Zyxel-brannmur [konverteringsverktøy] - Feilsøk konfigurasjonsopplasting

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er nøyaktig oversatt. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese originalartikkelen her:Originalversjon

Denne artikkelen viser hvordan du feilsøker konfigurasjonskonvertering når du vil konvertere en konfigurasjonsfil manuelt. Den viser deg hvordan du feilsøker når konfigurasjonsfilen ikke kan brukes, og hvordan du best konverterer konfigurasjonen fra en gammel enhet til en ny via konverteringsverktøyet eller manuelt.

Ansvarsfraskrivelse! Denne artikkelen gir en generell oversikt over serien og gjelder kanskje ikke for alle modeller og programvare-/firmwareversjoner. Før du kjøper eller bruker enheten, bør du lese den modell-/versjonsspesifikke dokumentasjonen eller kontakte teknisk støtte for å få nøyaktig informasjon.

Merk! Den nye konverteringskonfigurasjonen har begrenset støtte fra supportteamet, ettersom vi offisielt bare støtter konvertering som gjøres med konverteringsverktøyet. Det finnes imidlertid muligheter for å konvertere konfigurasjonen manuelt selv, men vi kan ikke hjelpe deg med dette.

Innholdsfortegnelse

1) Hvordan konfigurasjonen fungerer

1.1 Konfigurasjonsapplikasjon

1.2 Kommandoseparasjon

1.3 Kopiering av konfigurasjon

2) Forberede konfigurasjonskonverteringen

2.1 Last ned konfigurasjonsfiler

2.2 Bruk konverteringsverktøyet

2.3 Last opp den nye konverterte konfigurasjonsfilen

3) Veier til konfigurasjonskonvertering

Vei 1: Konverter til en annen brannmurserie, men tilsvarende brannmur

Sti 2: Konverter til en annen brannmur

Sti 3: Kopier og lim inn konfigurasjonen manuelt

Sti 3.1: Last ned Notepad++

Sti 3.2: Installer plugin-modulen "Compare".

Sti 3.3: Åpne begge konfigurasjonsfilene og start sammenligningsverktøyet.

4.1 Eksempler som skal kopieres/limes inn

4.2 Ting som ikke skal kopieres/limes inn

5) Feilsøking

5.1 ADVARSEL vs. FEIL

5.2 Krypteringsfeil

5.3 Eksempel på feil

1) Slik fungerer konfigurasjonen

1.1 Konfigurasjonsapplikasjon

Når konfigurasjonsfilen brukes, legger den inn alle kommandoene i konfigurasjonsfilen, f.eks. 

interface EXTERNAL_ppp

eller;

interface-name ge3 LAN

eller; 

secure-policy 1

name xyz

action allow

from LAN

to Zywall

sourceip Server_1

På denne måten kan brannmuren kompilere og bruke konfigurasjonen på den nye enheten.

1.2 Kommandoseparasjon

Kommandoene er atskilt med "!" for å skille mellom konfigurasjonene.

Kontroller at du har skilt konfigurasjonen med "!" og at det ikke er mellomrom før eller etter "!"-symbolene. Ellers vil konfigurasjonsapplikasjonen mislykkes.

1.3 Kopiering av konfigurasjon

Når du kopierer og limer inn en konfigurasjonsfil manuelt, kan du prøve å finne likheter mellom hvor enkelte konfigurasjonsseksjoner begynner og slutter. Du kan også se de grønne feltene i Notepad++ for den nye konfigurasjonen som ikke finnes i den gjeldende konfigurasjonsfilen.

I den gamle konfigurasjonen av USG310 kan vi for eksempel se at VPN-konfigurasjonen avsluttes med 

vpn-configuration-provision authentication default

Derfor kan vi kopiere VPN-konfigurasjonen til vi ser denne kommandolinjen

Deretter kopierer vi den over til den nye konfigurasjonen, der vi ser denne kommandoen

2) Forbered konfigurasjonskonverteringen

2.1 Last ned konfigurasjonsfiler

Naviger til

Maintenance -> File Manager -> Configuration File > Configuration

Last ned den nyeste "startup-config.conf"-filen ved å velge filen og deretter trykke på "download", eller se på "last modified" for å se hvilken som er den nyeste konfigurasjonsfilen.

2.2 Bruk konverteringsverktøyet

a) Skriv inn https://convert.cloud.zyxel.com/

b) Velg den enheten som ligner mest på den nye enheten.

