Наш брандмауэр USG FLEX может управляться и настраиваться с помощью Nebula Control Center (NCC) начиная с прошивки ZLD5.00 и выше. Серией ATP и USG20(W)-VPN можно управлять в NCC из прошивки ZLD5.10. В этом руководстве показано, как добавить устройство в Nebula с помощью процесса ZTP и предварительно настроить параметры брандмауэра в Nebula перед доставкой устройства для установки на месте.

В этой статье показано, как зарегистрировать брандмауэр в Nebula. Он разделен на разные разделы, поэтому, пожалуйста, перейдите к соответствующему разделу в таблице содержания.

Содержание

1. Как зарегистрировать брандмауэр в Nebula (Видео)

2. Выбор режима Nebula через веб-интерфейс

2.1 Режим Nebula

2.2 Миграция с локальной версии на режим Nebula

3. Создайте организацию и сайт

4. Настройте Firewall на портале Nebula.

4.1 Port Настройки группы

4.2 Настройте параметры WAN, если у вас статический IP

5. Зарегистрируйте Firewall и выберите метод развертывания.

5.1 Режим Zero Touch Provision

5.2 Собственный режим Nebula

6. Выполнение процесса ZTP

6.1 Активируйте облачную возможность Firewall через URL

6.2 Активируйте облачную функцию Firewall через USB

7. Устранение неполадок

8. Лицензирование серии USG FLEX

1. Как зарегистрировать брандмауэр в Nebula (Видео)

1.1 Зарегистрируйтесь в Nebula, используя режим ZTP URL (09:02)

1.2 Зарегистрируйте свое устройство в Nebula, используя режим ZTP USB (01:58)

Примечание: Ваше устройство должно быть reset по умолчанию, чтобы подключить его к Nebula, потеряв все предыдущие настройки, которые могли быть настроены. После подключения к Nebula устройство будет автоматически настроено с настройками Nebula по умолчанию. Также обратите внимание, что существуют некоторые ограничения, и следующие функции пока недоступны в облачном режиме для USG FLEX:

- Устройство HA
- Безопасность электронной почты (анти-спам)
- Проверка SSL
- Динамическая маршрутизация (RIP, OSPF, BGP)
- Связанные функции IPv6
- Контроллер точки доступа (вместо этого в качестве контроллера точки доступа следует использовать Центр управления Nebula)
- Служба Hotspot (Центр управления Nebula уже поддерживает такие службы точек доступа, как Voucher, Walled garden)

Лицензирование вашего USG FLEX в Центре управления Nebula.

Если ваш USG Flex поставлялся с объединенной лицензией, вы автоматически получите профессиональный пакет Nebula на 1 год для своего устройства. Лицензия службы UTM будет беспрепятственно перенесена на Nebula, независимо от оставшегося времени.

Если ваша универсальная группа безопасности не поставляется с пакетной лицензией, вы все равно сможете пользоваться 30-дневной пробной версией своих услуг UTM. Услуги Nebula PRO Pack также автоматически включают 30-дневную пробную версию при создании вашей организации.

Период пробной лицензии также распространяется на ваше устройство с пакетной лицензией.

Перенос моей существующей лицензии NSG (NSS) на USG FLEX (UTM).

Для переноса лицензии из предыдущей NSG в USE FLEX в облаке применяется следующая таблица сопоставления. Например, NSG 100 может перенести свою лицензию только на USG FLEX 200 и не может перенести лицензию на другие модели USG FLEX.

Если у вашего USG FLEX 100 уже есть лицензия на 1 год, после переноса оставшейся лицензии с NSG50 (пример: 6 месяцев) на USG FLEX 100 последний получает лицензию на 1,5 года для использования.

Пожалуйста, отправьте запрос в службу поддержки , и наша команда с удовольствием поможет вам решить проблему с лицензией на миграцию в приоритетном порядке.

2. Выбор режима Nebula через веб-интерфейс

Когда на вашем устройстве установлена версия 5.10 и используются заводские настройки по умолчанию, при первой попытке входа в веб-конфигуратор потребуется обновить пароль администратора по умолчанию («1234»).

2.1 Режим Nebula

Выберите режим Nebula, чтобы управлять устройством Zyxel с помощью Центра управления Nebula (NCC). NCC — это облачная система управления сетью, которая позволяет удаленно управлять и контролировать ваше Устройство Zyxel.

Следуйте указаниям мастера режима Nebula, чтобы настроить параметры WAN и передать управление вашим Устройством Zyxel в NCC.

