Nebula ZTP - Ako zaregistrovať bránu USGFLEX/ATP v Nebula Control Center

Vytvorené - Aktualizované
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Náš USG FLEX firewall môže byť spravovaný a konfigurovaný prostredníctvom Nebula Control Center (NCC) od verzie firmvéru ZLD5.00 a novších. Séria ATP môže byť spravovaná v NCC od firmvéru ZLD5.10. Tento návod ukazuje, ako pridať zariadenie do Nebula pomocou procesu ZTP a predkonfigurovať nastavenia firewallu v Nebula pred odovzdaním zariadenia na inštaláciu na mieste. Tento článok ukazuje, ako zaregistrovať váš firewall v Nebula. Je rozdelený do rôznych sekcií, preto prosím prejdite na relevantnú sekciu podľa vašich potrieb v obsahu.
 Poznámka: Režim ZTP nie je dostupný od verzie 5.37 patch 1, preto musíte zariadenie nasadiť do Nebula pomocou natívneho režimu. Tu sú ovplyvnené modely. Séria ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Séria USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Prečo nemôžem použiť ZTP alebo natívny režim na nasadenie môjho firewallu na Nebula?

Ak máte problém pridať zariadenie do Nebula, môže to znamenať, že vaše zariadenie bolo vyrobené pred koncom roku 2023 a vyžaduje dokončenie procesu Zero Touch Provisioning (ZTP). Postupujte podľa týchto krokov:

  • Downgrade firmvéru na vašom zariadení
  • Prejdite procesom ZTP podľa potreby
  • Po úspešnom pridaní aktualizujte zariadenie na najnovšiu verziu firmvéru

Ako zaregistrovať váš firewall do Nebula (Videá)

Registrácia v Nebula pomocou režimu ZTP URL Registrácia v Nebula pomocou režimu ZTP USB
 

Poznámka: Vaše zariadenie musí byť resetované na predvolené nastavenia, aby sa mohlo pripojiť k Nebula, čím stratíte všetky predchádzajúce nastavenia, ktoré mohli byť nakonfigurované. Po pripojení k Nebula bude zariadenie automaticky nakonfigurované s predvolenými nastaveniami Nebula. Upozorňujeme tiež, že existujú určité obmedzenia a nasledujúce funkcie zatiaľ nie sú dostupné v cloudovom režime pre USG FLEX:

  • Zariadenie HA
  • Emailová bezpečnosť (Anti-Spam)
  • SSL inšpekcia
  • Dynamické smerovanie (RIP, OSPF, BGP)
  • Súvisiace funkcie IPv6
  • AP kontrolér (Nebula Control Center by mal byť použitý ako AP kontrolér namiesto toho)
  • Hotspot služba (Nebula Control Center už podporuje hotspot služby ako Voucher, Walled garden)

Licencovanie

  • Licencovanie vášho USG FLEX v Nebula Control Center

Ak váš USG Flex prišiel so zabalenou licenciou, automaticky získate Nebula Professional Pack na 1 rok pre vaše zariadenie. Licencia služby UTM bude bezproblémovo prenesená do Nebula, bez ohľadu na zostávajúci čas.

Ak váš USG neprišiel so zabalenou licenciou, stále si užijete 30-dňovú skúšobnú dobu pre vaše UTM služby. Služby Nebula PRO Pack tiež automaticky zahŕňajú 30-dňovú skúšobnú dobu počas vytvárania vašej organizácie.

Skúšobná licencia sa vzťahuje aj na vaše zariadenie so zabalenou licenciou.

  • Migrácia mojej existujúcej licencie NSG (NSS) na USG FLEX (UTM)

Na migráciu licencie z vášho NSG na USE FLEX v cloude platí nasledujúca mapovacia tabuľka. Napríklad NSG 100 môže migrovať svoju licenciu iba na USG FLEX 200 a nemôže migrovať licenciu na iné modely USG FLEX.

Rad NSG NSG50 NSG100 NSG200 NSG300
Rad USG FLEX USG FLEX 100/100W USG FLEX 200 USG FLEX 500 USG FLEX 700

Ak váš USG FLEX 100 už má 1-ročnú licenciu, po migrácii zostávajúcej licencie z NSG50 (napr.: 6 mesiacov) na USG FLEX 100, bude mať tento posledný k dispozícii licenciu na 1 a pol roka na použitie.

Prosím, vytvorte žiadosť o podporu, a náš tím vám rád pomôže vyriešiť problém s migráciou licencie s náležitou prioritou.

Výber režimu Nebula cez Web GUI

Keď vaše zariadenie beží na verzii 5.10 a používa továrenské predvolené nastavenia, pri prvom prihlásení do Web Configurátora budete musieť aktualizovať predvolené heslo administrátora ("1234"). 

