Avviso importante: |
Questo articolo mostra come risolvere i problemi di conversione della configurazione quando si desidera convertire un file di configurazione manualmente. Vi mostrerà come risolvere i problemi quando il file di configurazione non può essere applicato e il modo migliore per convertire la configurazione da un vecchio dispositivo a uno nuovo tramite lo strumento di conversione o manualmente.
Disclaimer! Questo articolo offre una panoramica generale della serie e potrebbe non essere applicabile in modo uniforme a tutti i modelli e versioni software/firmware. Prima di acquistare o utilizzare il dispositivo, consultare la documentazione specifica del modello/versione o contattare il supporto tecnico per ottenere informazioni precise.
Nota! La nuova configurazione di conversione ha un supporto limitato da parte del team di assistenza, in quanto supporta ufficialmente solo le conversioni effettuate con lo strumento di conversione. Tuttavia, è possibile convertire la configurazione manualmente, ma non possiamo fornire assistenza.
Tabella dei contenuti
1) Come funziona la configurazione
1.1 Applicazione della configurazione
1.3 Copia della configurazione
2) Preparare la conversione della configurazione
2.1 Scaricare i file di configurazione
2.2 Utilizzare lo strumento di conversione
2.3 Caricare il nuovo file di configurazione convertito
3) Percorsi di conversione della configurazione
Percorso 1: Conversione a una serie di firewall diversa ma equivalente
Percorso 2: Conversione a un firewall diverso
Percorso 3: Copiare/incollare manualmente la configurazione
Percorso 3.1: Scaricare Notepad++
Percorso 3.2: Installare il plugin "Compare".
Percorso 3.3: Aprire entrambi i file di configurazione e lanciare lo strumento di confronto.
4.1 Esempi da copiare/incollare
4.2 Cose da non copiare/incollare
5) Risoluzione dei problemi
1) Come funziona la configurazione
1.1 Applicazione della configurazione
Il file di configurazione, quando viene applicato, inserisce tutti i comandi presenti nel file di configurazione, ad es.
interface EXTERNAL_pppoppure;
interface-name ge3 LANoppure
secure-policy 1
name xyz
action allow
from LAN
to Zywall
sourceip Server_1
In questo modo, il firewall può compilare e applicare la configurazione al nuovo dispositivo
1.2 Separazione dei comandi
I comandi sono separati da "!" per distinguere la configurazione.
Assicurarsi di aver separato la configurazione con "!" e che non ci siano spazi prima o dopo i simboli "!". In caso contrario, l'applicazione di configurazione fallirà.
1.3 Copia della configurazione
Quando si copia e incolla manualmente un file di configurazione, si cerca di trovare delle somiglianze tra l'inizio e la fine di alcune sezioni di configurazione. Si possono anche vedere i campi verdi in Notepad++ della nuova configurazione che non è presente nel file di configurazione corrente.
Ad esempio, nella vecchia configurazione dell'USG310, possiamo vedere che la configurazione VPN termina con
vpn-configuration-provision authentication default
Pertanto, possiamo copiare la configurazione VPN fino a visualizzare questa riga di comando
Quindi copiarla nella nuova configurazione, dove si può vedere questo comando
2) Preparare la conversione della configurazione
2.1 Scaricare i file di configurazione
Navigare in
Maintenance -> File Manager -> Configuration File > Configuration
Scaricare l'ultimo file "startup-config.conf" selezionando il file e premendo "download", oppure guardare "last modified" per vedere qual è l'ultimo file di configurazione.
2.2 Utilizzare lo strumento di conversione
a) Immettere https://convert.cloud.zyxel.com/
b) Scegliere il dispositivo più simile al nuovo dispositivo
Per ulteriori informazioni, consultare questo articolo: Convertitore di configurazione
Se si dispone di un USG FLEX 500 o di un ATP700, si può scegliere di convertire in ATP500 (per USG FLEX 500) e USG FLEX 700 (per ATP700) perché la quantità di porte fisiche è la stessa per USG FLEX 500 e ATP500, nonché per USG FLEX 700 e ATP700.
