Firewall høj tilgængelighed [HA Pro] - Omfordeling af enhed HA Pro

Oprettet - Opdateret
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser med hensyn til nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Original version

Denne artikel giver vejledning i at geninstallere HA-Pro, når den ikke fungerer korrekt, ofte på grund af forkerte firmware-slots eller forskellige firmware-versioner. Den understreger behovet for, at begge enheder i Device HA Pro-opsætningen er den samme model, registreret under den samme myZyxel.com-konto og har synkroniserede licenser. Artiklen beskriver trin for grundlæggende opsætning, udrulning af den første og anden enhed, kontrol af status og test af failover. Den diskuterer også vigtigheden af at sikre firmwarekonsistens og giver tips til fejlfinding i forbindelse med synkroniseringsproblemer. For detaljeret hjælp til opsætning henvises brugerne til Zyxels professionelle tjenester.

Grundlæggende opsætning - Device HA Pro.

Topo (DeviceHA-Pro)

mceclip1.png

I Device HA Pro er der tilføjet et "heartbeat-link" til overvågning af grænsefladestatus og synkronisering af indstillinger.

Device HA Pro's adfærd omfatter et hjerteslagslink til overvågning af den "aktiverede" enheds grænsefladestatus. Hvis en af de overvågede grænseflader er død eller fejler, vil den "passive" enheds status blive "aktiveret".(Det betyder, at kun 1 enheds status kan være "aktiveret" ad gangen).

Heartbeat-forbindelse
Heartbeat-porten er en ny fysisk port på enheden (fastsættes i Firmware last Port på en understøttet HA-Pro-enhed). Når du har aktiveret Device HA Pro, vil enhederne sende multicast-pakker (UDP 694) for at tjekke hver enheds status. Når den passive enhed fungerer korrekt, vil systemets LED-lampe være tændt. Kun heartbeat-portens LED-lampe kan være tændt.

Vigtig information: Begge enheder skal være af samme model og registreret på den samme myZyxel.com-konto. Licenserne skal overføres til den aktive enhed. Når den aktive firewall fejler, overføres alle licenser automatisk til den passive firewall.

Hvad kan der gå galt? Hvorfor kan jeg ikke se den korrekte licensstatus fra myzyxel.com-serveren?
I Device-HA Pro-indstillingen er der en funktion "Serienummer på den licenserede enhed til licenssynkronisering". Du skal indtaste enhedens S/N med licenser. Så du kan overføre alle licenser til "Activate"-enheden og indtaste denne enheds S/N i rammen.

Bemærk: Den standardbundtede etårige Gold Security Pack-licens til ATP-gateways kan ikke overdrages. For implementering af Device HA bedes du kontakte Zyxel-support i dit land/område for at få hjælp til at overføre licenser. Du kan finde licensoplysninger her: Device HA Pro - Har jeg brug for alle licenser to gange til en HA-løsning (høj tilgængelighed)?

Den grundlæggende installation kan du finde her: Grundlæggende opsætning - Device HA Pro

Før du geninstallerer HA-Pro

(1) Overfør alle licenser til den primære enhed. På den måde undgår du, at systemet tæller licenser om hver gang.
(2) Aktivér forbindelseskontrolfunktionen på de overvågede grænseflader. Når en grænseflade ikke modtager noget svar fra fjernserveren i et bestemt tidsrum, vil enheden betragte grænsefladens status som mislykket. Derefter ændrer Device HA Pro-funktionen grænsefladens status.

  1. Tag backup af DeviceA's (Active) aktuelle konfiguration.
  2. Sørg for, at DeviceB (Passiv) er nulstillet til standardindstillingen.
  3. enhed B skal den kørende firmwareversion være den samme som på enhed A.
  4. enhed B skal partitionen med kørende firmware være i samme position som enhed A.
  5. Bekræft, at serienummeret på enhed A er indtastet på HA-Pro-siden.

mceclip10.png

Gå til Konfiguration> Enhed HA>EnhedHA-Pro

mceclip2.png

Fortsæt derefter med at konfigurere HA-indstillinger

Bemærk! Enhedsadministrations-IP og lokale subnet kan ikke være de samme!

