Firewall High Availability HA Pro - Configurare Device HA Pro

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Device HA Pro è un servizio utilizzato per fornire ridondanza di rete per ridurre i potenziali tempi di inattività e non richiede licenze aggiuntive per attivare questo servizio. Inoltre, Device HA Pro sincronizza il file di configurazione, il tempo di attività del dispositivo, le sessioni TCP (IPv4/IPv6), le sessioni VPN IPSec, le informazioni I/O, la tabella DHCP, la tabella di Binding IP/MAC e lo stato della licenza. Il dispositivo abbinato all'installazione di Device HA Pro assumerà un ruolo attivo o passivo. Il dispositivo attivo riceverà tutte le modifiche di configurazione apportate all'impostazione e sarà responsabile dell'invio delle informazioni al dispositivo passivo. Il dispositivo che assume il ruolo passivo riceverà le modifiche di configurazione dal dispositivo attivo e assumerà il ruolo attivo se l'attuale dispositivo attivo si trova in uno dei seguenti stati.

Informazioni importanti: Entrambi i dispositivi devono essere dello stesso modello e registrati nello stesso account myZyxel.com. Le licenze devono essere trasferite al dispositivo attivo. Quando il firewall attivo si guasta, ogni licenza verrà automaticamente trasferita al firewall passivo.

Prima di configurare Device HA Pro, è importante fare quanto segue.

  1. Il dispositivo passivo dovrebbe avere SOLO un PC connesso con accesso Web GUI e SENZA cavo heartbeat dall'inizio
  2. Il dispositivo passivo dovrebbe essere RESETTATO e avere lo stesso firmware del dispositivo attivo prima che la configurazione HA Pro possa avvenire.
  3. Il firewall passivo dovrebbe essere registrato su MyZyxel.
  4. Attendere che la spia sys lampeggi (stato passivo) prima di collegare il resto dei cavi.
  5. Quando si configura correttamente un HA Pro, non dovrebbe esserci alcun downtime durante l'abbinamento dei dispositivi
  6. Assicurarsi che le versioni firmware su entrambe le partizioni del Primo Dispositivo e del Secondo Dispositivo corrispondano.

Cosa può andare storto? Perché non riesco a vedere lo stato corretto della licenza dal server myzyxel.com?
Nella impostazione Device-HA Pro, c'è una funzione “Numero di serie del dispositivo con licenza per la sincronizzazione della licenza”. Dovresti inserire il numero di serie (S/N) del dispositivo con le licenze. Così puoi trasferire tutte le licenze al dispositivo “Attivo” inserendo il numero di serie di questo dispositivo nel campo.

Nota: La licenza Gold Security Pack di un anno inclusa di default per i gateway ATP non è trasferibile. Per il deployment di Device HA, si prega di contattare il supporto Zyxel nel tuo paese/regione per aiutarti a trasferire le licenze. Licenza

Come contattare il Team di Supporto per il trasferimento della licenza, controlla qui: Come contattare il Team di Supporto?

Panoramica

La funzionalità Device HA agisce come failover quando uno dei firewall nella rete è inattivo o non può accedere a internet. In Device HA Pro viene aggiunto un “collegamento heartbeat” per monitorare lo stato dell'interfaccia e sincronizzare le impostazioni.

Untitled.png

 

Configurazione del Dispositivo Attivo

Per configurare la funzione Device HA Pro, accedi all'interfaccia web dei firewall Zyxel e naviga su:

Configurazione -> Device HA -> Device HA Pro

La ultima porta fisica RJ45 sul firewall Zyxel è la porta di gestione Device HA (Porta Heartbeat). Assicurati che questa porta non faccia parte di un LAG, VLAN o interfaccia bridge.

Passaggi:
• Deseleziona l'opzione “Abilita Provisioning Configurazione dal Dispositivo Attivo”.
• Verifica che il numero di serie sia quello del dispositivo primario.
• Fornisci un indirizzo IP per il Dispositivo Attivo. (Deve essere un indirizzo non utilizzato da nessuna delle tue interfacce attuali)
• Fornisci un indirizzo IP per il Dispositivo Passivo. (nella stessa subnet di sopra)
• Fornisci una maschera di sottorete.
• Crea una password di sincronizzazione.
• Seleziona le interfacce da monitorare dalla lista disponibile e spostale nella lista dei membri.
• Configura le impostazioni di rilevamento Failover desiderate.
• Clicca sul pulsante "Applica & passa a Device HA Pro".

Torna alla scheda Device HA per abilitare la funzione Device HA sul firewall attivo.
• Verifica che la Modalità Device HA sia impostata su “Device HA Pro”.
• Seleziona la casella per “Abilita Device HA”.
• Clicca sul pulsante "Applica" in fondo alla schermata per salvare le impostazioni.