2.3 Caricare il nuovo file di configurazione convertito
Per prima cosa navigare in:
Maintenance -> File Manager -> Configuration File -> Configuration
Quindi caricare il file di configurazione facendo clic su "Sfoglia...".
Selezionare quindi il file di configurazione appena caricato facendo clic con il tasto sinistro del mouse e facendo clic su "Applica".
Scegliere seinterrompere immediatamente l'applicazione del file di configurazione e tornare alla configurazione precedente.
3) Percorsi di conversione della configurazione
Quando si desidera convertire manualmente la configurazione, ci sono alcune strade da percorrere a seconda del modello di firewall posseduto e di quello acquistato come nuovo dispositivo.
Per l'USG310 (Zywall310), si può scegliere di convertire in un VPN300, USG FLEX 700.
Ma si può anche scegliere USG310, che offre la possibilità di convertire il file di configurazione in un ATP500:
Percorso 1: Conversione in una serie di firewall diversa, ma con un firewall equivalente.
Se si possiede uno Zywall310 e si desidera convertire questo file in un USG FLEX 500, è possibile convertire il file di configurazione dello Zywall310 da un file
USG310 -> ATP500
Poiché USG FLEX 500 e ATP500 hanno la stessa struttura di configurazione (porte fisiche / struttura del file di configurazione), la conversione sarà semplice.
Per indurre il convertitore a convertire lo Zywall310 da un USG310, eliminare queste due righe nel file di configurazione:
Quindi, se si desidera caricare il nuovo file di configurazione ATP500 sul nuovo USG FLEX 500, è necessario modificare alcune cose:
Innanzitutto il modello deve essere cambiato da ATP500 a USG FLEX 500 e la versione del firmware probabilmente non è la 4.60, quindi si può provare a eliminare entrambe le righe o cambiare il modello in "USG FLEX 500" ed eliminare la riga della versione del firmware.
Quindi caricare il nuovo file convertito e salvato (senza modello e versione del firmware) sul nuovo dispositivo.
Percorso 2: Conversione in un firewall diverso
Supponiamo di avere la configurazione dello Zywall310 e di voler convertire la nostra configurazione in un USG FLEX 100.
Passo 1) Conversione alla serie di firewall più vicina
Zywall310(USG310)/ATP500 ha una struttura di interfacce diversa rispetto a USG FLEX 100, perché ci sono porte (ge1, ge2, ge3 ecc.) invece di scegliere lan1 e assegnarla a una porta o a un certo numero di porte. Per questo motivo è necessario fare un po' di lavoro manuale.
Poiché l'USG FLEX 100 ha 6 porte e lo Zywall310 ne ha 8, dobbiamo eliminare le porte ge7 e ge2. Dobbiamo eliminare ge7 e ge8 e tutti i riferimenti a ge7 e ge 8 cercando nel file di configurazione "ge7" e "ge8".
Esempi di dove eliminare la configurazione di mappatura ge7 e ge8:
Dopo aver eliminato tutti i riferimenti delle porte che non esistono sull'USG FLEX 100, caricare il nuovo file di configurazione creato e applicare la configurazione.
Percorso 3: Copiare/incollare manualmente la configurazione
Percorso 3.1: Scaricare Notepad++
Andate su https://notepad-plus-plus.org/downloads/ e scaricate e installate l'ultima versione di Notepad++.
Percorso 3.2: Installare il plugin "Compare".
Navigare in
Plugins -> Plugins Admin
Cercare quindi compare e fare clic su "installa" per installare lo strumento Compare.
Percorso 3.3: aprire entrambi i file di configurazione e lanciare lo strumento di confronto
Aprire entrambi i file di configurazione (del vecchio USG310 e del nuovo USG FLEX 700)
Campi bianchi = stessa configurazione su entrambi
Campi rossi = non esiste nell'altro file di configurazione
Campi verdi = nuove cose che devono essere copiate nell'altro file di configurazione
4.1 Esempi di copia/incolla
1. Interfaccia Ethernet + VLAN
2. Configurazione utente/amministratore
3. Impostazioni VPN
4. Zone
5. DNS e inoltro di zone di dominio
6. NAT (server virtuale e NAT)
7. Politica di sicurezza (regole del firewall)
8. Percorsi di policy
4.2 Cose da non copiare/incollare
Funzioni UTM
Come si può vedere qui sotto, la sintassi dell'applicazione è diversa per i vecchi e i nuovi firewall.
