Важное уведомление: Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в отношении точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В этой статье мы расскажем о том, как устранить неполадки при преобразовании конфигурации, если вы хотите преобразовать файл конфигурации вручную. В ней вы узнаете, как устранить неполадки, когда файл конфигурации не может быть применен, и как лучше всего преобразовать конфигурацию со старого устройства на новое с помощью инструмента преобразования или вручную.

Отказ от ответственности! Данная статья представляет собой общий обзор серии устройств и может быть неприменима к каждой модели, версии программного обеспечения/прошивки. Перед покупкой или использованием устройства обратитесь к документации по конкретной модели/версии или обратитесь в службу технической поддержки для получения точной информации.

Примечание! Новая конфигурация конвертации имеет ограниченную поддержку со стороны службы поддержки, поскольку мы официально поддерживаем только конвертацию, выполненную с помощью инструмента конвертации. Однако есть способы преобразовать конфигурацию вручную самостоятельно, но мы не можем оказать вам поддержку в этом.

Таблица содержания

1) Как работает конфигурация

1.1 Применение конфигурации

1.2 Разделение команд

1.3 Копирование конфигурации

2) Подготовка к преобразованию конфигурации

2.1 Загрузите файлы конфигурации

2.2 Используйте инструмент преобразования

2.3 Загрузите новый преобразованный файл конфигурации

3) Пути преобразования конфигурации

Путь 1: Преобразование в брандмауэр другой серии, но эквивалентный брандмауэр

Путь 2: преобразование в другой межсетевой экран

Путь 3: Вручную скопируйте/вставьте конфигурацию

Путь 3.1: Скачайте Notepad++

Путь 3.2: Установите плагин "Сравнение".

Путь 3.3: Откройте оба конфигурационных файла и запустите инструмент сравнения

4.1 Примеры для копирования/вставки

4.2 То, что не следует копировать/вставлять

5) Устранение неполадок

5.1 Предупреждение против ошибки

5.2 Ошибка шифрования

5.3 Примеры ошибок

1) Как работает конфигурация

1.1 Применение конфигурации

Конфигурационный файл при применении вводит все команды в конфигурационном файле, например

interface EXTERNAL_ppp

или;

interface-name ge3 LAN

или;

secure-policy 1

name xyz

action allow

from LAN

to Zywall

sourceip Server_1

Таким образом, брандмауэр может скомпилировать и применить конфигурацию к новому устройству

1.2 Разделение команд

Команды разделены знаком "!", чтобы различать конфигурации.

Убедитесь, что вы разделили конфигурацию символами "!" и что до и после символов "!" нет пробелов. В противном случае конфигурационное приложение не будет работать.

1.3 Копирование конфигурации

При копировании и вставке конфигурационного файла вручную старайтесь найти сходство в том, где начинаются и заканчиваются некоторые секции конфигурации. В Notepad++ вы также можете увидеть зеленые поля, в которых отображается новая конфигурация, которой нет в текущем файле конфигурации.

Например, в старой конфигурации USG310 мы видим, что конфигурация VPN заканчивается словами

vpn-configuration-provision authentication default

Поэтому мы можем копировать конфигурацию VPN до тех пор, пока не увидим такую командную строку

Затем скопируйте ее в новую конфигурацию, где мы увидим эту команду

2) Подготовьте преобразование конфигурации

2.1 Загрузите файлы конфигурации

Перейдите по адресу

Maintenance -> File Manager -> Configuration File > Configuration 

Загрузите последний файл "startup-config.conf", выбрав его и нажав "download", или посмотрите на "last modified", чтобы узнать, какой из файлов конфигурации является последним.

2.2 Используйте инструмент преобразования

a) Введите https://convert.cloud.zyxel.com/

b) Выберите устройство, наиболее похожее на ваше новое устройство

Ознакомьтесь с этой статьей для получения дополнительной информации: Конвертер конфигураций

Если у вас есть USG FLEX 500 или ATP700, вы можете выбрать конвертацию в ATP500 (для USG FLEX 500) и USG FLEX 700 (для ATP700), поскольку количество физических портов одинаково как для USG FLEX 500 и ATP500, так и для USG FLEX 700 и ATP700.

