Важно известие: |
В тази статия ще покажем как да отстраняваме проблеми при конвертиране на конфигурация, когато искате да конвертирате конфигурационен файл ръчно. В нея ще ви покажем как да отстранявате проблеми, когато конфигурационният файл не може да бъде приложен, и най-добрия начин да конвертирате конфигурацията си от старо устройство към ново устройство чрез инструмента за конвертиране или ръчно.
Отказ от отговорност! Тази статия предлага общ преглед на серията и може да не се прилага еднакво за всеки модел, версия на софтуера/фирмуера. Преди да закупите или използвате устройството, моля, консултирайте се със специфичната за модела/версията документация или се обърнете към техническата поддръжка за точна информация.
Забележка! Новата конфигурация за конвертиране има ограничена поддръжка от екипа за поддръжка, тъй като официално поддържаме само конвертиране, извършено с инструмента за конвертиране. Но има начини да конвертирате конфигурацията ръчно сами, но ние не можем да ви окажем подкрепа в това отношение.
Таблица на съдържанието
1) Как работи конфигурацията
1.1 Приложение за конфигуриране
1.3 Копиране на конфигурацията
2) Подготовка на преобразуването на конфигурацията
2.1 Изтегляне на конфигурационни файлове
2.2 Използвайте инструмента за конвертиране
2.3 Качете новия конвертиран конфигурационен файл
3) Пътища за преобразуване на конфигурацията
Път 1: Конвертиране към различна серия защитни стени, но еквивалентна защитна стена
Път 2: Конвертиране към различна защитна стена
Път 3: Ръчно копиране/вмъкване на конфигурацията
Път 3.1: Изтегляне на Notepad++
Път 3.2: Инсталирайте приставката "Сравняване"
Път 3.3: Отворете двата конфигурационни файла и стартирайте инструмента за сравнение
4.1 Примери за копиране/вмъкване
4.2 Неща, които да не се копират/вмъкват
5) Отстраняване на неизправности
5.1 ПРЕДУПРЕЖДЕНИЕ срещу ГРЕШКА
1) Как работи конфигурацията
1.1 Приложение за конфигуриране
При прилагане на конфигурационния файл се въвеждат всички команди в конфигурационния файл, напр.
dyn_repppp_0или;
interface-name ge3 LANили;
secure-policy 1
name xyz
action allow
from LAN
to Zywall
sourceip Server_1
По този начин защитната стена може да състави и приложи конфигурацията към новото устройство
1.2 Разделяне на командите
Командите са разделени с "!", за да се разграничи конфигурацията.
Уверете се, че сте разделили конфигурацията с "!" и че няма интервали преди или след символите "!". В противен случай приложението на конфигурацията ще се провали.
1.3 Копиране на конфигурацията
Когато копирате и поставяте конфигурационен файл ръчно, опитайте се да откриете прилики в местата, където започват и завършват някои раздели на конфигурацията. Можете също така да видите зелените полета в Notepad++ на коя нова конфигурация, която не е в текущия конфигурационен файл.
Например в старата конфигурация на USG310 можем да видим, че VPN конфигурацията завършва с
vpn-configuration-provision authentication default
Следователно можем да копираме VPN конфигурацията, докато не видим този команден ред
След това я копирайте в новата конфигурация, където ще видите тази команда
2) Подгответе преобразуването на конфигурацията
2.1 Изтегляне на конфигурационни файлове
Навигирайте до
dyn_repppp_4Изтеглете най-новия файл "startup-config.conf", като изберете файла и след това натиснете бутона "download" (Изтегляне) или погледнете "last modified" (Последна промяна), за да видите кой е най-новият конфигурационен файл.
2.2 Използвайте инструмента за конвертиране
а) Въведете https://convert.cloud.zyxel.com/
б) Изберете устройството, което е най-близко до вашето ново устройство
Разгледайте тази статия за повече информация: Конвертор на конфигурации
Ако имате USG FLEX 500 или ATP700, можете да изберете да конвертирате към ATP500 (за USG FLEX 500) и USG FLEX 700 (за ATP700), тъй като броят на физическите портове е еднакъв за USG FLEX 500 и ATP500, както и за USG FLEX 700 и ATP700.
