Zyxel USG FLEX H Series [HA] - Sostituire il dispositivo o implementare nuovamente HA (HA PRO)

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. In caso di dubbi o discrepanze sull'accuratezza delle informazioni contenute nella versione tradotta, si prega di consultare l'articolo originale qui:Versione originale

Per sostituire un firewall Zyxel USG FLEX serie H danneggiato o non funzionante in una configurazione High Availability (HA), è essenziale seguire le best practice per ridurre al minimo i tempi di inattività e ripristinare efficacemente la funzionalità HA. Sebbene la sostituzione di un dispositivo guasto comporti essenzialmente la riconfigurazione della configurazione HA da zero, questa guida illustra i passaggi chiave, le best practice e le sfumature importanti per semplificare il processo ed evitare le insidie più comuni.

Ecco una guida passo passo per sostituire e ricostruire l'HA in uno scenario di questo tipo:

  • Si dispone di due firewall USG FLEX serie H (primario e secondario).
  • Il dispositivo "primario" difettoso verrà sostituito con una nuova unità funzionante dello stesso modello.
  • L'unità secondaria/standby è ancora funzionante e attualmente attiva.

Topologia HA:

  • USG FLEX 500H - Sito5(FLEX500HP_1) - Primario (il sito principale dove sono fisicamente registrati tutti i dispositivi del nostro sito e il firewall principale)
  • USG FLEX 500H - Site5(FLEX500HP_2) - Secondario (Un sito con solo un dispositivo firewall di backup fisicamente registrato)

Questa configurazione può creare un po' di confusione, poiché i firewall sono registrati in siti diversi. Tuttavia, il firewall del sito secondario (di backup/passivo) apparirà sempre offline, mentre il firewall del sito primario (principale) apparirà sempre online, indipendentemente da quale firewall stia gestendo attivamente il traffico in un determinato momento.

Supponiamo che il firewall primario registrato nel sito principale si sia guastato e che il firewall di backup (secondario) stia gestendo tutto il traffico. In questo caso, è necessario sostituire il firewall guasto registrato sul sito principale. Ma possiamo anche spostare il nostro dispositivo passivo nel sito principale e renderlo il sito principale, e solo allora aggiungere il nostro nuovo dispositivo come dispositivo passivo.

Passo 1: rimuovere il peer HA difettoso

  • Scollegare fisicamente il dispositivo danneggiato e rimuoverlo dal sistema.
  • Sul dispositivo attivo (funzionante), andare a: Menu a sinistra > Sistema> Dispositivo HA
    Se l'HA è attualmente abilitato ma non può sincronizzarsi con il peer danneggiato, fare clic su Disabilita HA.
  • Salvare e applicare le modifiche per completare questo passaggio.

Backup della configurazione sul dispositivo attivo (non è obbligatorio, ma è la prassi migliore per evitare di perdere le impostazioni. L'ideale sarebbe avere sempre una copia della configurazione).

  • Accedere al dispositivo attivo (funzionante).
  • Andare a Manutenzione > Gestione file > File di configurazione.
  • Scaricare una configurazione di ultima generazione e di avvio del dispositivo attivo (nel caso in cui qualcosa vada storto).

Fase 2 - Preparazione per l'HA del dispositivo master attivo

In questo esempio, procederemo assegnando il dispositivo attualmente attivo al sito 1 come dispositivo primario. Il dispositivo sostitutivo (nuovo) sarà assegnato al sito 2 come dispositivo di backup (secondario).

Dal momento che abbiamo disabilitato l'HA sul dispositivo attivo nei passaggi precedenti, il dispositivo appare ora come online sul sito 2. Come mostrato nell'immagine seguente, abbiamo disabilitato l'HA sul dispositivo attivo. Come mostrato nell'immagine sottostante, ora riassegneremo il dispositivo al sito 1 e lo designeremo come dispositivo primario.

Per prima cosa, dobbiamo rimuovere il firewall danneggiato dal sito principale.

Per prima cosa, dobbiamo rimuovere il firewall danneggiato dal sito principale. Assegnate il dispositivo attivo al sito principale, rendendolo così il principale.

A questo punto è possibile verificare che il dispositivo precedentemente secondario sia stato aggiunto con successo al sito principale e abbia naturalmente assunto il ruolo di dispositivo primario.

Fase 3 - Preparazione per l'HA del dispositivo passivo

  • Disimballare e accendere il dispositivo nuovo/sostitutivo, ma non collegarlo ancora alla rete.
  • Verificare che la versione del firmware corrisponda a quella del dispositivo attivo (controllare in Manutenzione > Firmware).
  • In caso contrario, aggiornare il firmware.

Reset di fabbrica del nuovo dispositivo (se usato in precedenza)

  • Tenere premuto il pulsante RESET per circa 10 secondi finché il LED SYS non lampeggia in ambra.
  • Lasciare che il dispositivo si riavvii completamente.

Collegare e configurare il nuovo dispositivo sostitutivo

  • Collegare il PC alla porta LAN del nuovo firewall.
  • È inoltre necessario accedere a Internet sul nuovo dispositivo per registrarlo e aggiungerlo al sito Nebul.
  • Accedere utilizzando l'IP predefinito: 192.168.168.1 (admin / 1234).
  • Inizializzare il dispositivo e, durante il processo di inizializzazione, registrarlo nella stessa organizzazione.
  • Aggiungete il nuovo dispositivo al secondo sito; il nuovo dispositivo sarà il nostro dispositivo di backup/secondario.

Fase 4 - Accoppiare nuovamente i dispositivi per l'HA

  • Sul dispositivo primario, andare a > Sistema >Dispositivo HA > Configurazione HA
  • Fare clic su Abilita HA e impostare:
  • Sul dispositivo secondario, andare in > Sistema >Dispositivo HA > Configurazione HA
  • Fare clic su Abilita HA e impostare (su un dispositivo passivo non è necessario effettuare alcuna impostazione HA, è sufficiente attivare questa funzione):

Si noti inoltre che il cavo heartbeat deve essere scollegato per il momento.

Fase 5 - Sincronizzazione e test

  • Una volta abilitato l'HA su entrambi i lati:
    • Il primario deve inviare la sua configurazione al nuovo dispositivo.
    • Attendere il completamento della sincronizzazione. Questa operazione può richiedere alcuni minuti.
    • Controllare lo stato di HA: Sistema > Dispositivo HA > Registro HA

Fase 6 - Procedura di test del Failover:

Simulazione del guasto primario
Arrestare temporaneamente o scollegare il sistema primario dalla WAN per simulare uno scenario di guasto.

Verifica dell'acquisizione del sistema secondario
Confermare che il sistema secondario appena designato assuma con successo il ruolo primario senza interruzioni di servizio.

Ripristino del primario e convalida dello stato HA
Riavviare il dispositivo attivo per rendere nuovamente attivo il dispositivo primario originale. Verificare che lo stato di alta disponibilità (HA) si normalizzi e che i ruoli vengano ripristinati.

Se lo stato di sincronizzazione non appare corretto, nonostante i registri e le impostazioni indichino un funzionamento corretto, è possibile risolvere il problema tramite la Console Web eseguendo il seguente comando:

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

Articoli in questa sezione

Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 0 su 0
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.