USG FLEX tűzfalunkat a Nebula Control Center (NCC) ZLD5.00 firmware verziótól kezdve lehet kezelni és konfigurálni. Az ATP sorozat az NCC-ben a ZLD5.10 firmware-től kezelhető. Ez az útmutató bemutatja, hogyan lehet a készüléket a ZTP folyamat segítségével hozzáadni a Nebula-hoz, és előre konfigurálni a tűzfal beállításait a Nebula-ban, mielőtt a készüléket a helyszíni telepítéshez átadnánk. Ez a cikk bemutatja, hogyan regisztrálhatja tűzfalát a Nebula-ban. Több szakaszra van bontva, ezért kérjük, navigáljon a releváns szakaszhoz a tartalomjegyzékben.
Megjegyzés: A ZTP mód 5.37 patch 1 verziótól nem elérhető, így a készüléket natív módban kell telepíteni a Nebula-ba. Az érintett modellek a következők: ATP sorozat: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 USG FLEX sorozat: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN
Miért nem használhatom a ZTP vagy natív módot a tűzfal telepítéséhez a Nebula-ban?
Ha nehézségekbe ütközik a készülék Nebula-hoz való hozzáadásakor, az azt jelezheti, hogy a készülék 2023 vége előtt készült, és szükséges a Zero Touch Provisioning (ZTP) folyamat elvégzése. A továbblépéshez kövesse az alábbi lépéseket:
- Firmware visszaminősítése a készüléken
- A ZTP folyamat végigvezetése a szükséges lépések szerint
- Sikeres hozzáadás után frissítse a készüléket a legújabb firmware verzióra
Hogyan regisztráljuk tűzfalát a Nebula-ba (videók)
| Regisztráció a Nebula-ban ZTP URL mód használatával | Regisztráció a Nebula-ban ZTP USB mód használatával |
Megjegyzés: A készüléket alaphelyzetbe kell állítani, hogy csatlakoztatni lehessen a Nebula-hoz, ami az összes korábbi beállítás elvesztésével járhat. A Nebula-hoz való csatlakozás után a készülék automatikusan a Nebula alapértelmezett beállításaival konfigurálódik. Kérjük, vegye figyelembe, hogy bizonyos korlátozások vannak, és az alábbi funkciók még nem érhetők el a felhő módon a USG FLEX esetén:
- Eszköz HA
- Email biztonság (Anti-Spam)
- SSL ellenőrzés
- Dinamikus útválasztás (RIP, OSPF, BGP)
- Kapcsolódó IPv6 funkciók
- AP vezérlő (Nebula Control Center használata javasolt AP vezérlőként)
- Hotspot szolgáltatás (Nebula Control Center már támogatja a hotspot szolgáltatásokat, mint például a Voucher és a Walled garden)
Licencelés
- USG FLEX licencelése a Nebula Control Centerben
Ha USG Flex készüléke licenccsomaggal érkezett, automatikusan élvezheti a Nebula Professional Pack 1 éves licencét a készülékhez. Az UTM szolgáltatás licenc automatikusan átkerül a Nebula-ba, függetlenül a fennmaradó időtől.
Ha USG készüléke nem tartalmazott licenccsomagot, akkor is élvezheti az UTM szolgáltatások 30 napos próbaidejét. A Nebula PRO Pack szolgáltatások automatikusan tartalmazzák a 30 napos próbaidőt az Ön szervezetének létrehozásakor.
A próbalicenc időszak a licenccsomaggal rendelkező készülékekre is vonatkozik.
- Létező NSG licenc (NSS) átvitele USG FLEX (UTM) készülékre
Az NSG licencének átviteléhez a felhőbe az USG FLEX készülékre az alábbi megfeleltetési táblázat érvényes. Például az NSG 100 csak az USG FLEX 200-ra viheti át a licencét, más USG FLEX modellekre nem.
| NSG sorozat | NSG50 | NSG100 | NSG200 | NSG300 |
| USG FLEX sorozat | USG FLEX 100/100W | USG FLEX 200 | USG FLEX 500 | USG FLEX 700 |
Ha az USG FLEX 100 már rendelkezik 1 éves licenccel, az NSG50-ről (pl. 6 hónap) átvitt licenc után az USG FLEX 100 összesen másfél éves licenccel fog rendelkezni.