2.3 Загрузите новый преобразованный файл конфигурации

Сначала перейдите по адресу:

Maintenance -> File Manager -> Configuration File -> Configuration

Затем загрузите свой файл конфигурации, нажав на кнопку "Обзор...".

Затем выберите загруженный файл конфигурации, щелкнув по нему левой кнопкой мыши, и нажмите "Применить".

Выберите вариантнемедленного прекращения применения файла конфигурации и отката к предыдущей конфигурации

3) Пути преобразования конфигурации

Итак, когда вы хотите преобразовать конфигурацию вручную, есть несколько путей в зависимости от того, какая модель брандмауэра у вас есть и какую модель вы приобрели в качестве нового устройства.

Для USG310 (Zywall310) вы можете выбрать преобразование в VPN300, USG FLEX 700.

Но вы также можете выбрать USG310, который дает вам возможность преобразовать ваш файл конфигурации в ATP500:

Путь 1: Преобразование в брандмауэр другой серии, но эквивалентный брандмауэр

Если у вас есть Zywall310 и вы хотите преобразовать этот файл в USG FLEX 500, вы можете преобразовать файл конфигурации Zywall310 из файла

USG310 -> ATP500

Поскольку USG FLEX 500 и ATP500 имеют одинаковую структуру конфигурации (физические порты / структура config-файла), то преобразование будет простым.

Чтобы обмануть конвертер при преобразовании Zywall310 в USG310, удалите эти две строки в конфигурационном файле:

Затем, если вы хотите загрузить новый файл конфигурации ATP500 в новый USG FLEX 500, вам нужно изменить несколько вещей:

Во-первых, модель должна быть изменена с ATP500 на USG FLEX 500, а версия прошивки, вероятно, не 4.60, поэтому вы можете попробовать удалить обе эти строки или изменить модель на "USG FLEX 500" и удалить строку версии прошивки.

Затем загрузите новые преобразованные и сохраненные данные (без модели и версии прошивки) на новое устройство.

Путь 2: Преобразование в другой брандмауэр

Допустим, у нас есть конфигурация Zywall310, и мы хотим преобразовать ее в USG FLEX 100.

Шаг 1) Преобразование в ближайшую серию брандмауэров

Zywall310(USG310)/ATP500 имеет другую структуру интерфейсов, чем USG FLEX 100, потому что у вас есть порты (ge1, ge2, ge3 и т.д.) вместо того, чтобы выбрать lan1 и назначить его на один порт или несколько портов. Поэтому здесь нам нужно проделать некоторую ручную работу.

Так как USG FLEX 100 имеет 6 портов, а Zywall310 - 8 портов. Нам нужно удалить ge7 и ge8, а также все ссылки на ge7 и ge8, найдя в файле конфигурации "ge7", а затем "ge8".

Примеры того, где можно удалить конфигурацию отображения ge7 и ge8:

После удаления всех ссылок на порты, не существующие на USG FLEX 100, загрузите созданный вами новый файл конфигурации и примените его.

Путь 3: Ручное копирование/вставка конфигурации

Путь 3.1: Скачайте Notepad++

Перейдите по адресу https://notepad-plus-plus.org/downloads/, скачайте и установите последнюю версию Notepad++.

Путь 3.2: Установите плагин "Сравнение"

Перейдите в

Plugins -> Plugins Admin 

Затем найдите compare и нажмите "install", чтобы установить инструмент Compare.

