Nasza zapora USG FLEX może być zarządzana i udostępniana przez Nebula Control Center (NCC) od oprogramowania ZLD5.00 i nowszych. Serią ATP można zarządzać w NCC z firmware'u ZLD5.10. Ten przewodnik pokazuje, jak dodać urządzenie na Nebula przy użyciu procesu ZTP i wstępnie skonfigurować ustawienia zapory na Nebula przed dostarczeniem urządzenia do instalacji na miejscu.

Ten artykuł pokazuje, jak zarejestrować zaporę w Nebula. Jest on podzielony na różne sekcje, więc przejdź do odpowiedniej sekcji w spisie treści.

Spis treści

1. Jak zarejestrować zaporę ogniową w Nebula (filmy)

2. Wybór trybu Nebula za pomocą internetowego interfejsu GUI

2.1 Tryb Nebula

2.2 Migracja z trybu on-premise do trybu Nebula

3. Utwórz organizację i witrynę

4. Skonfiguruj Firewall w portalu Nebula

4.1 Port Ustawienia grupy

4.2 Skonfiguruj ustawienia WAN, jeśli masz statyczny adres IP

5. Zarejestruj Firewall i wybierz metodę instalacji

5.1 Tryb Zero Touch Provision

5.2 Tryb natywny Nebula

6. Wykonaj proces ZTP

6.1 Aktywuj funkcję chmury Firewall za pomocą adresu URL

6.2 Aktywuj funkcję chmury Firewall przez USB

7. Rozwiązywanie problemów

8. Licencjonowanie serii USG FLEX

1. Jak zarejestrować zaporę ogniową w Nebula (filmy)

1.1 Zarejestruj się w Nebula w trybie ZTP URL (09:02)

1.2 Zarejestruj swoje urządzenie w Nebula przy użyciu trybu ZTP USB (01:58)

Notatka: Twoje urządzenie musi mieć ustawioną wartość domyślną reset, aby połączyć je z Nebula, tracąc wszystkie poprzednie ustawienia, które mogły zostać skonfigurowane. Po podłączeniu do Nebula urządzenie zostanie automatycznie skonfigurowane z domyślnymi ustawieniami Nebula. Należy również pamiętać, że istnieją pewne ograniczenia i następujące funkcje nie są jeszcze dostępne w trybie chmury dla USG FLEX:

- Urządzenie HA
- Bezpieczeństwo poczty e-mail (antyspam)
- Inspekcja SSL
- Routing dynamiczny (RIP, OSPF, BGP)
- Powiązane funkcje IPv6
- Kontroler AP (zamiast tego należy używać Nebula Control Center jako kontrolera AP)
- Usługa Hotspot (Nebula Control Center obsługuje już usługi hotspot, takie jak Voucher, Walled garden)

Licencjonowanie USG FLEX w Nebula Control Center.

Jeśli Twój USG Flex został dostarczony z licencją w pakiecie, automatycznie uzyskasz roczny Pakiet Profesjonalny Nebula na Twoje urządzenie. Licencja na usługę UTM zostanie bezproblemowo przeniesiona do Nebula, niezależnie od pozostałego czasu.

Jeśli Twój USG nie został dostarczony z licencją pakietową, nadal będziesz korzystać z 30-dniowej wersji próbnej usług UTM. Usługi Nebula PRO Pack obejmują również automatycznie 30-dniowy okres próbny podczas tworzenia organizacji.

Okres licencji próbnej dotyczy również urządzenia z licencją pakietową.

Migracja mojej istniejącej licencji NSG (NSS) do USG FLEX (UTM).

Aby przeprowadzić migrację licencji z poprzedniej sieciowej grupy zabezpieczeń do USE FLEX w chmurze, obowiązuje poniższa tabela mapowania. Na przykład NSG 100 może migrować tylko swoją licencję do USG FLEX 200 i nie może migrować licencji do innych modeli USG FLEX.

Jeśli Twój USG FLEX 100 ma już roczną licencję, po migracji pozostałej licencji z NSG50 (np.: 6 miesięcy) do USG FLEX 100, ta ostatnia będzie miała licencję na półtora roku do wykorzystania.

