Наш брандмауэр USG FLEX может управляться и настраиваться через Nebula Control Center (NCC) начиная с версии прошивки ZLD5.00 и далее. Серия ATP может управляться в NCC начиная с версии прошивки ZLD5.10. В этом руководстве показано, как добавить устройство в Nebula с помощью процесса ZTP и предварительно настроить параметры брандмауэра в Nebula перед доставкой устройства для установки на месте. Эта статья показывает, как зарегистрировать ваш брандмауэр в Nebula. Она разделена на разные разделы, пожалуйста, перейдите к соответствующему разделу в содержании.
 Примечание: Режим ZTP недоступен начиная с версии 5.37 патч 1, поэтому устройство необходимо развертывать в Nebula с использованием нативного режима. Вот затронутые модели. Серия ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Серия USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Почему я не могу использовать ZTP или нативный режим для развертывания моего брандмауэра в Nebula?

Если у вас возникают трудности с добавлением устройства в Nebula, это может означать, что устройство было произведено до конца 2023 года и требует завершения процесса Zero Touch Provisioning (ZTP). Для продолжения выполните следующие шаги:

• Понизьте версию прошивки на вашем устройстве
• Пройдите процесс ZTP по необходимости
• После успешного добавления обновите устройство до последней версии прошивки

Как зарегистрировать ваш брандмауэр в Nebula (видео)

Примечание: Ваше устройство должно быть сброшено к заводским настройкам для подключения к Nebula, при этом все предыдущие настройки будут потеряны. После подключения к Nebula устройство будет автоматически настроено с использованием стандартных настроек Nebula. Также обратите внимание, что существуют некоторые ограничения, и следующие функции пока недоступны в облачном режиме для USG FLEX:

• Высокая доступность устройства (HA)
• Безопасность электронной почты (Антиспам)
• SSL-инспекция
• Динамическая маршрутизация (RIP, OSPF, BGP)
• Связанные функции IPv6
• Контроллер точек доступа (вместо этого следует использовать Nebula Control Center как контроллер AP)
• Сервис хотспота (Nebula Control Center уже поддерживает сервисы хотспота, такие как Voucher, Walled garden)

Лицензирование

• Лицензирование вашего USG FLEX в Nebula Control Center

Если ваш USG Flex поставлялся с комплектной лицензией, вы автоматически получите Nebula Professional Pack на 1 год для вашего устройства. Лицензия на сервис UTM будет беспрепятственно перенесена в Nebula, независимо от оставшегося времени.

Если у вашего USG не было комплектной лицензии, вы всё равно получите 30-дневный пробный период для ваших UTM-сервисов. Сервисы Nebula PRO Pack также автоматически включают 30-дневный пробный период при создании вашей организации.

Пробный период лицензии также применяется к устройствам с комплектной лицензией.

• Миграция существующей лицензии NSG (NSS) на USG FLEX (UTM)

Для миграции лицензии с вашего NSG на USG FLEX в облаке применяется следующая таблица соответствия. Например, NSG 100 может мигрировать лицензию только на USG FLEX 200 и не может мигрировать лицензию на другие модели USG FLEX.

Если у вашего USG FLEX 100 уже есть лицензия на 1 год, после миграции оставшегося времени лицензии с NSG50 (например, 6 месяцев) на USG FLEX 100, у последнего будет лицензия на полтора года для использования.

Пожалуйста, создайте запрос в службу поддержки, и наша команда с радостью поможет вам решить вопрос миграции лицензии с приоритетом.

Выбор режима Nebula через веб-интерфейс

Когда ваше устройство работает на версии 5.10 и использует заводские настройки, при первой попытке входа в веб-конфигуратор потребуется обновить пароль администратора по умолчанию ("1234"). 

• Режим Nebula

Выберите режим Nebula для управления вашим устройством Zyxel через Nebula Control Center (NCC). NCC — это облачная система управления сетью, которая позволяет удалённо управлять и контролировать ваше устройство Zyxel.

