Firewall Hochverfügbarkeit HA Pro – Gerät HA Pro konfigurieren

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Device HA Pro ist ein Dienst, der zur Bereitstellung von Netzwerkausfallsicherheit verwendet wird, um potenzielle Ausfallzeiten zu reduzieren, und erfordert keine zusätzlichen Lizenzen zur Aktivierung dieses Dienstes. Darüber hinaus synchronisiert Device HA Pro die Konfigurationsdatei, die Gerätebetriebszeit, TCP-Sitzungen (IPv4/IPv6), IPSec VPN-Sitzungen, I/O-Informationen, DHCP-Tabelle, IP/MAC-Bindungstabelle und den Lizenzstatus. Das mit der Device HA Pro-Installation gekoppelte Gerät übernimmt entweder eine aktive oder passive Rolle. Das aktive Gerät erhält alle an der Konfiguration vorgenommenen Änderungen und ist dafür verantwortlich, die Informationen an das passive Gerät zu senden. Das Gerät, das die passive Rolle übernimmt, empfängt Konfigurationsänderungen vom aktiven Gerät und übernimmt die aktive Rolle, wenn das derzeit aktive Gerät sich in einem der folgenden Zustände befindet.

Wichtige Informationen: Beide Geräte müssen dasselbe Modell sein und im selben myZyxel.com-Konto registriert sein. Die Lizenzen müssen auf das aktive Gerät übertragen werden. Wenn die aktive Firewall ausfällt, werden alle Lizenzen automatisch auf die passive Firewall übertragen.

Vor der Konfiguration von Device HA Pro ist Folgendes wichtig:

  1. Das passive Gerät sollte VON ANFANG AN NUR mit einem PC verbunden sein, der Web-GUI-Zugriff hat, und es darf KEIN Heartbeat-Kabel angeschlossen sein.
  2. Das passive Gerät sollte ZURÜCKGESETZT werden und dieselbe Firmware wie das aktive Gerät haben, bevor die HA Pro-Konfiguration erfolgen kann.
  3. Die passive Firewall sollte bei MyZyxel registriert sein.
  4. Warten Sie, bis die SYS-LED blinkt (passiver Zustand), bevor Sie die restlichen Kabel anschließen.
  5. Bei erfolgreicher Konfiguration von HA Pro sollte es beim Koppeln der Geräte keine Ausfallzeiten geben.
  6. Stellen Sie sicher, dass die Firmware-Versionen auf beiden Partitionen des ersten und zweiten Geräts übereinstimmen.

Was kann schiefgehen? Warum sehe ich den korrekten Lizenzstatus nicht auf dem myzyxel.com-Server?
In den Device-HA Pro-Einstellungen gibt es eine Funktion „Seriennummer des lizenzierten Geräts für die Lizenzsynchronisierung“. Sie sollten die Seriennummer des Geräts mit den Lizenzen eingeben. So können Sie alle Lizenzen auf das „aktive“ Gerät übertragen und geben dessen Seriennummer in das Feld ein.

Hinweis: Die standardmäßig mitgelieferte einjährige Gold Security Pack-Lizenz der ATP-Gateways ist nicht übertragbar. Für die Device HA-Bereitstellung bitte kontaktieren Sie den Zyxel-Support in Ihrem Land/Ihrer Region, um Ihnen bei der Lizenzübertragung zu helfen. Lizenz

Wie Sie das Support-Team für die Lizenzübertragung kontaktieren, erfahren Sie hier: Wie kontaktiere ich das Support-Team?

Übersicht

Die Device HA-Funktion fungiert als Failover, wenn eine der Firewalls im Netzwerk ausfällt oder keinen Internetzugang hat. Bei Device HA Pro wird ein „Heartbeat-Link“ hinzugefügt, um den Schnittstellenstatus zu überwachen und Einstellungen zu synchronisieren.

