Обновление устройств Zyxel USG FLEX, ATP и VPN с очень старых версий прошивки

В этой статье описывается рекомендуемый и безопасный подход к обновлению устройств Zyxel USG FLEX, ATP и VPN, которые долгое время не обновлялись и в настоящее время работают на очень старых версиях прошивки. Статья посвящена конкретно сложным сценариям обновления, связанным с устаревшей прошивкой, когда прямое обновление до последней версии может привести к ошибкам, потере конфигурации или нестабильной работе системы.

Цель статьи

• Описать безопасный и рекомендуемый подход к обновлению с очень старых версий прошивки до текущих версий.

• Осветить риски, связанные с прямым обновлением без промежуточных шагов.

• Объяснить, как избежать повреждения или потери конфигурации во время процесса обновления.

• Предоставить обзор истории ветвей прошивки для каждой линейки устройств.

История версий прошивки

Ниже приведена обобщенная история версий прошивки, используемая для планирования правильного и безопасного пути обновления.

USG FLEX: V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

ATP: V4 .32 → V4.33 → V4.35 → V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

VPN: V4 .35 → V4.39 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37

Рекомендация:
Устройства VPN особенно чувствительны при обновлении с очень старых версий прошивки, поскольку изменения в функциональности IPsec и SSL VPN накопились во многих ветвях.

Как определить, какую прошивку применить перед обновлением до последней версии? 

Эту информацию можно найти в примечаниях к выпуску прошивки (доступны только на английском языке). В большинстве, если не во всех, примечаниях к выпуску прошивки есть раздел «Read Me First» ( Прочитайте сначала), в котором выделены важные примечания и соображения, относящиеся к данной версии прошивки.

Сначала прочтите

В этих разделах «Сначала прочтите» вы найдете информацию о минимальной требуемой версии прошивки, которая должна быть установлена перед применением версии прошивки, описанной в примечаниях к выпуску. Ниже приведен пример из примечаний к выпуску USG FLEX 500 ZLD5.38C0:

Дополнительные соображения

При обновлении прошивки, особенно на удаленно развернутых устройствах, существует риск, что старая конфигурация может быть не полностью совместима с новой версией прошивки.

В этом случае устройство может несколько раз перезагружаться, пытаясь применить существующую конфигурацию запуска. Если это не удается, в качестве меры безопасности оно автоматически переходит к системной конфигурации по умолчанию. Это может привести к перебоям в работе, особенно если нет доступа к устройству или помощи на месте.

При обновлении устройства с очень старой версии прошивки существует повышенный риск возникновения проблем с совместимостью конфигурации во время процесса перезагрузки. Чтобы минимизировать этот риск, Zyxel настоятельно рекомендует принять описанные ниже меры предосторожности перед началом обновления прошивки, так как это значительно повышает вероятность плавного и успешного обновления.

Такая же процедура рекомендуется при понижении версии прошивки или при установке еженедельной (исправленной) прошивки, а также в сценариях удаленного обновления, где могут возникнуть аналогичные риски.

Как этого можно избежать в первую очередь?

При применении конфигурации обычно предлагается несколько вариантов отката — другими словами: устройство спрашивает «Что делать, если обнаружится, что конфигурация, которую вы хотите применить, каким-то образом повреждена?».

По умолчанию устройство настроено на «Немедленно прекратить применение файла конфигурации и вернуться к предыдущей конфигурации». В большинстве случаев это поведение работает как ожидается. Однако, если система снова интерпретирует определенные записи конфигурации как проблемные, сам процесс отката может завершиться неудачей. В таких ситуациях устройство может вернуться к системной конфигурации по умолчанию в качестве механизма самозащиты.

По этой причине при применении конфигурации в контексте обновления прошивки с очень старой версии Zyxel рекомендует выбрать третий вариант отката: «Игнорировать ошибки и завершить применение файла конфигурации». 

С этим вариантом устройство обрабатывает конфигурацию построчно, пропуская только проблемные записи, и завершает загрузку конфигурации. Все игнорированные или неудачные записи записываются в журналы мониторинга, что позволяет администраторам впоследствии их просматривать и устранять.

Монитор > Журналы

Скрипт Setenv

Во время обновления прошивки невозможно вручную выбрать поведение отката для применения конфигурации запуска при перезагрузке. Чтобы устранить это ограничение, Zyxel предоставляет небольшой вспомогательный скрипт, который в службе поддержки обычно называют «скриптом setenv».

Вы можете изменить способ применения файла startup-config.conf. Включите команду setenv-startup stopon-error off. Устройство Zyxel игнорирует любые ошибки в файле startup-config.conf и применяет все действительные команды. Устройство Zyxel по-прежнему генерирует журнал для любых ошибок.

CLI-команды, которые он записывает в устройство при применении:

1. Загрузите файл setenv.zip

2. Загрузите и примените скрипт через
   Обслуживание → Диспетчер файлов → Скрипт оболочки

3. Создайте резервную копию конфигурации (как локально, так и на устройстве).

4. Продолжите с необходимой модернизацией или понижением версии прошивки.

Примечание: хотя эта процедура считается безопасной и значительно снижает риск потери конфигурации, в редких случаях все же могут возникнуть непредвиденные проблемы. По возможности обновление прошивки следует выполнять с доступом на месте. О любом ненормальном поведении следует сообщать в службу поддержки Zyxel для дальнейшего расследования.