Il nostro firewall USG FLEX può essere gestito e configurato tramite il Nebula Control Center (NCC) a partire dal firmware ZLD5.00 in poi. La serie ATP può essere gestita in NCC dal firmware ZLD5.10. Questa guida mostra come aggiungere il dispositivo su Nebula utilizzando il processo ZTP e pre-configurare le impostazioni del firewall su Nebula, prima di consegnare il dispositivo per l’installazione in loco. Questo articolo spiega come registrare il firewall in Nebula. È suddiviso in diverse sezioni, quindi si prega di navigare alla sezione pertinente per voi nella tabella dei contenuti.
Nota: La modalità ZTP non è disponibile dalla versione 5.37 patch 1, pertanto è necessario distribuire il dispositivo su Nebula utilizzando la modalità nativa. Ecco i modelli interessati. Serie ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Serie USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN
Perché non posso usare la modalità ZTP o Nativa per distribuire il mio firewall su Nebula?
Se riscontri difficoltà nell'aggiungere il tuo dispositivo a Nebula, potrebbe indicare che il dispositivo è stato prodotto prima della fine del 2023 e necessita di completare il processo di Zero Touch Provisioning (ZTP). Per procedere, segui questi passaggi:
- Effettua il downgrade del firmware sul dispositivo
- Segui il processo ZTP come richiesto
- Una volta aggiunto con successo, aggiorna il dispositivo all'ultima versione del firmware
Come registrare il firewall in Nebula (Video)
Nota: Il dispositivo deve essere resettato alle impostazioni di fabbrica per poterlo connettere a Nebula, perdendo tutte le configurazioni precedenti eventualmente impostate. Una volta connesso a Nebula, il dispositivo verrà configurato automaticamente con le impostazioni predefinite di Nebula. Si noti inoltre che alcune funzionalità non sono ancora disponibili in modalità cloud per USG FLEX:
- HA del dispositivo
- Sicurezza Email (Anti-Spam)
- Ispezione SSL
- Routing Dinamico (RIP, OSPF, BGP)
- Funzionalità IPv6 correlate
- Controller AP (invece va usato il Nebula Control Center come controller AP)
- Servizio Hotspot (il Nebula Control Center supporta già servizi hotspot come Voucher, Walled garden)
Licenze
- Licenze del tuo USG FLEX nel Nebula Control Center
Se il tuo USG Flex è fornito con una licenza inclusa, avrai automaticamente un Nebula Professional Pack di 1 anno per il dispositivo. La licenza del servizio UTM sarà trasferita senza problemi su Nebula, indipendentemente dal tempo residuo.
Nel caso in cui il tuo USG non sia fornito con una licenza inclusa, potrai comunque usufruire di una prova gratuita di 30 giorni per i servizi UTM. I servizi del Nebula PRO Pack includono automaticamente una prova di 30 giorni durante la creazione dell’organizzazione.
Il periodo di prova si applica anche ai dispositivi con licenza inclusa.
- Come migrare la mia licenza NSG esistente (NSS) al USG FLEX (UTM)
Per migrare la licenza dal tuo NSG al USG FLEX sul cloud, si applica la seguente tabella di corrispondenza. Ad esempio, NSG 100 può migrare la licenza solo a USG FLEX 200 e non può migrare la licenza ad altri modelli USG FLEX.
| Serie NSG | NSG50 | NSG100 | NSG200 | NSG300 |
| Serie USG FLEX | USG FLEX 100/100W | USG FLEX 200 | USG FLEX 500 | USG FLEX 700 |
Se il tuo USG FLEX 100 ha già una licenza di 1 anno, dopo aver migrato la licenza residua da NSG50 (es.: 6 mesi) al USG FLEX 100, quest’ultimo avrà una licenza totale di un anno e mezzo da utilizzare.
Ti preghiamo di aprire una Richiesta di Supporto, e il nostro team sarà lieto di aiutarti a risolvere la questione della migrazione della licenza con la dovuta priorità.
Scelta della modalità Nebula tramite Web GUI
Una volta che il dispositivo esegue la versione 5.10 e utilizza le impostazioni di fabbrica, al primo accesso al Web Configurator sarà richiesto di aggiornare la password predefinita dell’amministratore ("1234").
- Modalità Nebula
Seleziona la Modalità Nebula per gestire il dispositivo Zyxel tramite il Nebula Control Center (NCC). NCC è un sistema di gestione di rete basato su cloud che consente di gestire e monitorare il dispositivo Zyxel da remoto.
