Aviz important: Stimate client, vă rugăm să fiți conștienți de faptul că folosim traducerea automată pentru a furniza articole în limba dvs. locală. Este posibil ca nu toate textele să fie traduse cu acuratețe. Dacă există întrebări sau discrepanțe privind acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici: Versiunea originală

Acest articol va arăta cum să depanați conversia configurației atunci când doriți să convertiți manual un fișier de configurare. Acesta vă va arăta cum să depanați atunci când fișierul de configurare nu poate fi aplicat și care este cea mai bună modalitate de a converti configurația de la un dispozitiv vechi la un dispozitiv nou prin intermediul instrumentului de conversie sau manual.

Disclaimer! Acest articol oferă o prezentare generală a seriei și este posibil să nu se aplice în mod uniform la fiecare model, versiune de software/firmware. Înainte de a achiziționa sau de a utiliza dispozitivul, vă rugăm să consultați documentația specifică modelului/versiunii sau să apelați la asistența tehnică pentru informații exacte.

Notă! Noua configurație de conversie beneficiază de un sprijin limitat din partea echipei de asistență, deoarece susținem oficial doar conversia efectuată cu instrumentul de conversie.Există însă modalități prin care puteți converti singur configurația manual, dar nu vă putem oferi asistență în acest sens.

Tabel de conținut

1) Cum funcționează configurația

1.1 Aplicația de configurare

1.2 Separarea comenzilor

1.3 Copierea peste configurație

2) Pregătiți conversia configurației

2.1 Descărcați fișierele de configurare

2.2 Utilizați instrumentul de conversie

2.3 Încărcați noul fișier de configurare convertit

3) Căi de acces la conversia configurației

Calea 1: Conversia la o altă serie de firewall, dar la firewall-ul echivalent

Calea 2: Conversia la un firewall diferit

Calea 3: Copierea/lipirea manuală a configurației

Calea 3.1: Descărcați Notepad++

Calea 3.2: Instalați pluginul "Compare".

Calea 3.3: Deschideți ambele fișiere de configurare și lansați instrumentul de comparare.

4.1 Exemple de copiere/lipire

4.2 Lucruri care nu trebuie copiate/lipite

5) Rezolvarea problemelor

5.1 AVERTISMENT vs. ERROR

5.2 Eroare de criptare

5.3 Exemple de erori

1) Cum funcționează configurația

1.1 Aplicația de configurare

Fișierul de configurare, atunci când este aplicat, introduce toate comenzile din fișierul de configurare, de ex.

interface EXTERNAL_ppp

sau;

dyn_repppppppp_1

sau;

secure-policy 1

name xyz

action allow

from LAN

to Zywall

sourceip Server_1

În acest fel, firewall-ul poate compila și aplica configurația la noul dispozitiv

1.2 Separarea comenzilor

Comenzile sunt separate cu "!" pentru a distinge configurația.

Asigurați-vă că ați separat configurația cu "!" și că nu există spații înainte sau după simbolurile "!". În caz contrar, aplicația de configurare va eșua.

1.3 Copierea configurației

Atunci când copiați și lipiți manual un fișier de configurare, încercați să găsiți similitudini între începutul și sfârșitul unor secțiuni de configurare. De asemenea, puteți vedea în Notepad++ câmpurile verzi ale configurației noi care nu se află în fișierul de configurare curent.

De exemplu, în vechea configurație a USG310, putem vedea că configurația VPN se termină cu

dyn_repppppppp_3

Prin urmare, putem copia configurația VPN până când vom vedea această linie de comandă

Apoi să o copiem în noua configurație, unde putem vedea această comandă

2) Pregătiți conversia configurației

2.1 Descărcați fișierele de configurare

Navigați la

Maintenance -> File Manager -> Configuration File > Configuration 

Descărcați cel mai recent fișier "startup-config.conf" selectând fișierul și apoi apăsând "download", sau uitați-vă la "last modified" pentru a vedea care este cel mai recent fișier de configurare.

2.2 Utilizați instrumentul de conversie

a) Introduceți https://convert.cloud.zyxel.com/

b) Alegeți dispozitivul cel mai asemănător cu noul dvs. dispozitiv

Aruncați o privire la acest articol pentru mai multe informații: Convertorul de configurație

Dacă aveți un USG FLEX 500 sau un ATP700, puteți alege să faceți conversia la ATP500 (pentru USG FLEX 500) și USG FLEX 700 (pentru ATP700), deoarece numărul de porturi fizice este același pentru USG FLEX 500 și ATP500, precum și pentru USG FLEX 700 și ATP700.