Следуйте мастеру режима Nebula, чтобы настроить WAN-параметры и передать управление вашим устройством Zyxel в NCC. 

После настройки режима управления и WAN, позволяющих доступ в интернет, вы можете перейти в Nebula для дальнейшей настройки. Подробнее в разделе "нативный режим Nebula"

• Удалённая миграция с локального режима на режим Nebula

Даже если у вас статические IP-настройки или заводские настройки, вы можете переключить локальное решение управления на облачный режим Nebula удалённо через веб-интерфейс. Обратите внимание, что устройство будет сброшено к заводским настройкам и все конфигурации будут потеряны. В фазе 13 Nebula нет необходимости приезжать на место для сброса устройства перед миграцией. Теперь это можно сделать удалённо. 

Требования для удалённой миграции в Nebula следующие:

• Устройство должно быть в нативном режиме Nebula, то есть содержать сертификат ZTP
• Устройство должно быть онлайн (требуется доступ в интернет через WAN)

Примечание: Если устройство находится в локальном режиме, вы можете пропустить шаг "нативный режим Nebula

• Создайте организацию и сайт

Если вы ещё не создали организацию и сайт в Nebula, пожалуйста, следуйте статье по ссылке. После этого шага мы можем продолжить процесс регистрации.
Nebula [Сайт/Организация] - Как создать/удалить организацию и сайт в Nebula Control Center?

Настройка брандмауэра в портале Nebula

Перед выполнением этих шагов подготовьте топологию сети, настройки брандмауэра и конфигурацию WAN заранее. Эта информация позволит вам предварительно настроить параметры брандмауэра до его включения в Nebula. Брандмауэр автоматически синхронизирует эту конфигурацию при подключении к Nebula. При создании сайта вы можете указать модель вашего брандмауэра без его добавления. Это позволяет предварительно настроить некоторые параметры до добавления самого устройства.

• Настройки групп портов

Site-wide -> Configure -> Firewall -> Port

• Для настройки групп портов WAN/LAN или добавления групп WAN/LAN в соответствии с вашим сценарием.

• Настройка WAN, если у вас статический IP

Site-wide -> Configure -> Firewall - interfaces

•  для изменения IP-адресов интерфейсов WAN/LAN в соответствии с вашим сценарием.

Регистрация брандмауэра и выбор метода развертывания

Ручной режим

Перейдите в Site-wide -> License & Inventory

Откройте страницу устройства и нажмите "Добавить" для регистрации брандмауэра. Вы можете зарегистрировать несколько устройств, введя MAC-адрес и серийный номер

Затем вы можете назначить устройство на нужный сайт. В организации может быть несколько устройств, отсюда вы можете выбрать конкретное устройство и назначить его соответствующему сайту:

Появится всплывающее окно, где вы можете выбрать метод развертывания устройства.

Режим Zero Touch Provision

При первом добавлении устройства в Nebula необходимо использовать режим Zero Touch Provision, так как устройству требуется процесс ZTP для облачной работы. Перейдите в Выполнить процесс ZTP

Нативный режим Nebula

При первой регистрации устройства в Nebula убедитесь, что на устройстве есть сертификат ZTP. Для всех устройств брандмауэр должен пройти процесс ZTP один раз. В новых устройствах сертификат ZTP может уже быть на брандмауэре (проверьте наличие сертификата ZTP здесь - если сертификата нет, необходимо выполнить процесс ZTP, и нативный режим для подключения брандмауэра использовать нельзя).

• Сброс устройства к заводским настройкам

Для миграции из автономного режима в Nebula сначала необходимо сбросить устройство, удерживая кнопку RESET на передней панели устройства в течение 15 секунд. Если в процессе вы измените хоть какую-то настройку (например, пароль администратора), миграция не удастся. 

