Aviso importante: |
Este artículo le mostrará cómo solucionar problemas de conversión de configuración cuando se desea convertir un archivo de configuración manualmente. Esto le mostrará cómo solucionar problemas cuando el archivo de configuración no se puede aplicar, y la mejor manera de convertir la configuración de un dispositivo antiguo a un nuevo dispositivo a través de la herramienta de conversión, o manualmente.
Advertencia Este artículo ofrece una visión general de la serie y puede no aplicarse de manera uniforme a todos los modelos y versiones de software/firmware. Antes de comprar o utilizar el dispositivo, consulte la documentación específica del modelo/versión o póngase en contacto con el servicio de asistencia técnica para obtener información precisa.
Nota. La nueva configuración de conversión tiene un soporte limitado por parte del equipo de soporte, ya que sólo apoyamos oficialmente la conversión realizada con la herramienta de conversión. Sin embargo, hay formas de convertir la configuración manualmente por ti mismo, pero no podemos darte soporte en esto.
Tabla de contenido
1) Cómo funciona la configuración
1.1 Aplicación de la configuración
2) Preparar la conversión de la configuración
2.1 Descargar los archivos de configuración
2.2 Utilizar la herramienta de conversión
2.3 Cargar el nuevo archivo de configuración convertido
3) Vías de conversión de la configuración
Ruta 1: Convertir a una serie de cortafuegos diferente, pero el cortafuegos equivalente
Ruta 2: Convertir a un cortafuegos diferente
Ruta 3: Copiar/pegar manualmente la configuración
Ruta 3.2: Instalar el plugin "Comparar
Ruta 3.3: Abra ambos archivos de configuración y ejecute la herramienta de comparación
4.1 Ejemplos para copiar y pegar
4.2 Cosas que no copiar/pegar
5) Solución de problemas
1) Funcionamiento de la configuración
1.1 Aplicación de la configuración
El archivo de configuración, cuando se aplica introduce todos los comandos en el archivo de configuración, por ejemplo
interface EXTERNAL_pppo
dyn_repppp_1o
secure-policy 1
name xyz
action allow
from LAN
to Zywall
sourceip Server_1
De este modo, el cortafuegos puede compilar y aplicar la configuración al nuevo dispositivo
1.2 Separación de comandos
Los comandos se separan con "!" para distinguir la configuración.
Asegúrese de que ha separado la configuración con "!" y de que no hay espacios antes o después de los símbolos "!". De lo contrario, la aplicación de configuración fallará.
1.3 Copiar la configuración
Al copiar y pegar un archivo de configuración manualmente, trate de encontrar similitudes de donde algunas secciones de configuración están comenzando y terminando. También puede ver los campos verdes en el Bloc de notas++ de lo que la nueva configuración que no está en el archivo de configuración actual.
Por ejemplo, en la antigua configuración del USG310, podemos ver que la configuración VPN está terminando con
vpn-configuration-provision authentication default
Por lo tanto, podemos copiar la configuración VPN hasta que veamos esta línea de comandos
Luego la copiamos a la nueva configuración donde podemos ver este comando
2) Preparar la conversión de la configuración
2.1 Descargar los archivos de configuración
Navegue hasta
Maintenance -> File Manager -> Configuration File > Configuration
Descarga el último archivo "startup-config.conf" seleccionando el archivo y pulsando "descargar", o mira la "última modificación" para ver cuál es el último archivo de configuración.
2.2 Utilizar la herramienta de conversión
a) Introduzca https://convert.cloud.zyxel.com/
b) Elige el dispositivo más similar a tu nuevo dispositivo
Echa un vistazo a este artículo para obtener más información: Convertidor de configuraciones
Si tiene un USG FLEX 500 o un ATP700, puede optar por convertir al ATP500 (para el USG FLEX 500) y al USG FLEX 700 (para el ATP700) porque la cantidad de puertos físicos es la misma para el USG FLEX 500 y el ATP500, así como para el USG FLEX 700 y el ATP700.
2.3 Cargar el nuevo archivo de configuración convertido
Primero navegue a:
Maintenance -> File Manager -> Configuration File -> Configuration
A continuación, cargue su archivo de configuración haciendo clic en "Examinar..."
