Tärkeä huomautus: Hyvät asiakkaat, huomioikaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyssä versiossa on kysymyksiä tai ristiriitaisuuksia tietojen oikeellisuudesta, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio.

Tässä artikkelissa näytetään, miten konfiguraatiomuunnoksen vianmääritys tehdään, kun haluat muuntaa konfiguraatiotiedoston manuaalisesti. Tässä artikkelissa näytetään, miten vianmääritys tehdään, kun konfigurointitiedostoa ei voida soveltaa, ja miten konfiguraatio muunnetaan parhaiten vanhasta laitteesta uuteen laitteeseen muuntotyökalun avulla tai manuaalisesti.

Vastuuvapauslauseke! Tämä artikkeli tarjoaa yleisen yleiskatsauksen sarjasta, eikä se välttämättä koske yhdenmukaisesti jokaista mallia, ohjelmisto-/firmware-versiota. Ennen laitteen ostamista tai käyttämistä tutustu malli-/versiokohtaiseen dokumentaatioon tai ota yhteyttä tekniseen tukeen tarkkojen tietojen saamiseksi.

Huomautus! Tukitiimi tukee uutta muuntokokoonpanoa vain rajoitetusti, sillä tuemme virallisesti vain convert-työkalulla tehtyä muuntamista. On kuitenkin olemassa tapoja, joilla voit muuntaa kokoonpanon manuaalisesti itse, mutta emme voi tukea sinua siinä.

Sisällysluettelo

1) Miten konfiguraatio toimii

1.1 Konfigurointisovellus

1.2 Komentojen erottelu

1.3 Konfiguraation kopiointi

2) Konfiguraation muuntamisen valmistelu

2.1 Lataa konfiguraatiotiedostot

2.2 Käytä muunnostyökalua

2.3 Lataa uusi muunnettu konfiguraatiotiedosto.

3) Polut konfiguraation muuntamiseen

Polku 1: Muunna eri palomuurisarjaan, mutta vastaavaan palomuuriin.

Polku 2: Muunnetaan eri palomuuriin.

Polku 3: Manuaalinen kopiointi/liittäminen konfiguraation kanssa

Polku 3.1: Lataa Notepad++

Polku 3.2: Asenna "Compare"-lisäosa.

Polku 3.3: Avaa molemmat konfigurointitiedostot ja käynnistä vertailutyökalu.

4.1 Esimerkkejä kopioimisesta/liittämisestä

4.2 Asiat, joita ei saa kopioida/liimata

5) Vianmääritys

5.1 VAROITUS vs. VIKA

5.2 Salausvirhe

5.3 Esimerkkivirheet

1) Miten konfiguraatio toimii

1.1 Konfigurointisovellus

Kun konfigurointitiedostoa sovelletaan, se syöttää kaikki konfigurointitiedoston komennot, esim. seuraavat.

dyn_repppppppp_0

tai;

dyn_repppppppp_1

tai;

dyn_repppppppp_2

Näin palomuuri voi koota ja soveltaa konfiguraatiota uuteen laitteeseen.

1.2 Komentojen erottelu

Komennot erotetaan toisistaan "!":lla konfiguraation erottamiseksi.

Varmista, että olet erottanut konfiguraation "!":lla ja että "!"-merkkien edessä tai jälkeen ei ole välilyöntejä. Muuten konfigurointisovellus epäonnistuu.

1.3 Konfiguraation kopiointi

Kun kopioit ja liität konfiguraatiotiedostoa manuaalisesti, yritä löytää yhtäläisyyksiä siinä, missä jotkut konfiguraatio-osat alkavat ja päättyvät. Voit myös nähdä Notepad++:n vihreistä kentistä, mitä uutta konfiguraatiota ei ole nykyisessä konfiguraatiotiedostossa.

Esimerkiksi USG310:n vanhassa konfiguraatiossa näemme, että VPN-konfiguraatio päättyy seuraaviin kohtiin

dyn_repppppppp_3

Siksi voimme kopioida VPN-konfiguraation, kunnes näemme tämän komentorivin

Kopioi se sitten uuteen kokoonpanoon, jossa näkyy tämä komento.

2) Valmistele konfiguraation muuntaminen

2.1 Lataa konfiguraatiotiedostot

Siirry osoitteeseen

dyn_repppppppp_4

Lataa uusin "startup-config.conf"-tiedosto valitsemalla tiedosto ja painamalla "download" tai katso "last modified" -kentästä, mikä on uusin konfiguraatiotiedosto.

2.2 Käytä muunnostyökalua

a) Syötä https://convert.cloud.zyxel.com/

b) Valitse uutta laitettasi eniten muistuttava laite.

Katso lisätietoja tästä artikkelista: Configuration Converter

Jos sinulla on USG FLEX 500 tai ATP700, voit halutessasi muuntaa ATP500:ksi (USG FLEX 500:lle) ja USG FLEX 700:ksi (ATP700:lle), koska fyysisten porttien määrä on sama USG FLEX 500:ssa ja ATP500:ssa sekä USG FLEX 700:ssa ja ATP700:ssa.

