Dringend! Sicherheitshinweis - Firmware-Upgrade-Ratschläge für optimalen Schutz & VPN- und GUI-Stabilitäts-Probleme

Artikel lesen
Deutsch Български Čeština Dansk English Español Suomi Français Magyar Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

Firewall – Device HA Pro konfigurieren HA - HA Pro icon

Avatar
  • Aktualisiert
Zurück nach oben

Wichtiger Hinweis:
Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzungen verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Genauigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier: Originalversion

Diese Anleitung hilft Ihnen beim Einrichten von Device HA Pro auf Zyxel-Firewalls. Die Device HA Pro-Funktion wurde zuvor über eine Lizenz aktiviert, dies ist jedoch nicht mehr der Fall. Wenn Ihr Gerät noch eine Lizenz benötigt, ist das Gerät nicht auf der neuesten Firmware [USG FLEX, ATP].

1. Übersicht

2. Aktives Geräte-Setup

3. Einrichtung des passiven Geräts

4. Tipps zur Fehlerbehebung

 

Wichtige Informationen: Beide Geräte müssen vom selben Modell sein und im selben myZyxel.com-Konto registriert sein. Die Lizenzen müssen auf das aktive Gerät übertragen werden. Wenn die aktive Firewall ausfällt, werden alle Lizenzen automatisch auf die passive Firewall übertragen.
Bevor Sie mit der Bereitstellung beginnen, stellen Sie bitte sicher, dass die folgenden Bedingungen erfüllt sind:
  1. Das passive Gerät sollte von Anfang an NUR einen PC mit Web-GUI-Zugriff und OHNE Heartbeat-Kabel haben
  2. Das passive Gerät sollte zurückgesetzt werden und die gleiche Firmware wie das aktive Gerät haben, bevor die HA Pro-Konfiguration erfolgen kann.
  3. Die passive Firewall sollte MyZyxel sein.
  4. Warten Sie, bis die Sys-LED blinkt (passiver Zustand), bevor Sie die restlichen Kabel anschließen.
  5. Bei erfolgreicher Konfiguration eines HA Pro sollte es beim Koppeln von Geräten zu keinen Ausfallzeiten kommen

Was kann schon schief gehen? Warum wird der korrekte Lizenzstatus vom myzyxel.com-Server nicht angezeigt?
Auf der Device-HA Pro Einstellung gibt es eine Funktion „Seriennummer des lizenzierten Gerätes für Lizenzsynchronisierung“. Sie sollten die S/N des Geräts mit Lizenzen eingeben. So können Sie alle Lizenzen auf das „Aktivieren“-Gerät übertragen und die S/N dieses Geräts im Rahmen eingeben.

Hinweis : Die standardmäßig gebündelte einjährige Gold Security Pack-Lizenz von ATP-Gateways ist nicht übertragbar. Für die Geräte-HA-Bereitstellung wenden Sie sich bitte an den Zyxel-Support in Ihrem Land/Ihrer Region , um Ihnen bei der Übertragung von Lizenzen zu helfen. Lizenzinformationen finden Sie hier: Device HA Pro - Benötige ich alle Lizenzen doppelt für eine HA (High-Availability)-Lösung?

Wie Sie das Support-Team für die Lizenzübertragung kontaktieren können, überprüfen Sie bitte hier: Wie kann ich das Support-Team kontaktieren?

 

Überblick

Die Device HA-Funktion fungiert als Failover, wenn eine der Firewalls im Netzwerk tot ist oder nicht auf das Internet zugreifen kann . In Device HA Pro wird ein „Heartbeat-Link“ hinzugefügt, um den Schnittstellenstatus zu überwachen und Einstellungen zu synchronisieren.

