Avis important : |
La solution Device HA (High Availability) (HA PRO) garantit une connectivité réseau continue en utilisant une paire de pare-feux figurés dans une configuration active-passive. Dans cette configuration, le pare-feu actif gère le trafic dans des conditions normales tandis que le pare-feu passif reste en veille. Si le dispositif actif tombe en panne, le dispositif passif prend automatiquement le relais en tant que pare-feu actif en l'espace de quelques secondes, ce qui garantit une interruption minimale et un fonctionnement continu du réseau.
Introduction du dispositif de haute disponibilité
- Configuration de démarrage et d'exécution
- Signatures
- Aperçu de l'appareil
- Liste de blocage externe
- Entrées de location DHCP
- Authentification à deux facteurs
- Certificats
- Licences, y compris NCC le cas échéant
- Durée du dispositif Zyxel
Exigence
- Le dispositif HA doit avoir le même modèle de pare-feu et doit installer la même version de micrologiciel.
- Les deux dispositifs doivent être enregistrés auprès de la même organisation.
| Version du micrologiciel | Prise en charge Modèle jumelé | |
| A partir de la version 1.31 | USG FLEX 200H | USG FLEX 200H |
| USG FLEX 200HP | USG FLEX 200HP | |
| USG FLEX 500H | USG FLEX 500H | |
| USG FLEX 700H | USG FLEX 700H | |
Rôles des appareils primaires et secondaires
- Les rôles des appareils primaires et secondaires sont définis avant le déploiement et restent inchangés pendant le fonctionnement de l'appareil.
- Les états des modes actif et passif peuvent changer dynamiquement pendant le basculement.
Port Heartbeat
- Un port Heartbeat dédié avec une connexion directe entre les appareils pour surveiller l'état de chacun.
- Le port Heartbeat est prédéfini pour chaque modèle.
Conditions préalables à la mise en place d'un dispositif HA
- S'assurer que les appareils primaires et secondaires répondent aux critères suivants :
- Même modèle - Les deux doivent être des USG FLEX 200H ; des modèles différents (par exemple, 200H vs. 200HP) ne sont pas pris en charge.
- Même micrologiciel - La version doit être la même (uOS 1.31 ou version ultérieure).
-
Même organisation Nebula - Les deux doivent être enregistrés sous la même organisation.
- Attribuer le principal au site 1
- Attribuer le secondaire au site 2
Remarque : il est fortement recommandé d'effectuer les étapes d'enregistrement des périphériques sur Nebula avant d'appairer HA.
- Activer SSH - SSH doit être activé sur les deux dispositifs (Système > SSH) en utilisant le port 22 pour la synchronisation du dispositif HA.
- Sous-réseau IP de gestion - Seul 255.255.255.0 est pris en charge.
Configuration de Device HA
Pour configurer la fonction Device HA, veuillez vous connecter à l'interface web des firewalls Zyxel et naviguer vers :
Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.
Choisissez le type d'adresse Mac de manière responsable, car ce paramètre ne peut pas être modifié une fois que la fonction HA est activée. Pour effectuer d'autres modifications, vous devrez désactiver HA, effectuer les modifications, puis configurer à nouveau HA.
Vérifiez le journal HA du périphérique Zyxel actif dans Système > Périphérique HA > Journal HA.
Configurer Device HA sur le Zyxel Device passif dans System > Device HA > HA Configuration.
Enable - HA Configuration (Aucune autre action n'est requise à ce stade. Après avoir activé HA sur le périphérique passif, déconnectez toutes les connexions réseau de celui-ci, puis connectez le câble Heartbeat du périphérique actif au périphérique passif).
Avertissement IMPORTANT : L'activation de la haute disponibilité (HA) sur le périphérique secondaire aura pour effet de réduire les coûts de fonctionnement du périphérique :
- Les ports WAN/LAN de l'appareil seront coupés.
- Déconnectez-vous de la session Web GUI en cours
Connectez le câble Ethernet Heartbeat entre les dispositifs Zyxel actif et passif.
Vérifiez l'état HA des périphériques Zyxel actifs et passifs dans Système > Périphérique HA > État HA.
Vérifiez les journaux sur le dispositif Zyxel actif dans Système > Dispositif HA > Journal HA.
Succès du basculement - Journal
Gestion des erreurs
Le pare-feu détectera si le micrologiciel ou le modèle de l'appareil est différent.
État d'échec de l'appairage:
|
Exemple 1 : Comment vérifier l'état HA d'un appareil
usgflex500h> show state vrf main device-ha status status enabled true pairing-state paired pairing-msg Paired ha-health-state connected local-state passive local-role primary active role secondary sn S212L4029XXXX icon-color on .. passive role primary sn S212L4029XXXX icon-color on .. ..
usgflex500h> show state vrf main device-ha summary summary last-failover-epoch 1735296426 last-failover-reason "Monitor interface link down" last-sync-epoch 1735296121 last-sync-status Success ..
Exemple 2 : Forcer une synchronisation complète
[Active]
usgflex500h> cmd device-ha force-sync full OKusgflex500h>
[Passif]
usgflex500h> cmd device-ha force-sync full This command can only be used on active device.
Exemple 3 : Comment vérifier l'état de la synchronisation ?
[Passif]
usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
op-state passive
msg "[Full sync(1024)] Received file sync event."
date 2024/12/30-11:13:37
..
sync-info
op-state passive
msg "[Full sync(1024)] Full sync start..."
date 2024/12/30-11:13:37
..
sync-info
op-state passive
msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
date 2024/12/30-11:13:37
..
sync-info
op-state passive
cert_neoagent.tar.bz2 download success!"
date 2024/12/30-11:13:37
..
A noter :
uOS 1.31 empêche les utilisateurs d'appliquer la configuration sur GUI, CLI et NCC live tool lorsque le dispositif HA est apparié.
La raison est qu'il faut éviter d'appliquer la configuration lorsque HA n'est pas activé.