Zgłoś prośbę o wsparcie , a nasz zespół z przyjemnością pomoże Ci rozwiązać problem z licencją migracyjną z należytym priorytetem.

2. Wybór trybu Nebula za pomocą internetowego interfejsu GUI

Gdy urządzenie działa w wersji 5.10 i korzysta z domyślnych ustawień fabrycznych, przy pierwszej próbie zalogowania się do konfiguratora internetowego konieczna będzie aktualizacja domyślnego hasła administratora („1234”).

2.1 Tryb Nebula

Wybierz tryb Nebula, aby zarządzać urządzeniem Zyxel za pomocą Nebula Control Center (NCC). NCC to oparty na chmurze system zarządzania siecią, który umożliwia zdalne zarządzanie i monitorowanie urządzenia Zyxel.

Postępuj zgodnie z kreatorem trybu Nebula, aby skonfigurować ustawienia WAN, aby przekazać zarządzanie urządzeniem Zyxel do NCC.

Po skonfigurowaniu trybu zarządzania i sieci WAN urządzenia umożliwiającej dostęp do Internetu można przejść do Nebula w celu dalszej konfiguracji.

Więcej informacji w punkcie 5.2 .

2.2 Zdalna migracja z trybu on-premise do trybu Nebula

Nawet jeśli masz statyczne ustawienia adresu IP lub domyślne ustawienia fabryczne , możesz zdalnie przełączyć lokalne rozwiązanie do zarządzania w tryb Nebula Cloud za pomocą internetowego interfejsu graficznego. Uwaga : urządzenie będzie fabryczne reset i konfiguracje zostaną utracone. W fazie 13 Nebula nie musisz udawać się do fabryki reset na miejscu przed migracją do Nebula. Teraz możesz to zrobić zdalnie .

Wymagania dotyczące zdalnej migracji do Nebula są następujące:

- Musi być w trybie Nebula Native Mode, co oznacza, że musi zawierać certyfikat ZTP

- Urządzenie musi być w trybie online (wymagany dostęp do sieci WAN (internet))

Notatka! Jeśli masz urządzenie w trybie on-premise, możesz pominąć krok 5.2.

3. Utwórz organizację i witrynę

Zaloguj się do Nebula Control Center za pomocą konta myZyxel i utwórz nową organizację.

Nazwij organizację i witrynę, a następnie kliknij „Dalej”.

Możesz dodać swoje urządzenie tutaj, ale w tym artykule pokażemy, jak dodać urządzenie, jeśli Twoja organizacja i witryna już istnieją. Kliknij „Dalej”, aby pominąć dodawanie urządzenia do Nebula.

Na następnej stronie kliknij „Pomiń ustawienia Wi-Fi”, aby kontynuować. W ostatnim kroku kliknij „Przejdź do pulpitu nawigacyjnego Nebula”.

Na pulpicie nawigacyjnym Nebula kliknij „Firewall”, aby wybrać model zapory, który chcesz skonfigurować.
W tym przykładzie wybraliśmy USG FLEX 200.

Alternatywnie możesz również utworzyć organizację i placówkę za pomocą aplikacji Nebula.
Można to osiągnąć, otwierając aplikację Nebula, logując się na swoje konto i wybierając „Utwórz organizację”, aby rozpocząć proces wstępnej konfiguracji. Nazwij organizację i witrynę, a następnie dotknij „Utwórz”, zeskanuj kod QR urządzenia, skonfiguruj ZTP, a po zakończeniu przejdź do pulpitu nawigacyjnego.

4. Skonfiguruj Firewall w portalu Nebula

Przed wykonaniem tych kroków należy wcześniej zapoznać się z topologią sieci, ustawieniami zapory sieciowej i konfiguracją sieci WAN. Te informacje pozwolą Ci wstępnie skonfigurować ustawienia Firewall przed włączeniem w Nebula. Firewall automatycznie zsynchronizuje tę konfigurację, gdy połączy się z Nebula.

4.1 Port Ustawienia grupy

Przejdź do Firewall -> Konfiguruj -> Port , aby skonfigurować grupy portów WAN/LAN lub dodaj grupy WAN/LAN, aby dopasować je do swojego scenariusza.

