Nasz firewall USG FLEX może być zarządzany i konfigurowany przez Nebula Control Center (NCC) od wersji oprogramowania ZLD5.00 wzwyż. Seria ATP może być zarządzana w NCC od wersji oprogramowania ZLD5.10. Ten przewodnik pokazuje, jak dodać urządzenie do Nebula za pomocą procesu ZTP i wstępnie skonfigurować ustawienia firewalla na Nebula, przed dostarczeniem urządzenia do instalacji na miejscu. Ten artykuł pokazuje, jak zarejestrować swój firewall w Nebula. Jest podzielony na różne sekcje, więc prosimy przejść do odpowiedniej sekcji w spisie treści.
Uwaga: Tryb ZTP nie jest dostępny od wersji 5.37 patch 1, dlatego urządzenie należy wdrożyć do Nebula w trybie natywnym. Oto modele objęte zmianą. Seria ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Seria USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Dlaczego nie mogę użyć trybu ZTP lub natywnego do wdrożenia mojego firewalla na Nebula?

Jeśli masz trudności z dodaniem swojego urządzenia do Nebula, może to oznaczać, że Twoje urządzenie zostało wyprodukowane przed końcem 2023 roku i wymaga przeprowadzenia procesu Zero Touch Provisioning (ZTP). Aby kontynuować, wykonaj następujące kroki:

• Obniż wersję oprogramowania na urządzeniu
• Przejdź przez proces ZTP zgodnie z wymaganiami
• Po pomyślnym dodaniu, zaktualizuj urządzenie do najnowszej wersji oprogramowania

Jak zarejestrować swój firewall w Nebula (filmy)

Uwaga: Twoje urządzenie musi zostać zresetowane do ustawień fabrycznych, aby połączyć je z Nebula, co spowoduje utratę wszystkich poprzednich ustawień, które mogły być skonfigurowane. Po podłączeniu do Nebula, urządzenie zostanie automatycznie skonfigurowane z domyślnymi ustawieniami Nebula. Proszę również zauważyć, że istnieją pewne ograniczenia i następujące funkcje nie są jeszcze dostępne w trybie chmurowym dla USG FLEX:

• Urządzenie HA
• Bezpieczeństwo e-mail (Anti-Spam)
• Inspekcja SSL
• Dynamiczne trasowanie (RIP, OSPF, BGP)
• Powiązane funkcje IPv6
• Kontroler AP (Nebula Control Center powinien być używany jako kontroler AP zamiast tego)
• Usługa Hotspot (Nebula Control Center już obsługuje usługi hotspot, takie jak Voucher, Walled garden)

Licencjonowanie

• Licencjonowanie Twojego USG FLEX w Nebula Control Center

Jeśli Twój USG Flex został dostarczony z licencją w pakiecie, automatycznie otrzymasz pakiet Nebula Professional Pack na 1 rok dla swojego urządzenia. Licencja na usługę UTM zostanie płynnie przeniesiona do Nebula, niezależnie od pozostałego czasu.

W przypadku gdy Twój USG nie był dostarczony z licencją w pakiecie, nadal będziesz korzystać z 30-dniowego okresu próbnego dla swoich usług UTM. Usługi Nebula PRO Pack również automatycznie obejmują 30 dni próbnego okresu podczas tworzenia Twojej organizacji.

Okres licencji próbnej dotyczy również Twojego urządzenia z licencją w pakiecie.

• Migracja istniejącej licencji NSG (NSS) do USG FLEX (UTM)

Aby przenieść licencję ze swojego NSG do USG FLEX w chmurze, obowiązuje następująca tabela mapowania. Na przykład NSG 100 może przenieść swoją licencję tylko do USG FLEX 200 i nie może przenieść licencji do innych modeli USG FLEX.

Jeśli Twój USG FLEX 100 ma już licencję na 1 rok, po przeniesieniu pozostałej licencji z NSG50 (np. 6 miesięcy) do USG FLEX 100, urządzenie to będzie miało łącznie półtora roku licencji do wykorzystania.

Prosimy o zgłoszenie wniosku do wsparcia, a nasz zespół chętnie pomoże rozwiązać problem z migracją licencji priorytetowo.

Wybór trybu Nebula przez interfejs Web GUI

Gdy Twoje urządzenie działa na wersji 5.10 i używa ustawień fabrycznych, przy pierwszym logowaniu do Web Configurator wymagana będzie aktualizacja domyślnego hasła administratora ("1234").

• Tryb Nebula

Wybierz tryb Nebula, aby zarządzać swoim urządzeniem Zyxel za pomocą Nebula Control Center (NCC). NCC to system zarządzania siecią oparty na chmurze, który pozwala na zdalne zarządzanie i monitorowanie urządzenia Zyxel.

