Zyxel Firewal H sorozat [uOS] - Eszköz magas rendelkezésre állás (HA PRO)

Létrehozva 2025. január 23. 12:41 - Frissítve 2025. április 14. 14:40

Serhii Boiarynov

További kérdései vannak? Kérelem beküldése

Fontos értesítés:
Kérjük, vegye figyelembe, hogy gépi fordítást használunk, hogy a cikkeket az Ön helyi nyelvén nyújtsuk. Előfordulhat, hogy nem minden szöveget fordítunk le pontosan. Ha a lefordított változatban szereplő információk pontosságával kapcsolatban kérdés vagy eltérés merül fel, kérjük, tekintse meg az eredeti cikket itt: Eredeti változat

A Device HA (High Availability) (HA PRO) megoldás egy aktív-passzív beállításban konfigurált tűzfalpár használatával biztosítja a folyamatos hálózati kapcsolatot. Ebben a konfigurációban az aktív tűzfal normál körülmények között kezeli a forgalmat, míg a passzív tűzfal készenléti állapotban marad. Az aktív eszköz meghibásodása esetén a passzív eszköz másodperceken belül automatikusan átveszi az aktív tűzfal szerepét, így biztosítva a minimális megszakítást és a zökkenőmentes hálózati működés fenntartását.

Az eszköz nagyfokú rendelkezésre állásának bemutatása

A következő funkciók átvihetők a másodlagos Zyxel eszközre, amikor az aktívvá válik az eszköz HA használatával:

Indítási és futó konfiguráció
Aláírások
Device Insight (Eszközbetekintés)
Külső blokklista
DHCP-bérleti bejegyzések
Kétfaktoros hitelesítés
Tanúsítványok
Licencek, beleértve az NCC-t is, ha van ilyen
Zyxel eszközidő

Követelmény

A HA-eszköznek ugyanarra a tűzfalmodellre van szüksége, és ugyanazt a firmware-verziót kell telepítenie.
Mindkét eszköznek ugyanannál a szervezetnél kell regisztrálva lennie.

Firmware verzió	Támogatott párosított modell
1.31-től	USG FLEX 200H	USG FLEX 200H
	USG FLEX 200HP	USG FLEX 200HP
	USG FLEX 500H	USG FLEX 500H
	USG FLEX 700H	USG FLEX 700H

Elsődleges és másodlagos eszközszerepek

Az elsődleges és másodlagos eszközök szerepét a telepítés előtt határozzák meg, és azok az eszköz működése során változatlanok maradnak.
Az aktív és a passzív üzemmód állapota dinamikusan változhat a hibaátállás során.

Heartbeat port

Az eszköz HA egy dedikált Heartbeat-kapcsolatot használ az aktív és a passzív eszköz között az állapotszinkronizáláshoz, valamint a hibaátállás és a passzív eszközre történő visszalépés kiváltásához, ha az aktív eszköz nem reagál. A passzív eszközön az összes port le van tiltva, kivéve a szívhangkapcsolattal rendelkező portot.

Az alábbi példában a Zyxel Device A az aktív eszköz, amely a passzív eszközhöz, a Zyxel Device B-hez egy dedikált kapcsolaton keresztül kapcsolódik, amelyet a heartbeat vezérléshez, a konfiguráció szinkronizálásához és a hibaelhárításhoz használnak. A Zyxel Device B összes linkje leállt, kivéve a dedikált heartbeat linket.

Egy dedikált heartbeat port közvetlen kapcsolattal az eszközök között egymás állapotának figyelemmel kísérése céljából
A heartbeat port minden egyes modellhez előre meghatározott

HA-eszköz Előkészítés

Firmware frissítés a párosított Zyxel eszközökön

Először frissítse a firmware-t a passzív eszközre.
A frissítés után a passzív eszköz aktívvá válik, és a firmware frissítése alatt az összes forgalmat kezeli.
Ezután a firmware frissítése a passzív elsődleges eszközre történik.
Miután a firmware frissítése mindkét Zyxel-eszközön befejeződött, az elsődleges eszköz aktívvá válik.