4.2 Skonfiguruj ustawienia WAN, jeśli masz statyczny adres IP

Przejdź do opcji Zapora sieciowa -> Konfiguruj -> Interfejs , aby zmienić adresy IP interfejsu WAN/LAN, aby odpowiadały Twojemu scenariuszowi.

5. Zarejestruj Firewall i wybierz metodę instalacji

Innym sposobem zarejestrowania urządzenia jest przejście do opcji Ogólna organizacja -> Konfiguruj -> Licencja i inwentarz . Wejdź na stronę urządzenia i kliknij „Dodaj”, aby zarejestrować Firewall. Możesz zarejestrować wiele urządzeń, wprowadzając adres MAC i numer seryjny.

Następnie możesz przypisać urządzenie do właściwej lokalizacji. Możesz mieć kilka urządzeń w organizacji, stąd możesz wybrać konkretne urządzenie i przypisać je do odpowiedniej lokalizacji:

Pojawi się wyskakujące okienko, w którym możesz wybrać metodę instalacji urządzenia.

5.1 Tryb Zero Touch Provision

Po raz pierwszy urządzenie jest zarejestrowane na Nebula, tryb Zero Touch Provision musi być używany, ponieważ urządzenie potrzebuje procesu ZTP, aby stać się zdolnym do Cloud. Przejdź do kroku 6 — wykonaj proces ZTP

5.2 Tryb natywny Nebula

Kiedy po raz pierwszy rejestrujesz swoje urządzenie w Nebula, musisz upewnić się, że posiadasz certyfikat ZTP na swoim urządzeniu. We wszystkich urządzeniach zapora sieciowa musi najpierw raz przejść przez proces ZTP . W nowszych urządzeniach certyfikat ZTP może już znajdować się w zaporze (sprawdź tutaj , czy masz certyfikat ZTP - jeśli nie masz certyfikatu ZTP, musisz wykonać proces ZTP i nie możesz przejść do trybu natywnego, aby uzyskać zapora sieciowa).

5.2.1 Zresetuj urządzenie do konfiguracji domyślnej

Jeśli chcesz przejść z trybu Stand-alone do Nebula, musisz najpierw reset urządzenie za pomocą przycisku RESET znajdującego się z przodu urządzenia (przytrzymując go przez 15 sekund). Jeśli w trakcie procesu zmienisz choćby najmniejsze ustawienie (np. hasło administratora), migracja się nie powiedzie.

5.2.2 Sprawdź, czy masz DHCP lub statyczny adres IP w sieci WAN

Jeśli masz statyczny adres IP w sieci WAN, musisz zalogować się do urządzenia przez Web GUI, wybrać tryb Nebula i wprowadzić informacje o IP potrzebne do nawiązania połączenia:

Jeśli masz statyczny adres IP w sieci WAN, przejdź przez poniższy kreator i po zakończeniu przejdź do kroku 2 - zarejestruj urządzenie:

5.2.3 Wybierz tryb natywny

Podłącz port WAN do portu wskazanego na rysunku (w tym przykładzie P2), a LAN do portu pokazanego (w tym przykładzie P4) - Uwaga! Nic więcej nie powinno być podłączone.

Powinieneś być w stanie zobaczyć, że czeka na połączenie urządzenia z Nebula (pod Firewall -> Monitor -> Firewall):

Zapora powinna teraz wykonać szybki restart, a po ponownym uruchomieniu urządzenie powinno przejść do trybu online w ciągu 20 minut.

5.2.4 Rozwiązywanie problemów — „Połączono urządzenie oczekujące” [Sprawdzanie certyfikatu ZTP]

Jeśli Twoje urządzenie utknęło w trybie natywnym „Oczekiwanie na podłączenie urządzenia” - musisz dokładnie sprawdzić, czy posiadasz certyfikat ZTP:

Zaloguj się przez SSH na urządzeniu (używając programu Putty lub Teraterm) i wpisz show native mode cert file status :

Jeśli pojawi się błąd lub certyfikatu tam nie ma, nie wykonałeś jeszcze procesu ZTP na tej zaporze i musisz tym razem użyć procesu ZTP. Może się również zdarzyć, że nie masz wersji oprogramowania układowego 5.10 i musisz zaktualizować zaporę przed użyciem trybu natywnego.

