Firewall-ul nostru USG FLEX poate fi gestionat și provizionat de Nebula Control Center (NCC) de la firmware-ul ZLD5.00 și mai departe. Seria ATP poate fi gestionată în NCC de la firmware-ul ZLD5.10. Acest ghid arată cum să adăugați dispozitivul pe Nebula utilizând procesul ZTP și să pre-configurați setările firewall pe Nebula, înainte de a livra dispozitivul pentru instalarea la fața locului. Acest articol arată cum să vă înregistrați firewall-ul în Nebula. Acesta este împărțit în diferite secțiuni, astfel încât vă rugăm să navigați la secțiunea relevantă pentru dvs. în cuprins.
Notă: Modul ZTP nu este disponibil începând cu versiunea 5.37 patch 1, deci trebuie să implementați dispozitivul în Nebula utilizând modul nativ. Iată modelele afectate. Seria ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Seria USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

De ce nu pot utiliza ZTP sau modul nativ pentru a-mi implementa firewall-ul pe Nebula?

Dacă întâmpinați dificultăți în adăugarea dispozitivului dvs. la Nebula, aceasta poate indica faptul că dispozitivul dvs. a fost fabricat înainte de sfârșitul anului 2023 și necesită finalizarea procesului Zero Touch Provisioning (ZTP). Pentru a continua, urmați acești pași:

• Actualizați firmware-ul de pe dispozitivul dvs.
• Navigați prin procesul ZTP după cum este necesar
• Odată adăugat cu succes, actualizați dispozitivul la cea mai recentă versiune de firmware

Cum să vă înregistrați firewall-ul în Nebula (Video)

Notă: Dispozitivul dvs. trebuie resetat la setările implicite pentru a-l conecta la Nebula, pierzând toate setările anterioare care ar fi putut fi configurate. Odată conectat la Nebula, dispozitivul va fi configurat automat cu setările implicite Nebula. Vă rugăm să rețineți, de asemenea, că există unele limitări și că următoarele caracteristici nu sunt încă disponibile în modul cloud pentru USG FLEX:

• HA dispozitiv
• Securitate e-mail (anti-spam)
• Inspecție SSL
• Rutare dinamică (RIP, OSPF, BGP)
• Caracteristici IPv6 conexe
• Controler AP (Nebula Control Center ar trebui utilizat ca controler AP)
• Serviciu hotspot (Nebula Control Center suportă deja servicii hotspot precum Voucher, Walled garden)

Licențiere

• Licențierea USG FLEX în Nebula Control Center

Dacă USG Flex a fost livrat cu o licență inclusă, veți beneficia automat de un pachet profesional Nebula de 1 an pentru dispozitivul dvs. Licența serviciului UTM va fi transferată fără probleme la Nebula, indiferent de perioada rămasă.

În cazul în care USG-ul dvs. nu a fost livrat cu o licență de pachet, vă veți bucura în continuare de 30 de zile de încercare pentru serviciile UTM. Serviciile Nebula PRO Pack includ, de asemenea, 30 de zile de încercare în mod automat în timp ce organizația dvs. este creată.

Perioada de testare a licenței se aplică și dispozitivului dvs. cu o licență de pachet.

• Migrarea licenței NSG existente (NSS) către USG FLEX (UTM)

Pentru a migra licența de la NSG la USG FLEX pe cloud, se aplică următorul tabel de corespondență. De exemplu, NSG 100 își poate migra licența numai către USG FLEX 200 și nu poate migra licența către alte modele USG FLEX.

În cazul în care USG FLEX 100 are deja o licență de 1 an, după migrarea licenței rămase de la NSG50 (ex.: 6 luni) la USG FLEX 100, acesta din urmă ajunge să aibă o licență de 1 an și jumătate pentru a fi utilizată.

Vă rugăm să ridicați o cerere de asistență, iar echipa noastră vă va ajuta cu plăcere să rezolvați problema de migrare a licenței cu prioritatea cuvenită.

Alegerea modului Nebula prin intermediul GUI Web

Odată ce dispozitivul dvs. rulează 5.10 și utilizează setările implicite din fabrică, atunci când încercați să vă conectați pentru prima dată la configuratorul Web, va fi necesară o actualizare a parolei implicite de administrare ("1234").

• Modul Nebula

Selectați Modul Nebula pentru a gestiona dispozitivul Zyxel utilizând Nebula Control Center (NCC). NCC este un sistem de gestionare a rețelei bazat pe cloud care vă permite să gestionați și să monitorizați dispozitivul Zyxel de la distanță.

