Firewall Magas rendelkezésre állás HA Pro - Eszköz HA Pro konfigurálása

Létrehozva - Frissítve
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Az Eszköz HA Pro egy olyan szolgáltatás, amely hálózati redundanciát biztosít a lehetséges leállások csökkentése érdekében, és nem igényel további licenceket a szolgáltatás aktiválásához. Ezenkívül az Eszköz HA Pro szinkronizálja a konfigurációs fájlt, az eszköz üzemidejét, a TCP munkameneteket (IPv4/IPv6), az IPSec VPN munkameneteket, az I/O információkat, a DHCP táblát, az IP/MAC kötési táblát és a licenc állapotát. Az Eszköz HA Pro telepítésével párosított eszköz aktív vagy passzív szerepet tölt be. Az aktív eszköz fogadja az összes konfigurációs változtatást, és felelős az információk passzív eszköz felé történő továbbításáért. A passzív szerepet betöltő eszköz fogadja az aktív eszköztől érkező konfigurációs változásokat, és átveszi az aktív szerepet, ha a jelenlegi aktív eszköz az alábbi állapotok egyikében van.

Fontos információ: Mindkét eszköznek ugyanannak a modellnek kell lennie, és ugyanabban a myZyxel.com fiókban kell regisztrálva lennie. A licenceket az aktív eszközre kell áthelyezni. Ha az aktív tűzfal meghibásodik, minden licenc automatikusan átkerül a passzív tűzfalra.

Az Eszköz HA Pro konfigurálása előtt fontos a következőket elvégezni.

  1. A passzív eszközön CSAK egy PC legyen csatlakoztatva Web GUI hozzáféréssel, és NE legyen heartbeat kábel az elejétől kezdve.
  2. A passzív eszközt RESETELNI kell, és ugyanazzal a firmware-rel kell rendelkeznie, mint az aktív eszköznek, mielőtt az HA Pro konfiguráció megtörténhet.
  3. A passzív tűzfalnak regisztrálva kell lennie a MyZyxel-en.
  4. Várja meg, amíg a sys LED villog (passzív állapot), mielőtt a többi kábelt csatlakoztatná.
  5. Sikeres HA Pro konfiguráció esetén a párosítás során nem lehet leállás.
  6. Egyeztesse a firmware verziókat mind az Első Eszköz, mind a Második Eszköz partícióin.

Mi mehet rosszul? Miért nem látom a helyes licenc állapotot a myzyxel.com szerverről?
Az Eszköz-HA Pro beállításnál van egy funkció: „Licencelt eszköz sorozatszáma a licenc szinkronizációhoz”. Itt az eszköz S/N-ját kell megadnia, amelyhez licencek tartoznak. Így az összes licenc átvihető az „Aktív” eszközre, és ezt az eszköz S/N-ját kell beírni a mezőbe.

Megjegyzés: Az ATP átjárók alapértelmezett, egyéves Gold Security Pack licence nem átruházható. Az Eszköz HA telepítéséhez kérjük, lépjen kapcsolatba a Zyxel támogatással az Ön országában/régiójában, hogy segítsenek a licencek átvitelében. Licenc 

Hogyan lépjen kapcsolatba a Támogatási Csapattal a licenc átvitelhez, itt találja: Hogyan lépjek kapcsolatba a Támogatási Csapattal?

Áttekintés

Az Eszköz HA funkció failoverként működik, ha a hálózat egyik tűzfala meghibásodik vagy nem tud internethez csatlakozni. Az Eszköz HA Pro esetén egy „heartbeat link” is hozzáadódik az interfész állapotának figyelésére és a beállítások szinkronizálására.

Untitled.png

 

Aktív eszköz beállítása

Az Eszköz HA Pro funkció beállításához jelentkezzen be a Zyxel tűzfal webes felületére, és navigáljon ide:

Konfiguráció -> Eszköz HA -> Eszköz HA Pro

A Zyxel tűzfal utolsó fizikai RJ45 portja az Eszköz HA kezelő portja (Heartbeat port). Kérjük, győződjön meg róla, hogy ez a port nem része LAG, VLAN vagy híd interfésznek.

Lépések:
• Törölje a jelölést az „Aktív eszközről történő konfiguráció biztosításának engedélyezése” opcióból.
• Ellenőrizze, hogy a sorozatszám az elsődleges eszköz S/N-ja-e.
• Adjon meg IP címet az Aktív eszköznek. (Olyan címet, amely nincs használatban egyik aktuális interfészén sem)
• Adjon meg IP címet a Passzív eszköznek. (ugyanabban az alhálózatban, mint fent)
• Adjon meg alhálózati maszkot.
• Hozzon létre egy szinkronizációs jelszót.
Válassza ki a figyelendő interfészeket a rendelkezésre álló listából, és helyezze át őket a tagok listájába.
Állítsa be a kívánt Failover észlelési beállításokat.
Kattintson az „Alkalmaz & váltás Eszköz HA Pro-ra” gombra.

Lépjen vissza az Eszköz HA fülre, és engedélyezze az Eszköz HA funkciót az aktív tűzfalon.
• Ellenőrizze, hogy az Eszköz HA mód „Eszköz HA Pro”-ra van állítva.
• Jelölje be az „Eszköz HA engedélyezése” négyzetet.
• Kattintson az oldal alján az „Alkalmaz” gombra a beállítások mentéséhez.