Implementer den første enhed

  • Konfigurer HA Pro-indstillinger (administrations-IP, skærmgrænseflade, licens)
  • Online som den aktive enhed

4. Implementer den anden enhed

  • Den kørende firmwareversion skal være den samme som den første enhed
  • Den kørende firmwarepartition skal have samme position som den første enhed

Den kørende partition på den første enhed er partition 1, så den kørende partition på den anden enhed skal være partition 1.

  • Konfigurer HA-pro-indstillinger på GUI (kun klik på 2 knapper)

På den passive enhed først:

mceclip3.png


På den aktive enhed for det andet:

mceclip4.png

Tilslut konsol på begge enheder

  • Tilslut heartbeat-portlinket, og vent på fuld synkronisering.

Bemærk: Det tager tid (over 10 minutter), før den fulde konfiguration er synkroniseret første gang.

Sådan kontrollerer du, om den fulde synkronisering er afsluttet uden problemer,

På den passive enheds konsol vil du se den fysiske port (den tilsluttede pc)

1. ned: efter du har aktiveret enhedens HA-pro

1. op: begynder at anvende konfigurationssynkronisering fra den aktive enhed

2. ned: næsten færdig med synkroniseringen

mceclip5.png

Derefter kan du gå til konsollen på den aktive enhed for at skrive CLI

# show device-ha2 passive device-status

Indtil du får oplysningerne om den passive enhed.

mceclip6.png

Gå derefter tilbage til den passive enheds konsol for at skrive CLI

# show device-ha2 sync summary

mceclip7.png

Det er meget vigtigt, at status for [ZySH Startup Configuration] er vellykket uden problemer, og at den sidste linje, status for Device HA Sync, også er vellykket.

Forsigtig:

Hvis det mislykkes, skal du frakoble alle links. Nulstil derefter enheden til fabriksindstillingerne, og prøv igen.

Du må ikke kopiere konfigurationsfilen fra den første enhed og uploade den til den anden enhed for at implementere den.

  • Tilslut resten af linkene

Test failover

Du kan bruge debug CLI på den aktive enhed til at simulere, at grænsefladen er nede.

For at udløse failover til den passive enhed.

# debug device-ha2 send linkdown

Kontrol af synkroniseringsstatus via webinterfacet:

mceclip11.png

CONFIGURATION > Device HA > View log der skal være Synchronize complete.

mceclip12.png

Eller tjek via CLI: Tjek den detaljerede synkroniseringsstatus på enheden

show device-ha2 sync summary

mceclip14.png

Det er meget vigtigt, at den sidste post vedrørende status for Device HA Sync angiver, at den er lykkedes.

Synkroniseringsfejl

mceclip15.png

Bemærk: Der er to metoder til at gennemtvinge en fuld konfigurationssynkronisering. Afhængigt af hvor du starter den, vil kommandoen variere.
På en passiv enhed: Router# device-ha2 sync_from_active
På en aktiv enhed: Router# device-ha2 sync_to_passive

Når du laver en firmwareopgradering, vil den passive enhed opgradere firmwaren først og derefter genstarte.
Når den passive enhed er genstartet, vil den straks foretage en fuld konfigurationssynkronisering.
Synkroniseringen vil mislykkes, da den passive enheds firmware er forskellig fra den aktive enheds.
Det er normal adfærd, og du kan ignorere de mislykkede synkroniseringslogs i dette tilfælde.

Grundlæggende opsætning af HA Pro kan du finde her: Opsætning af enhed HA Pro

Opsætningsassistance, du leder efter assisteret konfiguration af vores Professional Services Team? Se venligst her: Zyxel ConfigService Sikkerhed

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
1 ud af 3 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.