Vigtig meddelelse: |
Denne artikel viser, hvordan du fejlsøger konfigurationskonvertering, når du vil konvertere en konfigurationsfil manuelt. Den viser dig, hvordan du foretager fejlfinding, når konfigurationsfilen ikke kan anvendes, og hvordan du bedst konverterer din konfiguration fra en gammel enhed til en ny enhed via konverteringsværktøjet eller manuelt.
Ansvarsfraskrivelse! Denne artikel giver et generelt overblik over serien og gælder muligvis ikke ensartet for alle modeller og software/firmware-versioner. Før du køber eller bruger enheden, bedes du læse den model-/versionsspecifikke dokumentation eller kontakte teknisk support for at få nøjagtige oplysninger.
Bemærk! Den nye konverteringskonfiguration har begrænset support fra supportteamet, da vi kun officielt understøtter konvertering udført med konverteringsværktøjet.Men der er måder, hvorpå du selv kan konvertere konfigurationen manuelt, men vi kan ikke støtte dig i dette.
Indholdsfortegnelse
1) Sådan fungerer konfigurationen
1.1 Anvendelse af konfiguration
1.3 Kopiering af konfiguration
2) Forbered konvertering af konfigurationen
2.1 Download konfigurationsfiler
2.2 Brug konverteringsværktøjet
2.3 Upload den nye konverterede konfigurationsfil
3) Stier til konvertering af konfiguration
Sti 1: Konverter til en anden firewall-serie, men den tilsvarende firewall
Sti 2: Konverter til en anden firewall
Sti 3: Kopier/indsæt konfigurationen manuelt
Sti 3.2: Installer pluginet "Sammenlign"
Sti 3.3: Åbn begge konfigurationsfiler, og start sammenligningsværktøjet
4.1 Eksempler til at kopiere/indsætte
4.2 Ting, der ikke skal kopieres/indsættes
5) Fejlfinding
1) Sådan fungerer konfigurationen
1.1 Anvendelse af konfiguration
Når konfigurationsfilen anvendes, indtastes alle kommandoerne i konfigurationsfilen, f.eks.
interface EXTERNAL_pppeller;
dyn_repppp_1eller;
dyn_repppp_2På denne måde kan firewallen kompilere og anvende konfigurationen på den nye enhed
1.2 Adskillelse af kommandoer
Kommandoerne er adskilt med "!" for at skelne mellem konfigurationerne.
Sørg for, at du har adskilt konfigurationen med "!", og at der ikke er mellemrum før eller efter "!"-symbolerne. Ellers vil konfigurationsapplikationen mislykkes.
1.3 Kopiering af konfiguration
Når du kopierer og indsætter en konfigurationsfil manuelt, skal du prøve at finde ligheder mellem, hvor nogle konfigurationsafsnit begynder og slutter. Du kan også se de grønne felter i Notepad++ for den nye konfiguration, der ikke er i den aktuelle konfigurationsfil.
I den gamle konfiguration af USG310 kan vi for eksempel se, at VPN-konfigurationen slutter med
vpn-configuration-provision authentication default
Derfor kan vi kopiere VPN-konfigurationen, indtil vi ser denne kommandolinje
Derefter kopierer vi den over til den nye konfiguration, hvor vi kan se denne kommando
2) Forbered konvertering af konfigurationen
2.1 Download konfigurationsfiler
Naviger til
Maintenance -> File Manager -> Configuration File > Configuration
Download den seneste "startup-config.conf"-fil ved at vælge filen og derefter trykke på "download", eller se på "last modified" for at se, hvilken der er den seneste konfigurationsfil.
2.2 Brug konverteringsværktøjet
a) Indtast https://convert.cloud.zyxel.com/
b) Vælg den enhed, der ligner din nye enhed mest
Se denne artikel for at få flere oplysninger: Konfigurations-konverter
Hvis du har en USG FLEX 500 eller en ATP700, kan du vælge at konvertere til ATP500 (for USG FLEX 500) og USG FLEX 700 (for ATP700), fordi antallet af fysiske porte er det samme for USG FLEX 500 & ATP500, samt USG FLEX 700 og ATP700.
