Haute Disponibilité du Pare-feu HA Pro - Configuration du périphérique HA Pro

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Device HA Pro est un service utilisé pour fournir une redondance réseau afin de réduire les temps d'arrêt potentiels et ne nécessite aucune licence supplémentaire pour activer ce service. De plus, Device HA Pro synchronise le fichier de configuration, le temps de fonctionnement de l'appareil, les sessions TCP (IPv4/IPv6), les sessions VPN IPSec, les informations d'entrée/sortie, la table DHCP, la table de liaison IP/MAC et l'état de la licence. L'appareil jumelé avec l'installation Device HA Pro jouera un rôle actif ou passif. L'appareil actif recevra toutes les modifications de configuration effectuées sur le système et sera responsable de l'envoi des informations à l'appareil passif. L'appareil assumant le rôle passif recevra les modifications de configuration de l'appareil actif et prendra le rôle actif si l'appareil actif actuel est dans l'un des états suivants.

Informations importantes : Les deux appareils doivent être du même modèle et enregistrés dans le même compte myZyxel.com. Les licences doivent être transférées vers l'appareil actif. Lorsque le pare-feu actif tombe en panne, chaque licence sera automatiquement transférée vers le pare-feu passif.

Avant de configurer Device HA Pro, il est important de faire ce qui suit.

  1. L'appareil passif ne doit avoir QU'UN PC connecté avec un accès à l'interface Web GUI et AUCUN câble de heartbeat dès le départ
  2. L'appareil passif doit être RÉINITIALISÉ et avoir le même firmware que l'appareil actif avant que la configuration HA Pro puisse être effectuée.
  3. Le pare-feu passif doit être enregistré sur MyZyxel.
  4. Attendez que la lumière sys clignote (état passif) avant de connecter le reste des câbles.
  5. Lors d'une configuration réussie de HA Pro, il ne doit y avoir aucune interruption lors du jumelage des appareils
  6. Assurez-vous que les versions du firmware correspondent sur les partitions du Premier Appareil et du Second Appareil.

Que peut-il mal se passer ? Pourquoi ne puis-je pas voir le statut correct de la licence depuis le serveur myzyxel.com ?
Dans les paramètres Device-HA Pro, il existe une fonction « Numéro de série de l'appareil sous licence pour la synchronisation des licences ». Vous devez saisir le numéro de série de l'appareil disposant des licences. Ainsi, vous pouvez transférer toutes les licences vers l'appareil « Actif » en saisissant le numéro de série de cet appareil dans le cadre.

Note : La licence Gold Security Pack d'un an incluse par défaut pour les passerelles ATP n'est pas transférable. Pour le déploiement de Device HA, veuillez contacter le support Zyxel dans votre pays/région pour vous aider à transférer les licences. Licence 

Comment contacter l'équipe de support pour le transfert de licence, veuillez consulter ici : Comment contacter l'équipe de support ?

Présentation

La fonctionnalité Device HA agit comme un basculement lorsque l'un des pare-feux du réseau est hors service ou ne peut pas accéder à Internet. Dans Device HA Pro, un « lien heartbeat » est ajouté pour surveiller l'état de l'interface et synchroniser les paramètres.

Untitled.png

 

Configuration de l'appareil actif

Pour configurer la fonctionnalité Device HA Pro, veuillez vous connecter à l'interface web des pare-feux Zyxel et naviguer vers :

Configuration -> Device HA -> Device HA Pro

Le dernier port physique RJ45 sur le pare-feu Zyxel est le port de gestion Device HA (port Heartbeat). Veuillez vous assurer que ce port ne fait pas partie d'un LAG, VLAN ou interface pont.

Étapes :
• Décochez l'option « Activer la provision de configuration depuis l'appareil actif ».
• Vérifiez que le numéro de série est celui de l'appareil principal.
• Fournissez une adresse IP pour l'appareil actif. (Doit être une adresse non utilisée par aucune de vos interfaces actuelles)
• Fournissez une adresse IP pour l'appareil passif. (dans le même sous-réseau que ci-dessus)
• Fournissez un masque de sous-réseau.
• Créez un mot de passe de synchronisation.
• Sélectionnez les interfaces à surveiller dans la liste disponible et déplacez-les vers la liste des membres.
• Configurez vos paramètres de détection de basculement souhaités.
• Cliquez sur le bouton « Appliquer & passer à Device HA Pro ».

Retournez à l'onglet Device HA pour activer la fonctionnalité Device HA sur le pare-feu actif.
• Vérifiez que le mode Device HA est réglé sur « Device HA Pro ».
• Cochez la case « Activer Device HA ».
• Cliquez sur le bouton « Appliquer » en bas de l'écran pour enregistrer les paramètres.

