Zyxel USG FLEX H-Serie [HA] - Einrichtung der Hochverfügbarkeit von Geräten (HA PRO)

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Die Device HA (High Availability) (HA PRO)-Lösung garantiert eine kontinuierliche Netzwerkkonnektivität durch den Einsatz von zwei Firewalls in einer Aktiv-Passiv-Konfiguration. In dieser Konfiguration wickelt die aktive Firewall den Datenverkehr unter normalen Bedingungen ab, während die passive Firewall im Standby-Modus bleibt. Sollte das aktive Gerät ausfallen, übernimmt das passive Gerät innerhalb von Sekunden automatisch die Funktion der aktiven Firewall, so dass nur minimale Unterbrechungen auftreten und ein nahtloser Netzwerkbetrieb gewährleistet ist.

Einführung der Geräte-Hochverfügbarkeit

Die folgenden Funktionen können auf das sekundäre Zyxel-Gerät übertragen werden, wenn es mit Device HA aktiv wird:
  • Start-up und laufende Konfiguration
  • Unterschriften
  • Geräteeinblick
  • Externe Sperrliste
  • DHCP-Leasing-Einträge
  • Zwei-Faktor-Authentifizierung
  • Zertifikate
  • Lizenzen einschließlich NCC, falls zutreffend
  • Zyxel Gerät Zeit

Anforderung

  • Das HA-Gerät benötigt dasselbe Firewall-Modell und muss dieselbe Firmware-Version installieren.
  • Beide Geräte müssen bei der gleichen Organisation registriert sein.
Firmware-Version Unterstützung Paired Model
Ab 1.31 USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Primäre und sekundäre Geräterollen

  • Die Rollen der primären und sekundären Geräte werden vor der Bereitstellung definiert und bleiben während des Gerätebetriebs unverändert.
  • Die Zustände des aktiven und passiven Modus können sich beim Failover dynamisch ändern.

Heartbeat-Anschluss

Device HA verwendet eine dedizierte Heartbeat-Verbindung zwischen einem aktiven und einem passiven Gerät zur Statussynchronisierung und zur Auslösung von Failover und Back-up auf dem passiven Gerät, wenn das aktive Gerät nicht mehr reagiert. Auf dem passiven Gerät sind alle Ports mit Ausnahme des Ports mit dem Heartbeat-Link deaktiviert.
Im folgenden Beispiel ist Zyxel Device A das aktive Gerät, das mit dem passiven Gerät Zyxel Device B über eine dedizierte Verbindung verbunden ist, die für die Heartbeat-Steuerung, die Synchronisierung der Konfiguration und die Fehlerbehebung verwendet wird. Alle Links auf Zyxel Device B sind außer dem dedizierten Heartbeat-Link außer Betrieb.
  • Ein dedizierter Heartbeat-Port mit einer direkten Verbindung zwischen den Geräten, um den Status des jeweils anderen zu überwachen
  • Der Heartbeat-Port ist für jedes Modell vordefiniert

Geräte-HA-Voraussetzungen

  • Stellen Sie sicher, dass sowohl das primäre als auch das sekundäre Gerät die folgenden Voraussetzungen erfüllen:
  1. Gleiches Modell - Beide müssen USG FLEX 200H sein; unterschiedliche Modelle (z. B. 200H vs. 200HP) werden nicht unterstützt.
  2. Dieselbe Firmware - Es muss die gleiche Version (uOS 1.31 oder höher) verwendet werden.
  3. Dieselbe Nebula-Organisation - Beide müssen unter derselben Organisation registriert sein.
    • Weisen Sie das primäre Gerät dem Standort 1 zu.
    • Weisen Sie die sekundäre Anlage dem Standort 2 zu.

Hinweis: Es wird dringend empfohlen, die Schritte der Geräteregistrierung auf Nebula abzuschließen, bevor Sie HA koppeln.

  • SSH aktivieren - SSH muss auf beiden Geräten aktiviert sein (System > SSH) und Port 22 für Device HA sync verwenden.
  • Management IP-Subnetz - Es wird nur 255.255.255.0 unterstützt.

Einrichten von Device HA

Um die Device HA-Funktion einzurichten, loggen Sie sich bitte in die Weboberfläche der Zyxel Firewalls ein und navigieren Sie zu:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Wählen Sie den Typ der Mac-Adresse mit Bedacht, da diese Einstellung nicht mehr geändert werden kann, sobald HA aktiviert ist. Um weitere Änderungen vorzunehmen, müssen Sie HA deaktivieren, die Änderungen vornehmen und dann HA erneut einrichten.

Überprüfen Sie den HA-Status unter System > Device HA > HA Status

Überprüfen Sie das HA-Protokoll des aktiven Zyxel Device unter System > Device HA > HA Log

Konfigurieren Sie Device HA auf dem passiven Zyxel-Gerät unter System > Device HA > HA Configuration.

Aktivieren - HA-Konfiguration (In diesem Stadium sind keine weiteren Maßnahmen erforderlich. Trennen Sie nach der Aktivierung von HA auf dem passiven Gerät alle Netzwerkverbindungen von diesem und schließen Sie dann das Heartbeat-Kabel vom aktiven Gerät an das passive Gerät an).

Warnung WICHTIG: Das Aktivieren der Hochverfügbarkeit (HA) des sekundären Geräts bewirkt Folgendes:
- Die WAN/LAN-Ports des Geräts werden nicht mehr verbunden.
- Abmelden der aktuellen Web-GUI-Sitzung

Verbinden Sie das Heartbeat-Ethernet-Kabel zwischen dem aktiven und dem passiven Zyxel-Gerät.

Überprüfen Sie den HA-Status der aktiven und passiven Zyxel-Geräte unter System > Device HA > HA Status.

Überprüfen Sie die Protokolle auf dem aktiven Zyxel-Gerät unter System > Device HA > HA Log.

Wenn Sie sich nach dem Device HA-Pairing bei einem Zyxel-Gerät anmelden, wird ein Banner angezeigt, das angibt, ob Sie bei einem aktiven oder passiven Zyxel-Gerät angemeldet sind.

Failover-Erfolg - Protokoll

Fehlerbehandlung

Die Firewall erkennt, ob die Gerätefirmware oder das Modell unterschiedlich ist

 Status Pairing fehlgeschlagen:
  • MAC/SN kann nicht korrekt vom Zertifikat abgerufen werden
  • Geräteregistrierung fehlgeschlagen
  • Geräte-Firmware oder -Modell stimmen nicht überein
  • Geräte gehören zu unterschiedlichen Organisationen
  • Geräteeigentümerschaft stimmt nicht überein
  • Gerät ist keinem Standort zugewiesen

Beispiel 1: Überprüfung des Geräte-HA-Status

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Beispiel 2: Erzwingen einer vollständigen Synchronisation

[Aktiv]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Passiv]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Beispiel 3: Wie prüft man den Synchronisationsstatus?

[Passiv]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Bitte beachten:
uOS 1.31 verhindert, dass Benutzer die Konfiguration auf GUI, CLI und NCC Live Tool anwenden, wenn Device HA gepaart ist.
Der Grund dafür ist die Vermeidung der Anwendung von Konfigurationen, wenn HA nicht aktiviert ist.


Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.