Zyxel Firewall [Convert Tool] - Rozwiązywanie problemów z przesyłaniem konfiguracji

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. Jeśli istnieją pytania lub rozbieżności dotyczące dokładności informacji w przetłumaczonej wersji, zapoznaj się z oryginalnym artykułem tutaj:Wersja oryginalna

Ten artykuł pokaże, jak rozwiązywać problemy z konwersją konfiguracji, gdy chcesz ręcznie przekonwertować plik konfiguracyjny. Pokaże on, jak rozwiązywać problemy, gdy plik konfiguracyjny nie może zostać zastosowany, oraz najlepszy sposób konwersji konfiguracji ze starego urządzenia na nowe za pomocą narzędzia do konwersji lub ręcznie.

Zastrzeżenie! Ten artykuł zawiera ogólny przegląd serii i może nie mieć jednolitego zastosowania do każdego modelu, wersji oprogramowania / oprogramowania układowego. Przed zakupem lub użyciem urządzenia należy zapoznać się zdokumentacją dotyczącą konkretnego modelu/wersji lub skontaktować się z pomocą techniczną w celu uzyskania dokładnych informacji.

Uwaga! Nowa konfiguracja konwersji ma ograniczone wsparcie ze strony zespołu pomocy technicznej, ponieważ oficjalnie wspieramy tylko konwersję wykonaną za pomocą narzędzia do konwersji.Istnieją jednak sposoby na ręczną konwersję konfiguracji, ale nie możemy w tym pomóc.

Tabela zawartości

1) Jak działa konfiguracja

1.1 Aplikacja konfiguracyjna

1.2 Separacja poleceń

1.3 Kopiowanie konfiguracji

2) Przygotowanie konwersji konfiguracji

2.1 Pobieranie plików konfiguracyjnych

2.2 Użyj narzędzia do konwersji

2.3 Prześlij nowy przekonwertowany plik konfiguracyjny

3) Ścieżki do konwersji konfiguracji

Ścieżka 1: Konwersja na inną serię zapór sieciowych, ale równoważną zaporę sieciową

Ścieżka 2: Konwersja do innej zapory sieciowej

Ścieżka 3: Ręczne kopiowanie/wklejanie konfiguracji

Ścieżka 3.1: Pobierz Notepad++

Ścieżka 3.2: Zainstaluj wtyczkę "Compare"

Ścieżka 3.3: Otwórz oba pliki konfiguracyjne i uruchom narzędzie do porównywania.

4.1 Przykłady do skopiowania/wklejenia

4.2 Rzeczy, których nie należy kopiować/wklejać

5) Rozwiązywanie problemów

5.1 OSTRZEŻENIE vs. BŁĄD

5.2 Błąd szyfrowania

5.3 Przykładowe błędy

1) Jak działa konfiguracja

1.1 Aplikacja konfiguracyjna

Plik konfiguracyjny, po zastosowaniu, wprowadza wszystkie polecenia w pliku konfiguracyjnym, np.

dyn_repppp_0

lub;

dyn_repppp_1

lub;

dyn_repppp_2

W ten sposób firewall może skompilować i zastosować konfigurację do nowego urządzenia

1.2 Rozdzielenie poleceń

Polecenia są oddzielone znakiem "!" w celu rozróżnienia konfiguracji.

Upewnij się, że konfiguracja została oddzielona znakiem "!" i że nie ma spacji przed lub po symbolach "!". W przeciwnym razie aplikacja konfiguracyjna nie powiedzie się.

1.3 Kopiowanie konfiguracji

Podczas ręcznego kopiowania i wklejania pliku konfiguracyjnego, spróbuj znaleźć podobieństwa, gdzie zaczynają się i kończą niektóre sekcje konfiguracji. Możesz także zobaczyć zielone pola w Notepad++ nowej konfiguracji, której nie ma w bieżącym pliku konfiguracyjnym.

Na przykład w starej konfiguracji USG310 widzimy, że konfiguracja VPN kończy się na

dyn_repppp_3

Dlatego możemy skopiować konfigurację VPN, dopóki nie zobaczymy tego wiersza poleceń

Następnie skopiuj ją do nowej konfiguracji, gdzie zobaczymy to polecenie

2) Przygotuj konwersję konfiguracji

2.1 Pobierz pliki konfiguracyjne

Przejdź do

dyn_repppp_4

Pobierz najnowszy plik "startup-config.conf", wybierając plik, a następnie naciskając "pobierz" lub spójrz na "ostatnio modyfikowany", aby zobaczyć, który z nich jest najnowszym plikiem konfiguracyjnym.

2.2 Użyj narzędzia konwersji

a) Wprowadź https://convert.cloud.zyxel.com/

b) Wybierz urządzenie najbardziej podobne do nowego urządzenia.

