USG FLEX-brannmuren vår kan administreres og klargjøres av Nebula Control Center (NCC) fra og med firmware ZLD5.00. ATP-serien kan administreres i NCC fra og med fastvaren ZLD5.10. Denne veiledningen viser hvordan du legger til enheten på Nebula ved hjelp av ZTP-prosessen og forhåndskonfigurerer brannmurinnstillingene på Nebula, før du leverer enheten for installasjon på stedet. Denne artikkelen viser hvordan du registrerer brannmuren i Nebula. Den er delt inn i ulike deler, så naviger til den delen som er relevant for deg i innholdsfortegnelsen.
Merk: ZTP-modus er ikke tilgjengelig fra og med versjon 5.37 patch 1, så du må distribuere enheten til Nebula ved hjelp av opprinnelig modus. Her er de berørte modellene. ATP-serien: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 USG FLEX-serien: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Hvorfor kan jeg ikke bruke ZTP eller Native Mode til å distribuere brannmuren min på Nebula?

Hvis du støter på problemer med å legge til enheten din på Nebula, kan det tyde på at enheten din ble produsert før utgangen av 2023 og krever fullføring av Zero Touch Provisioning (ZTP)-prosessen. Følg disse trinnene for å fortsette:

• Nedgrader fastvaren på enheten din
• Naviger gjennom ZTP-prosessen etter behov
• Når du har lagt til, oppdaterer du enheten til den nyeste fastvareversjonen

Slik registrerer du brannmuren din i Nebula (videoer)

Merk: Enheten må tilbakestilles til standardinnstillingene for å kunne kobles til Nebula, slik at alle tidligere innstillinger som kan ha blitt konfigurert, går tapt. Når enheten er koblet til PRD_N_tKhTLFGVVrY_0, konfigureres den automatisk med standardinnstillingene for PRD_N_tKhTLFGVVrY_0. Vær også oppmerksom på at det finnes noen begrensninger, og at følgende funksjoner ennå ikke er tilgjengelige i skymodus for USG FLEX:

• Enhet HA
• E-postsikkerhet (antispam)
• SSL-inspeksjon
• Dynamisk ruting (RIP, OSPF, BGP)
• Relaterte IPv6-funksjoner
• AP-kontroller (PRD_N_tKhKhTLFGVrY_0 Control Center bør brukes som AP-kontroller i stedet)
• Hotspot-tjeneste (Nebula Control Center støtter allerede hotspot-tjenester som Voucher, Walled garden)

Lisensiering

• Lisensiering av USG FLEX til PRD_N_tKhKhTLFGVrY_0 Control Center

Hvis din USG Flex ble levert med en medfølgende lisens, vil du automatisk få en Nebula Professional Pack på 1 år for enheten din. UTM-tjenestelisensen videreføres sømløst til Nebula, uavhengig av gjenværende tid.

Hvis USG-enheten din ikke ble levert med en pakkelisens, vil du fortsatt ha 30 dagers prøveperiode for UTM-tjenestene dine. Nebula PRO Pack-tjenestene inkluderer også 30 dagers prøveperiode automatisk mens organisasjonen din opprettes.

Prøvelisensperioden gjelder også for enheten din med en pakkelisens.

• Migrering av min eksisterende NSG-lisens (NSS) til USG FLEX (UTM)

For å migrere lisensen fra NSG-enheten din til USE FLEX i skyen, gjelder følgende tilordningstabell. For eksempel kan NSG 100 bare migrere lisensen sin til USG FLEX 200 og kan ikke migrere lisensen til andre USG FLEX-modeller.

Hvis din USG FLEX 100 allerede har en 1-årslisens, etter at du har migrert den gjenværende lisensen fra NSG50 (f.eks.: 6 måneder) til USG FLEX 100, vil sistnevnte ende opp med å ha 1 og et halvt års lisens som kan brukes.

Vennligst send inn en supportforespørsel, og vårt team vil gjerne hjelpe deg med å løse problemet med migreringslisensen med høy prioritet.

Velge Nebula-modus gjennom Web GUI

Når enheten din kjører 5.10 og bruker fabrikkinnstillingene, kreves det en oppdatering av standard administratorpassord ("1234") når du prøver å logge inn på webkonfiguratoren for første gang.

• Nebula-modus

Velg PRD_N_tKhTLFGVVrY_0-modus for å administrere Zyxel-enheten din ved hjelp av Nebula Control Center (NCC). NCC er et skybasert nettverksadministrasjonssystem som lar deg administrere og overvåke Zyxel-enheten din eksternt.

Følg veiviseren for PRD_N_tKhKhTLFGVrY_0-modus for å konfigurere WAN-innstillingene for å overføre administrasjonen av Zyxel-enheten til NCC.

