Zyxel USG FLEX H-serien [HA] - Opsætning af enhed med høj tilgængelighed (HA PRO)

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser med hensyn til nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Original version

Løsningen Device HA (High Availability) (HA PRO) garanterer kontinuerlig netværksforbindelse ved at bruge et par firewalls i en aktiv-passiv opsætning. I denne konfiguration håndterer den aktive firewall trafikken under normale forhold, mens den passive firewall forbliver på standby. Hvis den aktive enhed svigter, overtager den passive enhed automatisk rollen som den aktive firewall inden for få sekunder, hvilket sikrer minimal afbrydelse og opretholder problemfri netværksdrift.

Introduktion af enhedens høje tilgængelighed

Følgende funktioner kan overføres til den sekundære Zyxel-enhed, når den bliver aktiv ved hjælp af Device HA:
  • Opstart og løbende konfiguration
  • Signaturer
  • Enhedsindsigt
  • Ekstern blokeringsliste
  • DHCP-leasing-poster
  • To-faktor-autentificering
  • Certifikater
  • Licenser inklusive NCC, hvis relevant
  • Zyxel-enhed Tid

Krav

  • HA-enheden kræver den samme firewallmodel og skal installere den samme firmwareversion.
  • Begge enheder skal være registreret hos den samme organisation.
Firmware-version Understøttelse af parret model
Fra 1.31 USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Primære og sekundære enhedsroller

  • De primære og sekundære enheders roller defineres før implementering og forbliver uændrede under enhedens drift.
  • Tilstande for aktiv og passiv tilstand kan ændres dynamisk under failover.

Heartbeat-port

Device HA bruger et dedikeret heartbeat-link mellem en aktiv og en passiv enhed til statussynkronisering og til at udløse failover og back up til den passive enhed, hvis den aktive enhed ikke reagerer. På den passive enhed er alle porte deaktiveret undtagen porten med heartbeat-linket.
I det følgende eksempel er Zyxel-enhed A den aktive enhed, der er forbundet med den passive enhed Zyxel-enhed B via et dedikeret link, der bruges til heartbeat-kontrol, konfigurationssynkronisering og fejlfinding. Alle links på Zyxel-enhed B er nede undtagen det dedikerede heartbeat-link.
  • En dedikeret heartbeat-port med en direkte forbindelse mellem enhederne for at overvåge hinandens status
  • Heartbeat-porten for hver model er foruddefineret

Forudsætninger for enhedens HA

  • Sørg for, at både primære og sekundære enheder opfylder følgende:
  1. Samme model - Begge skal være USG FLEX 200H; forskellige modeller (f.eks. 200H vs. 200HP) understøttes ikke.
  2. Samme firmware - Skal køre samme version (uOS 1.31 eller nyere).
  3. Samme Nebula-organisation - Begge skal være registreret under den samme organisation.
    • Tildel den primære til Site 1
    • Tildel den sekundære til Site 2

Bemærk: Det anbefales på det kraftigste, at trinene for enhedsregistrering på Nebula gennemføres, før HA parres.

  • Aktiver SSH - SSH skal være aktiveret på begge enheder (System > SSH) ved hjælp af port 22 til enhedens HA-synkronisering.
  • Management IP Subnet - Kun 255.255.255.0 understøttes.

Opsætning af enhedens HA

For at konfigurere Device HA-funktionen skal du logge ind på Zyxel-firewallens webinterface og navigere til:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Vælg typen af Mac-adresse med omtanke, da denne indstilling ikke kan ændres, når HA er aktiveret. Hvis du vil foretage yderligere ændringer, skal du deaktivere HA, foretage ændringerne og derefter konfigurere HA igen.

Tjek HA-status i System > Enhed HA >HA-status

Tjek HA-loggen for den aktive Zyxel-enhed i System > Device HA > HA Log

Konfigurer enhedens HA på den passive Zyxel-enhed i System > Device HA > HA Configuration.

Aktivér - HA-konfiguration (Der kræves ingen yderligere handling på dette tidspunkt. Når du har aktiveret HA på den passive enhed, skal du frakoble alle netværksforbindelser fra den og derefter tilslutte heartbeat-kablet fra den aktive enhed til den passive enhed).

Advarsel VIGTIGT: Aktivering af den sekundære enheds High Availability (HA) vil:
- Enhedens WAN/LAN-porte vil blive koblet ned.
- Log ud af den aktuelle web GUI-session

Tilslut heartbeat Ethernet-kablet mellem den aktive og den passive Zyxel-enhed.

Kontrollér HA-statussen for de aktive og passive Zyxel-enheder i System > Device HA > HA Status.

Tjek logfilerne på den aktive Zyxel-enhed i System > Enhed HA > HA-log.

Når du logger på en Zyxel-enhed efter enhedens HA-parring, vil du se et banner, der viser, om du er logget på den aktive eller passive Zyxel-enhed.

Failover-succes - log

Håndtering af fejl

Firewallen registrerer, om enhedens firmware eller model er forskellig

 Parring mislykkedes Status:
  • Kan ikke få MAC/SN korrekt fra certifikatet
  • Enhedsregistrering mislykkedes
  • Uoverensstemmelse mellem enhedens firmware eller model opdaget
  • Enhederne tilhører forskellige organisationer
  • Uoverensstemmelse mellem enhedens ejerskab
  • Enheden er ikke tildelt et sted

Eksempel 1: Sådan kontrolleres enhedens HA-status

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Eksempel 2: Fremtving en fuld synkronisering

[Aktiv]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Passiv]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Eksempel 3: Hvordan tjekker man synkroniseringsstatus?

[Passiv]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Bemærk venligst:
uOS 1.31 forhindrer brugere i at anvende konfiguration på GUI, CLI og NCC live-værktøj, når enheden er parret med HA.
Årsagen er, at man undgår at anvende konfiguration, hvor HA ikke er aktiveret.


Artikler i denne sektion

Var denne artikel en hjælp?
0 ud af 0 fandt dette nyttigt
Del