Untitled.png

 

Aktive Geräte-Konfiguration

Um die Device HA Pro-Funktion einzurichten, melden Sie sich bitte an der Weboberfläche der Zyxel-Firewalls an und navigieren Sie zu:

Konfiguration -> Device HA -> Device HA Pro

Der letzte physische RJ45-Port an der Zyxel-Firewall ist der Device HA Management-Port (Heartbeat-Port). Bitte stellen Sie sicher, dass dieser Port kein Teil eines LAG-, VLAN- oder Bridge-Interfaces ist.

Schritte:
• Deaktivieren Sie die Option „Konfigurationsbereitstellung vom aktiven Gerät aktivieren“.
• Überprüfen Sie, dass die Seriennummer die des primären Geräts ist.
• Geben Sie eine IP-Adresse für das aktive Gerät an. (Diese Adresse darf auf keinem Ihrer aktuellen Interfaces verwendet werden.)
• Geben Sie eine IP-Adresse für das passive Gerät an. (im selben Subnetz wie oben)
• Geben Sie eine Subnetzmaske an.
• Erstellen Sie ein Synchronisationspasswort.
• Wählen Sie die zu überwachenden Schnittstellen aus der verfügbaren Liste aus und verschieben Sie sie in die Mitgliedsliste.
• Konfigurieren Sie Ihre gewünschten Einstellungen zur Failover-Erkennung.
• Klicken Sie auf die Schaltfläche „Übernehmen & zu Device HA Pro wechseln“.

Gehen Sie erneut zum Device HA-Tab, um die Device HA-Funktion auf der aktiven Firewall zu aktivieren.
• Überprüfen Sie, dass der Device HA-Modus auf „Device HA Pro“ eingestellt ist.
• Aktivieren Sie das Kontrollkästchen „Device HA aktivieren“.
• Klicken Sie unten auf der Seite auf die Schaltfläche „Übernehmen“, um die Einstellungen zu speichern.

Passive Geräte-Konfiguration

Hinweis! Verbinden Sie Ihren PC beim Konfigurieren von HA Pro nur mit der passiven Firewall. Nachdem Sie HA Pro konfiguriert haben und dieselbe Firmware wie das aktive Gerät installiert ist, können Sie das Heartbeat-Kabel anschließen (NUR!). Nachdem das Gerät hochgefahren ist und Sie die SYS-LED sowie nur die LED des Heartbeat-Ports leuchten sehen, können Sie die restlichen Ports anschließen.
Um das passive Gerät zu konfigurieren, verbinden Sie bitte Ihren Computer mit der zweiten Zyxel-Firewall und greifen Sie auf die Weboberfläche zu

 Konfiguration -> Device HA -> Device HA Pro

• Stellen Sie sicher, dass „Konfigurationsbereitstellung vom aktiven Gerät aktivieren“ aktiviert ist.
• Überprüfen Sie, dass der Device HA-Modus auf „Device HA Pro“ eingestellt ist.
• Aktivieren Sie das Kontrollkästchen „Device HA aktivieren“.
• Klicken Sie unten auf der Seite auf die Schaltfläche „Übernehmen“, um die Einstellungen zu speichern.

Verbinden Sie ein Ethernet-Kabel mit dem Heartbeat-Port (letzter physischer Port) an beiden Geräten und warten Sie etwa 5 Minuten, damit die Geräte alle Einstellungen synchronisieren können. Zu diesem Zeitpunkt ist die Device HA Pro-Funktion konfiguriert und alle Änderungen an der primären (aktiven) Firewall werden mit der sekundären (passiven) Firewall synchronisiert.

Hinweis: Bitte aktivieren Sie die „Konnektivitätsprüfung“ für die WAN-Verbindung(en). Wenn diese Option aktiviert ist, kann die Zyxel-Firewall den Internetzugang testen und bei einem Ausfall des aktiven Geräts auf die sekundäre Internetverbindung des passiven Geräts umschalten.

