Device HA Pro on palvelu, jota käytetään tarjoamaan verkkovarmistusta mahdollisen käyttökatkon vähentämiseksi, eikä tämän palvelun aktivoimiseksi tarvita lisenssejä. Lisäksi Device HA Pro synkronoi konfiguraatiotiedoston, laitteen käyttöajan, TCP-istunnot (IPv4/IPv6), IPSec VPN -istunnot, I/O-tiedot, DHCP-taulukon, IP/MAC-sidontataulukon ja lisenssitilan. Laitteet, jotka on yhdistetty Device HA Pro -asennukseen, toimivat joko aktiivisessa tai passiivisessa roolissa. Aktiivinen laite vastaanottaa kaikki asetuksiin tehdyt muutokset ja on vastuussa tietojen lähettämisestä passiiviselle laitteelle. Passiivisen roolin ottava laite vastaanottaa konfiguraatiomuutokset aktiiviselta laitteelta ja ottaa aktiivisen roolin, jos nykyinen aktiivinen laite on jossain seuraavista tiloista.
Ennen Device HA Pro:n konfigurointia on tärkeää tehdä seuraavat asiat.
- Passiiviseen laitteeseen tulisi ALUN PERIN liittää VAIN PC, jolla on Web GUI -käyttöoikeus, eikä siihen saa olla kytkettynä heartbeat-kaapelia.
- Passiivinen laite tulee RESETOIDA ja siinä tulee olla sama laiteohjelmisto kuin aktiivisessa laitteessa ennen HA Pro -konfiguroinnin aloittamista.
- Passiivinen palomuuri tulee rekisteröidä MyZyxel-palveluun.
- Odota, että sys-valo vilkkuu (passiivinen tila) ennen kuin liität loput kaapelit.
- Kun HA Pro on konfiguroitu onnistuneesti, laitteiden yhdistämisen aikana ei saisi esiintyä käyttökatkoja.
- Varmista, että molempien laitteiden, Ensimmäisen ja Toisen Laitteen, laiteohjelmistoversiot vastaavat toisiaan.
Mikä voi mennä pieleen? Miksi en näe oikeaa lisenssitilaa myzyxel.com-palvelimelta?
Device-HA Pro -asetuksissa on toiminto "Lisensoidun laitteen sarjanumero lisenssin synkronointia varten". Sinun tulee syöttää laitteesi S/N, jolla on lisenssit. Näin voit siirtää kaikki lisenssit "Aktivoi" -laitteelle ja syöttää tämän laitteen S/N kenttään.
Huomautus: ATP-porttien oletuksena mukana tulevaa yhden vuoden Gold Security Pack -lisenssiä ei voi siirtää. Device HA -käyttöönotossa ole hyvä ja ota yhteyttä Zyxel-tukeen maassasi/alueellasi saadaksesi apua lisenssien siirtoon. Lisenssi
Ohjeet tukitiimin yhteydenottoon lisenssisiirtoa varten löytyvät täältä: Kuinka ottaa yhteyttä tukitiimiin?
Yleiskatsaus
Device HA -ominaisuus toimii vikasietona, kun jokin verkon palomuureista on pois käytöstä tai ei pääse internetiin. Device HA Pro:ssa "heartbeat-linkki" lisätään käyttöliittymän tilan valvontaan ja asetusten synkronointiin.
Aktiivisen laitteen asetukset
Device HA Pro -ominaisuuden määrittämiseksi kirjaudu Zyxel-palomuurin web-käyttöliittymään ja siirry kohtaan:
Configuration -> Device HA -> Device HA ProZyxel-palomuurin viimeinen fyysinen RJ45-portti on Device HA -hallintaportti (Heartbeat Port). Varmista, että tämä portti ei ole osa LAG:ia, VLAN:ia tai silta-liitäntää.
Vaiheet:
• Poista valinta kohdasta "Enable Configuration Provisioning From Active Device".
• Varmista, että sarjanumero on pääasiallisen laitteen S/N.
• Määritä IP-osoite aktiiviselle laitteelle. (Osoitteen tulee olla vapaa eikä käytössä missään nykyisistä liitännöistäsi)
• Määritä IP-osoite passiiviselle laitteelle. (saman aliverkon sisällä yllä olevan kanssa)
• Määritä aliverkon peite.
• Luo synkronointisalasana.
• Valitse valvottavat liitännät käytettävissä olevista ja siirrä ne jäsenlistalle.
• Määritä haluamasi vikasietotunnistuksen asetukset.
• Klikkaa "Apply & switch to Device HA Pro" -painiketta.
Siirry takaisin Device HA -välilehdelle ottaaksesi Device HA -ominaisuuden käyttöön aktiivisessa palomuurissa.
• Varmista, että Device HA Mode on asetettu "Device HA Pro" -tilaan.
• Valitse ruutu "Enable Device HA".
• Tallenna asetukset napsauttamalla sivun alaosassa olevaa "Apply" -painiketta.
Passiivisen laitteen asetukset
Huom! Kytke tietokoneesi passiiviseen palomuuriin vain HA Pro:n konfiguroinnin aikana. Kun HA Pro on konfiguroitu ja laiteohjelmisto on sama kuin aktiivisella laitteella, voit liittää heartbeat-kaapelin (VAIN!). Kun laite on käynnistynyt ja näet SYS-LED-valon sekä heartbeat-portin LED-valon palavan, voit liittää loput portit.
