Vår USG FLEX- brandvägg kan hanteras och tillhandahålls av Nebula Control Center (NCC) från ZLD5.00 firmware och framåt. ATP-serien kan hanteras i NCC från ZLD5.10 firmware. Den här guiden visar hur du lägger till enheten på Nebula med ZTP-processen och förkonfigurerar brandväggsinställningarna på Nebula, innan enheten levereras för installation på plats.

Den här artikeln visar hur du registrerar din brandvägg i Nebula. Den är uppdelad i olika sektioner, så vänligen navigera till relevant sektion för dig i innehållsförteckningen.

Innehållsförteckning

1. Så här registrerar du din brandvägg i Nebula (videor)

2. Välj Nebula-läge via webbgränssnittet

2.1 Nebula Läge

2.2 Migrera från lokalt till Nebula-läge

3. Skapa en organisation och webbplats

4. Konfigurera Firewall i Nebula-portalen

4.1 Port Gruppinställningar

4.2 Konfigurera WAN-inställningar om du har en statisk IP

5. Registrera Firewall och välj distributionsmetoden

5.1 Zero Touch Provision-läge

5.2 Nebula inbyggt läge

6. Kör ZTP-processen

6.1 Aktivera molnfunktionen Firewall via URL

6.2 Aktivera molnkapaciteten Firewall via USB

7. Felsökning

8. Licensiering för USG FLEX-serien

1. Så här registrerar du din brandvägg i Nebula (videor)

1.1 Registrera dig i Nebula med ZTP URL-läge (09:02)

1.2 Registrera din enhet i Nebula med ZTP USB-läge (01:58)

Notera: Din enhet måste vara reset till standard för att kunna ansluta den till Nebula och förlora alla tidigare inställningar som kan ha konfigurerats. När enheten är ansluten till Nebula kommer enheten att konfigureras automatiskt med Nebula standardinställningar. Observera också att det finns vissa begränsningar och att följande funktion ännu inte är tillgänglig i molnläget för USG FLEX:

- Enhet HA
- E-postsäkerhet (Anti-Spam)
- SSL-inspektion
- Dynamisk routing (RIP, OSPF, BGP)
- Relaterade IPv6-funktioner
- AP-kontroller (Nebula Control Center bör användas som AP-kontroller istället)
- Hotspot-tjänst (Nebula Control Center stöder redan hotspot-tjänster som Voucher, Walled Garden)

Licensiering av din USG FLEX till Nebula Control Center.

Om din USG Flex kom med en medföljande licens kommer du automatiskt att få ett Nebula Professional Pack på 1 år för din enhet. UTM-tjänstelicensen kommer sömlöst att överföras till Nebula, oavsett återstående tid.

Om din USG inte kom med en paketlicens kommer du fortfarande att njuta av 30 dagars provperiod för dina UTM-tjänster. Nebula PRO Pack-tjänsterna inkluderar också 30 dagars provperiod automatiskt medan din organisation skapas.

Provlicensperioden gäller även för din enhet med en paketlicens.

Migrerar min befintliga NSG-licens (NSS) till USG FLEX (UTM).

För att migrera licensen från din tidigare NSG till USE FLEX på molnet, gäller följande mappningstabell. Till exempel kan NSG 100 bara migrera sin licens till USG FLEX 200 och kan inte migrera licensen till andra USG FLEX-modeller.

Om din USG FLEX 100 redan har en 1-års licens, efter att ha migrerat den återstående licensen från NSG50 (ex.: 6 månader) till USG FLEX 100, slutar den senare med att ha 1 och ett halvt års licens att användas.

Skicka en supportförfrågan så hjälper vårt team dig gärna att lösa ditt problem med migreringslicensen med vederbörlig prioritet.

2. Välj Nebula-läge via webbgränssnittet

När din enhet kör 5.10 och använder fabriksinställningarna, när du försöker logga in på webbkonfiguratorn för första gången, kommer en uppdatering av administratörens standardlösenord ("1234") att krävas.

2.1 Nebula Läge

Välj Nebula Mode för att hantera din Zyxel-enhet med Nebula Control Center (NCC). NCC är ett molnbaserat nätverkshanteringssystem som låter dig hantera och övervaka din Zyxel-enhet på distans.

Följ lägesguiden Nebula för att konfigurera WAN-inställningarna för att överföra hanteringen av din Zyxel-enhet till NCC.

