V tomto článku se dozvíte, jak řešit problémy s převodem konfigurace, když chcete konfigurační soubor převést ručně. Ukáže vám, jak řešit potíže, když nelze použít konfigurační soubor, a nejlepší způsob, jak převést konfiguraci ze starého zařízení na nové zařízení pomocí nástroje pro převod nebo ručně.

Upozornění! Tento článek nabízí obecný přehled řady a nemusí platit jednotně pro každý model, verzi softwaru/firmwaru. Před zakoupením nebo používáním zařízení si prostudujte dokumentaci ke konkrétnímu modelu/verzi nebo se pro přesné informace obraťte na technickou podporu.

Poznámka! Nová konfigurace převodu má omezenou podporu ze strany týmu podpory, protože oficiálně podporujeme pouze převod provedený pomocí nástroje convert. Existují však způsoby, jak můžete konfiguraci převést sami ručně, ale nemůžeme vás v tom podpořit.

Tabulka obsahu

1) Jak konfigurace funguje

1.1 Aplikace konfigurace

1.2 Oddělení příkazů

1.3 Kopírování konfigurace

2) Příprava převodu konfigurace

2.1 Stažení konfiguračních souborů

2.2 Použijte nástroj pro konverzi

2.3 Nahrajte nový převedený konfigurační soubor

3) Cesty ke konverzi konfigurace

Cesta 1: Převod na jinou řadu brány firewall, ale ekvivalentní bránu firewall.

Cesta 2: Převod na jinou bránu firewall

Cesta 3: Ruční zkopírování/vložení konfigurace

Cesta 3.1: Stáhněte si Poznámkový blok++

Cesta 3.2: Nainstalujte zásuvný modul "Porovnat"

Cesta 3.3: Otevřete oba konfigurační soubory a spusťte nástroj pro porovnávání

4.1 Příklady pro kopírování/vkládání

4.2 Věci, které se nemají kopírovat/vkládat

5) Řešení problémů

5.1 VAROVÁNÍ vs. CHYBA

5.2 Chyba šifrování

5.3 Příklady chyb

1) Jak funguje konfigurace

1.1 Aplikace konfigurace

Konfigurační soubor po použití zadá všechny příkazy v konfiguračním souboru, např.

nebo;

interface-name ge3 LAN

nebo;

secure-policy 1

name xyz

action allow

from LAN

to Zywall

sourceip Server_1

Tímto způsobem může firewall zkompilovat a použít konfiguraci na nové zařízení.

1.2 Oddělení příkazů

Příkazy jsou odděleny znakem "!" pro odlišení konfigurace.

Ujistěte se, že jste konfiguraci oddělili pomocí "!" a že před ani za symboly "!" nejsou mezery. V opačném případě aplikace konfigurace selže.

1.3 Kopírování konfigurace

Při ručním kopírování a vkládání konfiguračního souboru se snažte najít podobnost míst, kde některé části konfigurace začínají a končí. V Poznámkovém bloku++ si také můžete prohlédnout zelená políčka toho, jaká nová konfigurace se v aktuálním konfiguračním souboru nenachází.

Například ve staré konfiguraci USG310 můžeme vidět, že konfigurace VPN končí slovy

Proto můžeme zkopírovat konfiguraci VPN, dokud se nezobrazí tento příkazový řádek

Poté ji zkopírujeme do nové konfigurace, kde uvidíme tento příkaz

2) Připravte převod konfigurace

2.1 Stáhněte si konfigurační soubory

Přejděte na stránku

Stáhněte nejnovější soubor "startup-config.conf" tak, že jej vyberete a stisknete tlačítko "download", nebo se podívejte na "last modified", abyste zjistili, který z nich je nejnovějším konfiguračním souborem.

2.2 Použití nástroje pro konverzi

a) Zadejte adresu https://convert.cloud.zyxel.com/

b) Vyberte zařízení, které je nejvíce podobné vašemu novému zařízení.

Pro více informací se podívejte na tento článek: Převodník konfigurací

Pokud máte zařízení USG FLEX 500 nebo ATP700, můžete se rozhodnout pro konverzi na ATP500 (pro USG FLEX 500) a USG FLEX 700 (pro ATP700), protože počet fyzických portů je stejný pro USG FLEX 500 a ATP500 i USG FLEX 700 a ATP700.