2.3 Lataa uusi muunnettu konfigurointitiedosto.

Siirry ensin osoitteeseen:

dyn_repppppppp_5

Lataa sitten konfiguraatiotiedosto klikkaamalla "Browse...".

Valitse juuri ladattu konfiguraatiotiedosto napsauttamalla sitä vasemmalla ja napsauta sitten "Apply".

Lopeta konfiguraatiotiedoston soveltaminen välittömästija palaa edelliseen konfiguraatioon.

3) Polut konfiguraation muuntamiseen

Kun haluat muuntaa kokoonpanon manuaalisesti, voit valita muutaman tavan riippuen siitä, mikä palomuurimalli sinulla on ja minkä mallin olet ostanut uudeksi laitteeksesi.

USG310:n (Zywall310) voit muuntaa VPN300:ksi, USG FLEX 700:ksi.

Mutta voit myös valita USG310:n, joka antaa sinulle mahdollisuuden muuntaa konfiguraatiotiedostosi ATP500:ksi:

Polku 1: Muunna eri palomuurisarjaan, mutta vastaavaan palomuuriin.

Jos sinulla on Zywall310 ja haluat muuntaa tämän tiedoston USG FLEX 500:ksi, voit muuntaa Zywall310-konfiguraatiotiedoston osoitteesta

dyn_repppppppp_6

Koska USG FLEX 500:lla ja ATP500:lla on sama konfiguraatiorakenne (fyysiset portit / config-tiedoston rakenne), muuntaminen on helppoa.

Jos haluat huijata muunninta muuntamaan Zywall310:n USG310:stä, poista nämä kaksi riviä konfiguraatiotiedostosta:

Jos haluat ladata uuden ATP500-konfiguraatiotiedoston uuteen USG FLEX 500:aan, sinun on muutettava muutamia asioita:

Malli on muutettava ATP500:sta USG FLEX 500:ksi, ja laiteohjelmistoversio ei todennäköisesti ole 4.60, joten voit yrittää poistaa nämä molemmat rivit tai muuttaa mallin "USG FLEX 500:ksi" ja poistaa laiteohjelmistoversiorivin.

Lataa sitten uusi muunnettu ja tallennettu (ilman mallia ja fw-versiota) uuteen laitteeseen.

Polku 2: Muunna toiseen palomuuriin.

Oletetaan, että meillä on Zywall310:n kokoonpano ja haluamme muuntaa kokoonpanomme USG FLEX 100:een.

Vaihe 1) Muunna lähimpään palomuurisarjaan.

Zywall310(USG310)/ATP500:ssa on erilainen rajapintarakenne kuin USG FLEX 100:ssa, koska siinä on portteja (ge1, ge2, ge3 jne.) sen sijaan, että valitsisit joko lan1:n ja osoittaisit sen yhdelle portille tai usealle portille. Joten tässä meidän on tehtävä hieman manuaalista työtä.

Koska USG FLEX 100:ssa on 6 porttia ja Zywall310:ssä 8 porttia. Meidän on poistettava ge7 ja ge8 sekä kaikki viittaukset ge7:ään ja ge8:aan etsimällä konfigurointitiedostosta "ge7" ja sitten "ge8".

Esimerkkejä siitä, mistä ge7- ja ge8-kartoituskonfiguraatio poistetaan:

Kun olet poistanut kaikki viittaukset porteista, joita ei ole USG FLEX 100:ssa, siirry lataamaan luomaasi uutta konfiguraatiotiedostoa ja ota konfiguraatio käyttöön.

Polku 3: Määrityksen manuaalinen kopiointi/liittäminen

Polku 3.1: Lataa Notepad++

Siirry osoitteeseen https://notepad-plus-plus.org/downloads/ ja lataa ja asenna uusin Notepad++-versio.

Polku 3.2: Asenna "Compare"-lisäosa.

Siirry osoitteeseen

dyn_repppppppp_7

Etsi sitten compare ja napsauta "install" asentaaksesi Compare-työkalun.

Polku 3.3: Avaa molemmat konfigurointitiedostot ja käynnistä vertailutyökalu.

Avaa molemmat konfiguraatiotiedostot (vanhan USG310:n ja uuden USG FLEX 700:n).

Valkoiset kentät = sama konfiguraatio molemmissa

Punaiset kentät = ei ole olemassa toisessa konfigurointitiedostossa.

Vihreät kentät = uusia asioita, jotka on kopioitava toiseen config-tiedostoon.