När hanteringsläget och enhetens WAN har konfigurerats för att tillåta internetåtkomst kan du fortsätta till Nebula för ytterligare inställningar.

Mer information i avsnitt 5.2 .

2.2 Migrera på distans från lokalt till Nebula-läge

Även om du har statiska IP-inställningar eller fabriksinställningar kan du byta din lokala hanteringslösning till Nebula Cloud-läge på distans med hjälp av webbgränssnittet. Observera att enheten kommer att vara reset från fabrik och konfigurationer kommer att gå förlorade. På Nebula Fas 13 behöver du inte gå på plats till fabriken av reset enheten innan du migrerar till Nebula. Nu kan du göra det på distans .

Kraven för att fjärrmigrera till Nebula är att brandväggen:

- Behöver vara i Nebula Native Mode vilket betyder att den måste innehålla ZTP-certifikatet

- Enheten måste vara online (WAN (internet) åtkomst krävs)

Notera! Om du har enheten i lokalt läge kan du hoppa över steg 5.2.

3. Skapa en organisation och webbplats

Logga in på Nebula Kontrollcenter med ditt myZyxel-konto och skapa en ny organisation.

Namnge organisationen och webbplatsen och klicka sedan på "Nästa".

Du kan lägga till din enhet här, men för den här artikeln kommer vi att visa hur du lägger till enheten om din organisation och webbplats redan finns. Klicka på "Nästa" för att hoppa över att lägga till en enhet till Nebula.

På nästa sida klickar du på "Hoppa över WiFi-inställningar" för att fortsätta. Och i det sista steget klicka på "Gå till Nebula Dashboard".

På Nebula Dashboard, klicka på "Brandvägg" för att välja den brandväggsmodell du vill konfigurera.
I det här exemplet har vi valt USG FLEX 200.

Alternativt kan du också skapa organisationen och webbplatsen via Nebula-appen.
Detta kan uppnås genom att öppna Nebula-appen, logga in med ditt konto och trycka på "Skapa organisation" för att starta den första installationsprocessen. Namnge organisationen och webbplatsen, tryck sedan på "Skapa", Skanna din enhets QR-kod, konfigurera ZTP och när du är klar, gå till Dashboard.

4. Konfigurera Firewall i Nebula-portalen

Innan du utför dessa steg, vänligen ha nätverkstopologin, brandväggsinställningarna och WAN-konfigurationen i förväg. Denna information gör att du kan förkonfigurera Firewall-inställningarna innan de slås på inom Nebula. Firewall kommer automatiskt att synkronisera denna konfiguration när den ansluter till Nebula.

4.1 Port Gruppinställningar

Gå till Brandvägg -> Konfigurera -> Port för att konfigurera WAN/LAN-portgrupperna eller lägg till WAN/LAN-grupper för att matcha ditt scenario.

4.2 Konfigurera WAN-inställningar om du har en statisk IP

Gå till Brandvägg -> Konfigurera -> Gränssnitt för att ändra WAN/LAN-gränssnittets IP-adresser för att matcha ditt scenario.

5. Registrera Firewall och välj distributionsmetoden

Ett annat sätt att registrera din enhet är att gå till hela organisationen -> Konfigurera -> Licens och inventering . Gå in på enhetssidan och klicka på "Lägg till" för att registrera Firewall. Du kan registrera flera enheter genom att ange MAC-adress och serienummer.

Efteråt kan du tilldela enheten till rätt plats. Du kan ha flera enheter i en organisation, härifrån kan du välja en specifik enhet och tilldela den till motsvarande webbplats:

Ett popup-fönster visas där du kan välja enhetsdistributionsmetod.

5.1 Zero Touch Provision-läge

För första gången som enheten registreras på Nebula, läget Zero Touch Provision måste användas eftersom enheten behöver ZTP-processen för att bli Cloud-kompatibel. Gå till steg 6 - Kör ZTP-processen

5.2 Nebula inbyggt läge

När du först registrerar din enhet i Nebula måste du se till att du har ZTP-certifikatet på din enhet. I alla enheter måste brandväggen först gå igenom ZTP-processen en gång. I nyare enheter kan ZTP-certifikatet redan finnas i brandväggen (kontrollera om du har ZTP-certifikatet här - om du inte har ZTP-certifikatet måste du göra ZTP-processen och du kan inte göra det inbyggda läget för att få brandvägg online).

