Always-On-Netzwerksicherheit mit USG FLEX H-Serie und HA – Fragen und Antworten

Hochverfügbarkeit (High Availability, HA) ist eine Technologie, die einen kontinuierlichen Netzwerkbetrieb gewährleistet, indem zwei identische Geräte in einer Aktiv/Passiv-Konfiguration verwendet werden. Bei einem Ausfall des aktiven Geräts übernimmt das passive Gerät automatisch die Aufgaben, wodurch Ausfallzeiten minimiert werden.

Wichtige Anforderungen für die HA-Einrichtung

• Identische Gerätemodelle: Zum Beispiel zwei USG FLEX 500H-Einheiten.
• Gleiche Firmware-Version: Zum Beispiel uOS 1.31 oder höher.
• Registrierung in derselben Nebula-Organisation: Beide Geräte müssen unter derselben Organisation im Nebula Control Center registriert sein.
• Spezieller Port für die Heartbeat-Verbindung:
  In der Regel wird der letzte Ethernet-Port des Geräts für den Austausch von Heartbeat-Signalen zwischen den Geräten verwendet.

HA-Konfigurationsfunktionen

• Heartbeat-Verbindung: Die Geräte tauschen alle 2 Sekunden Signale über den UDP-Port 694 aus.
  Wenn die passive Einheit zwei aufeinanderfolgende Heartbeats verpasst, wechselt sie in den aktiven Modus.
• Konfigurationssynchronisation: Alle Konfigurationsänderungen am aktiven Gerät werden automatisch mit der passiven Einheit synchronisiert.
  Wichtig: Nehmen Sie keine Änderungen direkt am passiven Gerät vor.
• Virtuelle MAC-Adresse: Während des Rollenwechsels wird eine virtuelle MAC-Adresse verwendet, um ARP-Cache-Probleme im Netzwerk zu vermeiden.

Lizenzverwaltung

• Es ist nur eine Lizenz erforderlich:
  Alle Lizenzen des aktiven Geräts werden beim Rollenwechsel automatisch vom passiven Gerät übernommen.
• Wie kontaktieren Sie das Support-Team für eine Lizenzübertragung? Bitte sehen Sie hier nach:Wie kontaktieren Sie das Support-Team?

Häufig gestellte Fragen

Wie kann ich im HA-Modus auf das passive (Slave-)Gerät zugreifen?
Um auf das passive Gerät zuzugreifen, müssen Sie die während der HA-Einrichtung konfigurierte Verwaltungs-IP-Adresse verwenden. Das Slave-Gerät ist nur über den dedizierten Heartbeat-Port und nur über die angegebene Verwaltungs-IP erreichbar.

Wird HA im Nebula-Modus auf USG FLEX H mit uOS unterstützt?
Ja, HA wird auf USG FLEX H mit uOS unterstützt, jedoch nicht direkt über die Nebula-Cloud-Schnittstelle. Beide Geräte müssen in derselben Nebula-Organisation registriert sein. Die gesamte HA-Konfiguration und -Verwaltung erfolgt jedoch lokal über die Webschnittstelle des Geräts. Dies wird als Hybridmodus bezeichnet – das Gerät ist in Nebula für die Lizenzierung und Überwachung sichtbar, aber erweiterte Funktionen wie HA werden lokal verwaltet.

Kann ich verschiedene Gerätemodelle für HA verwenden?
Nein. Beide Geräte müssen vom gleichen Modell und der gleichen Serie sein, die gleiche Firmware-Version verwenden und bei derselben Organisation Nebula registriert sein.

Wie kann ich die HA-Synchronisierung zur Fehlerbehebung deaktivieren?
Um die HA-Synchronisierung vorübergehend zu deaktivieren, navigieren Sie in der Weboberfläche zu „System > Device HA > HA Configuration“ und pausieren Sie HA.

Wie kann ich den Synchronisierungsstatus der HA-Konfiguration überprüfen?
Um den Synchronisierungsstatus zwischen aktiven und passiven Einheiten zu überprüfen, verwenden Sie den folgenden CLI-Befehl:

show state vrf main device-ha _debug sync-info

Dadurch erhalten Sie Informationen zum aktuellen Synchronisierungsstatus.

Wie kann ich eine vollständige HA-Konfigurationssynchronisierung erzwingen?
Um eine vollständige Synchronisierung zwischen Geräten manuell auszulösen, verwenden Sie den folgenden Befehl:

cmd device-ha force-sync full

Wie kann ich die Kopplung von HA-Geräten aufheben und sie in den Standalone-Modus zurückversetzen?

1. Setzen Sie eines der Geräte (vorzugsweise das passive Gerät) auf die Werkseinstellungen zurück.
2. Starten Sie das Gerät neu oder verwenden Sie die Schaltfläche „Resync“ in der Web-GUI, um den Status in MyZyxel zu aktualisieren.
3. Die Geräte kehren in den Standalone-Modus zurück.