Belangrijke mededeling: |
Onze USG FLEX firewall kan worden beheerd en geprovisioneerd door Nebula Control Center (NCC) vanaf ZLD5.00 firmware en hoger. De ATP-serie kan worden beheerd in NCC vanaf ZLD5.10 firmware. Deze handleiding laat zien hoe het apparaat toegevoegd kan worden op Nebula met behulp van het ZTP-proces en hoe de firewallinstellingen vooraf geconfigureerd kunnen worden op Nebula, voordat het apparaat geleverd wordt voor installatie op locatie. Dit artikel laat zien hoe je je firewall in Nebula registreert. Het is onderverdeeld in verschillende secties, dus navigeer naar de voor u relevante sectie in de inhoudsopgave.
Opmerking: ZTP-modus is niet beschikbaar vanaf versie 5.37 patch 1, dus u moet het apparaat in Nebula implementeren met behulp van native modus. Dit zijn de getroffen modellen. ATP-serie: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 USG FLEX-serie: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN
Als u problemen ondervindt bij het toevoegen van uw apparaat aan Nebula, kan dit erop wijzen dat uw apparaat is gefabriceerd voor het einde van 2023 en dat het Zero Touch Provisioning (ZTP)-proces moet worden voltooid. Volg deze stappen om verder te gaan:
- Downgrade de firmware op uw apparaat
- Doorloop het ZTP-proces zoals vereist
- Eenmaal succesvol toegevoegd, update het apparaat naar de laatste firmware versie
Hoe uw firewall registreren in Nebula (Video's)
| Registreren in Nebula met behulp van ZTP URL-modus | Registreren in Nebula met behulp van ZTP USB-modus |
Opmerking: Uw apparaat moet gereset worden naar de standaardinstellingen om het te verbinden met Nebula, waarbij alle eerdere instellingen die mogelijk zijn geconfigureerd verloren gaan. Eenmaal verbonden met Nebula, zal het apparaat automatisch geconfigureerd worden met de standaardinstellingen van Nebula. Houd er ook rekening mee dat er enkele beperkingen zijn en dat de volgende functies nog niet beschikbaar zijn in de cloudmodus voor de USG FLEX:
- Apparaat HA
- E-mailbeveiliging (Anti-Spam)
- SSL-inspectie
- Dynamische routebepaling (RIP, OSPF, BGP)
- Verwante IPv6-functies
- AP-controller (Nebula Control Center moet in plaats daarvan worden gebruikt als AP-controller)
- Hotspotdienst (Nebula Control Center ondersteunt al hotspotdiensten zoals Voucher, Walled garden)
Licentie
- Licentie van uw USG FLEX in Nebula Control Center
Als uw USG Flex is geleverd met een gebundelde licentie, profiteert u automatisch van een Nebula Professional Pack van 1 jaar voor uw apparaat. De UTM-service licentie wordt naadloos overgedragen naar Nebula, ongeacht de resterende tijd.
Als uw USG niet is geleverd met een gebundelde licentie, kunt u nog steeds genieten van de 30 dagen proefperiode voor uw UTM-services. De Nebula PRO Pack diensten bevatten ook automatisch 30 dagen proefperiode tijdens het aanmaken van uw organisatie.
De proeflicentieperiode geldt ook voor uw apparaat met een bundellicentie.
- Mijn bestaande NSG-licentie (NSS) migreren naar de USG FLEX (UTM)
Om de licentie van uw NSG te migreren naar de USG FLEX in de cloud, is de volgende mapping-tabel van toepassing. NSG 100 kan bijvoorbeeld alleen zijn licentie migreren naar USG FLEX 200 en kan geen licentie migreren naar andere USG FLEX-modellen.
| NSG-serie | NSG50 | NSG100 | NSG200 | NSG300 |
| USG FLEX serie | USG FLEX 100/100W | USG FLEX 200 | USG FLEX 500 | USG FLEX 700 |
Als uw USG FLEX 100 al een licentie voor 1 jaar heeft, kunt u na het migreren van de resterende licentie van de NSG50 (bijv.: 6 maanden) naar de USG FLEX 100, deze laatste licentie voor 1,5 jaar gebruiken.
Dien een Ondersteuningsverzoekin en ons team zal u graag helpen bij het oplossen van uw migratieprobleem.
Nebula Mode kiezen via Web GUI
Zodra uw apparaat 5.10 draait en de fabrieksinstellingen gebruikt, moet u, wanneer u voor de eerste keer probeert in te loggen op de webconfigurator, het standaardwachtwoord voor de beheerder ("1234") bijwerken.
