Firewall Vysoká dostupnost HA Pro - Konfigurace zařízení HA Pro

Vytvořeno 10.12. 2019 11:11 - Aktualizováno 25.06. 2026 10:05

Serhii Boiarynov

Zařízení HA Pro je služba, která se používá k zajištění síťové redundance ke snížení potenciálního výpadku a nevyžaduje žádné další licence pro aktivaci této služby. Navíc zařízení HA Pro synchronizuje konfigurační soubor, dobu provozu zařízení, TCP relace (IPv4/IPv6), IPSec VPN relace, informace o vstupu/výstupu, tabulku DHCP, tabulku IP/MAC Binding a stav licence. Zařízení spárované s instalací zařízení HA Pro bude hrát buď aktivní, nebo pasivní roli. Aktivní zařízení obdrží všechny změny konfigurace provedené v nastavení a bude odpovědné za odesílání informací pasivnímu zařízení. Zařízení, které převezme pasivní roli, obdrží změny konfigurace od aktivního zařízení a převezme aktivní roli, pokud je aktuální aktivní zařízení v jednom z následujících stavů.

Důležité informace: Obě zařízení musí být stejného modelu a registrovaná ve stejném účtu myZyxel.com. Licence musí být převedeny na aktivní zařízení. Když aktivní firewall selže, všechny licence budou automaticky převedeny na pasivní firewall.

Před konfigurací zařízení HA Pro je důležité provést následující.

Pasivní zařízení by mělo mít PŘIPOJENÝ POUZE PC s přístupem k Web GUI a bez žádného heartbeat kabelu od začátku.
Pasivní zařízení by mělo být RESETOVÁNO a mít stejný firmware jako aktivní zařízení před konfigurací HA Pro.
Pasivní firewall by měl být registrován v MyZyxel.
Počkejte, až LED sys začne blikat (pasivní stav), než připojíte zbytek kabelů.
Při úspěšné konfiguraci HA Pro by nemělo dojít k žádnému výpadku při párování zařízení.
Shodujte verze firmwaru na obou zařízeních – První zařízení i Druhé zařízení ve stejných oddílech.

Co může selhat? Proč nevidím správný stav licence ze serveru myzyxel.com?
V nastavení Device-HA Pro je funkce „Sériové číslo licencovaného zařízení pro synchronizaci licence“. Měli byste zadat S/N zařízení, které má licence. Tak můžete všechny licence přenést na „Aktivní“ zařízení a zadat S/N tohoto zařízení do pole.

Poznámka: Výchozí roční licence Gold Security Pack pro ATP brány není přenositelná. Pro nasazení Device HA prosím kontaktujte podporu Zyxel ve vaší zemi/regionu, která vám pomůže s převodem licencí. Licence

Jak kontaktovat podpůrný tým pro převod licencí, naleznete zde: Jak kontaktovat podpůrný tým?

Přehled

Funkce Device HA slouží jako failover, když jeden z firewallů v síti selže nebo nemá přístup k internetu. V Device HA Pro je přidán „heartbeat link“ pro sledování stavu rozhraní a synchronizaci nastavení.

Nastavení aktivního zařízení

Pro nastavení funkce Device HA Pro se přihlaste do webového rozhraní Zyxel firewallu a přejděte na:

Konfigurace -> Device HA -> Device HA Pro

Poslední fyzický RJ45 port na Zyxel firewallu je port pro správu Device HA (Heartbeat port). Ujistěte se, že tento port není součástí LAG, VLAN nebo mostového rozhraní.

Kroky:
• Zrušte zaškrtnutí volby „Povolit konfiguraci z aktivního zařízení“.
• Ověřte, že sériové číslo je sériové číslo primárního zařízení.
• Zadejte IP adresu pro aktivní zařízení. (Musí být adresa, která není používána žádným z vašich aktuálních rozhraní)
• Zadejte IP adresu pro pasivní zařízení. (ve stejné podsíti jako výše)
• Zadejte masku podsítě.
• Vytvořte synchronizační heslo.
• Vyberte monitorovací rozhraní ze seznamu dostupných a přesuňte je do seznamu členů.
• Nakonfigurujte požadovaná nastavení detekce selhání (Failover Detection).
• Klikněte na tlačítko „Použít & přepnout na Device HA Pro“.

Znovu přejděte na záložku Device HA pro povolení funkce Device HA na aktivním firewallu.
• Ověřte, že režim Device HA je nastaven na „Device HA Pro“.
• Zaškrtněte políčko „Povolit Device HA“.
• Klikněte na tlačítko „Použít“ ve spodní části obrazovky pro uložení nastavení.