2.3 Качете новия конвертиран конфигурационен файл
Първо навигирайте до:
Maintenance -> File Manager -> Configuration File -> Configuration
След това качете конфигурационния си файл, като щракнете върху "Browse..."
След това изберете новозакачения конфигурационен файл, като щракнете с левия бутон на мишката върху него и след това щракнете върху "Apply" (Приложи).
Изберете даспрете незабавноприлагането на конфигурационния файл и да се върнете към предишната конфигурация
3) Пътища за преобразуване на конфигурацията
Когато искате да конвертирате конфигурацията ръчно, има няколко начина в зависимост от това какъв модел защитна стена имате и какъв модел сте закупили като ново устройство.
За USG310 (Zywall310) можете да изберете да конвертирате в VPN300, USG FLEX 700.
Но можете също така да изберете USG310, което ви дава възможност да конвертирате конфигурационния си файл в ATP500:
Път 1: Конвертиране в друга серия защитни стени, но еквивалентна защитна стена
Ако имате Zywall310 и искате да конвертирате този файл в USG FLEX 500, можете да конвертирате конфигурационния си файл Zywall310 от
USG310 -> ATP500
Тъй като USG FLEX 500 и ATP500 имат една и съща структура на конфигурацията (физически портове/структура на конфигурационния файл), тогава конвертирането ще бъде лесно.
За да измамите конвертора да конвертира вашата Zywall310 от USG310, изтрийте тези два реда в конфигурационния файл:
След това, ако искате да качите новия конфигурационен файл ATP500 в новия си USG FLEX 500, трябва да промените няколко неща:
Първо, моделът трябва да се промени от ATP500 на USG FLEX 500, а версията на фърмуера вероятно не е 4.60, така че можете да опитате да изтриете и двата реда или да промените модела на "USG FLEX 500" и да изтриете реда за версията на фърмуера.
След това качете новото конвертирано и запазено (без модел и версия на фвр) на новото устройство.
Път 2: Конвертиране към друга защитна стена
Да кажем, че имаме конфигурацията на Zywall310 и искаме да конвертираме конфигурацията си към USG FLEX 100.
Стъпка 1) Конвертиране към най-близката серия защитни стени
Zywall310(USG310)/ATP500 има различна структура на интерфейса от USG FLEX 100, защото имате портове (ge1, ge2, ge3 и т.н.), вместо да изберете lan1 и да го присвоите на един порт или на няколко порта. Така че тук трябва да извършим известна ръчна работа.
И така, тъй като USG FLEX 100 има 6 порта, а Zywall310 има 8 порта. Трябва да изтрием ge7 и ge8, както и всички препратки към ge7 и ge 8, като потърсим в конфигурационния файл "ge7" и след това "ge8".
Примери за това къде да се изтрие конфигурацията за картографиране на ge7 и ge8:
След като сте изтрили всички препратки от портовете, които не съществуват в USG FLEX 100, продължете напред и качете новия конфигурационен файл, който сте създали, и приложете конфигурацията.
Път 3: Ръчно копиране/вмъкване на конфигурацията
Път 3.1: Изтегляне на Notepad++
Отидете на адрес https://notepad-plus-plus.org/downloads/ и изтеглете и инсталирайте най-новата версия на Notepad++.
Път 3.2: Инсталирайте приставката "Сравняване"
Навигирайте до
Plugins -> Plugins Admin
След това потърсете compare и щракнете върху "install", за да инсталирате инструмента Compare (Сравняване).
Път 3.3: Отворете двата конфигурационни файла и стартирайте инструмента за сравнение
Отворете двата конфигурационни файла (от стария USG310 и новия USG FLEX 700)
Бели полета = една и съща конфигурация и в двата
Червени полета = не съществува в другия конфигурационен файл
Зелени полета = нови неща, които трябва да се копират в другия конфигурационен файл
4.1 Примери за копиране/вмъкване
1. Ethernet интерфейс + VLAN
2. Потребителска/административна конфигурация
3. Настройки на VPN
4. Зони
5. DNS и препращач на зони на домейни
6. NAT (виртуален сървър и NAT)
7. Secure-policy (правила за защитна стена)
8. Маршрути на политиката
4.2 Неща, които не трябва да се копират/вмъкват
Функции на UTM
Патрулът за приложения, както можете да видите по-долу, е с различен синтаксис за старите и новите защитни стени
Сертификати
Сертификатите са уникални за защитните стени и не могат да бъдат открити в конфигурационния файл. Въпреки това те все пак ще бъдат посочени в конфигурационния файл. Затова може да искате да сте наясно с препратките тук. Потърсете в документа на конфигурационния файл, за да намерите препратките към "cert".
