Firewall High Availability [HA Pro] - Configuration du dispositif HA Pro

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Cher client, veuillez noter que nous utilisons la traduction automatique pour fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Device HA Pro est un service utilisé pour fournir une redondance de réseau afin de réduire les temps d'arrêt potentiels et ne nécessite aucune licence supplémentaire pour activer ce service. En outre, Device HA Pro synchronise le fichier de configuration, le temps de fonctionnement de l'appareil, les sessions TCP (IPv4/IPv6), les sessions VPN IPSec, les informations d'E/S, la table DHCP, la table de liaison IP/MAC et l'état des licences. Le dispositif associé à l'installation de Device HA Pro jouera un rôle actif ou passif. Le dispositif actif recevra toutes les modifications de configuration apportées à l'installation et sera chargé d'envoyer les informations au dispositif passif. Le dispositif assumant le rôle passif recevra les changements de configuration du dispositif actif et assumera le rôle actif si le dispositif actif actuel est dans l'un des états suivants.

Information importante : Les deux appareils doivent être du même modèle et enregistrés dans le même compte myZyxel.com. Les licences doivent être transférées sur l'appareil actif. Lorsque le pare-feu actif tombe en panne, toutes les licences sont automatiquement transférées vers le pare-feu passif.

Avant de configurer Device HA Pro, il est important de faire ce qui suit.

  1. Le dispositif passif doit UNIQUEMENT être connecté à un PC avec un accès à l'interface graphique Web et sans câble Heartbeat dès le départ.
  2. Le dispositif passif doit être réinitialisé et avoir le même firmware que le dispositif actif avant que la configuration de HA Pro puisse avoir lieu.
  3. Le pare-feu passif doit être enregistré MyZyxel.
  4. Attendez que le voyant sys clignote (état passif) avant de connecter le reste des câbles.
  5. Lorsque la configuration d'un HA Pro est réussie, il ne doit pas y avoir de temps d'arrêt lors de l'appairage des périphériques.
  6. Faites correspondre les versions des microprogrammes des partitions du premier et du deuxième appareil.

Qu'est-ce qui peut ne pas fonctionner ? Pourquoi l'état de la licence ne s'affiche-t-il pas correctement sur le serveur myzyxel.com ?
Dans les paramètres de Device-HA Pro, il y a une fonction "Numéro de série de l'appareil sous licence pour la synchronisation de la licence". Vous devez entrer le numéro de série de l'appareil qui contient les licences. Ainsi, vous pouvez transférer toutes les licences vers l'appareil "Activer" et entrer le numéro de série de cet appareil dans le cadre.

Remarque: la licence Gold Security Pack d'un an par défaut des passerelles ATP n'est pas transférable. Pour un déploiement Device HA, veuillez contacter le support Zyxel dans votre pays/région pour vous aider à transférer les licences. Licence

Comment contacter l'équipe d'assistance pour le transfert de licence, veuillez cliquer ici : Comment contacter l'équipe de support ?

Vue d'ensemble

La fonction Device HA agit comme un basculement lorsque l'un des pare-feux du réseau est mort ou ne peut pas accéder à l'internet. Dans Device HA Pro, un "heartbeat link" est ajouté pour surveiller l'état de l'interface et synchroniser les paramètres.

Untitled.png

Configuration de l'appareil actif

Pour configurer la fonction Device HA Pro, veuillez vous connecter à l'interface web des pare-feux Zyxel et naviguer vers :

Configuration -> Device HA -> Device HA Pro

Le dernier port physique RJ45 du pare-feu Zyxel est le port de gestion Device HA (Heartbeat Port). Assurez-vous que ce port ne fait pas partie d'un LAG, d'un VLAN ou d'une interface de pont.

Etapes :
- Décochez l'option "Enable Configuration Provisioning From Active Device".
- Vérifiez que le numéro de série correspond au numéro de série du dispositif principal.
- Fournir une adresse IP pour le dispositif actif. (Il doit s'agir d'une adresse qui n'est pas utilisée par l'une de vos interfaces actuelles).
- Fournir une adresse IP pour le dispositif passif. (dans le même sous-réseau que ci-dessus)
- Fournir un masque de sous-réseau.
- Créez un mot de passe de synchronisation.
- Sélectionnez les interfaces du moniteur dans la liste des interfaces disponibles et déplacez-les dans la liste des membres.
- Configurez les paramètres de détection de basculement souhaités.
- Cliquez sur le bouton "Apply & switch to Device HA Pro".

Revenez à l'onglet Device HA pour activer la fonction Device HA sur le pare-feu actif.
- Vérifiez que le mode Device HA est réglé sur "Device HA Pro".
- Cochez la case "Enable Device HA".
- Cliquez sur le bouton "Apply" en bas de l'écran pour enregistrer les paramètres.

