Nebula [ZTP] - Come registrare il gateway USGFLEX/ATP nel Centro di controllo PRD_N_eS8uXvdSw_0

I nostri firewall USG FLEX possono essere gestiti e approvvigionati da Nebula Control Center (NCC) a partire dal firmware ZLD5.00. La serie ATP può essere gestita da NCC a partire dal firmware ZLD5.10. Questa guida mostra come aggiungere il dispositivo su Nebula utilizzando il processo ZTP e preconfigurare le impostazioni del firewall su Nebula, prima di consegnare il dispositivo per l'installazione in loco. Questo articolo mostra come registrare il firewall in Nebula. L'articolo è suddiviso in diverse sezioni, per cui si consiglia di navigare nella sezione pertinente all'interno dell'indice.
Nota: la modalità ZTP non è disponibile a partire dalla versione 5.37 patch 1, pertanto è necessario distribuire il dispositivo in Nebula utilizzando la modalità nativa. Ecco i modelli interessati. Serie ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Serie USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Se si incontrano difficoltà nell'aggiungere il dispositivo a Nebula, ciò potrebbe indicare che il dispositivo è stato prodotto prima della fine del 2023 e richiede il completamento del processo Zero Touch Provisioning (ZTP). Per procedere, seguite questi passaggi:

• Aggiornare il firmware del dispositivo
• Procedere con il processo ZTP come richiesto
• Una volta aggiunto, aggiornare il dispositivo alla versione più recente del firmware.

Come registrare il firewall in Nebula (Video)

Nota: per connettere il dispositivo a Nebula è necessario ripristinare le impostazioni predefinite, perdendo tutte le impostazioni precedenti eventualmente configurate. Una volta collegato a Nebula, il dispositivo verrà configurato automaticamente con le impostazioni predefinite di Nebula. Si noti inoltre che esistono alcune limitazioni e che le seguenti funzioni non sono ancora disponibili in modalità cloud per USG FLEX:

• Dispositivo HA
• Sicurezza e-mail (Anti-Spam)
• Ispezione SSL
• Routing dinamico (RIP, OSPF, BGP)
• Funzionalità IPv6 correlate
• Controllore AP (Nebula Control Center dovrebbe essere usato come controllore AP)
• Servizio hotspot (Nebula Control Center supporta già servizi hotspot come Voucher, Walled garden)

Licenze

• Licenza dell'USG FLEX in Nebula Control Center

Se il vostro USG Flex è stato fornito con una licenza in bundle, potrete usufruire automaticamente di un Professional Pack Nebula di 1 anno per il vostro dispositivo. La licenza del servizio UTM verrà portata avanti senza problemi fino a Nebula, indipendentemente dalla sua durata residua.

Se il vostro USG non è stato fornito con una licenza bundle, potrete comunque usufruire di 30 giorni di prova per i vostri servizi UTM. Anche i servizi Nebula PRO Pack includono 30 giorni di prova automaticamente durante la creazione dell'organizzazione.

Il periodo di licenza di prova si applica anche al dispositivo con licenza bundle.

• Migrazione della licenza NSG esistente (NSS) a USG FLEX (UTM)

Per migrare la licenza dall'NSG all'USG FLEX sul cloud, si applica la seguente tabella di mappatura. Ad esempio, NSG 100 può migrare la propria licenza solo su USG FLEX 200 e non può migrare la licenza su altri modelli USG FLEX.

Se il vostro USG FLEX 100 ha già una licenza di 1 anno, dopo aver migrato la licenza rimanente dall'NSG50 (es.: 6 mesi) all'USG FLEX 100, quest'ultimo si ritrova con una licenza di 1 anno e mezzo da utilizzare.

Si prega di inviare una richiesta di assistenza e il nostro team sarà lieto di aiutarvi a risolvere il problema della migrazione della licenza con la dovuta priorità.

Scelta della modalità Nebula tramite GUI Web

Una volta che il dispositivo è in esecuzione con la versione 5.10 e utilizza le impostazioni di fabbrica, quando si tenta di accedere al configuratore web per la prima volta, verrà richiesto un aggiornamento della password di default dell'amministratore ("1234").

• Modalità Nebula

Selezionare la modalità Nebula per gestire il dispositivo Zyxel utilizzando PRD_N_eS8uXvdSw_0 Control Center (NCC). NCC è un sistema di gestione della rete basato su cloud che consente di gestire e monitorare il dispositivo Zyxel da remoto.