Путь 3.3: Откройте оба конфигурационных файла и запустите инструмент сравнения

Откройте оба файла конфигурации (от старого USG310 и нового USG FLEX 700)

Белые поля = одинаковая конфигурация в обоих файлах

Красные поля = не существует в другом конфигурационном файле

Зеленые поля = новые вещи, которые необходимо скопировать в другой конфигурационный файл

4.1 Примеры копирования/вставки

1. Интерфейс Ethernet + VLAN

2. Конфигурация пользователя / администратора

3. Настройки VPN

4. Зоны

5. Переадресация DNS и доменных зон

6. NAT (виртуальный сервер и NAT)

7. Secure-policy (правила брандмауэра)

8. Маршруты политики

4.2 То, что не следует копировать/вставлять

Функции UTM

Патруль приложений, как вы можете видеть ниже, имеет разный синтаксис для старых и новых брандмауэров

Сертификаты

Сертификаты уникальны для брандмауэров и не могут быть найдены в файле конфигурации. Однако на них все равно будут ссылки в файле конфигурации. Поэтому вам стоит обратить внимание на ссылки здесь. Найдите в документе конфигурационного файла ссылки на "cert".

Когда вы закончите копирование, снова запустите функцию сравнения, и вы увидите более четко, что скопировалось, а что нет.

5) Устранение неполадок

В этом разделе мы расскажем о том, как устранять неполадки, а затем приведем примеры ошибок, которые могут возникнуть, и способы их устранения.

Когда вы загружаете новый файл конфигурации на новый брандмауэр, вам, вероятно, придется устранять неполадки, поскольку загрузка будет неудачной. Всякий раз, когда вы сталкиваетесь с этим экраном:

Перейдите в

Monitor -> Logs

В разделе "Фильтр" отфильтруйте журналы по "Диспетчеру файлов", чтобы увидеть все записи, связанные с загрузкой конфигурации.

5.1 Предупреждение против ошибки

Вы должны обратить внимание на сообщения ERROR, которые отображаются красным цветом. Имейте в виду, что сообщения WARNING - это не повод для беспокойства и совершенно нормальное явление.

В случае неудачи устраните ошибку, удалите только что загруженную конфигурацию и загрузите новую конфигурацию снова.

5.2 Ошибка шифрования

Если вы получаете сообщение об ошибке "Данные зашифрованы", это может означать, что вам необходимо удалить все учетные записи пользователей (+ пароли), поскольку шифрование паролей не может быть преобразовано новым устройством.

5.3 Примеры ошибок

Ошибка № 1

Эта ошибка говорит, что "ассоциированный объект AAA не существует", что означает, что что-то в конфигурации AD не соответствует этой ссылке.

Решение #1

Мы увидели, что пользователи SSL VPN ссылались на конфигурацию AD, а конфигурация AD была удалена перед преобразованием, поскольку больше не использовалась. Поэтому решением было удалить SSL VPN Users в конфигурации и загрузить файл конфигурации снова.

Ошибка №2

Здесь не удалось настроить терминальную учетную запись PPPoE GE14. Поэтому нам нужно найти (ctrl+f) в файле конфигурации команду GE14, которую пытается выполнить брандмауэр.

Решение #2

Здесь не получилось, потому что мы забыли разделить команды "account pppoe" и "ip dhcp pool". Поэтому нам нужно добавить "!" между командами.

Ошибка #3

Мы увидели ошибку "configure terminal interface_ether ge \x09\x09\x09\x09\x09[...]", и при поиске "interface_ether" мы не можем найти ничего в конфигурационном файле. Поэтому мы начали искать интерфейсы в файле конфигурации.

Решение #3

Перепроверив конфигурацию интерфейса, мы увидели, что на интерфейсах ge были дублирующие адресные объекты, которые мы удалили. Таким образом, дублирующий адрес-объект не может работать, поскольку имя LAN_SUBNET_GE4 уже используется

Ошибка #4

Мы видим, что адресный объект RFC1918_2 не может быть создан и выполнен.

Решение #4

После некоторых проб и ошибок мы выяснили, что адрес объектов здесь находился в неправильном месте в файле конфигурации и был изменен на адрес между адресом-объектом и адресом объекта-группы

Ошибка #5

У нас возникла проблема с сервисом-объектом, который не удается создать.

Решение #5

Итак, когда мы удалили эти два сервис-объекта Any_UDP и Any_TCP, мы увидели, что третий сервис-объект не может быть создан, что говорит о том, что ни один из сервис-объектов не может быть создан.

Решением было проверить, может ли быть пробел до или после "!" между адрес6-объектом и сервис-объектом.