Ważna informacja: |
Nasza zapora sieciowa USG FLEX może być zarządzana i udostępniana przez Nebula Control Center (NCC) od oprogramowania układowego ZLD5.00 i nowszych. Seria ATP może być zarządzana w NCC od oprogramowania układowego ZLD5.10. Ten przewodnik pokazuje, jak dodać urządzenie do Nebula za pomocą procesu ZTP i wstępnie skonfigurować ustawienia zapory w Nebula, przed dostarczeniem urządzenia do instalacji na miejscu. Ten artykuł pokazuje, jak zarejestrować zaporę sieciową w Nebula. Jest on podzielony na różne sekcje, więc przejdź do odpowiedniej sekcji w spisie treści.
Jak zarejestrować zaporę sieciową w Nebula (Wideo)
Rejestracja w Nebula przy użyciu trybu URL ZTP | Rejestracja w Nebula przy użyciu trybu ZTP USB |
Uwaga: Urządzenie musi zostać zresetowane do ustawień domyślnych w celu podłączenia go do Nebula, tracąc wszystkie poprzednie ustawienia, które mogły zostać skonfigurowane. Po podłączeniu do Nebula urządzenie zostanie automatycznie skonfigurowane z domyślnymi ustawieniami Nebula. Należy również pamiętać, że istnieją pewne ograniczenia i następujące funkcje nie są jeszcze dostępne w trybie chmury dla USG FLEX:
- HA urządzenia
- Bezpieczeństwo poczty e-mail (antyspam)
- Inspekcja SSL
- Routing dynamiczny (RIP, OSPF, BGP)
- Powiązane funkcje IPv6
- Kontroler AP (Nebula Control Center powinien być używany jako kontroler AP)
- Usługa hotspot (Nebula Control Center obsługuje już usługi hotspot, takie jak Voucher, Walled garden)
Licencjonowanie
- Licencjonowanie USG FLEX do Nebula Control Center
Jeśli USG Flex jest dostarczany z dołączoną licencją, automatycznie otrzymasz roczny pakiet Nebula Professional Pack dla swojego urządzenia. Licencja na usługę UTM zostanie płynnie przeniesiona do Nebula, niezależnie od pozostałego czasu.
W przypadku, gdy Twój USG nie był dostarczany z licencją pakietową, nadal będziesz korzystać z 30-dniowej wersji próbnej usług UTM. Usługi Nebula PRO Pack obejmują również 30-dniowy okres próbny automatycznie podczas tworzenia organizacji.
Okres licencji próbnej dotyczy również urządzenia z licencją pakietową.
- Migracja istniejącej licencji NSG (NSS) do USG FLEX (UTM)
Aby zmigrować licencję z NSG do USE FLEX w chmurze, obowiązuje poniższa tabela mapowania. Na przykład NSG 100 może migrować swoją licencję tylko do USG FLEX 200 i nie może migrować licencji do innych modeli USG FLEX.
Seria NSG | NSG50 | NSG100 | NSG200 |
NSG300 |
Seria USG FLEX | USG FLEX 100/100W | USG FLEX 200 | USG FLEX 500 | USG FLEX 700 |
W przypadku, gdy USG FLEX 100 ma już roczną licencję, po migracji pozostałej licencji z NSG50 (np.: 6 miesięcy) do USG FLEX 100, ten ostatni ma półtoraroczną licencję do wykorzystania.
Prosimy o przesłanie zgłoszenia do pomocy technicznej, a nasz zespół z przyjemnością pomoże rozwiązać problem z licencją migracyjną z należytym priorytetem.
Wybieranie trybu Nebula za pomocą internetowego interfejsu GUI
Po uruchomieniu urządzenia w wersji 5.10 i przy użyciu domyślnych ustawień fabrycznych, przy próbie zalogowania się do Web Configurator po raz pierwszy, wymagana będzie aktualizacja domyślnego hasła administratora ("1234").
- Tryb Nebula
Wybierz tryb Nebula, aby zarządzać urządzeniem Zyxel za pomocą Nebula Control Center (NCC). NCC to oparty na chmurze system zarządzania siecią, który umożliwia zdalne zarządzanie i monitorowanie urządzenia Zyxel.
Postępuj zgodnie z kreatorem trybu Nebula, aby skonfigurować ustawienia WAN w celu przekazania zarządzania urządzeniem Zyxel do NCC.
