Firewall-ul nostru USG FLEX poate fi gestionat și configurat prin Nebula Control Center (NCC) începând cu firmware-ul ZLD5.00 și ulterior. Seria ATP poate fi gestionată în NCC începând cu firmware-ul ZLD5.10. Acest ghid arată cum să adăugați dispozitivul în Nebula folosind procesul ZTP și să preconfigurați setările firewall-ului în Nebula, înainte de a livra dispozitivul pentru instalarea la fața locului. Acest articol arată cum să vă înregistrați firewall-ul în Nebula. Este împărțit în diferite secțiuni, așa că vă rugăm să navigați la secțiunea relevantă pentru dvs. în cuprins.
 Notă: Modul ZTP nu este disponibil începând cu versiunea 5.37 patch 1, așadar trebuie să implementați dispozitivul în Nebula folosind modul nativ. Iată modelele afectate. Seria ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Seria USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

De ce nu pot folosi ZTP sau modul nativ pentru a implementa firewall-ul meu pe Nebula?

Dacă întâmpinați dificultăți în adăugarea dispozitivului în Nebula, acest lucru poate indica faptul că dispozitivul dvs. a fost fabricat înainte de sfârșitul anului 2023 și necesită finalizarea procesului Zero Touch Provisioning (ZTP). Pentru a continua, urmați acești pași:

• Faceți downgrade firmware-ului pe dispozitivul dvs.
• Parcurgeți procesul ZTP conform cerințelor
• Odată adăugat cu succes, actualizați dispozitivul la cea mai recentă versiune de firmware

Cum să vă înregistrați firewall-ul în Nebula (Videoclipuri)

Notă: Dispozitivul dvs. trebuie resetat la setările implicite pentru a se conecta la Nebula, pierzând toate setările anterioare care ar fi putut fi configurate. Odată conectat la Nebula, dispozitivul va fi configurat automat cu setările implicite Nebula. Vă rugăm să rețineți că există unele limitări și următoarele funcționalități nu sunt încă disponibile în modul cloud pentru USG FLEX:

• Device HA
• Securitate Email (Anti-Spam)
• Inspectarea SSL
• Rutare Dinamică (RIP, OSPF, BGP)
• Funcții IPv6 aferente
• Controler AP (Nebula Control Center trebuie folosit ca controler AP în schimb)
• Serviciu Hotspot (Nebula Control Center suportă deja servicii hotspot precum Voucher, Walled garden)

Licențiere

• Licențierea USG FLEX în Nebula Control Center

Dacă USG Flex a venit cu o licență inclusă, veți beneficia automat de un pachet Nebula Professional Pack de 1 an pentru dispozitivul dvs. Licența serviciului UTM va fi transferată fără întreruperi către Nebula, indiferent de timpul rămas.

În cazul în care USG nu a venit cu o licență inclusă, veți beneficia în continuare de o perioadă de trial de 30 de zile pentru serviciile UTM. Serviciile Nebula PRO Pack includ automat o perioadă de trial de 30 de zile în timpul creării organizației dvs.

Perioada de licență trial se aplică și dispozitivelor cu licență inclusă.

• Migrarea licenței mele NSG existente (NSS) către USG FLEX (UTM)

Pentru a migra licența de la NSG la USG FLEX în cloud, se aplică următorul tabel de corespondență. De exemplu, NSG 100 poate migra licența doar către USG FLEX 200 și nu poate migra licența către alte modele USG FLEX.

În cazul în care USG FLEX 100 are deja o licență de 1 an, după migrarea licenței rămase de la NSG50 (ex.: 6 luni) către USG FLEX 100, acesta va avea o licență totală de un an și jumătate de utilizat.

Vă rugăm să trimiteți o Cerere de Suport, iar echipa noastră vă va ajuta cu plăcere să rezolvați problema de migrare a licenței cu prioritate.

Alegerea modului Nebula prin Web GUI

Odată ce dispozitivul dvs. rulează versiunea 5.10 și folosește setările implicite din fabrică, când încercați să vă conectați pentru prima dată în Web Configurator, va fi necesară actualizarea parolei implicite a administratorului ("1234"). 

• Modul Nebula

Selectați modul Nebula pentru a vă gestiona dispozitivul Zyxel folosind Nebula Control Center (NCC). NCC este un sistem de management al rețelei bazat pe cloud care vă permite să gestionați și să monitorizați dispozitivul Zyxel de la distanță.

Urmați expertul modulului Nebula pentru a configura setările WAN pentru a transfera gestionarea dispozitivului Zyxel către NCC. 

