Zyxel USG FLEX-, ATP- ja VPN-laitteiden päivittäminen hyvin vanhoista laiteohjelmistoversioista

Tässä artikkelissa kuvataan suositeltava ja turvallinen tapa päivittää Zyxel USG FLEX-, ATP- ja VPN-laitteet, joita ei ole päivitetty pitkään aikaan ja joissa on tällä hetkellä käytössä hyvin vanhat laiteohjelmistoversiot. Artikkelissa keskitytään erityisesti monimutkaisiin päivitystilanteisiin, joissa laiteohjelmisto on vanhentunut ja suora päivitys uusimpaan versioon voi aiheuttaa virheitä, konfiguraation menetyksen tai järjestelmän epävakaan toiminnan.

Artikkelin tarkoitus

• Kuvata turvallinen ja suositeltava tapa päivittää hyvin vanhat laiteohjelmistoversiot nykyisiin versioihin.

• Korostaa suorien päivitysten ilman välivaiheita suorittamisen riskejä.

• Selittää, miten vältetään konfiguraation vioittuminen tai menetys päivitysprosessin aikana.

• Antaa yleiskatsaus kunkin laitetuotelinjan laiteohjelmistoversioiden historiasta.

Laiteohjelmistoversioiden historia

Alla on yleinen laiteohjelmistoversioiden historia, jota käytetään oikean ja turvallisen päivitysreitin suunnittelussa.

USG FLEX: V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

ATP: V4 .32 → V4.33 → V4.35 → V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

VPN: V4 .35 → V4.39 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37

Suositus:
VPN-laitteet ovat erityisen herkkiä, kun päivitetään hyvin vanhoista laiteohjelmistoversioista, koska IPsec- ja SSL VPN -toiminnallisuuksiin on kertynyt muutoksia useissa haaroissa.

Kuinka voin selvittää, mikä laiteohjelmisto on asennettava ennen päivittämistä uusimpaan laiteohjelmistoversioon? 

Tämä tieto löytyy laiteohjelmiston julkaisutiedoista (saatavilla vain englanniksi). Useimmissa, ellei kaikissa, laiteohjelmiston julkaisutiedoissa on ”Lue ensin” -osio, jossa korostetaan kyseiselle laiteohjelmistoversiolle ominaisia tärkeitä huomautuksia ja huomioitavia seikkoja.

Lue ensin

Näistä ”Lue ensin” -osioista löydät tietoja vähimmäisvaatimuksista laiteohjelmistoversiolle, joka on asennettava ennen julkaisutiedoissa kuvatun laiteohjelmistoversion asentamista. Seuraava on esimerkki USG FLEX 500 ZLD5.38C0 -julkaisutiedoista:

Lisähuomautukset

Laiteohjelmistoa päivitettäessä – etenkin etäkäyttöön asennetuissa laitteissa – on olemassa riski, että vanhempi kokoonpano ei ole täysin yhteensopiva uuden laiteohjelmistoversion kanssa.

Jos näin tapahtuu, laite voi yrittää käynnistää useita kertoja uudelleen soveltaakseen olemassa olevaa käynnistyskonfiguraatiota. Jos tämä ei onnistu, laite palaa automaattisesti järjestelmän oletuskonfiguraatioon turvallisuussyistä. Tämä voi johtaa palvelun keskeytykseen, erityisesti jos paikan päällä ei ole saatavilla tukea tai apua.

Kun päivitetään laite, jossa on hyvin vanha laiteohjelmistoversio, on suurempi riski, että käynnistysprosessin aikana ilmenee konfiguraation yhteensopivuusongelmia. Tämän riskin minimoimiseksi Zyxel suosittelee vahvasti, että ennen laiteohjelmiston päivityksen aloittamista toteutetaan alla kuvatut ennaltaehkäisevät toimenpiteet, sillä ne parantavat merkittävästi päivityksen sujuvuutta ja onnistumista.

Samaa menettelyä suositellaan myös laiteohjelmiston versioiden alentamisessa tai viikoittaisen (virhekorjaus) laiteohjelmiston asennuksessa sekä etäpäivitystilanteissa, joissa voi olla samanlaisia riskejä.

Kuinka tämä voidaan välttää?

Kun sovellat konfiguraatiota, sinulta kysytään yleensä erilaisia palautusvaihtoehtoja – toisin sanoen: Laite kysyy "Mitä teen, jos huomaan, että sovellettava konfiguraatio on jotenkin vioittunut?":

Oletusarvoisesti laite on asetettu tilaan "Lopeta konfiguraatiotiedoston soveltaminen välittömästi ja palauta edellinen konfiguraatio". Useimmissa tapauksissa tämä toiminta toimii odotetusti. Jos järjestelmä kuitenkin tulkitsee tietyt konfiguraatiomerkinnät jälleen ongelmallisiksi, palautusprosessi itsessään voi epäonnistua. Tällaisissa tilanteissa laite voi palata järjestelmän oletuskonfiguraatioon itsesuojausmekanismina.

Tästä syystä, kun asetuksia sovelletaan hyvin vanhan version firmware-päivityksen yhteydessä, Zyxel suosittelee valitsemaan kolmannen palautusvaihtoehdon, "Ohita virheet ja lopeta asetustiedoston soveltaminen". 

Tällä vaihtoehdolla laite käsittelee konfiguraation rivi riviltä, ohittaa vain ongelmalliset merkinnät ja suorittaa konfiguraation lataamisen loppuun. Ohitetut tai epäonnistuneet merkinnät tallennetaan Monitor-lokiin, jolloin järjestelmänvalvojat voivat tarkistaa ja korjata ne myöhemmin.

Monitor > Logs

Setenv-skripti

Laiteohjelmiston päivityksen aikana ei ole mahdollista valita manuaalisesti palautustoimintoa käynnistyskonfiguraation soveltamiseksi uudelleenkäynnistyksen yhteydessä. Tämän rajoituksen ratkaisemiseksi Zyxel tarjoaa pienen apuscriptin, jota tuki kutsuu yleisesti ”setenv-scriptiksi”.

Voit muuttaa startup-config.conf-tiedoston soveltamistapaa. Lisää komento setenv-startup stopon-error off. Zyxel-laite ohittaa kaikki startup-config.conf-tiedoston virheet ja soveltaa kaikki kelvolliset komennot. Zyxel-laite luo edelleen lokin kaikista virheistä.

CLI-komennot, jotka se kirjoittaa laitteeseen, kun se sovelletaan:

1. Lataa setenv.zip

2. Lataa ja sovella komentosarja seuraavasti
   Ylläpito → Tiedostonhallinta → Shell-skripti

3. Luo varmuuskopio kokoonpanosta (sekä paikallisesti että laitteella).

4. Jatka tarvittavalla laiteohjelmiston päivityksellä tai alennuksella.

Huomaa: Vaikka tämä menettely on turvallinen ja vähentää merkittävästi konfiguraation menettämisen riskiä, harvinaisissa tapauksissa voi silti ilmetä odottamattomia ongelmia. Firmware-päivitykset tulisi suorittaa mahdollisuuksien mukaan paikan päällä. Kaikista epänormaaleista toiminnoista tulee ilmoittaa Zyxelin tukipalveluun lisätutkimuksia varten.