Urmați expertul modului Nebula pentru a configura setările WAN pentru a transmite gestionarea dispozitivului Zyxel către NCC.

Odată ce modul Management și WAN-ul dispozitivului sunt configurate permițând accesul la internet, puteți trece la Nebula pentru configurarea ulterioară. Mai multe informații sunt disponibile în secțiunea "Nebula native mode"

• Migrarea de la distanță de la modul on-premise la modul Nebula

Chiar dacă aveți setări IP statice sau setări implicite din fabrică, puteți comuta de la distanță soluția dvs. de gestionare on-prem la modul cloud Nebula utilizând interfața grafică web. Rețineți că dispozitivul va fi resetat din fabrică și configurațiile vor fi pierdute. La Nebula Faza 13, nu trebuie să vă deplasați la fața locului pentru a reseta din fabrică dispozitivul înainte de migrarea la Nebula. Acum o puteți face de la distanță.

Cerințele pentru migrarea de la distanță către Nebula sunt ca firewall-ul:

• Trebuie să fie în modul nativ Nebula, ceea ce înseamnă că trebuie să conțină certificatul ZTP
• Dispozitivul trebuie să fie online (acces WAN (internet) necesar)

Notă: Dacă aveți dispozitivul în modul on-premise, puteți sări peste pasul "Nebula native mode"

• Creați o organizație și un site

Dacă nu ați creat încă o organizație și un site Nebula, vă rugăm să urmați link-ul articolului furnizat. Odată ce ați finalizat acest pas, putem continua cu procesul de înregistrare.
Nebula [Site/Organizație] - Cum să creați/ștergeți o organizație și un site în Centrul de control Nebula?

Configurarea firewall-ului în portalul Nebula

Înainte de a efectua acești pași, vă rugăm să aveți în prealabil topologia rețelei, setarea firewall-ului și configurația WAN. Aceste informații vă vor permite să pre-configurați setările firewall-ului înainte de a fi activate în Nebula. Firewall-ul va sincroniza automat această configurație atunci când se conectează la Nebula. Atunci când creați site-ul, puteți specifica modelul de firewall fără a-l adăuga. Acest lucru face posibilă preconfigurarea anumitor parametri înainte de adăugarea dispozitivului propriu-zis.

• Setări ale grupului de porturi

Site-wide -> Configure -> Firewall -> Port

• Pentru a configura grupurile de porturi WAN/LAN sau pentru a adăuga grupuri WAN/LAN care să corespundă scenariului dvs.

• Сonfigurați setările WAN dacă aveți un IP static

Site-wide -> Configure -> Firewall - interfaces

• pentru a modifica adresele IP ale interfeței WAN/LAN pentru a se potrivi scenariului dumneavoastră.

Înregistrați Firewall-ul și alegeți metoda de implementare

Mod manual

Go to Site-wide -> License & Inventory

Introduceți pagina dispozitivului și faceți clic pe "Add" pentru a înregistra Firewall-ul. Puteți înregistra mai multe dispozitive prin introducerea adresei MAC și a numărului de serie

Ulterior, puteți atribui dispozitivul la site-ul corect. Este posibil să aveți mai multe dispozitive într-o organizație, de aici puteți selecta un anumit dispozitiv și să îl atribuiți site-ului corespunzător:

Va apărea o fereastră pop-up în care puteți selecta metoda de implementare a dispozitivului.

Modul de furnizare Zero Touch

Pentru prima dată când dispozitivul este înscris pe Nebula, trebuie utilizat modul Zero Touch Provision , deoarece dispozitivul are nevoie de procesul ZTP pentru a deveni capabil de Cloud. Mergeți la Executare proces ZTP

Modul nativ Nebula

Când vă înregistrați pentru prima dată dispozitivul în Nebula, trebuie să vă asigurați că aveți certificatul ZTP pe dispozitiv. La toate dispozitivele, firewall-ul trebuie să treacă mai întâi o dată prin procesul ZTP . În cazul dispozitivelor mai noi, certificatul ZTP ar putea fi deja în firewall (vă rugăm să verificați dacă aveți certificatul ZTP aici - dacă nu aveți certificatul ZTP, trebuie să efectuați procesul ZTP și nu puteți efectua modul nativ pentru a obține firewall-ul online).

• Resetați dispozitivul la configurația implicită

Atunci când doriți să migrați de la modul Stand-alone la Nebula, trebuie să resetați mai întâi dispozitivul utilizând butonul RESET situat pe partea frontală a dispozitivului (ținând-l apăsat timp de 15 secunde). Dacă în timpul procesului modificați chiar și cea mai mică setare (de exemplu, parola de administrator), migrarea nu va reuși.