Odată ce modul de management și WAN-ul dispozitivului sunt configurate pentru a permite accesul la internet, puteți continua în Nebula pentru configurări suplimentare. Mai multe informații găsiți în secțiunea "modul nativ Nebula"

• Migrare de la on-premise la modul Nebula de la distanță

Chiar dacă aveți setări IP statice sau setări implicite din fabrică, puteți schimba soluția dvs. de management on-premise în modul Cloud Nebula de la distanță folosind Web GUI. Rețineți că dispozitivul va fi resetat la setările din fabrică și configurațiile vor fi pierdute. În Nebula Faza 13, nu mai este necesar să mergeți la fața locului pentru a reseta dispozitivul înainte de migrare la Nebula. Acum puteți face acest lucru de la distanță. 

Cerințele pentru migrarea de la distanță la Nebula sunt ca firewall-ul:

• Trebuie să fie în Modul Nativ Nebula, ceea ce înseamnă că trebuie să conțină Certificatul ZTP
• Dispozitivul trebuie să fie online (acces WAN (internet) necesar)

Notă: Dacă aveți dispozitivul în modul on-premise puteți sări peste pasul "modul nativ Nebula

• Creați o organizație și un site

Dacă nu ați creat încă o organizație și un site în Nebula, vă rugăm să urmați articolul din linkul furnizat. După ce ați finalizat acest pas, putem continua cu procesul de înregistrare.
Nebula [Site/Organizație] - Cum să creați/ștergeți o organizație și un site în Nebula Control Center?

Configurați Firewall-ul în portalul Nebula

Înainte de a face acești pași, vă rugăm să aveți pregătită topologia rețelei, setările firewall-ului și configurația WAN. Aceste informații vă vor permite să preconfigurați setările firewall-ului înainte de a fi pornit în cadrul Nebula. Firewall-ul va sincroniza automat această configurație când se conectează la Nebula. La crearea site-ului, puteți specifica modelul firewall-ului fără a-l adăuga încă. Acest lucru face posibilă preconfigurarea unor parametri înainte de adăugarea efectivă a dispozitivului.

• Setările Grupului de Porturi

Site-wide -> Configure -> Firewall -> Port

• Pentru a configura grupurile de porturi WAN/LAN sau pentru a adăuga grupuri WAN/LAN care să corespundă scenariului dvs.

• Configurați setările WAN dacă aveți IP static

Site-wide -> Configure -> Firewall - interfețe

•  pentru a schimba adresele IP ale interfețelor WAN/LAN pentru a corespunde scenariului dvs.

Înregistrați Firewall-ul și alegeți metoda de implementare

Mod manual

Mergeți la Site-wide -> License & Inventory

Intrați pe pagina dispozitivului și faceți clic pe "Add" pentru a înregistra Firewall-ul. Puteți înregistra mai multe dispozitive introducând adresa MAC și numărul de serie

Ulterior, puteți atribui dispozitivul site-ului corect. Puteți avea mai multe dispozitive într-o organizație, de aici puteți selecta un dispozitiv specific și să-l atribuiți site-ului corespunzător:

Va apărea o fereastră pop-up unde puteți selecta metoda de implementare a dispozitivului.

Modul Zero Touch Provision

Pentru prima dată când dispozitivul este înregistrat în Nebula, trebuie folosit modul Zero Touch Provision deoarece dispozitivul necesită procesul ZTP pentru a deveni capabil de Cloud. Mergi la Execută procesul ZTP

Modul nativ Nebula

Când vă înregistrați pentru prima dată dispozitivul în Nebula, trebuie să vă asigurați că aveți certificatul ZTP pe dispozitiv. La toate dispozitivele, firewall-ul trebuie să treacă mai întâi prin procesul ZTP o singură dată. La dispozitivele mai noi, certificatul ZTP ar putea fi deja în firewall (vă rugăm să verificați dacă aveți certificatul ZTP aici - dacă nu aveți certificatul ZTP, trebuie să faceți procesul ZTP și nu puteți folosi modul nativ pentru a pune firewall-ul online).

• Resetați dispozitivul la configurația implicită

Când doriți să migrați de la modul Stand-alone la Nebula, trebuie să resetați mai întâi dispozitivul folosind butonul RESET situat în fața dispozitivului (țineți apăsat timp de 15 secunde). Dacă în timpul procesului modificați chiar și cea mai mică setare (de exemplu parola admin), migrarea nu va reuși. 

