Onze USG FLEX firewall kan beheerd en geprovisioneerd worden via Nebula Control Center (NCC) vanaf firmware ZLD5.00 en later. De ATP-serie kan beheerd worden in NCC vanaf firmware ZLD5.10. Deze gids toont hoe je het apparaat toevoegt aan Nebula met behulp van het ZTP-proces en de firewallinstellingen vooraf configureert in Nebula, voordat het apparaat wordt geleverd voor installatie ter plaatse. Dit artikel laat zien hoe je je firewall registreert in Nebula. Het is verdeeld in verschillende secties, dus navigeer naar de relevante sectie voor jou in de inhoudsopgave.
Opmerking: ZTP-modus is niet beschikbaar vanaf versie 5.37 patch 1, dus je moet het apparaat implementeren in Nebula via de native modus. Dit zijn de getroffen modellen. ATP-serie: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 USG FLEX-serie: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN
Waarom kan ik mijn firewall niet implementeren op Nebula met ZTP of Native Mode?
Als je problemen ondervindt bij het toevoegen van je apparaat aan Nebula, kan dit betekenen dat je apparaat vóór het einde van 2023 is geproduceerd en dat het Zero Touch Provisioning (ZTP)-proces voltooid moet worden. Volg de volgende stappen om door te gaan:
- Downgrade de firmware op je apparaat
- Volg het ZTP-proces zoals vereist
- Werk het apparaat bij naar de nieuwste firmwareversie zodra het succesvol is toegevoegd
Hoe registreer je je firewall in Nebula (Video’s)
Opmerking: Je apparaat moet worden teruggezet naar de fabrieksinstellingen om verbinding te maken met Nebula, waarbij alle eerder geconfigureerde instellingen verloren gaan. Zodra het verbonden is met Nebula, wordt het apparaat automatisch geconfigureerd met de standaardinstellingen van Nebula. Houd er ook rekening mee dat er enkele beperkingen zijn en de volgende functies nog niet beschikbaar zijn in de cloudmodus voor de USG FLEX:
- Apparaat HA
- E-mailbeveiliging (Anti-Spam)
- SSL-inspectie
- Dynamische routing (RIP, OSPF, BGP)
- Gerelateerde IPv6-functies
- AP-controller (Nebula Control Center moet in plaats daarvan worden gebruikt als AP-controller)
- Hotspotservice (Nebula Control Center ondersteunt al hotspotservices zoals Voucher, Walled garden)
Licenties
- Licensering van je USG FLEX in Nebula Control Center
Als je USG Flex werd geleverd met een gebundelde licentie, geniet je automatisch van een Nebula Professional Pack van 1 jaar voor je apparaat. De UTM-servicelicentie wordt naadloos overgedragen naar Nebula, ongeacht de resterende tijd.
Als je USG niet met een bundellicentie werd geleverd, kun je nog steeds 30 dagen proefperiode voor je UTM-services gebruiken. De Nebula PRO Pack-services bevatten ook automatisch een proefperiode van 30 dagen bij het aanmaken van je organisatie.
De proeflicentieperiode geldt ook voor je apparaat met een bundellicentie.
- Mijn bestaande NSG-licentie (NSS) migreren naar de USG FLEX (UTM)
Om de licentie van je NSG naar de USG FLEX in de cloud te migreren, geldt onderstaande mappingtabel. Bijvoorbeeld, NSG 100 kan zijn licentie alleen migreren naar USG FLEX 200 en kan niet migreren naar andere USG FLEX-modellen.
| NSG-serie | NSG50 | NSG100 | NSG200 | NSG300 |
| USG FLEX-serie | USG FLEX 100/100W | USG FLEX 200 | USG FLEX 500 | USG FLEX 700 |
Als je USG FLEX 100 al een licentie van 1 jaar heeft, dan heeft deze na migratie van de resterende licentie van de NSG50 (bijv. 6 maanden) naar de USG FLEX 100 uiteindelijk een licentie van anderhalf jaar om te gebruiken.
Dien een Supportverzoek in, dan helpt ons team je graag met prioriteit bij het oplossen van je migratie-licentieprobleem.
Kiezen voor Nebula modus via Web GUI
Zodra je apparaat draait op 5.10 en de fabrieksinstellingen gebruikt, wordt bij de eerste keer inloggen in de Web Configurator gevraagd om het standaard beheerderswachtwoord ("1234") te wijzigen.
- Nebula modus
Selecteer Nebula modus om je Zyxel-apparaat te beheren via Nebula Control Center (NCC). NCC is een cloud-gebaseerd netwerkbeheersysteem waarmee je je Zyxel-apparaat op afstand kunt beheren en monitoren.