Po skonfigurowaniu trybu zarządzania i sieci WAN urządzenia, umożliwiając dostęp do Internetu, można przejść do Nebula w celu dalszej konfiguracji. Więcej informacji znajduje się w sekcji "Tryb natywny Nebula"
- Migracja zdalna z trybu lokalnego do trybu Nebula
Nawet jeśli masz statyczne ustawienia IP lub domyślne ustawienia fabryczne, możesz zdalnie przełączyć swoje lokalne rozwiązanie do zarządzania na tryb Nebula Cloud za pomocą internetowego interfejsu GUI. Należy pamiętać, że urządzenie zostanie przywrócone do ustawień fabrycznych, a konfiguracje zostaną utracone. W Nebula Phase 13 nie musisz udawać się na miejsce, aby przywrócić ustawienia fabryczne urządzenia przed migracją do Nebula. Teraz można to zrobić zdalnie.
Wymagania dotyczące zdalnej migracji do Nebula to zapora sieciowa:
- Musi być w trybie natywnym Nebula, co oznacza, że musizawierać certyfikat ZTP.
- Urządzenie musi być online (wymagany dostęp do sieci WAN (Internet))
Uwaga: Jeśli masz urządzenie w trybie lokalnym, możesz pominąć krok "Trybnatywny Nebula".
- Utwórz organizację i witrynę
Jeśli nie utworzyłeś jeszcze organizacji i witryny Nebula, postępuj zgodnie z podanym linkiem do artykułu. Po wykonaniu tego kroku możemy przejść do procesu rejestracji.
Nebula[Site/Organization] - Jak utworzyć/usunąć organizację i witrynę w Nebula Control Center?
Konfiguracja zapory sieciowej w portalu Nebula
Przed wykonaniem tych kroków należy wcześniej przygotować topologię sieci, ustawienia zapory i konfigurację sieci WAN. Informacje te pozwolą na wstępne skonfigurowanie ustawień zapory przed jej włączeniem w Nebula. Firewall automatycznie zsynchronizuje tę konfigurację, gdy połączy się z Nebulą. Podczas tworzenia witryny można określić model zapory bez jej dodawania. Umożliwia to wstępną konfigurację niektórych parametrów przed dodaniem samego urządzenia.
- Ustawienia grupy portów
- Aby skonfigurować grupy portów WAN/LAN lub dodać grupy WAN/LAN zgodnie ze scenariuszem.
-
Skonfiguruj ustawienia WAN, jeśli masz statyczny adres IP
Site-wide -> Configure -> Firewall - interfaces
-
aby zmienić adresy IP interfejsu WAN/LAN zgodnie ze scenariuszem.
Zarejestruj zaporę i wybierz metodę wdrożenia
Tryb ręczny
Go to Site-wide -> License & Inventory
Wejdź na stronę urządzenia i kliknij "Dodaj", aby zarejestrować zaporę. Możesz zarejestrować wiele urządzeń, wprowadzając adres MAC i numer seryjny
- Następnie można przypisać urządzenie do odpowiedniej lokalizacji. Możesz mieć kilka urządzeń w organizacji, z tego miejsca możesz wybrać konkretne urządzenie i przypisać je do odpowiedniej lokalizacji:
Pojawi się wyskakujące okno, w którym można wybrać metodę wdrożenia urządzenia.
Tryb Zero Touch Provision
Po raz pierwszy, gdy urządzenie jest rejestrowane w Nebula, należy użyć trybu Zero Touch Provision , ponieważ urządzenie wymaga procesu ZTP, aby uzyskać zdolność do pracy w chmurze. Przejdź do Execute ZTP Process
Tryb natywny Nebula
Podczas pierwszej rejestracji urządzenia w Nebula należy upewnić się, że na urządzeniu znajduje się certyfikat ZTP. We wszystkich urządzeniach zapora sieciowa musi najpierw przejść przez proces ZTP . W nowszych urządzeniach certyfikat ZTP może już znajdować się w zaporze (sprawdź, czy masz certyfikat ZTP tutaj - jeśli nie masz certyfikatu ZTP, musisz wykonać proces ZTP i nie możesz wykonać trybu natywnego, aby uzyskać zaporę online).
- Zresetuj urządzenie do domyślnej konfiguracji
Jeśli chcesz przeprowadzić migrację z trybu autonomicznego do Nebula, musisz najpierw zresetować urządzenie za pomocą przycisku RESET znajdującego się z przodu urządzenia (przytrzymując go przez 15 sekund). Jeśli podczas tego procesu zmienisz nawet najmniejsze ustawienie (np. hasło administratora), migracja nie powiedzie się.
- Sprawdź, czy masz DHCP lub statyczne IP w sieci WAN
Jeśli masz statyczny adres IP w sieci WAN, musisz zalogować się do urządzenia za pośrednictwem internetowego interfejsu GUI, wybrać tryb Nebula i wprowadzić informacje o adresie IP potrzebne do nawiązania połączenia:
Jeśli masz statyczne IP w sieci WAN, przejdź przez poniższy kreator, a po zakończeniu przejdź do kroku 2 - zarejestruj urządzenie:
- Wybierz tryb natywny
Podłączport WAN do portu wskazanego na obrazku (w tym przykładzie P2), a LAN do wskazanego portu (w tym przykładzie P4) - Uwaga: nic innego nie powinno być podłączone.