• Verificați dacă aveți DHCP sau IP static pe WAN

Dacă aveți IP static pe WAN, trebuie să vă conectați la dispozitiv prin Web GUI, să alegeți modul Nebula și să introduceți informațiile IP necesare pentru a stabili conexiunea: 

Dacă aveți IP static pe WAN, parcurgeți expertul de mai jos și după ce terminați, mergeți la pasul 2 - înregistrați dispozitivul:

• Alegeți Modul Nativ

Conectați portul WAN la portul indicat în imagine (în acest exemplu P2) și LAN la portul indicat (în acest exemplu P4) - Notă: Nu trebuie să fie conectat nimic altceva

• Ar trebui să vedeți că așteaptă ca dispozitivul să se conecteze la Nebula (în Devices -> Firewall):

Firewall-ul ar trebui să facă acum o repornire rapidă și după repornire, dispozitivul ar trebui să fie online în maxim 20 de minute.

Depanare - "Așteptare dispozitiv conectat" [Verificarea Certificatului ZTP]

Dacă dispozitivul dvs. este blocat în modul nativ "Așteptare dispozitiv conectat" - trebuie să verificați din nou dacă aveți certificatul ZTP: 

Conectați-vă prin SSH pe dispozitiv (folosind programul Putty sau Teraterm) și tastați show native mode cert file status: 

Dacă primiți o eroare sau certificatul lipsește, înseamnă că nu ați făcut încă procesul ZTP pe acel firewall și trebuie să folosiți procesul ZTP acum. De asemenea, este posibil să nu aveți versiunea firmware 5.10 și să trebuiască să actualizați firewall-ul înainte de a folosi modul nativ. 

• Migrare de la modul on-premise la modul Nebula în Web GUI

Mergeți la Configuration -> Mgmt. & Analytics -> Nebula, apoi faceți clic pe Apply și Go To Nebula

Veți primi o fereastră pop-up și trebuie să faceți clic pe da:

Apoi așteptați ca dispozitivul să devină online în Nebula.

Executați procesul ZTP

Videoclipurile prezentate la începutul articolului arată întregul proces, doar ultima parte fiind diferită. Această ultimă parte corespunde procesului ZTP pentru care sunt disponibile două metode, așa cum este arătat în video. Această metodă este acoperită în următoarele 2 sub-secțiuni.

Pentru procesul ZTP, este necesar să specificați cum va fi configurată conexiunea WAN (DCHP/PPPoE/IP static) și să indicați o adresă de email unde va fi trimis emailul ce conține link-ul și fișierul JSON. Opțiunea "I will install firewall by myself" trimite emailul către contul care adaugă dispozitivul în site în acel moment. Este posibil să specificați orice alt cont de email astfel încât un instalator să poată rula procesul ZTP.

• Activați capabilitatea cloud a Firewall-ului prin URL

Având dispozitivul cu cel mai recent firmware, conectați portul de alimentare la o sursă adecvată și porniți firewall-ul. Așteptați ca LED-ul SYS să devină verde continuu. Apoi conectați interfața WAN (P2) la Internet.

Conectați interfața LAN (P4) la calculator.

Deschideți emailul primit de la Nebula și faceți clic pe "Allow Nebula to Manage My Device".
 

Așteptați până când Zero Touch Provisioning în Nebula este finalizat cu succes. Faceți clic pe "Go to Nebula Control Center" pentru a accesa Nebula

Dispozitivul va dura câteva minute să se conecteze la Nebula și să devină online.

Notă: Dacă aveți un dispozitiv precum AP deja conectat pe portul 4 al USG FLEX și AP-ul oferă deja o rețea Wi-Fi în subnetul 192.168.1.1/24, puteți executa ZTP prin URL de pe orice dispozitiv conectat la rețeaua Wi-Fi, permițând efectuarea acestuia de pe un dispozitiv mobil.

• Activați capabilitatea cloud a Firewall-ului prin USB

Alternativ, puteți activa Firewall-ul folosind un stick USB. Copiați fișierul atașat în emailul trimis de la Nebula pe un USB nou/curat (FAT32), și conectați-l la portul USB al Firewall-ului. Porniți Firewall-ul, LED-ul SYS va clipi roșu când se conectează la Nebula și va deveni verde continuu când este conectat.

Accesați Dashboard-ul Nebula pentru a verifica starea gateway-ului.

Dispozitivul va dura câteva minute să se conecteze la Nebula și să devină online.

