Zyxel USG FLEX H Series [HA] - Udskift enheden, eller implementer HA igen (HA PRO)

For at udskifte en beskadiget eller ikke-funktionel Zyxel USG FLEX H-Series firewall i en HA-opsætning (High Availability) er det vigtigt at følge bedste praksis for at minimere nedetid og genoprette HA-funktionaliteten effektivt. Udskiftning af en fejlbehæftet enhed indebærer i bund og grund, at HA-opsætningen skal konfigureres fra bunden, men denne vejledning beskriver de vigtigste trin, bedste praksis og vigtige nuancer for at hjælpe med at strømline processen og undgå almindelige faldgruber.

Her er en trinvis vejledning til udskiftning og genopbygning af HA i et sådant scenarie:

• Du har to firewalls i USG FLEX H-serien (primær og sekundær).
• Den defekte "primære" enhed udskiftes med en ny, fungerende enhed af samme model.
• Den sekundære/standby-enhed fungerer stadig og er i øjeblikket aktiv.

HA-topologi:

• USG FLEX 500H - Site5(FLEX500HP_1 ) - Primær (hovedsite, hvor alle enheder på vores site er fysisk registreret og den primære firewall)
• USG FLEX 500H - Site5(FLEX500HP_2) - Sekundær (Et site, hvor kun en backup-firewall-enhed er fysisk registreret)

Denne opsætning kan være lidt forvirrende, da firewalls er registreret til forskellige sites. Firewallen på det sekundære (backup/passive) site vil dog altid fremstå som offline, mens firewallen på det primære (hoved)site konsekvent vil fremstå som online, uanset hvilken firewall der aktivt håndterer trafik på et givent tidspunkt.

Lad os antage, at den primære firewall, der er registreret på hovedsitet, er gået ned, og at backup-firewallen (den sekundære) i øjeblikket håndterer al trafik. I dette tilfælde er vi nødt til at udskifte den fejlslagne firewall, der er registreret på hovedsitet. Men vi kan også flytte vores passive enhed til hovedsiden og gøre den til hovedsiden og først derefter tilføje vores nye enhed som en passiv enhed.

Trin 1: Fjern den defekte HA-peer

• Tag fysisk stikket ud af den beskadigede enhed, og fjern den fra systemet.
• På den aktive (fungerende) enhed skal du navigere til: Venstre menu > System> Enhed HA
  Hvis HA i øjeblikket er aktiveret, men ikke kan synkronisere med den ødelagte peer, skal du klikke på Deaktiver HA.
• Gem og anvend ændringerne for at afslutte dette trin.

Sikkerhedskopier konfigurationen på den aktive enhed (det er ikke obligatorisk, men det er bedste praksis for at undgå at miste dine indstillinger. Ideelt set bør du altid have en kopi af konfigurationen).

• Log ind på den aktive ( fungerende) enhed.
• Gå til Vedligeholdelse > Filhåndtering > Konfigurationsfil.
• Download en lastgood- og opstartskonfiguration af den aktive enhed (i tilfælde af, at noget går galt).

Trin 2 - Forbered HA for den aktive masterenhed

I dette eksempel fortsætter vi med at tildele den aktuelt aktive enhed til Site 1 som den primære enhed. Erstatningsenheden (den nye) tildeles Site 2 som backup-enhed (sekundær).

Da vi deaktiverede HA på den aktive enhed i de foregående trin, ser enheden nu ud til at være online på Site 2. Som vist på billedet nedenfor vil vi nu tildele denne enhed til Site 1 igen og udpege den som den primære enhed.

Først skal vi fjerne vores beskadigede firewall fra hovedsitet.

Først skal vi fjerne vores beskadigede firewall fra hovedsitet.	Tildel din aktive enhed til hovedsiden og gør den dermed til den primære.

Du kan nu kontrollere, at den tidligere sekundære enhed er blevet tilføjet til hovedsitet og helt naturligt har overtaget rollen som den primære enhed.

Trin 3 - Forberedelse til HA af den passive enhed

• Tag den nye enhed/erstatningsenhed ud af kassen, og tænd for den, men tilslut den ikke til netværket endnu.
• Sørg for, at firmwareversionen matcher den aktive enhed (tjek under Vedligeholdelse > Firmware).
• Hvis ikke, skal du opgradere firmwaren.

Fabriksnulstil den nye enhed (hvis den tidligere har været brugt)

• Hold RESET-knappen nede i ca. 10 sekunder, indtil SYS-LED'en blinker gult.
• Lad enheden genstarte helt.

Tilslut og konfigurer den nye erstatningsenhed

• Tilslut din pc til LAN-porten på den nye firewall.
• Du skal også have adgang til internettet på den nye enhed for at registrere den og føje den til Nebul-sitet.
• Log ind med standard-IP'en: 192.168.168.1 (admin / 1234).
• Initialiser enheden, og under initialiseringsprocessen skal du registrere enheden i samme organisation.
• Tilføj din nye enhed til det andet site; den nye enhed vil være vores backup/sekundære enhed.

Trin 4 - Par enhederne igen til HA

• På den primære enhed skal du gå til > System >Enhed HA > HA-konfiguration
• Klik på Aktivér HA, og indstil:

• På den sekundære enhed skal du gå til > System >Enhed HA > HA-konfiguration
• Klik på Aktiver HA og indstil (på en passiv enhed er det ikke nødvendigt at foretage nogen HA-indstillinger, du skal bare aktivere denne funktion):

Bemærk også, at heartbeat-kablet skal være frakoblet indtil videre.

Trin 5 - Synkronisering og test

• Når HA er aktiveret på begge sider:
  • Den primære skal skubbe sin konfiguration til den nye enhed.
  • Vent på, at synkroniseringen er færdig. Det kan tage et par minutter.
  • Tjek HA-status: System > Enhed HA > HA-log

Trin 6 - Test af failover-procedure:

Simuler primær fejl
Luk midlertidigt ned for eller afbryd forbindelsen mellem det primære system og WAN for at simulere et fejlscenarie.

Bekræft sekundær overtagelse
Bekræft, at det nyligt udpegede sekundære system med succes overtager den primære rolle uden serviceafbrydelse.

Gendan primær og valider HA-status
Genstart den aktive enhed for at gøre den oprindelige primære enhed aktiv igen. Kontrollér, at HA-status (high availability) normaliseres, og at rollerne vender tilbage.

Hvis synkroniseringsstatussen ser ud til at være forkert på trods af, at logfiler og indstillinger indikerer korrekt drift, kan du løse problemet via webkonsollen ved at udføre følgende kommando:

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>