USG FLEX -palomuuriamme voidaan hallita ja ottaa käyttöön Nebula Control Center (NCC) -ohjauskeskuksella ZLD5.00-firmaohjelmistosta alkaen. ATP-sarjaa voidaan hallita NCC:ssä ZLD5.10-firmaohjelmistosta alkaen. Tässä oppaassa kerrotaan, miten laite lisätään PRD_N_tKhTLFGVVrY_0:een ZTP-prosessin avulla ja miten palomuuriasetukset esiasetetaan PRD_N_tKhTLFGVVrY_0:ssa ennen laitteen toimittamista paikan päällä tapahtuvaa asennusta varten. Tässä artikkelissa kerrotaan, miten palomuuri rekisteröidään PRD_N_tKhTLFGVVrY_0:ssa. Se on jaettu eri osioihin, joten siirry sisällysluettelosta sinulle sopivaan osioon.
Huomautus: ZTP-tila ei ole käytettävissä versiosta 5.37 patch 1 alkaen, joten laite on otettava käyttöön Nebula:ssa natiivitilassa. Tässä ovat mallit, joita tämä koskee. ATP-sarja: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 USG FLEX -sarja: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN.

Miksi en voi käyttää ZTP:tä tai natiivitilaa palomuurin käyttöönotossa Nebula:ssa?

Jos laitteesi lisääminen PRD_N_tKhTLFGVVrY_0:een tuottaa vaikeuksia, se voi viitata siihen, että laitteesi on valmistettu ennen vuoden 2023 loppua ja vaatii Zero Touch Provisioning (ZTP) -prosessin suorittamista. Jatka seuraavasti:

• Päivitä laitteesi laiteohjelmisto alaspäin
• Suorita ZTP-prosessi vaaditulla tavalla
• Kun lisäys on onnistunut, päivitä laite uusimpaan laiteohjelmistoversioon.

Palomuurin rekisteröinti Nebula:een (Videot)

Huomautus: Laite on palautettava oletusasetuksiin, jotta se voidaan liittää PRD_N_tKhTLFGVVrY_0:een, jolloin kaikki aiemmat asetukset, jotka on mahdollisesti määritetty, menetetään. Kun laite on liitetty PRD_N_tKhTLFGVVrY_0:een, se konfiguroidaan automaattisesti PRD_N_tKhTLFGVVrY_0:n oletusasetuksilla. Huomaa myös, että USG FLEX -laitteen pilvitilassa on joitakin rajoituksia, eivätkä seuraavat ominaisuudet ole vielä käytettävissä:

• Laite HA
• Sähköpostin suojaus (roskapostin torjunta)
• SSL-tarkastus
• Dynaaminen reititys (RIP, OSPF, BGP).
• Aiheeseen liittyvät IPv6-ominaisuudet
• AP-ohjain (Nebula Control Centeriä tulisi käyttää AP-ohjaimena sen sijaan).
• Hotspot-palvelu (Nebula Control Center tukee jo hotspot-palveluja, kuten Voucher, Walled garden).

Lisensointi

• USG FLEX -laitteen lisensointi PRD_N_tKhTLFGVVrY_0 Control Centeriin.

Jos USG Flex -laitteesi mukana tuli niputettu lisenssi, saat automaattisesti PRD_N_tKhTLFGVVrY_0 Professional Packin 1 vuodeksi laitteellesi. UTM-palvelulisenssi siirtyy saumattomasti PRD_N_tKhTLFGVVrY_0-palveluun jäljellä olevasta ajasta riippumatta.

Jos USG-laitteesi mukana ei tullut pakettilisenssiä, voit silti nauttia 30 päivän kokeilujaksosta UTM-palveluille. PRD_N_tKhTLFGVVrY_0 PRO Pack -palvelut sisältävät myös 30 päivän kokeilujakson automaattisesti, kun organisaatiosi luodaan.

Kokeilulisenssiaika koskee myös laitettasi, jossa on niputuslisenssi.

• Olemassa olevan NSG-lisenssin (NSS) siirtäminen USG FLEXiin (UTM).

Jos haluat siirtää lisenssin NSG:stäsi pilvipalvelussa olevaan USG FLEXiin, sovelletaan seuraavaa kartoitustaulukkoa. Esimerkiksi NSG 100 voi siirtää lisenssinsä vain USG FLEX 200:een, eikä lisenssiä voi siirtää muihin USG FLEX -malleihin.

