Nasza zapora sieciowa USG FLEX może być zarządzana i udostępniana przez Nebula Control Center (NCC) od oprogramowania układowego ZLD5.00 i nowszych. Seria ATP może być zarządzana w NCC od wersji oprogramowania ZLD5.10. W tym przewodniku pokazano, jak dodać urządzenie do Nebula za pomocą procesu ZTP i wstępnie skonfigurować ustawienia zapory sieciowej na Nebula przed dostarczeniem urządzenia do instalacji na miejscu. Ten artykuł pokazuje, jak zarejestrować zaporę sieciową w Nebula. Jest on podzielony na różne sekcje, więc przejdź do odpowiedniej sekcji w spisie treści.
Uwaga: tryb ZTP nie jest dostępny od wersji 5.37 patch 1, więc należy wdrożyć urządzenie w Nebula przy użyciu trybu natywnego. Oto modele, których to dotyczy. Seria ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Seria USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Dlaczego nie mogę użyć ZTP lub trybu natywnego do wdrożenia mojej zapory sieciowej na Nebula?

Jeśli napotkasz trudności z dodaniem urządzenia do Nebula, może to oznaczać, że urządzenie zostało wyprodukowane przed końcem 2023 roku i wymaga ukończenia procesu Zero Touch Provisioning (ZTP). Aby kontynuować, wykonaj następujące kroki:

• Zaktualizuj oprogramowanie sprzętowe urządzenia
• Przejdź przez proces ZTP zgodnie z wymaganiami
• Po pomyślnym dodaniu zaktualizuj urządzenie do najnowszej wersji oprogramowania układowego.

Jak zarejestrować zaporę sieciową w Nebula (Wideo)

Uwaga: Aby podłączyć urządzenie do Nebula, należy przywrócić ustawienia domyślne, tracąc wszystkie poprzednie ustawienia, które mogły zostać skonfigurowane. Po podłączeniu do Nebula urządzenie zostanie automatycznie skonfigurowane z domyślnymi ustawieniami Nebula. Należy również pamiętać, że istnieją pewne ograniczenia i następujące funkcje nie są jeszcze dostępne w trybie chmury dla USG FLEX:

• HA urządzenia
• Bezpieczeństwo poczty e-mail (antyspam)
• Inspekcja SSL
• Routing dynamiczny (RIP, OSPF, BGP)
• Powiązane funkcje IPv6
• Kontroler AP (zamiast niego należy użyć Nebula Control Center)
• Usługa hotspot (Nebula Control Center obsługuje już usługi hotspot, takie jak Voucher, Walled garden)

Licencjonowanie

• Licencjonowanie USG FLEX do Nebula Control Center

Jeśli USG Flex jest dostarczany z dołączoną licencją, automatycznie otrzymasz 1-roczny pakiet profesjonalny Nebula dla swojego urządzenia. Licencja na usługę UTM zostanie płynnie przeniesiona do Nebula, niezależnie od pozostałego czasu.

W przypadku, gdy urządzenie USG nie zostało dostarczone z licencją pakietową, nadal można korzystać z 30-dniowej wersji próbnej usług UTM. Usługi Nebula PRO Pack również obejmują 30-dniowy okres próbny automatycznie podczas tworzenia organizacji.

Okres licencji próbnej dotyczy również urządzenia z licencją pakietową.

• Migracja istniejącej licencji NSG (NSS) do USG FLEX (UTM)

Aby zmigrować licencję z NSG do USE FLEX w chmurze, obowiązuje poniższa tabela mapowania. Na przykład NSG 100 może migrować swoją licencję tylko do USG FLEX 200 i nie może migrować licencji do innych modeli USG FLEX.

W przypadku, gdy USG FLEX 100 ma już roczną licencję, po migracji pozostałej licencji z NSG50 (np.: 6 miesięcy) do USG FLEX 100, ten ostatni ma półtoraroczną licencję do wykorzystania.

Prosimy o przesłanie zgłoszenia do pomocy technicznej, a nasz zespół z przyjemnością pomoże w rozwiązaniu problemu migracji licencji z należytym priorytetem.

Wybieranie trybu Nebula za pomocą internetowego interfejsu GUI

Po uruchomieniu urządzenia w wersji 5.10 i korzystaniu z domyślnych ustawień fabrycznych, przy pierwszej próbie zalogowania się do Web Configurator wymagana będzie aktualizacja domyślnego hasła administratora ("1234").

• Tryb Nebula

Wybierz tryb Nebula, aby zarządzać urządzeniem Zyxel za pomocą Nebula Control Center (NCC). NCC to oparty na chmurze system zarządzania siecią, który umożliwia zdalne zarządzanie i monitorowanie urządzenia Zyxel.

Postępuj zgodnie z kreatorem trybu Nebula, aby skonfigurować ustawienia WAN w celu przekazania zarządzania urządzeniem Zyxel do NCC.

