USG FLEX -palomuurimme voidaan hallita ja ottaa käyttöön Nebula Control Centerin (NCC) kautta ZLD5.00-laiteohjelmistoversiosta alkaen. ATP-sarja voidaan hallita NCC:ssä ZLD5.10-laiteohjelmistoversiosta lähtien. Tämä opas näyttää, kuinka laite lisätään Nebula -alustalle ZTP-prosessin avulla ja kuinka palomuuriasetukset voidaan esikonfiguroida Nebula -palvelussa ennen laitteen toimittamista asennuspaikalle. Tässä artikkelissa kerrotaan, kuinka rekisteröit palomuurisi Nebula -palveluun. Se on jaettu eri osioihin, joten siirry taulukosta sinua koskevaan kohtaan.
 Huomautus: ZTP-tila ei ole käytettävissä versiosta 5.37 patch 1 alkaen, joten laitteen käyttöönotto Nebula -palveluun on tehtävä natiivitilassa. Vaikutuksen saaneet mallit ovat seuraavat. ATP-sarja: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 USG FLEX -sarja: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Miksi en voi käyttää ZTP- tai natiivitilaa palomuurini käyttöönotossa Nebula-palvelussa?

Jos sinulla on vaikeuksia lisätä laitetta Nebula -palveluun, se voi tarkoittaa, että laite on valmistettu ennen vuoden 2023 loppua ja vaatii Zero Touch Provisioning (ZTP) -prosessin suorittamisen loppuun. Jatka seuraavasti:

• Palauta laitteen laiteohjelmisto aiempaan versioon
• Suorita tarvittava ZTP-prosessi
• Kun laite on lisätty onnistuneesti, päivitä se uusimpaan laiteohjelmistoversioon

Kuinka rekisteröidä palomuuri Nebula -palveluun (videot)

Huomautus: Laitteesi on palautettava tehdasasetuksiin, jotta se voidaan liittää Nebula -palveluun, jolloin kaikki aiemmat asetukset menetetään. Kun laite on liitetty Nebula -palveluun, se konfiguroidaan automaattisesti Nebula oletusasetusten mukaisesti. Huomioithan myös, että pilvimuodossa USG FLEX:lle ei vielä ole käytettävissä seuraavia ominaisuuksia:

• Laitteen HA
• Sähköpostin suojaus (roskapostin esto)
• SSL-tarkastus
• Dynaaminen reititys (RIP, OSPF, BGP)
• IPv6:een liittyvät ominaisuudet
• AP-ohjain (Nebula Control Centeriä tulisi käyttää AP-ohjaimena)
• Hotspot-palvelu (Nebula Control Center tukee jo hotspot-palveluita, kuten Voucheria ja Walled Gardenia)

Lisensointi

• USG FLEX -laitteesi lisensointi Nebula Control Centerissä

Jos USG Flex -laitteesi toimitettiin lisenssipaketin kanssa, saat automaattisesti 1 vuoden Nebula Professional Pack -lisenssin laitteellesi. UTM-palvelun lisenssi siirtyy saumattomasti Nebula -palveluun, riippumatta jäljellä olevasta käyttöajasta.

Jos USG-laitteesi ei tullut lisenssipaketin kanssa, saat silti 30 päivän kokeilujakson UTM-palveluillesi. Nebula PRO Pack -palvelut sisältävät myös automaattisesti 30 päivän kokeilujakson, kun organisaatiosi luodaan.

Kokeilulisenssin voimassaolo koskee myös laitetta, jolla on lisenssipaketti.

• Siirrän olemassa olevan NSG-lisenssini (NSS) USG FLEX (UTM) -laitteeseen

Siirtääksesi lisenssin NSG:stä USG FLEXiin pilvessä, sovelletaan seuraavaa vastaavuustaulukkoa. Esimerkiksi NSG 100 voi siirtää lisenssinsä vain USG FLEX 200:aan eikä muihin USG FLEX -malleihin.