- Nebula-modus
Selecteer de Nebula-modus om uw Zyxel-apparaat te beheren met Nebula Control Center (NCC). NCC is een cloudgebaseerd netwerkbeheersysteem waarmee u uw Zyxel-apparaat op afstand kunt beheren en bewaken.
Volg de Nebula-moduswizard om de WAN-instellingen te configureren om het beheer van uw Zyxel-apparaat door te geven aan NCC.
Zodra de beheermodus en het WAN van het apparaat zijn geconfigureerd voor internettoegang, kunt u doorgaan naar Nebula voor verdere installatie. Meer informatie is te vinden in de sectie "Nebula native mode".
- Op afstand migreren van on-premise naar Nebula modus
Zelfs als u statische IP-instellingen of fabrieksinstellingen hebt, kunt u uw on-premise beheeroplossing op afstand overschakelen naar Nebula Cloud-modus met behulp van de Web GUI. Let op: het apparaat wordt teruggezet naar de fabrieksinstellingen en configuraties gaan verloren. In Nebula Fase 13 hoeft u niet on-site te gaan om het apparaat een fabrieksreset te geven voordat u naar Nebula migreert. U kunt dit nu op afstand doen.
De vereisten voor het op afstand migreren naar Nebula is dat de firewall:
- In Nebula Native Mode moet staan, wat betekent dat het het ZTP Certificaatmoet bevatten .
- Het apparaat moet online zijn (WAN (internet) toegang nodig)
Opmerking: Als je het apparaat in de on-premise modus hebt staan, kun je stap "Nebula native mode"overslaan.
- Een organisatie en site aanmaken
Als u nog geen Nebula organisatie en site hebt aangemaakt, volg dan het bijgeleverde linkartikel. Zodra u die stap hebt voltooid, kunnen we verder gaan met het registratieproces.
Nebula [Site/Organization] - Hoe maak/verwijder ik een organisatie en site in Nebula Control Center?
De firewall configureren in de Nebula-portal
Voordat u deze stappen uitvoert, dient u vooraf te beschikken over de netwerktopologie, de firewallinstellingen en de WAN-configuratie. Met deze informatie kunt u de instellingen van de firewall vooraf configureren voordat deze in Nebula wordt ingeschakeld. De firewall zal deze configuratie automatisch synchroniseren wanneer deze verbinding maakt met Nebula. Bij het aanmaken van de site kun je het model van je firewall opgeven zonder het toe te voegen. Dit maakt het mogelijk om sommige parameters vooraf te configureren voordat je het apparaat zelf toevoegt.
- Instellingen poortgroep
Site-wide -> Configure -> Firewall -> Port
- Om de WAN/LAN-poortgroepen te configureren of WAN/LAN-groepen toe te voegen volgens je scenario.
- WAN-instellingen configureren als je een statisch IP hebt
Site-wide -> Configure -> Firewall - interfaces- om de IP-adressen van de WAN/LAN-interface aan te passen aan uw scenario.
Registreer de firewall en kies de implementatiemethode
Handmatige modus
Go to Site-wide -> License & InventoryGa naar de apparaatpagina en klik op "Toevoegen" om de firewall te registreren. U kunt meerdere apparaten registreren door het MAC-adres en serienummer in te voeren.
Daarna kunt u het apparaat toewijzen aan de juiste locatie. U kunt meerdere apparaten in een organisatie hebben, vanaf hier kunt u een specifiek apparaat selecteren en aan de bijbehorende site toewijzen:
Er verschijnt een pop-upvenster waarin je de implementatiemethode voor het apparaat kunt selecteren.
Zero Touch Provision-modus
Voor de eerste keer dat het apparaat wordt aangemeld bij Nebula, moet de Zero Touch Provision-modus worden gebruikt omdat het apparaat het ZTP-proces nodig heeft om Cloud capabel te worden. Ga naar ZTP-proces uitvoeren
De Nebula native modus
Wanneer je je apparaat voor het eerst registreert in Nebula, moet je ervoor zorgen dat je het ZTP-certificaat op je apparaat hebt. Op alle apparaten moet de firewall eerst een keer het ZTP-proces doorlopen . Bij nieuwere apparaten kan het ZTP-certificaat al in de firewall zitten (controleer hier of je het ZTP-certificaat hebt - als je het ZTP-certificaat niet hebt, moet je het ZTP-proces doen en kun je niet de native modus doen om de firewall online te krijgen).
- Het apparaat terugzetten naar de standaardconfiguratie
Als je wilt migreren van Stand-alone modus naar Nebula, moet je het apparaat eerst resetten met de RESET knop aan de voorkant van het apparaat (15 seconden ingedrukt houden). Als je tijdens het proces ook maar de kleinste instelling wijzigt (bijvoorbeeld het beheerderswachtwoord), zal de migratie niet slagen.
