Zyxel USG FLEX H Series [HA] - Ersetzen Sie das Gerät oder stellen Sie HA neu ein (HA PRO)

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Um eine beschädigte oder nicht funktionsfähige Firewall der Zyxel USG FLEX H-Serie in einem High Availability (HA) Setup zu ersetzen, ist es wichtig, Best Practices zu befolgen, um Ausfallzeiten zu minimieren und die HA-Funktionalität effektiv wiederherzustellen. Da der Austausch eines ausgefallenen Geräts im Wesentlichen eine Neukonfiguration des HA-Setups von Grund auf erfordert, werden in diesem Leitfaden die wichtigsten Schritte, Best Practices und wichtigen Nuancen beschrieben, um den Prozess zu optimieren und häufige Fallstricke zu vermeiden.

Im Folgenden finden Sie eine Schritt-für-Schritt-Anleitung zum Ersetzen und Wiederherstellen von HA in einem solchen Szenario:

  • Sie haben zwei Firewalls der USG FLEX H-Serie (primär und sekundär).
  • Das fehlerhafte "primäre" Gerät wird durch ein neues, funktionierendes Gerät desselben Modells ersetzt.
  • Das sekundäre/Standby-Gerät funktioniert weiterhin und ist derzeit aktiv.

HA-Topologie:

  • USG FLEX 500H - Site5(FLEX500HP_1) - Primär (der Hauptstandort, an dem alle Geräte an unserem Standort physisch registriert sind, und die Haupt-Firewall)
  • USG FLEX 500H - Site5(FLEX500HP_2) - Sekundär (Ein Standort, an dem nur ein Backup-Firewall-Gerät physikalisch registriert ist)

Diese Konfiguration kann etwas verwirrend sein, da die Firewalls an verschiedenen Standorten registriert sind. Die Firewall am sekundären Standort (Backup/Passiv) wird jedoch immer als offline angezeigt, während die Firewall am primären Standort (Hauptstandort) stets als online angezeigt wird, unabhängig davon, welche Firewall zu einem bestimmten Zeitpunkt aktiv Datenverkehr verarbeitet.

Nehmen wir an, dass die primäre Firewall, die für den Hauptstandort registriert ist, ausgefallen ist und die Backup-Firewall (sekundäre Firewall) derzeit den gesamten Datenverkehr abwickelt. In diesem Fall müssen wir die ausgefallene Firewall, die am Hauptstandort registriert ist, ersetzen. Wir können aber auch unser passives Gerät zur Hauptsite verschieben und diese zur Hauptsite machen und erst dann unser neues Gerät als passives Gerät hinzufügen.

Schritt 1: Entfernen Sie den defekten HA-Peer

  • Trennen Sie das defekte Gerät physisch ab und entfernen Sie es aus dem System.
  • Navigieren Sie auf dem aktiven (funktionierenden) Gerät zu: Linkes Menü > System> Gerät HA
    Wenn HA derzeit aktiviert ist, aber nicht mit dem defekten Peer synchronisiert werden kann, klicken Sie auf HA deaktivieren.
  • Speichern und übernehmen Sie die Änderungen, um diesen Schritt abzuschließen.

Sichern Sie die Konfiguration auf dem aktiven Gerät (dies ist nicht zwingend erforderlich, aber die beste Vorgehensweise, um den Verlust Ihrer Einstellungen zu vermeiden. Idealerweise sollten Sie immer eine Kopie der Konfiguration haben).

  • Melden Sie sich auf dem aktiven (funktionierenden) Gerät an.
  • Gehen Sie zu Wartung > Dateimanager > Konfigurationsdatei.
  • Laden Sie eine letzte gute und eine Startkonfiguration des aktiven Geräts herunter (für den Fall, dass etwas schief geht).

Schritt 2 -Vorbereitung für HA des aktiven Master-Geräts

In diesem Beispiel wird das derzeit aktive Gerät dem Standort 1 als Primärgerät zugewiesen. Das Ersatzgerät (neues Gerät) wird Site 2 als Backup-Gerät (Sekundärgerät) zugewiesen.