Postępuj zgodnie z kreatorem trybu Nebula, aby skonfigurować ustawienia WAN i przekazać zarządzanie urządzeniem Zyxel do NCC.

Po skonfigurowaniu trybu zarządzania i WAN urządzenia, umożliwiając dostęp do internetu, możesz przejść do Nebula w celu dalszej konfiguracji. Więcej informacji znajduje się w sekcji "natywny tryb Nebula"

• Zdalna migracja z trybu lokalnego do trybu Nebula

Nawet jeśli masz statyczne ustawienia IP lub ustawienia fabryczne, możesz zdalnie przełączyć swoje lokalne rozwiązanie zarządzania do trybu chmurowego Nebula za pomocą Web GUI. Uwaga: urządzenie zostanie zresetowane do ustawień fabrycznych i konfiguracje zostaną utracone. W fazie 13 Nebula nie musisz już fizycznie resetować urządzenia przed migracją do Nebula. Teraz możesz to zrobić zdalnie.

Wymagania do zdalnej migracji do Nebula to:

• Urządzenie musi być w natywnym trybie Nebula, co oznacza, że musi posiadać certyfikat ZTP
• Urządzenie musi być online (wymagany dostęp do internetu przez WAN)

Uwaga: Jeśli masz urządzenie w trybie lokalnym, możesz pominąć krok "natywny tryb Nebula

• Utwórz organizację i lokalizację (site)

Jeśli jeszcze nie utworzyłeś organizacji i lokalizacji w Nebula, proszę skorzystać z podanego artykułu. Po ukończeniu tego kroku możemy przejść do rejestracji.
Nebula [Site/Organization] - Jak utworzyć/usunąć organizację i lokalizację w Nebula Control Center?

Konfiguracja firewalla w portalu Nebula

Przed wykonaniem tych kroków przygotuj topologię sieci, ustawienia firewalla oraz konfigurację WAN. Te informacje pozwolą Ci wstępnie skonfigurować ustawienia firewalla przed jego włączeniem w Nebula. Firewall automatycznie zsynchronizuje tę konfigurację po połączeniu z Nebula. Podczas tworzenia lokalizacji możesz określić model firewalla bez jego dodawania, co umożliwia wstępne skonfigurowanie niektórych parametrów przed dodaniem urządzenia.

• Ustawienia grup portów

Site-wide -> Configure -> Firewall -> Port

• Aby skonfigurować grupy portów WAN/LAN lub dodać grupy WAN/LAN dopasowane do Twojego scenariusza.

• Skonfiguruj ustawienia WAN, jeśli używasz statycznego IP

Site-wide -> Configure -> Firewall - interfaces

• Aby zmienić adresy IP interfejsów WAN/LAN zgodnie z Twoim scenariuszem.

Rejestracja firewalla i wybór metody wdrożenia

Tryb manualny

Przejdź do Site-wide -> License & Inventory

Wejdź na stronę urządzenia i kliknij "Dodaj", aby zarejestrować firewall. Możesz zarejestrować wiele urządzeń, wpisując adres MAC i numer seryjny

Następnie możesz przypisać urządzenie do właściwej lokalizacji. Możesz mieć kilka urządzeń w organizacji, stąd możesz wybrać konkretne urządzenie i przypisać je do odpowiedniej lokalizacji:

Pojawi się okno dialogowe, w którym możesz wybrać metodę wdrożenia urządzenia.

Tryb Zero Touch Provision

Przy pierwszym rejestrowaniu urządzenia w Nebula należy użyć trybu Zero Touch Provision, ponieważ urządzenie musi przejść proces ZTP, aby stać się zdolne do pracy w chmurze. Przejdź do Wykonaj proces ZTP

Natywny tryb Nebula

Podczas pierwszej rejestracji urządzenia w Nebula musisz upewnić się, że masz certyfikat ZTP na swoim urządzeniu. We wszystkich urządzeniach firewall musi przejść proces ZTP przynajmniej raz. W nowszych urządzeniach certyfikat ZTP może już być obecny w firewallu (sprawdź, czy masz certyfikat ZTP tutaj - jeśli nie masz certyfikatu ZTP, musisz wykonać proces ZTP i nie możesz użyć natywnego trybu, aby uruchomić firewall online).

• Zresetuj urządzenie do ustawień fabrycznych

Jeśli chcesz przejść z trybu samodzielnego (Stand-alone) do Nebula, musisz najpierw zresetować urządzenie, używając przycisku RESET znajdującego się z przodu urządzenia (przytrzymaj przez 15 sekund). Jeśli podczas tego procesu zmienisz choćby najmniejsze ustawienie (np. hasło administratora), migracja się nie powiedzie.