- Controleer of je DHCP of statische IP hebt op WAN
Als je statische IP hebt op je WAN, moet je inloggen op het apparaat via de Web GUI, kies Nebula-modus en voer de IP-informatie in die nodig is om een verbinding tot stand te brengen:
Als je een statisch IP hebt op WAN, doorloop dan de onderstaande wizard en ga nadat je klaar bent naar stap 2 - het apparaat registreren:
- Kies de Native Mode
Sluit je WAN-poort aan op de poort die op de afbeelding staat (in dit voorbeeld P2) en de LAN op de poort die op de afbeelding staat (in dit voorbeeld P4) - Opmerking: Er mag verder niets zijn aangesloten.
- Je zou moeten kunnen zien dat het apparaat wacht om verbinding te maken met Nebula (onder Apparaten -> Firewall):
De firewall zou nu een snelle herstart moeten uitvoeren en na de herstart zou het apparaat binnen 20 minuten online moeten komen.
Problemen oplossen - "Wachtend apparaat verbonden" [Controleren ZTP Certificaat].
Als je apparaat vastloopt in de Native modus "Waiting for a device connected" - dan moet je controleren of je het ZTP-certificaat hebt:
Log in via SSH op het apparaat (met het programma Putty of Teraterm) en typ show native mode cert file status:
Als je een foutmelding krijgt of het certificaat is er niet, dan heb je het ZTP proces nog niet gedaan op die firewall en moet je deze keer het ZTP proces gebruiken. Het kan ook zijn dat je niet de 5.10 firmware versie hebt en de firewall moet upgraden voordat je de Native modus gebruikt.
- Migreren van on-premise modus naar Nebula modus in Web GUI
Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To NebulaJe krijgt dan een pop-up en je moet op yes klikken:
Vervolgens wacht je tot het apparaat online komt in Nebula.
ZTP-proces uitvoeren
De video's aan het begin van het artikel laten het hele proces zien, alleen het laatste deel is anders. Dit laatste deel komt overeen met het ZTP proces waarvoor twee methodes beschikbaar zijn zoals getoond in de video. Deze methode wordt behandeld in de volgende 2 subsecties.
Voor het ZTP-proces is het nodig om aan te geven hoe de WAN-verbinding wordt opgezet (DCHP/PPPoE/Static IP) en een e-mailadres op te geven waar de e-mail met de link en het JSON-bestand naartoe wordt gestuurd. "Ik installeer firewall zelf" stuurt de e-mail naar de account die op dat moment het apparaat aan de site toevoegt. Het is ook mogelijk om een ander e-mailaccount op te geven zodat een installateur het ZTP-proces kan uitvoeren.
- De firewall cloud activeren via URL
Als het apparaat met de nieuwste firmware is uitgerust, sluit u de voedingspoort aan op een geschikte voedingsbron en zet u de firewall aan. Wacht tot de SYS LED groen brandt. Sluit vervolgens de WAN (P2) interface aan op het internet.
Sluit de LAN (P4) interface aan op de computer.
Open de e-mail die je hebt ontvangen van Nebula en klik op "Allow Nebula to Manage My Device".
Wacht tot Nebula Zero Touch Provisioning succesvol was. Klik op "Go to Nebula Control Center" om Nebula te openen.
Het duurt een paar minuten voordat het apparaat verbinding maakt met Nebula en online komt.
Opmerking: Als u al een apparaat, zoals een AP, hebt aangesloten op poort 4 van de USG FLEX en het AP biedt al een Wi-Fi-netwerk in het subnet 192.168.1.1/24, dan kunt u de ZTP via URL uitvoeren vanaf elk apparaat dat is aangesloten op het Wi-Fi-netwerk.
- De firewall cloud activeren via USB
Als alternatief kunt u de firewall ook activeren via een USB-stick. Kopieer het bestand dat is bijgevoegd in de e-mail van Nebula naar een nieuwe/schone USB (FAT32) en sluit deze aan op de USB-poort van de firewall. Zet de Firewall aan, de SYS LED knippert rood wanneer er verbinding wordt gemaakt met Nebula en groen wanneer er verbinding is.
Ga naar het Nebula Dashboard om de status van de gateway te controleren.
Het duurt een paar minuten voordat het apparaat verbinding maakt met Nebula en online komt.
Problemen oplossen
- Internetverbinding valt weg - Controleer de internetverbinding
De webbrowser geeft aan dat de internetverbinding is verbroken toen de URL in de e-mail werd geopend.