Po skonfigurowaniu trybu zarządzania i sieci WAN urządzenia umożliwiającej dostęp do Internetu można przejść do Nebula w celu dalszej konfiguracji. Więcej informacji znajduje się w sekcji "Tryb natywny Nebula".

• Migracja zdalna z trybu lokalnego do trybu Nebula

Nawet jeśli masz statyczne ustawienia IP lub domyślne ustawienia fabryczne, możesz zdalnie przełączyć swoje lokalne rozwiązanie do zarządzania na tryb Nebula Cloud za pomocą internetowego interfejsu GUI. Należy pamiętać, że urządzenie zostanie przywrócone do ustawień fabrycznych, a konfiguracje zostaną utracone. W Nebula Phase 13 nie trzeba udawać się na miejsce, aby przywrócić ustawienia fabryczne urządzenia przed migracją do Nebula. Teraz można to zrobić zdalnie.

Wymagania dotyczące zdalnej migracji do Nebula są takie, że zapora:

• Musi być w trybie natywnym Nebula, co oznacza, że musi zawierać certyfikat ZTP.
• Urządzenie musi być w trybie online (wymagany dostęp do sieci WAN (Internet)).

Uwaga: Jeśli masz urządzenie w trybie lokalnym, możesz pominąć krok "Tryb natywny Nebula".

• Utwórz organizację i witrynę

Jeśli nie utworzyłeś jeszcze organizacji i witryny Nebula, postępuj zgodnie z podanym linkiem do artykułu. Po wykonaniu tego kroku możemy przystąpić do procesu rejestracji.
Nebula [Witryna/Organizacja] - Jak utworzyć/usunąć organizację i witrynę w Centrum kontroli Nebula?

Konfiguracja zapory sieciowej w portalu Nebula

Przed wykonaniem tych kroków należy wcześniej przygotować topologię sieci, ustawienia zapory sieciowej i konfigurację sieci WAN. Informacje te pozwolą wstępnie skonfigurować ustawienia zapory sieciowej przed jej włączeniem w portalu Nebula. Firewall automatycznie zsynchronizuje tę konfigurację, gdy połączy się z Nebula. Podczas tworzenia witryny można określić model zapory bez jej dodawania. Umożliwia to wstępną konfigurację niektórych parametrów przed dodaniem samego urządzenia.

• Ustawienia grupy portów

Site-wide -> Configure -> Firewall -> Port

• Aby skonfigurować grupy portów WAN/LAN lub dodać grupy WAN/LAN zgodnie ze scenariuszem.

• Skonfiguruj ustawienia WAN, jeśli masz statyczny adres IP.

Site-wide -> Configure -> Firewall - interfaces

• aby zmienić adresy IP interfejsu WAN/LAN zgodnie ze scenariuszem.

Zarejestruj zaporę i wybierz metodę wdrożenia

Tryb ręczny

Go to Site-wide -> License & Inventory

Wejdź na stronę urządzenia i kliknij "Dodaj", aby zarejestrować zaporę. Można zarejestrować wiele urządzeń, wprowadzając adres MAC i numer seryjny.

Następnie można przypisać urządzenie do odpowiedniej lokalizacji. Możesz mieć kilka urządzeń w organizacji, z tego miejsca możesz wybrać konkretne urządzenie i przypisać je do odpowiedniej lokalizacji:

Pojawi się wyskakujące okno, w którym można wybrać metodę wdrożenia urządzenia.

Tryb Zero Touch Provision

Po raz pierwszy, gdy urządzenie jest rejestrowane w Nebula, należy użyć trybu Zero Touch Provision , ponieważ urządzenie wymaga procesu ZTP, aby uzyskać zdolność do pracy w chmurze. Przejdź do Wykonaj proces ZTP

Tryb natywny Nebula

Podczas pierwszej rejestracji urządzenia w Nebula należy upewnić się, że na urządzeniu znajduje się certyfikat ZTP. We wszystkich urządzeniach zapora sieciowa musi najpierw przejść przez proces ZTP . W nowszych urządzeniach certyfikat ZTP może już znajdować się w zaporze (sprawdź, czy masz certyfikat ZTP tutaj - jeśli nie masz certyfikatu ZTP, musisz wykonać proces ZTP i nie możesz wykonać trybu natywnego, aby uzyskać zaporę online).

• Przywracanie domyślnej konfiguracji urządzenia

Jeśli chcesz migrować z trybu autonomicznego do Nebula, musisz najpierw zresetować urządzenie za pomocą przycisku RESET znajdującego się z przodu urządzenia (przytrzymując go przez 15 sekund). Jeśli podczas tego procesu zmienisz nawet najmniejsze ustawienie (np. hasło administratora), migracja nie powiedzie się.

