Firewall Висока наличност HA Pro - Конфигуриране на устройство HA Pro

Създаден - Обновено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Device HA Pro е услуга, която се използва за осигуряване на мрежова излишност с цел намаляване на потенциалното време на престой и не изисква допълнителни лицензи за активиране на тази услуга. Освен това, Device HA Pro синхронизира конфигурационния файл, времето на работа на устройството, TCP сесиите (IPv4/IPv6), IPSec VPN сесиите, информацията за входно/изходните операции, DHCP таблицата, IP/MAC Binding таблицата и състоянието на лиценза. Устройството, свързано с инсталацията на Device HA Pro, ще играе активна или пасивна роля. Активното устройство ще получава всички промени в конфигурацията, направени в настройката, и ще бъде отговорно за изпращане на информацията към пасивното устройство. Устройството, което приема пасивната роля, ще получава конфигурационни промени от активното устройство и ще поеме активната роля, ако текущото активно устройство е в едно от следните състояния.

Важно: Двете устройства трябва да са от един и същ модел и регистрирани в един и същ акаунт в myZyxel.com. Лицензите трябва да бъдат прехвърлени на активното устройство. Когато активният firewall се повреди, всеки лиценз автоматично ще бъде прехвърлен на пасивния firewall.

Преди да конфигурирате Device HA Pro, е важно да направите следното.

  1. Пасивното устройство трябва ДА ИМА СВЪРЗАН САМО компютър с достъп до Web GUI и без кабел за heartbeat от началото.
  2. Пасивното устройство трябва да бъде РЕСЕТНАТО и да има същия фърмуер като активното устройство преди да се извърши конфигурацията на HA Pro.
  3. Пасивният firewall трябва да бъде регистриран в MyZyxel.
  4. Изчакайте светлинният индикатор sys да мига (пасивно състояние), преди да свържете останалите кабели.
  5. При успешна конфигурация на HA Pro, не трябва да има прекъсване на работата при сдвояване на устройствата.
  6. Съответствайте версиите на фърмуера и на двете устройства – Първо устройство и Второ устройство, във всички дялове.

Какво може да се обърка? Защо не виждам правилния статус на лиценза от сървъра myzyxel.com?
В настройките на Device-HA Pro има функция „Сериен номер на лицензирането устройство за синхронизация на лицензи“. Трябва да въведете серийния номер на устройството, което притежава лицензите. Така можете да прехвърлите всички лицензи към „Активното“ устройство, като въведете серийния номер на това устройство в полето.

Забележка: Вграденият по подразбиране едногодишен лиценз Gold Security Pack за ATP шлюзове не подлежи на прехвърляне. За внедряване на Device HA, моля свържете се с поддръжката на Zyxel във вашата страна/регион, за да ви помогнат с прехвърлянето на лицензите. Лицензът 

Как да се свържете с екипа за поддръжка за прехвърляне на лиценз, вижте тук: Как да се свържете с екипа за поддръжка?

Обзор

Функцията Device HA действа като резервен механизъм при повреда на един от firewall-ите в мрежата или при загуба на достъп до интернет. В Device HA Pro е добавен „heartbeat link“ за наблюдение на състоянието на интерфейсите и синхронизация на настройките.

Untitled.png

 

Настройка на активно устройство

За да настроите функцията Device HA Pro, моля влезте в уеб интерфейса на Zyxel firewall и отидете на:

Configuration -> Device HA -> Device HA Pro

Последният физически RJ45 порт на Zyxel firewall е портът за управление на Device HA (Heartbeat Port). Моля, уверете се, че този порт не е част от LAG, VLAN или мостов интерфейс.

Стъпки:
• Премахнете отметката от опцията „Enable Configuration Provisioning From Active Device“.
• Проверете дали серийният номер е този на основното устройство.
• Задайте IP адрес за Активното устройство. (Трябва да е адрес, който не се използва от нито един от текущите ви интерфейси)
• Задайте IP адрес за Пасивното устройство. (в същата подсекция като горния)
• Задайте маска на подсекцията.
• Създайте парола за синхронизация.
• Изберете мониторинг интерфейсите от наличния списък и ги преместете в списъка с членове.
• Конфигурирайте желаните настройки за откриване на отказ.
• Натиснете бутона „Apply & switch to Device HA Pro“.

Отидете отново в раздела Device HA, за да активирате функцията Device HA на активния firewall.
• Проверете дали режимът Device HA е зададен на „Device HA Pro“.
• Поставете отметка на „Enable Device HA“.
• Натиснете бутона „Apply“ в долната част на екрана, за да запазите настройките.

