Vår USG FLEX brannmur kan administreres og konfigureres via Nebula Control Center (NCC) fra ZLD5.00 firmware og fremover. ATP-serien kan administreres i NCC fra ZLD5.10 firmware. Denne guiden viser hvordan du legger til enheten i Nebula ved bruk av ZTP-prosessen og forhåndskonfigurerer brannmurinnstillingene i Nebula, før enheten leveres til installasjon på stedet. Denne artikkelen viser hvordan du registrerer brannmuren din i Nebula. Den er delt inn i forskjellige seksjoner, så vennligst naviger til den relevante seksjonen for deg i innholdsfortegnelsen.
 Merk: ZTP-modus er ikke tilgjengelig fra og med versjon 5.37 patch 1, så du må distribuere enheten til Nebula ved bruk av native modus. Her er de berørte modellene. ATP-serien: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 USG FLEX-serien: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Hvorfor kan jeg ikke bruke ZTP eller Native Mode for å distribuere brannmuren min på Nebula?

Hvis du har problemer med å legge til enheten i Nebula, kan det tyde på at enheten din ble produsert før slutten av 2023 og krever at Zero Touch Provisioning (ZTP)-prosessen fullføres. For å fortsette, følg disse trinnene:

• Nedgrader firmwaren på enheten din
• Naviger gjennom ZTP-prosessen som kreves
• Når den er lagt til, oppdater enheten til nyeste firmwareversjon

Hvordan registrere brannmuren din i Nebula (Videoer)

Merk: Enheten må tilbakestilles til fabrikkinnstillinger for å kunne koble den til Nebula, noe som medfører tap av alle tidligere konfigurasjoner. Når enheten er koblet til Nebula, vil den automatisk konfigureres med Nebula sine standardinnstillinger. Vennligst merk også at det finnes noen begrensninger, og følgende funksjoner er ennå ikke tilgjengelige i cloud-modus for USG FLEX:

• Device HA
• E-postsikkerhet (Anti-Spam)
• SSL-inspeksjon
• Dynamisk ruting (RIP, OSPF, BGP)
• Relaterte IPv6-funksjoner
• AP-kontroller (Nebula Control Center bør brukes som AP-kontroller i stedet)
• Hotspot-tjeneste (Nebula Control Center støtter allerede hotspot-tjenester som Voucher, Walled garden)

Lisensiering

• Lisensiering av din USG FLEX i Nebula Control Center

Hvis din USG Flex kom med en inkludert lisens, vil du automatisk få en Nebula Professional Pack med 1 års varighet for enheten din. UTM-tjenestelisensen vil sømløst bli overført til Nebula, uavhengig av gjenværende tid.

Hvis din USG ikke kom med en bundlet lisens, vil du likevel få 30 dagers prøveperiode for dine UTM-tjenester. Nebula PRO Pack-tjenestene inkluderer også automatisk 30 dagers prøveperiode når organisasjonen din opprettes.

Prøvelisensperioden gjelder også for enheter med bundlet lisens.

• Overføre min eksisterende NSG-lisens (NSS) til USG FLEX (UTM)

For å migrere lisensen fra din NSG til USG FLEX i skyen, gjelder følgende kartleggingstabell. For eksempel kan NSG 100 kun migrere sin lisens til USG FLEX 200 og ikke til andre USG FLEX-modeller.

Hvis din USG FLEX 100 allerede har en 1-års lisens, vil den etter migrering av gjenværende lisens fra NSG50 (f.eks. 6 måneder) til USG FLEX 100 ende opp med 1 og et halvt års lisens til bruk. 

Vennligst opprett en Supportforespørsel, så vil vårt team med glede hjelpe deg med lisensmigreringsproblemet med prioritet.

Velge Nebula-modus via Web GUI

Når enheten din kjører versjon 5.10 og bruker fabrikkinnstillinger, vil du ved første pålogging til Web Configurator bli bedt om å oppdatere standard admin-passord ("1234"). 

• Nebula-modus

Velg Nebula-modus for å administrere Zyxel-enheten din via Nebula Control Center (NCC). NCC er et skybasert nettverksadministrasjonssystem som lar deg administrere og overvåke Zyxel-enheten din eksternt.

