Oppdatering av Zyxel USG FLEX-, ATP- og VPN-enheter fra svært gamle firmwareversjoner

Denne artikkelen beskriver en anbefalt og sikker tilnærming til oppdatering av Zyxel USG FLEX-, ATP- og VPN-enheter som ikke har blitt oppdatert på lenge og som for øyeblikket kjører svært gamle firmwareversjoner. Artikkelen fokuserer spesielt på komplekse oppgraderingsscenarier som involverer utdatert firmware, der en direkte oppgradering til den nyeste versjonen kan føre til feil, tap av konfigurasjon eller ustabil systemadferd.

Formålet med artikkelen

• Å beskrive en sikker og anbefalt fremgangsmåte for oppgradering fra svært gamle firmwareversjoner til gjeldende versjoner.

• Å fremheve risikoen ved å utføre en direkte oppgradering uten mellomtrinn.

• Å forklare hvordan man kan unngå korrupsjon eller tap av konfigurasjon under oppgraderingsprosessen.

• Å gi en oversikt over firmware-grenhistorikken for hver enhetsproduktlinje.

Firmwareversjonshistorikk

Nedenfor er en generell firmwareversjonshistorikk som brukes til å planlegge en korrekt og sikker oppgraderingsvei.

USG FLEX: V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

ATP: V4 .32 → V4.33 → V4.35 → V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

VPN: V4 .35 → V4.39 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37

Anbefaling:
VPN-enheter er spesielt følsomme når du oppgraderer fra svært gamle firmwareversjoner, da endringer i IPsec- og SSL VPN-funksjonaliteten har akkumulert seg på tvers av flere grener.

Hvordan finner jeg ut hvilken firmware jeg skal bruke før jeg oppgraderer til den nyeste firmwareversjonen? 

Denne informasjonen finner du i firmwareutgivelsesnotatene (kun tilgjengelig på engelsk). De fleste, om ikke alle, firmwareutgivelsesnotater inneholder en «Les meg først»-seksjon som fremhever viktige merknader og hensyn som er spesifikke for den firmwareversjonen.

Les meg først

I disse «Les meg først »-seksjonene finner du informasjon om den minste nødvendige firmwareversjonen som må være installert før du bruker firmwareversjonen som er beskrevet i utgivelsesnotatene. Følgende er et eksempel fra USG FLEX 500 ZLD5.38C0 utgivelsesnotater:

Ytterligere hensyn

Når du oppgraderer firmware – spesielt på eksternt distribuerte enheter – er det en risiko for at en eldre konfigurasjon ikke er fullt kompatibel med den nye firmwareversjonen.

Hvis dette skjer, kan enheten forsøke å starte på nytt flere ganger for å bruke den eksisterende oppstartskonfigurasjonen. Hvis dette ikke lykkes, vil den automatisk gå tilbake til systemets standardkonfigurasjon som en sikkerhetsforanstaltning. Dette kan føre til forstyrrelser i tjenesten, spesielt hvis det ikke er tilgang til eller assistanse på stedet.

Når du oppgraderer en enhet fra en veldig gammel firmwareversjon, er det økt risiko for konfigurasjonskompatibilitetsproblemer under omstartprosessen. For å minimere denne risikoen anbefaler Zyxel på det sterkeste å gjennomføre de forebyggende tiltakene beskrevet nedenfor før du starter firmwareoppgraderingen, da dette forbedrer sjansene for en jevn og vellykket oppdatering betydelig.

Den samme prosedyren anbefales også når du utfører en nedgradering av firmware eller når du installerer en ukentlig (feilrettings-) firmware, samt i scenarier med fjernoppgradering, hvor lignende risikoer kan gjelde.

Hvordan kan dette unngås i utgangspunktet?

Når du bruker en konfigurasjon, blir du vanligvis bedt om å velge mellom forskjellige tilbakeføringsalternativer – med andre ord: Enheten spør «Hva skal jeg gjøre hvis jeg oppdager at konfigurasjonen du vil bruke, på en eller annen måte er ødelagt?».

Som standard er enheten satt til «Stopp umiddelbart med å bruke konfigurasjonsfilen og tilbakefør til forrige konfigurasjon». I de fleste tilfeller fungerer denne funksjonen som forventet. Men hvis systemet igjen tolker visse konfigurasjonsoppføringer som problematiske, kan tilbakeføringsprosessen i seg selv mislykkes. I slike situasjoner kan enheten gå tilbake til systemets standardkonfigurasjon som en selvbeskyttelsesmekanisme.

Av denne grunn anbefaler Zyxel at du velger det tredje tilbakeføringsalternativet, «Ignorer feil og fullfør anvendelsen av konfigurasjonsfilen», når du anvender en konfigurasjon i forbindelse med en firmwareoppgradering fra en veldig gammel versjon. 

Med dette alternativet behandler enheten konfigurasjonen linje for linje, hopper over bare de problematiske oppføringene og fullfører konfigurasjonslastingen. Alle ignorerte eller mislykkede oppføringer registreres i overvåkingsloggene, slik at administratorer kan gjennomgå og håndtere dem etterpå.

Monitor > Logger

Setenv-skript

Under en firmwareoppgradering er det ikke mulig å velge tilbakeføringsatferd manuelt for å bruke oppstartskonfigurasjonen ved omstart. For å løse denne begrensningen tilbyr Zyxel et lite hjelpeskript, som ofte kalles «setenv-skript» av kundestøtte.

Du kan endre måten startup-config.conf-filen brukes på. Inkluder kommandoen setenv-startup stopon-error off. Zyxel-enheten ignorerer eventuelle feil i startup-config.conf-filen og bruker alle gyldige kommandoer. Zyxel-enheten genererer fortsatt en logg for eventuelle feil.

CLI-kommandoer som den skriver inn i enheten når den brukes:

1. Last ned setenv.zip

2. Last opp og bruk skriptet via
   Vedlikehold → Filbehandling → Shell-skript

3. Lag en sikkerhetskopi av konfigurasjonen (både lokalt og på enheten).

4. Fortsett med den nødvendige oppgraderingen eller nedgraderingen av fastvaren.

Merk: Selv om denne prosedyren anses som sikker og reduserer risikoen for tap av konfigurasjon betydelig, kan det i sjeldne tilfeller oppstå uventede problemer. Når det er mulig, bør firmwareoppgraderinger utføres med tilgang på stedet. Eventuell unormal oppførsel bør rapporteres til Zyxel Support for videre undersøkelse.