• Verificați dacă aveți DHCP sau IP static pe WAN

Dacă aveți IP static pe WAN, trebuie să vă conectați la dispozitiv prin intermediul GUI Web, să alegeți modul Nebula și să introduceți informațiile IP necesare pentru stabilirea unei conexiuni:

Dacă aveți IP static pe WAN, parcurgeți expertul de mai jos și după ce ați terminat, mergeți la pasul 2 - înregistrarea dispozitivului:

• Alegeți modul nativ

Conectați portul WAN la portul indicat în imagine (în acest exemplu P2) și LAN-ul la portul indicat (în acest exemplu P4) - Notă: Nu trebuie conectat nimic altceva

• Ar trebui să puteți vedea că așteaptă ca dispozitivul să se conecteze la Nebula (sub Dispozitive -> Firewall):

Firewall-ul ar trebui să facă acum o repornire rapidă și, după repornire, dispozitivul ar trebui să se conecteze în termen de 20 de minute.

Rezolvarea problemelor - "Waiting device connected" [Verificarea certificatului ZTP]

Dacă dispozitivul dvs. este blocat în modul Native "Waiting for a device connected" - trebuie să verificați din nou dacă aveți certificatul ZTP:

Conectați-vă prin SSH la dispozitiv (utilizând programul Putty sau Teraterm) și tastați show native mode cert file status:

Dacă primiți o eroare sau certificatul nu este acolo, înseamnă că nu ați efectuat încă procesul ZTP pe acel firewall și trebuie să utilizați procesul ZTP de această dată. De asemenea, este posibil să nu aveți versiunea de firmware 5.10 și să trebuiască să actualizați firewall-ul înainte de a utiliza modul Native.

• Migrare de la modul on-premise la modul Nebula în GUI Web

Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula

Veți primi apoi o fereastră pop-up și trebuie să faceți clic pe da:

Apoi așteptați ca dispozitivul să devină online în Nebula.

Executarea procesului ZTP

Videoclipurile prezentate la începutul articolului prezintă întregul proces, doar ultima parte fiind diferită. Această ultimă parte corespunde procesului ZTP, pentru care sunt disponibile două metode, după cum se arată în videoclip. Această metodă este tratată în următoarele 2 sub-secțiuni.

Pentru procesul ZTP, este necesar să specificați cum va fi configurată conexiunea WAN (DCHP/PPPoE/Static IP) și să specificați o adresă de e-mail la care va fi trimis e-mailul care conține link-ul și fișierul JSON. "I will install firewall by myself" trimite e-mailul către contul care adaugă dispozitivul pe site în acest moment. De asemenea, este posibil să specificați orice alt cont de e-mail, astfel încât un instalator să poată executa procesul ZTP.

• Activați capacitatea Firewall cloud prin URL

Având dispozitivul cu cel mai recent firmware pornit, conectați portul de alimentare la o sursă de alimentare corespunzătoare și porniți firewall-ul. Așteptați ca LED-ul SYS să devină verde solid. Apoi, conectați interfața WAN (P2) la internet.

Conectați interfața LAN (P4) la computer.

Deschideți e-mailul primit de la Nebula și faceți clic pe "Allow Nebula to Manage My Device".

Așteptați până când Nebula Zero Touch Provisioning a avut succes. Faceți clic pe "Go to Nebula Control Center" pentru a accesa Nebula

Dispozitivul va avea nevoie de câteva minute pentru a se conecta la Nebula și a deveni online.

Notă: Dacă aveți un dispozitiv precum AP deja conectat pe portul 4 al USG FLEX, iar AP furnizează deja o rețea Wi-Fi în subrețeaua 192.168.1.1/24, puteți executa ZTP prin URL de pe orice dispozitiv conectat la rețeaua Wi-Fi, permițând să o faceți de pe un dispozitiv mobil.

• Activarea capacității de cloud Firewall prin USB

Alternativ, puteți, de asemenea, să activați Firewall-ul utilizând un stick USB. Copiați fișierul atașat în e-mailul trimis de Nebula pe un USB nou/curat (FAT32) și conectați-l la portul USB al Firewall-ului. Porniți Firewall-ul, LED-ul SYS clipește roșu când se conectează la Nebula și verde constant când este conectat.

Accesați Nebula Dashboard pentru a verifica starea gateway-ului.

Dispozitivul va avea nevoie de câteva minute pentru a se conecta la Nebula și a deveni online.

Rezolvarea problemelor

• Conexiunea la internet este întreruptă - Verificați conexiunea la internet

Browserul web arată că conexiunea la internet este întreruptă atunci când URL-ul din e-mail a fost accesat.