2.3 Nahrajte nový převedený konfigurační soubor

Nejprve přejděte na stránku:

Poté nahrajte svůj konfigurační soubor kliknutím na "Browse...".

Poté vyberte nově nahraný konfigurační soubor kliknutím levým tlačítkem myši a klikněte na "Apply".

Zvolte možnost Okamžitěukončit použití konfiguračního souboru a vrátit se k předchozí konfiguraci.

3) Cesty k převodu konfigurace

Když chcete konfiguraci převést ručně, existuje několik způsobů, jak postupovat v závislosti na tom, jaký model firewallu máte a jaký model jste si koupili jako nové zařízení.

V případě modelu USG310 (Zywall310) můžete zvolit konverzi na VPN300, USG FLEX 700. V případě, že se rozhodnete pro konverzi na VPN300, USG FLEX 700, můžete zvolit konverzi na VPN300.

Můžete však také zvolit USG310, který vám dává možnost převést konfigurační soubor na ATP500:

Cesta 1: Převod na jinou řadu brány firewall, ale ekvivalentní bránu firewall.

Pokud máte Zywall310 a chcete tento soubor převést na USG FLEX 500, můžete svůj konfigurační soubor Zywall310 převést z

Protože USG FLEX 500 a ATP500 mají stejnou konfigurační strukturu (fyzické porty / struktura konfiguračního souboru), pak bude převod snadný.

Chcete-li konvertor obelstít a převést váš Zywall310 z USG310, odstraňte tyto dva řádky v konfiguračním souboru:

Pokud pak chcete nahrát nový konfigurační soubor ATP500 do nového zařízení USG FLEX 500, musíte změnit několik věcí:

Nejprve je třeba změnit model z ATP500 na USG FLEX 500 a verze firmwaru pravděpodobně není 4.60, takže můžete zkusit odstranit oba tyto řádky nebo změnit model na "USG FLEX 500" a odstranit řádek s verzí firmwaru.

Poté nahrajte nově převedené a uložené (bez modelu a verze fw) do nového zařízení.

Cesta 2: Převod na jiný firewall

Řekněme, že máme konfiguraci zařízení Zywall310 a chceme převést naši konfiguraci na zařízení USG FLEX 100.

Krok 1) Převod na nejbližší řadu firewallů

Zywall310(USG310)/ATP500 má jinou strukturu rozhraní než USG FLEX 100, protože máte k dispozici porty (ge1, ge2, ge3 atd.), místo abyste buď vybrali lan1 a přiřadili jej jednomu portu nebo několika portům. Takže zde musíme provést nějakou ruční práci.

Protože tedy USG FLEX 100 má 6 portů a Zywall310 má 8 portů. Musíme odstranit ge7 a ge8 a také všechny odkazy na ge7 a ge 8 tak, že v konfiguračním souboru vyhledáme "ge7" a poté "ge8".

Příklady, kde odstranit konfiguraci mapování ge7 a ge8:

Po odstranění všech odkazů na porty, které v zařízení USG FLEX 100 neexistují, nahrajte vytvořený nový konfigurační soubor a použijte konfiguraci.

Cesta 3: Ruční zkopírování/vložení konfigurace

Cesta 3.1: Stáhněte si Poznámkový blok++

Přejděte na stránku https://notepad-plus-plus.org/downloads/ a stáhněte a nainstalujte nejnovější verzi aplikace Notepad++.

Cesta 3.2: Instalace zásuvného modulu "Compare"

Přejděte na stránku

Poté vyhledejte položku compare a kliknutím na tlačítko "install" nainstalujte nástroj Compare.

Cesta 3.3: Otevřete oba konfigurační soubory a spusťte nástroj pro porovnávání.

Otevřete oba konfigurační soubory (ze starého USG310 a nového USG FLEX 700).

Bílá pole = stejná konfigurace na obou

Červená pole = v druhém konfiguračním souboru neexistuje.

Zelená pole = nové věci, které je třeba zkopírovat do druhého konfiguračního souboru.

