Viktigt meddelande: |
Den här artikeln visar hur du felsöker konfigurationskonvertering när du vill konvertera en konfigurationsfil manuellt. Du får veta hur du felsöker när konfigurationsfilen inte kan användas och hur du bäst konverterar din konfiguration från en gammal enhet till en ny via konverteringsverktyget eller manuellt.
Ansvarsfriskrivning! Denna artikel ger en allmän översikt över serien och kanske inte gäller enhetligt för varje modell, programvara / firmwareversion. Innan du köper eller använder enheten bör du läsa den modell-/versionsspecifika dokumentationen eller kontakta teknisk support för korrekt information.
Observera! Den nya konverteringskonfigurationen har begränsat stöd från supportteamet eftersom vi officiellt endast stöder konvertering som görs med konverteringsverktyget. Det finns dock sätt att själv konvertera konfigurationen manuellt, men vi kan inte hjälpa dig med detta.
Innehållsförteckning
1) Hur konfigurationen fungerar
1.1 Tillämpning av konfigurationen
1.3 Kopiering av konfiguration
2) Förbered konvertering av konfigurationen
2.1 Ladda ner konfigurationsfiler
2.2 Använd konverteringsverktyget
2.3 Ladda upp den nya konverterade konfigurationsfilen
3) Vägar till konvertering av konfiguration
Väg 1: Konvertera till en annan brandväggsserie men motsvarande brandvägg
Väg 2: Konvertera till en annan brandvägg
Väg 3: Kopiera/klistra in konfigurationen manuellt
Sökväg 3.1: Ladda ner Notepad++
Sökväg 3.2: Installera plugin-programmet "Compare"
Path 3.3: Öppna båda konfigurationsfilerna och starta jämförelseverktyget
4.1 Exempel att kopiera/klistra in
4.2 Saker som inte ska kopieras/klistras in
5) Felsökning
1) Hur konfigurationen fungerar
1.1 Tillämpning av konfigurationen
När konfigurationsfilen används anges alla kommandon i konfigurationsfilen, t.ex.
interface EXTERNAL_pppeller;
interface-name ge3 LANeller;
dyn_repppp_2På så sätt kan brandväggen sammanställa och tillämpa konfigurationen på den nya enheten
1.2 Kommandoseparation
Kommandona separeras med "!" för att särskilja konfigurationen.
Kontrollera att du har separerat konfigurationen med "!" och att det inte finns några mellanslag före eller efter "!"-symbolerna. I annat fall kommer konfigurationsapplikationen att misslyckas.
1.3 Kopiera över konfigurationen
När du kopierar och klistrar in en konfigurationsfil manuellt kan du försöka hitta likheter mellan var vissa konfigurationsavsnitt börjar och slutar. Du kan också se de gröna fälten i Notepad++ för ny konfiguration som inte finns i den aktuella konfigurationsfilen.
I den gamla konfigurationen av USG310 kan vi till exempel se att VPN-konfigurationen avslutas med
vpn-configuration-provision authentication default
Därför kan vi kopiera VPN-konfigurationen tills vi ser den här kommandoraden
Sedan kopierar vi över den till den nya konfigurationen där vi kan se detta kommando
2) Förbered konvertering av konfigurationen
2.1 Ladda ner konfigurationsfiler
Navigera till
Maintenance -> File Manager -> Configuration File > Configuration
Ladda ner den senaste filen "startup-config.conf" genom att välja filen och sedan trycka på "download", eller titta på "last modified" för att se vilken som är den senaste konfigurationsfilen.
2.2 Använd konverteringsverktyget
a) Ange https://convert.cloud.zyxel.com/
b) Välj den enhet som mest liknar din nya enhet
Ta en titt på denna artikel för mer information: Konfigurationsomvandlare
Om du har en USG FLEX 500 eller en ATP700 kan du välja att konvertera till ATP500 (för USG FLEX 500) och USG FLEX 700 (för ATP700) eftersom antalet fysiska portar är detsamma för USG FLEX 500 och ATP500, samt USG FLEX 700 och ATP700.
