Ez a cikk azt mutatja be, hogy hogyan lehet a konfigurációkonvertálással kapcsolatos hibákat elhárítani, ha egy konfigurációs fájlt kézzel szeretne konvertálni. Megmutatja, hogyan kell hibaelhárítani, ha a konfigurációs fájl nem alkalmazható, és hogyan lehet a legjobban átalakítani a konfigurációt egy régi eszközről egy új eszközre a konverziós eszközzel vagy kézzel.

Felelősségi nyilatkozat! Ez a cikk általános áttekintést nyújt a sorozatról, és nem biztos, hogy egységesen érvényes minden modellre, szoftver/ firmware verzióra. Akészülék megvásárlása vagy használata előtt kérjük, olvassa el a modell/verzió-specifikus dokumentációt, vagy forduljon a műszaki támogatáshoz a pontos információkért.

Megjegyzés! Az új konverziós konfiguráció korlátozott támogatást élvez a támogatási csapat részéről, mivel hivatalosan csak a convert eszközzel végzett konverziót támogatjuk. Vannak azonban módok arra, hogy a konfigurációt kézzel maga is átalakítsa, de ebben nem tudunk támogatást nyújtani.

Tartalomjegyzék

1) Hogyan működik a konfiguráció

1.1 A konfiguráció alkalmazása

1.2 A parancsok elkülönítése

1.3 A konfiguráció átmásolása

2) A konfiguráció átalakításának előkészítése

2.1 Konfigurációs fájlok letöltése

2.2 A Konverziós eszköz használata

2.3 Töltse fel az új konvertált konfigurációs fájlt

3) A konfiguráció átalakításának útvonalai

1. út: Más tűzfal-sorozatra, de az egyenértékű tűzfalra való átalakítás.

2. út: Átalakítás egy másik tűzfalra

3. út: A konfiguráció kézi másolása/beillesztése

3.1. út: A Notepad++ letöltése

3.2. út: Telepítse a "Compare" plugint

3.3. út: Nyissa meg mindkét konfigurációs fájlt, és indítsa el az összehasonlító eszközt.

4.1 Példák másolásra/beillesztésre

4.2 Amit nem szabad másolni/beilleszteni

5) Hibaelhárítás

5.1 FIGYELMEZTETÉS vs. HIBA

5.2 Titkosítási hiba

5.3 Példahibák

1) Hogyan működik a konfiguráció

1.1 Konfigurációs alkalmazás

A konfigurációs fájl alkalmazásakor a konfigurációs fájlban szereplő összes parancsot beírja, pl.

vagy;

vagy;

Ily módon a tűzfal össze tudja állítani és alkalmazni tudja a konfigurációt az új eszközre.

1.2 A parancsok szétválasztása

A parancsokat "!"-val választjuk el egymástól a konfiguráció megkülönböztetése érdekében.

Győződjön meg róla, hogy a konfigurációt "!" -val választotta el, és hogy a "!" szimbólumok előtt és után nincs szóköz. Ellenkező esetben a konfigurációs alkalmazás sikertelen lesz.

1.3 A konfiguráció átmásolása

Amikor kézzel másol be egy konfigurációs fájlt, próbáljon meg hasonlóságot találni abban, hogy egyes konfigurációs szakaszok hol kezdődnek és hol végződnek. A Notepad++ programban is láthatja a zöld mezőkben, hogy milyen új konfiguráció nem szerepel az aktuális konfigurációs fájlban.

Például az USG310 régi konfigurációjában láthatjuk, hogy a VPN-konfiguráció a következővel ér véget

Ezért addig másolhatjuk a VPN konfigurációt, amíg ezt a parancssort nem látjuk

Ezután másoljuk át az új konfigurációba, ahol ezt a parancsot láthatjuk

2) Készítsük elő a konfiguráció átalakítását

2.1 Konfigurációs fájlok letöltése

Navigáljon a

Töltse le a legújabb "startup-config.conf" fájlt a fájl kiválasztásával, majd a "letöltés" gomb megnyomásával, vagy nézze meg az "utolsó módosítás" jelzést, hogy melyik a legújabb konfigurációs fájl.

2.2 A Konvertáló eszköz használata

a) Adja meg a https://convert.cloud.zyxel.com/ címet.

b) Válassza ki az új eszközéhez legjobban hasonló eszközt.

További információkért tekintse meg ezt a cikket: Konfigurációs átalakító

Ha rendelkezik USG FLEX 500 vagy ATP700 készülékkel, választhatja az ATP500 (USG FLEX 500 esetén) és USG FLEX 700 (ATP700 esetén) átalakítást, mivel a fizikai portok száma megegyezik az USG FLEX 500 és ATP500, valamint az USG FLEX 700 és ATP700 esetében.