- Powinieneś być w stanie zobaczyć, że czeka, aż urządzenie połączy się z Nebulą (w Urządzenia -> Zapora):
Firewall powinien teraz wykonać szybki restart, a po restarcie urządzenie powinno być online w ciągu 20 minut.
Rozwiązywanie problemów - "Urządzenie oczekuje na połączenie" [Sprawdzanie certyfikatu ZTP]
Jeśli urządzenie utknęło w trybie natywnym "Oczekiwanie na podłączone urządzenie" - musisz dwukrotnie sprawdzić, czy masz certyfikat ZTP:
Zaloguj się przez SSH do urządzenia (używając programu Putty lub Teraterm) i wpisz show native mode cert file status:
Jeśli pojawi się błąd lub nie ma certyfikatu, oznacza to, że nie wykonałeś jeszcze procesu ZTP na tej zaporze i musisz tym razem użyć procesu ZTP. Może się również zdarzyć, że nie masz wersji oprogramowania układowego 5.10 i musisz zaktualizować zaporę przed użyciem trybu natywnego.
-
Migracja z trybu lokalnego do trybu Nebula w Web GUI
Następnie pojawi się wyskakujące okienko, w którym należy kliknąć tak:
Następnie należy poczekać, aż urządzenie przejdzie w tryb online w aplikacji Nebula.
Wykonanie procesu ZTP
Filmy pokazane na początku artykułu pokazują cały proces, różniąc się tylko ostatnią częścią. Ta ostatnia część odpowiada procesowi ZTP, w którym dostępne są dwie metody, jak pokazano na filmie. Metoda ta została omówiona w następujących 2 podsekcjach.
W przypadku procesu ZTP należy określić, w jaki sposób zostanie skonfigurowane połączenie WAN (DCHP/PPPoE/Statyczne IP) i określić adres e-mail, na który zostanie wysłana wiadomość e-mail zawierająca link i plik JSON. Opcja "I will install firewall by myself" powoduje wysłanie wiadomości e-mail na konto, które w danym momencie dodaje urządzenie do witryny. Możliwe jest również określenie dowolnego innego konta e-mail, aby instalator mógł uruchomić proces ZTP.
- Aktywacja funkcji Firewall w chmurze za pośrednictwem adresu URL
Po uruchomieniu urządzenia z najnowszym oprogramowaniem sprzętowym podłącz port zasilania do odpowiedniego źródła zasilania i włącz zaporę. Poczekaj, aż dioda SYS zaświeci się na zielono. Następnie podłącz interfejs WAN (P2) do Internetu.
Podłącz interfejs LAN (P4) do komputera.
Otwórz wiadomość e-mail otrzymaną od Nebula i kliknij "Allow Nebula to Manage My Device".
Poczekaj, aż Nebula Zero Touch Provisioning zakończy się powodzeniem. Kliknij "Go to Nebula Control Center", aby uzyskać dostęp do Nebula
Połączenie urządzenia z Nebula i przejście do trybu online zajmie kilka minut.
Uwaga: Jeśli masz urządzenie takie jak AP już podłączone do portu 4 USG FLEX, a AP już zapewnia sieć Wi-Fi w podsieci 192.168.1.1/24, możesz wykonać ZTP za pośrednictwem adresu URL z dowolnego urządzenia podłączonego do sieci Wi-Fi, umożliwiając to z urządzenia mobilnego.
- Aktywacja funkcji chmury Firewall przez USB
Alternatywnie można również aktywować Firewall za pomocą pamięci USB. Skopiuj plik załączony w wiadomości e-mail wysłanej z Nebula do nowego/czystego USB (FAT32) i podłącz go do portu USB Firewalla. Włącz Firewall, dioda SYS miga na czerwono, gdy łączy się z Nebulą i na zielono, gdy jest podłączony.
Przejdź do pulpitu nawigacyjnego Nebula, aby sprawdzić status bramy.
Urządzenie potrzebuje kilku minut, aby połączyć się z Nebula i przejść w tryb online.
Rozwiązywanie problemów
- Połączenie internetowe nie działa - sprawdź połączenie internetowe
Przeglądarka internetowa pokazuje, że połączenie internetowe nie działa, gdy uzyskano dostęp do adresu URL w wiadomości e-mail.
Sprawdź połączenie internetowe i upewnij się, że łączysz się z interfejsem WAN (P2). Następnie kliknij "Retry", aby ponownie wykonać ZTP.