Jos USG FLEX 100:lla on jo 1 vuoden lisenssi, siirrettäessä jäljellä oleva lisenssi NSG50:stä (esim. 6 kuukautta) USG FLEX 100:aan, laitteella on käytettävissä yhteensä puolentoista vuoden lisenssi.

Ole hyvä ja tee tukipyyntö, niin tiimimme auttaa mielellään lisenssisiirtosi ongelmien ratkaisemisessa kiireellisesti.

Valitse Nebula -tila Web GUI:n kautta

Kun laitteesi käyttää versiota 5.10 ja tehdasasetuksia, sinun on vaihdettava oletushallintapassword ("1234") ensimmäisellä kirjautumiskerralla Web Configuratoriin.

• Nebula -tila

Valitse Nebula -tila hallitaksesi Zyxel-laitettasi Nebula Control Centerin (NCC) kautta. NCC on pilvipohjainen verkonhallintajärjestelmä, jonka avulla voit hallita ja valvoa Zyxel-laitettasi etänä.

Seuraa Nebula -tilan ohjattua toimintoa WAN-asetusten määrittämiseksi, jotta Zyxel-laitteesi hallinta siirtyy NCC:lle.

Kun hallintatila ja laitteen WAN on määritetty ja internet-yhteys sallittu, voit jatkaa Nebula -palveluun lisäasetuksia varten. Lisätietoja on kohdassa "Nebula natiivitila".

• Siirry etänä paikallisesta hallinnasta Nebula -tilaan

Vaikka sinulla olisi staattiset IP-asetukset tai tehdasasetukset, voit vaihtaa paikallisen hallintaratkaisusi Nebula pilvitilaan etänä Web GUI:n kautta. Huomaa, että laite palautetaan tehdasasetuksiin ja asetukset menetetään. Nebula vaiheessa 13 sinun ei tarvitse mennä paikan päälle tehdasasetusten palauttamiseksi ennen siirtymistä Nebula -palveluun, vaan voit tehdä sen etänä.

Edellytyksenä etäsiirrolle Nebula -palveluun on, että palomuuri:

• On Nebula natiivitilassa, mikä tarkoittaa, että siinä on ZTP-sertifikaatti
• Laite on online-tilassa (WAN (internet) -yhteys vaaditaan)

Huomautus: Jos laite on paikallisessa tilassa, voit ohittaa kohdan "Nebula natiivitila"

• Luo organisaatio ja sivusto

Jos et ole vielä luonut Nebula organisaatiota ja sivustoa, seuraa annettua linkkiä. Kun tämä vaihe on suoritettu, voimme jatkaa rekisteröintiprosessiin.
Nebula [Sivusto/Organisaatio] - Kuinka luoda/poistaa organisaatio ja sivusto Nebula Control Centerissä?

Konfiguroi palomuuri Nebula -portaalissa

Ennen näiden vaiheiden suorittamista, varmista, että sinulla on verkon topologia, palomuurin asetukset ja WAN-konfiguraatio valmiina. Tämä tieto mahdollistaa palomuurin asetusten esikonfiguroinnin ennen laitteen kytkemistä Nebula -palveluun. Palomuuri synkronoi tämän konfiguraation automaattisesti, kun se yhdistyy Nebula -palveluun. Sivustoa luodessasi voit määrittää palomuurisi mallin ilman, että lisäät sitä heti. Tämä mahdollistaa joidenkin parametrien esikonfiguroinnin ennen laitteen lisäämistä.

• Porttiryhmien asetukset

Site-wide -> Configure -> Firewall -> Port

• Konfiguroi WAN/LAN-porttiryhmät tai lisää WAN/LAN-ryhmiä vastaamaan tarpeitasi.

• Konfiguroi WAN-asetukset, jos sinulla on staattinen IP

Site-wide -> Configure -> Firewall - interfaces

•  muuttaaksesi WAN/LAN-liittymien IP-osoitteita vastaamaan skenaarioasi.