Følg veiviseren for Nebula-modus for å konfigurere WAN-innstillingene slik at administrasjonen av Zyxel-enheten overføres til NCC. 

Når administrasjonsmodus og WAN på enheten er konfigurert og tillater internettilgang, kan du gå videre til Nebula for videre oppsett. Mer informasjon finnes i seksjonen "Nebula native mode"

• Fjernmigrer fra lokal administrasjon til Nebula-modus

Selv om du har statisk IP-oppsett eller fabrikkinnstillinger, kan du bytte din lokale administrasjonsløsning til Nebula Cloud-modus eksternt via Web GUI. Merk at enheten vil bli tilbakestilt til fabrikkinnstillinger og konfigurasjoner vil gå tapt. I Nebula fase 13 trenger du ikke å være på stedet for å tilbakestille enheten før migrering til Nebula. Nå kan du gjøre det eksternt. 

Kravene for å migrere eksternt til Nebula er at brannmuren:

• Må være i Nebula Native Mode, som betyr at den må inneholde ZTP-sertifikatet
• Enheten må være online (WAN (internett) tilgang nødvendig)

Merk: Hvis du har enheten i lokal administrasjonsmodus, kan du hoppe over trinnet "Nebula native mode"

• Opprett en organisasjon og et sted

Hvis du ikke har opprettet en Nebula-organisasjon og et sted ennå, vennligst følg lenken i artikkelen. Når du har fullført det trinnet, kan vi gå videre med registreringsprosessen.
Nebula [Site/Organization] - Hvordan opprette/slette en organisasjon og et sted i Nebula Control Center?

Konfigurer brannmuren i Nebula-portalen

Før du gjør disse trinnene, vennligst ha nettverkstopologi, brannmurinnstillinger og WAN-konfigurasjon klare på forhånd. Denne informasjonen lar deg forhåndskonfigurere brannmurinnstillingene før den slås på i Nebula. Brannmuren vil automatisk synkronisere denne konfigurasjonen når den kobler til Nebula. Når du oppretter stedet, kan du spesifisere modellen på brannmuren uten å legge den til. Dette gjør det mulig å forhåndskonfigurere noen parametere før selve enheten legges til.

• Portgruppeinnstillinger

Site-wide -> Configure -> Firewall -> Port

• For å konfigurere WAN/LAN-portgrupper eller legge til WAN/LAN-grupper for å tilpasse ditt scenario.

• Konfigurer WAN-innstillinger hvis du har statisk IP

Site-wide -> Configure -> Firewall - interfaces

•  for å endre WAN/LAN-grensesnittets IP-adresser slik at de passer ditt scenario.

Registrer brannmuren og velg distribusjonsmetode

Manuell modus

Gå til Site-wide -> License & Inventory

Gå til enhetssiden og klikk på "Legg til" for å registrere brannmuren. Du kan registrere flere enheter ved å skrive inn MAC-adresse og serienummer

Deretter kan du tildele enheten til riktig sted. Du kan ha flere enheter i en organisasjon, og herfra kan du velge en bestemt enhet og tildele den til tilsvarende sted:

Et popup-vindu vil vises hvor du kan velge distribusjonsmetode for enheten.

Zero Touch Provision-modus

For første gangs registrering av enheten i Nebula, må Zero Touch Provision-modus brukes da enheten trenger ZTP-prosessen for å bli sky-klar. Gå til Utfør ZTP-prosessen

Nebula native mode

Når du først registrerer enheten i Nebula, må du forsikre deg om at du har ZTP-sertifikatet på enheten. For alle enheter må brannmuren først gjennom ZTP-prosessen én gang. På nyere enheter kan ZTP-sertifikatet allerede være på brannmuren (sjekk om du har ZTP-sertifikatet her - hvis du ikke har ZTP-sertifikatet, må du gjennomføre ZTP-prosessen og kan ikke bruke native mode for å få brannmuren online).

• Tilbakestill enheten til standard konfigurasjon

Når du vil migrere fra Stand-alone-modus til Nebula, må du først tilbakestille enheten med RESET-knappen på fronten (hold nede i 15 sekunder). Hvis du endrer selv den minste innstilling under prosessen (f.eks. admin-passord), vil ikke migreringen lykkes. 