Når administrasjonsmodus og WAN for enheten er konfigurert slik at du får tilgang til Internett, kan du gå videre til PRD_N_tKhKhTLFGVrY_0 for videre oppsett. Du finner mer informasjon i avsnittet "Nebula native-modus".

• Migrere eksternt fra lokal modus til PRD_N_tKhTLFGVVrY_0-modus

Selv om du har statiske IP-innstillinger eller fabrikkinnstillinger, kan du bytte den lokale administrasjonsløsningen til Nebula Cloud-modus eksternt ved hjelp av det grafiske brukergrensesnittet på nettet. Vær oppmerksom på at enheten blir tilbakestilt til fabrikkinnstillingene, og at konfigurasjonene går tapt. I PRD_N_tKhKhTLFGVrY_0 fase 13 trenger du ikke å gå på stedet for å tilbakestille enheten til fabrikkinnstillingene før du migrerer til PRD_N_tKhKhTLFGVrY_0. Nå kan du gjøre det eksternt.

Kravene for å migrere eksternt til PRD_N_tKhKhTLFGVVrY_0 er at brannmuren:

• Må være i Nebula Native Mode, noe som betyr at den må inneholde ZTP-sertifikatet
• Enheten må være online (WAN-tilgang (Internett) er nødvendig)

Merk: Hvis du har enheten i lokal modus, kan du hoppe over trinn "Nebula native mode"

• Opprett en organisasjon og et område

Hvis du ikke har opprettet en PRD_N_tKhTLFGVVrY_0-organisasjon og -område ennå, kan du følge den medfølgende lenkeartikkelen. Når du har fullført dette trinnet, kan vi fortsette med registreringsprosessen.
PRD_N_tKhTLFGVVrY_0 [Område/Organisasjon] - Hvordan opprette/slette en organisasjon og et område i PRD_N_tKhTLFGVVrY_0 Control Center?

Konfigurere brannmuren i PRD_N_tKhTLFGVVrY_0-portalen

Før du utfører disse trinnene, må du ha nettverkstopologien, brannmurinnstillingene og WAN-konfigurasjonen klar på forhånd. Denne informasjonen gjør at du kan forhåndskonfigurere brannmurinnstillingene før de slås på i PRD_N_tKhKhTLFGVrY_0. Brannmuren synkroniserer automatisk denne konfigurasjonen når den kobler seg til Nebula. Når du oppretter nettstedet, kan du angi brannmurens modell uten å legge den til. Dette gjør det mulig å forhåndskonfigurere noen parametere før du legger til selve enheten.

• Innstillinger for portgruppe

Site-wide -> Configure -> Firewall -> Port

• Slik konfigurerer du WAN/LAN-portgruppene eller legger til WAN/LAN-grupper som passer til ditt scenario.

• Konfigurer WAN-innstillinger hvis du har en statisk IP

Site-wide -> Configure -> Firewall - interfaces

• for å endre WAN/LAN-grensesnittets IP-adresser slik at de samsvarer med scenarioet ditt.

Registrer brannmuren og velg distribusjonsmetode

Manuell modus

Go to Site-wide -> License & Inventory

Gå inn på enhetssiden og klikk på "Legg til" for å registrere brannmuren. Du kan registrere flere enheter ved å angi MAC-adressen og serienummeret

Deretter kan du tilordne enheten til riktig sted. Du kan ha flere enheter i en organisasjon, og herfra kan du velge en bestemt enhet og tilordne den til det tilsvarende området:

Et popup-vindu vises der du kan velge distribusjonsmetode for enheten.

Zero Touch-klargjøringsmodus

Første gang enheten registreres på PRD_N_tKhTLFGVVrY_0, må modusen Zero Touch Provision brukes, ettersom enheten trenger ZTP-prosessen for å bli Cloud-kompatibel. Gå til Utfør ZTP-prosess

Den opprinnelige modusen Nebula

Når du først registrerer enheten din i Nebula, må du sørge for at du har ZTP-sertifikatet på enheten din. På alle enheter må brannmuren først gå gjennom ZTP-prosessen én gang. På nyere enheter kan ZTP-sertifikatet allerede finnes i brannmuren (sjekk om du har ZTP-sertifikatet her - hvis du ikke har ZTP-sertifikatet, må du gå gjennom ZTP-prosessen, og du kan ikke bruke den opprinnelige modusen for å få brannmuren på nett).

• Tilbakestill enheten til standardkonfigurasjonen

Når du vil migrere fra Stand-alone-modus til PRD_N_tKhTLFGVVrY_0, må du først tilbakestille enheten ved å bruke RESET-knappen på forsiden av enheten (hold den nede i 15 sekunder). Hvis du endrer selv den minste innstilling (f.eks. administratorpassordet) i løpet av prosessen, vil ikke migreringen lykkes.