Rekisteröi palomuuri ja valitse käyttöönoton tapa

Manuaalinen tila

Siirry kohtaan Site-wide -> License & Inventory

Siirry laitteen sivulle ja napsauta "Add" rekisteröidäksesi palomuurin. Voit rekisteröidä useita laitteita syöttämällä MAC-osoitteen ja sarjanumeron

Tämän jälkeen voit määrittää laitteen oikeaan sivustoon. Organisaatiossa voi olla useita laitteita, joista voit valita tietyn laitteen ja määrittää sen vastaavalle sivustolle:

Avautuu ponnahdusikkuna, jossa voit valita laitteen käyttöönoton tavan.

Zero Touch Provision -tila

Kun laite rekisteröidään ensimmäistä kertaa Nebula -palveluun, on käytettävä Zero Touch Provision -tilaa, sillä laite tarvitsee ZTP-prosessin tullakseen pilvikelpoiseksi. Siirry kohtaan Suorita ZTP-prosessi

Nebula natiivitila

Kun rekisteröit laitteen ensimmäistä kertaa Nebula -palveluun, varmista, että laitteessasi on ZTP-sertifikaatti. Kaikissa laitteissa palomuurin on ensin käytävä läpi ZTP-prosessi kerran. Uudemmissa laitteissa ZTP-sertifikaatti voi jo olla palomuurissa (tarkista, onko sinulla ZTP-sertifikaatti tästä - jos sinulla ei ole ZTP-sertifikaattia, sinun täytyy suorittaa ZTP-prosessi eikä natiivitilaa voi käyttää palomuurin saamiseksi online-tilaan).

• Palauta laite tehdasasetuksiin

Kun haluat siirtyä erillistilasta Nebula -palveluun, sinun on ensin palautettava laite painamalla laitteen etuosassa olevaa RESET-painiketta 15 sekunnin ajan. Jos prosessin aikana muutat edes vähäisintä asetusta (esim. ylläpitäjän salasanaa), siirtyminen ei onnistu.

• Tarkista, onko WAN:ssa DHCP vai staattinen IP

Jos WAN:ssa on staattinen IP, kirjaudu laitteeseen Web GUI:n kautta, valitse Nebula -tila ja syötä tarvittavat IP-tiedot yhteyden muodostamiseksi:

Jos WAN:ssa on staattinen IP, käy läpi alla oleva ohjattu toiminto ja kun olet valmis, siirry kohtaan 2 - rekisteröi laite:

• Valitse natiivimoodi

Yhdistä WAN-portti kuvan osoittamaan porttiin (tässä esimerkissä P2) ja LAN-portti kuvan osoittamaan porttiin (tässä esimerkissä P4) - Huomautus: Muuta laitteita ei saa olla kytkettynä

• Näet, että laite odottaa yhdistämistä Nebula -palveluun (Devices -> Firewall):

Palomuuri käynnistyy nopeasti uudelleen ja uudelleenkäynnistyksen jälkeen laite tulee online-tilaan noin 20 minuutin kuluessa.

Vianmääritys - "Odotetaan laitteen yhdistämistä" [ZTP-sertifikaatin tarkistus]

Jos laitteesi on jumissa natiivitilassa "Odotetaan laitteen yhdistämistä", sinun tulee tarkistaa, että sinulla on ZTP-sertifikaatti:

Kirjaudu laitteeseen SSH:n kautta (käyttäen Putty- tai Teraterm-ohjelmaa) ja kirjoita komento show native mode cert file status:

Jos saat virheen tai sertifikaattia ei ole, et ole vielä suorittanut ZTP-prosessia kyseisellä palomuurilla ja sinun tulee käyttää ZTP-prosessia tällä kertaa. Voi myös olla, että sinulla ei ole 5.10-laiteohjelmistoversiota ja sinun täytyy päivittää palomuuri ennen natiivitilan käyttöä.

• Siirry paikallisesta tilasta Nebula -tilaan Web GUI:n kautta

Siirry kohtaan Configuration -> Mgmt. & Analytics -> Nebula, napsauta sitten Apply ja Go To Nebula

Saat ponnahdusikkunan, johon sinun tulee vastata kyllä:

Odota, että laite tulee online-tilaan Nebula -palvelussa.