• Sprawdź, czy masz DHCP lub statyczne IP na WAN

Jeśli masz statyczne IP na WAN, musisz zalogować się do urządzenia przez Web GUI, wybrać tryb Nebula i wprowadzić dane IP potrzebne do nawiązania połączenia:

Jeśli masz statyczne IP na WAN, przejdź przez poniższy kreator, a po jego zakończeniu przejdź do kroku 2 - rejestracja urządzenia:

• Wybierz tryb natywny

Podłącz port WAN do portu wskazanego na obrazku (w tym przykładzie P2) oraz LAN do portu pokazanego (w tym przykładzie P4) - Uwaga: Nie powinno być podłączone nic więcej

• Powinieneś widzieć, że system oczekuje na połączenie urządzenia z Nebula (w sekcji Urządzenia -> Firewall):

Firewall powinien teraz wykonać szybki restart, a po restarcie urządzenie powinno pojawić się online w ciągu 20 minut.

Rozwiązywanie problemów - "Oczekiwanie na połączenie urządzenia" [Sprawdzanie certyfikatu ZTP]

Jeśli Twoje urządzenie utknęło w natywnym trybie "Oczekiwanie na połączenie urządzenia" - musisz dwukrotnie sprawdzić, czy masz certyfikat ZTP:

Zaloguj się przez SSH do urządzenia (używając programu Putty lub Teraterm) i wpisz show native mode cert file status:

Jeśli pojawi się błąd lub certyfikat nie jest obecny, oznacza to, że nie wykonałeś jeszcze procesu ZTP na tym firewallu i musisz tym razem użyć procesu ZTP. Może to również oznaczać, że nie masz wersji oprogramowania 5.10 i musisz zaktualizować firewall przed użyciem trybu natywnego.

• Migracja z trybu lokalnego do trybu Nebula w Web GUI

Przejdź do Configuration -> Mgmt. & Analytics -> Nebula, następnie kliknij Apply i Go To Nebula

Pojawi się okno dialogowe, w którym musisz kliknąć tak:

Następnie poczekaj, aż urządzenie pojawi się online w Nebula.

Wykonaj proces ZTP

Filmy pokazane na początku artykułu przedstawiają cały proces, z tym że ostatnia część jest różna. Ta ostatnia część odpowiada procesowi ZTP, dla którego dostępne są dwie metody, pokazane w filmie. Metoda ta jest omówiona w dwóch poniższych podsekcjach.

W procesie ZTP należy określić, jak zostanie skonfigurowane połączenie WAN (DCHP/PPPoE/Statyczne IP) oraz podać adres e-mail, na który zostanie wysłany e-mail zawierający link i plik JSON. Opcja "Zainstaluję firewall samodzielnie" wysyła e-mail na konto, które w danym momencie dodaje urządzenie do lokalizacji. Można również podać dowolny inny adres e-mail, aby instalator mógł wykonać proces ZTP.

• Aktywuj możliwość chmurową firewalla przez URL

Mając urządzenie z najnowszym oprogramowaniem, podłącz zasilanie do odpowiedniego źródła i włącz firewall. Poczekaj, aż dioda SYS zaświeci się na stałe na zielono. Następnie podłącz interfejs WAN (P2) do Internetu.

Podłącz interfejs LAN (P4) do komputera.

Otwórz e-mail otrzymany z Nebula i kliknij "Zezwól Nebula na zarządzanie moim urządzeniem".

Poczekaj, aż Zero Touch Provisioning w Nebula zakończy się pomyślnie. Kliknij "Przejdź do Nebula Control Center", aby uzyskać dostęp do Nebula.

Urządzenie zajmie kilka minut, aby połączyć się z Nebula i pojawić się online.

Uwaga: Jeśli masz urządzenie takie jak AP podłączone do portu 4 USG FLEX, a AP już udostępnia sieć Wi-Fi w podsieci 192.168.1.1/24, możesz wykonać ZTP przez URL z dowolnego urządzenia podłączonego do sieci Wi-Fi, co umożliwia wykonanie tego z urządzenia mobilnego.

• Aktywuj możliwość chmurową firewalla przez USB

Alternatywnie możesz aktywować firewall za pomocą pendrive'a USB. Skopiuj plik załączony w e-mailu wysłanym z Nebula na nowy/czysty pendrive (FAT32) i podłącz go do portu USB firewalla. Włącz firewall, dioda SYS miga na czerwono podczas łączenia z Nebula i świeci się na stałe na zielono po połączeniu.

Przejdź do pulpitu Nebula, aby sprawdzić status bramy.

Urządzenie zajmie kilka minut, aby połączyć się z Nebula i pojawić się online.

Rozwiązywanie problemów

• Brak połączenia z internetem - Sprawdź połączenie internetowe

Przeglądarka internetowa pokazuje brak połączenia internetowego podczas dostępu do URL z e-maila.