Depanare

• Conexiunea la internet este întreruptă - Verificați conexiunea la internet

Browser-ul web afișează că conexiunea la internet este întreruptă când s-a accesat URL-ul din email.

Verificați conexiunea la internet și asigurați-vă că sunteți conectat la interfața WAN (P2). Apoi, faceți clic pe "Retry" pentru a relua ZTP.

De asemenea, puteți face clic pe "Network Test Tools" pentru a vă conecta la interfața web a dispozitivului pentru depanare suplimentară. Utilizatorul este "support" iar parola este numărul de serie al firewall-ului.

Dacă aveți o conexiune cu IP static / PPPoE, verificați de două ori dacă ați introdus corect informațiile IP statice pe dispozitiv local: 

Mergeți la Configuration -> WAN Settings și verificați dacă toate câmpurile sunt completate corect

• Zero Touch Provisioning (ZTP) eșuează deoarece dispozitivul nu este în starea implicită din fabrică

Vă rugăm să țineți apăsat butonul de resetare timp de 5 secunde pentru a reseta dispozitivul la setările din fabrică. Apoi faceți clic pe URL pentru a relua procesul ZTP.

• ZTP prin USB: LED-ul SYS nu încetează să clipească roșu

Nebula Dashboard arată că firewall-ul este offline.
Dacă ZTP prin USB eșuează, verificați conexiunea la internet. Deschideți fișierul ztpresult.log de pe USB pentru a verifica starea.

Iată un exemplu:

ZTP eșuează deoarece nu există un fișier ZTP corespunzător pe USB pentru acest dispozitiv. Vă rugăm să vă asigurați că ați copiat fișierul ZTP corect.

• Modul Nebula nu apare când accesați Web GUI

Puteți face upgrade dispozitivului prin interfața Web configurator sau folosind utilitarul ZON. Acest articol arată cum să faceți upgrade folosind utilitarul ZON.

Asigurați-vă că ați instalat ZON pe calculatorul dvs. Dacă nu, îl puteți descărca aici:

Zyxel One Network Utility (ZON)

Conectați portul de alimentare la sursa de energie și porniți firewall-ul. Așteptați ca LED-ul SYS să devină verde continuu. Conectați calculatorul la portul 4 (P4) al firewall-ului.

Deschideți ZON pe calculatorul dvs. pentru a scana firewall-ul. Selectați firewall-ul, apoi faceți clic pe "Firmware Upgrade":

Selectați cea mai recentă versiune de firmware din cloud și introduceți parola implicită “1234” pentru a face upgrade-ul. Procesul de upgrade durează aproximativ 5 minute

Licențiere pentru seria USG FLEX

• Licențiere Nebula inclusă pentru USG FLEX în Nebula Control Center

Dacă USG Flex a venit cu o licență inclusă, veți beneficia automat de un pachet Nebula Professional Pack de 1 an pentru dispozitivul dvs. Licența serviciului UTM va fi transferată fără întreruperi către Nebula, indiferent de timpul rămas.

În cazul în care USG nu a venit cu o licență inclusă, veți beneficia în continuare de o perioadă de trial de 30 de zile pentru serviciile UTM. Serviciile Nebula Pro Pack includ automat o perioadă de trial de 30 de zile în timpul creării organizației dvs.

Perioada de licență trial se aplică și dispozitivelor cu licență inclusă.

• Migrarea licenței mele NSG existente (NSS) către USG FLEX (UTM)

Pentru a migra licența de la NSG anterior la USG FLEX în cloud, se aplică următorul tabel de corespondență. De exemplu, NSG 100 poate migra licența doar către USG FLEX 200 și nu poate migra licența către alte modele USG FLEX.

În cazul în care USG FLEX 100 are deja o licență de 1 an, după migrarea licenței rămase de la NSG50 (ex.: 6 luni) către USG FLEX 100, acesta va avea o licență totală de un an și jumătate de utilizat.

• Limitări la schimbarea în modul Nebula

Există unele limitări și următoarele funcționalități nu sunt încă disponibile în modelul cloud pentru USG FLEX:

- Device HA
- Securitate Email (Anti-Spam)
- Inspectarea SSL
- Rutare Dinamică (RIP, OSPF, BGP)
- Funcții IPv6 aferente
- Controler AP (Nebula Control Center trebuie folosit ca controler AP în schimb)
- Serviciu Hotspot (Nebula Control Center suportă deja servicii hotspot precum Voucher și Walled garden)

Dacă întâmpinați alte probleme, nu ezitați să luați legătura cu echipa noastră de Suport.