Zyxel USG FLEX H Series [HA] - Настройка на устройство за висока наличност (HA PRO)

Създаден - Обновено
Serhii Boiarynov
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Решението Device HA (High Availability) (HA PRO) гарантира непрекъсната мрежова свързаност, като използва двойка защитни стени, фигуративно подредени в активно-пасивна конфигурация. В тази конфигурация активната защитна стена обработва трафика при нормални условия, докато пасивната защитна стена остава в режим на готовност. В случай на повреда на активното устройство пасивното устройство автоматично поема функциите на активна защитна стена в рамките на няколко секунди, като осигурява минимални смущения и поддържа безпроблемна работа на мрежата.

Въведение на устройството Висока наличност

Следните функции могат да бъдат прехвърлени към вторичното устройство Zyxel, когато то стане активно, използвайки Device HA:
  • Пускане в действие и работеща конфигурация
  • Подписи
  • Преглед на устройството
  • Списък с външни блокове
  • Записи на DHCP лизинг
  • Двуфакторно удостоверяване на автентичността
  • Сертификати
  • Лицензи, включително NCC, ако е приложимо
  • Време на устройството Zyxel

Изискване

  • Устройството HA изисква същия модел защитна стена и трябва да инсталира същата версия на фърмуера.
  • И двете устройства трябва да са регистрирани в една и съща организация.
Версия на фърмуера Поддръжка Сдвоен модел
От 1.31 USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Роли на първично и вторично устройство

  • Ролите на първичните и вторичните устройства се определят преди внедряването и остават непроменени по време на работата на устройството.
  • Състоянията в активен и пасивен режим могат да се променят динамично по време на преминаване към отказ.

Heartbeat Port

HA на устройството използва специална връзка за сърдечен ритъм между активно и пасивно устройство за синхронизиране на състоянието и за задействане на преминаване към отказ и възстановяване на пасивното устройство, ако активното устройство не реагира. На пасивното устройство всички портове са деактивирани, с изключение на порта с връзката за сърдечен ритъм.
В следващия пример Zyxel Device A е активното устройство, което е свързано с пасивното устройство Zyxel Device B чрез специална връзка, която се използва за контрол на сърдечния ритъм, синхронизиране на конфигурацията и отстраняване на неизправности. Всички връзки на Zyxel Device B са изключени, с изключение на специалната връзка за сърдечен контрол.
  • Специален порт за сърдечен ритъм с директна връзка между устройствата за взаимно наблюдение на състоянието им
  • Портът за сърдечна връзка за всеки модел е предварително дефиниран

Предпоставки за HA на устройството

  • Уверете се, че и основното, и вторичното устройство отговарят на следните изисквания:
  1. Един и същ модел - и двете трябва да са USG FLEX 200H; не се поддържат различни модели (напр. 200H срещу 200HP).
  2. Еднакъв фърмуер - Трябва да се използва една и съща версия (uOS 1.31 или по-нова).
  3. Една и съща организация Nebula - И двете устройства трябва да са регистрирани в една и съща организация.
    • Присвояване на първичния на обект 1
    • Присвояване на вторичния на обект 2

Забележка: Силно препоръчително е стъпките за регистрация на устройството в Nebula да бъдат завършени преди сдвояването на HA.

  • Активирайте SSH - SSH трябва да бъде активирано и на двете устройства (System (Система) > SSH (SSH)), като се използва порт 22 за синхронизиране на Device HA.
  • IP подмрежа за управление - Поддържа се само 255.255.255.0.

Настройка на Device HA

За да настроите функцията Device HA, моля, влезте в уеб интерфейса на защитните стени Zyxel и преминете към:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Изберете отговорно типа на Mac адреса, тъй като тази настройка не може да бъде променена, след като HA е активирана. За да направите допълнителни промени, ще трябва да деактивирате HA, да направите промените и след това да настроите HA отново.

Проверете състоянието на HA в System > Device HA > HA Status

Проверете дневника на HA на активното устройство Zyxel в System (Система) > Device HA (Устройство) > HA Log (Дневник на HA)

Конфигурирайте HA на пасивното устройство Zyxel в System (Система) > Device HA (Устройство HA) > HA Configuration (Конфигуриране на HA).

Enable (Активиране) - HA Configuration (Конфигурация на HA) (На този етап не се изискват допълнителни действия. След като активирате HA на пасивното устройство, изключете всички мрежови връзки от него, след което свържете кабела за сърдечен ритъм от активното устройство към пасивното устройство).

Предупреждение ВАЖНО: Активирането на висока наличност (HA) на вторичното устройство ще:
- WAN/LAN портовете на устройството ще се изключат.
- Излезте от текущата уеб сесия на графичния потребителски интерфейс

Свържете Ethernet кабела за сърдечен ритъм между активното и пасивното устройство Zyxel.

Проверете състоянието на HA на активните и пасивните устройства Zyxel в System (Система) > Device HA (Устройства) > HA Status (Състояние на HA).

Проверете регистрите на активното устройство Zyxel в System (Система) > Device HA (Устройство HA) > HA Log (Регистър на HA).

Когато влезете в устройство Zyxel след сдвояване на Device HA, ще видите банер, който показва дали сте влезли в активното или пасивното устройство Zyxel.

Успешно преминаване към отказ - дневник

Обработка на грешки

Защитната стена ще открие, ако фърмуерът или моделът на устройството е различен

 Състояние на неуспешно сдвояване:
  • Не може да получи правилно MAC/SN от сертификата
  • Регистрацията на устройството е неуспешна
  • Открито е несъответствие между фърмуера или модела на устройството
  • Устройствата принадлежат на различни организации
  • Несъответствие в собствеността на устройството
  • Устройството не е разпределено към сайт

Пример 1: Как да проверите състоянието HA на устройството

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Пример 2: Налагане на пълна синхронизация

[Активно]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Пасивно]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Пример 3: Как да проверите състоянието на синхронизация?

[Пасивно]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Моля, обърнете внимание:
uOS 1.31 не позволява на потребителите да прилагат конфигурация в GUI, CLI и NCC live tool, когато устройството е сдвоено
Причината е, че се избягва прилагането на конфигурация, когато HA не е активиран.


Статии в този раздел

Беше ли полезна тази статия?
0 от 0 считат материала за полезен
Споделяне