Configuration du dispositif passif

Remarque : il ne faut connecter votre PC qu'à l'appareil passif. Ne connectez votre PC qu'au pare-feu passif lors de la configuration de HA Pro. Après avoir configuré le HA Pro et avoir le même firmware que le dispositif actif, vous pouvez connecter le câble Heartbeat (UNIQUEMENT !). Une fois que l'appareil a démarré et que le voyant SYS est allumé et que seul le voyant du port Heartbeat est allumé, vous pouvez connecter les autres ports.
Pour configurer le dispositif passif, connectez votre ordinateur au second pare-feu Zyxel et accédez à l'interface web

 Configuration -> Device HA -> Device HA Pro

- Assurez-vous que l'option "Enable Configuration Provisioning From Active Device" est cochée.
- Vérifiez que le mode Device HA est réglé sur "Device HA Pro".
- Cochez la case "Enable Device HA".
- Cliquez sur le bouton "Apply" en bas de l'écran pour enregistrer les paramètres.

Connectez un câble Ethernet au port Heartbeat (dernier port physique) des deux appareils et attendez environ 5 minutes pour que les appareils synchronisent tous les paramètres. À ce stade, la fonction Device HA Pro est configurée et toute modification apportée au pare-feu principal (actif) sera synchronisée avec le pare-feu secondaire (passif).

Remarque: veillez à activer le "contrôle de connectivité" pour la ou les connexions WAN. L'activation de cette option permettra au pare-feu Zyxel de tester l'accès à Internet et de basculer sur la connexion Internet secondaire du dispositif passif en cas d'échec sur le dispositif actif.

Pour le mode On-Premises avec la fonction High Available (HA) activée, veuillez NE PAS utiliser la mise à jour du firmware dans le nuage. Vous devrez suivre une procédure différente pour effectuer la mise à jour du micrologiciel ; veuillez lire la SOP. * Modèles et versions applicables : USG FLEX 500/700, ATP500/700/800 avec ZLD5.20 à ZLD5.21 Patch1.

Device HA - Firmware Upgrade hang / stuck with Loading - How to fix it ?

Conseils de dépannage

1. La synchronisation peut échouer avec les messages sur le dispositif passif

The sync can fails with the messages on Passive device:
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Device HA Sync has filed when syncing Firmware Version due to bad 'Sync From' or 'Sync Port'.

Une raison possible est que le service FTP sur un appareil actif a des restrictions et que l'appareil passif ne peut pas y accéder.

Exemple de mauvaise configuration :

2. Les appareils ne se synchronisent pas

  • Assurez-vous que les deux appareils utilisent la même révision du micrologiciel. Les deux appareils doivent avoir la même version de micrologiciel pour se synchroniser.
  • Assurez-vous que les deux appareils utilisent la même banque/le même emplacement de micrologiciel. Si l'appareil principal fonctionne avec l'emplacement de micrologiciel 1 et que l'emplacement 2 est en attente, la deuxième unité doit également fonctionner avec l'emplacement 1 et l'emplacement 2 en attente.
  • Assurez-vous que seul le port Heartbeat (dernier port RJ46 sur l'appareil [ex : P7]) est connecté à l'appareil principal pendant les 5 premières minutes suivant l'activation de la fonction Device HA Pro. Si les deux appareils sont connectés à un réseau actif en même temps, des problèmes de routage, des boucles et des collisions risquent de se produire sur le réseau.

3. Impossible d'accéder à l'appareil passif

    • Assurez-vous que la synchronisation des appareils est terminée. Le processus de synchronisation initial peut prendre jusqu'à 5 minutes.
    • Utilisez l'adresse IP que vous avez configurée dans le menu Device HA Pro pour "Passive Device Management IP".

4. J'ai effectué des changements sur l'appareil passif mais ils ne sont pas synchronisés sur le maître.

    • Une fois que Device HA Pro est configuré, toute modification de la configuration du réseau doit être effectuée sur l'appareil maître/primaire. L'appareil passif n'est qu'un esclave et les changements effectués ici ne seront pas appliqués à l'appareil principal/maître.

5. La licence/service SecuReporter est active sur le pare-feu, mais l'appareil n'est pas trouvé dans SecuReporter.

    • Lorsque l'appareil maître est passé à l'appareil passif et que la licence SecuReporter est activée, il se peut que la licence ne soit pas synchronisée dans SecuReporter, même si elle indique "actif/activé" sur l'interface graphique du pare-feu. Vous devez réactiver l'appareil primaire, puis supprimer l'appareil et l'organisation sur SecuReporter et réactiver le service SecuReporter sur l'appareil primaire.

Il y a d'autres problèmes, veuillez redéployer Device HA Pro, voir ici Redéploiement de Device HA Pro

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 2 sur 3
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.