Volg de Nebula modus-wizard om de WAN-instellingen te configureren en het beheer van je Zyxel-apparaat aan NCC over te dragen.
|
|
Zodra de beheermodus en de WAN van het apparaat zijn geconfigureerd en internettoegang mogelijk is, kun je doorgaan naar Nebula voor verdere configuratie. Meer informatie staat in de sectie "Nebula native modus"
- Op afstand migreren van on-premise naar Nebula modus
Zelfs als je statische IP-instellingen of fabrieksinstellingen hebt, kun je je on-premise beheersoplossing op afstand overschakelen naar Nebula cloudmodus via de Web GUI. Let op: het apparaat wordt teruggezet naar fabrieksinstellingen en configuraties gaan verloren. Vanaf Nebula fase 13 hoef je niet meer ter plaatse te zijn om het apparaat terug te zetten naar fabrieksinstellingen voordat je migreert naar Nebula. Dit kan nu op afstand.
De vereisten voor het op afstand migreren naar Nebula zijn dat de firewall:
- Moet in Nebula Native Mode staan, wat betekent dat het de ZTP-certificaat moet bevatten
- Het apparaat moet online zijn (WAN (internet) toegang vereist)
Opmerking: Als je het apparaat in on-premise modus hebt, kun je stap "Nebula native modus"
- Maak een organisatie en site aan
Als je nog geen Nebula organisatie en site hebt aangemaakt, volg dan het artikel via de bijgevoegde link. Zodra je die stap hebt voltooid, kunnen we doorgaan met het registratieproces.
Nebula [Site/Organisatie] - Hoe maak/verwijder ik een organisatie en site in Nebula Control Center?
Configureer de firewall in het Nebula portaal
Voer deze stappen pas uit als je de netwerktopologie, firewallinstellingen en WAN-configuratie vooraf hebt. Deze informatie stelt je in staat om de firewallinstellingen vooraf te configureren voordat deze wordt ingeschakeld binnen Nebula. De firewall synchroniseert deze configuratie automatisch wanneer deze verbinding maakt met Nebula. Bij het aanmaken van de site kun je het model van je firewall opgeven zonder het toe te voegen. Zo kun je enkele parameters vooraf instellen voordat het apparaat zelf wordt toegevoegd.
- Portgroep-instellingen
Site-breed -> Configureren -> Firewall -> Poort
- Configureer de WAN/LAN-poortgroepen of voeg WAN/LAN-groepen toe die bij je scenario passen.
- Configureer WAN-instellingen als je een statisch IP hebt
Site-breed -> Configureren -> Firewall - interfaces- om de IP-adressen van de WAN/LAN-interface aan te passen aan je scenario.
Registreer de firewall en kies de implementatiemethode
Handmatige modus
Ga naar Site-breed -> Licentie & Inventaris
Ga naar de apparaatsite en klik op "Toevoegen" om de firewall te registreren. Je kunt meerdere apparaten registreren door het MAC-adres en serienummer in te voeren
Daarna kun je het apparaat aan de juiste site toewijzen. Je kunt meerdere apparaten in een organisatie hebben; hier kun je een specifiek apparaat selecteren en toewijzen aan de bijbehorende site:
Er verschijnt een pop-upvenster waarin je de implementatiemethode voor het apparaat kunt kiezen.
Zero Touch Provision modus
Voor de eerste keer dat het apparaat wordt geregistreerd in Nebula, moet de Zero Touch Provision modus worden gebruikt omdat het apparaat het ZTP-proces nodig heeft om cloudcapabel te worden. Ga naar Voer het ZTP-proces uit
De Nebula native modus
Wanneer je je apparaat voor het eerst registreert in Nebula, moet je ervoor zorgen dat je het ZTP-certificaat op je apparaat hebt. Bij alle apparaten moet de firewall eerst het ZTP-proces een keer doorlopen. Bij nieuwere apparaten kan het ZTP-certificaat al in de firewall aanwezig zijn (controleer of je het ZTP-certificaat hier hebt - als je het ZTP-certificaat niet hebt, moet je het ZTP-proces uitvoeren en kun je de native modus niet gebruiken om de firewall online te krijgen).
- Reset het apparaat naar de standaardconfiguratie
Als je wilt migreren van de stand-alone modus naar Nebula, moet je het apparaat eerst resetten met de RESET-knop aan de voorkant van het apparaat (houd deze 15 seconden ingedrukt). Als je tijdens het proces ook maar de kleinste instelling wijzigt (bijv. het admin-wachtwoord), zal de migratie niet slagen.