5.2.1 Återställ enheten till standardkonfigurationen

När du vill migrera från fristående läge till Nebula måste du reset först använda RESET-knappen på enhetens framsida (håll den nedtryckt i 15 sekunder). Om du under processen ändrar ens den minsta inställning (t.ex. administratörslösenordet), kommer migreringen inte att lyckas.

5.2.2 Kontrollera om du har DHCP eller statisk IP på WAN

Om du har statisk IP på ditt WAN måste du logga in på enheten via webbgränssnittet, välja Nebula-läge och ange den IP-information som behövs för att en anslutning ska upprättas:

Om du har statisk IP på WAN, gå igenom guiden nedan och efter att du är klar, gå till steg 2 - registrera enheten:

5.2.3 Välj det ursprungliga läget

Anslut din WAN-port till porten som anges på bilden (i detta exempel P2) och LAN på porten som visas (i detta exempel P4) - Obs! Inget annat ska vara kopplat.

Du bör kunna se att den väntar på att enheten ska ansluta sig till Nebula (under Firewall -> Monitor -> Firewall):

Brandväggen bör nu göra en snabb omstart och efter omstarten ska enheten komma online inom 20 minuter.

5.2.4 Felsökning - "Väntande enhet ansluten" [Kontrollerar ZTP-certifikat]

Om din enhet har fastnat i ursprungligt läge "Väntar på att en enhet är ansluten" - måste du dubbelkolla att du har ZTP-certifikatet:

Logga in via SSH på enheten (med programmet Putty eller Teraterm) och skriv show native mode cert file status :

Om du får ett felmeddelande eller om certifikatet inte finns där, har du inte gjort ZTP-processen ännu på den brandväggen och behöver använda ZTP-processen den här gången. Det kan också vara så att du inte har 5.10 firmware-versionen och behöver uppgradera brandväggen innan du använder Native-läget.

5.3 Migrera från lokalt läge till Nebula läge i webbgränssnittet

Gå till Konfiguration -> Mgmt. & Analytics -> Nebula , klicka sedan på Apply och gå till Nebula

Du får då ett popup-fönster och du måste klicka på ja:

Sedan väntar du på att enheten kommer online i Nebula.

6. Kör ZTP-processen

Videorna som visas i början av artikeln visar hela processen med bara den sista delen som är annorlunda. Den sista delen motsvarar ZTP-processen, vilka två metoder är tillgängliga som visas i videon. Denna metod behandlas i följande 2 underavsnitt.

För ZTP-processen måste du ange hur WAN-anslutningen ska konfigureras (DCHP/PPPoE/Static IP) och ange en e-postadress dit e-postmeddelandet som innehåller länken och JSON-filen ska skickas till. "Jag kommer att installera brandväggen själv" skickar e-postmeddelandet till kontot som lägger till enheten på webbplatsen för tillfället. Det är också möjligt att ange vilket annat e-postkonto som helst så att en installatör kan köra ZTP-processen.

6.1 Aktivera molnfunktionen Firewall via URL

När enheten med den senaste firmware körs, anslut strömporten till en lämplig strömkälla och slå på brandväggen. Vänta tills SYS-lampan lyser med fast grönt sken. Anslut sedan WAN (P2)-gränssnittet till Internet.

Anslut LAN (P4)-gränssnittet till datorn.

Öppna e-postmeddelandet från Nebula och klicka på "Tillåt Nebula att hantera min enhet".

Vänta tills Nebula Zero Touch Provisioning lyckades. Klicka på "Gå till Nebula Kontrollcenter" för att komma åt Nebula.

Det tar några minuter för enheten att ansluta till Nebula och bli online.

Obs: Om du har en enhet som AP redan ansluten till port 4 på USG FLEX och AP redan tillhandahåller ett Wi-Fi-nätverk i subnätet 192.168.1.1/24, kan du köra ZTP via URL från vilken enhet som helst ansluten till Wi-Fi-nätverket, vilket gör det möjligt att göra det från en mobil enhet.

6.2 Aktivera molnkapaciteten Firewall via USB

Alternativt kan du också aktivera Firewall med ett USB-minne.
Kopiera den bifogade filen i e-postmeddelandet som skickades från Nebula till en ny/ren USB (FAT32) och anslut den till Firewall:s USB-port.
Slå på Firewall, SYS-lampan blinkar rött när den ansluts till Nebula och fast grönt när den är ansluten.

Gå till Site-wide -> Monitor -> Dashboard för att kontrollera gatewayens status.