Jos USG FLEX 100 -laitteessa on jo 1 vuoden lisenssi, kun jäljellä oleva lisenssi siirretään NSG50:stä (esim. 6 kuukautta) USG FLEX 100:een, jälkimmäisellä on 1,5 vuoden lisenssi käytettäväksi.

Laita tukipyyntö, ja tiimimme auttaa sinua mielellään ratkaisemaan migraatiolisenssiongelmasi ensisijaisesti.

Nebula-tilan valitseminen Web GUI:n kautta.

Kun laitteessasi on 5.10 ja se käyttää tehdasasetuksia, kun yrität kirjautua Web-konfiguraattoriin ensimmäistä kertaa, vaaditaan ylläpitäjän oletussalasanan ("1234") päivittämistä.

• Nebula Tila

Valitse PRD_N_tKhTLFGVVrY_0 Mode (Nebula-tila), jos haluat hallita Zyxel-laitetta Nebula Control Centerin (NCC) avulla. NCC on pilvipohjainen verkonhallintajärjestelmä, jonka avulla voit hallita ja valvoa Zyxel-laitetta etänä.

Seuraa ohjatun PRD_N_tKhTLFGVVrY_0-tilan ohjattua toimintoa määrittääksesi WAN-asetukset, jotta Zyxel-laitteesi hallinta siirtyy NCC:lle.

Kun hallintatila ja laitteen WAN on määritetty siten, että Internet-yhteys on mahdollinen, voit jatkaa PRD_N_tKhTLFGVVrY_0-tilan jatkoasetuksia. Lisätietoja on kohdassa "PRD_N_tKhTLFGVVrY_0 natiivitila".

• Siirtyminen etäyhteydellä paikallisesta tilasta PRD_N_tKhTLFGVVrY_0-tilaan.

Vaikka sinulla olisi staattiset IP-asetukset tai tehdasasetukset, voit vaihtaa on-prem-hallintaratkaisun PRD_N_tKhTLFGVVrY_0 Cloud -tilaan etänä Web GUI:n avulla. Huomaa, että laite palautetaan tehdasasetuksiin ja määritykset menetetään. PRD_N_tKhTLFGVVrY_0-vaiheessa 13 sinun ei tarvitse mennä paikan päälle palauttamaan laitetta tehdasasetuksiin ennen PRD_N_tKhTLFGVVrY_0-tilaan siirtymistä. Nyt voit tehdä sen etänä.

PRD_N_tKhTLFGVVrY_0:aan etämigraation edellytyksenä on, että palomuuri:

• Sen on oltava Nebula Native Mode -tilassa, mikä tarkoittaa, että sen on sisällettävä ZTP-varmenne.
• Laitteen on oltava verkossa (WAN (Internet) -yhteys tarvitaan).

Huomautus: Jos laite on paikallistilassa, voit ohittaa vaiheen "PRD_N_tKhTLFGVVrY_0 native mode".

• Luo organisaatio ja sivusto

Jos et ole vielä perustanut PRD_N_tKhTLFGVVrY_0-organisaatiota ja -sivustoa, seuraa annettua linkkiartikkelia. Kun olet suorittanut tämän vaiheen, voimme jatkaa rekisteröintiprosessia.
PRD_N_tKhTLFGVVrY_0 [Sivusto/organisaatio] - Miten luodaan/poistetaan organisaatio ja sivusto PRD_N_tKhTLFGVVrY_0 Control Centerissä?

Palomuurin konfigurointi PRD_N_tKhTLFGVVrY_0-portaaliin

Ennen kuin teet nämä vaiheet, sinulla on oltava verkkotopologia, palomuuriasetukset ja WAN-konfiguraatio etukäteen. Näiden tietojen avulla voit konfiguroida palomuuriasetukset etukäteen ennen kuin ne otetaan käyttöön Nebula-portaalissa. Palomuuri synkronoi nämä asetukset automaattisesti, kun se muodostaa yhteyden Nebula:een. Kun luot sivustoa, voit määrittää palomuurin mallin lisäämättä sitä. Tämä mahdollistaa joidenkin parametrien esikonfiguroinnin ennen itse laitteen lisäämistä.

• Porttiryhmän asetukset

Site-wide -> Configure -> Firewall -> Port

• WAN/LAN-porttiryhmien määrittäminen tai WAN/LAN-ryhmien lisääminen skenaariosi mukaan.

• Määritä WAN-asetukset, jos sinulla on staattinen IP-osoite.