- Controleer of je DHCP of een statisch IP op WAN hebt
Als je een statisch IP op je WAN hebt, moet je inloggen op het apparaat via de Web GUI, de Nebula modus kiezen en de benodigde IP-informatie invoeren om een verbinding tot stand te brengen:
Als je een statisch IP op WAN hebt, doorloop dan de onderstaande wizard en ga na voltooiing verder met stap 2 - registreer het apparaat:
- Kies de Native Mode
Verbind je WAN-poort met de poort die op de afbeelding staat (in dit voorbeeld P2) en de LAN met de poort die wordt getoond (in dit voorbeeld P4) - Opmerking: Er mag niets anders verbonden zijn
- Je zou moeten kunnen zien dat het wacht op het apparaat om zichzelf te verbinden met Nebula (onder Apparaten -> Firewall):
De firewall zal nu een snelle herstart uitvoeren en na de herstart zou het apparaat binnen 20 minuten online moeten komen.
Probleemoplossing - "Wachten op apparaatverbinding" [Controleren ZTP-certificaat]
Als je apparaat vastzit in Native modus "Wachten op apparaatverbinding" - moet je dubbelchecken of je het ZTP-certificaat hebt:
Log in via SSH op het apparaat (met programma Putty of Teraterm) en typ show native mode cert file status:
Als je een foutmelding krijgt of het certificaat er niet is, heb je het ZTP-proces nog niet uitgevoerd op die firewall en moet je deze keer het ZTP-proces gebruiken. Het kan ook zijn dat je niet de firmwareversie 5.10 hebt en de firewall moet upgraden voordat je de Native modus gebruikt.
- Migreren van on-premise modus naar Nebula modus in Web GUI
Ga naar Configuratie -> Beheer & Analyse -> Nebula, klik dan op Toepassen en Ga naar NebulaJe krijgt dan een pop-up en moet op ja klikken:
Wacht vervolgens tot het apparaat online komt in Nebula.
Voer het ZTP-proces uit
De video's aan het begin van het artikel tonen het hele proces, waarbij alleen het laatste deel verschilt. Dit laatste deel betreft het ZTP-proces waarvoor twee methoden beschikbaar zijn, zoals in de video te zien is. Deze methode wordt behandeld in de volgende 2 subsecties.
Voor het ZTP-proces moet worden opgegeven hoe de WAN-verbinding wordt ingesteld (DHCP/PPPoE/Statisch IP) en een e-mailadres worden opgegeven waarheen de e-mail met de link en JSON-bestand wordt gestuurd. "Ik installeer de firewall zelf" stuurt de e-mail naar het account dat het apparaat op dat moment aan de site toevoegt. Het is ook mogelijk om een ander e-mailadres op te geven zodat een installateur het ZTP-proces kan uitvoeren.
- Activeer de cloudfunctionaliteit van de firewall via URL
Zorg dat het apparaat met de nieuwste firmware draait, sluit de stroompoort aan op een geschikte stroombron en zet de firewall aan. Wacht tot de SYS LED continu groen brandt. Verbind dan de WAN (P2) interface met het internet.
Verbind de LAN (P4) interface met de computer.
Open de e-mail van Nebula en klik op "Sta Nebula toe om mijn apparaat te beheren".
Wacht tot Nebula Zero Touch Provisioning succesvol is. Klik op "Ga naar Nebula Control Center" om toegang te krijgen tot Nebula
Het apparaat heeft een paar minuten nodig om verbinding te maken met Nebula en online te komen.
Opmerking: Als je een apparaat zoals een AP al hebt aangesloten op poort 4 van de USG FLEX, en de AP al een Wi-Fi-netwerk aanbiedt in het subnet 192.168.1.1/24, kun je de ZTP via URL uitvoeren vanaf elk apparaat dat verbonden is met het Wi-Fi-netwerk, waardoor je dit ook vanaf een mobiel apparaat kunt doen.
- Activeer de cloudfunctionaliteit van de firewall via USB
Als alternatief kun je de firewall ook activeren met een USB-stick. Kopieer het bestand dat als bijlage in de e-mail van Nebula is gestuurd naar een nieuwe/schone USB (FAT32) en sluit deze aan op de USB-poort van de firewall. Zet de firewall aan, de SYS LED knippert rood tijdens het verbinden met Nebula en brandt continu groen als de verbinding is gemaakt.
Ga naar het Nebula Dashboard om de status van de gateway te controleren.
Het apparaat heeft een paar minuten nodig om verbinding te maken met Nebula en online te komen.
Probleemoplossing
- Internetverbinding is verbroken - Controleer de internetverbinding
De webbrowser geeft aan dat de internetverbinding verbroken is wanneer de URL in de e-mail wordt geopend.