Więcej informacji można znaleźć w tym artykule: Konwerter konfiguracji

Jeśli posiadasz USG FLEX 500 lub ATP700, możesz zdecydować się na konwersję do ATP500 (dla USG FLEX 500) i USG FLEX 700 (dla ATP700), ponieważ liczba fizycznych portów jest taka sama dla USG FLEX 500 i ATP500, a także USG FLEX 700 i ATP700.

2.3 Prześlij nowy przekonwertowany plik konfiguracyjny

Najpierw przejdź do:

dyn_repppp_5

Następnie prześlij plik konfiguracyjny, klikając "Przeglądaj...".


Następnie wybierz nowo przesłany plik konfiguracyjny, klikając go lewym przyciskiem myszy, a następnie kliknij "Zastosuj".

Wybierz opcję natychmiastowegozatrzymania stosowania pliku konfiguracyjnego i przywrócenia poprzedniej konfiguracji.

3) Ścieżki do konwersji konfiguracji

Tak więc, gdy chcesz ręcznie przekonwertować konfigurację, istnieje kilka sposobów, w zależności od tego, jaki model firewalla posiadasz i jaki model kupiłeś jako nowe urządzenie.

W przypadku USG310 (Zywall310) można wybrać konwersję do VPN300, USG FLEX 700.

Można również wybrać USG310, który daje możliwość konwersji pliku konfiguracyjnego do ATP500:

Ścieżka 1: Konwersja na inną serię zapór, ale równoważną zaporę

Jeśli masz Zywall310 i chcesz przekonwertować ten plik na USG FLEX 500, możesz przekonwertować plik konfiguracyjny Zywall310 z pliku 

USG310 -> ATP500

Ponieważ USG FLEX 500 i ATP500 mają taką samą strukturę konfiguracji (porty fizyczne / struktura pliku konfiguracyjnego), konwersja będzie łatwa.

Aby oszukać konwerter do konwersji Zywall310 z USG310, usuń te dwa wiersze w pliku konfiguracyjnym:

Następnie, jeśli chcesz przesłać nowy plik konfiguracyjny ATP500 do nowego USG FLEX 500, musisz zmienić kilka rzeczy:

Po pierwsze, model musi zostać zmieniony z ATP500 na USG FLEX 500, a wersja oprogramowania układowego prawdopodobnie nie jest 4.60, więc możesz spróbować usunąć oba te wiersze lub zmienić model na "USG FLEX 500" i usunąć wiersz wersji oprogramowania układowego.

Następnie prześlij nowe przekonwertowane i zapisane dane (bez modelu i wersji oprogramowania) do nowego urządzenia.

Ścieżka 2: Konwersja do innego firewalla

Załóżmy, że mamy konfigurację Zywall310 i chcemy przekonwertować naszą konfigurację na USG FLEX 100.

Krok 1) Konwersja do najbliższej serii firewalli

Zywall310(USG310)/ATP500 ma inną strukturę interfejsu niż USG FLEX 100, ponieważ masz porty (ge1, ge2, ge3 itp.) Zamiast wybrać lan1 i przypisać go do jednego portu lub wielu portów. Więc tutaj musimy wykonać trochę ręcznej pracy.

Ponieważ USG FLEX 100 ma 6 portów, a Zywall310 ma 8 portów. Musimy usunąć ge7 i ge8, a także wszystkie odniesienia do ge7 i ge 8, wyszukując w pliku konfiguracyjnym "ge7", a następnie "ge8"

Przykłady miejsc, w których należy usunąć konfigurację mapowania ge7 i ge8:

Po usunięciu wszystkich odniesień z portów, które nie istnieją na USG FLEX 100, prześlij nowy plik konfiguracyjny, który utworzyłeś i zastosuj konfigurację.

Ścieżka 3: Ręczne kopiowanie/wklejanie konfiguracji

Ścieżka 3.1: Pobierz Notepad++

Przejdź na stronę https://notepad-plus-plus.org/downloads/, pobierz i zainstaluj najnowszą wersję Notepad++.

Ścieżka 3.2: Zainstaluj wtyczkę "Compare"

Przejdź do

dyn_repppp_7

Następnie wyszukaj compare i kliknij "install", aby zainstalować narzędzie Compare.

Ścieżka 3.3: Otwórz oba pliki konfiguracyjne i uruchom narzędzie do porównywania.

Otwórz oba pliki konfiguracyjne (ze starego USG310 i nowego USG FLEX 700)

Białe pola = ta sama konfiguracja na obu

Czerwone pola = nie istnieje w drugim pliku konfiguracyjnym

Zielone pola = nowe rzeczy, które należy skopiować do drugiego pliku konfiguracyjnego

4.1 Przykłady kopiowania/wklejania

1. Interfejs Ethernet + VLAN

2. Konfiguracja użytkownika / administratora

3. Ustawienia VPN

4. Strefy

5. DNS i przekazywanie stref domen

6. NAT (serwer wirtualny i NAT)

7. Bezpieczna polityka (reguły zapory)

8. Trasy zasad

4.2 Rzeczy, których nie należy kopiować/wklejać

Funkcje UTM

Patrol aplikacji, jak widać poniżej, ma inną składnię dla starych i nowych zapór sieciowych.