  • Režim Nebula

Vyberte režim Nebula na správu vášho Zyxel zariadenia pomocou Nebula Control Center (NCC). NCC je cloudový systém na správu siete, ktorý vám umožňuje vzdialene spravovať a monitorovať vaše Zyxel zariadenie.

Postupujte podľa sprievodcu režimom Nebula na konfiguráciu WAN nastavení, aby ste mohli spravovať vaše Zyxel zariadenie cez NCC. 

mceclip4.png mceclip5.png

Keď je režim správy a WAN zariadenia nakonfigurovaný tak, aby umožnil prístup na internet, môžete pokračovať do Nebula pre ďalšie nastavenia. Viac informácií je v sekcii "natívny režim Nebula"

  • Vzdialená migrácia z on-premise do režimu Nebula

Aj keď máte statické IP nastavenia alebo továrenské predvolené nastavenia, môžete vzdialene prepínať vaše on-premise riešenie správy do cloudového režimu Nebula pomocou Web GUI. Upozorňujeme, že zariadenie bude resetované na továrenské nastavenia a konfigurácie budú stratené. V Nebula fáze 13 už nemusíte ísť na miesto kvôli resetovaniu zariadenia pred migráciou do Nebula. Teraz to môžete urobiť vzdialene

Podmienky pre vzdialenú migráciu do Nebula sú, že firewall:

  • Musí byť v natívnom režime Nebula, čo znamená, že musí obsahovať ZTP certifikát
  • Zariadenie musí byť online (potrebný prístup na WAN (internet))

Poznámka: Ak máte zariadenie v on-premise režime, môžete vynechať krok "natívny režim Nebula

  • Vytvorte organizáciu a lokalitu

Ak ste ešte nevytvorili organizáciu a lokalitu v Nebula, postupujte podľa uvedeného odkazu. Po dokončení tohto kroku môžeme pokračovať v procese registrácie.
Nebula [Lokalita/Organizácia] - Ako vytvoriť/zmazať organizáciu a lokalitu v Nebula Control Center?

Konfigurácia firewallu v portáli Nebula

Pred vykonaním týchto krokov majte pripravenú sieťovú topológiu, nastavenia firewallu a konfiguráciu WAN. Tieto informácie vám umožnia predkonfigurovať nastavenia firewallu ešte pred jeho zapnutím v Nebula. Firewall automaticky synchronizuje túto konfiguráciu po pripojení k Nebula. Pri vytváraní lokality môžete určiť model vášho firewallu bez jeho pridania. To umožňuje predbežne nakonfigurovať niektoré parametre pred pridaním samotného zariadenia.

  • Nastavenia skupiny portov 
Site-wide -> Configure -> Firewall -> Port
  • Na konfiguráciu skupín WAN/LAN portov alebo pridanie WAN/LAN skupín podľa vášho scenára.
Firewall port group settings
  • Konfigurácia WAN nastavení, ak máte statickú IP 
Site-wide -> Configure -> Firewall - interfaces
  •  na zmenu IP adries WAN/LAN rozhraní podľa vášho scenára.
WAN interface IP settings

Registrácia firewallu a výber spôsobu nasadenia

Manuálny režim 

Choďte na Site-wide -> License & Inventory

Vstúpte na stránku zariadenia a kliknite na "Pridať" pre registráciu firewallu. Môžete zaregistrovať viacero zariadení zadaním MAC adresy a sériového čísla

Následne môžete priradiť zariadenie k správnej lokalite. Môžete mať viacero zariadení v organizácii, odtiaľ môžete vybrať konkrétne zariadenie a priradiť ho k príslušnej lokalite:

Devices
Actions

Režim Zero Touch Provision Pri prvom zápise zariadenia do Nebula musí byť použitý režim Zero Touch Provision, pretože zariadenie potrebuje prejsť procesom ZTP, aby sa stalo schopným cloudového pripojenia. Prejdite na Spustenie procesu ZTP Natívny režim Nebula Pri prvom registrácii zariadenia do Nebula musíte mať na zariadení ZTP certifikát. Vo všetkých zariadeniach musí firewall najskôr prejsť procesom ZTP aspoň raz. V novších zariadeniach môže byť ZTP certifikát už v zariadení (skontrolujte si, či máte ZTP certifikát tu - ak nemáte ZTP certifikát, musíte vykonať proces ZTP a natívny režim nepoužijete na pripojenie firewallu online). Resetujte zariadenie na predvolené nastavenia Ak chcete migrovať zo samostatného režimu do Nebula, musíte zariadenie najskôr resetovať pomocou tlačidla RESET na prednej strane zariadenia (podržaním 15 sekúnd). Ak počas procesu zmeníte aspoň jedno nastavenie (napr. heslo administrátora), migrácia nebude úspešná.  Skontrolujte, či máte DHCP alebo statickú IP na WAN Ak máte statickú IP na WAN, prihláste sa do zariadenia cez Web GUI, vyberte režim Nebula a zadajte IP informácie potrebné na nadviazanie spojenia:  mceclip11.pngAk máte statickú IP na WAN, prejdite sprievodcom nižšie a po dokončení pokračujte krokom 2 - registrácia zariadenia: mceclip12.png Vyberte natívny režim Pripojte váš WAN port k portu uvedenému na obrázku (v tomto príklade P2) a LAN k portu zobrazenému (v tomto príklade P4) - Poznámka: Nič iné by nemalo byť pripojené Deployment method selection window Mali by ste vidieť, že čaká na zariadenie, aby sa pripojilo k Nebula (v sekcii Zariadenia -> Firewall): Firewall by mal teraz vykonať rýchly reštart a po reštarte by sa zariadenie malo do 20 minút zobraziť online. Riešenie problémov - "Čakanie na pripojenie zariadenia" [Kontrola ZTP certifikátu] Ak je vaše zariadenie zaseknuté v natívnom režime "Čakanie na pripojenie zariadenia" - musíte skontrolovať, či máte ZTP certifikát:  Prihláste sa cez SSH do zariadenia (pomocou programov Putty alebo Teraterm) a zadajte show native mode cert file status mceclip15.pngAk dostanete chybu alebo certifikát tam nie je, ešte ste neprešli procesom ZTP na tomto firewalle a musíte ho použiť. Môže to tiež znamenať, že nemáte verziu firmvéru 5.10 a musíte firewall aktualizovať pred použitím natívneho režimu.  Migrácia z on-premise režimu do režimu Nebula cez Web GUI Choďte do Configuration -> Mgmt. & Analytics -> Nebula, potom kliknite na Apply a Go To Nebula mceclip0.pngZobrazí sa vyskakovacie okno, kde kliknite na áno: mceclip1.pngPotom počkajte, kým sa zariadenie zobrazí online v Nebula. Spustenie procesu ZTP Videá na začiatku článku zobrazujú celý proces s tým, že iba posledná časť je odlišná. Táto posledná časť zodpovedá procesu ZTP, pre ktorý sú dostupné dve metódy, ako je ukázané vo videu. Táto metóda je popísaná v nasledujúcich 2 podsekciách. mceclip16.pngPre proces ZTP je potrebné špecifikovať, ako bude WAN pripojenie nastavené (DHCP/PPPoE/Statická IP) a zadať e-mailovú adresu, na ktorú bude odoslaný e-mail obsahujúci odkaz a JSON súbor. "I will install firewall by myself" odošle e-mail na účet, ktorý práve pridáva zariadenie na lokalitu. Je tiež možné zadať akýkoľvek iný e-mail, aby inštalatér mohol spustiť proces ZTP. mceclip17.png Aktivácia cloudovej schopnosti firewallu cez URL Keď máte zariadenie s najnovším firmvérom, pripojte napájací port k vhodnému zdroju napájania a zapnite firewall. Počkajte, kým LED SYS nezhasne na zeleno. Potom pripojte WAN (P2) rozhranie k internetu.

Pripojte LAN (P4) rozhranie k počítaču.
  mceclip18.png Otvorte e-mail prijatý z Nebula a kliknite na "Allow Nebula to Manage My Device".
  mceclip19.pngPočkajte, kým Zero Touch Provisioning v Nebula úspešne prebehne. Kliknite na "Go to Nebula Control Center" pre prístup do Nebula mceclip20.pngZariadenie potrebuje niekoľko minút na pripojenie k Nebula a zobrazenie online. Poznámka: Ak máte zariadenie ako AP už pripojené na port 4 USG FLEX a AP už poskytuje Wi-Fi sieť v podsieti 192.168.1.1/24, môžete vykonať ZTP cez URL z akéhokoľvek zariadenia pripojeného k Wi-Fi sieti, čo umožňuje vykonať to z mobilného zariadenia. Aktivácia cloudovej schopnosti firewallu cez USB Alternatívne môžete firewall aktivovať pomocou USB kľúča. Skopírujte súbor priložený v e-maile od Nebula na nový/čistý USB (FAT32) a pripojte ho k USB portu firewallu. Zapnite firewall, LED SYS bliká červenou pri pripájaní k Nebula a svieti zeleno, keď je pripojený. Pre kontrolu stavu brány choďte na Nebula Dashboard. mceclip21.png Zariadenie potrebuje niekoľko minút na pripojenie k Nebula a zobrazenie online. Riešenie problémov Internetové pripojenie je nedostupné - Skontrolujte internetové pripojenie Webový prehliadač zobrazuje, že internetové pripojenie je nedostupné pri prístupe na URL z e-mailu. mceclip23.png
Skontrolujte vaše internetové pripojenie a uistite sa, že ste pripojení k WAN (P2) rozhraniu. Potom kliknite na "Retry" pre opätovné spustenie ZTP. mceclip24.png