Kérjük, nyisson egy Támogatási kérést, és csapatunk örömmel segít a licencmigrációs problémák megoldásában prioritással.
A Nebula mód kiválasztása a Web GUI-n keresztül
Ha a készülék 5.10-es verziót futtat, és gyári alapbeállításokon van, az első belépéskor a Web Konfigurátorba az admin alapjelszó ("1234") frissítése kötelező.
- Nebula mód
Válassza a Nebula módot, hogy a Zyxel eszközét a Nebula Control Centerrel (NCC) kezelje. Az NCC egy felhőalapú hálózatkezelő rendszer, amely lehetővé teszi a Zyxel eszköz távoli kezelését és felügyeletét.
Kövesse a Nebula mód varázslóját a WAN beállítások konfigurálásához, hogy az NCC átvegye az eszköz kezelését.
|
|
Amint a kezelési mód és a WAN beállítások konfigurálva vannak, és az eszköz internetkapcsolattal rendelkezik, folytathatja a Nebula-ban a további beállításokat. További információ a "Nebula natív mód" szakaszban található.
- Távoli migráció on-premise módról Nebula módra
Akár statikus IP beállításokkal vagy gyári alapbeállításokkal rendelkezik, távolról is átválthatja helyszíni menedzsment megoldását Nebula felhő módra a Web GUI segítségével. Megjegyzés: az eszköz gyári alaphelyzetbe kerül, és a konfigurációk elvesznek. A Nebula 13. fázisában már nem kell helyszínre menni a gyári alaphelyzetbe állításhoz a migráció előtt, mert ezt most már távolról is megteheti.
A távoli migráció feltétele, hogy a tűzfal:
- Nebula natív módban legyen, ami azt jelenti, hogy tartalmaznia kell a ZTP tanúsítványt
- Az eszköznek online kell lennie (WAN (internet) hozzáférés szükséges)
Megjegyzés: Ha az eszköz on-premise módban van, kihagyhatja a "Nebula natív mód" lépést.
- Szervezet és helyszín létrehozása
Ha még nem hozott létre Nebula szervezetet és helyszínt, kérjük, kövesse a megadott linket. A lépés befejezése után folytathatjuk a regisztrációs folyamatot.
Nebula [Helyszín/Szervezet] - Hogyan hozzunk létre/töröljünk szervezetet és helyszínt a Nebula Control Centerben?
A tűzfal konfigurálása a Nebula portálon
Ezek előtt a lépések előtt kérjük, legyen meg a hálózati topológia, a tűzfal beállításai és a WAN konfiguráció előre. Ezek az információk lehetővé teszik a tűzfal beállításainak előre történő konfigurálását, mielőtt az eszköz bekapcsolódik a Nebula-ba. A tűzfal automatikusan szinkronizálja ezt a konfigurációt, amikor csatlakozik a Nebula-hoz. Helyszín létrehozásakor megadhatja a tűzfal modelljét anélkül, hogy hozzáadná azt, így lehetőség van bizonyos paraméterek előkonfigurálására a készülék hozzáadása előtt.
- Portcsoport beállítások
Site-wide -> Configure -> Firewall -> Port
- WAN/LAN portcsoportok konfigurálása vagy WAN/LAN csoportok hozzáadása a saját forgatókönyvéhez igazítva.
- WAN beállítások konfigurálása, ha statikus IP-t használ
Site-wide -> Configure -> Firewall - interfaces- WAN/LAN interfész IP-címeinek módosítása a saját forgatókönyvéhez igazítva.
A tűzfal regisztrálása és a telepítési mód kiválasztása
Kézi mód
Menjen a Site-wide -> License & Inventory menüpontra
Lépjen be az eszköz oldalra, és kattintson az "Hozzáadás" gombra a tűzfal regisztrálásához. Több eszközt is regisztrálhat, ha megadja a MAC címet és a sorozatszámot.