4.1 Příklady pro kopírování/vkládání

1. Rozhraní Ethernet + VLAN

2. Konfigurace uživatele / správce

3. Nastavení VPN

4. Zóny

5. DNS & Domain Zone Forwarder

6. NAT (virtuální server a NAT)

7. Secure-policy (pravidla firewallu)

8. Trasy zásad

4.2 Věci, které se nemají kopírovat/vkládat

Funkce UTM

Aplikační hlídka, jak můžete vidět níže, má odlišnou syntaxi pro staré a nové firewally.

Certifikáty

Certifikáty jsou jedinečné pro brány firewall a nelze je nalézt v konfiguračním souboru. V konfiguračním souboru však na ně bude stále odkazováno. Proto byste si zde měli dávat pozor na odkazy. Vyhledejte v dokumentu konfiguračního souboru odkazy na "cert".

Po dokončení kopírování spusťte znovu funkci porovnání a uvidíte jasněji, co je zkopírováno a co ne.

5) Řešení problémů

V této části bude následovat několik vysvětlení, jak řešit potíže, a poté příklady chyb, které se mohou vyskytnout, a jak je odstranit.

Při nahrávání nového konfiguračního souboru do nové brány firewall budete pravděpodobně muset řešit potíže, protože nahrávání selže. Kdykoli narazíte na tuto obrazovku:

Přejděte na

V části Filtr můžete filtrovat protokoly na "Správce souborů", abyste viděli všechny záznamy týkající se nahrávání konfigurace.

5.1 VAROVÁNÍ vs. CHYBA

To, co chcete hledat, jsou zprávy ERROR, které se zobrazují červeně. Uvědomte si, že hlášení WARNING není nic, čeho byste se měli obávat, a je zde zcela normální.

Když se to nepodaří - opravte chybu a odstraňte právě nahranou konfiguraci a nahrajte novou konfiguraci znovu.

5.2 Chyba šifrování

Pokud se zobrazí chybová zpráva "Data jsou zašifrována", může to znamenat, že je třeba odstranit všechny uživatelské účty (+ hesla), protože šifrování hesel nelze novým zařízením převést.

5.3 Příklady chyb

Chyba č. 1

Tato chyba hlásí, že "Přidružený objekt AAA neexistuje", což znamená, že něco v konfiguraci služby AD neodpovídá tomuto odkazu.

Řešení č. 1

Viděli jsme, že uživatelé SSL VPN odkazují na konfiguraci AD, přičemž konfigurace AD byla před konverzí odstraněna, protože se již nepoužívala. Řešením zde tedy bylo odstranit uživatele SSL VPN v konfiguraci a znovu nahrát konfigurační soubor.

Chyba č. 2

Zde se nepodařilo nakonfigurovat terminálový účet PPPoE GE14. Musíme tedy v konfiguračním souboru vyhledat (ctrl+f) příkaz GE14, který se brána firewall snaží spustit.

Řešení č. 2

Zde se to nepodařilo, protože jsme zapomněli oddělit "account pppoe" a "ip dhcp pool". Musíme tedy mezi příkazy přidat "!".

Chyba #3

Objevila se chyba "configure terminal interface_ether ge \x09\x09\x09\x09[...]" a při hledání "interface_ether" nemůžeme v konfiguračním souboru nic najít. Začali jsme tedy hledat rozhraní v konfiguračním souboru.

Řešení #3

Po dvojité kontrole konfigurace rozhraní jsme zjistili, že se jedná o duplicitní adresní objekty na rozhraních ge, které jsme odstranili. Duplicitní objekt adresy tedy nemůže fungovat, protože název LAN_SUBNET_GE4 je již používán.

Chyba č. 4

Vidíme, že adresní objekt RFC1918_2 se nepodařilo vytvořit a spustit.

Řešení #4

Po několika pokusech a omylech tam a zpět jsme zjistili, že adresa objektů zde byla na špatném místě v konfiguračním souboru a byla změněna na adresu mezi adresou-objekt a adresou skupiny objektů.

Chyba č. 5

Vyskytl se problém s objektem služby, který nebylo možné vytvořit.

Řešení #5

Když jsme tedy odstranili tyto dva objekty služeb Any_UDP a Any_TCP, viděli jsme, že třetí objekt služeb nelze vytvořit, což ukazuje, že žádný z objektů služeb nelze vytvořit.

Řešením zde bylo zkontrolovat, zda před nebo za "!" mezi objektem address6 a objektem služby může být "mezera".