Aggiornamento dei dispositivi Zyxel USG FLEX, ATP e VPN da versioni firmware molto obsolete

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, ti informiamo che utilizziamo la traduzione automatica per fornire articoli nella tua lingua locale. Non tutto il testo potrebbe essere tradotto in modo accurato. In caso di domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, ti invitiamo a consultare l'articolo originale qui:Versione originale

Questo articolo descrive un approccio consigliato e sicuro per l'aggiornamento dei dispositivi Zyxel USG FLEX, ATP e VPN che non sono stati aggiornati da molto tempo e che attualmente utilizzano versioni di firmware molto obsolete. L'articolo si concentra in particolare su scenari di aggiornamento complessi che coinvolgono firmware obsoleti, in cui un aggiornamento diretto all'ultima versione potrebbe causare errori, perdita di configurazione o comportamento instabile del sistema.

Scopo dell'articolo

  • Descrivere un approccio sicuro e consigliato per l'aggiornamento da versioni firmware molto vecchie alle versioni attuali.

  • Evidenziare i rischi di eseguire un aggiornamento diretto senza passaggi intermedi.

  • Spiegare come evitare il danneggiamento o la perdita della configurazione durante il processo di aggiornamento.

  • Fornire una panoramica della cronologia dei rami del firmware per ciascuna linea di prodotti dei dispositivi.

Cronologia delle versioni del firmware

Di seguito è riportata una cronologia generalizzata delle versioni del firmware utilizzata per pianificare un percorso di aggiornamento corretto e sicuro.

USG FLEX: V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

ATP: V4 .32 → V4.33 → V4.35 → V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

VPN: V4 .35 → V4.39 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37

Raccomandazione:
I dispositivi VPN sono particolarmente sensibili quando si esegue l'aggiornamento da versioni di firmware molto vecchie, poiché le modifiche alle funzionalità IPsec e SSL VPN si sono accumulate su più rami.

Come posso determinare quale firmware applicare prima di eseguire l'aggiornamento all'ultima versione? 

Queste informazioni sono disponibili nelle note di rilascio del firmware (disponibili solo in inglese). La maggior parte delle note di rilascio del firmware, se non tutte, include una sezione "Leggere prima" che evidenzia note e considerazioni importanti specifiche per quella versione del firmware.

Leggere prima

All'interno di queste sezioni "Leggere prima", troverete informazioni sulla versione minima richiesta del firmware che deve essere installata prima di applicare la versione del firmware descritta nelle note di rilascio. Di seguito è riportato un esempio tratto dalle note di rilascio di USG FLEX 500 ZLD5.38C0:

Considerazioni aggiuntive

Quando si aggiorna il firmware, specialmente su dispositivi distribuiti in remoto, esiste il rischio che una configurazione precedente non sia completamente compatibile con la nuova versione del firmware.

In tal caso, il dispositivo potrebbe tentare diversi riavvii per applicare la configurazione di avvio esistente. Se l'operazione non ha esito positivo, come misura di sicurezza tornerà automaticamente alla configurazione predefinita del sistema. Ciò può causare un'interruzione del servizio, in particolare se non è disponibile alcun accesso o assistenza in loco.

Quando si aggiorna un dispositivo da una versione firmware molto vecchia, aumenta il rischio di problemi di compatibilità della configurazione durante il processo di riavvio. Per ridurre al minimo questo rischio, Zyxel consiglia vivamente di applicare le misure preventive descritte di seguito prima di avviare l'aggiornamento del firmware, poiché ciò migliora significativamente le possibilità di un aggiornamento fluido e riuscito.

La stessa procedura è consigliata anche quando si esegue un downgrade del firmware o quando si installa un firmware settimanale (bug-fix), così come in scenari di aggiornamento remoto, dove possono verificarsi rischi simili.

Come si può evitare questo problema?

Quando si applica una configurazione, di solito vengono proposte diverse opzioni di rollback, in altre parole: l'unità chiede "Cosa devo fare se scopro che la configurazione che desideri applicare è in qualche modo danneggiata?":

Per impostazione predefinita, il dispositivo è impostato su "Interrompi immediatamente l'applicazione del file di configurazione e ripristina la configurazione precedente". Nella maggior parte dei casi, questo comportamento funziona come previsto. Tuttavia, se il sistema interpreta nuovamente alcune voci di configurazione come problematiche, il processo di rollback stesso potrebbe non riuscire. In tali situazioni, il dispositivo potrebbe ripristinare la configurazione predefinita del sistema come meccanismo di autoprotezione.

undefined

Per questo motivo, quando si applica una configurazione nel contesto di un aggiornamento del firmware da una versione molto vecchia, Zyxel consiglia di selezionare la terza opzione di ripristino, "Ignora gli errori e completa l'applicazione del file di configurazione". 

Con questa opzione, il dispositivo elabora la configurazione riga per riga, salta solo le voci problematiche e completa il caricamento della configurazione. Tutte le voci ignorate o non riuscite vengono registrate nei log di monitoraggio, consentendo agli amministratori di esaminarle e risolverle in un secondo momento.

Monitor > Log

Script setenv

Durante un aggiornamento del firmware, non è possibile selezionare manualmente il comportamento di rollback per l'applicazione della configurazione di avvio al riavvio. Per ovviare a questa limitazione, Zyxel fornisce un piccolo script di supporto, comunemente denominato dal supporto tecnico "script setenv".

È possibile modificare il modo in cui viene applicato il file startup-config.conf. Includere il comando setenv-startup stopon-error off. Il dispositivo Zyxel ignora eventuali errori nel file startup-config.conf e applica tutti i comandi validi. Il dispositivo Zyxel continua a generare un registro per eventuali errori.

Comandi CLI che scrive nell'unità quando applicati:

undefined

  1. Scaricare setenv.zip

  2. Caricare e applicare lo script tramite
    Manutenzione → File Manager → Script Shell

  3. Creare un backup della configurazione (sia localmente che sul dispositivo).

  4. Procedere con l'aggiornamento o il downgrade del firmware richiesto.

Nota: sebbene questa procedura sia considerata sicura e riduca significativamente il rischio di perdita della configurazione, in rari casi potrebbero comunque verificarsi problemi imprevisti. Quando possibile, gli aggiornamenti del firmware devono essere eseguiti con accesso in loco. Qualsiasi comportamento anomalo deve essere segnalato all'assistenza Zyxel per ulteriori indagini.

 

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 0 su 0
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.