Segui la procedura guidata della modalità Nebula per configurare le impostazioni WAN e trasferire la gestione del dispositivo Zyxel al NCC.
|
|
Una volta configurata la modalità di gestione e la WAN del dispositivo con accesso a internet, puoi procedere su Nebula per ulteriori configurazioni. Maggiori informazioni nella sezione "Modalità nativa Nebula"
- Migrare da remoto dalla modalità on-premise alla modalità Nebula
Anche se hai impostazioni IP statiche o impostazioni di fabbrica, puoi passare da remoto alla modalità cloud di Nebula utilizzando la Web GUI. Nota che il dispositivo verrà resettato alle impostazioni di fabbrica e le configurazioni andranno perse. Con la Fase 13 di Nebula, non è più necessario recarsi in loco per resettare il dispositivo prima della migrazione: ora puoi farlo da remoto.
I requisiti per migrare da remoto a Nebula sono che il firewall:
- Deve essere in Modalità Nativa Nebula, cioè deve contenere il Certificato ZTP
- Il dispositivo deve essere online (accesso WAN/internet necessario)
Nota: Se il dispositivo è in modalità on-premise puoi saltare il passaggio "Modalità nativa Nebula
- Crea un’organizzazione e un sito
Se non hai ancora creato un’organizzazione e un sito su Nebula, segui l’articolo nel link fornito. Una volta completato questo passaggio, potremo procedere con la registrazione.
Nebula [Sito/Organizzazione] - Come creare/eliminare un’organizzazione e un sito su Nebula Control Center?
Configura il Firewall nel portale Nebula
Prima di eseguire questi passaggi, assicurati di avere a disposizione la topologia di rete, le impostazioni del firewall e la configurazione WAN. Queste informazioni ti permetteranno di pre-configurare il firewall prima che venga acceso all’interno di Nebula. Il firewall sincronizzerà automaticamente questa configurazione quando si connetterà a Nebula. Quando crei il sito, puoi specificare il modello del firewall senza aggiungerlo. Ciò permette di pre-configurare alcuni parametri prima di aggiungere il dispositivo vero e proprio.
- Impostazioni del gruppo porte
Site-wide -> Configure -> Firewall -> Port
- Per configurare i gruppi di porte WAN/LAN o aggiungere gruppi WAN/LAN per adattarli al tuo scenario.
- Configura le impostazioni WAN se hai un IP statico
Site-wide -> Configure -> Firewall - interfaces- per modificare gli indirizzi IP delle interfacce WAN/LAN in base al tuo scenario.
Registra il Firewall e scegli il metodo di distribuzione
Modalità manuale
Vai su Site-wide -> License & Inventory
Accedi alla pagina del dispositivo e clicca su "Aggiungi" per registrare il firewall. Puoi registrare più dispositivi inserendo l’indirizzo MAC e il numero di serie
Successivamente, puoi assegnare il dispositivo al sito corretto. Puoi avere diversi dispositivi in un’organizzazione, da qui puoi selezionare un dispositivo specifico e assegnarlo al sito corrispondente:
Apparirà una finestra pop-up dove potrai selezionare il metodo di distribuzione del dispositivo.
Modalità Zero Touch Provision
Per la prima volta che il dispositivo viene registrato su Nebula, deve essere utilizzata la modalità Zero Touch Provision poiché il dispositivo necessita del processo ZTP per diventare abilitato al cloud. Vai a Esegui processo ZTP
La modalità nativa Nebula
Quando registri per la prima volta il dispositivo in Nebula, devi assicurarti di avere il certificato ZTP sul dispositivo. In tutti i dispositivi, il firewall deve prima passare una volta attraverso il processo ZTP una sola volta. Nei dispositivi più recenti, il certificato ZTP potrebbe già essere presente nel firewall (controlla se hai il certificato ZTP qui - se non hai il certificato ZTP devi eseguire il processo ZTP e non puoi usare la modalità nativa per mettere online il firewall).
- Resetta il dispositivo alle impostazioni di fabbrica
Quando vuoi migrare dalla modalità Stand-alone a Nebula, devi prima resettare il dispositivo usando il pulsante RESET situato davanti al dispositivo (premendolo per 15 secondi). Se durante il processo modifichi anche solo una minima impostazione (es. la password dell’amministratore), la migrazione non avrà successo.
