Zyxel Firewal H-serien [uOS] - Enhed med høj tilgængelighed (HA PRO)

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser med hensyn til nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Original version

Løsningen Device HA (High Availability) (HA PRO) garanterer kontinuerlig netværksforbindelse ved at bruge et par firewalls, der er konfigureret i en aktiv-passiv opsætning. I denne konfiguration håndterer den aktive firewall trafikken under normale forhold, mens den passive firewall forbliver på standby. Hvis den aktive enhed svigter, overtager den passive enhed automatisk rollen som den aktive firewall inden for få sekunder, hvilket sikrer minimal afbrydelse og opretholder problemfri netværksdrift.

Introduktion af enhedens høje tilgængelighed

Følgende funktioner kan overføres til den sekundære Zyxel-enhed, når den bliver aktiv ved hjælp af Device HA:
  • Opstart og løbende konfiguration
  • Signaturer
  • Enhedsindsigt
  • Ekstern blokeringsliste
  • DHCP-leasing-poster
  • To-faktor-autentificering
  • Certifikater
  • Licenser inklusive NCC, hvis relevant
  • Zyxel-enhed Tid

Krav

  • HA-enheden kræver den samme firewallmodel og skal installere den samme firmwareversion.
  • Begge enheder skal være registreret hos den samme organisation.
Firmware-version Understøttelse af parret model
Fra 1.31 USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Primære og sekundære enhedsroller

  • De primære og sekundære enheders roller defineres før implementering og forbliver uændrede under enhedens drift.
  • Tilstande for aktiv og passiv tilstand kan ændres dynamisk under failover.

Heartbeat-port

Device HA bruger et dedikeret heartbeat-link mellem en aktiv og en passiv enhed til statussynkronisering og til at udløse failover og back up til den passive enhed, hvis den aktive enhed ikke reagerer. På den passive enhed er alle porte deaktiveret undtagen porten med heartbeat-linket.
I det følgende eksempel er Zyxel-enhed A den aktive enhed, der er forbundet med den passive enhed Zyxel-enhed B via et dedikeret link, der bruges til heartbeat-kontrol, konfigurationssynkronisering og fejlfinding. Alle links på Zyxel-enhed B er nede undtagen det dedikerede heartbeat-link.
  • En dedikeret heartbeat-port med en direkte forbindelse mellem enhederne for at overvåge hinandens status
  • Heartbeat-porten for hver model er foruddefineret

HA-enhed Forberedelse

Firmwareopgradering på parrede Zyxel-enheder
  • Opgrader først firmwaren til den passive enhed.
  • Efter opgraderingen bliver den passive enhed aktiv og håndterer al trafik under firmwareopgraderingen.
  • Firmwaren opgraderes derefter til den passive primære enhed.
  • Når firmwareopgraderingen er færdig på begge Zyxel-enheder, bliver den primære enhed aktiv.
Forberedelse til implementering af Device HA
  • Sørg for, at den passive Zyxel-enhed er offline, og aktiver derefter Device HA i System > Device HA > HA Configuration i den aktive Zyxel-enhed.
  • Administrations-IP-adresserne for både den aktive og den passive Zyxel-enhed skal være i samme undernet.
  • Sørg for, at SSH-tjenesten i System > SSH er aktiveret på begge Zyxel-enheder. SFTP (Secure File Transfer Protocol) overfører filer fra den aktive til den passive Zyxel-enhed.
  • Tilslut den passive Zyxel-enhed til den aktive Zyxel-enhed ved hjælp af heartbeat-portene. Det er de højest nummererede kobber-Ethernet-porte på Zyxel-enhederne - se Device HA Heartbeat Ports.
  • Hvis begge Zyxel-enheder er tændt samtidig med Device HA aktiveret, kan de sende heartbeat samtidig. I dette tilfælde bliver Zyxel-enheden med den primære rolle (License Controller) den aktive Zyxel-enhed.
Brug af NCC til at administrere Device HA
  • Du skal registrere begge Zyxel-enheder på NCC, dvs. de skal begge tilhøre en organisation. Den passive Zyxel-enhed vil automatisk blive registreret i NCC, hvis den ikke allerede er registreret i NCC.
  • Begge Zyxel-enheder skal være i den samme organisation og være registreret på den samme konto.
  • Den passive Zyxel-enhed fjernes fra NCC-sitet, når enhedens HA-parring er fuldført, da et site i NCC kun kan have én Zyxel-enhedsfirewall (i skrivende stund).
  • NCC sender automatisk en e-mail for at underrette brugerne, når Zyxel-enheder er parret med overførte licenser.

Opsætning af Device HA

For at konfigurere Device HA-funktionen skal du logge ind på Zyxel-firewallens webinterface og navigere til:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.
Tjek HA-statussen i System > Device HA > HA Status

Tjek HA-loggen for den aktive Zyxel-enhed i System > Device HA > HA Log

Konfigurer Device HA på den passive Zyxel-enhed i System > Device HA > HA Configuration.

Tilslut heartbeat Ethernet-kablet mellem den aktive og den passive Zyxel-enhed.

Kontrollér HA-statussen for de aktive og passive Zyxel-enheder i System > Enhed HA > HA-status.

Tjek logfilerne på den aktive Zyxel-enhed i System > Device HA > HA Log.

Når du logger på en Zyxel-enhed efter enhedens HA-parring, vil du se et banner, der viser, om du er logget på den aktive eller passive Zyxel-enhed.

Failover-succes - log

Håndtering af fejl

Firewallen registrerer, om enhedens firmware eller model er forskellig

 Parring mislykkedes Status:
  • Kan ikke få MAC/SN korrekt fra certifikatet
  • Enhedsregistrering mislykkedes
  • Uoverensstemmelse mellem enhedens firmware eller model opdaget
  • Enhederne tilhører forskellige organisationer
  • Uoverensstemmelse mellem enhedens ejerskab
  • Enheden er ikke tildelt et sted

Eksempel 1: Sådan kontrolleres enhedens HA-status

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Eksempel 2: Fremtving en fuld synkronisering

[Aktiv]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Passiv]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Eksempel 3: Hvordan tjekker man synkroniseringsstatus?

[Passiv]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Bemærk venligst:
uOS 1.31 forhindrer brugere i at anvende konfiguration på GUI, CLI og NCC live-værktøj, når enheden er parret med HA.
Årsagen er, at man undgår at anvende konfiguration, hvor HA ikke er aktiveret.


Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
0 ud af 0 fandt dette nyttigt
Del