Ta en titt på denne artikkelen for mer informasjon: Konfigurasjonskonverterer

Hvis du har en USG FLEX 500 eller en ATP700, kan du velge å konvertere til ATP500 (for USG FLEX 500) og USG FLEX 700 (for ATP700) fordi antallet fysiske porter er det samme for USG FLEX 500 og ATP500, samt USG FLEX 700 og ATP700.

2.3 Last opp den nye konverterte konfigurasjonsfilen

Naviger først til: 

Maintenance -> File Manager -> Configuration File -> Configuration

Last deretter opp konfigurasjonsfilen ved å klikke på "Browse...".


Velg deretter den nylig opplastede konfigurasjonsfilen ved å venstreklikke på den og deretter klikke på "Apply".

Velg åumiddelbart slutte å bruke konfigurasjonsfilen og gå tilbake til forrige konfigurasjon.

3) Veier til konfigurasjonskonvertering

Når du vil konvertere konfigurasjonen manuelt, er det flere måter å gjøre det på, avhengig av hvilken brannmurmodell du har og hvilken modell du har kjøpt som ny enhet.

For USG310 (Zywall310) kan du velge å konvertere til en VPN300, USG FLEX 700.

Men du kan også velge USG310 som gir deg muligheten til å konvertere konfigurasjonsfilen til en ATP500:

Sti 1: Konverter til en annen brannmurserie, men med tilsvarende brannmur.

Hvis du har en Zywall310 og ønsker å konvertere denne filen til en USG FLEX 500, kan du konvertere konfigurasjonsfilen for Zywall310 fra en 

USG310 -> ATP500

Fordi USG FLEX 500 og ATP500 har samme konfigurasjonsstruktur (fysiske porter/konfigurasjonsfilstruktur), vil konverteringen være enkel.

For å lure konverteringsprogrammet til å konvertere din Zywall310 fra en USG310, sletter du disse to radene i konfigurasjonsfilen:

Hvis du deretter vil laste opp den nye ATP500-konfigurasjonsfilen til din nye USG FLEX 500, må du endre noen få ting:

Først må modellen endres fra ATP500 til USG FLEX 500, og fastvareversjonen er sannsynligvis ikke 4.60, så du kan prøve å slette begge disse radene eller endre modellen til "USG FLEX 500" og slette fastvareversjonsraden.

Last deretter opp den nye konverterte og lagrede (uten modell og fw-versjon) til den nye enheten.

Sti 2: Konverter til en annen brannmur

La oss si at vi har konfigurasjonen til Zywall310 og ønsker å konvertere konfigurasjonen til en USG FLEX 100.

Trinn 1) Konverter til den nærmeste brannmurserien

Zywall310(USG310)/ATP500 har en annen grensesnittstruktur enn USG FLEX 100 fordi du har porter (ge1, ge2, ge3 osv.) i stedet for enten å velge lan1 og tilordne denne til en port eller et antall porter. Så her må vi gjøre litt manuelt arbeid.

USG FLEX 100 har 6 porter, og Zywall310 har 8 porter. Vi må slette ge7 og ge8 samt alle referansene til ge7 og ge8 ved å søke etter "ge7" og deretter "ge8" i konfigurasjonsfilen.

Eksempler på hvor du kan slette ge7- og ge8-tilordningskonfigurasjonen:

Når du har slettet alle referansene fra portene som ikke finnes på USG FLEX 100, kan du laste opp den nye konfigurasjonsfilen du har opprettet og bruke konfigurasjonen.

Sti 3: Kopier/lim inn konfigurasjonen manuelt

Sti 3.1: Last ned Notepad++

Gå til https://notepad-plus-plus.org/downloads/ og last ned og installer den nyeste versjonen av Notepad++.

Sti 3.2: Installer "Compare"-plugin-modulen

Naviger til

Plugins -> Plugins Admin

Søk deretter etter compare og klikk på "install" for å installere Compare-verktøyet.

Sti 3.3: Åpne begge konfigurasjonsfilene og start compare-verktøyet.

Åpne begge konfigurasjonsfilene (fra den gamle USG310 og den nye USG FLEX 700).

Hvite felt = samme konfigurasjon på begge

Røde felt = finnes ikke i den andre konfigurasjonsfilen

Grønne felt = nye ting som må kopieres til den andre konfigurasjonsfilen

4.1 Eksempler på kopiering/liming

1. Ethernet-grensesnitt + VLAN

2. Bruker-/administratorkonfigurasjon

3. VPN-innstillinger

4. Soner

5. DNS og videresending av domenesoner

6. NAT (virtuell server og NAT)

7. Sikker policy (brannmurregler)

8. Policy-ruter

4.2 Ting som ikke skal kopieres/limes inn

UTM-funksjoner

Applikasjonspatruljen, som du kan se nedenfor, har forskjellig syntaks for de gamle og de nye brannmurene.