Certyfikaty

Certyfikaty są unikalne dla firewalli i nie można ich znaleźć w pliku konfiguracyjnym. Będą one jednak nadal przywoływane w pliku konfiguracyjnym. Warto więc być świadomym tych odniesień. Wyszukaj w dokumencie pliku konfiguracyjnego odniesienia do "cert".

Po zakończeniu kopiowania ponownie uruchom funkcję porównywania, a zobaczysz wyraźniej, co zostało skopiowane, a co nie.

5) Rozwiązywanie problemów

Ta sekcja zawiera kilka wyjaśnień dotyczących rozwiązywania problemów, a następnie przykłady błędów, które mogą wystąpić i jak je naprawić.

Podczas przesyłania nowego pliku konfiguracyjnego do nowej zapory sieciowej, prawdopodobnie będziesz musiał rozwiązać ten problem, ponieważ przesyłanie nie powiedzie się. Za każdym razem, gdy napotkasz ten ekran:

Przejdź do

dyn_repppp_8

W sekcji Filter możesz filtrować dzienniki w "File Manager", aby zobaczyć wszystkie rekordy związane z przesyłaniem konfiguracji.

5.1 OSTRZEŻENIE vs. BŁĄD

To, czego należy szukać, to komunikaty ERROR, które są wyświetlane na czerwono. Należy pamiętać, że komunikaty OSTRZEŻENIE nie są niczym niepokojącym i są całkowicie normalne.

Jeśli się nie powiedzie - napraw błąd i usuń właśnie przesłaną konfigurację, a następnie prześlij nową konfigurację ponownie

5.2 Błąd szyfrowania

Jeśli pojawi się komunikat o błędzie "Dane są zaszyfrowane", może to oznaczać, że musisz usunąć wszystkie konta użytkowników (+ hasła), ponieważ szyfrowanie haseł nie może zostać przekonwertowane przez nowe urządzenie.

5.3 Przykładowe błędy

Błąd #1

Ten błąd mówi, że "Powiązany obiekt AAA nie istnieje", co oznacza, że coś w konfiguracji AD nie pasuje do tego odniesienia.

Rozwiązanie #1

Widzieliśmy, że użytkownicy SSL VPN odnosili się do konfiguracji AD, gdzie konfiguracja AD została usunięta przed konwersją, ponieważ nie była już używana. Rozwiązaniem było więc usunięcie użytkowników SSL VPN w konfiguracji i ponowne przesłanie pliku konfiguracyjnego.

Błąd #2

Tutaj nie można skonfigurować konta terminalowego PPPoE GE14. Musimy więc wyszukać (ctrl+f) w pliku konfiguracyjnym polecenie GE14, które firewall próbuje wykonać.

Rozwiązanie #2

Tutaj się nie udało, ponieważ zapomnieliśmy rozdzielić "account pppoe" i "ip dhcp pool". Musimy więc dodać znak "!" między poleceniami.

Błąd #3

Zobaczyliśmy błąd "configure terminal interface_ether ge \x09\x09\x09\x09[...]", a podczas wyszukiwania "interface_ether" nie możemy znaleźć niczego w pliku konfiguracyjnym. Zaczęliśmy więc szukać interfejsów w pliku konfiguracyjnym.

Rozwiązanie #3

Po dwukrotnym sprawdzeniu konfiguracji interfejsu okazało się, że na interfejsach ge, które usunęliśmy, znajdowały się zduplikowane obiekty adresowe. Tak więc zduplikowany obiekt adresu nie może działać, ponieważ nazwa LAN_SUBNET_GE4 jest już używana


Błąd #4

Widzieliśmy, że obiekt adresu RFC1918_2 nie mógł zostać utworzony i wykonany.

Rozwiązanie #4

Po kilku próbach i błędach w tę i z powrotem odkryliśmy, że adres obiektów tutaj znajdował się w niewłaściwym miejscu w pliku konfiguracyjnym i został zmieniony na adres między obiektem adresu a adresem grupy obiektów

Błąd #5

Wystąpił problem z obiektem usługi, którego nie można było utworzyć.

Rozwiązanie #5

Kiedy więc usunęliśmy te dwa obiekty usługi Any_UDP i Any_TCP, mogliśmy zobaczyć, że trzeci obiekt usługi nie mógł zostać utworzony, co pokazuje, że żaden z obiektów usługi nie mógł zostać utworzony.

Rozwiązaniem było sprawdzenie, czy między obiektem address6 a obiektem service może znajdować się "spacja" przed lub po znaku "!".

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 2 z 3
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.