Наш межсетевой экран USG FLEX может управляться и предоставляться с помощью Nebula Control Center (NCC), начиная с прошивки ZLD5.00 и далее. Серия ATP может управляться в NCC начиная с прошивки ZLD5.10. В этом руководстве показано, как добавить устройство на Nebula с помощью процесса ZTP и предварительно настроить параметры брандмауэра на Nebula, прежде чем доставить устройство для установки на месте. В этой статье рассказывается о том, как зарегистрировать брандмауэр в Nebula. Она разделена на различные разделы, поэтому перейдите к соответствующему разделу в оглавлении.
Примечание: режим ZTP недоступен начиная с версии 5.37 patch 1, поэтому вы должны развернуть устройство в Nebula, используя родной режим. Ниже перечислены затронутые модели. Серия ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Серия USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Почему я не могу использовать ZTP или нативный режим для развертывания своего брандмауэра на Nebula?

Если вы столкнулись с трудностями при добавлении устройства в Nebula, это может означать, что ваше устройство было произведено до конца 2023 года и требует завершения процесса Zero Touch Provisioning (ZTP). Чтобы продолжить, выполните следующие действия:

• Понизьте версию прошивки на устройстве
• Пройдите процесс ZTP в соответствии с требованиями.
• После успешного добавления обновите устройство до последней версии прошивки.

Как зарегистрировать межсетевой экран в Nebula (Видео)

Примечание: Для подключения устройства к Nebula необходимо сбросить настройки по умолчанию, потеряв все предыдущие параметры, которые могли быть заданы. После подключения к Nebula устройство будет автоматически сконфигурировано с настройками Nebula по умолчанию. Обратите внимание, что существуют некоторые ограничения, и следующие функции пока не доступны в облачном режиме для USG FLEX:

• Device HA
• Защита электронной почты (антиспам)
• Проверка SSL
• Динамическая маршрутизация (RIP, OSPF, BGP)
• Связанные функции IPv6
• Контроллер точки доступа (в качестве контроллера точки доступа следует использовать Nebula Control Center)
• Служба хотспота (Nebula Control Center уже поддерживает такие службы хотспота, как Voucher, Walled garden)

Лицензирование

• Лицензирование вашего USG FLEX в Nebula Control Center

Если ваш USG Flex поставляется с лицензией в комплекте, вы автоматически получите Nebula Professional Pack сроком на 1 год для вашего устройства. Лицензия на услуги UTM будет плавно перенесена на Nebula, независимо от оставшегося срока действия.

Если ваш USG не поставляется с пакетной лицензией, вы все равно сможете воспользоваться 30-дневной пробной версией для услуг UTM. Услуги Nebula PRO Pack также включают 30-дневную пробную лицензию автоматически при создании вашей организации.

Период пробной лицензии также распространяется на устройство с пакетной лицензией.

• Перенос существующей лицензии NSG (NSS) на USG FLEX (UTM)

Для переноса лицензии с вашего NSG на USG FLEX в облаке применяется следующая таблица сопоставления. Например, NSG 100 может перенести свою лицензию только на USG FLEX 200 и не может перенести лицензию на другие модели USG FLEX.

В случае если ваш USG FLEX 100 уже имеет лицензию на 1 год, после переноса оставшейся лицензии с NSG50 (например, 6 месяцев) на USG FLEX 100, последний будет иметь лицензию на 1,5 года для использования.

Пожалуйста, отправьте запрос в службу поддержки, и наша команда с радостью поможет вам решить проблему с миграцией лицензий в приоритетном порядке.

Выбор режима Nebula через веб-интерфейс

Если на вашем устройстве установлена версия 5.10 и используются заводские настройки по умолчанию, при первой попытке входа в веб-конфигуратор потребуется обновить пароль администратора по умолчанию ("1234").

• Режим Nebula

Выберите режим Nebula Mode для управления устройством Zyxel с помощью Nebula Control Center (NCC). NCC - это облачная система управления сетью, которая позволяет управлять и контролировать устройство Zyxel удаленно.

Следуйте указаниям мастера режима Nebula, чтобы настроить параметры WAN для передачи управления устройством Zyxel в NCC.

