Zyxel USG FLEX serie H [HA] - Impostazione della disponibilità elevata del dispositivo (HA PRO)

Creato - Aggiornato
Serhii Boiarynov
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. In caso di dubbi o discrepanze sull'accuratezza delle informazioni contenute nella versione tradotta, si prega di consultare l'articolo originale qui:Versione originale

La soluzione Device HA (High Availability) (HA PRO) garantisce una connettività di rete continua utilizzando una coppia di firewall in configurazione attiva-passiva. In questa configurazione, il firewall attivo gestisce il traffico in condizioni normali, mentre il firewall passivo rimane in standby. In caso di guasto del dispositivo attivo, il dispositivo passivo subentra automaticamente come firewall attivo in pochi secondi, garantendo un'interruzione minima e mantenendo il funzionamento della rete senza interruzioni.

Introduzione del dispositivo High Availability

Le seguenti funzioni possono essere trasferite al dispositivo Zyxel secondario quando questo diventa attivo utilizzando il dispositivo HA:
  • Configurazione di avvio e di funzionamento
  • Firme
  • Approfondimento del dispositivo
  • Elenco dei blocchi esterni
  • Voci di leasing DHCP
  • Autenticazione a due fattori
  • Certificati
  • Licenze incluso NCC, se applicabile
  • Tempo del dispositivo Zyxel

Requisiti

  • Il dispositivo HA richiede lo stesso modello di firewall e deve installare la stessa versione del firmware.
  • Entrambi i dispositivi devono essere registrati presso la stessa organizzazione.
Versione firmware Supporto Modello accoppiato
Da 1.31 USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Ruoli dei dispositivi primari e secondari

  • I ruoli dei dispositivi primari e secondari sono definiti prima dell'installazione e rimangono invariati durante il funzionamento del dispositivo.
  • Gli stati di modalità attiva e passiva possono cambiare dinamicamente durante il failover.

Porta heartbeat

Il dispositivo HA utilizza un collegamento heartbeat dedicato tra un dispositivo attivo e uno passivo per la sincronizzazione dello stato e per attivare il failover e il backup sul dispositivo passivo se il dispositivo attivo non risponde. Sul dispositivo passivo, tutte le porte sono disabilitate tranne quella con il collegamento heartbeat.
Nell'esempio seguente, il dispositivo Zyxel A è il dispositivo attivo collegato al dispositivo passivo Zyxel B attraverso un collegamento dedicato che viene utilizzato per il controllo heartbeat, la sincronizzazione della configurazione e la risoluzione dei problemi. Tutti i collegamenti su Zyxel Device B sono disattivati, tranne il collegamento heartbeat dedicato.
  • Una porta heartbeat dedicata con una connessione diretta tra i dispositivi per monitorare lo stato reciproco
  • La porta heartbeat per ogni modello è predefinita.

Prerequisiti per l'HA dei dispositivi

  • Assicurarsi che i dispositivi primari e secondari soddisfino i seguenti requisiti:
  1. Stesso modello - Entrambi devono essere USG FLEX 200H; non sono supportati modelli diversi (ad esempio, 200H vs. 200HP).
  2. Stesso firmware - Deve essere in esecuzione la stessa versione (uOS 1.31 o successiva).
  3. Stessa organizzazione Nebula - Entrambi devono essere registrati sotto la stessa organizzazione.
    • Assegnare il primario al sito 1
    • Assegnare il secondario al sito 2

Nota: si consiglia vivamente di completare le fasi di registrazione del dispositivo su Nebula prima di effettuare il pairing HA.

  • Abilita SSH - SSH deve essere abilitato su entrambi i dispositivi (Sistema > SSH) utilizzando la porta 22 per la sincronizzazione del dispositivo HA.
  • Subnet IP di gestione - È supportato solo 255.255.255.0.

Impostazione di Device HA

Per impostare la funzione Device HA, accedere all'interfaccia web dei firewall Zyxel e navigare su:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Scegliere responsabilmente il tipo di indirizzo Mac, poiché questa impostazione non può essere modificata una volta attivato l'HA. Per apportare ulteriori modifiche, è necessario disattivare l'HA, apportare le modifiche e quindi impostare nuovamente l'HA.

Controllare lo stato di HA in Sistema > Dispositivo HA > Stato HA

Controllare il registro HA del dispositivo Zyxel attivo in Sistema > Dispositivo HA > Registro HA

Configurare il dispositivo HA sul dispositivo Zyxel passivo in Sistema > Dispositivo HA > Configurazione HA.

Abilita - Configurazione HA (in questa fase non sono necessarie ulteriori azioni. Dopo aver attivato l'HA sul dispositivo passivo, scollegare tutte le connessioni di rete da esso, quindi collegare il cavo heartbeat dal dispositivo attivo al dispositivo passivo).

Avvertenza IMPORTANTE: l'attivazione dell'High Availability (HA) del dispositivo secondario comporta:
- Le porte WAN/LAN del dispositivo si collegheranno in modo negativo.
- Disconnettersi dalla sessione web GUI corrente

Collegare il cavo Ethernet heartbeat tra il dispositivo Zyxel attivo e quello passivo.

Verificare lo stato HA dei dispositivi Zyxel attivi e passivi in Sistema > Dispositivo HA > Stato HA.

Controllare i registri del dispositivo Zyxel attivo in Sistema > Dispositivo HA > Registro HA.

Quando si accede a un dispositivo Zyxel dopo il pairing del dispositivo HA, viene visualizzato un banner che indica se si è connessi al dispositivo Zyxel attivo o passivo.

Successo del Failover - Registro

Gestione degli errori

Il firewall rileva se il firmware o il modello del dispositivo è diverso.

 Stato di accoppiamento fallito:
  • Impossibile ottenere correttamente MAC/SN dal certificato
  • Registrazione del dispositivo non riuscita
  • Rilevata una mancata corrispondenza del firmware o del modello del dispositivo
  • I dispositivi appartengono a un'organizzazione diversa
  • Disadattamento della proprietà del dispositivo
  • Il dispositivo non è assegnato a un sito

Esempio 1: come controllare lo stato HA del dispositivo

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Esempio 2: Forzare una sincronizzazione completa

[Attivo]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Passivo]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Esempio 3: Come controllare lo stato di sincronizzazione?

[Passivo]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Nota bene:
uOS 1.31 impedisce agli utenti di applicare la configurazione su GUI, CLI e NCC live tool quando il dispositivo è accoppiato in HA.
Il motivo è evitare di applicare la configurazione quando l'HA non è attivato.


Articoli in questa sezione

Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 0 su 0
Condividi