Vår USG FLEX-brandvägg kan hanteras och tillhandahållas av Nebula Control Center (NCC) från ZLD5.00 firmware och framåt. ATP-serien kan hanteras i NCC från firmware ZLD5.10. Den här guiden visar hur du lägger till enheten på Nebula med hjälp av ZTP-processen och förkonfigurerar brandväggsinställningarna på Nebula, innan du levererar enheten för installation på plats. Den här artikeln visar hur du registrerar din brandvägg i Nebula. Den är indelad i olika avsnitt, så navigera till det avsnitt som är relevant för dig i innehållsförteckningen.
Observera: ZTP-läget är inte tillgängligt från och med version 5.37 patch 1, så du måste distribuera enheten till Nebula med hjälp av inbyggt läge. Här är de modeller som påverkas. ATP-serien: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 USG FLEX-serien: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Varför kan jag inte använda ZTP eller Native Mode för att distribuera min brandvägg på Nebula?

Om du stöter på problem med att lägga till din enhet på Nebula kan det tyda på att din enhet tillverkades före slutet av 2023 och kräver att ZTP-processen (Zero Touch Provisioning) slutförs. Följ dessa steg för att fortsätta:

• Nedgradera den inbyggda programvaran på din enhet
• Navigera genom ZTP-processen efter behov
• Uppdatera enheten till den senaste versionen av den inbyggda programvaran när den har lagts till

Så här registrerar du din brandvägg i Nebula (Videor)

Obs: Din enhet måste återställas till standardinställningarna för att kunna anslutas till Nebula, vilket innebär att alla tidigare inställningar som kan ha konfigurerats försvinner. När enheten är ansluten till Nebula konfigureras den automatiskt med standardinställningarna för Nebula. Observera också att det finns vissa begränsningar och att följande funktioner ännu inte är tillgängliga i molnläget för USG FLEX:

• Enhet HA
• E-postsäkerhet (Anti-Spam)
• SSL-inspektion
• Dynamisk routning (RIP, OSPF, BGP)
• Relaterade IPv6-funktioner
• AP-kontroller (Nebula Control Center bör användas som AP-kontroller istället)
• Hotspot-tjänst (Nebula Control Center stöder redan hotspot-tjänster som Voucher, Walled garden)

Licensiering

• Licensiering av din USG FLEX till Nebula Control Center

Om din USG Flex levererades med en medföljande licens kommer du automatiskt att få ett 1-årigt Nebula Professional Pack för din enhet. UTM-servicelicensen kommer sömlöst att överföras till Nebula, oavsett återstående tid.

Om din USG inte levererades med en paketlicens kommer du fortfarande att ha tillgång till 30 dagars provperiod för dina UTM-tjänster. Nebula PRO Pack-tjänsterna inkluderar också 30 dagars provperiod automatiskt medan din organisation skapas.

Testlicensperioden gäller också för din enhet med en paketlicens.

• Migrera min befintliga NSG-licens (NSS) till USG FLEX (UTM)

För att migrera licensen från din NSG till USE FLEX i molnet gäller följande mappningstabell. Till exempel kan NSG 100 endast migrera sin licens till USG FLEX 200 och kan inte migrera licens till andra USG FLEX-modeller.

Om din USG FLEX 100 redan har en 1-årig licens, efter att ha migrerat den återstående licensen från NSG50 (t.ex.: 6 månader) till USG FLEX 100, slutar den senare med att ha 1 och ett halvt års licens som ska användas.

Skicka en supportbegäran så hjälper vårt team dig gärna att lösa ditt problem med migreringslicensen med hög prioritet.

Välja Nebula-läge via webbgränssnittet

När din enhet kör 5.10 och använder fabriksinställningarna, när du försöker logga in i webbkonfiguratorn för första gången, krävs en uppdatering av adminstandardlösenordet ("1234").

• Nebula Läge

Välj Nebula Mode för att hantera din Zyxel-enhet med hjälp av Nebula Control Center (NCC). NCC är ett molnbaserat nätverkshanteringssystem som gör att du kan hantera och övervaka din Zyxel-enhet på distans.