Suorita ZTP-prosessi

Artikkelin alussa olevat videot näyttävät koko prosessin, jossa vain viimeinen osa eroaa. Tämä viimeinen osa vastaa ZTP-prosessia, johon on kaksi eri menetelmää videolla esitettynä. Tämä menetelmä on kuvattu kahdessa seuraavassa alakohdassa.

ZTP-prosessissa on määritettävä, miten WAN-yhteys muodostetaan (DHCP/PPPoE/Staattinen IP) ja annettava sähköpostiosoite, johon lähetetään sähköposti, joka sisältää linkin ja JSON-tiedoston. "Asennan palomuurin itse" lähettää sähköpostin tilille, jolla laite lisätään sivustolle. Voit myös määrittää minkä tahansa muun sähköpostiosoitteen, jotta asentaja voi suorittaa ZTP-prosessin.

• Aktivoi palomuurin pilvitoiminnallisuus URL:n kautta

Kun laitteessa on uusin laiteohjelmisto, kytke virtaportti sopivaan virtalähteeseen ja käynnistä palomuuri. Odota, että SYS-LED palaa vihreänä. Kytke sitten WAN (P2) -liitin internetiin.

Yhdistä LAN (P4) -liitin tietokoneeseen.

Avaa Nebula -palvelusta vastaanotettu sähköposti ja napsauta "Salli Nebula hallita laitetta".
 

Odota, että Nebula Zero Touch Provisioning onnistuu. Napsauta "Siirry Nebula Control Centeriin" päästäksesi Nebula -palveluun.

Laitteen yhdistäminen Nebula -palveluun ja online-tilaan voi kestää muutaman minuutin.

Huomautus: Jos sinulla on esimerkiksi AP laitteessa USG FLEX:n portissa 4, ja AP tarjoaa Wi-Fi-verkon aliverkossa 192.168.1.1/24, voit suorittaa ZTP:n URL:n kautta mistä tahansa Wi-Fi-verkkoon liitetystä laitteesta, myös mobiililaitteella.

• Aktivoi palomuurin pilvitoiminnallisuus USB:n kautta

Vaihtoehtoisesti voit aktivoida palomuurin myös USB-muistitikun avulla. Kopioi sähköpostissa Nebula -palvelusta lähetetty liitetiedosto uuteen/tyhjään USB-tikkuun (FAT32) ja liitä se palomuurin USB-porttiin. Käynnistä palomuuri, SYS-LED vilkkuu punaisena yhdistettäessä Nebula -palveluun ja palaa tasaisesti vihreänä, kun yhteys on muodostettu.

Siirry Nebula -hallintapaneeliin tarkistaaksesi portin tilan.

Laitteen yhdistäminen Nebula -palveluun ja online-tilaan voi kestää muutaman minuutin.

Vianmääritys

• Internet-yhteys ei toimi - Tarkista internet-yhteys

Selaimessa näkyy, että internet-yhteys on katkennut, kun sähköpostin URL:ää yritetään avata.

Tarkista internet-yhteytesi ja varmista, että olet yhdistänyt WAN (P2) -liittimeen. Napsauta "Yritä uudelleen" suorittaaksesi ZTP:n uudestaan.

Voit myös napsauttaa "Network Test Tools" kirjautuaksesi laitteen web-GUI:hin lisävianmääritystä varten. Käyttäjänimi on "support" ja salasana on palomuurin sarjanumero.

Jos sinulla on staattinen IP / PPPoE-yhteys, tarkista, että olet syöttänyt staattiset IP-tiedot laitteeseen paikallisesti:

Siirry kohtaan Configuration -> WAN Settings ja tarkista, että kaikki on oikein täytetty

• Zero Touch Provisioning (ZTP) epäonnistuu, koska laite ei ole tehdasasetuksissa

Pidä reset-painiketta painettuna 5 sekuntia palauttaaksesi laitteen tehdasasetuksiin. Napsauta sitten URL:ää suorittaaksesi ZTP:n uudelleen.