2.3 Ladda upp den nya konverterade konfigurationsfilen
Navigera först till:
Maintenance -> File Manager -> Configuration File -> Configuration
Ladda sedan upp din konfigurationsfil genom att klicka på "Browse..."
Välj sedan den nyligen uppladdade konfigurationsfilen genom att vänsterklicka på den och klicka sedan på "Apply"
Välj attomedelbart sluta tillämpa konfigurationsfilen och återgå till den tidigare konfigurationen
3) Vägar till konvertering av konfiguration
När du vill konvertera konfigurationen manuellt finns det några olika vägar att gå beroende på vilken brandväggsmodell du har och vilken modell du har köpt som din nya enhet.
För USG310 (Zywall310) kan du välja att konvertera till en VPN300, USG FLEX 700.
Men du kan också välja USG310 som ger dig möjlighet att konvertera din konfigurationsfil till en ATP500:
Väg 1: Konvertera till en annan brandväggsserie men motsvarande brandvägg
Om du har en Zywall310 och vill konvertera denna fil till en USG FLEX 500, kan du konvertera din Zywall310-konfigurationsfil från en
USG310 -> ATP500
Eftersom USG FLEX 500 och ATP500 har samma konfigurationsstruktur (fysiska portar / konfigurationsfilsstruktur), kommer konverteringen att vara enkel.
För att lura konverteraren att konvertera din Zywall310 från en USG310, ta bort dessa två rader i konfigurationsfilen:
Om du sedan vill ladda upp den nya ATP500-konfigurationsfilen till din nya USG FLEX 500, måste du ändra några saker:
Först måste modellen ändras från ATP500 till USG FLEX 500, och firmwareversionen är förmodligen inte 4.60 så du kan försöka ta bort båda dessa rader eller ändra modellen till "USG FLEX 500" och ta bort firmwareversionsraden.
Ladda sedan upp den nya konverterade och sparade (utan modell & fw-version) till den nya enheten.
Väg 2: Konvertera till en annan brandvägg
Låt oss säga att vi har konfigurationen för Zywall310 och att vi vill konvertera vår konfiguration till en USG FLEX 100.
Steg 1) Konvertera till närmaste brandväggsserie
Zywall310(USG310)/ATP500 har en annan gränssnittsstruktur än USG FLEX 100 eftersom man har portar (ge1, ge2, ge3 etc.) istället för att antingen välja lan1 och tilldela detta till en port eller ett antal portar. Så här behöver vi göra lite manuellt arbete.
Eftersom USG FLEX 100 har 6 portar och Zywall310 har 8 portar. Vi måste ta bort ge7 och ge8 samt alla referenser till ge7 och ge8 genom att söka i konfigurationsfilen efter "ge7" och sedan "ge8"
Exempel på var man kan radera mappningskonfigurationen för ge7 och ge8:
När du har tagit bort alla referenser från de portar som inte finns på USG FLEX 100 kan du ladda upp den nya konfigurationsfilen som du har skapat och tillämpa konfigurationen.
Väg 3: Kopiera/klistra in konfigurationen manuellt
Väg 3.1: Ladda ner Notepad++
Gå till https://notepad-plus-plus.org/downloads/ och ladda ner och installera den senaste versionen av notepad++.
Väg 3.2: Installera pluginet "Jämför"
Navigera till
Plugins -> Plugins Admin
Sök sedan efter compare och klicka på "Installera" för att installera Compare-verktyget.
Sökväg 3.3: Öppna båda konfigurationsfilerna och starta jämförelseverktyget
Öppna båda konfigurationsfilerna (från den gamla USG310 och den nya USG FLEX 700)
Vita fält = samma konfiguration på båda
Röda fält = finns inte i den andra konfigurationsfilen
Gröna fält = nya saker som behöver kopieras till den andra konfigurationsfilen
4.1 Exempel att kopiera/klistra in
1. Ethernet-gränssnitt + VLAN
2. Användare / admin konfig
3. VPN-inställningar
4. Zoner
5. DNS och vidarebefordran av domänzon
6. NAT (Virtuell server & NAT)
7. Säker policy (brandväggsregler)
8. Policy för rutter
4.2 Saker att inte kopiera/klistra in
UTM-funktioner
Applikationspatrull som du kan se nedan, är olika syntaxer för de gamla brandväggarna och de nya brandväggarna
Certifikat
Certifikat är unika för brandväggarna och kan inte hittas i konfigurationsfilen. Det kommer dock fortfarande att hänvisas till dem i konfigurationsfilen. Därför kan det vara bra att vara medveten om referenserna här. Sök i konfigurationsfilens dokument för att hitta "cert"-referenserna.