4.1 Esimerkkejä kopioimisesta/liittämisestä

1. Ethernet-liitäntä + VLAN

2. Käyttäjän / ylläpitäjän konfigurointi

3. VPN-asetukset

4. Vyöhykkeet

5. DNS & Domain Zone Forwarder

6. NAT (virtuaalipalvelin ja NAT)

7. Turvapolitiikka (palomuurisäännöt)

8. Politiikan reitit

4.2 Asiat, joita ei saa kopioida/liimata

UTM-toiminnot

Sovelluspuolustus, kuten alla näkyy, on erilainen syntaksi vanhoissa palomuureissa ja uusissa palomuureissa.

Varmenteet

Varmenteet ovat palomuurien yksilöllisiä, eikä niitä löydy asetustiedostosta. Niihin viitataan kuitenkin edelleen asetustiedostossa. Kannattaa siis olla tietoinen viittauksista tässä. Etsi konfigurointitiedoston dokumentista "cert"-viittaukset.

Kun olet lopettanut kopioinnin, suorita compare-toiminto uudelleen, niin näet selvemmin, mitä on kopioitu ja mitä ei.

5) Vianmääritys

Tässä jaksossa seuraa joitakin selityksiä vianmäärityksestä ja sitten esimerkkejä mahdollisista virheistä ja niiden korjaamisesta.

Kun lataat uuden konfiguraatiotiedoston uuteen palomuuriin, joudut todennäköisesti suorittamaan vianmäärityksen, koska lataus epäonnistuu. Aina kun törmäät tähän näyttöön:

Siirry osoitteeseen

dyn_repppppppp_8

Suodata kohdassa Filter (Suodata), voit suodattaa lokit kohtaan "File Manager" nähdäksesi kaikki tietueet, jotka liittyvät kokoonpanon lataamiseen.

5.1 VAROITUS vs. VIRHE

Se, mitä haluat etsiä, ovat ERROR-viestit, jotka näkyvät punaisella. Huomaa, että VAROITUS-viesteissä ei ole mitään syytä huoleen, ja ne ovat täysin normaaleja.

Kun se epäonnistuu - korjaa virhe ja poista juuri lataamasi kokoonpano ja lataa uusi kokoonpano uudelleen.

5.2 Salausvirhe

Jos saat virheilmoituksen "Data is encrypted" (Tiedot on salattu), voi olla, että sinun on poistettava kaikki käyttäjätilit (+ salasanat), koska salasanojen salausta ei voida muuntaa uudella laitteella.

5.3 Esimerkkivirheet

Virhe #1

Tämä virhe ilmoittaa, että "Associated AAA object doesn't exist", mikä tarkoittaa, että jokin AD-konfiguraatiossa ei vastaa tätä viittausta.

Ratkaisu #1

Näimme, että SSL VPN -käyttäjät viittasivat AD-konfiguraatioon, vaikka AD-konfiguraatio poistettiin ennen muuntamista, koska sitä ei enää käytetty. Ratkaisu oli siis poistaa SSL VPN -käyttäjät konfiguraatiosta ja ladata konfiguraatiotiedosto uudelleen.

Virhe #2

Tässä tapauksessa päätelaitteen PPPoE GE14 -tiliä ei voitu määrittää. Meidän on siis etsittävä (ctrl+f) config-tiedostosta GE14-komento, jota palomuuri yrittää suorittaa.

Ratkaisu #2

Tässä se epäonnistui, koska unohdimme erottaa "account pppoe" ja "ip dhcp pool" toisistaan. Meidän on siis lisättävä "!" komentojen väliin.

Virhe #3

Näimme virheen "configure terminal interface_ether ge \x09\x09\x09\x09\x09\x09[...]", ja kun etsimme sanaa "interface_ether", emme löydä konfiguraatiotiedostosta mitään. Niinpä aloimme sitten etsiä rajapintoja konfigurointitiedostosta.

Ratkaisu #3

Kun olimme tarkistaneet käyttöliittymäkonfiguraation kahdesti, näimme, että ge-liitännöissä oli päällekkäisiä osoiteobjekteja, jotka poistimme. Kaksoisosoiteobjekti ei siis voi toimia, koska nimi LAN_SUBNET_GE4 on jo käytössä.

Virhe #4

Näimme, että osoiteobjektia RFC1918_2 ei voitu luoda eikä suorittaa.

Ratkaisu #4

Joidenkin kokeilujen ja erehdysten jälkeen saimme selville, että osoiteobjektit olivat väärässä paikassa konfigurointitiedostossa, ja ne muutettiin address-object- ja object-group-osoitteen väliin.

Virhe #5

Meillä oli ongelma palveluobjektin kanssa, jota ei voitu luoda.

Ratkaisu #5

Kun poistimme nämä kaksi Any_UDP- ja Any_TCP-palvelukohtaa, näimme, että kolmatta palvelukohtaa ei voitu luoda, mikä osoittaa, että mitään palvelukohteista ei voitu luoda.

Ratkaisu tässä tapauksessa oli tarkistaa, voisiko address6-objektin ja palvelu-objektin välissä olla välilyönti ennen tai jälkeen "!"-merkin.