Ezután hozzárendelheti az eszközt a megfelelő helyszínhez. Egy szervezetben több eszköz is lehet, innen kiválaszthat egy adott eszközt, és hozzárendelheti a megfelelő helyszínhez:
Megjelenik egy felugró ablak, ahol kiválaszthatja az eszköz telepítési módját.
Zero Touch Provision mód
Amikor először regisztrálja az eszközt a Nebula-ban, a Zero Touch Provision módot kell használni, mivel az eszköznek át kell mennie a ZTP folyamaton, hogy felhőképes legyen. Lépjen erre: ZTP folyamat végrehajtása
A Nebula natív mód
Amikor először regisztrálja eszközét a Nebula-ban, győződjön meg róla, hogy a készüléken megtalálható a ZTP tanúsítvány. Minden eszköz esetében a tűzfalnak először egyszer át kell mennie a ZTP folyamaton. Az újabb eszközökben a ZTP tanúsítvány már lehet a tűzfalban (kérjük, ellenőrizze, hogy rendelkezik-e ZTP tanúsítvánnyal itt - ha nincs meg a ZTP tanúsítvány, akkor el kell végeznie a ZTP folyamatot, és nem használhatja a natív módot az eszköz online állapotba hozásához).
- Az eszköz alapértelmezett konfigurációra állítása
Ha Stand-alone módról szeretne átváltani Nebula-ra, először az eszközt alaphelyzetbe kell állítania a készülék elején található RESET gombbal (15 másodpercig nyomva tartva). Ha a folyamat során akár a legkisebb beállítást is megváltoztatja (pl. admin jelszó), a migráció nem sikerül.
- Ellenőrizze, hogy DHCP vagy statikus IP van-e a WAN-on
Ha statikus IP van a WAN-on, be kell jelentkeznie az eszközre a Web GUI-n keresztül, válassza a Nebula módot, és adja meg a csatlakozáshoz szükséges IP-információkat:
Ha statikus IP van a WAN-on, menjen végig az alábbi varázslón, majd fejezze be a 2. lépéssel - az eszköz regisztrálásával:
- Válassza a Natív módot
Csatlakoztassa a WAN portot a képen megjelölt portra (ebben a példában P2), és a LAN-t a megjelölt portra (ebben a példában P4) - Megjegyzés: Semmi más ne legyen csatlakoztatva
- Látnia kell, hogy az eszköz várja a Nebula-hoz való csatlakozást (Eszközök -> Tűzfal alatt):
A tűzfal most gyorsan újraindul, és az újraindítás után az eszköznek 20 percen belül online állapotba kell kerülnie.
Hibaelhárítás - "Várakozás az eszköz csatlakozására" [ZTP tanúsítvány ellenőrzése]
Ha az eszköz a Natív módban elakad a "Várakozás az eszköz csatlakozására" állapotban, ellenőrizze kétszer is, hogy rendelkezik-e ZTP tanúsítvánnyal:
Jelentkezzen be SSH-n keresztül az eszközre (Putty vagy Teraterm programmal), és írja be: show native mode cert file status:
Ha hibát kap vagy nincs meg a tanúsítvány, akkor még nem végezte el a ZTP folyamatot ezen a tűzfalon, és most a ZTP folyamatot kell használnia. Az is lehet, hogy nincs 5.10-es firmware verziója, és frissítenie kell a tűzfalat a natív mód használata előtt.
- Migráció on-premise módról Nebula módra a Web GUI-ban
Menjen a Configuration -> Mgmt. & Analytics -> Nebula menüpontra, majd kattintson az Apply és Go To Nebula gombraMegjelenik egy felugró ablak, ahol az Igen gombra kell kattintani:
Ezután várja meg, amíg az eszköz online állapotba kerül a Nebula-ban.