- Controlla se hai DHCP o IP Statico sulla WAN
Se hai un IP statico sulla WAN, devi accedere al dispositivo tramite Web GUI, scegliere la modalità Nebula e inserire le informazioni IP necessarie per stabilire la connessione:
Se hai un IP statico sulla WAN, segui la procedura guidata qui sotto e dopo averla completata, procedi al passo 2 - registra il dispositivo:
- Scegli la Modalità Nativa
Collega la porta WAN alla porta indicata nell’immagine (in questo esempio P2) e la LAN alla porta mostrata (in questo esempio P4) - Nota: Non deve essere collegato nient’altro
- Dovresti vedere che sta aspettando che il dispositivo si connetta a Nebula (sotto Dispositivi -> Firewall):
Il firewall dovrebbe ora riavviarsi rapidamente e, dopo il riavvio, il dispositivo dovrebbe essere online entro 20 minuti.
Risoluzione problemi - "In attesa che il dispositivo si connetta" [Verifica certificato ZTP]
Se il dispositivo è bloccato in modalità nativa con il messaggio "In attesa che il dispositivo si connetta" - devi ricontrollare se hai il certificato ZTP:
Accedi via SSH al dispositivo (usando Putty o Teraterm) e digita show native mode cert file status:
Se ricevi un errore o il certificato non è presente, non hai ancora eseguito il processo ZTP su quel firewall e devi usare questa volta il processo ZTP. Potrebbe anche essere che non hai la versione firmware 5.10 e devi aggiornare il firewall prima di usare la modalità nativa.
- Migrare da modalità on-premise a modalità Nebula nella Web GUI
Vai su Configuration -> Mgmt. & Analytics -> Nebula, quindi clicca su Applica e Vai a NebulaApparirà un pop-up e dovrai cliccare su sì:
Poi attendi che il dispositivo sia online su Nebula.
Esegui il processo ZTP
I video mostrati all’inizio dell’articolo mostrano l’intero processo con solo l’ultima parte differente. Questa ultima parte corrisponde al processo ZTP per il quale sono disponibili due metodi mostrati nel video. Questo metodo è trattato nelle seguenti 2 sottosezioni.
Per il processo ZTP è necessario specificare come verrà configurata la connessione WAN (DHCP/PPPoE/IP Statico) e indicare un indirizzo email a cui verrà inviata una mail contenente il link e il file JSON. "Installerò il firewall da solo" invia la mail all’account che sta aggiungendo il dispositivo al sito in quel momento. È anche possibile specificare un altro account email in modo che un installatore possa eseguire il processo ZTP.
- Attivare la capacità cloud del firewall tramite URL
Con il dispositivo aggiornato all’ultimo firmware, collega l’alimentazione a una fonte adeguata e accendi il firewall. Attendi che il LED SYS diventi verde fisso. Quindi collega l’interfaccia WAN (P2) a Internet.
Collega l’interfaccia LAN (P4) al computer.
Apri la mail ricevuta da Nebula e clicca su "Consenti a Nebula di gestire il mio dispositivo".
Attendi che il processo Zero Touch Provisioning di Nebula abbia successo. Clicca su "Vai al Nebula Control Center" per accedere a Nebula
Il dispositivo impiegherà qualche minuto per connettersi a Nebula e diventare online.
Nota: Se hai un dispositivo come un AP già collegato alla porta 4 del USG FLEX, e l’AP sta già fornendo una rete Wi-Fi nella subnet 192.168.1.1/24, puoi eseguire lo ZTP tramite URL da qualsiasi dispositivo connesso alla rete Wi-Fi, permettendo di farlo anche da dispositivo mobile.
- Attivare la capacità cloud del firewall tramite USB
In alternativa, puoi attivare il firewall usando una chiavetta USB. Copia il file allegato nella mail inviata da Nebula su una USB nuova/pulita (FAT32) e collegala alla porta USB del firewall. Accendi il firewall, il LED SYS lampeggia rosso mentre si connette a Nebula e diventa verde fisso quando è connesso.
Vai al Dashboard di Nebula per verificare lo stato del gateway.
Il dispositivo impiegherà qualche minuto per connettersi a Nebula e diventare online.
Risoluzione problemi
- Connessione Internet non disponibile - Verifica la connessione Internet
Il browser mostra che la connessione internet è assente quando si accede all’URL nella mail.