Da wir in den vorangegangenen Schritten HA auf dem aktiven Gerät deaktiviert haben, erscheint das Gerät nun auf Site 2 als online. Wie in der Abbildung unten gezeigt, weisen wir dieses Gerät nun wieder Site 1 zu und bestimmen es als primäres Gerät.

Zunächst müssen wir unsere beschädigte Firewall von der Hauptsite entfernen.

Zunächst müssen wir unsere beschädigte Firewall von der Hauptsite entfernen. Weisen Sie Ihr aktives Gerät der Hauptsite zu und machen Sie es damit zur Hauptsite.

Sie können nun überprüfen, ob das zuvor sekundäre Gerät erfolgreich zum Hauptstandort hinzugefügt wurde und die Rolle des primären Geräts übernommen hat.

Schritt 3 - Vorbereitung für HA des passiven Geräts

  • Packen Sie das neue/Ersatzgerät aus und schalten Sie es ein, aber schließen Sie es noch nicht an das Netzwerk an.
  • Stellen Sie sicher, dass die Firmware-Version mit der des aktiven Geräts übereinstimmt (überprüfen Sie dies unter Wartung > Firmware).
  • Falls nicht, aktualisieren Sie die Firmware.

Setzen Sie das neue Gerät auf die Werkseinstellungen zurück (falls zuvor verwendet)

  • Halten Sie die RESET-Taste für ~10 Sekunden gedrückt, bis die SYS-LED gelb blinkt.
  • Lassen Sie das Gerät vollständig neu starten.

Schließen Sie das neue Ersatzgerät an und konfigurieren Sie es

  • Schließen Sie Ihren PC an den LAN-Port der neuen Firewall an.
  • Sie benötigen außerdem einen Internetzugang für das neue Gerät, um es zu registrieren und der Nebul-Website hinzuzufügen.
  • Melden Sie sich mit der Standard-IP 192.168.168.1 (admin / 1234) an.
  • Initialisieren Sie das Gerät, und registrieren Sie es während des Initialisierungsprozesses in derselben Organisation.
  • Fügen Sie Ihr neues Gerät dem zweiten Standort hinzu; das neue Gerät wird unser Backup-/Sekundärgerät sein.

Schritt 4 - Koppeln Sie die Geräte erneut für HA

  • Gehen Sie auf dem Primärgerät zu > System >Geräte-HA > HA-Konfiguration
  • Klicken Sie auf HA aktivieren und legen Sie fest:
  • Gehen Sie auf dem sekundären Gerät zu > System >Gerät HA > HA-Konfiguration
  • Klicken Sie auf Enable HA and set (bei einem passiven Gerät müssen Sie keine HA-Einstellungen vornehmen, sondern nur diese Funktion aktivieren):

Beachten Sie außerdem, dass das Heartbeat-Kabel vorerst nicht angeschlossen sein sollte.

Schritt 5 - Synchronisierung und Testen

  • Sobald HA auf beiden Seiten aktiviert ist:
    • Das primäre Gerät sollte seine Konfiguration auf das neue Gerät übertragen.
    • Warten Sie auf den Abschluss der Synchronisierung. Dies kann ein paar Minuten dauern.
    • Prüfen Sie den HA-Status: System > Geräte-HA > HA-Protokoll

Schritt 6 - Failover-Testverfahren:

Simulieren des Ausfalls des Primärsystems
Schalten Sie das primäre System vorübergehend ab oder trennen Sie es vom WAN, um ein Ausfallszenario zu simulieren.

Überprüfen der sekundären Übernahme
Bestätigen Sie, dass das neu benannte sekundäre System die primäre Rolle ohne Dienstunterbrechung erfolgreich übernimmt.

Wiederherstellung des Primärsystems und Validierung des HA-Status
Starten Sie das aktive Gerät neu, um das ursprüngliche primäre Gerät wieder aktiv zu machen. Überprüfen Sie, ob sich der Hochverfügbarkeitsstatus (HA) normalisiert und die Rollen zurückkehren.

Wenn der Synchronisierungsstatus fehlerhaft erscheint, obwohl Protokolle und Einstellungen auf einen ordnungsgemäßen Betrieb hinweisen, können Sie das Problem über die Web-Konsole beheben, indem Sie den folgenden Befehl ausführen:

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.