2.3 Upload den nye konverterede konfigurationsfil
Naviger først til:
Maintenance -> File Manager -> Configuration File -> Configuration
Upload derefter din konfigurationsfil ved at klikke på "Browse..."
Vælg derefter den nyligt uploadede konfigurationsfil ved at venstreklikke på den, og klik derefter på "Anvend".
Vælg atstoppe med at anvende konfigurationsfilen med detsamme og rulle tilbage til den tidligere konfiguration.
3) Stier til konvertering af konfiguration
Så når du vil konvertere konfigurationen manuelt, er der et par måder at gøre det på, afhængigt af hvilken firewall-model du har, og hvilken model du har købt som din nye enhed.
For USG310 (Zywall310) kan du vælge at konvertere til en VPN300, USG FLEX 700.
Men du kan også vælge USG310, som giver dig mulighed for at konvertere din konfigurationsfil til en ATP500:
Sti 1: Konverter til en anden firewall-serie, men den tilsvarende firewall
Hvis du har en Zywall310 og ønsker at konvertere denne fil til en USG FLEX 500, kan du konvertere din Zywall310-konfigurationsfil fra en
USG310 -> ATP500
Da USG FLEX 500 og ATP500 har den samme konfigurationsstruktur (fysiske porte/konfigurationsfilstruktur), vil konverteringen være nem.
For at narre konverteringsprogrammet til at konvertere din Zywall310 fra en USG310 skal du slette disse to rækker i konfigurationsfilen:
Hvis du derefter vil uploade den nye ATP500-konfigurationsfil til din nye USG FLEX 500, skal du ændre et par ting:
Først skal modellen ændres fra ATP500 til USG FLEX 500, og firmwareversionen er sandsynligvis ikke 4.60, så du kan prøve at slette begge disse rækker eller ændre modellen til "USG FLEX 500" og slette firmwareversionsrækken.
Upload derefter den nye konverterede og gemte (uden model og fw-version) til den nye enhed.
Sti 2: Konverter til en anden firewall
Lad os sige, at vi har konfigurationen af Zywall310, og at vi ønsker at konvertere vores konfiguration til en USG FLEX 100.
Trin 1) Konverter til den nærmeste firewall-serie
Zywall310(USG310)/ATP500 har en anden interface-struktur end USG FLEX 100, fordi du har porte (ge1, ge2, ge3 osv.) i stedet for enten at vælge lan1 og tildele dette til en port eller et antal porte. Så her er vi nødt til at gøre noget manuelt arbejde.
Så fordi USG FLEX 100 har 6 porte, og Zywall310 har 8 porte. Vi skal slette ge7 og ge8 samt alle referencer til ge7 og ge8 ved at søge efter "ge7" og derefter "ge8" i konfigurationsfilen.
Eksempler på, hvor man kan slette ge7- og ge8-kortlægningskonfigurationen:
Når du har slettet alle referencer fra de porte, der ikke findes på USG FLEX 100, skal du uploade den nye konfigurationsfil, du har oprettet, og anvende konfigurationen.
Sti 3: Kopier/indsæt konfigurationen manuelt
Sti 3.1: Download Notepad++
Gå til https://notepad-plus-plus.org/downloads/, og download og installer den nyeste version af Notepad++.
Sti 3.2: Installer pluginet "Sammenlign"
Naviger til
Plugins -> Plugins Admin
Søg derefter efter compare, og klik på "install" for at installere Compare-værktøjet.
Sti 3.3: Åbn begge konfigurationsfiler, og start sammenligningsværktøjet
Åbn begge konfigurationsfiler (fra den gamle USG310 og den nye USG FLEX 700)
Hvide felter = samme konfiguration på begge
Røde felter = findes ikke i den anden konfigurationsfil
Grønne fel ter = nye ting, der skal kopieres til den anden config-fil
4.1 Eksempler på at kopiere/indsætte
1. Ethernet-grænseflade + VLAN
2. Bruger/administrator-konfiguration
3. VPN-indstillinger
4. Zoner
5. DNS og viderestilling af domænezoner
6. NAT (virtuel server og NAT)
7. Sikker politik (firewall-regler)
8. Politiske ruter
4.2 Ting, der ikke må kopieres/indsættes
UTM-funktioner
Application patrol, som du kan se nedenfor, har forskellig syntaks for de gamle firewalls og de nye firewalls.