Как только режим управления и глобальная сеть устройства настроены на доступ в Интернет, вы можете перейти к Nebula для дальнейшей настройки.

Дополнительная информация в разделе 5.2 .

2.2 Удаленная миграция из локальной среды в режим Nebula

Даже если у вас статические IP -адреса или заводские настройки по умолчанию , вы можете переключить локальное решение для управления в режим Nebula Cloud удаленно с помощью графического веб-интерфейса. Обратите внимание , что устройство будет заводским reset, и конфигурации будут потеряны. На этапе 13 Nebula вам не нужно отправляться на завод reset устройства перед переходом на Nebula. Теперь вы можете сделать это дистанционно .

Требования для удаленной миграции на Nebula заключаются в том, что брандмауэр:

- Должен быть в собственном режиме Nebula, что означает, что он должен содержать сертификат ZTP .

- Устройство должно быть в сети (требуется доступ к WAN (интернету))

Примечание! Если у вас есть устройство в локальном режиме, вы можете пропустить шаг 5.2.

3. Создайте организацию и сайт

Войдите в Центр управления Nebula под своей учетной записью myZyxel и создайте новую организацию.

Назовите организацию и сайт, затем нажмите «Далее».

Вы можете добавить свое устройство здесь, но в этой статье мы покажем, как добавить устройство, если ваша организация и сайт уже существуют. Нажмите «Далее», чтобы пропустить добавление устройства в Nebula.

На следующей странице нажмите «Пропустить настройки Wi-Fi», чтобы продолжить. И на последнем шаге нажмите «Перейти к панели управления Nebula».

На панели управления Nebula нажмите «Брандмауэр», чтобы выбрать модель брандмауэра, которую вы хотите настроить.
В этом примере мы выбрали USG FLEX 200.

Кроме того, вы также можете создать организацию и сайт через приложение Nebula.
Этого можно добиться, открыв приложение Nebula, войдя в свою учетную запись и нажав «Создать организацию», чтобы начать процесс первоначальной настройки. Назовите организацию и сайт, затем нажмите «Создать», отсканируйте QR-код вашего устройства, настройте ZTP и, когда закончите, перейдите на панель инструментов.

4. Настройте Firewall на портале Nebula.

Перед выполнением этих шагов заранее определите топологию сети, настройки брандмауэра и WAN. Эта информация позволит вам предварительно настроить параметры Firewall перед включением в Nebula. Firewall автоматически синхронизирует эту конфигурацию при подключении к Nebula.

4.1 Port Настройки группы

Перейдите в Брандмауэр -> Настройка -> Port , чтобы настроить группы портов WAN/LAN или добавить группы WAN/LAN в соответствии со своим сценарием.

4.2 Настройте параметры WAN, если у вас статический IP

Перейдите в Брандмауэр -> Настройка -> Интерфейс , чтобы изменить IP-адреса интерфейса WAN/LAN в соответствии с вашим сценарием.

5. Зарегистрируйте Firewall и выберите метод развертывания.

Другой способ зарегистрировать свое устройство — перейти в раздел «Для всей организации» -> «Настроить» -> «Лицензия и инвентарь» . Войдите на страницу устройства и нажмите «Добавить», чтобы зарегистрировать Firewall. Вы можете зарегистрировать несколько устройств, введя MAC-адрес и серийный номер.

После этого вы можете назначить устройство правильному сайту. У вас может быть несколько устройств в организации, отсюда вы можете выбрать конкретное устройство и назначить его соответствующему сайту:

Появится всплывающее окно, в котором можно выбрать способ развертывания устройства.

5.1 Режим Zero Touch Provision

При первой регистрации устройства в Nebula режим Zero Touch Provision должен использоваться, поскольку устройству требуется процесс ZTP, чтобы стать совместимым с Cloud. Перейти к шагу 6 — выполнить процесс ZTP

5.2 Собственный режим Nebula

Когда вы впервые регистрируете свое устройство в Nebula, вам необходимо убедиться, что на вашем устройстве есть сертификат ZTP. В более новых устройствах сертификат ZTP уже должен быть в брандмауэре. Однако в более старых устройствах (до прошивки 5.10) брандмауэру необходимо сначала пройти процесс ZTP один раз

5.2.1 Сброс устройства до конфигурации по умолчанию

Если вы хотите перейти из автономного режима в Nebula, вам необходимо сначала выполнить reset устройство с помощью кнопки RESET, расположенной на передней панели устройства (удерживая ее нажатой в течение 15 секунд). Если во время процесса вы измените хотя бы малейшие настройки (например, пароль администратора), миграция не удастся.