После того как режим управления и WAN устройства настроены для доступа в Интернет, вы можете перейти к Nebula для дальнейшей настройки. Более подробная информация приведена в разделе "Нативный режим Nebula".

• Удаленный переход из локального режима в режим Nebula

Даже если у вас статические IP-адреса или заводские настройки по умолчанию, вы можете удаленно переключить ваше местное решение для управления в режим облака Nebula с помощью веб-интерфейса. Обратите внимание, что устройство будет сброшено на заводские настройки, и конфигурации будут утеряны. На этапе 13 Nebula не нужно выезжать на место, чтобы сбросить заводские настройки устройства перед миграцией на Nebula. Теперь это можно сделать удаленно.

Требования для удаленной миграции на Nebula следующие: брандмауэр:

• должен быть в режиме Nebula Native Mode, что означает, что он должен содержать сертификат ZTP.
• Устройство должно быть онлайн (необходим доступ к WAN (интернету)).

Примечание: Если устройство работает в локальном режиме, вы можете пропустить шаг "Nebula native mode".

• Создайте организацию и сайт

Если вы еще не создали организацию и сайт Nebula, перейдите по указанной ссылке. После выполнения этого шага мы можем приступить к процессу регистрации.
Nebula [Сайт/организация] - Как создать/удалить организацию и сайт в центре управления Nebula?

Настройка брандмауэра на портале Nebula

Прежде чем выполнять эти действия, пожалуйста, заранее ознакомьтесь с топологией сети, настройками брандмауэра и конфигурацией WAN. Эта информация позволит вам предварительно сконфигурировать настройки брандмауэра перед его включением в Nebula. Брандмауэр автоматически синхронизирует эту конфигурацию при подключении к Nebula. При создании сайта вы можете указать модель вашего брандмауэра, не добавляя его. Это позволяет предварительно настроить некоторые параметры перед добавлением самого устройства.

• Параметры группы портов

Site-wide -> Configure -> Firewall -> Port

• Чтобы настроить группы портов WAN/LAN или добавить группы WAN/LAN в соответствии с вашим сценарием.

• Настройте параметры WAN, если у вас статический IP-адрес

Site-wide -> Configure -> Firewall - interfaces

• чтобы изменить IP-адреса интерфейсов WAN/LAN в соответствии с вашим сценарием.

Зарегистрируйте брандмауэр и выберите метод развертывания

Ручной режим

Go to Site-wide -> License & Inventory

Войдите на страницу устройства и нажмите "Добавить", чтобы зарегистрировать брандмауэр. Вы можете зарегистрировать несколько устройств, введя MAC-адрес и серийный номер.

После этого вы можете назначить устройство на нужный сайт. У вас может быть несколько устройств в организации, отсюда вы можете выбрать конкретное устройство и назначить его соответствующему сайту:

Появится всплывающее окно, в котором можно выбрать метод развертывания устройства.

Режим Zero Touch Provision

При первой регистрации устройства на Nebula необходимо использовать режим Zero Touch Provision , поскольку устройству требуется процесс ZTP, чтобы стать способным работать в облаке. Перейдите к выполнению процесса ZTP

Родной режим Nebula

При первой регистрации устройства в Nebula необходимо убедиться, что на устройстве имеется сертификат ZTP. На всех устройствах брандмауэр должен сначала один раз пройти процесс ZTP . В более новых устройствах сертификат ZTP может уже находиться в брандмауэре (проверьте наличие сертификата ZTP здесь - если у вас нет сертификата ZTP, вам нужно пройти процесс ZTP, и вы не сможете использовать родной режим, чтобы включить брандмауэр).

• Сброс устройства к конфигурации по умолчанию

Когда вы хотите перейти из автономного режима в Nebula, вам нужно сначала сбросить устройство с помощью кнопки RESET, расположенной на передней панели устройства (удерживая ее в течение 15 секунд). Если во время этого процесса вы измените даже малейшие настройки (например, пароль администратора), миграция не будет успешной.