Följ guiden för Nebula-läge för att konfigurera WAN-inställningarna för att skicka hanteringen av din Zyxel-enhet till NCC.

När hanteringsläget och enhetens WAN har konfigurerats så att internetåtkomst tillåts kan du gå vidare till Nebula för ytterligare konfigurering. Mer information finns i avsnittet "Nebula native mode"

• Migrera fjärrstyrt från lokalt till Nebula-läge

Även om du har statiska IP-inställningar eller fabriksinställningar kan du byta din lokala hanteringslösning till Nebula Cloud-läge på distans med hjälp av webbgränssnittet. Observera att enheten kommer att fabriksåterställas och att konfigurationer kommer att gå förlorade. I Nebula fas 13 behöver du inte åka till platsen för att fabriksåterställa enheten innan du migrerar till Nebula. Nu kan du göra det på distans.

Kraven för att migrera på distans till Nebula är att brandväggen:

• Måste vara i Nebula Native Mode, vilket innebär att den måste innehålla ZTP-certifikatet
• Enheten måste vara online (WAN-åtkomst (internet) behövs)

Obs: Om du har enheten i on-premise-läge kan du hoppa över steget "Nebula native-läge"

• Skapa en organisation och en webbplats

Om du inte har etablerat en Nebula organisation och webbplats ännu, följ den medföljande länkartikeln. När du har slutfört det steget kan vi gå vidare med registreringsprocessen.
Nebula [Site/Organisation] - Hur skapar/raderar jag en organisation och site på Nebula Control Center?

Konfigurera brandväggen i Nebula-portalen

Innan du utför dessa steg bör du ha nätverkstopologi, brandväggsinställningar och WAN-konfiguration i förväg. Denna information gör att du kan förkonfigurera brandväggsinställningarna innan de slås på i Nebula. Brandväggen synkroniserar automatiskt den här konfigurationen när den ansluter till Nebula. När du skapar webbplatsen kan du ange modellen för din brandvägg utan att lägga till den. Detta gör det möjligt att förkonfigurera vissa parametrar innan du lägger till själva enheten.

• Inställningar för portgrupp

Site-wide -> Configure -> Firewall -> Port

• För att konfigurera WAN/LAN-portgrupperna eller lägga till WAN/LAN-grupper för att matcha ditt scenario.

• Konfigurera WAN-inställningar om du har en statisk IP

Site-wide -> Configure -> Firewall - interfaces

• för att ändra WAN/LAN-gränssnittets IP-adresser så att de matchar ditt scenario.

Registrera brandväggen och välj utplaceringsmetod

Manuellt läge

Go to Site-wide -> License & Inventory

Gå till enhetssidan och klicka på "Add" för att registrera brandväggen. Du kan registrera flera enheter genom att ange MAC-adressen och serienumret

Efteråt kan du tilldela enheten till rätt plats. Du kan ha flera enheter i en organisation, härifrån kan du välja en specifik enhet och tilldela den till motsvarande plats:

Ett popup-fönster visas där du kan välja metod för enhetsdistribution.

Zero Touch-läge för tillhandahållande

För första gången som enheten registreras på Nebula måste Zero Touch Provision-läget användas eftersom enheten behöver ZTP-processen för att bli molnkompatibel. Gå till Execute ZTP Process (Utför ZTP-process)

Det ursprungliga läget Nebula

När du först registrerar din enhet i Nebula måste du se till att du har ZTP-certifikatet på din enhet. På alla enheter måste brandväggen först gå igenom ZTP-processen en gång. I nyare enheter kan ZTP-certifikatet redan finnas i brandväggen (kontrollera om du har ZTP-certifikatet här - om du inte har ZTP-certifikatet måste du göra ZTP-processen och du kan inte göra det inbyggda läget för att få brandväggen online).

• Återställ enheten till standardkonfigurationen

När du vill migrera från Stand-alone-läge till Nebula måste du först återställa enheten med hjälp av RESET-knappen på enhetens framsida (håll den intryckt i 15 sekunder). Om du under processen ändrar minsta lilla inställning (t.ex. adminlösenordet) kommer migreringen inte att lyckas.