Ohne Titel.png

 

Aktives Geräte-Setup

Um die Device HA Pro-Funktion einzurichten, melden Sie sich bitte bei der Zyxel-Firewall-Weboberfläche an und navigieren Sie zu:

Configuration -> Device HA -> Device HA Pro

 

Der letzte physische RJ45-Port an der Zyxel-Firewall ist der Geräte-HA-Management-Port (Heartbeat Port). Stellen Sie sicher, dass dieser Port nicht Teil einer LAG-, VLAN- oder Bridge-Schnittstelle ist.

Schritte:
 • Deaktivieren Sie die Option „Konfigurationsbereitstellung von aktivem Gerät aktivieren“.
 • Stellen Sie sicher, dass die Seriennummer die S/N des primären Geräts ist.
 • Geben Sie eine IP-Adresse für das aktive Gerät an. (Muss eine Adresse sein, die mit keiner Ihrer aktuellen Schnittstellen verwendet wird)
 Geben Sie eine IP-Adresse für das passive Gerät an. (innerhalb desselben Subnetzes wie oben)
 • Geben Sie eine Subnetzmaske an.
• Erstellen Sie ein Synchronisierungspasswort.
 • Wählen Sie die Monitorschnittstellen aus der verfügbaren Liste aus und verschieben Sie sie in die Mitgliederliste.
• Konfigurieren Sie Ihre gewünschten Failover-Erkennungseinstellungen.
 • Klicken Sie auf die Schaltfläche „Übernehmen und zu Device HA Pro wechseln“.


mceclip4.png

Wechseln Sie erneut zur Registerkarte Device HA, um die Device HA-Funktion auf der aktiven Firewall zu aktivieren.
 • Stellen Sie sicher, dass der Geräte-HA-Modus auf „Device HA Pro“ eingestellt ist.
 • Aktivieren Sie das Kontrollkästchen „Enable Device HA“.
• Klicken Sie unten auf dem Bildschirm auf die Schaltfläche „Übernehmen“, um die Einstellungen zu speichern.
mceclip5.png

 

Einrichtung des passiven Geräts

Notiz! Verbinden Sie Ihren PC nur mit der passiven Firewall, wenn Sie HA Pro konfigurieren. Nachdem Sie den HA Pro konfiguriert haben und dieselbe Firmware wie das aktive Gerät haben, können Sie das Heartbeat-Kabel anschließen (NUR!). Nachdem das Gerät hochgefahren ist und Sie das SYS-LED-Licht sehen und nur das LED-Licht des Heartbeat-Ports leuchtet, können Sie die restlichen Ports verbinden.


Um das passive Gerät zu konfigurieren, verbinden Sie bitte Ihren Computer mit der zweiten Zyxel-Firewall und greifen Sie auf die Weboberfläche zu

 Configuration -> Device HA -> Device HA Pro

• Stellen Sie sicher, dass „Enable Configuration Provisioning From Active Device“ aktiviert ist.
• Klicken Sie auf die Schaltfläche „Übernehmen und zu Device HA Pro wechseln“.
mceclip6.png
Wechseln Sie erneut zur Registerkarte Device HA, um die Device HA-Funktion auf der passiven Firewall zu aktivieren.
• Stellen Sie sicher, dass der Geräte-HA-Modus auf „Device HA Pro“ eingestellt ist.
• Aktivieren Sie das Kontrollkästchen „Enable Device HA“.
• Klicken Sie unten auf dem Bildschirm auf die Schaltfläche „Übernehmen“, um die Einstellungen zu speichern.
mceclip5.png

Verbinden Sie ein Ethernet-Kabel mit dem Heartbeat Port (letzter physischer Anschluss) auf beiden Geräten und warten Sie etwa 5 Minuten, bis die Geräte alle Einstellungen synchronisiert haben. An diesem Punkt ist die Device HA Pro-Funktion konfiguriert und alle an der primären (aktiven) Firewall vorgenommenen Änderungen werden mit der sekundären (passiven) Firewall synchronisiert.

