Dôležité upozornenie: Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím pôvodný článok tu: Pôvodná verzia

V tomto článku sa dozviete, ako vyriešiť problémy s konverziou konfigurácie, keď chcete manuálne konvertovať konfiguračný súbor. Ukáže vám, ako vyriešiť problémy, keď sa konfiguračný súbor nedá použiť, a najlepší spôsob, ako previesť konfiguráciu zo starého zariadenia na nové zariadenie prostredníctvom nástroja na prevod alebo ručne.

Upozornenie! Tento článok ponúka všeobecný prehľad série a nemusí platiť jednotne pre každý model, verziu softvéru/firmvéru. Pred zakúpením alebo používaním zariadenia si prečítajte dokumentáciu konkrétneho modelu/verzie alebo sa obráťte na technickú podporu, aby ste získali presné informácie.

Poznámka! Nová konfigurácia konverzie má obmedzenú podporu zo strany tímu podpory, pretože oficiálne podporujeme len konverziu vykonanú pomocou nástroja convert. Existujú však spôsoby, ako môžete konfiguráciu previesť sami manuálne, ale nemôžeme vás v tom podporiť.

Tabuľka obsahu

1) Ako konfigurácia funguje

1.1 Aplikácia konfigurácie

1.2 Rozdelenie príkazov

1.3 Kopírovanie konfigurácie

2) Príprava konverzie konfigurácie

2.1 Stiahnutie konfiguračných súborov

2.2 Použitie nástroja na konverziu

2.3 Odoslať nový konvertovaný konfiguračný súbor

3) Cesty ku konverzii konfigurácie

Cesta 1: Konverzia na inú sériu brány firewall, ale ekvivalentnú bránu firewall

Cesta 2: Konverzia na inú bránu firewall

Cesta 3: Ručne skopírovať/vložiť konfiguráciu

Cesta 3.1: Stiahnite si Poznámkový blok++

Cesta 3.2: Inštalácia doplnku "Compare"

Cesta 3.3: Otvorte oba konfiguračné súbory a spustite nástroj na porovnávanie

4.1 Príklady na kopírovanie/vkladanie

4.2 Veci, ktoré sa nemajú kopírovať/vkladať

5) Riešenie problémov

5.1 VAROVANIE vs. CHYBA

5.2 Chyba šifrovania

5.3 Príklady chýb

1) Ako funguje konfigurácia

1.1 Aplikácia konfigurácie

Konfiguračný súbor po použití zadá všetky príkazy v konfiguračnom súbore, napr.

dyn_repppp_0

alebo;

interface-name ge3 LAN

alebo;

secure-policy 1

name xyz

action allow

from LAN

to Zywall

sourceip Server_1

Týmto spôsobom môže firewall skompilovať a použiť konfiguráciu na nové zariadenie

1.2 Oddelenie príkazov

Príkazy sú oddelené znakom "!" na odlíšenie konfigurácie.

Uistite sa, že ste konfiguráciu oddelili symbolom "!" a že pred ani za symbolmi "!" nie sú medzery. V opačnom prípade aplikácia konfigurácie zlyhá.

1.3 Kopírovanie konfigurácie

Pri ručnom kopírovaní a vkladaní konfiguračného súboru sa snažte nájsť podobnosť miest, kde niektoré časti konfigurácie začínajú a končia. V Poznámkovom bloku++ môžete tiež vidieť zelené polia toho, aká nová konfigurácia sa nenachádza v aktuálnom konfiguračnom súbore.

Napríklad v starej konfigurácii zariadenia USG310 môžeme vidieť, že konfigurácia VPN končí

dyn_repppp_3

Preto môžeme skopírovať konfiguráciu VPN, až kým neuvidíme tento príkazový riadok

Potom ju skopírujte do novej konfigurácie, kde uvidíme tento príkaz

2) Pripravte konverziu konfigurácie

2.1 Stiahnutie konfiguračných súborov

Prejdite na stránku

dyn_repppp_4

Stiahnite si najnovší súbor "startup-config.conf" tak, že vyberiete súbor a potom stlačíte tlačidlo "download" (stiahnuť), alebo sa pozrite na "last modified" (naposledy zmenený), aby ste zistili, ktorý súbor je najnovší konfiguračný súbor.

2.2 Použitie nástroja na konverziu

a) Zadajte adresu https://convert.cloud.zyxel.com/.

b) Vyberte zariadenie, ktoré je najviac podobné vášmu novému zariadeniu

Pozrite si tento článok, v ktorom nájdete ďalšie informácie: Prevodník konfigurácií

Ak máte USG FLEX 500 alebo ATP700, môžete sa rozhodnúť pre konverziu na ATP500 (pre USG FLEX 500) a USG FLEX 700 (pre ATP700), pretože počet fyzických portov je rovnaký pre USG FLEX 500 a ATP500, ako aj USG FLEX 700 a ATP700.