5.2.2 Проверьте, есть ли у вас DHCP или статический IP-адрес в глобальной сети

Если у вас есть статический IP-адрес в вашей глобальной сети, вам необходимо войти в устройство через веб-интерфейс, выбрать режим Nebula и ввести информацию об IP-адресе, необходимую для установления соединения:

Если у вас статический IP в WAN, пройдите через мастер ниже и после того, как вы закончите, перейдите к шагу 2 — зарегистрируйте устройство:

5.2.3 Выберите основной режим

Подключите порт WAN к указанному на картинке порту (в данном примере P2), а LAN к указанному порту (в данном примере P4) - Внимание! Больше ничего не должно быть подключено.

Вы должны увидеть, что оно ожидает подключения устройства к Nebula (в Firewall -> Monitor -> Firewall):

Теперь брандмауэр должен выполнить быстрый перезапуск, и после перезапуска устройство должно подключиться к сети в течение 20 минут.

5.2.4 Устранение неполадок - «Ожидающее устройство подключено»

Если ваше устройство зависло в основном режиме «Ожидание подключения устройства» — вам необходимо еще раз проверить наличие сертификата ZTP:

Войдите через SSH на устройство (используя программу Putty или Teraterm) и введите статус файла сертификата в основном режиме :

Если вы получаете сообщение об ошибке или сертификат отсутствует, у вас нет версии прошивки 5.10 и вам необходимо обновить брандмауэр перед использованием основного режима. Или вы еще не выполнили процесс ZTP на этом брандмауэре, и на этот раз вам нужно использовать процесс ZTP.

5.3 Переход из локального режима в режим Nebula в веб-интерфейсе

Перейдите в Конфигурация -> Управление. & Analytics -> Nebula , затем нажмите «Применить» и «Перейти к Nebula».

Затем вы получите всплывающее окно, и вам нужно нажать «Да»:

Затем вы ждете, пока устройство подключится к сети в Nebula.

6. Выполнение процесса ZTP

Видео, показанные в начале статьи, показывают весь процесс, отличается только последняя часть. Эта последняя часть соответствует процессу ZTP, для которого доступны два метода, как показано в видео. Этот метод рассматривается в следующих 2 подразделах.

Для процесса ZTP необходимо указать способ настройки WAN-соединения (DCHP/PPPoE/статический IP-адрес) и указать адрес электронной почты, на который будет отправлено электронное письмо, содержащее ссылку и файл JSON. «Я сам установлю брандмауэр» отправляет электронное письмо на учетную запись, которая в данный момент добавляет устройство на сайт. Также можно указать любую другую учетную запись электронной почты, чтобы установщик мог запустить процесс ZTP.

6.1 Активируйте облачную возможность Firewall через URL

Запустив устройство с последней прошивкой, подключите порт питания к соответствующему источнику питания и включите брандмауэр. Подождите, пока индикатор SYS не загорится зеленым цветом. Затем подключите интерфейс WAN (P2) к Интернету.

Подключите интерфейс LAN (P4) к компьютеру.

Откройте электронное письмо, полученное от Nebula, и нажмите «Разрешить Nebula управлять моим устройством».

Подождите, пока Nebula Zero Touch Provisioning не завершится успешно. Нажмите «Перейти в Центр управления Nebula», чтобы получить доступ к Nebula.

Устройству потребуется несколько минут, чтобы подключиться к Nebula и подключиться к сети.

Примечание. Если у вас есть такое устройство, как точка доступа, уже подключенное к порту 4 USG FLEX, и точка доступа уже предоставляет сеть Wi-Fi в подсети 192.168.1.1/24, вы можете выполнить ZTP через URL-адрес с любого устройства. подключен к сети Wi-Fi, что позволяет делать это с мобильного устройства.

6.2 Активируйте облачную функцию Firewall через USB

Кроме того, вы также можете активировать Firewall с помощью USB-накопителя.
Скопируйте файл, прикрепленный к электронному письму, отправленному от Nebula, на новый/чистый USB-накопитель (FAT32) и подключите его к USB-порту Firewall.
Включите Firewall, светодиод SYS мигает красным, когда он подключается к Nebula, и постоянно горит зеленым, когда он подключен.

Перейдите в Site-wide -> Monitor -> Dashboard , чтобы проверить состояние шлюза.

Устройству потребуется несколько минут, чтобы подключиться к Nebula и подключиться к сети.