Passzív eszköz beállítása

Megjegyzés! Az HA Pro konfigurálásakor csak a számítógépét csatlakoztassa a passzív tűzfalhoz. Miután konfigurálta az HA Pro-t, és a firmware ugyanaz, mint az aktív eszközön, akkor csatlakoztathatja a heartbeat kábelt (CSAK azt!). Amikor az eszköz elindult, és a SYS LED, valamint csak a heartbeat port LED-je világít, csatlakoztathatja a többi portot.
A passzív eszköz konfigurálásához csatlakoztassa számítógépét a második Zyxel tűzfalhoz, és lépjen be a webes felületre

 Konfiguráció -> Eszköz HA -> Eszköz HA Pro

• Győződjön meg róla, hogy az „Aktív eszközről történő konfiguráció biztosításának engedélyezése” be van jelölve.
• Ellenőrizze, hogy az Eszköz HA mód „Eszköz HA Pro”-ra van állítva.
• Jelölje be az „Eszköz HA engedélyezése” négyzetet.
• Kattintson az oldal alján az „Alkalmaz” gombra a beállítások mentéséhez.

Csatlakoztasson egy Ethernet kábelt a Heartbeat porthoz (az utolsó fizikai port) mindkét eszközön, és várjon körülbelül 5 percet, hogy az eszközök szinkronizálják az összes beállítást. Ekkor az Eszköz HA Pro funkció be van állítva, és az aktív tűzfalon végrehajtott változtatások szinkronizálódnak a passzív tűzfalra.

Megjegyzés: Kérjük, engedélyezze a „Kapcsolat ellenőrzését” a WAN kapcsolatoknál. Ennek engedélyezése lehetővé teszi a Zyxel tűzfal számára az internet-hozzáférés tesztelését, és ha az aktív eszközön meghibásodik, átvált a passzív eszköz másodlagos internetkapcsolatára.

On-Premises módban, ha a Magas rendelkezésre állás (HA) funkció engedélyezve van, kérjük, NE használja a felhőalapú firmware frissítést. A firmware frissítés befejezéséhez más eljárást kell követni; kérjük, olvassa el a SOP dokumentumot. * Alkalmazható modellek és verziók: USG FLEX 500/700, ATP500/700/800 ZLD5.20-tól ZLD5.21 Patch1-ig.

Hibaelhárítási tippek

1. A szinkronizáció sikertelen, a passzív eszközön az alábbi üzenetek jelennek meg

A szinkronizáció sikertelen a passzív eszközön megjelenő üzenetekkel:
Az aktív firmware verzió lekérése sikertelen
Az aktív firmware verzió lekérése sikertelen
Az aktív firmware verzió lekérése sikertelen
Az Eszköz HA szinkronizáció sikertelen a firmware verzió szinkronizálásakor a hibás 'Szinkronizálás innen' vagy 'Szinkron port' miatt.

Lehetséges ok, hogy az aktív eszköz FTP szolgáltatása korlátozásokkal rendelkezik, így a passzív eszköz nem fér hozzá.

Helytelen beállítás példája:

2. Az eszközök nem szinkronizálnak

  • Győződjön meg róla, hogy mindkét készülék ugyanazt a firmware verziót futtatja. A szinkronizációhoz mindkettőnek ugyanazt a verziót kell használnia.
  • Győződjön meg róla, hogy mindkét készülék ugyanazt a firmware bankot/partíciót használja. Ha az elsődleges eszköz az 1-es partíciót használja, és a 2-es készenléti, akkor a második eszköznek is az 1-es partíciót kell használnia, a 2-es pedig készenléti állapotban legyen.
  • Győződjön meg róla, hogy csak a Heartbeat port (az eszköz utolsó RJ45 portja, pl. P7) van csatlakoztatva az elsődleges eszközhöz az Eszköz HA Pro funkció engedélyezése utáni első 5 percben. Ha mindkét eszköz egyszerre csatlakozik egy élő hálózathoz, az útválasztási problémákat, hurkokat és ütközéseket okozhat, amelyek befolyásolják a hálózatot.

 3. Nem lehet hozzáférni a passzív eszközhöz

  1.  
    • Győződjön meg róla, hogy az eszközök befejezték a szinkronizációt. Az első szinkronizációs folyamat akár 5 percig is eltarthat.
    • Használja azt az IP címet, amelyet az Eszköz HA Pro menüben a „Passzív eszköz kezelő IP”-ként konfigurált.

4. Módosításokat végeztem a passzív eszközön, de azok nem szinkronizálódnak a fő eszközön.

  •  
    • Miután az Eszköz HA Pro be van állítva, a hálózati konfigurációs változtatásokat mindig a fő/elsődleges eszközön kell végrehajtani. A passzív eszköz csak másodlagos, és itt végrehajtott módosítások nem kerülnek alkalmazásra az elsődleges eszközön.

5. A SecuReporter licenc/szolgáltatás aktív a tűzfalon, de az eszköz nem található meg a SecuReporterben

  •  
    • Ha a fő eszköz átállt passzívra, majd aktiválták a SecuReporter licencet, előfordulhat, hogy a licenc nem szinkronizálódik a SecuReporterrel, bár a tűzfal GUI-n „aktív/aktivált” állapotot jelez. Ebben az esetben újra aktiválni kell a fő eszközt, majd eltávolítani az eszközt és a szervezetet a SecuReporterből, és újra aktiválni a SecuReporter szolgáltatást a fő eszközön.

 

Egyéb problémák esetén kérjük, végezze el az Eszköz HA Pro újratelepítését, lásd itt: Eszköz HA Pro újratelepítés

 

A szakasz cikkei

Több megjelenítése
Hasznos volt ez a cikk?
3/2 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.