Controleer je internetverbinding en zorg dat je verbonden bent met de WAN (P2) interface. Klik vervolgens op "Opnieuw proberen" om het ZTP opnieuw uit te voeren.
Je kunt ook op "Netwerktesttools" klikken om in te loggen op de web GUI van het apparaat voor verdere probleemoplossing. De gebruiker is "support" en het wachtwoord is het serienummer van de firewall.
Als je een statisch IP / PPPoE-verbinding hebt, controleer dan of je de statische IP-informatie lokaal op het apparaat hebt ingevoerd:
Ga naar Configuratie -> WAN-instellingen en controleer of alles correct is ingevuld- Zero Touch Provisioning (ZTP) mislukt omdat dit apparaat niet in de fabrieksstandaard staat
Houd de resetknop 5 seconden ingedrukt om het apparaat terug te zetten naar fabrieksinstellingen. Klik daarna op de URL om het ZTP opnieuw uit te voeren.
- ZTP via USB: De SYS LED stopt niet met rood knipperen
Nebula Dashboard toont dat de firewall offline is.
Als ZTP via USB mislukt, controleer dan de internetverbinding. Open het bestand ztpresult.log op de USB om de status te controleren.
Hier is een voorbeeld:
ZTP mislukt omdat er geen overeenkomend ZTP-bestand op de USB staat voor dit apparaat. Zorg dat je het juiste ZTP-bestand kopieert.
- Nebula modus verschijnt niet bij toegang tot Web GUI
Je kunt je apparaat upgraden via de webconfigurator of met de ZON utility. Dit artikel toont hoe je dit via de ZON utility doet.
Zorg dat je ZON op je computer hebt geïnstalleerd. Zo niet, dan kun je het hier downloaden:
Zyxel One Network Utility (ZON)
Sluit de stroompoort aan op de stroombron en zet de firewall aan. Wacht tot de SYS LED continu groen brandt. Verbind je computer met poort 4 (P4) van de firewall.
Open ZON op je computer om de firewall te scannen. Selecteer de firewall en klik op "Firmware Upgrade":
Selecteer de nieuwste firmwareversie uit de cloud en voer het standaardwachtwoord “1234” in om te upgraden. Het firmwareproces duurt ongeveer 5 minuten.
Licensering voor USG FLEX-serie
- Gebundelde Nebula licenties voor je USG FLEX in Nebula Control Center
Als je USG Flex werd geleverd met een gebundelde licentie, geniet je automatisch van een Nebula Professional Pack van 1 jaar voor je apparaat. De UTM-servicelicentie wordt naadloos overgedragen naar Nebula, ongeacht de resterende tijd.
Als je USG niet met een bundellicentie werd geleverd, kun je nog steeds 30 dagen proefperiode voor je UTM-services gebruiken. De Nebula Pro Pack-services bevatten ook automatisch een proefperiode van 30 dagen bij het aanmaken van je organisatie.
De proeflicentieperiode geldt ook voor je apparaat met een bundellicentie.
- Mijn bestaande NSG-licentie (NSS) migreren naar de USG FLEX (UTM)
Om de licentie van je vorige NSG naar de USG FLEX in de cloud te migreren, geldt onderstaande mappingtabel. Bijvoorbeeld, NSG 100 kan zijn licentie alleen migreren naar USG FLEX 200 en kan niet migreren naar andere USG FLEX-modellen.
| NSG-serie | NSG50 | NSG100 | NSG200 | NSG300 |
| USG FLEX-serie | USG FLEX 100/100W | USG FLEX 200 | USG FLEX 500 | USG FLEX 700 |
Als je USG FLEX 100 al een licentie van 1 jaar heeft, dan heeft deze na migratie van de resterende licentie van de NSG50 (bijv. 6 maanden) naar de USG FLEX 100 uiteindelijk een licentie van anderhalf jaar om te gebruiken.
- Beperkingen bij overschakelen naar Nebula modus
Er zijn enkele beperkingen en de volgende functies zijn nog niet beschikbaar in de cloudmodus voor de USG FLEX:
- Apparaat HA
- E-mailbeveiliging (Anti-Spam)
- SSL-inspectie
- Dynamische routing (RIP, OSPF, BGP)
- Gerelateerde IPv6-functies
- AP-controller (Nebula Control Center moet in plaats daarvan worden gebruikt als AP-controller)
- Hotspotservice (Nebula Control Center ondersteunt al hotspotservices zoals Voucher en Walled garden)
Als je andere problemen ondervindt, neem dan gerust contact op met ons Supportteam.
Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.