5.3 Migracja z trybu lokalnego do trybu Nebula w Web GUI

Przejdź do Konfiguracja -> Zarządzanie. & Analityka -> Mgławica , a następnie kliknij Zastosuj i przejdź do Nebula

Otrzymasz wtedy wyskakujące okienko i musisz kliknąć tak:

Następnie poczekaj, aż urządzenie przejdzie do trybu online w Nebula.

6. Wykonaj proces ZTP

Filmy pokazane na początku artykułu pokazują cały proces, z wyjątkiem ostatniej części. Ta ostatnia część odpowiada procesowi ZTP, którego dostępne są dwie metody, jak pokazano na filmie. Ta metoda jest omówiona w kolejnych 2 podsekcjach.

W przypadku procesu ZTP należy określić, w jaki sposób zostanie skonfigurowane połączenie WAN (DCHP/PPPoE/Statyczny adres IP) oraz podać adres e-mail, na który zostanie wysłana wiadomość zawierająca link i plik JSON. „Samodzielnie zainstaluję zaporę ogniową” wysyła wiadomość e-mail na konto, które w tej chwili dodaje urządzenie do witryny. Możliwe jest również określenie dowolnego innego konta e-mail, aby instalator mógł uruchomić proces ZTP.

6.1 Aktywuj funkcję chmury Firewall za pomocą adresu URL

Po uruchomieniu urządzenia z najnowszym oprogramowaniem sprzętowym podłącz port zasilania do odpowiedniego źródła zasilania i włącz zaporę. Poczekaj, aż dioda SYS zacznie świecić na zielono. Następnie podłącz interfejs WAN (P2) do Internetu.

Podłącz interfejs LAN (P4) do komputera.

Otwórz wiadomość e-mail otrzymaną od Nebula i kliknij „Zezwól Nebula na zarządzanie moim urządzeniem”.

Poczekaj, aż Nebula Zero Touch Provisioning zakończy się pomyślnie. Kliknij „Przejdź do centrum sterowania Nebula”, aby uzyskać dostęp do Nebula.

Po kilku minutach urządzenie połączy się z Nebula i przejdzie w tryb online.

Uwaga: jeśli masz już urządzenie, takie jak AP, podłączone do portu 4 USG FLEX, a AP zapewnia już sieć Wi-Fi w podsieci 192.168.1.1/24, możesz wykonać ZTP przez adres URL z dowolnego urządzenia podłączony do sieci Wi-Fi, dzięki czemu można to zrobić z urządzenia mobilnego.

6.2 Aktywuj funkcję chmury Firewall przez USB

Alternatywnie możesz również aktywować Firewall za pomocą pamięci USB.
Skopiuj plik załączony w wiadomości e-mail wysłanej z Nebula na nowy/czysty dysk USB (FAT32) i podłącz go do portu USB Firewall.
Włącz Firewall, dioda LED SYS miga na czerwono, gdy łączy się z Nebula i świeci na zielono, gdy jest podłączona.

Przejdź do Site-wide -> Monitor -> Dashboard , aby sprawdzić stan bramy.

Po kilku minutach urządzenie połączy się z Nebula i przejdzie w tryb online.

7. Rozwiązywanie problemów

7.1 Połączenie internetowe nie działa — Sprawdź połączenie internetowe

Przeglądarka internetowa pokazuje, że połączenie internetowe nie działa podczas uzyskiwania dostępu do adresu URL w wiadomości e-mail.

Sprawdź swoje połączenie internetowe i upewnij się, że łączysz się z interfejsem WAN (P2). Następnie kliknij „Ponów próbę”, aby ponownie wykonać ZTP.

Możesz także kliknąć „Narzędzia testowania sieci”, aby zalogować się do internetowego interfejsu GUI urządzenia w celu dalszego rozwiązywania problemów. Użytkownik to „wsparcie”, a hasło to numer seryjny zapory.

Jeśli masz statyczne połączenie IP / PPPoE, dokładnie sprawdź, czy w urządzeniu wprowadzono lokalnie informacje o statycznym adresie IP:

Przejdź do Konfiguracja -> Ustawienia sieci WAN i sprawdź, czy wszystko jest poprawnie wypełnione:

7.2 Zero Touch Provisioning (ZTP) kończy się niepowodzeniem, ponieważ to urządzenie nie jest w domyślnym stanie fabrycznym.