• Проверьте, используется ли DHCP или статический IP на WAN

Если у вас статический IP на WAN, войдите в устройство через веб-интерфейс, выберите режим Nebula и введите необходимые IP-данные для установления соединения: 

Если у вас статический IP на WAN, пройдите указанный мастер, а затем перейдите к шагу 2 — регистрации устройства:

• Выберите нативный режим

Подключите WAN-порт к порту, указанному на картинке (в этом примере P2), а LAN — к порту, показанному на картинке (в этом примере P4) — Примечание: другие подключения отсутствуют

• Вы должны увидеть, что устройство ожидает подключения к Nebula (в разделе Devices -> Firewall):

Брандмауэр должен быстро перезагрузиться, и после перезагрузки устройство должно появиться в сети в течение 20 минут.

Устранение неполадок - "Ожидание подключения устройства" [Проверка сертификата ZTP]

Если ваше устройство застряло в нативном режиме с сообщением "Ожидание подключения устройства", необходимо проверить наличие сертификата ZTP: 

Войдите на устройство по SSH (используя Putty или Teraterm) и введите команду show native mode cert file status: 

Если появляется ошибка или сертификат отсутствует, значит процесс ZTP на этом брандмауэре не выполнен, и необходимо использовать процесс ZTP. Также возможно, что у вас не версия прошивки 5.10, и требуется обновление брандмауэра перед использованием нативного режима. 

• Миграция из локального режима в режим Nebula через веб-интерфейс

Перейдите в Configuration -> Mgmt. & Analytics -> Nebula, затем нажмите Apply и Go To Nebula

Появится всплывающее окно, нажмите Да:

Дождитесь, пока устройство появится в сети в Nebula.

Выполнение процесса ZTP

Видео в начале статьи показывают весь процесс, за исключением последней части, которая отличается. Эта последняя часть соответствует процессу ZTP, для которого доступны два метода, показанных в видео. Этот метод описан в следующих двух подразделах.

Для процесса ZTP необходимо указать, как будет настроено WAN-соединение (DHCP/PPPoE/Статический IP) и указать адрес электронной почты, на который будет отправлено письмо с ссылкой и JSON-файлом. Опция "Я установлю брандмауэр сам" отправляет письмо на аккаунт, который добавляет устройство на сайт в данный момент. Также можно указать любой другой email, чтобы установщик мог выполнить процесс ZTP.

• Активировать облачные возможности брандмауэра через URL

Подключите устройство с последней версией прошивки к источнику питания и включите брандмауэр. Дождитесь, пока индикатор SYS загорится зелёным. Затем подключите интерфейс WAN (P2) к Интернету.

Подключите интерфейс LAN (P4) к компьютеру.

Откройте письмо, полученное от Nebula, и нажмите "Разрешить Nebula управлять моим устройством".
 

Дождитесь успешного завершения Zero Touch Provisioning в Nebula. Нажмите "Перейти в Nebula Control Center" для доступа к Nebula.

Устройство подключится к Nebula и станет онлайн в течение нескольких минут.

Примечание: Если на порту 4 USG FLEX уже подключена точка доступа, которая предоставляет Wi-Fi сеть в подсети 192.168.1.1/24, вы можете выполнить ZTP через URL с любого устройства, подключенного к Wi-Fi, включая мобильное устройство.

• Активировать облачные возможности брандмауэра через USB

Также можно активировать брандмауэр с помощью USB-накопителя. Скопируйте файл, приложенный в письме от Nebula, на новый/чистый USB (FAT32) и подключите его к USB-порту брандмауэра. Включите брандмауэр, индикатор SYS будет мигать красным во время подключения к Nebula и станет зелёным при подключении.

Перейдите в панель управления Nebula, чтобы проверить статус шлюза.

Устройство подключится к Nebula и станет онлайн в течение нескольких минут.

Устранение неполадок

• Нет подключения к интернету — проверьте соединение

Веб-браузер показывает отсутствие подключения к интернету при попытке доступа по URL из письма.