Seguire la procedura guidata della modalità Nebula per configurare le impostazioni WAN per passare la gestione del dispositivo Zyxel a NCC.

Una volta che la modalità di gestione e la WAN del dispositivo sono configurate in modo da consentire l'accesso a Internet, è possibile procedere a Nebula per ulteriori impostazioni. Ulteriori informazioni sono contenute nella sezione "Modalità nativa Nebula".

• Migrare in remoto dalla modalità on-premise a quella Nebula

Anche se si dispone di impostazioni IP statiche o predefinite, è possibile passare dalla soluzione di gestione on-premise alla modalità Nebula Cloud da remoto utilizzando la GUI Web. Si noti che il dispositivo verrà resettato in fabbrica e le configurazioni andranno perse. Con Nebula Fase 13, non è più necessario recarsi in loco per eseguire il reset di fabbrica del dispositivo prima della migrazione a Nebula. Ora è possibile farlo da remoto.

I requisiti per la migrazione in remoto a Nebula sono che il firewall:

• Deve essere in modalità nativa Nebula, il che significa che deve contenere il certificato ZTP.
• Il dispositivo deve essere online (è necessario un accesso WAN (Internet)).

Nota: se il dispositivo è in modalità on-premise, si può saltare il passaggio "Modalità nativa Nebula".

• Creare un'organizzazione e un sito

Se non avete ancora creato un'organizzazione e un sito Nebula, seguite l'articolo fornito. Una volta completato questo passaggio, possiamo procedere con il processo di registrazione.
Nebula [Sito/Organizzazione] - Come creare/eliminare un'organizzazione e un sito nel Centro di controllo Nebula?

Configurazione del firewall nel portale Nebula

Prima di eseguire questi passaggi, è necessario conoscere in anticipo la topologia di rete, le impostazioni del firewall e la configurazione WAN. Queste informazioni vi permetteranno di preconfigurare le impostazioni del firewall prima della sua attivazione nel portale Nebula. Il Firewall sincronizzerà automaticamente questa configurazione quando si collegherà a Nebula. Quando si crea il sito, è possibile specificare il modello del firewall senza aggiungerlo. In questo modo è possibile preconfigurare alcuni parametri prima di aggiungere il dispositivo stesso.

• Impostazioni del gruppo di porte

Site-wide -> Configure -> Firewall -> Port

• Per configurare i gruppi di porte WAN/LAN o aggiungere gruppi WAN/LAN in base allo scenario.

• Configurare le impostazioni WAN se si dispone di un IP statico.

Site-wide -> Configure -> Firewall - interfaces

• per modificare gli indirizzi IP dell'interfaccia WAN/LAN in base allo scenario.

Registrare il firewall e scegliere il metodo di distribuzione

Modalità manuale

Go to Site-wide -> License & Inventory

Accedere alla pagina del dispositivo e fare clic su "Aggiungi" per registrare il firewall. È possibile registrare più dispositivi inserendo l'indirizzo MAC e il numero di serie.

Successivamente, è possibile assegnare il dispositivo al sito corretto. È possibile avere diversi dispositivi in un'organizzazione; da qui è possibile selezionare un dispositivo specifico e assegnarlo al sito corrispondente:

Viene visualizzata una finestra pop-up in cui è possibile selezionare il metodo di distribuzione del dispositivo.

Modalità Zero Touch Provision

Per la prima volta che il dispositivo viene registrato su Nebula, è necessario utilizzare la modalità Zero Touch Provision , poiché il dispositivo necessita del processo ZTP per diventare compatibile con il cloud. Andare a Eseguire il processo ZTP

La modalità nativa Nebula

Quando si registra per la prima volta il dispositivo in Nebula, è necessario assicurarsi di avere il certificato ZTP sul dispositivo. In tutti i dispositivi, il firewall deve prima passare attraverso il processo ZTP una volta. Nei dispositivi più recenti, il certificato ZTP potrebbe essere già presente nel firewall (verificare se si dispone del certificato ZTP qui - se non si dispone del certificato ZTP, è necessario eseguire il processo ZTP e non è possibile eseguire la modalità nativa per mettere il firewall online).

• Ripristinare la configurazione predefinita del dispositivo

Quando si desidera migrare dalla modalità Stand-alone a Nebula, è necessario resettare il dispositivo utilizzando il pulsante RESET situato sulla parte anteriore del dispositivo (tenendolo premuto per 15 secondi). Se durante il processo si modifica anche la minima impostazione (ad esempio la password di amministrazione), la migrazione non andrà a buon fine.