Przytrzymaj przycisk reset przez 5 sekund, aby reset przywrócić ustawienia fabryczne urządzenia. Następnie kliknij adres URL, aby ponownie wykonać ZTP.

7.3 ZTP przez USB: Dioda SYS nie przestaje migać na czerwono

Nebula Dashboard pokazuje, że zapora sieciowa jest offline.
Jeśli ZTP przez USB nie powiedzie się, sprawdź połączenie internetowe. Otwórz ztpresult.log w USB, aby sprawdzić stan.

Oto przykład:

ZTP kończy się niepowodzeniem, ponieważ w pamięci USB nie ma pasującego pliku ZTP dla tego urządzenia. Upewnij się, że skopiowałeś właściwy plik ZTP.

7.4 Tryb Nebula nie jest wyświetlany podczas uzyskiwania dostępu do internetowego interfejsu GUI

Możesz zaktualizować swoje urządzenie za pomocą interfejsu konfiguratora internetowego urządzenia (sprawdź tutaj ) lub za pomocą narzędzia ZON. W tym artykule pokazano, jak to zrobić za pomocą narzędzia ZON.

Upewnij się, że zainstalowałeś ZON na swoim komputerze. Jeśli nie, możesz go pobrać tutaj:

Narzędzie sieciowe Zyxel One (ZON)

Podłącz port zasilania do źródła zasilania i włącz zaporę. Poczekaj, aż dioda SYS zacznie świecić na zielono. Podłącz komputer do portu 4 (P4) zapory.

Otwórz ZON na swoim komputerze, aby przeskanować zaporę. Wybierz zaporę ogniową, a następnie kliknij „Aktualizacja oprogramowania układowego”:

Wybierz najnowszą wersję oprogramowania układowego z chmury i wprowadź domyślne hasło „1234”, aby dokonać aktualizacji. Proces oprogramowania układowego trwa około 5 minut.

8. Licencjonowanie serii USG FLEX

8.1 Pakiet licencji Nebula dla Twojego USG FLEX w Nebula Control Center.

Jeśli Twój USG Flex został dostarczony z licencją w pakiecie, automatycznie uzyskasz roczny Pakiet Profesjonalny Nebula na Twoje urządzenie. Licencja na usługę UTM zostanie bezproblemowo przeniesiona do Nebula, niezależnie od pozostałego czasu.

Jeśli Twój USG nie został dostarczony z licencją pakietową, nadal będziesz korzystać z 30-dniowej wersji próbnej usług UTM. Usługi Nebula Pro Pack obejmują również automatycznie 30-dniowy okres próbny podczas tworzenia organizacji.

Okres licencji próbnej dotyczy również urządzenia z licencją pakietową.

8.2 Migracja mojej istniejącej licencji NSG (NSS) do USG FLEX (UTM).

Aby przeprowadzić migrację licencji z poprzedniej sieciowej grupy zabezpieczeń do USE FLEX w chmurze, obowiązuje poniższa tabela mapowania. Na przykład NSG 100 może migrować tylko swoją licencję do USG FLEX 200 i nie może migrować licencji do innych modeli USG FLEX.

Jeśli Twój USG FLEX 100 ma już roczną licencję, po migracji pozostałej licencji z NSG50 (np.: 6 miesięcy) do USG FLEX 100, ta ostatnia będzie miała licencję na półtora roku do wykorzystania.

8.3 Ograniczenia związane z przejściem do trybu Nebula

Istnieją pewne ograniczenia, a następująca funkcja nie jest jeszcze dostępna w modelu chmurowym dla USG FLEX:

- Urządzenie HA
- Bezpieczeństwo poczty e-mail (antyspam)
- Inspekcja SSL
- Routing dynamiczny (RIP, OSPF, BGP)
- Powiązane funkcje IPv6
- Kontroler AP (zamiast tego należy używać Nebula Control Center jako kontrolera AP)
- Usługa Hotspot (Nebula Control Center obsługuje już usługi hotspot, takie jak Voucher, Walled garden)

Jeśli napotkasz inne problemy, skontaktuj się z naszym zespołem pomocy technicznej.