A készülék HA telepítésének előkészítése

Győződjön meg róla, hogy a passzív Zyxel eszköz offline állapotban van, majd engedélyezze az eszköz HA-t a Rendszer > Eszköz HA > HA konfiguráció menüpontban az aktív Zyxel eszközön.
Az aktív és a passzív Zyxel-eszköz kezelési IP-címének ugyanabban az alhálózatban kell lennie.
Győződjön meg arról, hogy az SSH szolgáltatás a Rendszer > SSH menüpontban mindkét Zyxel-készüléken engedélyezve van. Az SFTP (Secure File Transfer Protocol - biztonságos fájlátviteli protokoll) átviszi a fájlokat az aktív Zyxel-készülékről a passzív Zyxel-készülékre.
Csatlakoztassa a passzív Zyxel-készüléket az aktív Zyxel-készülékhez a heartbeat portok segítségével. Ezek a Zyxel-eszközök legmagasabb számozású réz Ethernet-portjai - lásd: Device HA Heartbeat Portok.
Ha mindkét Zyxel-eszköz egyszerre van bekapcsolva a Device HA engedélyezésével, akkor egyszerre küldhetnek szívhangot. Ebben az esetben az elsődleges (licencvezérlő) szerepkörrel rendelkező Zyxel-eszköz lesz az aktív Zyxel-eszköz.

Az NCC használata az eszköz HA kezeléséhez

Mindkét Zyxel-készüléket regisztrálnia kell az NCC-ben, azaz mindkettőnek egy szervezethez kell tartoznia. A passzív Zyxel Eszköz automatikusan regisztrálásra kerül az NCC-ben, ha még nem regisztrálták az NCC-ben.
Mindkét Zyxel-eszköznek ugyanahhoz a szervezethez kell tartoznia, és ugyanahhoz a fiókhoz kell regisztrálni.
A passzív Zyxel Device a Device HA párosítás befejezése után eltávolításra kerül az NCC telephelyről, mivel egy telephelyen az NCC-ben csak egy Zyxel Device tűzfal lehet (a cikk írásának időpontjában).
Az NCC automatikusan küld egy e-mailt, hogy értesítse a felhasználókat, amikor a Zyxel Eszközök párosítása megtörtént a licencek átadásával.

A Device HA beállítása

A Device HA funkció beállításához jelentkezzen be a Zyxel tűzfalak webes felületére, és navigáljon a következőre:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Ellenőrizze a HA állapotát a Rendszer > Eszköz HA > HA állapotmenüpontban.

Ellenőrizze az aktív Zyxel eszköz HA naplóját a Rendszer > Eszköz HA > HA napló menüpontban.

A passzív Zyxel eszközön konfigurálja az eszköz HA-t a Rendszer > Eszköz HA > HA konfiguráció menüpontban.

Csatlakoztassa a heartbeat Ethernet-kábelt az aktív és a passzív Zyxel-eszköz között.

Ellenőrizze az aktív és a passzív Zyxel-eszköz HA-állapotát a Rendszer > Eszköz HA > HA állapot menüpontban.

Ellenőrizze az aktív Zyxel eszköz naplóit a System > Device HA > HA Log (Rendszer > Eszköz HA > HA napló) menüpontban.

Amikor a Device HA párosítás után bejelentkezik egy Zyxel eszközre, egy banner fogja jelezni, hogy az aktív vagy a passzív Zyxel eszközre van bejelentkezve.

Sikeres átállás - Napló

Hibakezelés

A tűzfal észleli, ha az eszköz firmware-e vagy modellje eltérő

Példa 1: Az eszköz HA állapotának ellenőrzése

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..

usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Példa 2: Teljes szinkronizálás kikényszerítése

[Aktív]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Passzív]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Példa 3: Hogyan ellenőrizhetjük a szinkronizálási állapotot?

[Passzív]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Kérjük, vegye figyelembe:
uOS 1.31 megakadályozza, hogy a felhasználók a GUI ,CLI és az NCC élő eszközön konfigurációt alkalmazzanak, amikor a készülék HA párosítva van.
Ennek oka, hogy elkerüljék a konfiguráció alkalmazását, ha a HA nincs aktiválva.

A szakasz cikkei

Több megjelenítése