Controlla la tua connessione internet e assicurati di essere connesso all’interfaccia WAN (P2). Poi clicca su "Riprova" per rifare lo ZTP.
Puoi anche cliccare su "Strumenti di test rete" per accedere alla Web GUI del dispositivo per ulteriori verifiche. L’utente è "support" e la password è il numero di serie del firewall.
Se hai una connessione IP Statico / PPPoE, ricontrolla di aver inserito correttamente le informazioni IP statiche localmente sul dispositivo:
Vai su Configuration -> WAN Settings e verifica che tutto sia compilato correttamente- Zero Touch Provisioning (ZTP) fallisce perché il dispositivo non è nello stato di fabbrica
Tieni premuto il pulsante reset per 5 secondi per resettare il dispositivo alle impostazioni di fabbrica. Poi clicca sull’URL per rifare lo ZTP.
- ZTP via USB: il LED SYS non smette di lampeggiare rosso
Nebula Dashboard mostra che il firewall è offline.
Se lo ZTP via USB fallisce, verifica la connessione internet. Apri il file ztpresult.log nella USB per controllare lo stato.
Ecco un esempio:
Lo ZTP fallisce perché non c’è un file ZTP corrispondente nella USB per questo dispositivo. Assicurati di copiare il file ZTP corretto.
- La modalità Nebula non appare accedendo alla Web GUI
Puoi aggiornare il dispositivo tramite l’interfaccia Web configurator o usando l’utilità ZON. Questo articolo mostra come farlo tramite l’utilità ZON.
Assicurati di aver installato ZON sul tuo computer. In caso contrario, puoi scaricarlo qui:
Zyxel One Network Utility (ZON)
Collega l’alimentazione alla fonte di energia e accendi il firewall. Attendi che il LED SYS diventi verde fisso. Collega il computer alla porta 4 (P4) del firewall.
Apri ZON sul computer per scansionare il firewall. Seleziona il firewall e clicca su "Aggiornamento firmware":
Seleziona l’ultima versione del firmware dal cloud e inserisci la password predefinita “1234” per aggiornare. Il processo di aggiornamento richiede circa 5 minuti
Licenze per la serie USG FLEX
- Licenze Nebula incluse per il tuo USG FLEX nel Nebula Control Center
Se il tuo USG Flex è fornito con una licenza inclusa, avrai automaticamente un Nebula Professional Pack di 1 anno per il dispositivo. La licenza del servizio UTM sarà trasferita senza problemi su Nebula, indipendentemente dal tempo residuo.
Nel caso in cui il tuo USG non sia fornito con una licenza inclusa, potrai comunque usufruire di una prova gratuita di 30 giorni per i servizi UTM. I servizi del Nebula Pro Pack includono automaticamente una prova di 30 giorni durante la creazione dell’organizzazione.
Il periodo di prova si applica anche ai dispositivi con licenza inclusa.
- Come migrare la mia licenza NSG esistente (NSS) al USG FLEX (UTM)
Per migrare la licenza dal tuo precedente NSG al USG FLEX sul cloud, si applica la seguente tabella di corrispondenza. Ad esempio, NSG 100 può migrare la licenza solo a USG FLEX 200 e non può migrare la licenza ad altri modelli USG FLEX.
| Serie NSG | NSG50 | NSG100 | NSG200 | NSG300 |
| Serie USG FLEX | USG FLEX 100/100W | USG FLEX 200 | USG FLEX 500 | USG FLEX 700 |
Se il tuo USG FLEX 100 ha già una licenza di 1 anno, dopo aver migrato la licenza residua da NSG50 (es.: 6 mesi) al USG FLEX 100, quest’ultimo avrà una licenza totale di un anno e mezzo da utilizzare.
- Limitazioni nel passaggio alla modalità Nebula
Ci sono alcune limitazioni e le seguenti funzionalità non sono ancora disponibili nel modello cloud per USG FLEX:
- HA del dispositivo
- Sicurezza Email (Anti-Spam)
- Ispezione SSL
- Routing Dinamico (RIP, OSPF, BGP)
- Funzionalità IPv6 correlate
- Controller AP (invece va usato il Nebula Control Center come controller AP)
- Servizio Hotspot (il Nebula Control Center supporta già servizi hotspot come Voucher e Walled garden)
Se riscontri altri problemi, non esitare a metterti in contatto con il nostro team di Supporto.
Commenti
0 commentiAccedi per aggiungere un commento.