Zyxel USG FLEX řady H [HA] - Výměna zařízení nebo opětovné nasazení HA (HA PRO)

Chcete-li vyměnit poškozený nebo nefunkční firewall Zyxel USG FLEX řady H v nastavení vysoké dostupnosti (HA), je nezbytné dodržovat osvědčené postupy, abyste minimalizovali prostoje a účinně obnovili funkčnost HA. Ačkoli výměna poškozeného zařízení v podstatě zahrnuje rekonfiguraci nastavení HA od začátku, tato příručka popisuje klíčové kroky, osvědčené postupy a důležité nuance, které pomohou proces zefektivnit a vyhnout se běžným úskalím.

Zde je průvodce krok za krokem, jak v takovém případě vyměnit a obnovit HA:

• Máte dva firewally USG FLEX řady H (primární a sekundární).
• Vadné zařízení "Primary" bude nahrazeno novou, funkční jednotkou stejného modelu.
• Sekundární/záložní jednotka je stále funkční a v současné době aktivní.

Topologie HA:

• USG FLEX 500H - Site5(FLEX500HP_1) - Primary (hlavní lokalita, kde jsou fyzicky registrována všechna zařízení v naší lokalitě, a hlavní firewall).
• USG FLEX 500H - Site5(FLEX500HP_2 ) - Sekundární (lokalita, kde je fyzicky zaregistrováno pouze záložní zařízení firewall).

Toto nastavení může být poněkud matoucí, protože brány firewall jsou registrovány na různých lokalitách. Nicméně brána firewall v sekundární (záložní/pasivní) lokalitě se vždy zobrazí jako offline, zatímco brána firewall v primární (hlavní) lokalitě se bude trvale zobrazovat jako online bez ohledu na to, která brána firewall v daném okamžiku aktivně zpracovává provoz.

Předpokládejme, že primární brána firewall registrovaná v hlavní lokalitě selhala a záložní (sekundární) brána firewall v současné době zpracovává veškerý provoz. V tomto případě musíme nahradit selhávající firewall, který je registrován k hlavnímu webu. Můžeme však také přesunout naše pasivní zařízení do hlavní lokality a učinit z něj hlavní lokalitu a teprve poté přidat naše nové zařízení jako pasivní zařízení.

Krok 1: Odstranění vadného partnera HA

• Fyzicky odpojte poškozené zařízení a vyjměte jej ze systému.
• V aktivním (funkčním) zařízení přejděte na následující stránku: Levé menu > Systém> Zařízení HA
  Pokud je HA aktuálně povolen, ale nelze synchronizovat s poškozeným peerem, klepněte na tlačítko Zakázat HA.
• Uložte a použijte změny a dokončete tento krok.

Zálohování konfigurace na aktivním zařízení (není povinné, ale je to nejlepší postup, abyste předešli ztrátě nastavení. V ideálním případě byste měli mít vždy kopii konfigurace).

• Přihlaste se k aktivnímu (pracovnímu) zařízení.
• Přejděte do nabídky Údržba > Správce souborů > Konfigurační soubor.
• Stáhněte si poslední a spouštěcí konfiguraci aktivního zařízení (pro případ, že by se něco pokazilo).

Krok 2 - Příprava na HA aktivního hlavního zařízení

V tomto příkladu budeme postupovat tak, že přiřadíme aktuálně aktivní zařízení do lokality 1 jako primární zařízení. Náhradní (nové) zařízení bude přiřazeno do lokality 2 jako záložní (sekundární) zařízení.

Protože jsme v předchozích krocích zakázali HA na aktivním zařízení, zařízení se nyní zobrazí jako online na lokalitě 2. Jak je znázorněno na obrázku níže, nyní toto zařízení znovu přiřadíme do lokality 1 a označíme jej jako primární zařízení.

Nejprve musíme z hlavní lokality odstranit náš poškozený firewall.

Nejprve musíme z hlavní lokality odebrat naši poškozenou bránu firewall.	Přiřaďte své aktivní zařízení k hlavnímu místu, čímž se stane hlavním.

Nyní můžete ověřit, že dříve sekundární zařízení bylo úspěšně přidáno do hlavního webu a přirozeně převzalo roli primárního zařízení.

Krok 3 - Příprava na HA pasivního zařízení

• Nové/náhradní zařízení vybalte a zapněte, ale zatím ho nepřipojujte k síti.
• Ujistěte se, že verze firmwaru odpovídá verzi aktivního zařízení (zkontrolujte v části Údržba > Firmware).
• Pokud tomu tak není, proveďte aktualizaci firmwaru.

Obnovení továrního nastavení nového zařízení (pokud bylo dříve používáno)

• Podržte tlačítko RESET po dobu ~10 sekund, dokud kontrolka SYS nezačne oranžově blikat.
• Nechte zařízení zcela restartovat.

Připojení a konfigurace nového náhradního zařízení

• Připojte počítač k portu LAN nové brány firewall.
• Budete také potřebovat přístup k internetu na novém zařízení, abyste jej mohli zaregistrovat a přidat na web Nebul.
• Přihlaste se pomocí výchozí IP adresy: 192.168.168.1 (admin / 1234).
• Inicializujte zařízení a během procesu inicializace zaregistrujte zařízení ve stejné organizaci.
• Přidejte nové zařízení do druhé lokality; nové zařízení bude naším záložním/sekundárním zařízením.

Krok 4 - Opětovné spárování zařízení pro HA

• V primárním zařízení přejděte do > Systém > Zařízení HA > Konfigurace HA.
• Klikněte na možnost Povolit HA a nastavte:

• Na sekundárním zařízení přejděte do > Systém >Zařízení HA > Konfigurace HA.
• Klikněte na možnost Enable HA and set (na pasivním zařízení není třeba provádět žádné nastavení HA, stačí tuto funkci aktivovat):

Všimněte si také, že by měl být prozatím odpojen kabel heartbeat.

Krok 5 - Synchronizace a testování

• Jakmile je HA aktivována na obou stranách:
  • Primární zařízení by mělo odeslat svou konfiguraci do nového zařízení.
  • Počkejte na dokončení synchronizace. To může trvat několik minut.
  • Zkontrolujte stav HA: Systém > Zařízení HA > Protokol HA

Krok 6 - Postup testování převzetí služeb při selhání:

Simulujte selhání primární jednotky
Dočasně vypněte nebo odpojte primární systém od sítě WAN, abyste simulovali scénář selhání.

Ověřte převzetí sekundárního systému
Ověřte, že nově určený sekundární systém úspěšně převzal primární roli bez přerušení služby.

Obnovení primárního systému a ověření stavu HA
Restartujte aktivní zařízení, aby bylo původní primární zařízení opět aktivní. Ověřte, zda se normalizuje stav vysoké dostupnosti (HA) a zda se vrátí role.

Pokud se stav synchronizace jeví jako nesprávný, přestože protokoly a nastavení ukazují správnou činnost, můžete problém vyřešit prostřednictvím webové konzoly provedením následujícího příkazu:

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>