• Verificare se si dispone di un IP DHCP o statico sulla WAN

Se si dispone di un IP statico sulla WAN, è necessario accedere al dispositivo tramite la GUI Web, scegliere la modalità Nebula e inserire le informazioni IP necessarie per stabilire una connessione:

Se si dispone di un IP statico sulla WAN, eseguire la procedura guidata riportata di seguito e, al termine, passare al punto 2 - registrazione del dispositivo:

• Scegliere la modalità nativa

Collegare la porta WAN alla porta indicata nell'immagine (in questo esempio P2) e la LAN alla porta indicata (in questo esempio P4) .

• Dovreste essere in grado di vedere che sta aspettando che il dispositivo si connetta a Nebula (sotto Dispositivi -> Firewall):

Il firewall dovrebbe ora eseguire un riavvio rapido e dopo il riavvio il dispositivo dovrebbe essere online entro 20 minuti.

Risoluzione dei problemi - "Dispositivo in attesa connesso" [Verifica del certificato ZTP]

Se il dispositivo è bloccato in modalità nativa "In attesa di un dispositivo connesso", è necessario verificare che il certificato ZTP sia disponibile:

Accedere al dispositivo tramite SSH (utilizzando il programma Putty o Teraterm) e digitare show native mode cert file status:

Se si ottiene un errore o il certificato non è presente, significa che non è stato ancora eseguito il processo ZTP su quel firewall e che questa volta è necessario utilizzare il processo ZTP. Potrebbe anche essere che non si disponga della versione 5.10 del firmware e che sia necessario aggiornare il firewall prima di utilizzare la modalità nativa.

• Migrazione dalla modalità on-premise alla modalità Nebula nella GUI Web

Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula

Si aprirà un pop-up e si dovrà fare clic su Sì:

Attendere quindi che il dispositivo sia online in Nebula.

Esecuzione del processo ZTP

I video mostrati all'inizio dell'articolo mostrano l'intero processo, con solo l'ultima parte diversa. Quest'ultima parte corrisponde al processo ZTP, per il quale sono disponibili due metodi come mostrato nel video. Questo metodo è trattato nelle 2 sottosezioni seguenti.

Per il processo ZTP, è necessario specificare come verrà impostata la connessione WAN (DCHP/PPPoE/Static IP) e specificare un indirizzo e-mail a cui verrà inviata l'e-mail contenente il link e il file JSON. L'opzione "Installerò il firewall da solo" invia l'e-mail all'account che sta aggiungendo il dispositivo al sito in quel momento. È anche possibile specificare qualsiasi altro account di posta elettronica, in modo che un installatore possa eseguire il processo ZTP.

• Attivazione della funzionalità cloud del Firewall tramite URL

Se il dispositivo ha il firmware più recente, collegare la porta di alimentazione a una fonte di alimentazione appropriata e accendere il firewall. Attendere che il LED SYS diventi verde fisso. Quindi, collegare l'interfaccia WAN (P2) a Internet.

Collegare l'interfaccia LAN (P4) al computer.

Aprire l'e-mail ricevuta da Nebula e fare clic su "Consenti a Nebula di gestire il mio dispositivo".

Attendere che il Provisioning Zero Touch di Nebula abbia avuto successo. Fare clic su "Vai al Centro di controllo Nebula" per accedere a PRD_N_eS8uXvdSw_0.

Il dispositivo impiegherà alcuni minuti per connettersi a Nebula e diventare online.

Nota: se un dispositivo come l'AP è già collegato alla porta 4 dell'USG FLEX e l'AP fornisce già una rete Wi-Fi nella sottorete 192.168.1.1/24, è possibile eseguire lo ZTP tramite URL da qualsiasi dispositivo connesso alla rete Wi-Fi, consentendo di farlo anche da un dispositivo mobile.

• Attivare la funzionalità cloud del Firewall via USB

In alternativa, è possibile attivare il Firewall anche tramite una chiavetta USB. Copiare il file allegato nell'e-mail inviata da Nebula su una chiavetta USB nuova/pulita (FAT32) e collegarla alla porta USB del Firewall. Accendere il Firewall, il LED SYS lampeggia in rosso quando si sta connettendo a Nebula e in verde fisso quando è connesso.

Accedere alla Dashboard di Nebula per controllare lo stato del gateway.

Il dispositivo impiegherà alcuni minuti per connettersi a Nebula e diventare online.

Risoluzione dei problemi

• La connessione Internet è interrotta - Controllare la connessione Internet

Il browser Web mostra che la connessione Internet è interrotta quando si accede all'URL dell'e-mail.

