Uppdatering av Zyxel USG FLEX-, ATP- och VPN-enheter från mycket gamla firmwareversioner

Denna artikel beskriver en rekommenderad och säker metod för att uppdatera Zyxel USG FLEX-, ATP- och VPN-enheter som inte har uppdaterats på länge och som för närvarande kör mycket gamla firmwareversioner. Artikeln fokuserar specifikt på komplexa uppgraderingsscenarier som involverar föråldrad firmware, där en direkt uppgradering till den senaste versionen kan resultera i fel, förlust av konfiguration eller instabilt systembeteende.

Syftet med artikeln

• Att beskriva en säker och rekommenderad metod för uppgradering från mycket gamla firmwareversioner till aktuella versioner.

• Att belysa riskerna med att utföra en direkt uppgradering utan mellanliggande steg.

• Förklara hur man undviker att konfigurationen skadas eller går förlorad under uppgraderingsprocessen.

• Att ge en översikt över firmware-grenens historik för varje enhetsproduktlinje.

Firmwareversionens historik

Nedan följer en allmän historik över firmwareversioner som används för att planera en korrekt och säker uppgraderingsväg.

USG FLEX: V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

ATP: V4 .32 → V4.33 → V4.35 → V4.50 → V4.55 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.32 → V5.35 → V5.36 → V5.37 → V5.38 → V5.39 → V5.40 → V5.41

VPN: V4 .35 → V4.39 → V4.60 → V4.62 → V5.00 → V5.01 → V5.02 → V5.10 → V5.20 → V5.21 → V5.30 → V5.31 → V5.32 → V5.35 → V5.36 → V5.37

Rekommendation:
VPN-enheter är särskilt känsliga vid uppgradering från mycket gamla firmwareversioner, eftersom ändringar av IPsec- och SSL VPN-funktionaliteten har ackumulerats över flera grenar.

Hur avgör jag vilken firmware jag ska använda innan jag uppgraderar till den senaste firmwareversionen? 

Denna information finns i firmware-release notes (endast tillgängliga på engelska). De flesta, om inte alla, firmware-release notes innehåller ett avsnitt med rub r iken ”Read Me First” som lyfter fram viktiga anmärkningar och överväganden som är specifika för den firmwareversionen.

Läs först

I dessa avsnitt ”Läs först” hittar du information om den minsta firmwareversion som måste installeras innan du tillämpar den firmwareversion som beskrivs i release notes. Följande är ett exempel från USG FLEX 500 ZLD5.38C0 release notes:

Ytterligare överväganden

När du uppgraderar firmware – särskilt på fjärrstyrda enheter – finns det en risk att en äldre konfiguration inte är helt kompatibel med den nya firmwareversionen.

Om detta inträffar kan enheten försöka starta om flera gånger för att tillämpa den befintliga startkonfigurationen. Om detta misslyckas återgår den automatiskt till systemets standardkonfiguration som en säkerhetsåtgärd. Detta kan leda till avbrott i tjänsten, särskilt om det inte finns någon tillgång till hjälp på plats.

När du uppgraderar en enhet från en mycket gammal firmwareversion finns det en ökad risk för kompatibilitetsproblem med konfigurationen under omstartsprocessen. För att minimera denna risk rekommenderar Zyxel starkt att du vidtar de förebyggande åtgärder som beskrivs nedan innan du påbörjar firmwareuppgraderingen, eftersom detta avsevärt förbättrar chanserna för en smidig och lyckad uppdatering.

Samma procedur rekommenderas även vid nedgradering av firmware eller vid installation av en veckovis (bugfix) firmware, samt vid fjärruppgraderingar, där liknande risker kan förekomma.

Hur kan detta undvikas från början?

När du tillämpar en konfiguration får du vanligtvis olika återställningsalternativ – med andra ord: Enheten frågar ”Vad ska jag göra om jag upptäcker att den konfiguration du vill tillämpa på något sätt är skadad?”

Som standard är enheten inställd på ”Avbryt omedelbart tillämpningen av konfigurationsfilen och återställ till föregående konfiguration.” I de flesta fall fungerar detta som förväntat. Om systemet återigen tolkar vissa konfigurationsposter som problematiska kan dock återställningsprocessen misslyckas. I sådana situationer kan enheten återgå till systemets standardkonfiguration som en självskyddsmekanism.

Av denna anledning rekommenderar Zyxel att du väljer det tredje återställningsalternativet, ”Ignorera fel och slutför tillämpningen av konfigurationsfilen”, när du tillämpar en konfiguration i samband med en uppgradering av firmware från en mycket gammal version. 

Med detta alternativ bearbetar enheten konfigurationen rad för rad, hoppar över endast de problematiska posterna och slutför konfigurationsladdningen. Alla ignorerade eller misslyckade poster registreras i övervakningsloggarna, så att administratörer kan granska och åtgärda dem i efterhand.

Monitor > Loggar

Setenv-skript

Under en firmwareuppgradering är det inte möjligt att manuellt välja återställningsbeteendet för att tillämpa startkonfigurationen vid omstart. För att hantera denna begränsning tillhandahåller Zyxel ett litet hjälpscript, som vanligtvis kallas ”setenv-script” av supporten.

Du kan ändra hur filen startup-config.conf tillämpas. Inkludera kommandot setenv-startup stopon-error off. Zyxel-enheten ignorerar eventuella fel i filen startup-config.conf och tillämpar alla giltiga kommandon. Zyxel-enheten genererar fortfarande en logg för eventuella fel.

CLI-kommandon som den skriver in i enheten när den tillämpas:

1. Ladda ner setenv.zip

2. Ladda upp och tillämpa skriptet via
   Underhåll → Filhanterare → Shell-skript

3. Skapa en säkerhetskopia av konfigurationen (både lokalt och på enheten).

4. Fortsätt med den nödvändiga uppgraderingen eller nedgraderingen av firmware.

Obs! Även om denna procedur anses säker och avsevärt minskar risken för konfigurationsförlust, kan oväntade problem fortfarande uppstå i sällsynta fall. När det är möjligt bör firmwareuppgraderingar utföras med åtkomst på plats. Allt onormalt beteende bör rapporteras till Zyxel Support för vidare utredning.