2.3 Az új, átalakított konfigurációs fájl feltöltése

Először navigáljon a következő címre:

Ezután töltse fel a konfigurációs fájlt a "Tallózás..." gombra kattintva.

Ezután válassza ki az újonnan feltöltött konfigurációs fájlt a bal egérgombbal kattintva, majd kattintson az "Apply" (Alkalmazás) gombra.

Válassza ki akonfigurációs fájl alkalmazásának azonnalileállítását és a korábbi konfiguráció visszaállítását.

3) A konfiguráció átalakításának útvonalai

Ha tehát manuálisan szeretné átalakítani a konfigurációt, többféleképpen is járhat, attól függően, hogy milyen tűzfalmodellje van, és milyen modellt vásárolt új eszközként.

Az USG310 (Zywall310) esetében választhatja a VPN300, USG FLEX 700 átalakítását.

De választhatja az USG310-et is, amely lehetőséget ad arra, hogy a konfigurációs fájlját ATP500-ra konvertálja:

Útvonal 1: Konvertálás egy másik tűzfal sorozatba, de az egyenértékű tűzfalba.

Ha van egy Zywall310-ed, és ezt a fájlt egy USG FLEX 500-ra szeretnéd konvertálni, akkor a Zywall310 konfigurációs fájlodat konvertálhatod egy

Mivel az USG FLEX 500 és az ATP500 azonos konfigurációs struktúrával rendelkezik (fizikai portok / config-file struktúra), így a konverzió egyszerű lesz.

Ahhoz, hogy becsapja az átalakítót, hogy a Zywall310-et egy USG310-ből konvertálja, törölje ezt a két sort a konfigurációs fájlban:

Ezután, ha az új ATP500 konfigurációs fájlt szeretné feltölteni az új USG FLEX 500-as készülékére, néhány dolgot meg kell változtatnia:

Először is a modellt ATP500-ról USG FLEX 500-ra kell változtatni, és a firmware verziója valószínűleg nem 4.60, így megpróbálhatja törölni mindkét sort, vagy a modellt "USG FLEX 500"-ra változtatni, és törölni a firmware verzió sorát.

Ezután töltse fel az új átalakított és mentett (modell és fw verzió nélkül) új eszközre.

2. út: Konvertálás egy másik tűzfalra

Tegyük fel, hogy megvan a Zywall310 konfigurációja, és szeretnénk a konfigurációnkat egy USG FLEX 100-ra konvertálni.

1. lépés) Konvertálás a legközelebbi tűzfal sorozatra

A Zywall310(USG310)/ATP500 más interfész struktúrával rendelkezik, mint az USG FLEX 100, mivel portok vannak (ge1, ge2, ge3 stb.) ahelyett, hogy vagy kiválasztja a lan1-et és hozzárendeli ezt egy porthoz vagy több porthoz. Tehát itt némi kézi munkát kell végeznünk.

Tehát mivel az USG FLEX 100-nak 6 portja van, a Zywall310-nek pedig 8 portja. Törölnünk kell a ge7 és ge8, valamint a ge7-re és ge8-ra való összes hivatkozást, a config fájlban a "ge7", majd a "ge8" keresésével.

Példák arra, hogy hol kell törölni a ge7 és ge8 leképezési konfigurációt:

Miután törölte az összes hivatkozást a portokról, amelyek nem léteznek az USG FLEX 100-on, folytassa a létrehozott új konfigurációs fájl feltöltését és alkalmazza a konfigurációt.

3. út: A konfiguráció kézi másolása/beillesztése

3.1: Notepad++ letöltése

Navigáljon a https://notepad-plus-plus.org/downloads/ oldalra, töltse le és telepítse a legújabb Notepad++ verziót.

3.2. út: Telepítse a "Compare" plugint

Navigáljon a

Ezután keresse meg a compare szót, és kattintson a "telepítés" gombra a Compare eszköz telepítéséhez.

3.3. útvonal: Nyissa meg mindkét konfigurációs fájlt, és indítsa el az összehasonlító eszközt.

Nyissa meg mindkét konfigurációs fájlt (a régi USG310-es és az új USG FLEX 700-as készülékről).

Fehér mezők = ugyanaz a konfiguráció mindkettőben

Piros mezők = a másik konfigurációs fájlban nem létezik.

Zöld mezők = új dolgok, amelyeket át kell másolni a másik konfigurációs fájlba.

4.1 Példák a másolásra/beillesztésre

1. Ethernet-interfész + VLAN

2. Felhasználói / admin konfiguráció

3. VPN beállítások

4. Zónák

5. DNS & Domain zóna továbbító

6. NAT (virtuális kiszolgáló és NAT)

7. Secure-policy (tűzfal szabályok)

8. Házirend útvonalak

4.2 Amit nem szabad másolni/beilleszteni

UTM funkciók

Az alkalmazás őrjárat, mint alább látható, különböző szintaxis a régi és az új tűzfalak esetében.