ZTP folyamat végrehajtása
A cikk elején bemutatott videók az egész folyamatot mutatják be, csak az utolsó rész különbözik. Ez az utolsó rész a ZTP folyamat, amelyhez két módszer áll rendelkezésre, amint a videóban látható. Ezt a módszert a következő 2 alfejezet tárgyalja.
A ZTP folyamat során meg kell határozni, hogyan áll be a WAN kapcsolat (DHCP/PPPoE/Statikus IP), és meg kell adni egy e-mail címet, ahová az e-mailt, a linkkel és JSON fájllal, elküldik. Az "Én telepítem a tűzfalat" opció az eszközt hozzáadó fióknak küldi az e-mailt. Lehetőség van más e-mail cím megadására is, hogy a telepítő végezhesse el a ZTP folyamatot.
- A tűzfal felhő képességének aktiválása URL-en keresztül
A legfrissebb firmware-rel működő eszközt csatlakoztassa a hálózati tápegységhez, és kapcsolja be a tűzfalat. Várja meg, amíg a SYS LED folyamatos zöldre vált. Ezután csatlakoztassa a WAN (P2) interfészt az internethez.
Csatlakoztassa a LAN (P4) interfészt a számítógéphez.
Nyissa meg a Nebula-tól kapott e-mailt, és kattintson az "Engedélyezem, hogy a Nebula kezelje az eszközömet" gombra.
Várja meg, amíg a Nebula Zero Touch Provisioning sikeresen befejeződik. Kattintson a "Ugrás a Nebula Control Centerbe" gombra a Nebula eléréséhez.
Az eszköz néhány perc alatt csatlakozik a Nebula-hoz és online lesz.
Megjegyzés: Ha van olyan eszköz, például AP, amely már csatlakozik az USG FLEX 4-es portjához, és az AP már Wi-Fi hálózatot biztosít a 192.168.1.1/24 alhálózatban, akkor a ZTP-t URL-en keresztül bármely Wi-Fi hálózathoz csatlakozó eszközről, például mobil eszközről is végrehajthatja.
- A tűzfal felhő képességének aktiválása USB-n keresztül
Alternatív megoldásként USB pendrive használatával is aktiválhatja a tűzfalat. Másolja az e-mailben kapott fájlt egy új/tiszta USB-re (FAT32 formátumban), majd csatlakoztassa a tűzfal USB portjához. Kapcsolja be a tűzfalat, a SYS LED pirosan villog, amikor a Nebula-hoz csatlakozik, és folyamatos zöld lesz, amikor csatlakozott.
Lépjen a Nebula irányítópultra a gateway állapotának ellenőrzéséhez.
Az eszköz néhány perc alatt csatlakozik a Nebula-hoz és online lesz.
Hibaelhárítás
- Internetkapcsolat megszakadt - Ellenőrizze az internetkapcsolatot
A webböngésző jelzi, hogy az internetkapcsolat megszakadt, amikor az e-mailben található URL-t megnyitotta.
Ellenőrizze az internetkapcsolatot, és győződjön meg róla, hogy a WAN (P2) interfészhez csatlakozik. Ezután kattintson a "Újrapróbálkozás" gombra a ZTP újraindításához.
A "Hálózati teszt eszközök" gombra kattintva bejelentkezhet az eszköz webes GUI-jába további hibaelhárításhoz. A felhasználónév "support", a jelszó pedig a tűzfal sorozatszáma.
Ha statikus IP / PPPoE kapcsolatot használ, ellenőrizze, hogy helyesen adta-e meg a statikus IP adatokat az eszközön:
Menjen a Configuration -> WAN Settings menüpontra, és ellenőrizze, hogy minden helyesen van kitöltve- Zero Touch Provisioning (ZTP) sikertelen, mert az eszköz nem gyári alapállapotban van
Tartsa lenyomva az alaphelyzetbe állító gombot 5 másodpercig az eszköz gyári alaphelyzetbe állításához. Ezután kattintson az URL-re a ZTP újraindításához.