2.3 Încărcați noul fișier de configurare convertit

În primul rând, navigați la: (1)

dyn_repppppppp_5

Apoi încărcați fișierul de configurare făcând clic pe "Browse..." (Răsfoiește...)

Selectați apoi fișierul de configurare nou încărcat făcând clic stânga pe el și apoi faceți clic pe "Apply" (Aplicați)

Alegeți săopriți imediat aplicarea fișierului de configurare și să reveniți la configurația anterioară

3) Căi de acces la conversia configurației

Deci, atunci când doriți să convertiți manual configurația, există câteva căi de urmat, în funcție de modelul de firewall pe care îl aveți și de modelul pe care l-ați cumpărat ca nou dispozitiv.

Pentru USG310 (Zywall310), puteți alege să faceți conversia la un VPN300, USG FLEX 700.

Dar puteți alege, de asemenea, USG310, care vă oferă opțiunea de a converti fișierul de configurare într-un ATP500:

Calea 1: Convertiți la o altă serie de firewall, dar firewall-ul echivalent

Dacă aveți un Zywall310 și doriți să convertiți acest fișier într-un USG FLEX 500, ați putea converti fișierul de configurare Zywall310 dintr-un

dyn_repppppppp_6

Deoarece USG FLEX 500 și ATP500 au aceeași structură de configurare (porturi fizice / structura fișierului de configurare), atunci conversia va fi ușoară.

Pentru a păcăli convertorul să vă convertească Zywall310 dintr-un USG310, ștergeți aceste două rânduri din fișierul de configurare:

Apoi, dacă doriți să încărcați noul fișier de configurare ATP500 în noul USG FLEX 500, trebuie să modificați câteva lucruri:

În primul rând, modelul trebuie schimbat din ATP500 în USG FLEX 500, iar versiunea firmware nu este probabil 4.60, așa că puteți încerca să ștergeți aceste două rânduri sau să schimbați modelul în "USG FLEX 500" și să ștergeți rândul cu versiunea firmware.

Apoi încărcați noul convertit și salvat (fără modelul și versiunea fw) pe noul dispozitiv.

Calea 2: Conversia la un alt firewall

Să spunem că avem configurația Zywall310 și dorim să o convertim la un USG FLEX 100.

Pasul 1) Conversia la cea mai apropiată serie de firewall

Zywall310(USG310)/ATP500 are o structură de interfață diferită față de USG FLEX 100, deoarece aveți porturi (ge1, ge2, ge3 etc.) în loc să alegeți lan1 și să atribuiți acest lucru unui port sau unui număr de porturi. Așadar, aici trebuie să facem o muncă manuală.

Deci, deoarece USG FLEX 100 are 6 porturi, iar Zywall310 are 8 porturi. Trebuie să ștergem ge7 și ge8, precum și toate referințele la ge7 și ge 8 căutând în fișierul de configurare "ge7" și apoi "ge8" în fișierul de configurare

Exemple de unde se poate șterge configurația de cartografiere ge7 și ge8:

După ce ați șters toate referințele din porturile care nu există pe USG FLEX 100, încărcați noul fișier de configurare pe care l-ați creat și aplicați configurația.

Calea 3: Copiați/lipiți manual configurația

Calea 3.1: Descărcați Notepad++

Navigați la https://notepad-plus-plus.org/downloads/ și descărcați și instalați cea mai recentă versiune notepad++.

Calea 3.2: Instalați pluginul "Compare" (Comparare)

Navigați la

dyn_repppppppp_7

Apoi căutați "compare" și faceți clic pe "install" pentru a instala instrumentul "Compare".

Calea 3.3: Deschideți ambele fișiere de configurare și lansați instrumentul de comparare

Deschideți ambele fișiere de configurare (de la vechiul USG310 și de la noul USG FLEX 700)

Câmpuri albe = aceeași configurație pe ambele

Câmpuri roșii = nu există în celălalt fișier de configurare

Câmpuri verzi = lucruri noi care trebuie copiate în celălalt fișier de configurare.