2.3 Nahrajte nový konvertovaný konfiguračný súbor

Najprv prejdite na stránku:

dyn_repppp_5

Potom nahrajte konfiguračný súbor kliknutím na "Browse..." (Prehľadávať...).

Potom vyberte novo nahraný konfiguračný súbor kliknutím naň ľavým tlačidlom myši a potom kliknite na "Apply" (Použiť).

Vyberte možnosť Okamžitezastaviť aplikáciu konfiguračného súboru a vrátiť sa k predchádzajúcej konfigurácii

3) Cesty ku konverzii konfigurácie

Keď chcete previesť konfiguráciu ručne, existuje niekoľko spôsobov, ako postupovať v závislosti od toho, aký model firewallu máte a aký model ste si kúpili ako nové zariadenie.

V prípade modelu USG310 (Zywall310) môžete zvoliť konverziu na model VPN300, USG FLEX 700.

Môžete si však vybrať aj USG310, ktorý vám dáva možnosť konvertovať konfiguračný súbor na ATP500:

Cesta 1: Konverzia na inú sériu brány firewall, ale ekvivalentnú bránu firewall

Ak máte Zywall310 a chcete tento súbor previesť na USG FLEX 500, môžete previesť konfiguračný súbor Zywall310 z

dyn_repppp_6

Pretože USG FLEX 500 a ATP500 majú rovnakú štruktúru konfigurácie (fyzické porty / štruktúra konfiguračného súboru), potom bude konverzia jednoduchá.

Ak chcete konvertor oklamať, aby previedol vašu Zywall310 z USG310, odstráňte tieto dva riadky v konfiguračnom súbore:

Ak potom chcete nahrať nový konfiguračný súbor ATP500 do nového zariadenia USG FLEX 500, musíte zmeniť niekoľko vecí:

Najprv je potrebné zmeniť model z ATP500 na USG FLEX 500 a verzia firmvéru pravdepodobne nie je 4.60, takže môžete skúsiť odstrániť oba tieto riadky alebo zmeniť model na "USG FLEX 500" a odstrániť riadok s verziou firmvéru.

Potom nahrajte nové konvertované a uložené (bez modelu a verzie fw) do nového zariadenia.

Cesta 2: Konverzia na iný firewall

Povedzme, že máme konfiguráciu zariadenia Zywall310 a chceme našu konfiguráciu previesť na zariadenie USG FLEX 100.

Krok 1) Prevedenie na najbližší rad firewallov

Zywall310(USG310)/ATP500 má inú štruktúru rozhrania ako USG FLEX 100, pretože máte porty (ge1, ge2, ge3 atď.) namiesto toho, aby ste buď vybrali lan1 a priradili ho k jednému portu alebo k viacerým portom. Takže tu musíme vykonať určitú manuálnu prácu.

Pretože USG FLEX 100 má 6 portov a Zywall310 má 8 portov. Musíme odstrániť ge7 a ge8, ako aj všetky odkazy na ge7 a ge 8 tak, že v konfiguračnom súbore vyhľadáme "ge7" a potom "ge8".

Príklady, kde je možné odstrániť konfiguráciu mapovania ge7 a ge8:

Po odstránení všetkých odkazov z portov, ktoré v zariadení USG FLEX 100 neexistujú, pokračujte v nahrávaní nového konfiguračného súboru, ktorý ste vytvorili, a použite konfiguráciu.

Cesta 3: Ručné kopírovanie/vkladanie konfigurácie

Cesta 3.1: Stiahnite si Poznámkový blok++

Prejdite na stránku https://notepad-plus-plus.org/downloads/ a stiahnite a nainštalujte najnovšiu verziu programu Notepad++.

Cesta 3.2: Nainštalujte zásuvný modul "Compare"

Prejdite na stránku

dyn_repppp_7

Potom vyhľadajte položku compare (Porovnať) a kliknutím na tlačidlo "install" (Inštalovať) nainštalujte nástroj Compare (Porovnať).

Cesta 3.3: Otvorte oba konfiguračné súbory a spustite nástroj na porovnávanie

Otvorte oba konfiguračné súbory (zo starého zariadenia USG310 a nového zariadenia USG FLEX 700)

Biele polia = rovnaká konfigurácia na oboch

Červené polia = v druhom konfiguračnom súbore neexistuje

Zelené polia = nové veci, ktoré je potrebné skopírovať do druhého konfiguračného súboru

4.1 Príklady na kopírovanie/vkladanie

1. Rozhranie Ethernet + VLAN

2. Konfigurácia používateľa/administrátora

3. Nastavenia VPN

4. Zóny

5. DNS & Domain Zone Forwarder

6. NAT (virtuálny server a NAT)

7. Secure-policy (pravidlá firewallu)

8. Smery politiky

4.2 Veci, ktoré sa nesmú kopírovať/vkladať

Funkcie UTM

Aplikačná hliadka, ako môžete vidieť nižšie, má odlišnú syntax pre staré a nové firewally

Certifikáty

Certifikáty sú jedinečné pre firewally a nie je možné ich nájsť v konfiguračnom súbore. V konfiguračnom súbore sa však na ne bude stále odkazovať. Preto by ste si tu mohli byť vedomí odkazov. Vyhľadajte v dokumente konfiguračného súboru odkazy "cert".