• Sprawdź, czy masz DHCP lub statyczny adres IP w sieci WAN

Jeśli masz statyczny adres IP w sieci WAN, musisz zalogować się do urządzenia za pośrednictwem interfejsu Web GUI, wybrać tryb Nebula i wprowadzić informacje o adresie IP potrzebne do nawiązania połączenia:

Jeśli masz statyczny adres IP w sieci WAN, przejdź przez poniższy kreator, a po zakończeniu przejdź do kroku 2 - zarejestruj urządzenie:

• Wybierz tryb natywny

Podłącz port WAN do portu wskazanego na obrazku (w tym przykładzie P2), a LAN do wskazanego portu (w tym przykładzie P4) - Uwaga: nic innego nie powinno być podłączone.

• Powinieneś być w stanie zobaczyć, że urządzenie czeka na połączenie z Nebula (w sekcji Urządzenia -> Zapora):

Firewall powinien teraz wykonać szybki restart, a po ponownym uruchomieniu urządzenie powinno być online w ciągu 20 minut.

Rozwiązywanie problemów - "Urządzenie oczekuje na połączenie" [Sprawdzanie certyfikatu ZTP]

Jeśli urządzenie utknęło w trybie natywnym "Oczekiwanie na podłączone urządzenie" - musisz dwukrotnie sprawdzić, czy masz certyfikat ZTP:

Zaloguj się przez SSH do urządzenia (używając programu Putty lub Teraterm) i wpisz show native mode cert file status:

Jeśli pojawi się błąd lub nie ma certyfikatu, oznacza to, że nie wykonałeś jeszcze procesu ZTP na tej zaporze i musisz tym razem użyć procesu ZTP. Może być również tak, że nie masz wersji oprogramowania układowego 5.10 i musisz zaktualizować zaporę przed użyciem trybu natywnego.

• Migracja z trybu lokalnego do trybu Nebula w interfejsie Web GUI

Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula

Następnie pojawi się wyskakujące okienko, w którym należy kliknąć tak:

Następnie należy poczekać, aż urządzenie przejdzie w tryb online w Nebula.

Wykonanie procesu ZTP

Filmy pokazane na początku artykułu pokazują cały proces, różniąc się tylko ostatnią częścią. Ta ostatnia część odpowiada procesowi ZTP, w którym dostępne są dwie metody, jak pokazano na filmie. Metoda ta została omówiona w kolejnych 2 podsekcjach.

W przypadku procesu ZTP należy określić, w jaki sposób zostanie skonfigurowane połączenie WAN (DCHP/PPPoE/Statyczne IP) i określić adres e-mail, na który zostanie wysłana wiadomość e-mail zawierająca link i plik JSON. Opcja "I will install firewall by myself" powoduje wysłanie wiadomości e-mail na konto, które w danym momencie dodaje urządzenie do witryny. Możliwe jest również określenie dowolnego innego konta e-mail, aby instalator mógł uruchomić proces ZTP.

• Aktywacja funkcji Firewall w chmurze za pośrednictwem adresu URL

Po uruchomieniu urządzenia z najnowszym oprogramowaniem sprzętowym podłącz port zasilania do odpowiedniego źródła zasilania i włącz zaporę. Poczekaj, aż dioda SYS zaświeci się na zielono. Następnie podłącz interfejs WAN (P2) do Internetu.

Podłącz interfejs LAN (P4) do komputera.

Otwórz wiadomość e-mail otrzymaną od Nebula i kliknij "Allow Nebula to Manage My Device".

Poczekaj, aż Nebula Zero Touch Provisioning zakończy się powodzeniem. Kliknij "Go to Nebula Control Center", aby uzyskać dostęp do Nebula.

Po kilku minutach urządzenie połączy się z Nebula i przejdzie w tryb online.

Uwaga: Jeśli masz urządzenie takie jak AP już podłączone do portu 4 USG FLEX, a AP już zapewnia sieć Wi-Fi w podsieci 192.168.1.1/24, możesz wykonać ZTP za pośrednictwem adresu URL z dowolnego urządzenia podłączonego do sieci Wi-Fi, umożliwiając to z urządzenia mobilnego.

• Aktywacja funkcji chmury Firewall przez USB

Alternatywnie można również aktywować Firewall za pomocą pamięci USB. Skopiuj plik załączony w wiadomości e-mail wysłanej z Nebula do nowego/czystego USB (FAT32) i podłącz go do portu USB Firewalla. Włącz Firewall, dioda SYS miga na czerwono, gdy łączy się z Nebula i świeci na zielono, gdy jest podłączony.

Przejdź do pulpitu nawigacyjnego Nebula, aby sprawdzić status bramy.

Po kilku minutach urządzenie połączy się z Nebula i przejdzie w tryb online.