Sertifikater

Sertifikater er unike for brannmurene og finnes ikke i konfigurasjonsfilen. Det vil likevel bli referert til dem i konfigurasjonsfilen. Det kan derfor være lurt å være oppmerksom på referansene her. Søk i konfigurasjonsfilen for å finne "cert"-referansene.

Når du er ferdig med å kopiere over, kjører du sammenligningsfunksjonen på nytt for å se tydeligere hva som er kopiert over og hva som ikke er det.

5) Feilsøking

I dette avsnittet følger noen forklaringer på hvordan du feilsøker og deretter eksempler på feil som kan oppstå og hvordan du løser dem.

Når du laster opp en ny konfigurasjonsfil til den nye brannmuren, må du sannsynligvis feilsøke siden opplastingen mislykkes. Når du støter på dette skjermbildet:

Naviger til 

Monitor -> Logs

Under Filter kan du filtrere loggene på "File Manager" for å se alle postene som er relatert til konfigurasjonsopplastingen.

5.1 ADVARSEL vs. FEIL

Det du bør se etter, er FEIL-meldingene som vises i rødt. Vær oppmerksom på at WARNING-meldingene ikke er noe å bekymre seg for, og at de er helt normale.

Når det mislykkes - rett feilen og slett konfigurasjonen du nettopp lastet opp, og last opp den nye konfigurasjonen på nytt.

5.2 Krypteringsfeil

Hvis du får feilmeldingen "Dataene er kryptert", kan det være at du må slette alle brukerkontoer (+ passord) fordi krypteringen av passordene ikke kan konverteres av den nye enheten.

5.3 Eksempel på feil

Feil nr. 1

Denne feilen sier at "Associated AAA object doesn't exist", noe som betyr at noe i AD-konfigurasjonen ikke samsvarer med denne referansen.

Løsning nr. 1

Vi kunne se at SSL VPN-brukerne refererte til AD-konfigurasjonen, men AD-konfigurasjonen ble fjernet før konverteringen fordi den ikke lenger ble brukt. Løsningen var å slette SSL VPN-brukerne i konfigurasjonen og laste opp konfigurasjonsfilen på nytt.

Feil nr. 2

Her kunne ikke configure terminal account PPPoE GE14 konfigureres. Vi må derfor søke (ctrl+f) i konfigurasjonsfilen etter GE14-kommandoen som brannmuren prøver å utføre.

Løsning nr. 2

Her mislyktes det fordi vi glemte å skille mellom "account pppoe" og "ip dhcp pool". Det vi må gjøre, er å legge til et "!" mellom kommandoene.

Feil nr. 3

Vi så en feil "configure terminal interface_ether ge \x09\x09\x09\x09\x09[...]", og når vi søker etter "interface_ether" finner vi ikke noe i konfigurasjonsfilen. Så vi begynte å søke etter grensesnittene i konfigurasjonsfilen.

Løsning nr. 3

Etter å ha dobbeltsjekket grensesnittkonfigurasjonen kunne vi se at det var et duplisert adresseobjekt på ge-grensesnittene som vi slettet. Så det dupliserte adresseobjektet kan ikke fungere fordi navnet LAN_SUBNET_GE4 allerede er i bruk.


Feil nr. 4

Vi ser at adresseobjektet RFC1918_2 ikke kunne opprettes og kjøres.

Løsning nr. 4

Etter litt prøving og feiling frem og tilbake fant vi ut at adresseobjektene her var på feil sted i konfigurasjonsfilen, og ble endret til mellom adresseobjektet og objektgruppeadressen

Feil nr. 5

Vi hadde et problem med tjenesteobjektet som ikke kunne opprettes.

Løsning nr. 5

Da vi slettet disse to Any_UDP- og Any_TCP-tjenesteobjektene, kunne vi se at det tredje tjenesteobjektet ikke kunne opprettes, noe som viser at ingen av tjenesteobjektene kunne opprettes.

Løsningen her var å sjekke om det kunne være et "mellomrom" før eller etter "!" mellom address6-objektet og service-objektet.

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
2 av 3 syntes dette var nyttig
Del