dispositivo tardará unos minutos en conectarse a Nebula y estar en línea.

Nota: Si tiene un dispositivo como AP ya conectado en el puerto 4 del USG FLEX, y el AP ya está proporcionando una red Wi-Fi en la subred 192.168.1.1/24, puede ejecutar el ZTP vía URL desde cualquier dispositivo conectado a la red Wi-Fi, permitiendo hacerlo desde un dispositivo Móvil.

  • Activar la capacidad de Firewall en la nube vía USB

Alternativamente, también puede activar el Firewall utilizando una memoria USB. Copie el archivo adjunto en el correo electrónico enviado desde Nebula a un USB nuevo/limpio (FAT32), y conéctelo al puerto USB del Firewall. Encienda el Firewall, el LED SYS parpadea en rojo cuando se está conectando a Nebula y en verde fijo cuando está conectado.

Vaya a Nebula Dashboard para comprobar el estado de la pasarela.

mceclip21.png

El dispositivo tardará unos minutos en conectarse a Nebula y estar en línea.

Solución de problemas

  • La conexión a Internet no funciona - Compruebe la conexión a Internet

El navegador web muestra que la conexión a Internet no funciona cuando se accede a la URL del correo electrónico.

mceclip23.png


Compruebe su conexión a Internet y asegúrese de que se conecta a la interfaz WAN (P2). A continuación, haz clic en "Reintentar" para volver a realizar el ZTP.

mceclip24.png



También puedes hacer clic en "Herramientas de prueba de red" para iniciar sesión en la GUI web del dispositivo para seguir resolviendo problemas. El usuario es "support" y la contraseña es el número de serie del cortafuegos.

mceclip25.png

Si tiene una conexión de IP estática / PPPoE, vuelva a comprobar que ha introducido la información de IP estática en el dispositivo localmente:

mceclip26.png
Go to Configuration -> WAN Settings and double-check that everything is filled in correctly
mceclip27.png
  • Zero Touch Provisioning (ZTP) falla porque este dispositivo no está en el estado predeterminado de fábrica

Mantenga pulsado el botón de reinicio durante 5 segundos para restablecer el dispositivo a los valores predeterminados de fábrica. A continuación, haga clic en la URL para volver a realizar el ZTP.

mceclip28.png
  • ZTP por USB: El LED SYS no deja de parpadear en rojo

Nebula El panel de control muestra que el cortafuegos está desconectado.
Si el ZTP por USB falla, comprueba la conexión a Internet. Abre el archivo ztpresult.log en USB para comprobar el estado.

mceclip29.png

Aquí tienes un ejemplo:

mceclip30.png


ZTP falla porque no hay ningún archivo ZTP que coincida en el USB para este dispositivo. Por favor, asegúrate de copiar el archivo ZTP correcto.

  • El modo Nebula no se muestra al acceder a la GUI Web

Puedes actualizar tu dispositivo a través de la interfaz del configurador Web del dispositivo (compruébalo aquí) o utilizando la utilidad ZON. Este artículo muestra cómo hacerlo a través de la utilidad ZON.

Asegúrese de que ha instalado ZON en su ordenador. Si no es así, puedes descargarlo aquí:

Utilidad de Red Zyxel One (ZON)

Conecte el puerto de alimentación a la fuente de alimentación y encienda el cortafuegos. Espere a que el LED SYS se ilumine en verde fijo. Conecte su ordenador al puerto 4 (P4) del cortafuegos.

mceclip31.png

Abra ZON en su ordenador para escanear el cortafuegos. Seleccione el cortafuegos y, a continuación, haga clic en "Actualización del firmware":

mceclip32.png



Seleccione la última versión de firmware de la nube e introduzca la contraseña predeterminada "1234" para actualizar. El proceso de firmware tarda unos 5 minutos en completarse.

mceclip33.png

Licencias para la serie USG FLEX

  • Licencia Nebula incluida para su USG FLEX en Nebula Control Center

Si su USG Flex venía con una licencia incluida, disfrutará automáticamente de un paquete profesional Nebula de 1 año para su dispositivo. La licencia de servicio UTM se transferirá sin problemas a Nebula, independientemente del tiempo que le quede.

En caso de que su USG no venga con una licencia incluida, seguirá disfrutando de 30 días de prueba para sus servicios UTM. Los servicios Nebula Pro Pack también incluyen 30 días de prueba automáticamente mientras se crea su organización.

El periodo de prueba de la licencia también se aplica a su dispositivo con un paquete de licencias.

  • Migración de mi licencia existente de NSG (NSS) a USG FLEX (UTM)

Para migrar la licencia de su NSG anterior al USG FLEX en la nube, se aplica la siguiente tabla de asignación. Por ejemplo, NSG 100 sólo puede migrar su licencia a USG FLEX 200 y no puede migrar la licencia a otros modelos de USG FLEX.

Serie NSG NSG50 NSG100 NSG200 NSG300
Serie USG FLEX USG FLEX 100/100W USG FLEX 200 USG FLEX 500 USG FLEX 700

En caso de que su USG FLEX 100 ya tenga una licencia de 1 año, después de migrar la licencia restante del NSG50 (Ej.: 6 meses) al USG FLEX 100, este último termina teniendo 1 año y medio de licencia para ser utilizada.

  • Limitaciones con el cambio al modo Nebula

Hay algunas limitaciones y la siguiente característica aún no están disponibles en el modelo de nube para el USG FLEX:

- HA de dispositivo
- Seguridad de correo electrónico (antispam)
- Inspección SSL
- Enrutamiento dinámico (RIP, OSPF, BGP)
- Funciones IPv6 relacionadas
- Controlador AP (Nebula Control Center debe utilizarse como controlador AP)
- Servicio de punto de acceso (Nebula Control Center ya admite servicios de punto de acceso como Voucher y Walled garden)

Si tiene algún otro problema, no dude en ponerse en contacto con nuestro equipo de soporte.

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 3 de 4
Compartir

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.