Zyxel USG FLEX Serie H [HA] - Sustituir el dispositivo o volver a implementar HA (HA PRO)

Creación - Actualización
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con exactitud. Si hay preguntas o discrepancias sobre la exactitud de la información en la versión traducida, por favor revise el artículo original aquí:Versión Original

Para reemplazar un firewall Zyxel USG FLEX Serie H dañado o no funcional en una configuración de Alta Disponibilidad (HA), es esencial seguir las mejores prácticas para minimizar el tiempo de inactividad y restaurar la funcionalidad de HA de manera efectiva. Mientras que la sustitución de un dispositivo averiado implica esencialmente la reconfiguración de la configuración de HA desde cero, esta guía describe los pasos clave, las mejores prácticas y los matices importantes para ayudar a agilizar el proceso y evitar errores comunes.

Esta es una guía paso a paso para reemplazar y reconstruir HA en un escenario de este tipo:

  • Tiene dos cortafuegos USG FLEX serie H (principal y secundario).
  • El dispositivo "Primario" defectuoso se sustituirá por una unidad nueva y operativa del mismo modelo.
  • La unidad secundaria/de reserva sigue funcionando y actualmente está activa.

Topología HA:

  • USG FLEX 500H - Sitio5(FLEX500HP_1) - Primario (El sitio principal donde todos los dispositivos de nuestro sitio están físicamente registrados y el firewall principal)
  • USG FLEX 500H - Site5(FLEX500HP_2) - Secundario (Un sitio con sólo un dispositivo firewall de respaldo físicamente registrado)

Esta configuración puede ser algo confusa, ya que los cortafuegos están registrados en sitios diferentes. Sin embargo, el cortafuegos del sitio secundario (copia de seguridad/pasivo) siempre aparecerá como desconectado, mientras que el cortafuegos del sitio primario (principal) aparecerá siempre como conectado, independientemente de qué cortafuegos esté gestionando activamente el tráfico en un momento dado.

Supongamos que el cortafuegos primario registrado en el sitio principal ha fallado y que el cortafuegos de copia de seguridad (secundario) está gestionando todo el tráfico. En este caso, tenemos que sustituir el cortafuegos que ha fallado y que está registrado en el sitio principal. Pero también podemos mover nuestro dispositivo pasivo al sitio principal y convertirlo en el sitio principal, y sólo entonces añadir nuestro nuevo dispositivo como dispositivo pasivo.

Paso 1: Retire el peer de HA defectuoso

  • Desconecte físicamente el dispositivo dañado y retírelo del sistema.
  • En el dispositivo activo (en funcionamiento), vaya a: Menú izquierdo > Sistema> Dispositivo HA
    Si la HA está activada pero no se puede sincronizar con el peer averiado, haga clic en Desactivar HA.
  • Guarde y aplique los cambios para completar este paso.

Copia de seguridad de la configuración en el dispositivo activo (no es obligatorio, pero es la mejor práctica para evitar la pérdida de su configuración. Lo ideal es tener siempre una copia de la configuración).

  • Inicie sesión en el dispositivo activo (en funcionamiento).
  • Vaya a Mantenimiento > Administrador de archivos > Archivo de configuración.
  • Descargue una última configuración y una configuración de inicio del dispositivo Activo (por si algo sale mal).

Paso 2 - Preparación para HA del dispositivo maestro activo

En este ejemplo, procederemos asignando el dispositivo actualmente activo al Sitio 1 como dispositivo Primario. El dispositivo de sustitución (nuevo) se asignará al sitio 2 como dispositivo de copia de seguridad (secundario).

Dado que en los pasos anteriores desactivamos la HA en el dispositivo activo, el dispositivo aparecerá ahora como conectado en el Sitio 2. Como se muestra en la imagen de abajo, ahora vamos a reasignar este dispositivo al Sitio 1 y designarlo como el dispositivo Primario.

En primer lugar, tenemos que eliminar nuestro cortafuegos dañado del sitio principal.

En primer lugar, tenemos que eliminar nuestro cortafuegos dañado del sitio principal. Asigne su dispositivo activo al sitio principal, convirtiéndolo así en el principal.

Ahora puede comprobar que el dispositivo anteriormente secundario se ha añadido correctamente al sitio principal y ha asumido de forma natural el papel del dispositivo principal.

Paso 3 - Preparación para HA del dispositivo pasivo

  • Desembale y encienda el dispositivo nuevo/de sustitución, pero no lo conecte aún a la red.
  • Asegúrese de que la versión del firmware coincide con la del dispositivo activo (compruébelo en Mantenimiento > Firmware).
  • Si no es así, actualice el firmware.

Restablecimiento de fábrica del nuevo dispositivo (si se ha utilizado anteriormente)

  • Mantenga pulsado el botón RESET durante ~10 segundos hasta que el LED SYS parpadee en ámbar.
  • Deje que el dispositivo se reinicie por completo.

Conecte y configure el nuevo dispositivo de sustitución

  • Conecte su PC al puerto LAN del nuevo cortafuegos.
  • También necesitará acceso a Internet en el nuevo dispositivo para registrarlo y añadirlo al sitio Nebul.
  • Inicie sesión utilizando la IP por defecto: 192.168.168.1 (admin / 1234).
  • Inicialice el dispositivo y, durante el proceso de inicialización, regístrelo en la misma organización.
  • Añada su nuevo dispositivo al segundo sitio; el nuevo dispositivo será nuestro dispositivo de reserva/secundario.

Paso 4 - Vuelva a emparejar los dispositivos para HA

  • En el dispositivo principal, vaya a > Sistema > Dispositivo HA > Configuración HA.
  • Haga clic en Activar HA y configure:
  • En el dispositivo secundario, vaya a > System >Device HA > HA Configuration
  • Haga clic en Activar HA y configure (en un dispositivo pasivo, no es necesario realizar ninguna configuración de HA, basta con activar esta función):

Además, tenga en cuenta que el cable heartbeat debe estar desconectado por ahora.

Paso 5 - Sincronización y pruebas

  • Una vez activada la HA en ambos lados:
    • El primario debe enviar su configuración al nuevo dispositivo.
    • Espere a que se complete la sincronización. Puede tardar unos minutos.
    • Compruebe el estado de HA: Sistema > HA del dispositivo > Registro de HA

Paso 6 - Procedimiento de prueba de conmutación por error:

Simular un fallo en el sistema primario
Apague temporalmente o desconecte el sistema primario de la WAN para simular un escenario de fallo.

Verificación de la conmutación por error del sistema secundario
Confirme que el sistema secundario recién designado asume correctamente la función del primario sin interrupción del servicio.

Restaure el primario y valide el estado de HA
Reinicie el dispositivo activo para que el dispositivo primario original vuelva a estar activo. Compruebe que el estado de alta disponibilidad (HA) se normaliza y que se recuperan los roles.

Si el estado de sincronización parece incorrecto, a pesar de que los registros y la configuración indican un funcionamiento correcto, puede resolver el problema a través de la Consola Web ejecutando el siguiente comando:

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

Artículos en esta sección

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 0 de 0
Compartir

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.