Verificați conexiunea la internet și asigurați-vă că vă conectați la interfața WAN (P2). Apoi, faceți clic pe "Retry" pentru a reface ZTP.

De asemenea, puteți face clic pe "Network Test Tools" (Instrumente de testare a rețelei) pentru a vă conecta la interfața grafică web a dispozitivului pentru a continua depanarea. Utilizatorul este "support", iar parola este numărul de serie al firewall-ului.

Dacă aveți o conexiune cu IP static / PPPoE, verificați din nou dacă ați introdus local informațiile IP static pe dispozitiv:

Go to Configuration -> WAN Settings and double-check that everything is filled in correctly

• Zero Touch Provisioning (ZTP) eșuează deoarece acest dispozitiv nu este în starea implicită din fabrică

Vă rugăm să țineți apăsat butonul de resetare timp de 5 secunde pentru a reseta dispozitivul la starea implicită din fabrică. Apoi faceți clic pe URL pentru a reface ZTP.

• ZTP prin USB: LED-ul SYS nu încetează să clipească în roșu

Nebula Tabloul de bord arată că firewall-ul este offline.
Dacă ZTP prin USB eșuează, vă rugăm să verificați conexiunea la internet. Deschideți ztpresult.log în USB pentru a verifica starea.

Iată un exemplu:

ZTP eșuează deoarece nu există niciun fișier ZTP corespunzător în USB pentru acest dispozitiv. Vă rugăm să vă asigurați că copiați fișierul ZTP corect.

• Modul Nebula nu este afișat la accesarea GUI Web

Vă puteți actualiza dispozitivul prin interfața configuratorului Web al dispozitivului (verificați aici) sau utilizând utilitarul ZON. Acest articol arată cum să faceți acest lucru prin intermediul utilitarului ZON.

Asigurați-vă că ați instalat ZON pe computerul dvs. Dacă nu, îl puteți descărca de aici:

Utilitar de rețea Zyxel One (ZON)

Conectați portul de alimentare la sursa de alimentare și porniți firewall-ul. Așteptați ca LED-ul SYS să devină verde continuu. Conectați computerul la portul 4 (P4) al firewall-ului.

Deschideți ZON pe computer pentru a scana firewall-ul. Selectați firewall-ul, apoi faceți clic pe "Firmware Upgrade":

Selectați cea mai recentă versiune de firmware din cloud și introduceți parola implicită "1234" pentru actualizare. Procesul de firmware durează aproximativ 5 minute pentru a fi finalizat

Licențiere pentru seria USG FLEX

• Licențiere Nebula în pachet pentru USG FLEX în Nebula Control Center

Dacă USG Flex a venit cu o licență la pachet, vă veți bucura automat de un pachet profesional Nebula de 1 an pentru dispozitivul dvs. Licența serviciului UTM va fi transferată fără probleme la Nebula, indiferent de perioada rămasă.

În cazul în care USG-ul dvs. nu a fost livrat cu o licență inclusă, veți beneficia în continuare de 30 de zile de încercare pentru serviciile UTM. Serviciile Nebula Pro Pack includ, de asemenea, 30 de zile de încercare în mod automat în timp ce organizația dvs. este creată.

Perioada de testare a licenței se aplică și dispozitivului dvs. cu o licență de pachet.

• Migrarea licenței NSG existente (NSS) către USG FLEX (UTM)

Pentru a migra licența de la NSG-ul dvs. anterior la USG FLEX pe cloud, se aplică următorul tabel de corespondență. De exemplu, NSG 100 își poate migra licența numai către USG FLEX 200 și nu poate migra licența către alte modele USG FLEX.

În cazul în care USG FLEX 100 are deja o licență de 1 an, după migrarea licenței rămase de la NSG50 (ex.: 6 luni) la USG FLEX 100, acesta din urmă ajunge să aibă o licență de 1 an și jumătate pentru a fi utilizată.

• Limitări la trecerea la modul Nebula

Există unele limitări și următoarele caracteristici nu sunt încă disponibile pe modelul cloud pentru USG FLEX:

- HA dispozitiv
- Securitate e-mail (anti-spam)
- Inspecție SSL
- Rutare dinamică (RIP, OSPF, BGP)
- Caracteristici IPv6 conexe
- Controler AP (Nebula Control Center ar trebui utilizat ca controler AP)
- Serviciu hotspot (Nebula Control Center suportă deja servicii hotspot precum Voucher și Walled garden)

Dacă întâmpinați alte probleme, nu ezitați să luați legătura cu echipa noastră de asistență.