Sprawdź swoje połączenie internetowe i upewnij się, że podłączasz się do interfejsu WAN (P2). Następnie kliknij "Ponów próbę", aby wykonać ZTP ponownie.

Możesz także kliknąć "Narzędzia testowe sieci", aby zalogować się do web GUI urządzenia w celu dalszego rozwiązywania problemów. Użytkownik to "support", a hasło to numer seryjny firewalla.

Jeśli masz statyczne IP/połączenie PPPoE, sprawdź dwukrotnie, czy poprawnie wprowadziłeś dane statycznego IP lokalnie na urządzeniu:

Przejdź do Configuration -> WAN Settings i sprawdź, czy wszystko jest poprawnie wypełnione

• Zero Touch Provisioning (ZTP) nie powiodło się, ponieważ urządzenie nie jest w stanie fabrycznym

Przytrzymaj przycisk reset przez 5 sekund, aby zresetować urządzenie do ustawień fabrycznych. Następnie kliknij URL, aby wykonać ZTP ponownie.

• ZTP przez USB: dioda SYS nie przestaje migać na czerwono

Nebula Dashboard pokazuje, że firewall jest offline.
Jeśli ZTP przez USB nie powiodło się, sprawdź połączenie internetowe. Otwórz plik ztpresult.log na USB, aby sprawdzić status.

Oto przykład:

ZTP nie powiodło się, ponieważ na USB nie ma odpowiedniego pliku ZTP dla tego urządzenia. Upewnij się, że kopiujesz właściwy plik ZTP.

• Tryb Nebula nie jest widoczny podczas dostępu do Web GUI

Możesz zaktualizować swoje urządzenie przez interfejs webowy lub używając narzędzia ZON. Ten artykuł pokazuje, jak zrobić to za pomocą narzędzia ZON.

Upewnij się, że masz zainstalowany ZON na swoim komputerze. Jeśli nie, możesz go pobrać tutaj:

Zyxel One Network Utility (ZON)

Podłącz zasilanie do źródła zasilania i włącz firewall. Poczekaj, aż dioda SYS zaświeci się na stałe na zielono. Podłącz swój komputer do portu 4 (P4) firewalla.

Otwórz ZON na komputerze, aby zeskanować firewall. Wybierz firewall, a następnie kliknij "Aktualizacja oprogramowania":

Wybierz najnowszą wersję oprogramowania z chmury i wpisz domyślne hasło „1234”, aby rozpocząć aktualizację. Proces aktualizacji trwa około 5 minut.

Licencjonowanie dla serii USG FLEX

• Licencjonowanie Nebula w pakiecie dla Twojego USG FLEX w Nebula Control Center

Jeśli Twój USG Flex został dostarczony z licencją w pakiecie, automatycznie otrzymasz pakiet Nebula Professional Pack na 1 rok dla swojego urządzenia. Licencja na usługę UTM zostanie płynnie przeniesiona do Nebula, niezależnie od pozostałego czasu.

W przypadku gdy Twój USG nie był dostarczony z licencją w pakiecie, nadal będziesz korzystać z 30-dniowego okresu próbnego dla swoich usług UTM. Usługi Nebula Pro Pack również automatycznie obejmują 30 dni próbnego okresu podczas tworzenia Twojej organizacji.

Okres licencji próbnej dotyczy również Twojego urządzenia z licencją w pakiecie.

• Migracja istniejącej licencji NSG (NSS) do USG FLEX (UTM)

Aby przenieść licencję ze swojego poprzedniego NSG do USG FLEX w chmurze, obowiązuje następująca tabela mapowania. Na przykład NSG 100 może przenieść swoją licencję tylko do USG FLEX 200 i nie może przenieść licencji do innych modeli USG FLEX.

Jeśli Twój USG FLEX 100 ma już licencję na 1 rok, po przeniesieniu pozostałej licencji z NSG50 (np. 6 miesięcy) do USG FLEX 100, urządzenie to będzie miało łącznie półtora roku licencji do wykorzystania.

• Ograniczenia przy zmianie na tryb Nebula

Istnieją pewne ograniczenia i następujące funkcje nie są jeszcze dostępne w modelu chmurowym dla USG FLEX:

- Urządzenie HA
- Bezpieczeństwo e-mail (Anti-Spam)
- Inspekcja SSL
- Dynamiczne trasowanie (RIP, OSPF, BGP)
- Powiązane funkcje IPv6
- Kontroler AP (Nebula Control Center powinien być używany jako kontroler AP zamiast tego)
- Usługa Hotspot (Nebula Control Center już obsługuje usługi hotspot, takie jak Voucher i Walled garden)

Jeśli napotkasz inne problemy, prosimy o kontakt z naszym zespołem wsparcia.