4.1 Exemple de copiere/lipire

1. Interfață Ethernet + VLAN

2. Configurație utilizator / administrator

3. Setări VPN

4. Zone

5. DNS și Domain Zone Forwarder

6. NAT (server virtual și NAT)

7. Politica de securitate (reguli de firewall)

8. Rute de politică

4.2 Lucruri care nu trebuie copiate/lipite

Funcțiile UTM

Patrularea aplicațiilor, după cum puteți vedea mai jos, are o sintaxă diferită pentru vechile și noile firewall-uri

Certificate

Certificatele sunt unice pentru firewall-uri și nu pot fi găsite în fișierul de configurare. Cu toate acestea, vor fi totuși menționate în fișierul de configurare. Așadar, ar fi bine să fiți atenți la referințele de aici. Căutați în documentul din fișierul de configurare pentru a găsi referințele "cert".

După ce ați terminat de copiat, rulați din nou funcția de comparare și veți vedea mai clar ce a fost copiat și ce nu a fost copiat.

5) Rezolvarea problemelor

În această secțiune vor urma câteva explicații privind modul de depanare și apoi exemple de erori care ar putea apărea și modul de remediere a acestora.

Atunci când încărcați un nou fișier de configurare în noul firewall, probabil că va trebui să depanați acest lucru, deoarece încărcarea va eșua. Ori de câte ori dați peste acest ecran:

Navigați la

dyn_repppppppp_8

În secțiunea Filter (Filtru), ați putea filtra jurnalele pe "File Manager" (Manager de fișiere) pentru a vedea toate înregistrările legate de încărcarea configurației.

5.1 AVERTISMENT vs. ERROR

Ceea ce doriți să căutați sunt mesajele de ERROR care apar cu roșu. Rețineți că mesajele de AVERTISMENT nu reprezintă un motiv de îngrijorare și sunt complet normale.

În cazul în care nu reușește - remediați eroarea și ștergeți configurația pe care tocmai ați încărcat-o, apoi încărcați din nou noua configurație

5.2 Eroare de criptare

Dacă primiți un mesaj de eroare care spune "Data is encrypted" (Datele sunt criptate), s-ar putea să fie necesar să ștergeți toate conturile de utilizator (+ parolele) deoarece criptarea parolelor nu poate fi convertită de noul dispozitiv.

5.3 Exemple de erori

Eroare #1

Această eroare indică faptul că "Associated AAA object doesn't exist" (Obiectul AAA asociat nu există), ceea ce înseamnă că ceva din configurația AD nu corespunde acestei referințe.

Soluția nr. 1

Am putut vedea că utilizatorii SSL VPN făceau referire la configurația AD, unde configurația AD a fost eliminată înainte de conversie, deoarece nu mai era utilizată. Așadar, soluția a fost să ștergem utilizatorii SSL VPN din configurație și să încărcăm din nou fișierul de configurare.

Eroarea nr. 2

Aici, contul de configurare a terminalului PPPoE GE14 nu a putut fi configurat. Prin urmare, ceea ce trebuie să facem este să căutăm (ctrl+f) în fișierul de configurare comanda GE14 pe care firewall-ul încearcă să o execute.

Soluția nr. 2

Aici, a eșuat pentru că am uitat să separăm între "account pppoe" și "ip dhcp pool". Deci, ceea ce trebuie să facem este să adăugăm un "!" între comenzi.

Eroare #3

Am văzut o eroare "configure terminal interface_ether ge \x09\x09\x09\x09\x09[...]", iar când căutăm "interface_ether" nu găsim nimic în fișierul de configurare. Așa că am început apoi să căutăm interfețele în fișierul de configurare.

Soluția nr. 3

După ce am verificat de două ori configurația interfeței, am putut vedea că era vorba de obiecte de adrese duplicate pe interfețele ge pe care le-am șters. Astfel, obiectul de adresă duplicat nu poate funcționa, deoarece numele LAN_SUBNET_GE4 este deja utilizat.

Eroare nr. 4

Am putut observa că obiectul adresă RFC1918_2 nu a putut fi creat și executat.

Soluția nr. 4

După câteva încercări și erori înainte și înapoi, am aflat că obiectele de adrese de aici se aflau în locul greșit în fișierul de configurare și au fost schimbate între adresa obiectului de adrese și adresa grupului de obiecte.

Eroare #5

Am avut o problemă cu obiectul de serviciu care nu a putut fi creat.

Soluția nr. 5

Deci, atunci când am eliminat aceste două obiecte de serviciu Any_UDP și Any_TCP, am putut vedea că al treilea obiect de serviciu nu a putut fi creat, ceea ce arată că niciunul dintre obiectele de serviciu nu a putut fi creat.

Soluția în acest caz a fost să verificăm dacă ar putea exista un "spațiu" înainte sau după "!" între obiectul adrese6 și obiectul de serviciu.