Aktualizace zařízení Zyxel USG FLEX, ATP a VPN ze starých verzí firmwaru

Tento článek popisuje doporučený a bezpečný postup aktualizace zařízení Zyxel USG FLEX, ATP a VPN, která nebyla dlouho aktualizována a v současné době používají velmi staré verze firmwaru. Článek se zaměřuje konkrétně na složité scénáře aktualizace zahrnující zastaralý firmware, kde přímá aktualizace na nejnovější verzi může vést k chybám, ztrátě konfigurace nebo nestabilnímu chování systému.

Účel článku

• Popsat bezpečný a doporučený přístup k upgradu ze velmi starých verzí firmwaru na aktuální verze.

• Zdůraznit rizika provádění přímého upgradu bez mezikroků.

• Vysvětlit, jak se vyhnout poškození nebo ztrátě konfigurace během procesu aktualizace.

• Poskytnout přehled historie verzí firmwaru pro každou produktovou řadu zařízení.

Historie verzí firmwaru

Níže je uveden obecný přehled historie verzí firmwaru, který slouží k plánování správné a bezpečné cesty aktualizace.

USG FLEX: V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

ATP: V4 .32 → V4.33 → V4.35 → V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

VPN: V4 .35 → V4.39 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37

Doporučení:
Zařízení VPN jsou obzvláště citlivá při aktualizaci z velmi starých verzí firmwaru, protože změny funkcí IPsec a SSL VPN se nahromadily v několika větvích.

Jak zjistím, který firmware použít před aktualizací na nejnovější firmware? 

Tyto informace najdete v poznámkách k vydání firmwaru (k dispozici pouze v angličtině). Většina, ne-li všechny, poznámky k vydání firmwaru obsahují část „Read Me First“ (Přečtěte si nejprve), která zdůrazňuje důležité poznámky a úvahy specifické pro danou verzi firmwaru.

Nejprve si přečtěte

V těchto částech „Nejprve si přečtěte“ najdete informace o minimální požadované verzi firmwaru, která musí být nainstalována před použitím verze firmwaru popsané v poznámkách k vydání. Následuje příklad z poznámek k vydání USG FLEX 500 ZLD5.38C0:

Další důležité informace

Při aktualizaci firmwaru – zejména na vzdáleně nasazených zařízeních – existuje riziko, že starší konfigurace nemusí být plně kompatibilní s novou verzí firmwaru.

V takovém případě může zařízení několikrát restartovat, aby použilo stávající konfiguraci spuštění. Pokud se to nepodaří, automaticky se jako bezpečnostní opatření vrátí k výchozí konfiguraci systému. To může vést k přerušení služby, zejména pokud není k dispozici přístup nebo pomoc na místě.

Při aktualizaci zařízení z velmi staré verze firmwaru existuje zvýšené riziko problémů s kompatibilitou konfigurace během procesu restartování. Aby se toto riziko minimalizovalo, společnost Zyxel důrazně doporučuje před zahájením aktualizace firmwaru provést preventivní kroky popsané níže, protože tím se výrazně zvýší šance na hladký a úspěšný průběh aktualizace.

Stejný postup se doporučuje také při provádění downgrade firmwaru nebo při instalaci týdenního (bug-fix) firmwaru, stejně jako v případě vzdálené aktualizace, kde mohou existovat podobná rizika.

Jak se tomu lze vůbec vyhnout?

Při aplikaci konfigurace se obvykle zobrazí různé možnosti vrácení zpět – jinými slovy: zařízení se ptá „Co mám dělat, pokud zjistím, že konfigurace, kterou chcete aplikovat, je nějak poškozená?“

Ve výchozím nastavení je zařízení nastaveno na „Okamžitě zastavit aplikaci konfiguračního souboru a vrátit se k předchozí konfiguraci“. Ve většině případů toto chování funguje podle očekávání. Pokud však systém opět interpretuje určité konfigurační položky jako problematické, může selhat samotný proces vrácení zpět. V takových situacích se zařízení může vrátit k výchozí konfiguraci systému jako mechanismus sebeochrany.

Z tohoto důvodu Zyxel doporučuje při aplikaci konfigurace v kontextu aktualizace firmwaru z velmi staré verze vybrat třetí možnost vrácení, „Ignorovat chyby a dokončit aplikaci konfiguračního souboru“. 

S touto možností zařízení zpracovává konfiguraci řádek po řádku, přeskočí pouze problematické položky a dokončí načtení konfigurace. Všechny ignorované nebo neúspěšné položky se zaznamenávají do protokolů monitoru, což správcům umožňuje je později zkontrolovat a vyřešit.

Monitor > Protokoly

Skript Setenv

Během aktualizace firmwaru není možné ručně vybrat chování vrácení zpět pro použití konfigurace spuštění při restartu. Aby se vyřešilo toto omezení, poskytuje Zyxel malý pomocný skript, který podpora běžně označuje jako „skript setenv“.

Můžete změnit způsob použití souboru startup-config.conf. Zahrňte příkaz setenv-startup stopon-error off. Zařízení Zyxel ignoruje všechny chyby v souboru startup-config.conf a použije všechny platné příkazy. Zařízení Zyxel i nadále generuje protokol pro všechny chyby.

Příkazy CLI, které při použití zapíše do jednotky:

1. Stáhněte si soubor setenv.zip

2. Nahrajte a použijte skript přes
   Údržba → Správce souborů → Skript shellu

3. Vytvořte zálohu konfigurace (lokálně i na zařízení).

4. Pokračujte s požadovanou aktualizací nebo downgradem firmwaru.

Poznámka: Ačkoli je tento postup považován za bezpečný a výrazně snižuje riziko ztráty konfigurace, v ojedinělých případech může dojít k neočekávaným problémům. Pokud je to možné, aktualizace firmwaru by měla být prováděna s přístupem na místě. Jakékoli neobvyklé chování by mělo být nahlášeno podpoře Zyxel pro další vyšetření.