Upgrade von USG60 auf USG310

pit
pit Posts: 3
First Comment
edited April 2021 in Security

Da unser Netzwerk immer weiter wächst, möchten wir nun von einem USG60 (Next-Gen) auf ein USG310 (Next-Gen) umsteigen.

Allerdings musste ich feststellen, dass es offensichtlich nicht einfach ist, die Konfiguration des USG60 auf das USG310 zu übernehmen. Weder der Online Config Converter bietet eine Möglichkeit noch kann die config-Datei einfach in das USG310 übernommen werden.

Gibt es irgendeine möglichst einfache Variante in der ich die Einstellungen auf das neue USG übernehmen kann?

Comments

  • [Deleted User]
    [Deleted User] Posts: 213  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment

    Hallo @pit,

    ich habe dir hierzu mal eine Direktnachricht geschickt.

    Beste Grüße

    Lukas

  • [Deleted User]
    [Deleted User] Posts: 0  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment

    Hallo pit,

    du hast vermutlich bereits eine Direktnachricht von Lukas erhalten, ich möchte aber für die Öffentlichkeit einsehbar kurz erklären, warum es keine einfache Möglichkeit gibt, die Konfiguration von kleinen USGs auf die großen USGs zu übertragen:

    Einer der Hauptgründe, warum dies nicht ohne weiteres klappt, ist die Art und Weise, wie die USGs port-technisch bzw. Interface-technisch strukturiert sind: die USG20-VPN bis hoch zu den USG110 nutzen sogenannte Port-Rollen, um klare Zuweisungen bezüglich LAN-/bzw. WAN-Port zu ermöglichen. Dies vereinfacht die Trennung von Netzwerken in kleineren Topologien und ermöglicht eine intuitive Konfiguration der Geräte.

    Bei den größeren USGs hingegen gibt es nur reine Ethernet-Interfaces, benannt angefangen von ge1 hoch zu ge8 oder eben der maximalen Anzahl der Ports des jeweiligen Gerätes (ge1 = Port 1, ge2 = Port 2 etc. p.p.). Alle diese ge-Interfaces sind frei konfigurierbar und können vom Nutzer sowohl als LAN sowie als WAN-Port indidivuell zugeschnitten werden.

    Soweit die Theorie dahinter. Nun gibt es ein Problem: diese Art der Konfiguration wird auch in der startup-Konfiguration des Gerätes vermerkt.

    Hier beispielhaft die Konfiguration einer USG60 an meinem Platz:

    Man sieht hier, dass schon recht früh zu Beginn die Interfaces entsprechende Namen zugewiesen bekommen. Hier sieht man, dass im Hintergrund die USG60 auch mit GE-Interfaces arbeitet, allerdings kommt recht früh der nächste Schritt:

    Hier wird ein fixes Port-Grouping den Ports zugewiesen, und diese Funktion ist der maßgebliche Unterschied in der Konfiguration zwischen USG60 und USG310. Die USG hat kein solches Port-grouping ab Werk eingestellt, jeder Port kann frei konfiguriert werden. Man sieht auch, dass eine Port-Grouping Zuweisung von Port 1 und 2 gar nicht erfolgt ist - weil diese eben fix als WAN-Ports angelegt sind.

    Anschließend kommt der Block, in dem die Interfaces angelegt werden:

    Die Frage bleibt: kann ich trotzdem irgendwie die Konfiguration übertragen?

    Man kann jetzt sehr vorsichtig hingehen und einzelne Fragmente der Konfiguration lösen und versuchen, in die USG310 zu übertragen - allerdings ist dies nicht zu empfehlen, da man sehr genau wissen muss, was man tut und wie die USG genau funktioniert, um keinen größeren Schaden anzurichten. Jeder Versuch, dies in diesem Thread zu erklären, würde den Rahmen sprengen. Die Gefahr, die größere USG aufgrund von falscher "Brute-Force"-Konfiguration unbrauchbar zu machen, ist hingegen extrem groß.

    Ebenfalls werden Szenarien, in denen Scripting vom Endnutzer selber angewandt werden und zu Schaden führen, nur begrenzt vom Support behandelt werden können.

    Ich weiss leider nicht um deinen aktuellen Fall, @pit , und ggfs. konnte eine Lösung gefunden werden, hoffe aber generell ein bisschen Einblick geben zu können, warum wir tendenziell zu derartigen Konfigurationskonvertierungen abraten.


    Beste Grüße

    Phil

  • koarl
    koarl Posts: 1
    Hallo!

    Ich häng mich hier mal an.
    Wie sieht es mit der Config zwischen den kleine USG aus?

    Konkret geht es zwischen einer USG20 und USG60 -
    kann man da die Config einfach exportieren und importieren?
    In beide Richtungen?

    Danke!

    Koarl

Security Highlight