Configurazione del Dispositivo Passivo

Nota! Collega il tuo PC solo al firewall passivo durante la configurazione di HA Pro. Dopo aver configurato HA Pro e avere lo stesso firmware del dispositivo attivo, puoi collegare il cavo heartbeat (SOLO quello!). Dopo che il dispositivo è avviato e vedi la spia SYS accesa e solo la spia della porta heartbeat accesa, puoi collegare il resto delle porte.
Per configurare il dispositivo passivo, collega il tuo computer al secondo firewall Zyxel e accedi all'interfaccia web

 Configurazione -> Device HA -> Device HA Pro

• Assicurati che “Abilita Provisioning Configurazione dal Dispositivo Attivo” sia selezionato.
• Verifica che la Modalità Device HA sia impostata su “Device HA Pro”.
• Seleziona la casella per “Abilita Device HA”.
• Clicca sul pulsante "Applica" in fondo alla schermata per salvare le impostazioni.

Collega un cavo Ethernet alla Porta Heartbeat (ultima porta fisica) su entrambi i dispositivi e attendi circa 5 minuti affinché i dispositivi sincronizzino tutte le impostazioni. A questo punto, la funzione Device HA Pro è configurata e qualsiasi modifica effettuata sul firewall primario (attivo) verrà sincronizzata con il firewall secondario (passivo).

Nota: Assicurati di abilitare il “Controllo di Connettività” per la/e connessione/i WAN. Abilitando questa opzione, il firewall Zyxel testerà l'accesso a internet e passerà alla connessione internet secondaria del dispositivo passivo se quella del dispositivo attivo fallisce.

Per la modalità On-Premises con la funzione High Availability (HA) abilitata, NON utilizzare l'aggiornamento firmware cloud. Dovrai seguire una procedura diversa per completare l'aggiornamento firmware; si prega di leggere la SOP. * Modelli e versioni applicabili: USG FLEX 500/700, ATP500/700/800 con ZLD5.20 fino a ZLD5.21 Patch1. 

Suggerimenti per la Risoluzione dei Problemi

1. La sincronizzazione può fallire con i messaggi sul dispositivo passivo

La sincronizzazione può fallire con i messaggi sul dispositivo passivo:
Recupero versione firmware attiva non riuscito
Recupero versione firmware attiva non riuscito
Recupero versione firmware attiva non riuscito
La sincronizzazione Device HA è fallita durante la sincronizzazione della versione firmware a causa di 'Sync From' o 'Sync Port' errati.

Una possibile causa può essere che il servizio FTP sul dispositivo attivo ha alcune restrizioni e quindi il dispositivo passivo non può accedervi.

Esempio di configurazione errata:

2. I dispositivi non si sincronizzano

  • Assicurati che entrambi gli appliance eseguano la stessa revisione del firmware. Entrambi devono eseguire la stessa versione firmware per sincronizzarsi.
  • Assicurati che entrambi gli appliance eseguano la stessa banca/slot firmware. Se il dispositivo primario esegue lo slot firmware 1 e lo slot 2 è in standby, anche il secondo dispositivo deve eseguire lo slot 1 con lo slot 2 in standby.
  • Assicurati che solo la porta Heartbeat (ultima porta RJ45 sull'appliance [es: P7]) sia collegata al dispositivo primario per i primi 5 minuti dopo aver abilitato la funzione Device HA Pro. Se entrambi i dispositivi sono collegati a una rete attiva contemporaneamente, ciò può causare problemi di routing, loop e collisioni che influenzano la rete.

 3. Impossibile accedere al dispositivo passivo

  1.  
    • Assicurati che i dispositivi abbiano completato la sincronizzazione. Il processo di sincronizzazione iniziale può richiedere fino a 5 minuti.
    • Usa l'indirizzo IP che hai configurato nel menu Device HA Pro per "IP di gestione dispositivo passivo".

4. Ho fatto modifiche sul dispositivo passivo ma non si sincronizzano sul Master.

  •  
    • Una volta configurato Device HA Pro, qualsiasi modifica alla configurazione di rete deve essere fatta sul dispositivo Master/Primario. Il dispositivo passivo è solo uno slave e le modifiche effettuate qui non verranno applicate al dispositivo Primario/Master.

5. La licenza/servizio SecuReporter è attiva sul firewall, ma il dispositivo non viene trovato in SecuReporter

  •  
    • Quando il dispositivo master è passato al dispositivo passivo e la licenza SecuReporter è stata attivata, potresti riscontrare che la licenza non si sincronizza in SecuReporter, anche se nella GUI del firewall risulta "attiva/attivata". Devi rendere nuovamente attivo il dispositivo primario, quindi rimuovere il dispositivo e l'organizzazione da SecuReporter e riattivare il servizio SecuReporter sul dispositivo primario.

 

Ci sono altri problemi, si prega di effettuare un nuovo deploy di Device HA Pro, vedi qui Ridistribuzione Device HA Pro

 

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 2 su 3
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.