Site-wide -> Configure -> Firewall - interfaces

• muuttaa WAN/LAN-liitännän IP-osoitteet skenaariosi mukaisiksi.

Rekisteröi palomuuri ja valitse käyttöönottomenetelmä.

Manuaalinen tila

Go to Site-wide -> License & Inventory

Siirry laitesivulle ja rekisteröi palomuuri napsauttamalla "Add" (Lisää). Voit rekisteröidä useita laitteita syöttämällä MAC-osoitteen ja sarjanumeron.

Sen jälkeen voit määrittää laitteen oikeaan sijaintiin. Organisaatiossa voi olla useita laitteita, tästä voit valita tietyn laitteen ja määrittää sen vastaavaan sivustoon:

Esiin tulee ponnahdusikkuna, jossa voit valita laitteen käyttöönottomenetelmän.

Zero Touch Provision -tila

Kun laite rekisteröidään ensimmäistä kertaa Nebula:ssa, on käytettävä Zero Touch Provision -tilaa , koska laite tarvitsee ZTP-prosessin tullakseen Cloud-kykyiseksi. Siirry kohtaan Execute ZTP Process

PRD_N_tKhTLFGVVrY_0 natiivitila.

Kun rekisteröit laitteen ensimmäisen kerran PRD_N_tKhTLFGVVrY_0:een, sinun on varmistettava, että laitteessa on ZTP-varmenne. Kaikissa laitteissa palomuurin on ensin käytävä kerran läpi ZTP-prosessi . Uudemmissa laitteissa ZTP-varmenne voi olla jo palomuurissa (tarkista tästä , onko sinulla ZTP-varmenne - jos sinulla ei ole ZTP-varmentetta, sinun on suoritettava ZTP-prosessi, etkä voi tehdä natiivitilaa saadaksesi palomuurin verkkoon).

• Nollaa laite oletuskokoonpanoon

Kun haluat siirtyä Stand-alone-tilasta PRD_N_tKhTLFGVVrY_0-tilaan, sinun on ensin nollattava laite käyttämällä laitteen etuosassa olevaa RESET-painiketta (pidä sitä alhaalla 15 sekunnin ajan). Jos muutat prosessin aikana pienintäkään asetusta (esim. ylläpitäjän salasanaa), siirtyminen ei onnistu.

• Tarkista, onko WANissa DHCP- tai staattinen IP-osoite.

Jos sinulla on staattinen IP-osoite WAN-verkossa, sinun on kirjauduttava laitteeseen Web GUI:n kautta, valittava Nebula-tila ja syötettävä IP-tiedot, jotka tarvitaan yhteyden muodostamiseksi:

Jos sinulla on staattinen IP-osoite WANissa, käy läpi alla oleva ohjattu toiminto ja siirry sen jälkeen vaiheeseen 2 - rekisteröi laite:

• Valitse natiivitila

Kytke WAN-portti kuvassa mainittuun porttiin (tässä esimerkissä P2) ja LAN-portti kuvassa mainittuun porttiin (tässä esimerkissä P4) - Huomaa: Mitään muuta ei saa kytkeä .

• Sinun pitäisi pystyä näkemään, että se odottaa, että laite yhdistää itsensä Nebula (kohdassa Laitteet -> Palomuuri):

Palomuurin pitäisi nyt tehdä nopea uudelleenkäynnistys, ja uudelleenkäynnistyksen jälkeen laitteen pitäisi olla verkossa 20 minuutin kuluessa.

Vianmääritys - "Odottaa, että laite on yhdistetty" [ZTP-varmenteen tarkistaminen].

Jos laitteesi on jumissa Native-tilassa "Waiting for a device connected" - sinun on tarkistettava kahdesti, että sinulla on ZTP-varmenne:

Kirjaudu SSH:n kautta laitteeseen (käyttäen Putty- tai Teraterm-ohjelmaa) ja kirjoita show native mode cert file status:

Jos saat virheilmoituksen tai sertifikaattia ei ole, et ole vielä tehnyt ZTP-prosessia kyseisessä palomuurissa ja sinun on käytettävä ZTP-prosessia tällä kertaa. Voi myös olla, että sinulla ei ole 5.10 firmware-versiota ja sinun on päivitettävä palomuuri ennen Native-tilan käyttöä.

• Siirtyminen paikallistilasta PRD_N_tKhTLFGVVrY_0-tilaan Web GUI:n kautta.

Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula

Tämän jälkeen näyttöön tulee ponnahdusikkuna, ja sinun on napsautettava kyllä:

Sitten odotat, että laite tulee verkkoon PRD_N_tKhTLFGVVrY_0-tilassa.

Suorita ZTP-prosessi

Artikkelin alussa näytetyissä videoissa näkyy koko prosessi, ja vain viimeinen osa on erilainen. Tämä viimeinen osa vastaa ZTP-prosessia, johon on käytettävissä kaksi menetelmää, kuten videossa näytetään. Tätä menetelmää käsitellään seuraavissa kahdessa alajaksossa.

ZTP-prosessia varten on määritettävä, miten WAN-yhteys asetetaan (DCHP/PPPoE/Static IP), ja määritettävä sähköpostiosoite, johon linkin ja JSON-tiedoston sisältävä sähköposti lähetetään. "Asennan palomuurin itse" lähettää sähköpostin tilille, joka lisää laitteen sivustolle tällä hetkellä. On myös mahdollista määrittää mikä tahansa muu sähköpostitili, jotta asennusohjelma voi suorittaa ZTP-prosessin.

• Aktivoi palomuurin pilviominaisuus URL-osoitteen kautta

Kun laitteessa on uusin laiteohjelmisto käynnissä, kytke virtaportti sopivaan virtalähteeseen ja käynnistä palomuuri. Odota, että SYS LED palaa tasaisen vihreänä. Liitä sitten WAN-liitäntä (P2) Internetiin.

Liitä LAN-liitäntä (P4) tietokoneeseen.

Avaa Nebula:lta saatu sähköposti ja napsauta "Salli Nebula:n hallita laitettani".

Odota, kunnes PRD_N_tKhTLFGVVrY_0 Zero Touch Provisioning onnistui. Napsauta "Siirry PRD_N_tKhTLFGVVrY_0 Ohjauskeskukseen" päästäksesi PRD_N_tKhTLFGVVrY_0:een.

Laitteen yhteyden muodostaminen PRD_N_tKhTLFGVVrY_0:aan ja sen kytkeytyminen verkkoon kestää muutaman minuutin.

Huomautus: Jos laite, kuten AP, on jo kytketty USG FLEXin porttiin 4 ja AP tarjoaa jo Wi-Fi-verkon aliverkossa 192.168.1.1/24, voit suorittaa ZTP:n URL-osoitteen kautta mistä tahansa Wi-Fi-verkkoon kytketystä laitteesta, jolloin se voidaan tehdä mobiililaitteesta.

• Aktivoi palomuurin pilvipalvelu USB:n kautta

Vaihtoehtoisesti voit myös aktivoida palomuurin USB-tikun avulla. Kopioi Nebula:n lähettämän sähköpostin liitteenä oleva tiedosto uudelle/puhtaalle USB-muistille (FAT32) ja liitä se palomuurin USB-porttiin. Käynnistä palomuuri, SYS LED vilkkuu punaisena, kun se on yhteydessä PRD_N_tKhTLFGVVrY_0:aan, ja tasaisen vihreänä, kun se on yhteydessä.

Tarkista yhdyskäytävän tila Nebula Dashboardista.

Laitteelta kestää muutaman minuutin muodostaa yhteys PRD_N_tKhTLFGVVrY_0:aan ja tulla online-tilaan.

Vianmääritys

• Internet-yhteys ei toimi - Tarkista Internet-yhteys

Web-selain näyttää, että Internet-yhteys on alhaalla, kun sähköpostissa olevaa URL-osoitetta käytettiin.

Tarkista Internet-yhteys ja varmista, että olet yhteydessä WAN-liitäntään (P2). Napsauta sitten "Retry" (Yritä uudelleen) tehdäksesi ZTP:n uudelleen.

Voit myös napsauttaa "Network Test Tools" (Verkkotestityökalut) kirjautuaksesi sisään laitteen web GUI -käyttöliittymään vianmääritystä varten. Käyttäjä on "support" ja salasana on palomuurin sarjanumero.

Jos sinulla on staattinen IP / PPPoE-yhteys, tarkista kahdesti, että olet syöttänyt staattiset IP-tiedot laitteeseen paikallisesti:

Go to Configuration -> WAN Settings and double-check that everything is filled in correctly

• Zero Touch Provisioning (ZTP) ei onnistu, koska laite ei ole tehdasasetusten mukaisessa tilassa.