• ZTP USB:n kautta: SYS LED ei lopeta punaisen vilkkumista

Nebula -hallintapaneeli näyttää, että palomuuri on offline-tilassa.
Jos ZTP USB:n kautta epäonnistuu, tarkista internet-yhteys. Avaa USB:llä oleva ztpresult.log-tiedosto tarkistaaksesi tilan.

Tässä esimerkki:

ZTP epäonnistuu, koska USB:llä ei ole tätä laitetta vastaavaa ZTP-tiedostoa. Varmista, että kopioit oikean ZTP-tiedoston.

• Nebula -tila ei näy Web GUI:hin kirjautuessa

Voit päivittää laitteesi Device Web configuratorin kautta tai käyttämällä ZON-ohjelmaa. Tämä artikkeli näyttää, kuinka päivitys tehdään ZONin avulla.

Varmista, että olet asentanut ZONin tietokoneellesi. Jos et ole, voit ladata sen täältä:

Zyxel One Network Utility (ZON)

Yhdistä virtaportti virtalähteeseen ja käynnistä palomuuri. Odota, että SYS LED palaa vihreänä. Yhdistä tietokone palomuurin porttiin 4 (P4).

Avaa ZON tietokoneellasi ja skannaa palomuuri. Valitse palomuuri ja napsauta "Firmware Upgrade":

Valitse uusin laiteohjelmistoversio pilvestä ja syötä oletussalasana “1234” päivityksen aloittamiseksi. Päivitys kestää noin 5 minuuttia.

Lisensointi USG FLEX -sarjalle

• Bundlattu Nebula -lisensointi USG FLEX -laitteellesi Nebula Control Centerissä

Jos USG Flex -laitteesi toimitettiin lisenssipaketin kanssa, saat automaattisesti 1 vuoden Nebula Professional Pack -lisenssin laitteellesi. UTM-palvelun lisenssi siirtyy saumattomasti Nebula -palveluun riippumatta jäljellä olevasta käyttöajasta.

Jos USG-laitteesi ei tullut lisenssipaketin kanssa, saat silti 30 päivän kokeilujakson UTM-palveluillesi. Nebula Pro Pack -palvelut sisältävät myös automaattisesti 30 päivän kokeilujakson, kun organisaatiosi luodaan.

Kokeilulisenssin voimassaolo koskee myös laitetta, jolla on lisenssipaketti.

• Siirrän olemassa olevan NSG-lisenssini (NSS) USG FLEX (UTM) -laitteeseen

Siirtääksesi lisenssin aiemmasta NSG:stä USG FLEXiin pilvessä, sovelletaan seuraavaa vastaavuustaulukkoa. Esimerkiksi NSG 100 voi siirtää lisenssinsä vain USG FLEX 200:aan eikä muihin USG FLEX -malleihin.

Jos USG FLEX 100:lla on jo 1 vuoden lisenssi, siirrettäessä jäljellä oleva lisenssi NSG50:stä (esim. 6 kuukautta) USG FLEX 100:aan, laitteella on käytettävissä yhteensä puolentoista vuoden lisenssi.

• Rajoituksia Nebula -tilaan siirtymisessä

On olemassa joitakin rajoituksia, ja seuraavat ominaisuudet eivät ole vielä käytettävissä pilvimallissa USG FLEX:lle:

- Laitteen HA
- Sähköpostin suojaus (roskapostin esto)
- SSL-tarkastus
- Dynaaminen reititys (RIP, OSPF, BGP)
- IPv6:een liittyvät ominaisuudet
- AP-ohjain (Nebula Control Centeriä tulisi käyttää AP-ohjaimena)
- Hotspot-palvelu (Nebula Control Center tukee jo hotspot-palveluita, kuten Voucheria ja Walled Gardenia)

Jos kohtaat muita ongelmia, ota rohkeasti yhteyttä tukitiimiimme.