Zyxel USG FLEX H Series [HA] - Настройка на устройство за висока наличност (HA PRO)

Решението Device HA (High Availability) (HA PRO) гарантира непрекъсната мрежова свързаност, като използва двойка защитни стени, фигуративно подредени в активно-пасивна конфигурация. В тази конфигурация активната защитна стена обработва трафика при нормални условия, докато пасивната защитна стена остава в режим на готовност. В случай на повреда на активното устройство пасивното устройство автоматично поема функциите на активна защитна стена в рамките на няколко секунди, като осигурява минимални смущения и поддържа безпроблемна работа на мрежата.

Въведение на устройството Висока наличност

• Пускане в действие и работеща конфигурация
• Подписи
• Преглед на устройството
• Списък с външни блокове
• Записи на DHCP лизинг
• Двуфакторно удостоверяване на автентичността
• Сертификати
• Лицензи, включително NCC, ако е приложимо
• Време на устройството Zyxel

Изискване

• Устройството HA изисква същия модел защитна стена и трябва да инсталира същата версия на фърмуера.
• И двете устройства трябва да са регистрирани в една и съща организация.

Забележка: Когато конфигурирате висока наличност (HA) на устройства от серията USG FLEX H, е важно и двете устройства да са регистрирани в една и съща организация.
Активното устройство трябва да бъде назначено на главния сайт, където са разположени другите ви устройства.
Пасивното устройство може да бъде присвоено към допълнителен сайт или да бъде регистрирано в организацията без присвояване на сайт - това не влияе на функционалността на HA Pro.

Роли на първично и вторично устройство

• Ролите на първичните и вторичните устройства се определят преди внедряването и остават непроменени по време на работата на устройството.
• Състоянията в активен и пасивен режим могат да се променят динамично по време на преминаване към отказ.

Забележка: След приключване на синхронизацията на HA пасивното устройство автоматично се отстранява от своя сайт (ако преди това е било назначено). Можете ръчно да изтриете вече празния сайт, тъй като той вече не е необходим след процеса на сдвояване. Важно: Не премахвайте пасивното устройство от организацията, тъй като това ще прекъсне синхронизацията между активните и пасивните устройства.

Порт за сърдечен ритъм

• Специален порт за сърдечен ритъм с директна връзка между устройствата за взаимно наблюдение на състоянието им
• Портът за сърдечна връзка за всеки модел е предварително дефиниран

Предпоставки за HA на устройството

• Уверете се, че и основното, и вторичното устройство отговарят на следните изисквания:

1. Един и същ модел - и двете трябва да са USG FLEX 200H; не се поддържат различни модели (напр. 200H срещу 200HP).
2. Еднакъв фърмуер - Трябва да се използва една и съща версия (uOS 1.31 или по-нова).
3. Една и съща организация Nebula - И двете устройства трябва да са регистрирани в една и съща организация.
   • Присвояване на първичния на обект 1
   • Присвояване на вторичния на обект 2

Забележка: Силно препоръчително е стъпките за регистрация на устройството в Nebula да бъдат завършени преди сдвояването на HA.

• Активирайте SSH - SSH трябва да бъде активирано и на двете устройства (System (Система) > SSH (SSH)), като се използва порт 22 за синхронизиране на Device HA.
• IP подмрежа за управление - Поддържа се само 255.255.255.0.

Настройка на Device HA

Забележка: По време на първоначалната настройка на HA, основното (активно) устройство трябва да има активна интернет връзка.
Интернет връзката е необходима, за да се завърши регистрацията на устройството, да се извлече основната информация за услугите и лицензите и да се извърши пълна синхронизация на конфигурацията и лицензите с вторичното устройство. Вторичното (резервно) устройство не се нуждае от директен достъп до интернет по време на процеса на HA настройка, тъй като всички необходими данни се репликират от основното устройство.

При първото инициализиране на устройството, ако планирате да използвате HA Pro, трябва да изберете "Web Configurator

За да настроите функцията HA на устройството, моля, влезте в уеб интерфейса на защитните стени Zyxel и преминете към:

Настройте Device HA на активното устройство Zyxel в System (Система) > Device HA (Устройство HA) > HA Configuration (Конфигуриране на HA). 

Изберете отговорно типа на Mac адреса, тъй като тази настройка не може да бъде променена, след като HA е активирана. За да направите допълнителни промени, ще трябва да деактивирате HA, да направите промените и след това да настроите HA отново.

Проверете дневника на HA на активното устройство Zyxel в System (Система) > Device HA (Устройство) > HA Log (Дневник на HA)

Конфигурирайте HA на пасивното устройство Zyxel в System (Система) > Device HA (Устройство HA) > HA Configuration (Конфигуриране на HA).

Enable (Активиране) - HA Configuration (Конфигурация на HA) (На този етап не се изискват допълнителни действия. След като активирате HA на пасивното устройство, прекъснете всички мрежови връзки от него, след което свържете кабела за сърдечен ритъм от активното устройство към пасивното устройство).

Предупреждение ВАЖНО: Активирането на висока наличност (HA) на вторичното устройство ще:
- WAN/LAN портовете на устройството ще се свържат.
- Излезте от текущата уеб сесия на графичния потребителски интерфейс

Свържете Ethernet кабела за сърдечен ритъм между активното и пасивното устройство Zyxel.

Проверете състоянието на HA на активното и пасивното устройство Zyxel в System (Система) > Device HA (Устройство HA) > HA Status (Състояние на HA).

Проверете регистрите на активното устройство Zyxel в System (Система) > Device HA (Устройство HA) > HA Log (Регистър на HA).

Успешно преминаване към отказ - дневник

Обработка на грешки

Защитната стена ще открие, ако фърмуерът или моделът на устройството е различен

Състояние на неуспешно сдвояване: Не може да получи правилно MAC/SN от сертификата Регистрацията на устройството е неуспешна Открито е несъответствие между фърмуера или модела на устройството Устройствата принадлежат на различни организации Несъответствие в собствеността на устройството Устройството не е разпределено към сайт

Пример 1: Как да проверите състоянието HA на устройството

usgflex500h> show state vrf main device-ha status status enabled true pairing-state paired pairing-msg Paired ha-health-state connected local-state passive local-role primary active role secondary sn S212L4029XXXX icon-color on .. passive role primary sn S212L4029XXXX icon-color on .. ...

usgflex500h> show state vrf main device-ha summary summary summary last-failover-epoch 1735296426 last-failover-reason "Monitor interface link down" last-sync-epoch 1735296121 last-sync-status Success ..

Пример 2: Налагане на пълна синхронизация

[Активно]

usgflex500h> cmd device-ha force-sync full OKusgflex500h>

[Пасивна]

usgflex500h> cmd device-ha force-sync full Тази команда може да се използва само на активно устройство.

Пример 3: Как да проверите състоянието на синхронизация?

[Пасивен]

usgflex700h> show state vrf main device-ha _debug sync-info sync-info op-state passive msg "[Full sync(1024)] Received file sync event." date 2024/12/30-11:13:37 .. sync-info op-state passive msg "[Full sync(1024)] Full sync start..." дата 2024/12/30-11:13:37 ... sync-info op-state passive msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..." дата 2024/12/30-11:13:37 ... sync-info op-state passive cert_neoagent.tar.bz2 download success!" дата 2024/12/30-11:13:37 ...

Моля, обърнете внимание:
uOS 1.31 не позволява на потребителите да прилагат конфигурация в GUI, CLI и NCC live tool, когато устройството е сдвоено.
Причината е, че се избягва прилагането на конфигурация, когато HA не е активиран.