Możesz także kliknąć "Network Test Tools", aby zalogować się do internetowego interfejsu GUI urządzenia w celu dalszego rozwiązywania problemów. Użytkownik to "support", a hasło to numer seryjny firewalla.
Jeśli masz połączenie statyczne IP / PPPoE, sprawdź dwukrotnie, czy wprowadziłeś statyczne informacje IP na urządzeniu lokalnie:
- Funkcja Zero Touch Provisioning (ZTP) nie powiodła się, ponieważ urządzenie nie jest w domyślnym stanie fabrycznym.
Przytrzymaj przycisk resetowania przez 5 sekund, aby przywrócić urządzenie do ustawień fabrycznych. Następnie kliknij adres URL, aby ponownie wykonać ZTP.
- ZTP przez USB: Dioda SYS nie przestaje migać na czerwono
Nebula Dashboard pokazuje, że firewall jest offline.
Jeśli ZTP przez USB nie powiedzie się, sprawdź połączenie internetowe. Otwórz ztpresult.log w USB, aby sprawdzić status.
Oto przykład:
ZTP nie powiodło się, ponieważ nie ma pasującego pliku ZTP w USB dla tego urządzenia. Upewnij się, że skopiowałeś prawidłowy plik ZTP.
- Tryb Nebula nie jest wyświetlany podczas uzyskiwania dostępu do internetowego interfejsu GUI
Urządzenie można zaktualizować za pomocą interfejsu konfiguratora sieciowego urządzenia (sprawdź tutaj) lub za pomocą narzędzia ZON. Ten artykuł pokazuje, jak to zrobić za pomocą narzędzia ZON.
Upewnij się, że zainstalowałeś ZON na swoim komputerze. Jeśli nie, można go pobrać tutaj:
Zyxel One Network Utility (ZON)
Podłącz port zasilania do źródła zasilania i włącz zaporę. Poczekaj, aż dioda SYS zaświeci się na zielono. Podłącz komputer do portu 4 zapory (P4).
Otwórz ZON na komputerze, aby przeskanować zaporę. Wybierz firewall, a następnie kliknij "Firmware Upgrade":
Wybierz najnowszą wersję oprogramowania z chmury i wprowadź domyślne hasło "1234", aby dokonać aktualizacji.Proces aktualizacji oprogramowania sprzętowego trwa około 5 minut
Licencjonowanie dla serii USG FLEX
- Dołączone licencjonowanie Nebula dla USG FLEX do Nebula Control Center
Jeśli Twój USG Flex jest dostarczany z dołączoną licencją, automatycznie otrzymasz roczny pakiet Nebula Professional Pack dla swojego urządzenia. Licencja na usługę UTM zostanie płynnie przeniesiona do Nebula, niezależnie od pozostałego czasu.
W przypadku, gdy Twój USG nie był dostarczany z dołączoną licencją, nadal będziesz mógł korzystać z 30-dniowej wersji próbnej usług UTM. Usługi Nebula Pro Pack obejmują również 30-dniowy okres próbny automatycznie podczas tworzenia organizacji.
Okres licencji próbnej dotyczy również urządzenia z licencją pakietową.
- Migracja istniejącej licencji NSG (NSS) do USG FLEX (UTM)
Aby zmigrować licencję z poprzedniego NSG do USE FLEX w chmurze, obowiązuje poniższa tabela mapowania. Na przykład NSG 100 może migrować swoją licencję tylko do USG FLEX 200 i nie może migrować licencji do innych modeli USG FLEX.
Seria NSG | NSG50 | NSG100 | NSG200 |
NSG300 |
Seria USG FLEX | USG FLEX 100/100W | USG FLEX 200 | USG FLEX 500 | USG FLEX 700 |
W przypadku, gdy USG FLEX 100 ma już roczną licencję, po migracji pozostałej licencji z NSG50 (np.: 6 miesięcy) do USG FLEX 100, ten ostatni ma półtoraroczną licencję do wykorzystania.
- Ograniczenia związane ze zmianą na tryb Nebula
Istnieją pewne ograniczenia i następujące funkcje nie są jeszcze dostępne w modelu chmury dla USG FLEX:
- HA urządzenia
- Bezpieczeństwo poczty e-mail (antyspam)
- Inspekcja SSL
- Routing dynamiczny (RIP, OSPF, BGP)
- Powiązane funkcje IPv6
- Kontroler AP (Nebula Control Center powinien być używany jako kontroler AP)
- Usługa hotspot (Nebula Control Center obsługuje już usługi hotspot, takie jak Voucher i Walled garden)
Jeśli napotkasz inne problemy, skontaktuj się z naszym zespołem pomocy technicznej.
Komentarze
Komentarze: 0
Zaloguj się, aby dodać komentarz.