• Sjekk om du har DHCP eller statisk IP på WAN

Hvis du har statisk IP på WAN, må du logge inn på enheten via Web GUI, velge Nebula-modus og angi IP-informasjonen som trengs for at en tilkobling skal kunne opprettes:

Hvis du har statisk IP på WAN, går du gjennom veiviseren nedenfor, og når du er ferdig, går du til trinn 2 - registrer enheten:

• Velg innfødt modus

Koble WAN-porten til porten som er angitt på bildet (i dette eksempelet P2) og LAN til porten som vises (i dette eksempelet P4) - Merk: Ingenting annet skal være tilkoblet

• Du bør kunne se at den venter på at enheten skal koble seg til Nebula (under Enheter -> Brannmur):

Brannmuren bør nå gjøre en rask omstart, og etter omstarten bør enheten komme på nett innen 20 minutter.

Feilsøking - "Venter påtilkoblet enhet" [Sjekker ZTP-sertifikat]

Hvis enheten står fast i Native-modus "Venter påen tilkoblet enhet", må du dobbeltsjekke at du har ZTP-sertifikatet:

Logg inn via SSH på enheten (ved hjelp av programmet Putty eller Teraterm) og skriv inn show native mode cert file status:

Hvis du får en feilmelding eller sertifikatet ikke er der, har du ikke utført ZTP-prosessen på brannmuren ennå og må bruke ZTP-prosessen denne gangen. Det kan også være at du ikke har fastvareversjonen 5.10 og må oppgradere brannmuren før du bruker innfødt modus.

• Migrere fra lokal modus til Nebula-modus i Web GUI

Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula

Du får da opp et popup-vindu, og du må klikke ja:

Deretter venter du på at enheten skal komme på nett i Nebula.

Utfør ZTP-prosessen

Videoene som ble vist i begynnelsen av artikkelen, viser hele prosessen, men bare den siste delen er annerledes. Denne siste delen tilsvarer ZTP-prosessen, som det finnes to metoder for, som vist i videoen. Denne metoden dekkes i de følgende to underavsnittene.

For ZTP-prosessen er det nødvendig å spesifisere hvordan WAN-tilkoblingen skal settes opp (DCHP/PPPoE/Statisk IP) og spesifisere en e-postadresse som e-posten som inneholder koblingen og JSON-filen skal sendes til. "Jeg installerer brannmuren selv" sender e-posten til kontoen som legger til enheten på nettstedet for øyeblikket. Det er også mulig å angi en hvilken som helst annen e-postkonto, slik at en installatør kan kjøre ZTP-prosessen.

• Aktiver brannmurens skyfunksjon via URL

Når du har enheten med den nyeste fastvaren, kobler du strømporten til en passende strømkilde og slår på brannmuren. Vent til SYS-LED-lampen lyser grønt. Koble deretter WAN-grensesnittet (P2) til Internett.

Koble LAN-grensesnittet (P4) til datamaskinen.

Åpne e-posten du har mottatt fra PRD_N_tKhTLFGVVrY_0, og klikk på "Tillat PRD_N_tKhTLFGVVrY_0 å administrere enheten min".

Vent til PRD_N_tKhKhTLFGVVrY_0 Zero Touch Provisioning var vellykket. Klikk på "Gå til PRD_N_tKhKhTLFGVVrY_0 Control Center" for å få tilgang til PRD_N_tKhKhTLFGVVrY_0

Det vil ta noen minutter før enheten kobler seg til Nebula og blir online.

Merk: Hvis du har en enhet, for eksempel et AP, som allerede er koblet til port 4 på USG FLEX, og AP-et allerede tilbyr et Wi-Fi-nettverk i undernettet 192.168.1.1/24, kan du utføre ZTP via URL fra en hvilken som helst enhet som er koblet til Wi-Fi-nettverket, slik at du kan gjøre det fra en mobil enhet.

• Aktiver brannmurens skyfunksjon via USB

Alternativt kan du også aktivere brannmuren ved hjelp av en USB-pinne. Kopier filen som er vedlagt i e-posten sendt fra Nebula til en ny/ren USB (FAT32), og koble den til USB-porten på brannmuren. Slå på brannmuren, SYS-LED-en blinker rødt når den kobler til PRD_N_tKhKhTLFGVrY_0, og grønt når den er tilkoblet.

Gå til PRD_N_tKhKhTLFGVrY_0 Dashboard for å sjekke gateway-statusen.

Det tar noen minutter før enheten kobler seg til PRD_N_tKhKhTLFGVVrY_0 og blir online.