• Sjekk om du har DHCP eller statisk IP på WAN

Hvis du har statisk IP på WAN, må du logge inn på enheten via Web GUI, velge Nebula-modus og legge inn IP-informasjonen som trengs for å etablere tilkoblingen: 

Hvis du har statisk IP på WAN, følg veiviseren nedenfor, og når du er ferdig, går du til trinn 2 - registrer enheten:

• Velg Native Mode

Koble WAN-porten til porten angitt på bildet (i dette eksempelet P2) og LAN til porten vist (i dette eksempelet P4) - Merk: Ingenting annet skal være koblet til

• Du bør kunne se at den venter på at enheten skal koble seg til Nebula (under Devices -> Firewall):

Brannmuren skal nå gjøre en rask omstart, og etter omstarten skal enheten være online innen 20 minutter.

Feilsøking - "Venter på at enheten kobler til" [Sjekk ZTP-sertifikat]

Hvis enheten sitter fast i Native mode "Venter på at enheten kobler til" - må du dobbeltsjekke at du har ZTP-sertifikatet: 

Logg inn via SSH på enheten (bruk programmet Putty eller Teraterm) og skriv show native mode cert file status: 

Hvis du får en feil eller sertifikatet ikke finnes, har du ikke gjennomført ZTP-prosessen på den brannmuren ennå og må bruke ZTP-prosessen. Det kan også være at du ikke har firmwareversjon 5.10 og må oppgradere brannmuren før du bruker Native mode. 

• Migrer fra lokal administrasjonsmodus til Nebula-modus i Web GUI

Gå til Configuration -> Mgmt. & Analytics -> Nebula, klikk deretter på Apply og Go To Nebula

Du vil da få opp et popup-vindu hvor du må klikke ja:

Vent deretter på at enheten skal komme online i Nebula.

Utfør ZTP-prosessen

Videoene vist i begynnelsen av artikkelen viser hele prosessen med kun den siste delen som er forskjellig. Denne siste delen tilsvarer ZTP-prosessen hvor to metoder er tilgjengelige, som vist i videoen. Denne metoden dekkes i de følgende to underseksjonene.

For ZTP-prosessen må du spesifisere hvordan WAN-tilkoblingen skal settes opp (DHCP/PPPoE/Statisk IP) og angi en e-postadresse hvor e-posten som inneholder lenken og JSON-filen skal sendes. "Jeg vil installere brannmur selv" sender e-posten til kontoen som legger til enheten på stedet for øyeblikket. Det er også mulig å angi en annen e-postkonto slik at en installatør kan kjøre ZTP-prosessen.

• Aktiver brannmurens skyfunksjon via URL

Når enheten har siste firmware installert, koble strømporten til en passende strømkilde og slå på brannmuren. Vent til SYS LED lyser grønt. Deretter kobler du WAN (P2) grensesnittet til Internett.

Koble LAN (P4) grensesnittet til datamaskinen.

Åpne e-posten mottatt fra Nebula og klikk på "Tillat Nebula å administrere min enhet".
 

Vent til Nebula Zero Touch Provisioning er vellykket. Klikk på "Gå til Nebula Control Center" for å få tilgang til Nebula

Enheten vil bruke noen minutter på å koble til Nebula og bli online.

Merk: Hvis du har en enhet som en AP allerede koblet til port 4 på USG FLEX, og AP-en allerede tilbyr et Wi-Fi-nettverk i subnettet 192.168.1.1/24, kan du utføre ZTP via URL fra hvilken som helst enhet koblet til Wi-Fi-nettverket, noe som gjør det mulig å gjøre det fra en mobil enhet.

• Aktiver brannmurens skyfunksjon via USB

Alternativt kan du også aktivere brannmuren ved bruk av en USB-pinne. Kopier filen vedlagt i e-posten sendt fra Nebula til en ny/ren USB (FAT32), og koble den til brannmurens USB-port. Slå på brannmuren, SYS LED blinker rødt mens den kobler til Nebula og lyser grønt når den er tilkoblet.

Gå til Nebula-dashbordet for å sjekke gateway-status.

Enheten vil bruke noen minutter på å koble til Nebula og bli online.

Feilsøking

• Internett-tilkoblingen er nede - Sjekk internett-tilkoblingen

Nettleseren viser at internett-tilkoblingen er nede når URL-en i e-posten åpnes.

