Firewall Alta Disponibilidad HA Pro - Configurar Dispositivo HA Pro

Creación - Actualización
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Device HA Pro es un servicio que se utiliza para proporcionar redundancia de red y reducir el tiempo de inactividad potencial, y no requiere licencias adicionales para activar este servicio. Además, Device HA Pro sincroniza el archivo de configuración, el tiempo de actividad del dispositivo, las sesiones TCP (IPv4/IPv6), las sesiones VPN IPSec, la información de entrada/salida, la tabla DHCP, la tabla de enlace IP/MAC y el estado de la licencia. El dispositivo emparejado con la instalación de Device HA Pro desempeñará un rol activo o pasivo. El dispositivo activo recibirá todos los cambios de configuración realizados en la configuración y será responsable de enviar la información al dispositivo pasivo. El dispositivo que asuma el rol pasivo recibirá los cambios de configuración del dispositivo activo y asumirá el rol activo si el dispositivo activo actual se encuentra en uno de los siguientes estados.

Información importante: Ambos dispositivos deben ser del mismo modelo y estar registrados en la misma cuenta myZyxel.com. Las licencias deben transferirse al dispositivo activo. Cuando el firewall activo falla, todas las licencias se transferirán automáticamente al firewall pasivo.

Antes de configurar Device HA Pro, es importante hacer lo siguiente.

  1. El dispositivo pasivo solo debe tener conectado un PC con acceso a la interfaz web y SIN cable de latido (heartbeat) desde el inicio.
  2. El dispositivo pasivo debe estar REINICIADO y tener el mismo firmware que el dispositivo activo antes de que se pueda realizar la configuración de HA Pro.
  3. El firewall pasivo debe estar registrado en MyZyxel.
  4. Espere a que la luz sys parpadee (estado pasivo) antes de conectar el resto de los cables.
  5. Al configurar una HA Pro con éxito, no debería haber tiempo de inactividad al emparejar dispositivos.
  6. Haga coincidir las versiones de firmware en ambas particiones del Primer Dispositivo y del Segundo Dispositivo.

¿Qué puede salir mal? ¿Por qué no puedo ver el estado correcto de la licencia desde el servidor myzyxel.com?
En la configuración de Device-HA Pro, hay una función “Número de serie del dispositivo licenciado para sincronización de licencias”. Debe ingresar el número de serie (S/N) del dispositivo que tiene las licencias. Así podrá transferir todas las licencias al dispositivo “Activo”, ingresando el número de serie de este dispositivo en el campo correspondiente.

Nota: La licencia estándar Gold Security Pack de un año incluida por defecto en las puertas de enlace ATP no es transferible. Para el despliegue de Device HA, por favor contacte al soporte de Zyxel en su país/región para ayudarle a transferir las licencias. Licencia 

Cómo contactar al equipo de soporte para la transferencia de licencias, consulte aquí: ¿Cómo contactar al equipo de soporte?

Visión general

La función Device HA actúa como una conmutación por error cuando uno de los firewalls en la red está caído o no puede acceder a internet. En Device HA Pro se añade un “enlace de latido” para monitorizar el estado de la interfaz y sincronizar configuraciones.

Untitled.png

 

Configuración del dispositivo activo

Para configurar la función Device HA Pro, por favor inicie sesión en la interfaz web del firewall Zyxel y navegue a:

Configuración -> Device HA -> Device HA Pro

El último puerto físico RJ45 en el firewall Zyxel es el puerto de gestión de Device HA (Puerto de Latido). Asegúrese de que este puerto no forme parte de un LAG, VLAN o interfaz puente.

Pasos:
• Desmarque la opción “Habilitar provisión de configuración desde el dispositivo activo”.
• Verifique que el número de serie sea el S/N del dispositivo primario.
• Proporcione una dirección IP para el dispositivo activo. (Debe ser una dirección que no esté en uso por ninguna de sus interfaces actuales)
• Proporcione una dirección IP para el dispositivo pasivo. (dentro de la misma subred que la anterior)
• Proporcione una máscara de subred.
• Cree una contraseña de sincronización.
• Seleccione las interfaces a monitorear de la lista disponible y muévalas a la lista de miembros.
• Configure los ajustes deseados de detección de conmutación por error.
• Haga clic en el botón "Aplicar y cambiar a Device HA Pro".

Vuelva a la pestaña Device HA para habilitar la función Device HA en el firewall activo.
• Verifique que el modo Device HA esté configurado en “Device HA Pro”.
• Marque la casilla “Habilitar Device HA”.
• Haga clic en el botón "Aplicar" en la parte inferior de la pantalla para guardar la configuración.