Controleer je internetverbinding en zorg ervoor dat je verbinding maakt met de WAN (P2) interface. Klik dan op "Retry" om de ZTP opnieuw uit te voeren.
Je kunt ook klikken op "Network Test Tools" om in te loggen op de GUI van het apparaat voor verdere probleemoplossing. De gebruiker is "support" en het wachtwoord is het serienummer van de firewall.
Als u een statische IP / PPPoE-verbinding hebt, controleer dan of u de statische IP-informatie lokaal op het apparaat hebt ingevoerd:
Go to Configuration -> WAN Settings and double-check that everything is filled in correctly- Zero Touch Provisioning (ZTP) mislukt omdat dit apparaat niet in de fabrieksinstellingen staat.
Houd de resetknop 5 seconden ingedrukt om het apparaat terug te zetten naar de fabrieksinstellingen. Klik vervolgens op de URL om de ZTP opnieuw uit te voeren.
- ZTP via USB: De SYS LED blijft rood knipperen
Nebula Dashboard geeft aan dat de firewall offline is.
Als ZTP via USB mislukt, controleer dan de internetverbinding. Open ztpresult.log in USB om de status te controleren.
Hier is een voorbeeld:
ZTP mislukt omdat er geen overeenkomend ZTP-bestand is in de USB voor dit apparaat. Zorg ervoor dat u het juiste ZTP-bestand kopieert.
- Nebula modus wordt niet weergegeven bij toegang tot Web GUI
Je kunt je apparaat upgraden via de Device Web configurator interface (kijk hier) of met het ZON hulpprogramma. Dit artikel laat zien hoe je dit doet via het ZON hulpprogramma.
Zorg ervoor dat je ZON geïnstalleerd hebt op je computer. Zo niet, dan kunt u het hier downloaden:
Zyxel One Network Utility (ZON)
Sluit de voedingspoort aan op de voedingsbron en zet de firewall aan. Wacht tot de SYS LED groen oplicht. Sluit uw computer aan op poort 4 (P4) van de firewall.
Open ZON op je computer om de firewall te scannen. Selecteer de firewall en klik vervolgens op "Firmware Upgrade":
Selecteer de nieuwste firmwareversie uit de cloud en voer het standaardwachtwoord "1234" in om te upgraden. Het duurt ongeveer 5 minuten om het firmwareproces te voltooien.
Licenties voor USG FLEX-series
- Gebundelde Nebula-licenties voor uw USG FLEX in Nebula Controlecentrum
Als uw USG Flex is geleverd met een gebundelde licentie, profiteert u automatisch van een Nebula Professional Pack van 1 jaar voor uw apparaat. De UTM-service licentie wordt naadloos overgedragen naar Nebula, ongeacht de resterende tijd.
Als uw USG niet werd geleverd met een gebundelde licentie, kunt u nog steeds genieten van de 30 dagen proefperiode voor uw UTM-services. De Nebula Pro Pack diensten worden ook automatisch 30 dagen op proef geleverd terwijl uw organisatie wordt aangemaakt.
De proeflicentieperiode geldt ook voor uw apparaat met een bundellicentie.
- Mijn bestaande NSG-licentie (NSS) migreren naar de USG FLEX (UTM)
Om de licentie van uw vorige NSG te migreren naar de USG FLEX in de cloud, is de volgende mappingtabel van toepassing. NSG 100 kan bijvoorbeeld alleen zijn licentie migreren naar USG FLEX 200 en kan geen licentie migreren naar andere USG FLEX-modellen.
| NSG-serie | NSG50 | NSG100 | NSG200 | NSG300 |
| USG FLEX serie | USG FLEX 100/100W | USG FLEX 200 | USG FLEX 500 | USG FLEX 700 |
Als uw USG FLEX 100 al een licentie van 1 jaar heeft, kunt u na het migreren van de resterende licentie van de NSG50 (bijv.: 6 maanden) naar de USG FLEX 100, deze laatste een licentie van anderhalf jaar gebruiken.
- Beperkingen bij het overschakelen naar Nebula-modus
Er zijn enkele beperkingen en de volgende functies zijn nog niet beschikbaar op het cloudmodel voor de USG FLEX:
- Apparaat HA
- E-mailbeveiliging (Anti-Spam)
- SSL-inspectie
- Dynamische routebepaling (RIP, OSPF, BGP)
- Verwante IPv6-functies
- AP-controller (Nebula Control Center moet in plaats daarvan worden gebruikt als AP-controller)
- Hotspotdienst (Nebula Control Center ondersteunt al hotspotdiensten zoals Voucher en Walled Garden)
Als u andere problemen tegenkomt, neem dan gerust contactop met ons ondersteuningsteam.