Haute Disponibilité du Pare-feu HA Pro - Redéploiement du Device HA Pro

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Cet article fournit des conseils pour redéployer HA-Pro lorsqu'il ne fonctionne pas correctement, souvent en raison de mauvais emplacements de firmware ou de versions de firmware différentes. Il souligne la nécessité que les deux appareils dans la configuration Device HA Pro soient du même modèle, enregistrés sous le même compte myZyxel.com, et disposent de licences synchronisées. L'article décrit les étapes pour la configuration de base, le déploiement du premier et du second appareil, la vérification du statut et le test de basculement. Il aborde également l'importance d'assurer la cohérence du firmware et fournit des conseils de dépannage pour les problèmes de synchronisation. Pour une assistance détaillée à la configuration, les utilisateurs sont invités à contacter les services professionnels de Zyxel.

Configuration de base - Device HA Pro.

Topo (DeviceHA-Pro)

mceclip1.png

Dans Device HA Pro, un « lien heartbeat » est ajouté pour surveiller le statut de l'interface et synchroniser les paramètres.

Le comportement de Device HA Pro inclut un lien heartbeat pour surveiller le statut de l'interface du dispositif « activate ». Si l'une des interfaces surveillées est inactive ou en échec, le statut du dispositif « passive » deviendra « activate ». (Cela signifie qu'un seul appareil peut avoir le statut « activate » à la fois.)

Lien Heartbeat
Le port heartbeat est un nouveau port physique sur l'appareil (corrigé dans le dernier firmware du dernier port des appareils HA-Pro supportés). Après avoir activé Device HA Pro, les appareils transmettront des paquets multicast (UDP 694) pour vérifier le statut de chaque appareil. Lorsque l'appareil passif fonctionne correctement, la LED système sera allumée. Seule la LED du port heartbeat peut être allumée.

Informations importantes : Les deux appareils doivent être du même modèle et enregistrés sous le même compte myZyxel.com. Les licences doivent être transférées vers l'appareil actif. Lorsque le pare-feu actif tombe en panne, toutes les licences sont automatiquement transférées vers le pare-feu passif.

Que peut-il mal se passer ? Pourquoi ne puis-je pas voir le statut correct des licences depuis le serveur myzyxel.com ?
Dans la configuration Device-HA Pro, il existe une fonction « Numéro de série de l'appareil licencié pour la synchronisation des licences ». Vous devez saisir le numéro de série de l'appareil disposant des licences. Ainsi, vous pouvez transférer toutes les licences vers l'appareil « Activate » et saisir ce numéro de série dans le cadre prévu.

Remarque : La licence Gold Security Pack d'un an fournie par défaut avec les passerelles ATP n'est pas transférable. Pour le déploiement de Device HA, veuillez contacter le support Zyxel dans votre pays/région pour vous aider à transférer les licences.

La procédure d'installation de base est disponible ici : Configuration de base - Device HA Pro

Avant de redéployer le HA-Pro

(1) Transférez toutes les licences vers l'appareil principal. Cela évite que le système recompte les licences à chaque fois.
(2) Activez la fonction de vérification de connectivité sur les interfaces surveillées. Lorsqu'une interface ne reçoit aucune réponse du serveur distant pendant une certaine période, l'appareil considérera que l'interface est en échec. Ensuite, la fonctionnalité Device HA Pro changera le statut de cette interface.

  1. Sauvegardez la configuration actuelle du DeviceA (Actif).
  2. Assurez-vous que le DeviceB (Passif) est réinitialisé aux paramètres par défaut.
  3. Sur le Device B, la version du firmware en cours doit être la même que celle du Device A.
  4. Sur le Device B, la partition du firmware en cours doit être dans la même position que celle du Device A.
  5. Confirmez que le numéro de série du Device A est bien saisi sur la page HA-Pro.

mceclip10.png

Allez dans Configuration> Device HA>Device HA-Pro

mceclip2.png

Puis poursuivez la configuration des paramètres HA

Note ! L'adresse IP de gestion de l'appareil et les sous-réseaux locaux ne peuvent pas être identiques !

Déployer le premier appareil

  • Configurez les paramètres HA Pro (IP de gestion, interface de surveillance, licence)
  • Mettez en ligne en tant qu'appareil Actif

4. Déployer le second appareil

  • La version du firmware en cours doit être la même que celle du premier appareil
  • La partition du firmware en cours doit être dans la même position que celle du premier appareil

Si la partition active du premier appareil est la partition 1, alors la partition active du second appareil doit être la partition 1.

  • Configurez les paramètres HA-pro via l'interface graphique (seulement 2 clics)

Sur l'appareil passif d'abord :

mceclip3.png


Sur l'appareil actif ensuite :

mceclip4.png

Connecter la console sur les deux appareils

  • Connectez le lien du port heartbeat et attendez la synchronisation complète.

Note : la synchronisation complète de la configuration prend du temps (plus de 10 minutes) lors de la première fois

 

Comment vérifier que la synchronisation complète est terminée sans problème,

Sur la console de l'appareil passif, vous verrez le port physique (celui connecté au PC)

1ère descente : après activation de Device HA-pro

1ère montée : début de l'application de la synchronisation de configuration depuis l'appareil actif

2e descente : synchronisation presque terminée

mceclip5.png

Puis vous pouvez aller sur la console de l'appareil actif pour taper la commande CLI

# show device-ha2 passive device-status

Jusqu'à obtenir les informations de l'appareil passif.

mceclip6.png

Ensuite, retournez sur la console de l'appareil passif et tapez la commande CLI

# show device-ha2 sync summary

mceclip7.png

Il est très important que le statut [ZySH Startup Configuration] soit réussi sans aucun problème et que la dernière ligne indiquant le statut de la synchronisation Device HA soit également réussie.

Attention :

En cas d'échec, veuillez déconnecter tous les liens. Puis réinitialisez l'appareil aux paramètres d'usine et réessayez.

Ne copiez pas le fichier de configuration du premier appareil pour le télécharger sur le second appareil lors du déploiement.

  • Connectez le reste des liens

Tester le basculement

Vous pouvez utiliser la commande debug CLI sur l'appareil actif pour simuler un événement de défaillance d'interface.

Cela déclenchera le basculement vers l'appareil passif.

# debug device-ha2 send linkdown <nom de l'interface>

Vérification du statut de synchronisation via l'interface Web :

mceclip11.png

CONFIGURATION > Device HA > Consultez le journal où doit apparaître Synchronize complete.

mceclip12.png

Ou vérifiez via CLI : vérifiez le détail du statut de synchronisation sur l'appareil

show device-ha2 sync summary

mceclip14.png

Il est très important que la dernière entrée concernant le statut de la synchronisation Device HA indique qu'elle a réussi.

Échec de la synchronisation

mceclip15.png

Remarque : Il existe 2 méthodes pour forcer la synchronisation complète de la configuration. Selon l'endroit où vous l'initiez, la commande variera.
Sur l'appareil passif : Router# device-ha2 sync_from_active
Sur l'appareil actif : Router# device-ha2 sync_to_passive

Lors d'une mise à jour du firmware, l'appareil passif mettra à jour le firmware en premier, puis redémarrera.
Après le redémarrage de l'appareil passif, il effectuera immédiatement une synchronisation complète de la configuration.
La synchronisation échouera car le firmware de l'appareil passif est différent de celui de l'appareil actif.
C'est un comportement normal et vous pouvez ignorer les journaux d'échec de synchronisation dans ce cas.

La configuration de base de HA Pro est disponible ici : Configuration Device HA Pro

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 1 sur 3
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.