Zyxel USG FLEX H Series [HA] - Laitteen korkean saatavuuden (HA PRO) määrittäminen.

Luotu - Päivitetty
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä huomautus:
Hyvät asiakkaat, huomioikaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyssä versiossa on kysymyksiä tai ristiriitaisuuksia tietojen oikeellisuudesta, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio.

Device HA (High Availability) (HA PRO) -ratkaisu takaa jatkuvan verkkoyhteyden hyödyntämällä paria palomuuria, jotka on hahmoteltu aktiivis-passiivisessa kokoonpanossa. Tässä kokoonpanossa aktiivinen palomuuri käsittelee liikennettä normaaliolosuhteissa, kun taas passiivinen palomuuri pysyy valmiustilassa. Jos aktiivinen laite vikaantuu, passiivinen laite siirtyy automaattisesti aktiiviseksi palomuuriksi muutamassa sekunnissa, mikä takaa mahdollisimman vähäiset häiriöt ja ylläpitää saumatonta verkkotoimintaa.

Laitteen korkean käytettävyyden käyttöönotto

Seuraavat ominaisuudet voidaan siirtää toissijaiseen Zyxel-laitteeseen, kun siitä tulee aktiivinen Device HA:n avulla:
  • Käynnistys- ja käyttökokoonpano
  • Allekirjoitukset
  • Device Insight
  • Ulkoinen estoluettelo
  • DHCP-vuokrausmerkinnät
  • Kahden tekijän todennus
  • Varmenteet
  • Lisenssit, mukaan lukien NCC tarvittaessa
  • Zyxel-laitteen aika

Vaatimus

  • HA-laite edellyttää samaa palomuurimallia ja siihen on asennettava sama laiteohjelmistoversio.
  • Molemmat laitteet on rekisteröitävä samaan organisaatioon.
Firmware-versio Tuki Paritettu malli
1.31 alkaen USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Ensisijaiset ja toissijaiset laiteroolit

  • Ensisijaisen ja toissijaisen laitteen roolit määritellään ennen käyttöönottoa, ja ne pysyvät muuttumattomina laitteen käytön aikana.
  • Aktiivisen ja passiivisen tilan tilat voivat muuttua dynaamisesti vikasietoisuuden aikana.

Heartbeat-portti

Laitteen HA käyttää dedikoitua heartbeat-linkkiä aktiivisen ja passiivisen laitteen välillä tilojen synkronointiin ja vikatilanteen käynnistämiseen ja passiivisen laitteen varmuuskopiointiin, jos aktiivinen laite ei enää vastaa. Passiivisessa laitteessa kaikki portit ovat poissa käytöstä lukuun ottamatta porttia, jossa on sykeviestiyhteys.
Seuraavassa esimerkissä Zyxel-laite A on aktiivinen laite, joka on yhdistetty passiiviseen laitteeseen Zyxel-laite B: hen erillisen linkin kautta, jota käytetään heartbeat-ohjaukseen, kokoonpanon synkronointiin ja vianmääritykseen. Kaikki Zyxel Device B: n linkit ovat poissa käytöstä lukuun ottamatta erityistä sykeviestiyhteyttä.
  • Dedikoitu heartbeat-portti, jossa on suora yhteys laitteiden välillä toistensa tilan seuraamiseksi.
  • Kunkin mallin heartbeat-portti on ennalta määritetty.

Laitteen HA-edellytykset

  • Varmista, että sekä ensisijainen että toissijainen laite täyttävät seuraavat vaatimukset:
  1. Sama malli - Molempien on oltava USG FLEX 200H; eri malleja (esim. 200H vs. 200HP) ei tueta.
  2. Sama laiteohjelmisto - Laitteissa on oltava sama versio (uOS 1.31 tai uudempi).
  3. Sama Nebula Organisaatio - Molemmat on rekisteröitävä samaan organisaatioon.
    • Määritä ensisijainen laite sivustolle 1
    • Määritä toissijainen laitteisto sivustolle 2

Huomautus: On erittäin suositeltavaa, että laitteen rekisteröintivaiheet Nebula:ssa suoritetaan ennen HA-pariliitoksen muodostamista.

  • Ota SSH käyttöön - SSH on otettava käyttöön molemmissa laitteissa (Järjestelmä > SSH) käyttäen porttia 22 Device HA -synkronointia varten.
  • Management IP Subnet - Vain 255.255.255.255.0 on tuettu.

Device HA:n määrittäminen

Laite HA -ominaisuuden määrittämiseksi kirjaudu Zyxel-palomuurien verkkokäyttöliittymään ja siirry osoitteeseen:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Valitse Mac-osoitteen tyyppi vastuullisesti, sillä tätä asetusta ei voi muuttaa, kun HA on aktivoitu. Jos haluat tehdä lisämuutoksia, sinun on poistettava HA käytöstä, tehtävä muutokset ja otettava HA uudelleen käyttöön.

Tarkista HA:n tila kohdasta Järjestelmä > Laite HA > HA:n tila.

Tarkista aktiivisen Zyxel-laitteen HA-loki kohdasta Järjestelmä > Laite HA > HA-loki.

Määritä laitteen HA passiivisen Zyxel-laitteen kohdasta System > Device HA > HA Configuration.

Ota käyttöön - HA-konfiguraatio (Tässä vaiheessa ei tarvita muita toimenpiteitä. Kun olet aktivoinut HA:n passiivisessa laitteessa, katkaise siitä kaikki verkkoyhteydet ja liitä sitten heartbeat-kaapeli aktiivisesta laitteesta passiiviseen laitteeseen).

Varoitus TÄRKEÄÄ: Toissijaisen laitteen korkean käytettävyyden (HA) ottaminen käyttöön:
- Laitteen WAN/LAN-portit linkittyvät alas.
- Kirjaudu ulos nykyisestä web GUI -istunnosta

Kytke heartbeat Ethernet-kaapeli aktiivisen ja passiivisen Zyxel-laitteen välille.

Tarkista aktiivisen ja passiivisen Zyxel-laitteen HA-tila kohdassa Järjestelmä > Laite HA > HA-tila.

Tarkista aktiivisen Zyxel-laitteen lokit kohdasta System > Device HA > HA Log.

Kun kirjaudut Zyxel-laitteeseen Device HA -pariliitoksen jälkeen, näet bannerin, joka osoittaa, oletko kirjautunut aktiiviseen vai passiiviseen Zyxel-laitteeseen.

Viansiirron onnistuminen - Loki

Virheiden käsittely

Palomuuri havaitsee, jos laitteen laiteohjelmisto tai malli on erilainen

 Pariliitoksen tila epäonnistui:
  • MAC/SN:ää ei saada oikein varmenteesta
  • Laitteen rekisteröinti epäonnistui
  • Laitteen laiteohjelmiston tai mallin epäsuhta havaittu
  • Laitteet kuuluvat eri organisaatioon
  • Laitteen omistajuus ei vastaa toisiaan
  • Laitetta ei ole määritetty sivustolle

Esimerkki 1: Laitteen HA-tilan tarkistaminen

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Esimerkki 2: Täydellisen synkronoinnin pakottaminen

[Aktiivinen]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[passiivinen]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Esimerkki 3: Miten synkronointitila tarkistetaan?

[passiivinen]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Huomaa:
uOS 1.31 estää käyttäjiä soveltamasta konfiguraatiota GUI:lla, CLI:llä ja NCC live-työkalulla, kun laite on HA-pariliitetty.
Syy on välttää konfiguraation soveltamista, jos HA ei ole aktivoitu.


Tämän osion artikkelit

Oliko tämä artikkeli hyödyllinen?
0/0 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.