Certificati
I certificati sono unici per i firewall e non possono essere trovati nel file di configurazione. Tuttavia, vengono comunque citati nel file di configurazione. Per questo motivo, è bene essere consapevoli dei riferimenti qui presenti. Cercare nel documento del file di configurazione per trovare i riferimenti a "cert".
Una volta terminata la copia, eseguire nuovamente la funzione di confronto per vedere più chiaramente cosa è stato copiato e cosa no.
5) Risoluzione dei problemi
In questa sezione verranno fornite alcune spiegazioni su come risolvere i problemi e alcuni esempi di errori che potrebbero verificarsi e come risolverli.
Quando si carica un nuovo file di configurazione sul nuovo firewall, è probabile che si debba risolvere il problema perché il caricamento non riesce. Ogni volta che ci si imbatte in questa schermata:
Navigare in
Monitor -> Logs
In Filtro, si possono filtrare i registri su "File Manager" per vedere tutti i record relativi al caricamento della configurazione.
5.1 AVVERTENZA vs. ERRORE
I messaggi di ERRORE, visualizzati in rosso, sono da ricercare. I messaggi di AVVERTIMENTO non sono nulla di preoccupante e sono del tutto normali.
In caso di errore, correggere l'errore, eliminare la configurazione appena caricata e caricare nuovamente la nuova configurazione.
5.2 Errore di crittografia
Se viene visualizzato un messaggio di errore che indica "I dati sono crittografati", potrebbe essere necessario eliminare tutti gli account utente (+ password) perché la crittografia delle password non può essere convertita dal nuovo dispositivo.
5.3 Esempi di errori
Errore n. 1
Questo errore dice che "l'oggetto AAA associato non esiste", il che significa che qualcosa nella configurazione AD non corrisponde a questo riferimento.
Soluzione n. 1
Abbiamo visto che gli utenti SSL VPN facevano riferimento alla configurazione AD, che è stata rimossa prima della conversione, perché non era più utilizzata. La soluzione è stata quindi quella di eliminare gli utenti SSL VPN dalla configurazione e caricare nuovamente il file di configurazione.
Errore n. 2
In questo caso, non è stato possibile configurare il configure terminal account PPPoE GE14. Occorre quindi cercare (ctrl+f) nel file di configurazione il comando GE14 che il firewall sta cercando di eseguire.
Soluzione #2
In questo caso, la soluzione è fallita perché abbiamo dimenticato di separare i comandi "account pppoe" e "ip dhcp pool". Pertanto, è necessario aggiungere un "!" tra i comandi.
Errore #3
Abbiamo visto un errore "configure terminal interface_ether ge \x09\x09\x09[...]", e quando si cerca "interface_ether" non si trova nulla nel file di configurazione. Abbiamo quindi iniziato a cercare le interfacce nel file di configurazione.
Soluzione #3
Dopo aver ricontrollato la configurazione delle interfacce, abbiamo potuto constatare che si trattava di oggetti indirizzo duplicati sulle interfacce ge che abbiamo eliminato. Quindi l'oggetto indirizzo duplicato non può funzionare perché il nome LAN_SUBNET_GE4 è già in uso.
Errore #4
L'oggetto indirizzo RFC1918_2 non può essere creato ed eseguito.
Soluzione #4
Dopo un po' di tentativi ed errori, abbiamo scoperto che l'indirizzo degli oggetti si trovava nel posto sbagliato del file di configurazione ed era stato cambiato tra l'indirizzo dell'oggetto e quello del gruppo di oggetti.
Errore #5
Si è verificato un problema con l'oggetto servizio che non poteva essere creato.
Soluzione #5
Quando abbiamo eliminato i due oggetti di servizio Any_UDP e Any_TCP, abbiamo visto che il terzo oggetto di servizio non poteva essere creato, il che dimostra che nessuno degli oggetti di servizio poteva essere creato.
La soluzione è stata quella di verificare se ci fosse uno "spazio" prima o dopo il "!" tra l'oggetto address6 e l'oggetto service.