Sjekk internettilkoblingen din og sørg for at du kobler til WAN (P2) grensesnittet. Klikk deretter på "Prøv igjen" for å gjøre ZTP på nytt.

Du kan også klikke på "Network Test Tools" for å logge inn på enhetens web GUI for videre feilsøking. Brukernavn er "support" og passord er brannmurens serienummer.

Hvis du har statisk IP / PPPoE-tilkobling, dobbeltsjekk at du har skrevet inn riktig statisk IP-informasjon lokalt på enheten: 

Gå til Configuration -> WAN Settings og dobbeltsjekk at alt er riktig utfylt

• Zero Touch Provisioning (ZTP) mislykkes fordi enheten ikke er i fabrikkstandard

Hold reset-knappen inne i 5 sekunder for å tilbakestille enheten til fabrikkstandard. Klikk deretter på URL-en for å gjøre ZTP på nytt.

• ZTP via USB: SYS LED slutter ikke å blinke rødt

Nebula-dashbordet viser at brannmuren er offline.
Hvis ZTP via USB mislykkes, sjekk internett-tilkoblingen. Åpne ztpresult.log i USB for å sjekke status.

Her er et eksempel:

ZTP mislykkes fordi det ikke finnes en matchende ZTP-fil i USB-en for denne enheten. Vennligst sørg for at du kopierer riktig ZTP-fil.

• Nebula-modus vises ikke ved tilgang til Web GUI

Du kan oppgradere enheten via Device Web configurator-grensesnittet eller ved å bruke ZON-verktøyet. Denne artikkelen viser hvordan du gjør det via ZON-verktøyet.

Sørg for at du har installert ZON på datamaskinen. Hvis ikke, kan du laste det ned her:

Zyxel One Network Utility (ZON)

Koble strømporten til strømkilden og slå på brannmuren. Vent til SYS LED lyser grønt. Koble datamaskinen til port 4 (P4) på brannmuren.

Åpne ZON på datamaskinen for å skanne brannmuren. Velg brannmuren, og klikk deretter på "Firmware Upgrade":

Velg nyeste firmwareversjon fra skyen og skriv inn standardpassordet “1234” for å oppgradere. Firmwareprosessen tar omtrent 5 minutter.

Lisensiering for USG FLEX-serien

• Bundlet Nebula-lisensiering for din USG FLEX i Nebula Control Center

Hvis din USG Flex kom med en inkludert lisens, vil du automatisk få en Nebula Professional Pack med 1 års varighet for enheten din. UTM-tjenestelisensen vil sømløst bli overført til Nebula, uavhengig av gjenværende tid.

Hvis din USG ikke kom med en bundlet lisens, vil du likevel få 30 dagers prøveperiode for dine UTM-tjenester. Nebula Pro Pack-tjenestene inkluderer også automatisk 30 dagers prøveperiode når organisasjonen din opprettes.

Prøvelisensperioden gjelder også for enheter med bundlet lisens.

• Overføre min eksisterende NSG-lisens (NSS) til USG FLEX (UTM)

For å migrere lisensen fra din tidligere NSG til USG FLEX i skyen, gjelder følgende kartleggingstabell. For eksempel kan NSG 100 kun migrere sin lisens til USG FLEX 200 og ikke til andre USG FLEX-modeller.

Hvis din USG FLEX 100 allerede har en 1-års lisens, vil den etter migrering av gjenværende lisens fra NSG50 (f.eks. 6 måneder) til USG FLEX 100 ende opp med 1 og et halvt års lisens til bruk.

• Begrensninger ved overgang til Nebula-modus

Det finnes noen begrensninger, og følgende funksjoner er ennå ikke tilgjengelige i cloud-modellen for USG FLEX:

- Device HA
- E-postsikkerhet (Anti-Spam)
- SSL-inspeksjon
- Dynamisk ruting (RIP, OSPF, BGP)
- Relaterte IPv6-funksjoner
- AP-kontroller (Nebula Control Center bør brukes som AP-kontroller i stedet)
- Hotspot-tjeneste (Nebula Control Center støtter allerede hotspot-tjenester som Voucher og Walled garden)

Hvis du støter på andre problemer, er du velkommen til å ta kontakt med vårt supportteam.