A continuación, seleccione el archivo de configuración recién cargado haciendo clic con el botón izquierdo del ratón y, a continuación, haga clic en "Aplicar"
Deje de aplicar inmediatamenteel archivo de configuración y vuelva a la configuración anterior.
3) Vías de conversión de la configuración
Así que cuando se desea convertir la configuración manualmente, hay algunas maneras de ir en función de lo que el modelo de firewall que tiene y qué modelo que ha comprado como su nuevo dispositivo.
Para USG310 (Zywall310), puede optar por convertir a un VPN300, USG FLEX 700.
Pero también puede elegir USG310 que le da la opción de convertir su archivo de configuración a un ATP500:
Ruta 1: Convertir a una serie de cortafuegos diferente pero el cortafuegos equivalente
Si tiene un Zywall310 y quiere convertir este archivo a un USG FLEX 500, podría convertir su archivo de configuración Zywall310 de un
USG310 -> ATP500
Debido a que el USG FLEX 500 y ATP500 tiene la misma estructura de configuración (puertos físicos / estructura config-file), entonces la conversión será fácil.
Para engañar al convertidor para convertir su Zywall310 de un USG310, elimine estas dos filas en el archivo de configuración:
A continuación, si desea cargar el nuevo archivo de configuración ATP500 a su nuevo USG FLEX 500, tiene que cambiar algunas cosas:
Primero el modelo necesita ser cambiado de ATP500 a USG FLEX 500, y la versión de firmware probablemente no sea 4.60 así que puedes intentar borrar ambas filas o cambiar el modelo a "USG FLEX 500" y borrar la fila de versión de firmware.
A continuación, cargue el nuevo convertido y guardado (sin modelo y versión de fw) en el nuevo dispositivo.
Ruta 2: Convertir a un firewall diferente
Digamos que tenemos la configuración del Zywall310 y queremos convertir nuestra configuración a un USG FLEX 100.
Paso 1) Convertir a la serie de cortafuegos más cercana
Zywall310(USG310)/ATP500 tiene una estructura de interfaz diferente a USG FLEX 100 porque tienes puertos (ge1, ge2, ge3 etc.) en lugar de elegir lan1 y asignar esto a un puerto o a un número de puertos. Así que aquí tenemos que hacer algo de trabajo manual.
Así que como el USG FLEX 100 tiene 6 puertos, y el Zywall310 tiene 8 puertos. Necesitamos borrar ge7 y ge8 así como todas las referencias a ge7 y ge 8 buscando en el archivo de configuración "ge7" y luego "ge8".
Ejemplos de donde borrar la configuración de mapeo ge7 y ge8:
Después de haber eliminado todas las referencias de los puertos que no existe en el USG FLEX 100, seguir adelante y cargar el nuevo archivo de configuración que ha creado y aplicar la configuración.
Ruta 3: Copiar/pegar manualmente la configuración
Ruta 3.1: Descargar Notepad
Vaya a https://notepad-plus-plus.org/downloads/ y descargue e instale la última versión de Notepad++.
Ruta 3.2: Instalar el plugin "Comparar
Vaya a
Plugins -> Plugins Admin
A continuación, busque compare y haga clic en "install" para instalar la herramienta Compare.
Ruta 3.3: Abra ambos archivos de configuración y ejecute la herramienta de comparación
Abra ambos archivos de configuración (del antiguo USG310 y del nuevo USG FLEX 700)
Campos blancos = misma configuración en ambos
Camposrojos = no existe en el otro archivo de configuración
Campos verdes = cosas nuevas que deben copiarse en el otro archivo de configuración
4.1 Ejemplos para copiar/pegar
1. Interfaz Ethernet + VLAN
2. Usuario / admin config
3. Configuración VPN
4. Zonas
5. DNS y Reenvío de Zona de Dominio
6. NAT (servidor virtual y NAT)
7. Política de seguridad (reglas de cortafuegos)
8. Rutas políticas
4.2 Cosas que no se deben copiar/pegar
Funciones UTM
Patrulla de aplicación como se puede ver a continuación, es diferente sintaxis de los antiguos cortafuegos y los nuevos cortafuegos
Certificados
Los certificados son exclusivos de los cortafuegos y no pueden encontrarse en el archivo de configuración. Sin embargo, se seguirá haciendo referencia a ellos en el archivo de configuración. Así que es posible que desee ser consciente de las referencias aquí. Busque en el documento del archivo de configuración para encontrar las referencias "cert".