Hinweis : Bitte achten Sie darauf, die „Verbindungsprüfung“ für die WAN-Verbindung(en) zu aktivieren. Wenn Sie diese Option aktivieren, kann die Zyxel-Firewall den Internetzugang testen und auf die sekundäre Internetverbindung des passiven Geräts umschalten, wenn sie auf dem aktiven Gerät fehlschlägt.

 

Verwenden Sie für den On-Premises-Modus mit aktivierter Hochverfügbarkeitsfunktion (HA) bitte KEIN Cloud-Firmware-Upgrade. Sie müssen ein anderes Verfahren befolgen, um das Firmware-Upgrade abzuschließen, bitte lesen Sie die SOP . * Anwendbare Modelle und Versionen: USG FLEX 500/700, ATP500/700/800 mit ZLD5.20 bis ZLD5.21 Patch1.

Device HA – Firmware-Upgrade hängt/hängt beim Laden – wie kann ich es beheben?

 

Tipps zur Fehlerbehebung

  1. Geräte werden nicht synchronisiert
    • Stellen Sie sicher, dass auf beiden Appliances dieselbe Firmwareversion ausgeführt wird. Beide müssen dieselbe Firmware-Version ausführen, um synchronisiert zu werden.
    • Stellen Sie sicher, dass auf beiden Appliances die gleiche Firmware-Bank/derselbe Firmware-Slot ausgeführt wird. Wenn das primäre Gerät Firmware-Steckplatz 1 ausführt und Steckplatz 2 Standby ist, muss das zweite Gerät auch Steckplatz 1 mit Steckplatz 2 im Standby-Modus ausführen.
    • Stellen Sie sicher, dass nur der Heartbeat-Port (letzter RJ46-Port an der Appliance [z. B.: P7]) in den ersten 5 Minuten nach Aktivierung der Device HA Pro-Funktion mit dem primären Gerät verbunden ist. Wenn beide Geräte gleichzeitig mit einem Live-Netzwerk verbunden sind, kann dies zu Routing-Problemen, Schleifen und Kollisionen führen, die das Netzwerk beeinträchtigen.
  2. Zugriff auf das passive Gerät nicht möglich
    • Bitte stellen Sie sicher, dass die Geräte synchronisiert sind. Der anfängliche Synchronisierungsvorgang kann bis zu 5 Minuten dauern.
    • Verwenden Sie die IP-Adresse, die Sie im Device HA Pro-Menü für „Passive Device Management IP“ konfiguriert haben.
  3. Ich habe Änderungen auf dem passiven Gerät vorgenommen, aber sie werden nicht auf dem Master synchronisiert.
    • Sobald Device HA Pro konfiguriert ist, sollten alle Änderungen an der Netzwerkkonfiguration auf dem Master-/Primärgerät vorgenommen werden. Das passive Gerät ist nur ein Slave und hier vorgenommene Änderungen werden nicht auf den Primary/Master angewendet.
  4. SecuReporter-Lizenz/Dienst ist auf Firewall aktiv, aber Gerät kann in SecuReporter nicht gefunden werden
    • Wenn das Master-Gerät auf das passive Gerät umgeschaltet hat und dann die SecuReporter-Lizenz aktiviert wird, kann es vorkommen, dass die Lizenz in SecuReporter nicht synchronisiert wird, obwohl auf der Firewall-GUI „aktiv/aktiviert“ angezeigt wird. Sie müssen das primäre Gerät wieder aktivieren, dann das Gerät und die Organisation auf SecuReporter entfernen und den SecuReporter-Dienst auf dem primären Gerät erneut aktivieren.

 

Es gibt andere Probleme, bitte führen Sie eine erneute Bereitstellung von Device HA Pro durch, siehe hier Neubereitstellung von Device HA Pro

 

Einrichtungsunterstützung, Sie suchen Unterstützung bei der Konfiguration durch unser Professional Services Team? Bitte überprüfen Sie hier: Zyxel ConfigService Security

 

Contact Us
War dieser Beitrag hilfreich?
1 von 2 fanden dies hilfreich
Haben Sie Fragen? Anfrage einreichen

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.