Актуализиране на устройствата Zyxel USG FLEX, ATP и VPN от много стари версии на фърмуера

Тази статия описва препоръчителен и безопасен подход за актуализиране на устройствата Zyxel USG FLEX, ATP и VPN, които не са актуализирани от дълго време и в момента работят с много стари версии на фърмуера. Статията се фокусира специално върху сложни сценарии за актуализиране, включващи остарял фърмуер, при които директното актуализиране до най-новата версия може да доведе до грешки, загуба на конфигурация или нестабилно поведение на системата.

Цел на статията

• Да опише безопасен и препоръчителен подход за ъпгрейд от много стари версии на фърмуера към текущите версии.

• Да се подчертаят рисковете от извършване на директно обновяване без междинни стъпки.

• Да се обясни как да се избегне повреждане или загуба на конфигурацията по време на процеса на ъпгрейд.

• Да се предостави обзор на историята на версиите на фърмуера за всяка продуктова линия устройства.

История на версиите на фърмуера

По-долу е представена обобщена история на версиите на фърмуера, използвана за планиране на правилен и безопасен път за ъпгрейд.

USG FLEX: V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

ATP: V4 .32 → V4.33 → V4.35 → V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

VPN: V4 .35 → V4.39 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37

Препоръка:
VPN устройствата са особено чувствителни при ъпгрейд от много стари версии на фърмуера, тъй като промените във функционалността на IPsec и SSL VPN са се натрупали в множество клонове.

Как да определя коя версия на фърмуера да приложа, преди да обновя до най-новата версия? 

Тази информация може да бъде намерена в бележките към версията на фърмуера (налични само на английски език). Повечето, ако не всички, бележки към версията на фърмуера включват раздел „Прочетете първо“, в който са подчертани важни бележки и съображения, специфични за тази версия на фърмуера.

Прочетете първо

В тези раздели „Прочетете първо“ ще намерите информация за минималната изисквана версия на фърмуера, която трябва да бъде инсталирана, преди да приложите версията на фърмуера, описана в бележките към версията. Следващият пример е взет от бележките към версията USG FLEX 500 ZLD5.38C0:

Допълнителни съображения

При актуализиране на фърмуера – особено на отдалечено разположени устройства – съществува риск по-старата конфигурация да не е напълно съвместима с новата версия на фърмуера.

Ако това се случи, устройството може да опита няколко рестартирания, за да приложи съществуващата конфигурация при стартиране. Ако това не успее, то автоматично ще се върне към системната конфигурация по подразбиране като предпазна мярка. Това може да доведе до прекъсване на услугата, особено ако няма достъп или помощ на място.

При актуализиране на устройство от много стара версия на фърмуера съществува повишен риск от проблеми със съвместимостта на конфигурацията по време на процеса на рестартиране. За да се сведе до минимум този риск, Zyxel настоятелно препоръчва да се приложат описаните по-долу превантивни мерки преди да се започне актуализацията на фърмуера, тъй като това значително подобрява шансовете за гладка и успешна актуализация.

Същата процедура се препоръчва и при извършване на понижаване на версията на фърмуера или при инсталиране на седмичен (bug-fix) фърмуер, както и в сценарии за отдалечено обновяване, където могат да възникнат подобни рискове.

Как може да се избегне това от самото начало?

При прилагане на конфигурация обикновено се появяват различни опции за връщане назад – с други думи: устройството пита „Какво да направя, ако конфигурацията, която искате да приложите, е повредена по някакъв начин?“

По подразбиране устройството е настроено на „Незабавно да спре прилагането на конфигурационния файл и да се върне към предишната конфигурация“. В повечето случаи това поведение работи както се очаква. Ако обаче системата отново интерпретира определени конфигурационни записи като проблемни, самият процес на връщане може да се провали. В такива ситуации устройството може да се върне към системната конфигурация по подразбиране като механизъм за самозащита.

По тази причина, когато прилагате конфигурация в контекста на ъпгрейд на фърмуера от много стара версия, Zyxel препоръчва да изберете третата опция за връщане назад, „Игнориране на грешките и завършване на прилагането на конфигурационния файл“. 

С тази опция устройството обработва конфигурацията ред по ред, пропуска само проблемните записи и завършва зареждането на конфигурацията. Всички игнорирани или неуспешни записи се записват в логовете на монитора, което позволява на администраторите да ги прегледат и отстранят по-късно.

Монитор > Лог файлове

Скрипт Setenv

По време на ъпгрейд на фърмуера не е възможно ръчно да се избере поведението на връщане назад за прилагане на конфигурацията при рестартиране. За да се преодолее това ограничение, Zyxel предоставя малък помощник скрипт, обикновено наричан от поддръжката „setenv скрипт“.

Можете да промените начина, по който се прилага файлът startup-config.conf. Включете командата setenv-startup stopon-error off. Устройството Zyxel игнорира всички грешки във файла startup-config.conf и прилага всички валидни команди. Устройството Zyxel все пак генерира лог за всички грешки.

CLI-команди, които записва в устройството при прилагане:

1. Изтеглете setenv.zip

2. Качете и приложете скрипта чрез
   Поддръжка → Файлов мениджър → Shell Script

3. Създайте резервно копие на конфигурацията (както локално, така и на устройството).

4. Продължете с необходимата актуализация или понижаване на версията на фърмуера.

Забележка: Въпреки че тази процедура се счита за безопасна и значително намалява риска от загуба на конфигурацията, в редки случаи все пак могат да възникнат неочаквани проблеми. Когато е възможно, ъпгрейдите на фърмуера трябва да се извършват с достъп на място. Всяко необичайно поведение трябва да се докладва на поддръжката на Zyxel за по-нататъшно разследване.