Firewall High Availability HA Pro - Преинсталиране на Device HA Pro

Създаден - Обновено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Тази статия предоставя насоки за преинсталиране на HA-Pro, когато не функционира правилно, често поради неправилни фърмуер слотове или различни версии на фърмуера. Подчертава необходимостта и двата устройства в Device HA Pro конфигурацията да са от един и същи модел, регистрирани под един и същ акаунт в myZyxel.com и да имат синхронизирани лицензи. Статията описва стъпки за основна настройка, инсталиране на първото и второто устройство, проверка на статуса и тестване на превключване при отказ. Обсъжда също важността от осигуряване на съответствие на фърмуера и предоставя съвети за отстраняване на проблеми със синхронизацията. За подробна помощ при настройката, потребителите са насочени към професионалните услуги на Zyxel.

Основна настройка - Device HA Pro.

Топология (DeviceHA-Pro)

mceclip1.png

В Device HA Pro е добавена „heartbeat връзка“ за наблюдение на статуса на интерфейса и синхронизиране на настройките.

Поведението на Device HA Pro включва heartbeat връзка за наблюдение на статуса на интерфейса на „активното“ устройство. Ако един от наблюдаваните интерфейси е прекъснат или неуспешен, статусът на „пасивното“ устройство ще стане „активен“. (Това означава, че само 1 устройство може да има статус „активен“ в даден момент.)

Heartbeat връзка
Heartbeat портът е нов физически порт на устройството (фиксиран във фърмуера на последния порт на поддържаното HA-Pro устройство). След като активирате Device HA Pro, устройствата ще предават мултикаст пакети (UDP 694) за проверка на статуса на всяко устройство. Когато пасивното устройство работи правилно, системният LED индикатор ще свети. Само LED индикаторът на heartbeat порта може да свети.

Важно: Двата устройства трябва да са от един и същи модел и регистрирани под един и същ акаунт в myZyxel.com. Лицензите трябва да бъдат прехвърлени към активното устройство. Когато активният firewall се повреди, всички лицензи автоматично се прехвърлят към пасивния firewall.

Какво може да се обърка? Защо не може да видите правилния статус на лиценза от сървъра myzyxel.com?
В настройките на Device-HA Pro има функция „Сериен номер на лицензирането устройство за синхронизация на лицензи“. Трябва да въведете сериен номер на устройството с лицензи. Така можете да прехвърлите всички лицензи към „активното“ устройство и да въведете сериен номер на това устройство в полето.

Забележка: По подразбиране включеният едногодишен лиценз Gold Security Pack за ATP gateway устройства не е преносим. За внедряване на Device HA, моля свържете се с поддръжката на Zyxel във вашата страна/регион, за да ви помогнат с прехвърлянето на лицензите.

Основната инсталация можете да намерите тук: Основна настройка - Device HA Pro

Преди да преинсталирате HA-Pro

(1) Прехвърлете всички лицензи към основното устройство. Това помага да се избегне системата да брои лицензи всеки път.
(2) Активирайте функцията за проверка на свързаността на наблюдаваните интерфейси. Когато интерфейс не получи отговор от отдалечения сървър за определен период от време, устройството ще счита статуса на интерфейса за неуспешен. След това функцията Device HA Pro ще промени статуса на интерфейса.

  1. Направете резервно копие на текущата конфигурация на DeviceA (Активно).
  2. Уверете се, че DeviceB (Пасивно) е върнато към фабричните настройки.
  3. На Device B версията на работещия фърмуер трябва да е същата като на Device A.
  4. На Device B разделът на работещия фърмуер трябва да е на същата позиция като на Device A.
  5. Потвърдете, че сериен номер на Device A е въведен на страницата HA-Pro.

mceclip10.png

Отидете на Configuration> Device HA>Device HA-Pro

mceclip2.png

След това продължете с настройката на HA

Забележка! IP адресът за управление на устройството и локалните подсети не могат да бъдат еднакви!

Инсталиране на първото устройство

  • Конфигурирайте настройките на HA Pro (IP за управление, мониторинг на интерфейс, лиценз)
  • Свържете се онлайн като активно устройство

4. Инсталиране на второто устройство

  • Версията на работещия фърмуер трябва да е същата като тази на първото устройство
  • Разделът на работещия фърмуер трябва да е на същата позиция като на първото устройство

Ако работещият раздел на първото устройство е раздел 1, тогава работещият раздел на второто устройство трябва да бъде раздел 1.

  • Конфигурирайте настройките на HA-pro в GUI (само с 2 клика)

Първо на пасивното устройство: 

mceclip3.png


Второ на активното устройство:

mceclip4.png

Свържете конзолата на двете устройства

  • Свържете heartbeat портовете и изчакайте пълната синхронизация.

Забележка: първата пълна синхронизация на конфигурацията отнема време (над 10 минути)

 

Как да проверите дали пълната синхронизация е завършила без проблеми,

В конзолата на пасивното устройство ще видите физическия порт (към който е свързан компютърът)

1во спиране: след като активирате device HA-pro

1во стартиране: започва прилагането на синхронизацията на конфигурацията от активното устройство

2ро спиране: почти завършва синхронизацията

mceclip5.png

След това можете да преминете към конзолата на активното устройство и да въведете CLI

# show device-ha2 passive device-status

Докато получите информация за пасивното устройство.

mceclip6.png

След това се върнете в конзолата на пасивното устройство и въведете CLI

# show device-ha2 sync summary

mceclip7.png

Много е важно статусът [ZySH Startup Configuration] да е успешен без никакви проблеми и последният ред със статус на Device HA Sync също да е успешен.

Внимание:

При всякакъв провал, моля, прекъснете всички връзки. След това върнете устройството към фабричните настройки и опитайте отново.

Не копирайте конфигурационния файл от първото устройство и не го качвайте на второто устройство за инсталация.

  • Свържете останалите връзки

Тест на превключване при отказ

Можете да използвате debug CLI на активното устройство, за да симулирате събитие за спиране на интерфейс.

Това ще предизвика превключване към пасивното устройство.

# debug device-ha2 send linkdown <име на интерфейс>

Проверка на статуса на синхронизацията през уеб интерфейса:

mceclip11.png

CONFIGURATION > Device HA > Преглед на логове, там трябва да има Synchronize complete.

mceclip12.png

Или проверете чрез CLI: Проверете детайлния статус на синхронизацията на устройството

show device-ha2 sync summary

mceclip14.png

Изключително важно е последният запис, свързан със статуса на Device HA Sync, да показва, че е успешен.

Провал при синхронизация

mceclip15.png

Забележка: Има 2 метода за принудително пълно синхронизиране на конфигурацията. В зависимост от това къде го инициирате, командата ще варира.
На пасивното устройство: Router# device-ha2 sync_from_active
На активното устройство: Router# device-ha2 sync_to_passive

При ъпгрейд на фърмуера, пасивното устройство първо обновява фърмуера и след това се рестартира.
След рестарта пасивното устройство веднага започва пълна синхронизация на конфигурацията.
Синхронизацията ще се провали, тъй като фърмуерът на пасивното устройство е различен от този на активното.
Това е нормално поведение и можете да игнорирате логовете за провалена синхронизация в този случай.

Основна настройка на HA Pro можете да намерите тук: Device HA Pro Setup

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
1 от 3 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.