Cuando haya terminado de copiar, ejecute la función de comparación de nuevo y verá más claramente lo que se ha copiado y lo que no.
5) Solución de problemas
En esta sección se explicará cómo solucionar problemas y se darán ejemplos de errores que pueden producirse y cómo solucionarlos.
Cuando cargue un nuevo archivo de configuración en el nuevo cortafuegos, probablemente tendrá que solucionar este problema ya que la carga fallará. Siempre que se encuentre con esta pantalla:
Navegue a
Monitor -> Logs
En Filtro, podría filtrar los registros en "Administrador de archivos" para ver todos los registros relacionados con la carga de configuración.
5.1 ADVERTENCIA vs. ERROR
Lo que debe buscar son los mensajes de ERROR que aparecen en rojo. Tenga en cuenta que los mensajes de ADVERTENCIA no son nada de qué preocuparse y son completamente normales.
Cuando falle - corrija el error y borre la configuración que acaba de subir, y suba la nueva configuración de nuevo.
5.2 Error de encriptación
Si recibes un mensaje de error diciendo "Los datos están encriptados" puede ser que necesites borrar todas las cuentas de usuario (+ contraseñas) porque la encriptación de las contraseñas no puede ser convertida por el nuevo dispositivo.
5.3 Ejemplos de errores
Error #1
Este error dice que el "objeto AAA asociado no existe", lo que significa que algo en la configuración de AD no coincide con esta referencia.
Solución #1
Pudimos ver que los usuarios VPN SSL estaban haciendo referencia a la configuración de AD, donde la configuración de AD se eliminó antes de la conversión, porque ya no se utilizaba. Así que la solución aquí fue eliminar los usuarios VPN SSL en la configuración y cargar el archivo de configuración de nuevo.
Error #2
Aquí, la cuenta de terminal configure PPPoE GE14 no pudo ser configurada. Así que lo que tenemos que hacer es buscar (ctrl+f) en el archivo de configuración el comando GE14 que el cortafuegos está intentando ejecutar.
Solución #2
Aquí, falló porque nos olvidamos de separación entre la "cuenta pppoe" y "ip dhcp pool". Así que lo que tenemos que hacer es añadir un "!" entre los comandos.
Error #3
Vimos un error "configure terminal interface_ether ge \x09\x09\x09\x09[...]", y al buscar "interface_ether" no encontramos nada en el archivo de configuración. Así que empezamos a buscar las interfaces en el archivo de configuración.
Solución #3
Después de volver a comprobar la configuración de la interfaz, pudimos ver que se trataba de un duplicado de objetos de dirección en las interfaces ge que hemos eliminado. Así que el objeto-dirección duplicado no puede funcionar porque el nombre LAN_SUBNET_GE4 ya está en uso.
Error #4
Pudimos ver que el objeto de dirección RFC1918_2 no pudo ser creado y ejecutado.
Solución #4
Después de algunos ensayo y error de ida y vuelta, nos dimos cuenta de que la dirección de objetos aquí estaba en el lugar equivocado en el archivo de configuración, y se cambió a entre la dirección de objeto y objeto-objeto de dirección de grupo
Error #5
Tuvimos un problema con el objeto de servicio que no se pudo crear.
Solución #5
Así que cuando borramos estos dos objetos de servicio Any_UDP y Any_TCP, pudimos ver que el tercer objeto de servicio no pudo ser creado, lo que muestra que ninguno de los objetos de servicio pudo ser creado.
La solución aquí fue comprobar si podía haber un "espacio" antes o después del "!" entre el objeto-dirección6 y el objeto-servicio.
Comentarios
0 comentariosInicie sesión para dejar un comentario.