Môžete tiež kliknúť na "Network Test Tools" pre prihlásenie do webového GUI zariadenia na ďalšie riešenie problémov. Používateľ je "support" a heslo je sériové číslo firewallu. mceclip25.pngAk máte statickú IP / PPPoE pripojenie, dvakrát skontrolujte, či ste správne zadali statické IP údaje lokálne na zariadení:  mceclip26.pngChoďte do Configuration -> WAN Settings a skontrolujte, či je všetko správne vyplnené mceclip27.png Zero Touch Provisioning (ZTP) zlyháva, pretože zariadenie nie je v továrenskom predvolenom stave Podržte reset tlačidlo na 5 sekúnd pre reset zariadenia do továrenského predvoleného nastavenia. Potom kliknite na URL pre opätovné spustenie ZTP. mceclip28.png ZTP cez USB: LED SYS neprestáva blikať červenou Nebula Dashboard ukazuje, že firewall je offline.
Ak ZTP cez USB zlyháva, skontrolujte internetové pripojenie. Otvorte súbor ztpresult.log na USB pre kontrolu stavu. mceclip29.pngTu je príklad: mceclip30.png
ZTP zlyháva, pretože na USB nie je zodpovedajúci ZTP súbor pre toto zariadenie. Uistite sa, že ste skopírovali správny ZTP súbor. Režim Nebula sa nezobrazuje pri prístupe do Web GUI Môžete aktualizovať zariadenie cez Web konfigurátor alebo pomocou ZON utility. Tento článok ukazuje, ako to urobiť cez ZON utility. Uistite sa, že máte nainštalovaný ZON na vašom počítači. Ak nie, môžete si ho stiahnuť tu: Zyxel One Network Utility (ZON) Pripojte napájací port k zdroju napájania a zapnite firewall. Počkajte, kým LED SYS nezhasne na zeleno. Pripojte počítač k portu 4 (P4) firewallu. mceclip31.pngOtvorte ZON na vašom počítači, aby ste naskenovali firewall. Vyberte firewall a kliknite na "Firmware Upgrade": mceclip32.png

Vyberte najnovšiu verziu firmvéru z cloudu a zadajte predvolené heslo „1234“ pre aktualizáciu. Proces aktualizácie trvá približne 5 minút. mceclip33.png Licencovanie pre sériu USG FLEX Zabalené licencovanie Nebula pre váš USG FLEX v Nebula Control Center Ak váš USG Flex prišiel so zabalenou licenciou, automaticky získate Nebula Professional Pack na 1 rok pre vaše zariadenie. Licencia služby UTM bude bezproblémovo prenesená do Nebula, bez ohľadu na zostávajúci čas. Ak váš USG neprišiel so zabalenou licenciou, stále si užijete 30-dňovú skúšobnú dobu pre vaše UTM služby. Služby Nebula Pro Pack tiež automaticky zahŕňajú 30-dňovú skúšobnú dobu počas vytvárania vašej organizácie. Skúšobná licencia sa vzťahuje aj na vaše zariadenie so zabalenou licenciou. Migrácia mojej existujúcej licencie NSG (NSS) na USG FLEX (UTM) Na migráciu licencie z vášho predchádzajúceho NSG na USE FLEX v cloude platí nasledujúca mapovacia tabuľka. Napríklad NSG 100 môže migrovať svoju licenciu iba na USG FLEX 200 a nemôže migrovať licenciu na iné modely USG FLEX. Rad NSG NSG50 NSG100 NSG200 NSG300 Rad USG FLEX USG FLEX 100/100W USG FLEX 200 USG FLEX 500 USG FLEX 700 Ak váš USG FLEX 100 už má 1-ročnú licenciu, po migrácii zostávajúcej licencie z NSG50 (napr.: 6 mesiacov) na USG FLEX 100, bude mať tento posledný k dispozícii licenciu na 1 a pol roka na použitie. Obmedzenia pri prechode na režim Nebula Existujú určité obmedzenia a nasledujúce funkcie zatiaľ nie sú dostupné v cloudovom režime pre USG FLEX: - Zariadenie HA
- Emailová bezpečnosť (Anti-Spam)
- SSL inšpekcia
- Dynamické smerovanie (RIP, OSPF, BGP)
- Súvisiace funkcie IPv6
- AP kontrolér (Nebula Control Center by mal byť použitý ako AP kontrolér namiesto toho)
- Hotspot služba (Nebula Control Center už podporuje hotspot služby ako Voucher a Walled garden) Ak narazíte na iné problémy, neváhajte sa obrátiť na náš tím podpory.

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
3 z 4 to považovali za užitočné
Zdieľať

Príspevky

0 komentárov

Ak chcete napísať komentár, prihlásiť sa.