Nastavení pasivního zařízení

Poznámka! Při konfiguraci HA Pro připojte k pasivnímu firewallu pouze váš počítač. Po nakonfigurování HA Pro a zajištění stejného firmwaru jako má aktivní zařízení můžete připojit heartbeat kabel (POUZE!). Po spuštění zařízení a zobrazení svítící LED SYS a pouze LED portu heartbeat můžete připojit zbytek portů.
Pro konfiguraci pasivního zařízení připojte počítač k druhému Zyxel firewallu a přistupte do webového rozhraní

 Konfigurace -> Device HA -> Device HA Pro

• Ujistěte se, že je zaškrtnuta volba „Povolit konfiguraci z aktivního zařízení“.
• Ověřte, že režim Device HA je nastaven na „Device HA Pro“.
• Zaškrtněte políčko „Povolit Device HA“.
• Klikněte na tlačítko „Použít“ ve spodní části obrazovky pro uložení nastavení.

Připojte ethernetový kabel do Heartbeat portu (poslední fyzický port) na obou zařízeních a nechte přibližně 5 minut na synchronizaci všech nastavení. V tomto okamžiku je funkce Device HA Pro nakonfigurována a všechny změny provedené na primárním (aktivním) firewallu se synchronizují s sekundárním (pasivním) firewallem.

Poznámka: Ujistěte se, že je povolena volba „Kontrola konektivity“ pro připojení WAN. Povolení této volby umožní Zyxel firewallu testovat přístup k internetu a přepnout na sekundární internetové připojení pasivního zařízení, pokud dojde k selhání na aktivním zařízení.

Pro režim On-Premises s povolenou funkcí Vysoké dostupnosti (HA) NEPOUŽÍVEJTE cloudový upgrade firmwaru. Budete muset postupovat podle jiného postupu pro dokončení upgrade firmwaru; prosím přečtěte si SOP. * Platí pro modely a verze: USG FLEX 500/700, ATP500/700/800 s ZLD5.20 až ZLD5.21 Patch1.

Tipy pro řešení problémů

1. Synchronizace může selhat s následujícími zprávami na pasivním zařízení

Synchronizace selhává se zprávami na pasivním zařízení:
Získání verze firmwaru aktivního zařízení selhalo
Získání verze firmwaru aktivního zařízení selhalo
Získání verze firmwaru aktivního zařízení selhalo
Synchronizace Device HA selhala při synchronizaci verze firmwaru kvůli špatnému 'Sync From' nebo 'Sync Port'.

Možným důvodem může být, že FTP služba na aktivním zařízení má nějaká omezení, takže pasivní zařízení k ní nemůže přistoupit.

Příklad nesprávného nastavení:

2. Zařízení se nesynchronizují

Ujistěte se, že obě zařízení běží na stejné verzi firmwaru. Obě musí používat stejnou verzi firmwaru pro synchronizaci.
Ujistěte se, že obě zařízení používají stejný firmware bank/slot. Pokud primární zařízení běží na slotu 1 a slot 2 je v pohotovostním režimu, musí druhé zařízení také běžet na slotu 1 s slotem 2 v pohotovostním režimu.
Ujistěte se, že je pro prvních 5 minut po povolení funkce Device HA Pro připojen pouze Heartbeat port (poslední RJ46 port na zařízení [např. P7]) k primárnímu zařízení. Pokud jsou obě zařízení připojena současně k aktivní síti, může to způsobit problémy s routováním, smyčky a kolize ovlivňující síť.

3. Není možné přistoupit k pasivnímu zařízení

- Ujistěte se, že synchronizace zařízení je dokončena. Počáteční synchronizace může trvat až 5 minut.
- Použijte IP adresu, kterou jste nastavili v menu Device HA Pro pro „Správu IP pasivního zařízení“.

4. Provedl jsem změny na pasivním zařízení, ale nesynchronizují se na hlavní zařízení.

- Jakmile je Device HA Pro nakonfigurován, všechny změny v síťové konfiguraci by měly být prováděny na hlavním/primárním zařízení. Pasivní zařízení je pouze slave a změny zde provedené nebudou aplikovány na primární/hlavní zařízení.

5. Licence/služba SecuReporter je aktivní na firewallu, ale zařízení není nalezeno v SecuReporteru

- Když hlavní zařízení přepne na pasivní zařízení a poté je aktivována licence SecuReporter, může dojít k tomu, že licence se nesynchronizuje v SecuReporteru, i když na GUI firewallu je označena jako „aktivní/aktivována“. Je potřeba znovu aktivovat primární zařízení, poté odstranit zařízení a organizaci v SecuReporteru a znovu aktivovat službu SecuReporter na primárním zařízení.

Existují i jiné problémy, prosím proveďte znovu nasazení Device HA Pro, viz zde Znovu nasazení Device HA Pro

Články v tomto oddílu

Zobrazit další

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.