Zyxel USG FLEX Serie H [HA] - Configurar Dispositivo de Alta Disponibilidad (HA PRO)

Creación - Actualización
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con exactitud. Si tiene dudas o discrepancias sobre la exactitud de la información en la versión traducida, consulte el artículo original aquí:Versión original

El dispositivo HA (Alta Disponibilidad) (HA PRO) solución garantiza la conectividad de red continua mediante la utilización de un par de cortafuegos figurado en una configuración activa-pasiva. En esta configuración, el cortafuegos activo gestiona el tráfico en condiciones normales mientras que el cortafuegos pasivo permanece en espera. En caso de que falle el dispositivo activo, el dispositivo pasivo asume automáticamente el papel de cortafuegos activo en cuestión de segundos, garantizando una interrupción mínima y manteniendo el funcionamiento ininterrumpido de la red.

Introducción del dispositivo de alta disponibilidad

Las siguientes funciones se pueden transferir al dispositivo Zyxel secundario cuando se convierte en activo mediante Device HA:
  • Puesta en marcha y configuración en ejecución
  • Firmas
  • Device Insight
  • Lista de bloqueos externos
  • Entradas de arrendamiento DHCP
  • Autenticación de dos factores
  • Certificados
  • Licencias, incluido NCC, si procede
  • Hora del dispositivo Zyxel

Requisito

  • El dispositivo de HA requiere el mismo modelo de cortafuegos y debe instalar la misma versión de firmware.
  • Ambos dispositivos deben estar registrados en la misma organización.
Versión de firmware Soporte Modelo emparejado
A partir de 1.31 USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Funciones de los dispositivos primario y secundario

  • Los roles de los dispositivos primario y secundario se definen antes de la implementación y permanecen inalterados durante el funcionamiento del dispositivo.
  • Los estados de los modos activo y pasivo pueden cambiar dinámicamente durante la conmutación por error.

Puerto Heartbeat

La HA de dispositivos utiliza un enlace heartbeat dedicado entre un dispositivo activo y uno pasivo para sincronizar el estado y activar la conmutación por error y la copia de seguridad en el dispositivo pasivo si el dispositivo activo deja de responder. En el dispositivo pasivo, todos los puertos están deshabilitados excepto el puerto con el enlace heartbeat.
En el siguiente ejemplo, el dispositivo Zyxel A es el dispositivo activo que está conectado al dispositivo pasivo Zyxel B a través de un enlace dedicado que se utiliza para el control de heartbeat, la sincronización de la configuración y la resolución de problemas. Todos los enlaces en el dispositivo Zyxel B están caídos excepto el enlace heartbeat dedicado.
  • Un puerto heartbeat dedicado con una conexión directa entre los dispositivos para monitorizar el estado del otro.
  • El puerto heartbeat para cada modelo está predefinido

Requisitos previos de HA de dispositivos

  • Asegúrese de que tanto el dispositivo primario como el secundario cumplen los siguientes requisitos:
  1. Mismomodelo: ambos deben ser USG FLEX 200H; no se admiten modelos diferentes (por ejemplo, 200H frente a 200HP).
  2. Mismofirmware - Deben ejecutar la misma versión (uOS 1.31 o posterior).
  3. Misma OrganizaciónNebula - Ambos deben estar registrados bajo la misma Organización.
    • Asigne el primario al Sitio 1
    • Asigne el secundario al Sitio 2

Nota: Se recomienda encarecidamente completar los pasos de registro de dispositivos en Nebula antes de emparejar HA.

  • Habilitar SSH - SSH debe estar habilitado en ambos dispositivos (Sistema > SSH) utilizando el puerto 22 para la sincronización HA del dispositivo.
  • Subred IP de gestión - Sólo se admite 255.255.255.0.

Configuración de Device HA

Para configurar la función Device HA, inicie sesión en la interfaz web de los cortafuegos Zyxel y vaya a:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Elija el tipo de dirección Mac de forma responsable, ya que esta configuración no se puede cambiar una vez activada la HA. Para realizar más cambios, tendrá que desactivar HA, realizar los cambios y, a continuación, volver a configurar HA.

Compruebe el estado de HA en Sistema > Dispositivo HA > Estado de HA

Compruebe el registro de HA del dispositivo Zyxel activo en Sistema > Dispositivo HA > Registro de HA.

Configure HA de dispositivo en el dispositivo Zyxel pasivo en Sistema > HA de dispositivo > Configuración de HA.

Activar - Configuración de HA (No es necesario realizar ninguna otra acción en esta fase. Después de activar HA en el dispositivo pasivo, desconecte todas las conexiones de red del mismo y, a continuación, conecte el cable heartbeat del dispositivo activo al pasivo).

Advertencia IMPORTANTE: Al activar la Alta disponibilidad (HA) del dispositivo secundario:
- Los puertos WAN/LAN del dispositivo se desconectarán.
- Cierre la sesión actual de la GUI web

Conecte el cable Ethernet heartbeat entre los dispositivos Zyxel activo y pasivo.

Verifique el estado de HA de los dispositivos Zyxel activo y pasivo en Sistema > Dispositivo HA > Estado HA.

Compruebe los registros del dispositivo Zyxel activo en Sistema > Dispositivo HA > Registro HA.

Cuando inicie sesión en un dispositivo Zyxel después del emparejamiento de HA del dispositivo, verá un banner para mostrar si ha iniciado sesión en el dispositivo Zyxel activo o pasivo.

Éxito de la conmutación por error - Registro

Gestión de errores

El cortafuegos detectará si el firmware o modelo del dispositivo es diferente

 Estado de emparejamiento fallido:
  • No se puede obtener MAC/SN correctamente del certificado
  • Fallo en el registro del dispositivo
  • Se ha detectado que el firmware o el modelo del dispositivo no coinciden
  • Los dispositivos pertenecen a una organización diferente
  • No coincide la propiedad del dispositivo
  • El dispositivo no está asignado a un sitio

Ejemplo 1: Cómo comprobar el estado de HA del dispositivo

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Ejemplo 2. Forzar una sincronización completa Forzar una sincronización completa

[Activo]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Pasivo]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Ejemplo 3: ¿Cómo comprobar el estado de la sincronización?

[Pasivo]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Tenga en cuenta que
uOS 1.31 impide a los usuarios aplicar la configuración en GUI, CLI y NCC herramienta en vivo cuando el dispositivo HA emparejado
La razón es evitar la aplicación de la configuración donde HA no está activado


Artículos en esta sección

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 0 de 0
Compartir

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.