Opdatering af Zyxel USG FLEX-, ATP- og VPN-enheder fra meget gamle firmwareversioner

Denne artikel beskriver en anbefalet og sikker fremgangsmåde til opdatering af Zyxel USG FLEX-, ATP- og VPN-enheder, der ikke er blevet opdateret i lang tid og i øjeblikket kører meget gamle firmwareversioner. Artiklen fokuserer specifikt på komplekse opgraderingsscenarier, der involverer forældet firmware, hvor en direkte opgradering til den nyeste version kan resultere i fejl, tab af konfiguration eller ustabil systemadfærd.

Formålet med artiklen

• At beskrive en sikker og anbefalet fremgangsmåde til opgradering fra meget gamle firmwareversioner til aktuelle versioner.

• At fremhæve risiciene ved at udføre en direkte opgradering uden mellemliggende trin.

• At forklare, hvordan man undgår beskadigelse eller tab af konfiguration under opgraderingsprocessen.

• At give et overblik over firmware-grenens historie for hver enheds produktlinje.

Firmwareversionshistorik

Nedenfor findes en generel firmwareversionshistorik, der kan bruges til at planlægge en korrekt og sikker opgraderingsvej.

USG FLEX: V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

ATP: V4 .32 → V4.33 → V4.35 → V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

VPN: V4 .35 → V4.39 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37

Anbefaling:
VPN-enheder er særligt følsomme, når der opgraderes fra meget gamle firmwareversioner, da ændringer i IPsec- og SSL VPN-funktionaliteten er akkumuleret på tværs af flere grene.

Hvordan afgør jeg, hvilken firmware jeg skal anvende, før jeg opgraderer til den nyeste firmware? 

Disse oplysninger findes i firmware-release notes (kun tilgængelig på engelsk). De fleste, hvis ikke alle, firmware-release notes indeholder et afsnit med tit len "Read Me First" (Læs først), der fremhæver vigtige bemærkninger og overvejelser, der er specifikke for den pågældende firmwareversion.

Læs mig først

I disse afsnit "Læs først" finder du oplysninger om den mindst krævede firmwareversion, der skal installeres, før du anvender den firmwareversion, der er beskrevet i release notes. Følgende er et eksempel fra USG FLEX 500 ZLD5.38C0 release notes:

Yderligere overvejelser

Når du opgraderer firmware – især på fjerninstallerede enheder – er der en risiko for, at en ældre konfiguration ikke er fuldt kompatibel med den nye firmwareversion.

Hvis dette sker, kan enheden forsøge at genstarte flere gange for at anvende den eksisterende startkonfiguration. Hvis dette ikke lykkes, vil den automatisk falde tilbage til systemets standardkonfiguration som en sikkerhedsforanstaltning. Dette kan føre til serviceforstyrrelser, især hvis der ikke er adgang eller assistance på stedet.

Når du opgraderer en enhed fra en meget gammel firmwareversion, er der en øget risiko for konfigurationskompatibilitetsproblemer under genstartsprocessen. For at minimere denne risiko anbefaler Zyxel på det kraftigste, at du følger de forebyggende trin, der er beskrevet nedenfor, inden du starter firmwareopgraderingen, da dette forbedrer chancerne for en problemfri og vellykket opdatering betydeligt.

Den samme procedure anbefales også, når der udføres en firmware-nedgradering eller når der installeres en ugentlig (bug-fix) firmware, samt i fjernopgraderingsscenarier, hvor lignende risici kan forekomme.

Hvordan kan dette undgås fra starten?

Når du anvender en konfiguration, bliver du normalt bedt om at vælge mellem forskellige rollback-muligheder – med andre ord: Enheden spørger "Hvad skal jeg gøre, hvis jeg finder ud af, at den konfiguration, du vil anvende, på en eller anden måde er beskadiget?":

Som standard er enheden indstillet til "Stop straks med at anvende konfigurationsfilen og rul tilbage til den tidligere konfiguration." I de fleste tilfælde fungerer denne adfærd som forventet. Men hvis systemet igen tolker visse konfigurationsposter som problematiske, kan selve tilbagerulningsprocessen mislykkes. I sådanne situationer kan enheden vende tilbage til systemets standardkonfiguration som en selvbeskyttelsesmekanisme.

Af denne grund anbefaler Zyxel, at du vælger den tredje tilbageføringsmulighed, "Ignorer fejl og afslut anvendelsen af konfigurationsfilen", når du anvender en konfiguration i forbindelse med en firmwareopgradering fra en meget gammel version. 

Med denne mulighed behandler enheden konfigurationen linje for linje, springer kun de problematiske poster over og fuldfører indlæsningen af konfigurationen. Alle ignorerede eller mislykkede poster registreres i overvågningslogfilerne, så administratorer kan gennemgå og løse dem bagefter.

Monitor > Logfiler

Setenv-script

Under en firmwareopgradering er det ikke muligt manuelt at vælge tilbagerulningsadfærd for anvendelse af startkonfigurationen ved genstart. For at løse denne begrænsning leverer Zyxel et lille hjælpescript, der af supporten ofte benævnes "setenv-script".

Du kan ændre den måde, startup-config.conf-filen anvendes på. Inkluder kommandoen setenv-startup stopon-error off. Zyxel-enheden ignorerer eventuelle fejl i startup-config.conf-filen og anvender alle gyldige kommandoer. Zyxel-enheden genererer stadig en log for eventuelle fejl.

CLI-kommandoer, som den skriver ind i enheden, når den anvendes:

1. Download setenv.zip

2. Upload og anvend scriptet via
   Vedligeholdelse → Filhåndtering → Shell-script

3. Opret en sikkerhedskopi af konfigurationen (både lokalt og på enheden).

4. Fortsæt med den nødvendige firmwareopgradering eller -nedgradering.

Bemærk: Selvom denne procedure anses for sikker og reducerer risikoen for tab af konfiguration betydeligt, kan der i sjældne tilfælde stadig opstå uventede problemer. Når det er muligt, bør firmwareopgraderinger udføres med adgang på stedet. Enhver unormal adfærd skal rapporteres til Zyxel Support for yderligere undersøgelse.