• Проверьте наличие DHCP или статического IP в глобальной сети

Если у вас статический IP в глобальной сети, вам нужно войти в устройство через веб-интерфейс, выбрать режим Nebula и ввести IP-информацию, необходимую для установления соединения:

Если у вас статический IP в WAN, пройдите через мастер ниже и после завершения перейдите к шагу 2 - регистрации устройства:

• Выберите режим Native Mode

Подключите порт WAN к порту, указанному на картинке (в данном примере P2), а LAN - к порту, указанному на картинке (в данном примере P4) - Примечание: Больше ничего не должно быть подключено.

• Вы должны увидеть, что брандмауэр ожидает подключения устройства к Nebula (в разделе Устройства -> Брандмауэр):

Теперь брандмауэр должен выполнить быстрый перезапуск, и после перезапуска устройство должно подключиться к сети в течение 20 минут.

Устранение неполадок - "Ожидание подключения устройства" [Проверка сертификата ZTP]

Если ваше устройство застряло в режиме Native "Ожидание подключенного устройства" - вам необходимо дважды проверить наличие сертификата ZTP:

Войдите через SSH на устройство (используя программу Putty или Teraterm) и введите show native mode cert file status:

Если вы получите ошибку или сертификат отсутствует, значит, вы еще не выполнили процесс ZTP на этом брандмауэре и вам нужно использовать процесс ZTP в этот раз. Также может быть, что у вас нет версии прошивки 5.10 и вам нужно обновить брандмауэр перед использованием режима Native.

• Переход из локального режима в режим Nebula в веб-интерфейсе

Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula

Появится всплывающее окно, в котором нужно нажать "Да":

Затем дождитесь, пока устройство перейдет в режим Nebula.

Выполнение процесса ZTP

В видео, показанном в начале статьи, показан весь процесс, отличается только последняя часть. Эта последняя часть соответствует процессу ZTP, который выполняется двумя методами, как показано в видео. Этот метод рассматривается в следующих двух подразделах.

Для процесса ZTP необходимо указать, как будет настроено WAN-соединение (DCHP/PPPoE/статический IP), и указать адрес электронной почты, на который будет отправлено письмо со ссылкой и JSON-файлом. "Я сам установлю брандмауэр" отправляет письмо на аккаунт, который в данный момент добавляет устройство на сайт. Также можно указать любую другую учетную запись электронной почты, чтобы установщик мог запустить процесс ZTP.

• Активация облачных возможностей брандмауэра по URL-адресу

Запустив устройство с последней версией прошивки, подключите порт питания к соответствующему источнику питания и включите брандмауэр. Дождитесь, пока индикатор SYS загорится зеленым цветом. Затем подключите интерфейс WAN (P2) к Интернету.

Подключите интерфейс LAN (P4) к компьютеру.

Откройте письмо, полученное от Nebula, и нажмите на кнопку "Разрешить Nebula управлять моим устройством".

Дождитесь, пока Nebula Zero Touch Provisioning не будет успешно завершен. Нажмите "Перейти в Центр управления Nebula", чтобы получить доступ к Nebula.

Устройству потребуется несколько минут, чтобы подключиться к Nebula и войти в сеть.

Примечание: Если к порту 4 USG FLEX уже подключено устройство типа AP, и AP уже предоставляет Wi-Fi сеть в подсети 192.168.1.1/24, вы можете выполнить ZTP через URL с любого устройства, подключенного к Wi-Fi сети, что позволяет сделать это с мобильного устройства.

• Активация облачных возможностей брандмауэра через USB

Кроме того, вы можете активировать брандмауэр с помощью USB-накопителя. Скопируйте файл, прикрепленный в письме, отправленном с Nebula, на новый/чистый USB (FAT32) и подключите его к USB-порту брандмауэра. Включите брандмауэр, светодиод SYS мигает красным, когда он подключается к Nebula, и постоянным зеленым, когда он подключен.

Перейдите на панель Nebula Dashboard, чтобы проверить состояние шлюза.

Устройству потребуется несколько минут, чтобы подключиться к Nebula и войти в сеть.

Устранение неполадок

• Интернет-соединение не работает - Проверьте интернет-соединение

Веб-браузер показывает, что при обращении к URL-адресу в электронном письме интернет-соединение прервано.