- ZTP USB-n keresztül: a SYS LED pirosan villog, és nem áll le
Nebula irányítópult jelzi, hogy a tűzfal offline állapotban van.
Ha a ZTP USB-n keresztül sikertelen, ellenőrizze az internetkapcsolatot. Nyissa meg az USB-n található ztpresult.log fájlt az állapot ellenőrzéséhez.
Íme egy példa:
A ZTP sikertelen, mert nincs megfelelő ZTP fájl az USB-n ehhez az eszközhöz. Kérjük, győződjön meg róla, hogy a megfelelő ZTP fájlt másolta át.
- A Nebula mód nem jelenik meg a Web GUI elérésekor
Frissítheti eszközét a Web konfigurátor felületén vagy a ZON segédprogram segítségével. Ez a cikk bemutatja, hogyan kell a ZON segédprogrammal frissíteni.
Győződjön meg róla, hogy telepítette a ZON-t a számítógépére. Ha nem, innen letöltheti:
Zyxel One Network Utility (ZON)
Csatlakoztassa a tápegységet, és kapcsolja be a tűzfalat. Várja meg, amíg a SYS LED folyamatos zöldre vált. Csatlakoztassa számítógépét a tűzfal 4-es portjához (P4).
Nyissa meg a ZON-t a számítógépén, hogy beolvassa a tűzfalat. Válassza ki a tűzfalat, majd kattintson a "Firmware frissítés" gombra:
Válassza ki a legfrissebb firmware verziót a felhőből, és adja meg az alapértelmezett jelszót “1234” a frissítéshez. A firmware frissítés körülbelül 5 percet vesz igénybe.
Licencelés az USG FLEX sorozathoz
- Bundled Nebula licencelés az USG FLEX készülékhez a Nebula Control Centerben
Ha USG Flex készüléke licenccsomaggal érkezett, automatikusan élvezheti a Nebula Professional Pack 1 éves licencét a készülékhez. Az UTM szolgáltatás licenc automatikusan átkerül a Nebula-ba, függetlenül a fennmaradó időtől.
Ha USG készüléke nem tartalmazott licenccsomagot, akkor is élvezheti az UTM szolgáltatások 30 napos próbaidejét. A Nebula Pro Pack szolgáltatások automatikusan tartalmazzák a 30 napos próbaidőt az Ön szervezetének létrehozásakor.
A próbalicenc időszak a licenccsomaggal rendelkező készülékekre is vonatkozik.
- Létező NSG licenc (NSS) átvitele USG FLEX (UTM) készülékre
Az NSG licencének átviteléhez a felhőbe az USG FLEX készülékre az alábbi megfeleltetési táblázat érvényes. Például az NSG 100 csak az USG FLEX 200-ra viheti át a licencét, más USG FLEX modellekre nem.
| NSG sorozat | NSG50 | NSG100 | NSG200 | NSG300 |
| USG FLEX sorozat | USG FLEX 100/100W | USG FLEX 200 | USG FLEX 500 | USG FLEX 700 |
Ha az USG FLEX 100 már rendelkezik 1 éves licenccel, az NSG50-ről (pl. 6 hónap) átvitt licenc után az USG FLEX 100 összesen másfél éves licenccel fog rendelkezni.
- Korlátozások a Nebula módra váltáskor
Bizonyos korlátozások vannak, és az alábbi funkciók még nem érhetők el a felhő modellben az USG FLEX esetén:
- Eszköz HA
- Email biztonság (Anti-Spam)
- SSL ellenőrzés
- Dinamikus útválasztás (RIP, OSPF, BGP)
- Kapcsolódó IPv6 funkciók
- AP vezérlő (Nebula Control Center használata javasolt AP vezérlőként)
- Hotspot szolgáltatás (Nebula Control Center már támogatja a hotspot szolgáltatásokat, mint például a Voucher és a Walled garden)
Ha más problémákat tapasztal, kérjük, bátran vegye fel a kapcsolatot támogatási csapatunkkal.
Hozzászólások
0 hozzászólásHozzászólások írásához jelentkezzen be.