Controllare la connessione a Internet e assicurarsi di collegarsi all'interfaccia WAN (P2). Quindi, fare clic su "Riprova" per ripetere lo ZTP.

È inoltre possibile fare clic su "Strumenti di test di rete" per accedere all'interfaccia grafica web del dispositivo per un'ulteriore risoluzione dei problemi. L'utente è "support" e la password è il numero di serie del firewall.

Se si dispone di una connessione IP statica / PPPoE, verificare che le informazioni sull'IP statico siano state inserite localmente sul dispositivo:

Go to Configuration -> WAN Settings and double-check that everything is filled in correctly

• Zero Touch Provisioning (ZTP) non riesce perché il dispositivo non è nello stato di fabbrica.

Tenere premuto il pulsante di reset per 5 secondi per ripristinare lo stato di fabbrica del dispositivo. Quindi fare clic sull'URL per ripetere lo ZTP.

• ZTP via USB: Il LED SYS non smette di lampeggiare in rosso

Nebula Il cruscotto mostra che il firewall è offline.
Se lo ZTP via USB non riesce, controllare la connessione a Internet. Aprire ztpresult.log in USB per verificare lo stato.

Ecco un esempio:

ZTP non riesce perché non c'è un file ZTP corrispondente nell'USB per questo dispositivo. Assicurarsi di copiare il file ZTP corretto.

• La modalità Nebula non viene visualizzata quando si accede all'interfaccia grafica Web.

È possibile aggiornare il dispositivo tramite l'interfaccia del configuratore Web del dispositivo (vedere qui) o utilizzando l'utilità ZON. Questo articolo mostra come eseguire l'aggiornamento tramite l'utility ZON.

Assicurarsi di aver installato ZON sul computer. In caso contrario, è possibile scaricarlo qui:

Utilità di rete Zyxel One (ZON)

Collegare la porta di alimentazione alla fonte di alimentazione e accendere il firewall. Attendere che il LED SYS diventi verde fisso. Collegare il computer alla porta 4 (P4) del firewall.

Aprire ZON sul computer per scansionare il firewall. Selezionare il firewall, quindi fare clic su "Firmware Upgrade":

Selezionare l'ultima versione del firmware dal cloud e inserire la password predefinita "1234" per eseguire l'aggiornamento. Il processo di aggiornamento del firmware richiede circa 5 minuti

Licenze per la serie USG FLEX

• Licenze Nebula in bundle per il vostro USG FLEX in PRD_N_eS8uXvdSw_0 Control Center

Se il vostro USG Flex è stato fornito con una licenza in bundle, godrete automaticamente di un Professional Pack Nebula di 1 anno per il vostro dispositivo. La licenza del servizio UTM verrà portata avanti senza problemi fino a Nebula, indipendentemente dalla sua durata residua.

Se il vostro USG non è stato fornito con una licenza in bundle, potrete comunque usufruire di 30 giorni di prova per i vostri servizi UTM. Anche i servizi Nebula Pro Pack includono 30 giorni di prova automaticamente durante la creazione dell'organizzazione.

Il periodo di licenza di prova si applica anche al dispositivo con licenza bundle.

• Migrazione della licenza NSG esistente (NSS) a USG FLEX (UTM)

Per migrare la licenza dal precedente NSG all'USG FLEX sul cloud, si applica la seguente tabella di mappatura. Ad esempio, NSG 100 può migrare la propria licenza solo su USG FLEX 200 e non può migrare la licenza su altri modelli USG FLEX.

Se l'USG FLEX 100 dispone già di una licenza di 1 anno, dopo aver migrato la licenza rimanente dall'NSG50 (es.: 6 mesi) all'USG FLEX 100, quest'ultimo si ritrova con una licenza di 1 anno e mezzo da utilizzare.

• Limitazioni del passaggio alla modalità Nebula

Ci sono alcune limitazioni e le seguenti funzionalità non sono ancora disponibili sul modello cloud per l'USG FLEX:

- Dispositivo HA
- Sicurezza e-mail (Anti-Spam)
- Ispezione SSL
- Routing dinamico (RIP, OSPF, BGP)
- Funzionalità IPv6 correlate
- Controllore AP (Nebula Control Center dovrebbe essere usato come controllore AP)
- Servizio hotspot (Nebula Control Center supporta già servizi hotspot come Voucher e Walled garden)

Se riscontrate altri problemi, non esitate a contattare il nostro team di supporto.