Pidä nollauspainiketta painettuna 5 sekunnin ajan, jotta laite palautuu tehdasasetuksiin. Napsauta sitten URL-osoitetta tehdäksesi ZTP:n uudelleen.

• ZTP USB:llä: SYS LED ei lakkaa vilkkumasta punaisena.

Nebula Dashboard näyttää, että palomuuri on offline.
Jos ZTP USB:llä ei onnistu, tarkista internet-yhteys. Avaa USB:n ztpresult.log-tiedosto tarkistaaksesi tilan.

Tässä on esimerkki:

ZTP ei onnistu, koska USB:ssä ei ole vastaavaa ZTP-tiedostoa tälle laitteelle. Varmista, että kopioit oikean ZTP-tiedoston.

• PRD_N_tKhTLFGVVrY_0-tila ei näy, kun käytät Web GUI:ta.

Voit päivittää laitteen laitteen Web-konfiguraattorikäyttöliittymän kautta (tarkista tästä) tai käyttämällä ZON-apuohjelmaa. Tässä artikkelissa näytetään, miten se tehdään ZON-apuohjelman avulla.

Varmista, että olet asentanut ZON-ohjelman tietokoneellesi. Jos et ole, voit ladata sen täältä:

Zyxel One Network Utility -apuohjelma (ZON).

Kytke verkkoportti virtalähteeseen ja käynnistä palomuuri. Odota, että SYS LED palaa tasaisen vihreänä. Liitä tietokone palomuurin porttiin 4 (P4).

Avaa ZON tietokoneellasi palomuurin skannausta varten. Valitse palomuuri ja napsauta sitten "Firmware Upgrade":

Valitse uusin laiteohjelmistoversio pilvipalvelusta ja syötä oletussalasana "1234" päivitystä varten. Firmware-prosessi kestää noin 5 minuuttia.

USG FLEX -sarjan lisensointi

• Niputettu PRD_N_tKhTLFGVVrY_0 lisensointi USG FLEX -sarjaa varten PRD_N_tKhTLFGVVrY_0 Control Centeriin.

Jos USG Flex -laitteesi mukana tuli niputettu lisenssi, saat automaattisesti 1 vuoden PRD_N_tKhTLFGVVrY_0 Professional Pack -paketin laitteellesi. UTM-palvelulisenssi siirtyy saumattomasti PRD_N_tKhTLFGVVrY_0-palveluun jäljellä olevasta ajasta riippumatta.

Jos USG-laitteesi mukana ei ole toimitettu pakattua lisenssiä, saat silti 30 päivän kokeilujakson UTM-palveluille. PRD_N_tKhTLFGVVrY_0 Pro Pack -palvelut sisältävät myös 30 päivän kokeilujakson automaattisesti, kun organisaatiosi luodaan.

Kokeilulisenssiaika koskee myös laitettasi, jossa on niputettu lisenssi.

• Olemassa olevan NSG-lisenssin (NSS) siirtäminen USG FLEXiin (UTM).

Jos haluat siirtää lisenssin aiemmasta NSG:stäsi pilvipalvelussa olevaan USG FLEXiin, sovelletaan seuraavaa kartoitustaulukkoa. Esimerkiksi NSG 100 voi siirtää lisenssinsä vain USG FLEX 200:een, eikä lisenssiä voi siirtää muihin USG FLEX -malleihin.

Jos USG FLEX 100 -laitteessa on jo 1 vuoden lisenssi, kun jäljellä oleva lisenssi siirretään NSG50:stä (esim. 6 kuukautta) USG FLEX 100:een, jälkimmäisellä on 1,5 vuoden lisenssi käytettäväksi.

• Nebula-tilaan siirtymiseen liittyvät rajoitukset

USG FLEXin pilvimallissa on joitakin rajoituksia, ja seuraavat ominaisuudet eivät ole vielä käytettävissä:

- Laite HA
- Sähköpostin suojaus (roskapostin torjunta)
- SSL-tarkastus
- Dynaaminen reititys (RIP, OSPF, BGP).
- Aiheeseen liittyvät IPv6-ominaisuudet
- AP-ohjain (Nebula Control Centeriä tulisi käyttää AP-ohjaimena sen sijaan).
- Hotspot-palvelu (Nebula Control Center tukee jo hotspot-palveluja, kuten Voucher ja Walled garden).

Jos kohtaat muita ongelmia, ota rohkeasti yhteyttä tukitiimiimme.