Проверьте ваше интернет-соединение и убедитесь, что подключены к интерфейсу WAN (P2). Затем нажмите "Повторить", чтобы запустить ZTP заново.

Также можно нажать "Инструменты тестирования сети" для входа в веб-интерфейс устройства для дальнейшего устранения неполадок. Пользователь — "support", пароль — серийный номер брандмауэра.

Если у вас статический IP / PPPoE, проверьте правильность введённых данных локально на устройстве: 

Перейдите в Configuration -> WAN Settings и проверьте корректность заполнения

• Ошибка Zero Touch Provisioning (ZTP) из-за того, что устройство не в состоянии заводских настроек

Удерживайте кнопку сброса 5 секунд для возврата устройства к заводским настройкам. Затем нажмите на URL для повторного запуска ZTP.

• ZTP через USB: индикатор SYS продолжает мигать красным

Nebula Dashboard показывает, что брандмауэр офлайн.
Если ZTP через USB не удаётся, проверьте подключение к интернету. Откройте файл ztpresult.log на USB для проверки статуса.

Пример:

ZTP не удаётся, потому что на USB нет подходящего файла ZTP для этого устройства. Убедитесь, что вы скопировали правильный файл ZTP.

• Режим Nebula не отображается при входе в веб-интерфейс

Вы можете обновить устройство через веб-конфигуратор или с помощью утилиты ZON. Эта статья показывает, как сделать это через ZON.

Убедитесь, что ZON установлен на вашем компьютере. Если нет, вы можете скачать его здесь:

Zyxel One Network Utility (ZON)

Подключите питание к устройству и включите брандмауэр. Дождитесь, пока индикатор SYS загорится зелёным. Подключите компьютер к порту 4 (P4) брандмауэра.

Откройте ZON на компьютере для сканирования брандмауэра. Выберите устройство и нажмите "Обновление прошивки":

Выберите последнюю версию прошивки из облака и введите пароль по умолчанию “1234” для обновления. Процесс обновления занимает около 5 минут.

Лицензирование для серии USG FLEX

• Комплектное лицензирование Nebula для вашего USG FLEX в Nebula Control Center

Если ваш USG Flex поставлялся с комплектной лицензией, вы автоматически получите Nebula Professional Pack на 1 год для устройства. Лицензия на сервис UTM будет беспрепятственно перенесена в Nebula, независимо от оставшегося времени.

Если у вашего USG не было комплектной лицензии, вы всё равно получите 30-дневный пробный период для ваших UTM-сервисов. Сервисы Nebula Pro Pack также автоматически включают 30-дневный пробный период при создании вашей организации.

Пробный период лицензии также применяется к устройствам с комплектной лицензией.

• Миграция существующей лицензии NSG (NSS) на USG FLEX (UTM)

Для миграции лицензии с вашего предыдущего NSG на USG FLEX в облаке применяется следующая таблица соответствия. Например, NSG 100 может мигрировать лицензию только на USG FLEX 200 и не может мигрировать лицензию на другие модели USG FLEX.

Если у вашего USG FLEX 100 уже есть лицензия на 1 год, после миграции оставшегося времени лицензии с NSG50 (например, 6 месяцев) на USG FLEX 100, у последнего будет лицензия на полтора года для использования.

• Ограничения при переходе на режим Nebula

Существуют некоторые ограничения, и следующие функции пока недоступны в облачном режиме для USG FLEX:

- Высокая доступность устройства (HA)
- Безопасность электронной почты (Антиспам)
- SSL-инспекция
- Динамическая маршрутизация (RIP, OSPF, BGP)
- Связанные функции IPv6
- Контроллер точек доступа (вместо этого следует использовать Nebula Control Center как контроллер AP)
- Сервис хотспота (Nebula Control Center уже поддерживает сервисы хотспота, такие как Voucher и Walled garden)

Если у вас возникнут другие вопросы, пожалуйста, свяжитесь с нашей службой поддержки.