Когато приключите с копирането, стартирайте отново функцията за сравнение и ще видите по-ясно какво е копирано и какво не.
5) Отстраняване на неизправности
В този раздел ще последват някои обяснения за това как да отстранявате проблеми, а след това примери за грешки, които могат да възникнат, и как да ги отстраните.
Когато качвате нов конфигурационен файл на новата защитна стена, вероятно ще се наложи да отстранявате неизправности, тъй като качването ще бъде неуспешно. Всеки път, когато се сблъскате с този екран:
Навигирайте до
Monitor -> Logs
Под "Filter" (Филтриране) можете да филтрирате записите по "File Manager" (Файлов мениджър), за да видите всички записи, свързани с качването на конфигурацията.
5.1 ПРЕДУПРЕЖДЕНИЕ срещу ГРЕШКА
Това, което искате да търсите, са съобщенията ERROR (Грешка), които се показват в червено. Имайте предвид, че съобщенията WARNING (ПРЕДУПРЕЖДЕНИЕ) не са нещо, за което трябва да се притеснявате, и тук са напълно нормални.
При неуспех - отстранете грешката и изтрийте конфигурацията, която току-що сте качили, и качете новата конфигурация отново
5.2 Грешка при шифроване
Ако получите съобщение за грешка, в което се казва "Данните са криптирани", може да се окаже, че трябва да изтриете всички потребителски акаунти (+ пароли), тъй като криптирането на паролите не може да бъде преобразувано от новото устройство.
5.3 Примерни грешки
Грешка № 1
Тази грешка казва, че "Свързаният обект AAA не съществува", което означава, че нещо в конфигурацията на AD не съответства на тази референция.
Решение № 1
Видяхме, че потребителите на SSL VPN се позовават на конфигурацията на AD, като конфигурацията на AD е била премахната преди преобразуването, тъй като вече не се е използвала. Така че решението тук беше да се изтрият SSL VPN Users в конфигурацията и да се качи конфигурационният файл отново.
Грешка № 2
Тук акаунтът за конфигуриране на терминал PPPoE GE14 не може да бъде конфигуриран. Така че това, което трябва да направим, е да потърсим (ctrl+f) в конфигурационния файл командата GE14, която защитната стена се опитва да изпълни.
Решение № 2
Тук не се получи, защото забравихме да разделим "account pppoe" и "ip dhcp pool". Това, което трябва да направим, е да добавим "!" между командите.
Грешка № 3
Видяхме грешка "configure terminal interface_ether ge \x09\x09\x09\x09[...]", а при търсене на "interface_ether" не можем да намерим нищо в конфигурационния файл. Затова започнахме да търсим интерфейсите в конфигурационния файл.
Решение № 3
След двойна проверка на конфигурацията на интерфейса видяхме, че става въпрос за дублиращи се адресни обекти на геоинтерфейсите, които изтрихме. Така че дублиращият се адресен обект не може да работи, защото името LAN_SUBNET_GE4 вече се използва
Грешка #4
Виждаме, че адресният обект RFC1918_2 не може да бъде създаден и изпълнен.
Решение № 4
След няколко проби и грешки напред-назад установихме, че адресните обекти тук са били на грешното място във файла за конфигуриране и са били променени на между адресния обект и адреса на обектната група
Грешка № 5
Имахме проблем с обекта на услугата, който не можеше да бъде създаден.
Решение № 5
И така, когато изтрихме тези два обекта на услугата Any_UDP и Any_TCP, видяхме, че третият обект на услугата не може да бъде създаден, което показва, че нито един от обектите на услугата не може да бъде създаден.
Решението тук беше да се провери дали може да има "интервал" преди или след "!" между обекта address6 и обекта на услугата.