Aktualizácia zariadení Zyxel USG FLEX, ATP a VPN zo starých verzií firmvéru

Tento článok opisuje odporúčaný a bezpečný postup aktualizácie zariadení Zyxel USG FLEX, ATP a VPN, ktoré neboli dlho aktualizované a v súčasnosti používajú veľmi staré verzie firmvéru. Článok sa zameriava konkrétne na komplexné scenáre aktualizácie, ktoré zahŕňajú zastaraný firmvér, kde priama aktualizácia na najnovšiu verziu môže viesť k chybám, strate konfigurácie alebo nestabilnému správaniu systému.

Účel článku

• Popísať bezpečný a odporúčaný prístup k aktualizácii zo starých verzií firmvéru na aktuálne verzie.

• Zdôrazniť riziká priameho upgradu bez medzistupňov.

• Vysvetliť, ako sa vyhnúť poškodeniu alebo strate konfigurácie počas procesu aktualizácie.

• Poskytnúť prehľad histórie vetiev firmvéru pre každú produktovú radu zariadení.

História verzií firmvéru

Nižšie je uvedená všeobecná história verzií firmvéru, ktorá sa používa na plánovanie správnej a bezpečnej cesty aktualizácie.

USG FLEX: V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

ATP: V4 .32 → V4.33 → V4.35 → V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

VPN: V4 .35 → V4.39 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37

Odporúčanie:
Zariadenia VPN sú obzvlášť citlivé pri aktualizácii zo starých verzií firmvéru, pretože zmeny vo funkcionalite IPsec a SSL VPN sa nahromadili vo viacerých vetvách.

Ako zistím, ktorý firmware mám použiť pred aktualizáciou na najnovší firmware? 

Tieto informácie nájdete v poznámkach k vydaniu firmvéru (k dispozícii len v angličtine). Väčšina, ak nie všetky, poznámky k vydaniu firmvéru obsahujú časť „Prečítajte si najskôr“, v ktorej sú uvedené dôležité poznámky a úvahy špecifické pre danú verziu firmvéru.

Prečítajte si najskôr

V týchto častiach „Najskôr si prečítajte“ nájdete informácie o minimálnej požadovanej verzii firmvéru, ktorú je potrebné nainštalovať pred použitím verzie firmvéru opísanej v poznámkach k vydaniu. Nasleduje príklad z poznámok k vydaniu USG FLEX 500 ZLD5.38C0:

Ďalšie úvahy

Pri aktualizácii firmvéru – najmä na vzdialene nasadených zariadeniach – existuje riziko, že staršia konfigurácia nemusí byť plne kompatibilná s novou verziou firmvéru.

Ak k tomu dôjde, zariadenie môže niekoľkokrát reštartovať, aby aplikovalo existujúcu konfiguráciu spustenia. Ak to nebude úspešné, automaticky sa vráti k predvolenej konfigurácii systému ako bezpečnostnému opatreniu. To môže viesť k prerušeniu služby, najmä ak nie je k dispozícii prístup alebo pomoc na mieste.

Pri aktualizácii zariadenia z veľmi starej verzie firmvéru existuje zvýšené riziko problémov s kompatibilitou konfigurácie počas procesu reštartovania. Aby sa toto riziko minimalizovalo, spoločnosť Zyxel dôrazne odporúča pred začatím aktualizácie firmvéru vykonať preventívne kroky opísané nižšie, pretože to výrazne zvyšuje šance na hladkú a úspešnú aktualizáciu.

Rovnaký postup sa odporúča aj pri downgrade firmvéru alebo pri inštalácii týždenného (bug-fix) firmvéru, ako aj v prípadoch vzdialenej aktualizácie, kde môžu platiť podobné riziká.

Ako sa tomu dá v prvom rade vyhnúť?

Pri aplikovaní konfigurácie sa zvyčajne zobrazí výzva s rôznymi možnosťami vrátenia späť – inými slovami: zariadenie sa pýta „Čo mám urobiť, ak zistím, že konfigurácia, ktorú chcete aplikovať, je nejakým spôsobom poškodená?“

V predvolenom nastavení je zariadenie nastavené na „Okamžite zastaviť aplikovanie konfiguračného súboru a vrátiť sa k predchádzajúcej konfigurácii“. Vo väčšine prípadov toto správanie funguje podľa očakávania. Ak však systém opäť interpretuje určité konfiguračné položky ako problematické, samotný proces vrátenia sa môže nezdať. V takýchto situáciách sa zariadenie môže vrátiť k predvolenej konfigurácii systému ako mechanizmus sebaochrany.

Z tohto dôvodu pri aplikovaní konfigurácie v kontexte aktualizácie firmvéru z veľmi starej verzie spoločnosť Zyxel odporúča zvoliť tretiu možnosť vrátenia, „Ignorovať chyby a dokončiť aplikovanie konfiguračného súboru“. 

S touto možnosťou zariadenie spracováva konfiguráciu riadok po riadku, preskakuje len problematické položky a dokončí načítanie konfigurácie. Všetky ignorované alebo neúspešné položky sa zaznamenávajú do protokolov monitorovania, čo umožňuje správcom ich neskôr skontrolovať a vyriešiť.

Monitor > Protokoly

Skript Setenv

Počas aktualizácie firmvéru nie je možné ručne vybrať správanie vrátenia späť pre aplikovanie konfigurácie spustenia pri reštarte. Na riešenie tohto obmedzenia poskytuje Zyxel malý pomocný skript, ktorý podpora bežne označuje ako „skript setenv“.

Môžete zmeniť spôsob, akým sa uplatňuje súbor startup-config.conf. Zahrňte príkaz setenv-startup stopon-error off. Zariadenie Zyxel ignoruje všetky chyby v súbore startup-config.conf a uplatňuje všetky platné príkazy. Zariadenie Zyxel aj naďalej generuje protokol pre všetky chyby.

Príkazy CLI, ktoré zapisuje do jednotky pri aplikácii:

1. Stiahnite si súbor setenv.zip

2. Nahrajte a aplikujte skript prostredníctvom
   Údržba → Správca súborov → Skript shell

3. Vytvorte zálohu konfigurácie (lokálne aj na zariadení).

4. Pokračujte v požadovanej aktualizácii alebo downgrade firmvéru.

Poznámka: Hoci je tento postup považovaný za bezpečný a výrazne znižuje riziko straty konfigurácie, v ojedinelých prípadoch sa môžu vyskytnúť neočakávané problémy. Ak je to možné, aktualizácie firmvéru by sa mali vykonávať s prístupom na mieste. Akékoľvek abnormálne správanie by sa malo nahlásiť podpore Zyxel na ďalšie vyšetrenie.