Rozwiązywanie problemów

• Połączenie internetowe nie działa - sprawdź połączenie internetowe

Przeglądarka internetowa pokazuje, że połączenie internetowe nie działa, gdy uzyskano dostęp do adresu URL w wiadomości e-mail.

Sprawdź połączenie internetowe i upewnij się, że łączysz się z interfejsem WAN (P2). Następnie kliknij "Retry", aby ponownie wykonać ZTP.

Możesz także kliknąć "Network Test Tools", aby zalogować się do internetowego interfejsu GUI urządzenia w celu dalszego rozwiązywania problemów. Użytkownik to "support", a hasło to numer seryjny firewalla.

Jeśli masz połączenie statyczne IP / PPPoE, sprawdź dwukrotnie, czy wprowadziłeś statyczne informacje IP na urządzeniu lokalnie:

Go to Configuration -> WAN Settings and double-check that everything is filled in correctly

• Zero Touch Provisioning (ZTP) nie powiodło się, ponieważ urządzenie nie jest w domyślnym stanie fabrycznym

Przytrzymaj przycisk resetowania przez 5 sekund, aby przywrócić domyślne ustawienia fabryczne urządzenia. Następnie kliknij adres URL, aby ponownie wykonać ZTP.

• ZTP przez USB: Dioda SYS nie przestaje migać na czerwono

Nebula Dashboard pokazuje, że firewall jest offline.
Jeśli ZTP przez USB nie powiedzie się, sprawdź połączenie internetowe. Otwórz ztpresult.log w USB, aby sprawdzić status.

Oto przykład:

ZTP nie powiodło się, ponieważ nie ma pasującego pliku ZTP w USB dla tego urządzenia. Upewnij się, że skopiowałeś prawidłowy plik ZTP.

• Tryb Nebula nie jest wyświetlany podczas uzyskiwania dostępu do Web GUI

Urządzenie można zaktualizować za pomocą interfejsu konfiguratora sieci Web urządzenia (sprawdź tutaj) lub za pomocą narzędzia ZON. Ten artykuł pokazuje, jak to zrobić za pomocą narzędzia ZON.

Upewnij się, że zainstalowałeś ZON na swoim komputerze. Jeśli nie, można go pobrać tutaj:

Zyxel One Network Utility (ZON)

Podłącz port zasilania do źródła zasilania i włącz zaporę sieciową. Poczekaj, aż dioda SYS zaświeci się na zielono. Podłącz komputer do portu 4 zapory (P4).

Otwórz ZON na komputerze, aby przeskanować zaporę. Wybierz firewall, a następnie kliknij "Firmware Upgrade":

Wybierz najnowszą wersję oprogramowania sprzętowego z chmury i wprowadź domyślne hasło "1234", aby dokonać aktualizacji. Proces aktualizacji oprogramowania sprzętowego trwa około 5 minut

Licencjonowanie dla serii USG FLEX

• Dołączone licencjonowanie Nebula dla USG FLEX do Nebula Control Center

Jeśli Twój USG Flex jest dostarczany z dołączoną licencją, automatycznie otrzymasz 1-roczny pakiet profesjonalny Nebula dla swojego urządzenia. Licencja na usługę UTM zostanie płynnie przeniesiona do Nebula, niezależnie od pozostałego czasu.

W przypadku, gdy urządzenie USG nie było dostarczane z dołączoną licencją, nadal będzie można korzystać z 30-dniowej wersji próbnej usług UTM. Usługi Nebula Pro Pack również obejmują 30-dniowy okres próbny automatycznie podczas tworzenia organizacji.

Okres licencji próbnej dotyczy również urządzenia z licencją pakietową.

• Migracja istniejącej licencji NSG (NSS) do USG FLEX (UTM)

Aby zmigrować licencję z poprzedniego NSG do USE FLEX w chmurze, obowiązuje poniższa tabela mapowania. Na przykład NSG 100 może migrować swoją licencję tylko do USG FLEX 200 i nie może migrować licencji do innych modeli USG FLEX.

W przypadku, gdy USG FLEX 100 ma już roczną licencję, po migracji pozostałej licencji z NSG50 (np.: 6 miesięcy) do USG FLEX 100, ten ostatni ma półtoraroczną licencję do wykorzystania.

• Ograniczenia związane ze zmianą na tryb Nebula

Istnieją pewne ograniczenia i następujące funkcje nie są jeszcze dostępne w modelu chmury dla USG FLEX:

- Device HA
- Bezpieczeństwo poczty e-mail (antyspam)
- Inspekcja SSL
- Routing dynamiczny (RIP, OSPF, BGP)
- Powiązane funkcje IPv6
- Kontroler AP (zamiast niego należy użyć Nebula Control Center)
- Usługa hotspot (Nebula Control Center obsługuje już usługi hotspot, takie jak Voucher i Walled garden).

Jeśli napotkasz inne problemy, skontaktuj się z naszym zespołem pomocy technicznej.