Настройка на пасивно устройство

Забележка! Свържете компютъра си само към пасивния firewall при конфигуриране на HA Pro. След като конфигурирате HA Pro и имате същия фърмуер като активното устройство, тогава можете да свържете кабела за heartbeat (САМО!). След като устройството се стартира и видите светлинния индикатор SYS и само светлината на порта за heartbeat да свети, можете да свържете останалите портове.
За да конфигурирате пасивното устройство, свържете компютъра си към втория Zyxel firewall и достъпете уеб интерфейса

 Configuration -> Device HA -> Device HA Pro

• Уверете се, че опцията „Enable Configuration Provisioning From Active Device“ е отметната.
• Проверете дали режимът Device HA е зададен на „Device HA Pro“.
• Поставете отметка на „Enable Device HA“.
• Натиснете бутона „Apply“ в долната част на екрана, за да запазите настройките.

Свържете Ethernet кабел към Heartbeat порта (последния физически порт) на двете устройства и изчакайте около 5 минути за синхронизация на всички настройки. В този момент функцията Device HA Pro е конфигурирана и всички промени, направени на основния (активен) firewall, ще се синхронизират с вторичния (пасивен) firewall.

Забележка: Моля, уверете се, че е активирана опцията „Connectivity Check“ за WAN връзките. Активирането на тази опция позволява на Zyxel firewall да тества достъпа до интернет и да превключи към вторичната интернет връзка на пасивното устройство, ако активното устройство загуби връзка.

За режим On-Premises с активирана функция Висока наличност (HA), моля, НЕ използвайте ъпгрейд на фърмуера чрез облака. Ще трябва да следвате различна процедура за завършване на ъпгрейда на фърмуера; моля, прочетете SOP. * Приложими модели и версии: USG FLEX 500/700, ATP500/700/800 с ZLD5.20 до ZLD5.21 Patch1. 

Съвети за отстраняване на проблеми

1. Синхронизацията може да се провали с посочените съобщения на пасивното устройство

Синхронизацията се проваля със следните съобщения на пасивното устройство:
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Device HA Sync has filed when syncing Firmware Version due to bad 'Sync From' or 'Sync Port'.

Възможна причина може да е, че FTP услугата на Активното устройство има някакви ограничения, поради което Пасивното устройство не може да осъществи достъп.

Пример за неправилна настройка:

2. Устройствата не се синхронизират

  • Уверете се, че и двете устройства работят с една и съща версия на фърмуера. И двете трябва да използват една и съща версия на фърмуера, за да се синхронизират.
  • Уверете се, че и двете устройства работят с един и същ фърмуерен банк/слот. Ако основното устройство работи с фърмуерен слот 1, а слот 2 е в режим на готовност, второто устройство също трябва да работи със слот 1, а слот 2 да е в режим на готовност.
  • Уверете се, че само Heartbeat портът (последният RJ46 порт на устройството [например P7]) е свързан с основното устройство през първите 5 минути след активиране на функцията Device HA Pro. Ако и двете устройства са свързани към активна мрежа едновременно, това може да причини проблеми с маршрутизацията, цикли и сблъсъци, които влияят на мрежата.

 3. Не може да се осъществи достъп до пасивното устройство

  1.  
    • Моля, уверете се, че устройствата са приключили със синхронизацията. Първоначалният процес на синхронизация може да отнеме до 5 минути.
    • Използвайте IP адреса, който сте конфигурирали в менюто Device HA Pro за „Passive Device Management IP“.

4. Направих промени на пасивното устройство, но те не се синхронизират с главното.

  •  
    • След като Device HA Pro е конфигуриран, всички промени в мрежовата конфигурация трябва да се правят на главното/първичното устройство. Пасивното устройство е само подчинено и направените тук промени няма да се приложат към главното/първичното устройство.

5. Лицензът/услугата SecuReporter е активна на firewall-а, но устройството не може да бъде намерено в SecuReporter

  •  
    • Когато главното устройство е преминало в пасивен режим и след това лицензът SecuReporter е активиран, може да изпитате, че лицензът не се синхронизира в SecuReporter, въпреки че в GUI на firewall-а пише „активен/активиран“. Трябва да направите първичното устройство отново активно, след това да премахнете устройството и организацията в SecuReporter и да реактивирате услугата SecuReporter на първичното устройство.

 

Има и други проблеми, моля направете повторна инсталация на Device HA Pro, вижте тук Device HA Pro повторна инсталация

 

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
2 от 3 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.