Feilsøking

• Internett-tilkoblingen er nede - Sjekk Internett-tilkoblingen

Nettleseren viser at internettforbindelsen er nede når URL-adressen i e-posten ble åpnet.

Sjekk internettforbindelsen din og sørg for at du kobler til WAN-grensesnittet (P2). Klikk deretter på "Prøv på nytt" for å gjøre ZTP på nytt.

Du kan også klikke på "Network Test Tools" for å logge inn på enhetens web-GUI for ytterligere feilsøking. Brukeren er "support", og passordet er brannmurens serienummer.

Hvis du har en statisk IP/PPPoE-tilkobling, må du dobbeltsjekke at du har angitt den statiske IP-informasjonen på enheten lokalt:

Go to Configuration -> WAN Settings and double-check that everything is filled in correctly

• Zero Touch Provisioning (ZTP) mislykkes fordi denne enheten ikke er i fabrikkinnstilt tilstand

Hold inne tilbakestillingsknappen i 5 sekunder for å tilbakestille enheten til fabrikkinnstillingene. Klikk deretter på URL-adressen for å gjøre ZTP på nytt.

• ZTP via USB: SYS-LED-en slutter ikke å blinke rødt

Nebula Dashboard viser at brannmuren er frakoblet.
Hvis ZTP via USB mislykkes, må du kontrollere internettforbindelsen. Åpne ztpresult.log i USB for å sjekke statusen.

Her er et eksempel:

ZTP mislykkes fordi det ikke finnes noen matchende ZTP-fil i USB-enheten for denne enheten. Sørg for at du kopierer riktig ZTP-fil.

• Nebula-modus vises ikke når du åpner Web GUI

Du kan oppgradere enheten via enhetens webkonfiguratorgrensesnitt (se her) eller ved hjelp av ZON-verktøyet. Denne artikkelen viser hvordan du gjør det via ZON-verktøyet.

Kontroller at du har installert ZON på datamaskinen. Hvis ikke, kan du laste det ned her:

Zyxel One Network Utility (ZON)

Koble strømporten til strømkilden, og slå på brannmuren. Vent til SYS-LED-lampen lyser grønt. Koble datamaskinen til brannmurens port 4 (P4).

Åpne ZON på datamaskinen for å skanne brannmuren. Velg brannmuren, og klikk deretter på "Firmware Upgrade":

Velg den nyeste fastvareversjonen fra skyen, og skriv inn standardpassordet "1234" for å oppgradere. Fastvareprosessen tar omtrent 5 minutter å fullføre

Lisensiering for USG FLEX-serien

• Medfølgende Nebula-lisensiering for din USG FLEX i Nebula Control Center

Hvis din USG Flex leveres med en medfølgende lisens, vil du automatisk få en Nebula Professional Pack på 1 år for enheten din. UTM-tjenestelisensen videreføres sømløst til Nebula, uavhengig av gjenværende tid.

Hvis USG-enheten din ikke ble levert med en medfølgende lisens, vil du fortsatt få 30 dagers prøveperiode for UTM-tjenestene dine. Nebula Pro Pack-tjenestene inkluderer også 30 dagers prøveperiode automatisk mens organisasjonen din opprettes.

Prøvelisensperioden gjelder også for enheten din med en pakkelisens.

• Migrering av min eksisterende NSG-lisens (NSS) til USG FLEX (UTM)

For å migrere lisensen fra din tidligere NSG til USE FLEX i skyen, gjelder følgende tilordningstabell. For eksempel kan NSG 100 bare migrere lisensen sin til USG FLEX 200 og kan ikke migrere lisensen til andre USG FLEX-modeller.

Hvis USG FLEX 100 allerede har en 1-årslisens, vil sistnevnte ha 1,5 års lisens som kan brukes etter at du har overført den gjenværende lisensen fra NSG50 (f.eks.: 6 måneder) til USG FLEX 100.

• Begrensninger ved å endre til Nebula-modus

Det er noen begrensninger, og følgende funksjoner er ennå ikke tilgjengelige i skymodellen for USG FLEX:

- Enhet HA
- E-postsikkerhet (antispam)
- SSL-inspeksjon
- Dynamisk ruting (RIP, OSPF, BGP)
- Relaterte IPv6-funksjoner
- AP-kontroller (PRD_N_tKhKhTLFGVrY_0 Control Center bør brukes som AP-kontroller i stedet)
- Hotspot-tjeneste (PRD_N_tKhTLFGVVrY_0 Control Center støtter allerede hotspot-tjenester som Voucher og Walled garden)

Hvis du støter på andre problemer, er du velkommen til å ta kontakt med vårt supportteam.