Configuración del dispositivo pasivo

¡Nota! Solo conecte su PC al firewall pasivo al configurar HA Pro. Después de configurar HA Pro y tener el mismo firmware que el dispositivo activo, entonces puede conectar el cable de latido (¡SOLO!). Después de que el dispositivo haya arrancado y vea que la luz LED SYS y solo la luz LED del puerto de latido estén encendidas, puede conectar el resto de los puertos.
Para configurar el dispositivo pasivo, conecte su computadora al segundo firewall Zyxel y acceda a la interfaz web

 Configuración -> Device HA -> Device HA Pro

• Asegúrese de que la opción “Habilitar provisión de configuración desde el dispositivo activo” esté marcada.
• Verifique que el modo Device HA esté configurado en “Device HA Pro”.
• Marque la casilla “Habilitar Device HA”.
• Haga clic en el botón "Aplicar" en la parte inferior de la pantalla para guardar la configuración.

Conecte un cable Ethernet al Puerto de Latido (último puerto físico) en ambos dispositivos y espere aproximadamente 5 minutos para que los dispositivos sincronicen todos los ajustes. En este punto, la función Device HA Pro está configurada y cualquier cambio realizado en el firewall primario (activo) se sincronizará con el firewall secundario (pasivo).

Nota: Asegúrese de habilitar la “Verificación de conectividad” para la(s) conexión(es) WAN. Habilitar esta opción permitirá que el firewall Zyxel pruebe el acceso a internet y cambie a la conexión secundaria de internet del dispositivo pasivo si falla en el dispositivo activo.

Para el modo local con la función de Alta Disponibilidad (HA) habilitada, por favor NO utilice la actualización de firmware en la nube. Deberá seguir un procedimiento diferente para completar la actualización del firmware; lea el SOP. * Modelos y versiones aplicables: USG FLEX 500/700, ATP500/700/800 con ZLD5.20 hasta ZLD5.21 Patch1. 

Consejos para solución de problemas

1. La sincronización puede fallar con los mensajes en el dispositivo pasivo

La sincronización puede fallar con los mensajes en el dispositivo pasivo:
Recuperación de la versión de firmware activa ha fallado
Recuperación de la versión de firmware activa ha fallado
Recuperación de la versión de firmware activa ha fallado
La sincronización de Device HA ha fallado al sincronizar la versión de firmware debido a un 'Sync From' o 'Sync Port' incorrecto.

Una posible razón puede ser que el servicio FTP en un dispositivo activo tenga algunas restricciones y el dispositivo pasivo no pueda acceder a él.

Ejemplo de configuración incorrecta:

2. Los dispositivos no se sincronizan

  • Asegúrese de que ambos dispositivos estén ejecutando la misma revisión de firmware. Ambos deben tener la misma versión de firmware para sincronizar.
  • Asegúrese de que ambos dispositivos estén ejecutando el mismo banco/ranura de firmware. Si el dispositivo principal ejecuta el firmware en la ranura 1 y la ranura 2 está en espera, la segunda unidad también debe ejecutar la ranura 1 con la ranura 2 en espera.
  • Asegúrese de que solo el puerto de latido (último puerto RJ45 en el dispositivo [ej: P7]) esté conectado al dispositivo primario durante los primeros 5 minutos después de habilitar la función Device HA Pro. Si ambos dispositivos están conectados a una red activa al mismo tiempo, esto puede causar problemas de enrutamiento, bucles y colisiones que afectan a la red.

 3. No se puede acceder al dispositivo pasivo

  1.  
    • Por favor, asegúrese de que los dispositivos hayan terminado de sincronizar. El proceso inicial de sincronización puede tardar hasta 5 minutos.
    • Utilice la dirección IP que configuró en el menú Device HA Pro para la "IP de administración del dispositivo pasivo".

4. Hice cambios en el dispositivo pasivo pero no se sincronizan en el maestro.

  •  
    • Una vez configurado Device HA Pro, cualquier cambio en la configuración de red debe hacerse en el dispositivo maestro/primario. El dispositivo pasivo es solo un esclavo y los cambios realizados aquí no se aplicarán al primario/maestro.

5. La licencia/servicio SecuReporter está activa en el firewall, pero el dispositivo no se encuentra en SecuReporter

  •  
    • Cuando el dispositivo maestro se ha cambiado al dispositivo pasivo y luego se activa la licencia SecuReporter, puede experimentar que la licencia no se sincroniza en SecuReporter, aunque en la GUI del firewall aparezca como "activa/activada". Debe volver a activar el dispositivo primario, luego eliminar el dispositivo y la organización en SecuReporter y reactivar el servicio SecuReporter en el dispositivo primario.

 

Si existen otros problemas, realice un redeploy de Device HA Pro, consulte aquí Redeploy de Device HA Pro

 

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 2 de 3
Compartir

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.