• Kontrollera om du har DHCP eller statisk IP på WAN

Om du har statisk IP på ditt WAN måste du logga in på enheten via Web GUI, välja Nebula-läge och ange den IP-information som behövs för att en anslutning ska kunna upprättas:

Om du har statisk IP på WAN går du igenom guiden nedan och när du är klar går du till steg 2 - registrera enheten:

• Välj det inbyggda läget

Anslut din WAN-port till den port som anges på bilden (i det här exemplet P2) och LAN till den port som visas (i det här exemplet P4) - Obs: Inget annat ska vara anslutet

• Du bör kunna se att den väntar på att enheten ska ansluta sig till Nebula (under Enheter -> Brandvägg):

Brandväggen bör nu göra en snabb omstart och efter omstarten bör enheten komma online inom 20 minuter.

Felsökning - "Väntar på att enheten ska anslutas" [Kontrollerar ZTP-certifikat]

Om din enhet har fastnat i Native-läget "Väntar på att en enhet skaanslutas" måste du dubbelkolla att du har ZTP-certifikatet:

Logga in via SSH på enheten (med hjälp av programmet Putty eller Teraterm) och skriv show native mode cert file status:

Om du får ett felmeddelande eller om certifikatet inte finns där, har du inte gjort ZTP-processen ännu på den brandväggen och måste använda ZTP-processen den här gången. Det kan också vara så att du inte har firmwareversionen 5.10 och behöver uppgradera brandväggen innan du använder Native-läget.

• Migrera från on-premise-läge till Nebula-läge i webb-GUI

Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula

Du kommer då att få en popup och du måste klicka på ja:

Sedan väntar du på att enheten ska komma online i Nebula.

Utför ZTP-processen

Videorna som visades i början av artikeln visar hela processen med bara den sista delen som är annorlunda. Denna sista del motsvarar ZTP-processen som två metoder finns tillgängliga enligt vad som visas i videon. Denna metod omfattas av följande 2 underavsnitt.

För ZTP-processen måste du ange hur WAN-anslutningen ska konfigureras (DCHP/PPPoE/Static IP) och ange en e-postadress dit e-postmeddelandet som innehåller länken och JSON-filen ska skickas. "Jag installerar brandväggen själv" skickar e-postmeddelandet till det konto som lägger till enheten på webbplatsen för tillfället. Det är också möjligt att ange något annat e-postkonto så att en installatör kan köra ZTP-processen.

• Aktivera brandväggens molnfunktion via URL

När du har enheten med den senaste firmware-körningen ansluter du strömporten till en lämplig strömkälla och slår på brandväggen. Vänta tills SYS LED lyser med fast grönt sken. Anslut sedan WAN-gränssnittet (P2) till Internet.

Anslut LAN-gränssnittet (P4) till datorn.

Öppna e-postmeddelandet från Nebula och klicka på "Allow Nebula to Manage My Device".

Vänta tills Nebula Zero Touch Provisioning har lyckats. Klicka på "Gå till Nebula Control Center" för att komma åt Nebula

Det tar några minuter för enheten att ansluta till Nebula och bli online.

Obs: Om du har en enhet som AP som redan är ansluten till port 4 på USG FLEX, och AP:n redan tillhandahåller ett Wi-Fi-nätverk i subnätet 192.168.1.1/24, kan du utföra ZTP via URL från vilken enhet som helst som är ansluten till Wi-Fi-nätverket, vilket gör det möjligt att göra det från en mobil enhet.

• Aktivera brandväggens molnfunktion via USB

Alternativt kan du också aktivera brandväggen med hjälp av ett USB-minne. Kopiera filen som bifogas i e-postmeddelandet från Nebula till ett nytt/rent USB-minne (FAT32) och anslut det till brandväggens USB-port. Slå på brandväggen, SYS LED blinkar rött när den ansluter till Nebula och grönt när den är ansluten.

Gå till Nebula Dashboard för att kontrollera gatewaystatusen.

Det tar några minuter för enheten att ansluta till Nebula och bli online.