Certifikater
Certifikater er unikke for firewalls og kan ikke findes i konfigurationsfilen. Der vil dog stadig blive henvist til dem i konfigurationsfilen. Så det kan være en god idé at være opmærksom på referencerne her. Søg i konfigurationsfilens dokument for at finde "cert"-referencerne.
Når du er færdig med at kopiere over, kan du køre sammenligningsfunktionen igen og se mere tydeligt, hvad der er kopieret over, og hvad der ikke er.
5) Fejlfinding
I dette afsnit følger nogle forklaringer på, hvordan man fejlsøger, og derefter eksempler på fejl, der kan opstå, og hvordan man løser dem.
Når du uploader en ny konfigurationsfil til den nye firewall, bliver du sandsynligvis nødt til at fejlfinde, da uploaden vil mislykkes. Når du løber ind i denne skærm:
Naviger til
Monitor -> Logs
Under Filter kan du filtrere logfilerne på "File Manager" for at se alle de poster, der er relateret til upload af konfigurationen.
5.1 ADVARSEL vs. FEJL
Det, du skal kigge efter, er de ERROR-meddelelser, der vises med rødt. Vær opmærksom på, at WARNING-meddelelser ikke er noget at bekymre sig om og er helt normale her.
Når det mislykkes - ret fejlen, og slet den konfiguration, du lige har uploadet, og upload den nye konfiguration igen.
5.2 Krypteringsfejl
Hvis du får en fejlmeddelelse, der siger "Data er krypteret", kan det være, at du er nødt til at slette alle brugerkonti (+ adgangskoder), fordi krypteringen af adgangskoderne ikke kan konverteres af den nye enhed.
5.3 Eksempel på fejl
Fejl #1
Denne fejl siger, at det "associerede AAA-objekt ikke findes", hvilket betyder, at noget i AD-konfigurationen ikke matcher denne reference.
Løsning #1
Vi kunne se, at SSL VPN-brugerne henviste til AD-konfigurationen, hvor AD-konfigurationen blev fjernet før konverteringen, fordi den ikke længere blev brugt. Så løsningen her var at slette SSL VPN-brugerne i konfigurationen og uploade konfigurationsfilen igen.
Fejl nr. 2
Her kunne configure terminal account PPPoE GE14 ikke konfigureres. Så det, vi skal gøre, er at søge (ctrl+f) i konfigurationsfilen efter GE14-kommandoen, som firewallen forsøger at udføre.
Løsning #2
Her mislykkedes det, fordi vi glemte at adskille mellem "account pppoe" og "ip dhcp pool". Så det, vi skal gøre, er at tilføje et "!" mellem kommandoerne.
Fejl #3
Vi så en fejl "configure terminal interface_ether ge \x09\x09\x09\x09[...]", og da vi søgte efter "interface_ether", kunne vi ikke finde noget i konfigurationsfilen. Så vi begyndte at søge efter grænsefladerne i konfigurationsfilen.
Løsning #3
Efter at have dobbelttjekket interfacekonfigurationen kunne vi se, at det var et duplikeret adresseobjekt på de ge-interfaces, som vi slettede. Så det dobbelte adresse-objekt kan ikke fungere, fordi navnet LAN_SUBNET_GE4 allerede er i brug.
Fejl #4
Vi kunne se, at adresseobjektet RFC1918_2 ikke kunne oprettes og udføres.
Løsning #4
Efter at have prøvet os frem og tilbage fandt vi ud af, at adresseobjekterne her var placeret det forkerte sted i konfigurationsfilen og blev ændret til mellem adresseobjektet og objektgruppeadressen
Fejl nr. 5
Vi havde et problem med service-objektet, der ikke kunne oprettes.
Løsning #5
Så da vi slettede disse to Any_UDP og Any_TCP service-objekter, kunne vi se, at det tredje service-objekt ikke kunne oprettes, hvilket viser, at ingen af service-objekterne kunne oprettes.
Løsningen her var at tjekke, om der kunne være et "mellemrum" før eller efter "!" mellem address6-objektet og service-objektet.