Im On-Premises-Modus mit aktivierter Hochverfügbarkeitsfunktion (HA) verwenden Sie bitte KEIN Cloud-Firmware-Upgrade. Sie müssen einem anderen Verfahren folgen, um das Firmware-Upgrade abzuschließen; bitte lesen Sie die SOP. * Anwendbare Modelle und Versionen: USG FLEX 500/700, ATP500/700/800 mit ZLD5.20 bis ZLD5.21 Patch1.

Fehlerbehebungstipps

1. Die Synchronisation kann mit folgenden Meldungen auf dem passiven Gerät fehlschlagen

Die Synchronisation schlägt auf dem passiven Gerät fehl mit den Meldungen:
Retrieving Active Firmware version has failed
Retrieving Active Firmware version has failed
Retrieving Active Firmware version has failed
Device HA Sync ist beim Synchronisieren der Firmware-Version aufgrund eines schlechten 'Sync From' oder 'Sync Port' fehlgeschlagen.

Ein möglicher Grund kann sein, dass der FTP-Dienst auf dem aktiven Gerät einige Einschränkungen hat, sodass das passive Gerät nicht darauf zugreifen kann.

Beispiel für eine falsche Konfiguration:

2. Geräte synchronisieren nicht

  • Stellen Sie sicher, dass beide Geräte dieselbe Firmware-Version verwenden. Beide müssen dieselbe Firmware-Version ausführen, um zu synchronisieren.
  • Stellen Sie sicher, dass beide Geräte dieselbe Firmware-Bank/-Slot verwenden. Wenn das primäre Gerät Firmware-Slot 1 ausführt und Slot 2 im Standby ist, muss das zweite Gerät ebenfalls Slot 1 ausführen und Slot 2 im Standby haben.
  • Stellen Sie sicher, dass nur der Heartbeat-Port (letzter RJ45-Port am Gerät [z. B. P7]) in den ersten 5 Minuten nach Aktivierung der Device HA Pro-Funktion mit dem primären Gerät verbunden ist. Wenn beide Geräte gleichzeitig mit einem aktiven Netzwerk verbunden sind, kann dies Routing-Probleme, Schleifen und Kollisionen verursachen, die das Netzwerk beeinträchtigen.

 3. Zugriff auf das passive Gerät nicht möglich

  1.  
    • Bitte stellen Sie sicher, dass die Geräte die Synchronisation abgeschlossen haben. Der initiale Synchronisationsprozess kann bis zu 5 Minuten dauern.
    • Verwenden Sie die IP-Adresse, die Sie im Device HA Pro-Menü für „Passive Device Management IP“ konfiguriert haben.

4. Ich habe Änderungen am passiven Gerät vorgenommen, aber diese werden nicht auf dem Master synchronisiert.

  •  
    • Sobald Device HA Pro konfiguriert ist, sollten alle Änderungen an der Netzwerkkonfiguration am Master/primären Gerät vorgenommen werden. Das passive Gerät ist nur ein Slave, und Änderungen hier werden nicht auf das primäre Gerät angewendet.

5. SecuReporter-Lizenz/-Dienst ist auf der Firewall aktiv, aber das Gerät kann im SecuReporter nicht gefunden werden

  •  
    • Wenn das Master-Gerät auf das passive Gerät umgeschaltet hat und dann die SecuReporter-Lizenz aktiviert wird, kann es vorkommen, dass die Lizenz im SecuReporter nicht synchronisiert wird, obwohl in der Firewall-GUI „aktiv/aktiviert“ angezeigt wird. Sie müssen das primäre Gerät wieder aktivieren, dann das Gerät und die Organisation im SecuReporter entfernen und den SecuReporter-Dienst auf dem primären Gerät erneut aktivieren.

 

Bei weiteren Problemen führen Sie bitte eine Neuinstallation von Device HA Pro durch, siehe hier Device HA Pro Neuinstallation

 

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
2 von 3 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.