Felsökning

• Internetanslutningen är nere - Kontrollera internetanslutningen

Webbläsaren visar att internetanslutningen är avstängd när URL:en i e-postmeddelandet öppnades.

Kontrollera din internetanslutning och se till att du ansluter till WAN-gränssnittet (P2). Klicka sedan på "Retry" för att göra om ZTP.

Du kan också klicka på "Network Test Tools" för att logga in på enhetens webb-GUI för ytterligare felsökning. Användaren är "support" och lösenordet är brandväggens serienummer.

Om du har en statisk IP/PPPoE-anslutning ska du dubbelkolla att du har angett den statiska IP-informationen på enheten lokalt:

Go to Configuration -> WAN Settings and double-check that everything is filled in correctly

• Zero Touch Provisioning (ZTP) misslyckas eftersom den här enheten inte är i fabriksinställt läge

Håll in återställningsknappen i 5 sekunder för att återställa enheten till fabriksinställningarna. Klicka sedan på URL:en för att göra om ZTP.

• ZTP via USB: SYS LED slutar inte att blinka rött

Nebula Instrumentpanelen visar att brandväggen är offline.
Om ZTP via USB misslyckas ska du kontrollera internetanslutningen. Öppna ztpresult.log i USB för att kontrollera statusen.

Här är ett exempel:

ZTP misslyckas eftersom det inte finns någon matchande ZTP-fil i USB för den här enheten. Se till att du kopierar rätt ZTP-fil.

• Nebula-läget visas inte när du öppnar Web GUI

Du kan uppgradera din enhet via enhetens webbkonfigurationsgränssnitt (se här) eller med hjälp av ZON-verktyget. Den här artikeln visar hur du gör det via ZON-verktyget.

Se till att du har installerat ZON på din dator. Om inte, kan du ladda ner det här:

Zyxel One Network Utility (ZON)

Anslut strömporten till strömkällan och slå på brandväggen. Vänta tills SYS-lampan lyser med fast grönt sken. Anslut din dator till brandväggens port 4 (P4).

Öppna ZON på din dator för att skanna brandväggen. Välj brandväggen och klicka sedan på "Firmware Upgrade":

Välj den senaste firmware-versionen från molnet och ange standardlösenordet "1234" för att uppgradera. Firmware-processen tar cirka 5 minuter att slutföra

Licensiering för USG FLEX-serien

• Samlad Nebula-licensiering för din USG FLEX i Nebula Control Center

Om din USG Flex levererades med en samlad licens får du automatiskt ett 1-årigt Nebula Professional Pack för din enhet. UTM-servicelicensen kommer sömlöst att överföras till Nebula, oavsett återstående tid.

Om din USG inte levererades med en medföljande licens kommer du fortfarande att ha 30 dagars provperiod för dina UTM-tjänster. Nebula Pro Pack-tjänsterna inkluderar också 30 dagars provperiod automatiskt medan din organisation skapas.

Testlicensperioden gäller även för din enhet med en paketlicens.

• Migrera min befintliga NSG-licens (NSS) till USG FLEX (UTM)

För att migrera licensen från din tidigare NSG till USE FLEX i molnet gäller följande mappningstabell. Till exempel kan NSG 100 endast migrera sin licens till USG FLEX 200 och kan inte migrera licens till andra USG FLEX-modeller.

Om din USG FLEX 100 redan har en 1-årig licens, efter att du har migrerat den återstående licensen från NSG50 (t.ex.: 6 månader) till USG FLEX 100, får den senare en licens på 1,5 år som kan användas.

• Begränsningar vid byte till Nebula-läge

Det finns vissa begränsningar och följande funktioner är ännu inte tillgängliga i molnmodellen för USG FLEX:

- Enhet HA
- E-postsäkerhet (antispam)
- SSL-inspektion
- Dynamisk routning (RIP, OSPF, BGP)
- Relaterade IPv6-funktioner
- AP-kontroller (Nebula Control Center bör användas som AP-kontroller istället)
- Hotspot-tjänst (Nebula Control Center stöder redan hotspot-tjänster som Voucher och Walled garden)

Om du stöter på andra problem är du välkommen att kontakta vårt supportteam.