När du är klar med kopieringen kör du compare-funktionen igen så ser du tydligare vad som har kopierats över och vad som inte har det.
5) Felsökning
I detta avsnitt följer några förklaringar av hur man felsöker och sedan exempel på fel som kan uppstå och hur man åtgärdar det.
När du laddar upp en ny konfigurationsfil till den nya brandväggen, kommer du förmodligen att behöva felsöka detta eftersom uppladdningen kommer att misslyckas. När du stöter på denna skärm:
Navigera till
Monitor -> Logs
Under Filter kan du filtrera loggarna på "File Manager" för att se alla poster som är relaterade till konfigurationsuppladdningen.
5.1 VARNING vs. FEL
Det du ska leta efter är ERROR-meddelanden som visas i rött. Var medveten om att VARNING-meddelanden inte är något att oroa sig för och är helt normala här.
När det misslyckas - åtgärda felet och ta bort konfigurationen som du just laddade upp och ladda upp den nya konfigurationen igen
5.2 Krypteringsfel
Om du får ett felmeddelande som säger "Data är krypterade" kan det vara så att du måste radera alla användarkonton (+ lösenord) eftersom krypteringen av lösenorden inte kan konverteras av den nya enheten.
5.3 Exempel på fel
Fel #1
Det här felet säger att det "associerade AAA-objektet inte finns", vilket innebär att något i AD-konfigurationen inte matchar den här referensen.
Lösning #1
Vi kunde se att SSL VPN-användarna hänvisade till AD-konfigurationen, där AD-konfigurationen togs bort före konverteringen, eftersom den inte användes längre. Så lösningen här var att ta bort SSL VPN-användarna i konfigurationen och ladda upp konfigurationsfilen igen.
Fel #2
Här kunde inte kommandot configure terminal account PPPoE GE14 konfigureras. Vad vi behöver göra är att söka (ctrl+f) i konfigurationsfilen efter GE14-kommandot som brandväggen försöker utföra.
Lösning #2
Här misslyckades det eftersom vi glömde att separera mellan "account pppoe" och "ip dhcp pool". Så vad vi behöver göra är att lägga till ett "!" mellan kommandona.
Fel #3
Vi såg ett fel "configure terminal interface_ether ge \x09\x09\x09\x09[...]", och när vi söker efter "interface_ether" kan vi inte hitta något i konfigurationsfilen. Så vi började söka efter gränssnitten i konfigurationsfilen.
Lösning #3
Efter att ha dubbelkollat gränssnittskonfigurationen kunde vi se att det var ett duplicerat adressobjekt på ge-gränssnitten som vi raderade. Så det duplicerade adressobjektet kan inte fungera eftersom namnet LAN_SUBNET_GE4 redan används
Fel #4
Vi kunde se att adressobjektet RFC1918_2 inte kunde skapas och exekveras.
Lösning #4
Efter några försök och fel fram och tillbaka upptäckte vi att adressobjekten här var på fel plats i konfigurationsfilen och ändrades till mellan adress-objekt och objektgruppadress
Fel #5
Vi hade ett problem med serviceobjektet som inte kunde skapas.
Lösning #5
När vi raderade de två serviceobjekten Any_UDP och Any_TCP kunde vi se att det tredje serviceobjektet inte kunde skapas, vilket visar att inget av serviceobjekten kunde skapas.
Lösningen här var att kontrollera om det kunde finnas ett "mellanslag" före eller efter "!" mellan adress6-objektet och service-objektet.