Konfiguroidaksesi passiivisen laitteen, liitä tietokoneesi toiseen Zyxel-palomuuriin ja avaa web-käyttöliittymä
Configuration -> Device HA -> Device HA Pro• Varmista, että "Enable Configuration Provisioning From Active Device" on valittuna.
• Varmista, että Device HA Mode on asetettu "Device HA Pro" -tilaan.
• Valitse ruutu "Enable Device HA".
• Tallenna asetukset napsauttamalla sivun alaosassa olevaa "Apply" -painiketta.
Liitä Ethernet-kaapeli Heartbeat-porttiin (viimeinen fyysinen portti) molemmissa laitteissa ja odota noin 5 minuuttia, jotta laitteet voivat synkronoida kaikki asetukset. Tässä vaiheessa Device HA Pro on konfiguroitu, ja kaikki pääpalomuurissa tehdyt muutokset synkronoituvat toissijaiseen (passiiviseen) palomuuriin.
Huom: Muista ottaa käyttöön "Connectivity Check" WAN-yhteyksille. Tämä asetus sallii Zyxel-palomuurin testata internet-yhteyttä ja vaihtaa passiivisen laitteen toissijaiseen internet-yhteyteen, jos aktiivinen laite epäonnistuu.
On-Premises-tilassa, kun korkean käytettävyyden (HA) ominaisuus on käytössä, ÄLÄ käytä pilvipohjaista laiteohjelmiston päivitystä. Sinun tulee noudattaa eri menettelyä laiteohjelmiston päivittämiseksi; lue SOP. * Soveltuvat mallit ja versiot: USG FLEX 500/700, ATP500/700/800 ZLD5.20 - ZLD5.21 Patch1 -versioilla.
Vianmääritysvinkkejä
1. Synkronointi voi epäonnistua passiivisessa laitteessa näkyvien viestien kanssa
Synkronointi epäonnistuu passiivisessa laitteessa seuraavilla viesteillä:
Retrieving Active Firmware version has failed
Retrieving Active Firmware version has failed
Retrieving Active Firmware version has failed
Device HA Sync has failed when syncing Firmware Version due to bad 'Sync From' or 'Sync Port'.
Mahdollinen syy voi olla, että aktiivisen laitteen FTP-palvelussa on rajoituksia, joten passiivinen laite ei pääse siihen käsiksi.
Esimerkki väärästä asetuksesta:
2. Laitteet eivät synkronoidu
- Varmista, että molemmissa laitteissa on sama laiteohjelmistoversio. Molempien on käytettävä samaa versiota synkronointia varten.
- Varmista, että molemmat laitteet käyttävät samaa laiteohjelmistopankkia/paikkaa. Jos päälaite käyttää laiteohjelmistopaikkaa 1 ja paikka 2 on valmiustilassa, myös toisella laitteella tulee olla paikka 1 käytössä ja paikka 2 valmiustilassa.
- Varmista, että vain Heartbeat-portti (viimeinen RJ45-portti laitteessa [esim. P7]) on kytketty päälaitteeseen ensimmäisten 5 minuutin ajan Device HA Pro -ominaisuuden aktivoimisen jälkeen. Jos molemmat laitteet ovat samaan aikaan kytkettynä aktiiviseen verkkoon, se voi aiheuttaa reititysvirheitä, silmukoita ja törmäyksiä, jotka vaikuttavat verkkoon.
3. Ei pääsyä passiiviseen laitteeseen
-
- Varmista, että laitteet ovat suorittaneet synkronoinnin loppuun. Alkuperäinen synkronointiprosessi voi kestää jopa 5 minuuttia.
- Käytä IP-osoitetta, jonka määritit Device HA Pro -valikossa "Passive Device Management IP" -kohdassa.
4. Tein muutoksia passiiviseen laitteeseen, mutta ne eivät synkronoidu päälaitteeseen.
-
- Kun Device HA Pro on konfiguroitu, kaikki verkkoasetusten muutokset tulee tehdä pää-/aktiivilaitteessa. Passiivinen laite toimii vain orjana, eikä siellä tehdyt muutokset päivity päälaitteeseen.
5. SecuReporter-lisenssi/palvelu on aktiivinen palomuurissa, mutta laitetta ei löydy SecuReporterista
-
- Kun päälaite on vaihtanut passiiviseen laitteeseen ja SecuReporter-lisenssi aktivoituu, lisenssi ei välttämättä synkronoidu SecuReporterissa, vaikka palomuurin käyttöliittymässä lukisi "aktiivinen/aktivoitu". Sinun tulee tehdä päälaite jälleen aktiiviseksi, poistaa laite ja organisaatio SecuReporterista ja aktivoida SecuReporter-palvelu uudelleen päälaitteessa.
Jos ongelmia esiintyy edelleen, tee Device HA Pro:n uudelleenasennus, katso ohjeet täältä Device HA Pro uudelleenasennus
Kommentit
0 kommenttiaKirjaudu sisään jättääksesi kommentin.