Проверьте подключение к Интернету и убедитесь, что вы подключены к интерфейсу WAN (P2). Затем нажмите на "Retry", чтобы повторить ZTP.

Вы также можете нажать на "Инструменты тестирования сети", чтобы войти в веб-интерфейс устройства для дальнейшего поиска и устранения неисправностей. Пользователь - "Support", а пароль - серийный номер брандмауэра.

Если вы используете соединение Static IP / PPPoE, дважды проверьте, что вы ввели информацию о статическом IP на устройстве локально:

Go to Configuration -> WAN Settings and double-check that everything is filled in correctly

• Не удается выполнить Zero Touch Provisioning (ZTP), поскольку устройство не находится в состоянии по умолчанию.

Пожалуйста, удерживайте кнопку сброса в течение 5 секунд, чтобы вернуть устройство к заводским настройкам. Затем нажмите на URL-адрес, чтобы повторить ZTP.

• ZTP через USB: Светодиод SYS не перестает мигать красным цветом

Nebula Приборная панель показывает, что брандмауэр находится в автономном режиме.
Если ZTP по USB не работает, проверьте подключение к Интернету. Откройте журнал ztpresult.log в USB, чтобы проверить состояние.

Вот пример:

ZTP не удается, потому что на USB нет подходящего ZTP-файла для этого устройства. Убедитесь, что вы скопировали правильный файл ZTP.

• Режим Nebula не отображается при доступе к веб-интерфейсу

Вы можете обновить устройство через интерфейс Web-конфигуратора устройства (см. здесь) или с помощью утилиты ZON. В этой статье показано, как это сделать с помощью утилиты ZON.

Убедитесь, что на вашем компьютере установлена программа ZON. Если нет, вы можете загрузить ее здесь:

Zyxel One Network Utility (ZON)

Подключите порт питания к источнику питания и включите брандмауэр. Дождитесь, пока индикатор SYS загорится зеленым цветом. Подключите компьютер к порту 4 (P4) брандмауэра.

Откройте программу ZON на компьютере, чтобы просканировать брандмауэр. Выберите брандмауэр, затем нажмите "Обновление прошивки":

Выберите последнюю версию прошивки из облака и введите пароль по умолчанию "1234" для обновления. Процесс обновления прошивки занимает около 5 минут.

Лицензирование для серии USG FLEX

• Лицензирование Nebula для USG FLEX в Nebula Control Center.

Если ваш USG Flex поставляется с лицензией в комплекте, вы автоматически получите Nebula Professional Pack сроком на 1 год для своего устройства. Лицензия на услуги UTM будет плавно перенесена на Nebula, независимо от оставшегося срока действия.

Если ваш USG не поставляется с лицензией в комплекте, вы все равно сможете воспользоваться 30-дневной пробной версией услуг UTM. Услуги Nebula Pro Pack также включают 30-дневную пробную версию автоматически при создании вашей организации.

Период пробной лицензии распространяется и на устройство с пакетной лицензией.

• Перенос существующей лицензии NSG (NSS) на USG FLEX (UTM)

Для переноса лицензии с предыдущего NSG на USG FLEX в облаке применяется следующая таблица сопоставления. Например, NSG 100 может перенести свою лицензию только на USG FLEX 200 и не может перенести лицензию на другие модели USG FLEX.

Если ваш USG FLEX 100 уже имеет лицензию на 1 год, то после переноса оставшейся лицензии с NSG50 (например, 6 месяцев) на USG FLEX 100, последний будет иметь лицензию на 1,5 года, которую можно использовать.

• Ограничения при переходе в режим Nebula

Существуют некоторые ограничения, и следующие функции пока не доступны в облачной модели для USG FLEX:

- Device HA
- Защита электронной почты (антиспам)
- Проверка SSL
- Динамическая маршрутизация (RIP, OSPF, BGP)
- Связанные функции IPv6
- Контроллер точки доступа (в качестве контроллера точки доступа следует использовать Nebula Control Center)
- Служба хотспота (Nebula Control Center уже поддерживает такие службы хотспота, как Voucher и Walled garden)

Если у вас возникли другие проблемы, пожалуйста, свяжитесь с нашей службой поддержки.