Keď skončíte s kopírovaním, spustite funkciu porovnania znova a uvidíte jasnejšie, čo sa skopírovalo a čo nie.

5) Riešenie problémov

V tejto časti bude nasledovať niekoľko vysvetlení, ako riešiť problémy, a potom príklady chýb, ktoré sa môžu vyskytnúť, a ako ich odstrániť.

Pri nahrávaní nového konfiguračného súboru do novej brány firewall budete pravdepodobne musieť riešiť problémy, pretože nahrávanie zlyhá. Vždy, keď narazíte na túto obrazovku:

Prejdite na

Monitor -> Logs

V časti Filter (Filtrovanie) môžete filtrovať protokoly na "File Manager" (Správca súborov), aby ste videli všetky záznamy týkajúce sa nahrávania konfigurácie.

5.1 VAROVANIE vs. CHYBA

To, čo chcete hľadať, sú hlásenia ERROR, ktoré sa zobrazujú červenou farbou. Uvedomte si, že hlásenia WARNING (UPOZORNENIE) nie sú ničím, čoho by ste sa mali obávať, a sú tu úplne normálne.

Keď sa to nepodarí - opravte chybu a odstráňte konfiguráciu, ktorú ste práve nahrali, a znova nahrajte novú konfiguráciu

5.2 Chyba šifrovania

Ak sa zobrazí chybové hlásenie "Data is encrypted" (Údaje sú zašifrované), môže to znamenať, že musíte odstrániť všetky používateľské účty (+ heslá), pretože šifrovanie hesiel sa nedá previesť novým zariadením.

5.3 Príklady chýb

Chyba č. 1

Táto chyba hovorí, že "Associated AAA object doesn't exist" (Pridružený objekt AAA neexistuje), čo znamená, že niečo v konfigurácii AD nezodpovedá tomuto odkazu.

Riešenie č. 1

Videli sme, že používatelia SSL VPN odkazovali na konfiguráciu AD, pričom konfigurácia AD bola pred konverziou odstránená, pretože sa už nepoužívala. Riešením tu teda bolo odstránenie používateľov SSL VPN v konfigurácii a opätovné nahratie konfiguračného súboru.

Chyba č. 2

Tu sa nepodarilo nakonfigurovať účet terminálu PPPoE GE14. Musíme teda v konfiguračnom súbore vyhľadať (ctrl+f) príkaz GE14, ktorý sa firewall pokúša vykonať.

Riešenie č. 2

Tu sa to nepodarilo, pretože sme zabudli oddeliť "účet pppoe" a "ip dhcp pool". Takže musíme medzi príkazy pridať "!".

Chyba č. 3

Videli sme chybu "configure terminal interface_ether ge \x09\x09\x09\x09[...]" a pri hľadaní "interface_ether" nemôžeme v konfiguračnom súbore nič nájsť. Potom sme teda začali hľadať rozhrania v konfiguračnom súbore.

Riešenie č. 3

Po dvojitej kontrole konfigurácie rozhrania sme zistili, že ide o duplicitné objekty adries na rozhraniach ge, ktoré sme odstránili. Duplicitný objekt adresy teda nemôže fungovať, pretože názov LAN_SUBNET_GE4 sa už používa

Chyba č. 4

Mohli sme vidieť, že objekt adresy RFC1918_2 sa nepodarilo vytvoriť a spustiť.

Riešenie #4

Po niekoľkých pokusoch a omyloch tam a späť sme zistili, že adresa objektov tu bola na nesprávnom mieste v konfiguračnom súbore a bola zmenená na adresu medzi adresou-objekt a adresou skupiny objektov

Chyba č. 5

Vyskytol sa problém s objektom služby, ktorý nebolo možné vytvoriť.

Riešenie č. 5

Keď sme teda odstránili tieto dva objekty služieb Any_UDP a Any_TCP, videli sme, že tretí objekt služieb sa nedal vytvoriť, čo ukazuje, že sa nepodarilo vytvoriť žiadny z objektov služieb.

Riešením v tomto prípade bolo skontrolovať, či sa pred alebo za "!" medzi objektom address6 a objektom služby môže nachádzať "medzera".