Det tar några minuter för enheten att ansluta till Nebula och bli online.

7. Felsökning

7.1 Internetanslutningen är nere - Kontrollera internetanslutningen

Webbläsaren visar att internetanslutningen är nere när URL:en i e-postmeddelandet öppnades.

Kontrollera din internetanslutning och se till att du ansluter till WAN (P2)-gränssnittet. Klicka sedan på "Försök igen" för att göra om ZTP.

Du kan också klicka på "Network Test Tools" för att logga in på enhetens webbgränssnitt för ytterligare felsökning. Användaren är "support" och lösenordet är brandväggens serienummer.

Om du har en statisk IP/PPPoE-anslutning, dubbelkolla att du har angett den statiska IP-informationen på enheten lokalt:

Navigera till Konfiguration -> WAN-inställningar och dubbelkolla att allt är korrekt ifyllt:

7.2 Zero Touch Provisioning (ZTP) misslyckas eftersom den här enheten inte är i fabriksstandardläget.

Håll knappen reset intryckt i 5 sekunder för att reset enheten ska återställas till fabriksinställningarna. Klicka sedan på URL:en för att göra om ZTP.

7.3 ZTP via USB: SYS LED slutar inte blinka rött

Nebula Dashboard visar att brandväggen är offline.
Om ZTP via USB misslyckas, kontrollera internetanslutningen. Öppna ztpresult.log in USB för att kontrollera status.

Här är ett exempel:

ZTP misslyckas eftersom det inte finns någon matchande ZTP-fil i USB-enheten för den här enheten. Se till att du kopierar rätt ZTP-fil.

7.4 Nebula-läge visas inte när du kommer åt webbgränssnittet

Du kan uppgradera din enhet via Device Web Configurator-gränssnittet (kolla här ) eller med hjälp av ZON-verktyget. Den här artikeln visar hur du gör det via ZON-verktyget.

Se till att du har installerat ZON på din dator. Om inte kan du ladda ner den här:

Zyxel One Network Utility (ZON)

Anslut strömporten till strömkällan och slå på brandväggen. Vänta tills SYS-lampan lyser med fast grönt sken. Anslut din dator till brandväggens port 4 (P4).

Öppna ZON på din dator för att skanna brandväggen. Välj brandvägg och klicka sedan på "Firmware Upgrade":

Välj den senaste firmwareversionen från molnet och ange standardlösenordet "1234" för att uppgradera. Den fasta programvaran tar cirka 5 minuter att slutföra.

8. Licensiering för USG FLEX-serien

8.1 Samlade Nebula-licenser för din USG FLEX till Nebula Control Center.

Om din USG Flex kom med en medföljande licens kommer du automatiskt att få ett Nebula Professional Pack på 1 år för din enhet. UTM-tjänstelicensen kommer sömlöst att överföras till Nebula, oavsett återstående tid.

Om din USG inte kom med en medföljande licens, kommer du fortfarande att njuta av 30 dagars provperiod för dina UTM-tjänster. Nebula Pro Pack-tjänsterna inkluderar också 30 dagars provperiod automatiskt medan din organisation skapas.

Provlicensperioden gäller även för din enhet med en paketlicens.

8.2 Migrera min befintliga NSG-licens (NSS) till USG FLEX (UTM).

För att migrera licensen från din tidigare NSG till USE FLEX på molnet, gäller följande mappningstabell. Till exempel kan NSG 100 bara migrera sin licens till USG FLEX 200 och kan inte migrera licensen till andra USG FLEX-modeller.

Om din USG FLEX 100 redan har en 1-års licens, efter att ha migrerat den återstående licensen från NSG50 (ex.: 6 månader) till USG FLEX 100, slutar den senare med att ha 1 och ett halvt års licens att användas.

8.3 Begränsningar med att byta till Nebula-läge

Det finns vissa begränsningar och följande funktion är ännu inte tillgänglig på molnmodellen för USG FLEX:

- Enhet HA
- E-postsäkerhet (Anti-Spam)
- SSL-inspektion
- Dynamisk routing (RIP, OSPF, BGP)
- Relaterade IPv6-funktioner
- AP-kontroller (Nebula Control Center bör användas som AP-kontroller istället)
- Hotspot-tjänst (Nebula Control Center stöder redan hotspot-tjänster som Voucher, Walled Garden)

Om du stöter på andra problem är du välkommen att kontakta vårt supportteam.