7. Устранение неполадок

7.1 Интернет-соединение не работает - проверьте интернет-соединение

Веб-браузер показывает, что подключение к Интернету отключено при доступе к URL-адресу в электронном письме.

Проверьте подключение к Интернету и убедитесь, что вы подключаетесь к интерфейсу WAN (P2). Затем нажмите «Повторить», чтобы повторить ZTP.

Вы также можете щелкнуть «Инструменты сетевого тестирования», чтобы войти в веб-интерфейс устройства для дальнейшего устранения неполадок. Пользователь — «поддержка», а пароль — серийный номер брандмауэра.

Если у вас подключение со статическим IP-адресом/PPPoE, дважды проверьте, что вы ввели информацию о статическом IP-адресе на устройстве локально:

Перейдите в Конфигурация -> Настройки WAN и еще раз проверьте правильность заполнения:

7.2 Zero Touch Provisioning (ZTP) завершается сбоем, потому что это устройство не находится в заводском состоянии по умолчанию.

Пожалуйста, удерживайте кнопку reset в течение 5 секунд, чтобы reset устройство вернулось к заводским настройкам. Затем щелкните URL-адрес, чтобы повторить ZTP.

7.3 ZTP через USB: индикатор SYS не перестает мигать красным

Панель мониторинга Nebula показывает, что брандмауэр отключен.
Если ZTP через USB не работает, проверьте интернет-соединение. Откройте ztpresult.log на USB-накопителе, чтобы проверить состояние.

Вот пример:

ZTP не работает, так как на USB-накопителе нет соответствующего ZTP-файла для этого устройства. Убедитесь, что вы копируете правильный ZTP-файл.

7.4 Режим Nebula не отображается при доступе к веб-интерфейсу

Вы можете обновить свое устройство через интерфейс веб-конфигуратора устройств (см. здесь ) или с помощью утилиты ZON. В этой статье показано, как это сделать с помощью утилиты ZON.

Убедитесь, что вы установили ZON на свой компьютер. Если нет, вы можете скачать его здесь:

Сетевая утилита Zyxel One (ZON)

Подключите порт питания к источнику питания и включите брандмауэр. Подождите, пока индикатор SYS не загорится зеленым цветом. Подключите ваш компьютер к порту 4 (P4) брандмауэра.

Откройте ZON на своем компьютере, чтобы просканировать брандмауэр. Выберите брандмауэр, затем нажмите «Обновление прошивки»:

Выберите последнюю версию прошивки из облака и введите пароль по умолчанию «1234» для обновления. Процесс прошивки занимает около 5 минут.

8. Лицензирование серии USG FLEX

8.1 Лицензия Nebula для USG FLEX объединена в Центр управления Nebula.

Если ваш USG Flex поставлялся с объединенной лицензией, вы автоматически получите профессиональный пакет Nebula на 1 год для своего устройства. Лицензия службы UTM будет беспрепятственно перенесена на Nebula, независимо от оставшегося времени.

Если ваша универсальная группа безопасности не поставляется с лицензией в комплекте, вы все равно сможете пользоваться 30-дневной пробной версией своих услуг UTM. Услуги Nebula Pro Pack также автоматически включают 30-дневную пробную версию при создании вашей организации.

Пробный период лицензии также распространяется на ваше устройство с пакетной лицензией.

8.2 Перенос моей существующей лицензии NSG (NSS) на USG FLEX (UTM).

Для переноса лицензии из предыдущей NSG в USE FLEX в облаке применяется следующая таблица сопоставления. Например, NSG 100 может перенести свою лицензию только на USG FLEX 200 и не может перенести лицензию на другие модели USG FLEX.

Если у вашего USG FLEX 100 уже есть лицензия на 1 год, после переноса оставшейся лицензии с NSG50 (пример: 6 месяцев) на USG FLEX 100 последний получает лицензию на 1,5 года для использования.

8.3 Ограничения при переходе в режим Nebula

Существуют некоторые ограничения, и следующие функции пока недоступны в облачной модели USG FLEX:

- Устройство HA
- Безопасность электронной почты (анти-спам)
- Проверка SSL
- Динамическая маршрутизация (RIP, OSPF, BGP)
- Связанные функции IPv6
- Контроллер точки доступа (вместо этого в качестве контроллера точки доступа следует использовать Центр управления Nebula)
- Служба Hotspot (Центр управления Nebula уже поддерживает такие службы точек доступа, как Voucher, Walled garden)

Если у вас возникнут другие проблемы, пожалуйста, свяжитесь с нашей службой поддержки.