Configuration de l'appareil passif

Note ! Connectez uniquement votre PC au pare-feu passif lors de la configuration de HA Pro. Une fois que vous avez configuré HA Pro et que vous avez le même firmware que l'appareil actif, vous pouvez alors connecter le câble heartbeat (UNIQUEMENT !). Après le démarrage de l'appareil et lorsque vous voyez le voyant SYS allumé ainsi que uniquement le voyant du port heartbeat, vous pouvez connecter le reste des ports.
Pour configurer l'appareil passif, veuillez connecter votre ordinateur au deuxième pare-feu Zyxel et accéder à l'interface web

 Configuration -> Device HA -> Device HA Pro

• Assurez-vous que l'option « Activer la provision de configuration depuis l'appareil actif » est cochée.
• Vérifiez que le mode Device HA est réglé sur « Device HA Pro ».
• Cochez la case « Activer Device HA ».
• Cliquez sur le bouton « Appliquer » en bas de l'écran pour enregistrer les paramètres.

Connectez un câble Ethernet au port Heartbeat (dernier port physique) sur les deux appareils et laissez environ 5 minutes pour que les appareils synchronisent tous les paramètres. À ce stade, la fonctionnalité Device HA Pro est configurée et toutes les modifications apportées au pare-feu principal (actif) seront synchronisées avec le pare-feu secondaire (passif).

Note : Veuillez vous assurer d'activer la « Vérification de connectivité » pour la ou les connexions WAN. L'activation de cette option permettra au pare-feu Zyxel de tester l'accès à Internet et de basculer vers la connexion Internet secondaire de l'appareil passif en cas de défaillance de l'appareil actif.

Pour le mode sur site avec la fonctionnalité Haute Disponibilité (HA) activée, veuillez NE PAS utiliser la mise à jour du firmware via le cloud. Vous devrez suivre une procédure différente pour compléter la mise à jour du firmware ; veuillez lire le SOP. * Modèles et versions applicables : USG FLEX 500/700, ATP500/700/800 avec ZLD5.20 à ZLD5.21 Patch1. 

Conseils de dépannage

1. La synchronisation peut échouer avec des messages sur l'appareil passif

La synchronisation peut échouer avec les messages sur l'appareil passif :
Récupération de la version du firmware actif a échoué
Récupération de la version du firmware actif a échoué
Récupération de la version du firmware actif a échoué
La synchronisation Device HA a échoué lors de la synchronisation de la version du firmware en raison d'un mauvais 'Sync From' ou 'Sync Port'.

Une raison possible peut être que le service FTP sur un appareil actif a certaines restrictions, empêchant l'accès à l'appareil passif.

Exemple de mauvaise configuration :

2. Les appareils ne se synchronisent pas

  • Assurez-vous que les deux appareils exécutent la même révision du firmware. Les deux doivent exécuter la même version de firmware pour se synchroniser.
  • Assurez-vous que les deux appareils utilisent la même banque/slot de firmware. Si l'appareil principal utilise le slot 1 du firmware et que le slot 2 est en attente, le second appareil doit aussi utiliser le slot 1 avec le slot 2 en attente.
  • Assurez-vous que seul le port Heartbeat (dernier port RJ46 sur l'appareil [ex : P7]) est connecté à l'appareil principal pendant les 5 premières minutes après l'activation de la fonctionnalité Device HA Pro. Si les deux appareils sont connectés à un réseau actif en même temps, cela peut causer des problèmes de routage, des boucles et des collisions affectant le réseau.

 3. Impossible d'accéder à l'appareil passif

  1.  
    • Veuillez vous assurer que les appareils ont terminé la synchronisation. Le processus initial de synchronisation peut prendre jusqu'à 5 minutes.
    • Utilisez l'adresse IP que vous avez configurée dans le menu Device HA Pro pour « IP de gestion de l'appareil passif ».

4. J'ai effectué des modifications sur l'appareil passif, mais elles ne se synchronisent pas sur le maître.

  •  
    • Une fois Device HA Pro configuré, toutes les modifications de la configuration réseau doivent être effectuées sur l'appareil maître/principal. L'appareil passif est simplement un esclave et les modifications effectuées ici ne seront pas appliquées au maître/principal.

5. La licence/service SecuReporter est active sur le pare-feu, mais l'appareil ne peut pas être trouvé dans SecuReporter

  •  
    • Lorsque l'appareil maître est passé à l'appareil passif puis que la licence SecuReporter est activée, vous pouvez rencontrer un problème où la licence ne se synchronise pas dans SecuReporter, même si elle est indiquée comme « active/activée » dans l'interface du pare-feu. Vous devez réactiver l'appareil principal, puis supprimer l'appareil et l'organisation dans SecuReporter et réactiver le service SecuReporter sur l'appareil principal.

 

Pour d'autres problèmes, veuillez procéder à un redéploiement de Device HA Pro, voir ici Redéploiement de Device HA Pro

 

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 2 sur 3
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.