Zyxel Firewal H Series [uOS] - Висока наличност на устройството (HA PRO)

Създаден 23 януари, 2025 12:41 - Обновено 14 април, 2025 14:40

Serhii Boiarynov

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Решението HA (High Availability) на устройството (HA PRO) гарантира непрекъсната мрежова свързаност чрез използване на двойка защитни стени, конфигурирани в активно-пасивна настройка. В тази конфигурация активната защитна стена обработва трафика при нормални условия, докато пасивната защитна стена остава в режим на готовност. В случай на повреда на активното устройство пасивното устройство автоматично поема функциите на активна защитна стена в рамките на няколко секунди, като осигурява минимални смущения и поддържа безпроблемна работа на мрежата.

Въведение на устройството Висока наличност

Следните функции могат да бъдат прехвърлени към вторичното устройство Zyxel, когато то стане активно, използвайки Device HA:

Пускане в действие и работеща конфигурация
Подписи
Преглед на устройството
Списък с външни блокове
Записи на DHCP лизинг
Двуфакторно удостоверяване на автентичността
Сертификати
Лицензи, включително NCC, ако е приложимо
Време на устройството Zyxel

Изискване

Устройството HA изисква същия модел защитна стена и трябва да инсталира същата версия на фърмуера.
И двете устройства трябва да са регистрирани в една и съща организация.

Версия на фърмуера	Поддръжка Сдвоен модел
От 1.31	USG FLEX 200H	USG FLEX 200H
	USG FLEX 200HP	USG FLEX 200HP
	USG FLEX 500H	USG FLEX 500H
	USG FLEX 700H	USG FLEX 700H

Роли на първично и вторично устройство

Ролите на първичните и вторичните устройства се определят преди внедряването и остават непроменени по време на работата на устройството.
Състоянията в активен и пасивен режим могат да се променят динамично по време на преминаване към отказ.

Heartbeat Port

HA на устройството използва специална връзка за сърдечен ритъм между активно и пасивно устройство за синхронизиране на състоянието и за задействане на преминаване към отказ и възстановяване на пасивното устройство, ако активното устройство не реагира. На пасивното устройство всички портове са деактивирани, с изключение на порта с връзката за сърдечен ритъм.

В следващия пример Zyxel Device A е активното устройство, което е свързано с пасивното устройство Zyxel Device B чрез специална връзка, която се използва за контрол на сърдечния ритъм, синхронизиране на конфигурацията и отстраняване на неизправности. Всички връзки на Zyxel Device B са изключени, с изключение на специалната връзка за сърдечен контрол.

Специален порт за сърдечен ритъм с директна връзка между устройствата за взаимно наблюдение на състоянието им
Портът за сърдечна връзка за всеки модел е предварително дефиниран

Подготовка наHA устройството

Обновяване на фърмуера на сдвоените устройства Zyxel

Първо, надстройте фърмуера на пасивното устройство.
След обновяването пасивното устройство става активно и обработва целия трафик по време на обновяването на фърмуера.
След това фърмуерът се обновява на пасивното основно устройство.
След като надграждането на фърмуера и на двете устройства Zyxel приключи, основното устройство става активно.

Подготовка за внедряване на HA устройство

Уверете се, че пасивното устройство Zyxel е офлайн, след което активирайте Device HA в System (Система) > Device HA (Устройство HA) > HA Configuration (Конфигуриране на HA) в активното устройство Zyxel.
IP адресите за управление на активните и пасивните устройства Zyxel трябва да са в една и съща подмрежа.
Уверете се, че услугата SSH в System (Система) > SSH е активирана и на двете устройства Zyxel. SFTP (Secure File Transfer Protocol) прехвърля файлове от активното към пасивното устройство Zyxel.
Свържете пасивното устройство Zyxel към активното устройство Zyxel, като използвате портовете за сърдечна връзка. Това са медните Ethernet портове с най-висок номер на устройствата Zyxel - вижте Device HA Heartbeat Ports (Портове за сърдечен ритъм на устройствата).
Ако и двете устройства Zyxel са включени едновременно с активирана функция Device HA, те могат да изпращат сърдечен сигнал едновременно. В този случай устройството Zyxel с роля Primary (Контролер на лиценза ) става активно устройство Zyxel.

Използване на NCC за управление на Device HA

Трябва да регистрирате и двете устройства Zyxel в NCC, т.е. и двете трябва да принадлежат на организация. Пасивното устройство Zyxel ще бъде регистрирано автоматично в NCC, ако вече не е регистрирано в NCC.
И двете устройства Zyxel трябва да са в една и съща организация и да са регистрирани в един и същи акаунт.
Пасивното устройство Zyxel се премахва от сайта на NCC, след като свърши сдвояването на Device HA, тъй като сайтът в NCC може да има само една защитна стена Zyxel Device (към момента на писане на статията).
NCC автоматично изпраща имейл, за да уведоми потребителите, когато устройствата Zyxel са сдвоени с прехвърлени лицензи.

Настройка на Device HA

За да настроите функцията Device HA, моля, влезте в уеб интерфейса на защитните стени Zyxel и преминете към:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Проверете състоянието на HA в System (Система) > Device HA (Устройство HA) > HA Status (Състояние на HA)

Проверете дневника на HA на активното устройство Zyxel в System > Device HA > HA Log

Конфигурирайте Device HA на пасивното устройство Zyxel в System > Device HA > HA Configuration.

Свържете Ethernet кабела за сърдечен ритъм между активното и пасивното устройство Zyxel.

Проверете състоянието на HA на активното и пасивното устройство Zyxel в System > Device HA > HA Status.

Проверете регистрите на активното устройство Zyxel в System > Device HA > HA Log (Система > Устройство HA > Регистър на HA).

Когато влезете в устройство Zyxel след сдвояване на Device HA, ще видите банер, който показва дали сте влезли в активното или пасивното устройство Zyxel.

Успешно преминаване към отказ - дневник

Обработка на грешки

Защитната стена ще открие, ако фърмуерът или моделът на устройството е различен

Пример 1: Как да проверите състоянието HA на устройството

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..

usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Пример 2: Налагане на пълна синхронизация

[Активно]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Пасивно]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Пример 3: Как да проверите състоянието на синхронизация?

[Пасивно]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Моля, обърнете внимание:
uOS 1.31 не позволява на потребителите да прилагат конфигурация в GUI, CLI и NCC live tool, когато устройството е сдвоено.
Причината е, че се избягва прилагането на конфигурация, когато HA не е активиран.

Статии в този раздел

Вижте още