Tanúsítványok

A tanúsítványok csak a tűzfalakra jellemzőek, és nem találhatók meg a konfigurációs fájlban. A konfigurációs fájlban azonban továbbra is hivatkozni fognak rá. Ezért érdemes tisztában lenni az itteni hivatkozásokkal. Keresse meg a konfigurációs fájl dokumentumában a "cert" hivatkozásokat.

Ha befejezte az átmásolást, futtassa le újra a compare funkciót, és akkor tisztábban láthatja, hogy mi lett átmásolva és mi nem.

5) Hibaelhárítás

Ebben a szakaszban néhány magyarázat következik a hibaelhárítással kapcsolatban, majd példák következnek az esetlegesen előforduló hibákra és azok kijavítására.

Amikor új konfigurációs fájlt tölt fel az új tűzfalra, valószínűleg hibaelhárításra lesz szükség, mivel a feltöltés sikertelen lesz. Amikor ebbe a képernyőbe ütközik:

Navigáljon a

A Szűrő alatt szűrheti a naplókat a "Fájlkezelőre", hogy a konfiguráció feltöltésével kapcsolatos összes rekordot lássa.

5.1 FIGYELMEZTETÉS vs. HIBA

Amit keresni kell, az a piros színnel megjelenő HIBAüzenetek. Ne feledje, hogy a FIGYELMEZTETÉS üzenetek miatt nem kell aggódnia, és itt teljesen normális.

Ha nem sikerül - javítsa ki a hibát, és törölje az imént feltöltött konfigurációt, majd töltse fel újra az új konfigurációt.

5.2 Titkosítási hiba

Ha a következő hibaüzenetet kapja: "Az adatok titkosítva vannak", akkor előfordulhat, hogy törölnie kell az összes felhasználói fiókot (+ jelszavakat), mert a jelszavak titkosítását az új eszköz nem tudja átalakítani.

5.3 Példa hibák

Hiba #1

Ez a hiba azt mondja, hogy a "Associated AAA object doesn't exist", ami azt jelenti, hogy az AD konfigurációban valami nem felel meg ennek a hivatkozásnak.

Megoldás #1

Láthattuk, hogy az SSL VPN felhasználók az AD konfigurációra hivatkoztak, ahol az AD konfigurációt az átalakítás előtt eltávolítottuk, mert már nem használtuk. Tehát a megoldás itt az volt, hogy töröltük az SSL VPN-felhasználókat a konfigurációból, és újra feltöltöttük a konfigurációs fájlt.

Hiba #2

Itt a PPPoE GE14 terminálfiók konfigurálása nem volt konfigurálható. Tehát azt kell tennünk, hogy megkeressük (ctrl+f) a config fájlban a GE14 parancsot, amelyet a tűzfal megpróbál végrehajtani.

Megoldás #2

Itt azért nem sikerült, mert elfelejtettük elválasztani a "account pppoe" és az "ip dhcp pool" között. Ezért a parancsok közé egy "!" betűt kell tennünk.

Hiba #3

Láttunk egy hibát "configure terminal interface_ether ge \x09\x09\x09\x09\x09\x09[...]", és amikor rákeresünk az "interface_ether"-re, nem találunk semmit a konfigurációs fájlban. Így aztán elkezdtük keresni az interfészeket a config fájlban.

Megoldás #3

Az interfész-konfiguráció kétszeri ellenőrzése után láthattuk, hogy a ge interfészeken duplikált címobjektumok voltak, amelyeket töröltünk. Tehát a duplikált címobjektum nem működhet, mivel a LAN_SUBNET_GE4 név már használatban van.

Hiba #4

Láthattuk, hogy az RFC1918_2 címobjektumot nem sikerült létrehozni és végrehajtani.

Megoldás #4

Némi próbálkozás és hiba után rájöttünk, hogy a címobjektumok itt rossz helyen voltak a config fájlban, és a cím-objektum és az objektum-csoport címek között volt megváltoztatva.

Hiba #5

Probléma adódott a szolgáltatás-objektummal, amelyet nem lehetett létrehozni.

Megoldás #5

Amikor tehát töröltük ezt a két Any_UDP és Any_TCP szolgáltatásobjektumot, láthattuk, hogy a harmadik szolgáltatásobjektumot nem lehetett létrehozni, ami azt mutatja, hogy egyik szolgáltatásobjektumot sem lehetett létrehozni.

A megoldás itt az volt, hogy ellenőriztük, hogy az address6-objektum és a service-objektum között lehet-e "szóköz" a "!" előtt vagy után.