Firewall High Availability HA Pro - Riprogrammazione Device HA Pro

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Questo articolo fornisce indicazioni su come riprogrammare HA-Pro quando non funziona correttamente, spesso a causa di slot firmware errati o versioni firmware differenti. Sottolinea la necessità che entrambi i dispositivi nella configurazione Device HA Pro siano dello stesso modello, registrati sotto lo stesso account myZyxel.com e con licenze sincronizzate. L'articolo illustra i passaggi per la configurazione di base, il deployment del primo e del secondo dispositivo, il controllo dello stato e il test del failover. Discute inoltre l'importanza di garantire la coerenza del firmware e fornisce suggerimenti per la risoluzione di problemi di sincronizzazione. Per assistenza dettagliata sulla configurazione, gli utenti sono indirizzati ai servizi professionali Zyxel.

Configurazione di base - Device HA Pro.

Topo (DeviceHA-Pro)

mceclip1.png

In Device HA Pro, viene aggiunto un “link heartbeat” per monitorare lo stato delle interfacce e sincronizzare le impostazioni.

Il comportamento di Device HA Pro include un link heartbeat per monitorare lo stato dell’interfaccia del dispositivo “attivo”. Se una delle interfacce monitorate è inattiva o fallisce, lo stato del dispositivo “passivo” diventerà “attivo”. (Questo significa che solo 1 dispositivo può avere lo stato “attivo” alla volta.)

Link Heartbeat
La porta heartbeat è una nuova porta fisica sul dispositivo (correzione nel Firmware dell’ultima porta del dispositivo supportato HA-Pro). Dopo aver abilitato Device HA Pro, i dispositivi trasmettono pacchetti multicast (UDP 694) per verificare lo stato di ciascun dispositivo. Quando il dispositivo passivo funziona correttamente, il LED di sistema sarà acceso. Solo il LED della porta heartbeat può essere acceso.

Informazioni importanti: Entrambi i dispositivi devono essere dello stesso modello e registrati nello stesso account myZyxel.com. Le licenze devono essere trasferite al dispositivo attivo. Quando il firewall attivo fallisce, tutte le licenze saranno automaticamente trasferite al firewall passivo.

Cosa può andare storto? Perché non si vede lo stato corretto delle licenze dal server myzyxel.com?
Nelle impostazioni Device-HA Pro, c’è una funzione “Numero seriale del dispositivo con licenza per la sincronizzazione delle licenze”. Devi inserire il numero seriale (S/N) del dispositivo con licenze. Così potrai trasferire tutte le licenze al dispositivo “Attivo” e inserire il S/N di questo dispositivo nel campo.

Nota: La licenza Gold Security Pack annuale predefinita inclusa con i gateway ATP non è trasferibile. Per il deployment di Device HA, si prega di contattare il supporto Zyxel nel proprio paese/regione per assistenza nel trasferimento delle licenze. 

L’installazione di base la puoi trovare qui: Configurazione di base - Device HA Pro

Prima di riprogrammare l’HA-Pro

(1) Trasferisci tutte le licenze al dispositivo primario. Questo aiuta a evitare che il sistema ricalcoli le licenze ogni volta.
(2) Abilita la funzione di verifica connettività sulle interfacce monitorate. Quando un’interfaccia non riceve risposta dal server remoto per un certo periodo, il dispositivo considererà lo stato dell’interfaccia come fallito. A quel punto la funzione Device HA Pro cambierà lo stato dell’interfaccia.

  1. Assicurati che il Dispositivo B (Passivo) sia resettato alle impostazioni di fabbrica.
  2. Sul Dispositivo B, la versione del firmware in esecuzione deve essere la stessa del Dispositivo A.
  3. Sul Dispositivo B, la partizione del firmware in esecuzione deve essere nella stessa posizione del Dispositivo A.
  4. Conferma che il numero seriale del Dispositivo A sia inserito nella pagina HA-Pro.

mceclip10.png

Vai su Configurazione > Device HA > Device HA-Pro

mceclip2.png

Procedi con la configurazione delle impostazioni HA

Nota! L’IP di gestione del dispositivo e le subnet locali non possono essere uguali!

Deploy del primo dispositivo

  • Configura le impostazioni HA Pro (IP di gestione, interfaccia di monitoraggio, licenza)
  • Metti online come dispositivo Attivo

4. Deploy del secondo dispositivo

  • La versione del firmware in esecuzione deve essere la stessa del primo dispositivo
  • La partizione del firmware in esecuzione deve essere nella stessa posizione del primo dispositivo

La partizione in esecuzione del primo dispositivo è la partizione 1, quindi la partizione in esecuzione del secondo dispositivo deve essere la partizione 1.

  • Configura le impostazioni HA-pro tramite GUI (solo 2 clic)

Prima sul dispositivo passivo: 

mceclip3.png


Secondo sul dispositivo attivo:

mceclip4.png

Collega la console su entrambi i dispositivi

  • Collega il link della porta heartbeat e attendi la sincronizzazione completa.

Nota: ci vuole tempo (oltre 10 minuti) per la sincronizzazione completa della configurazione la prima volta

 

Come verificare che la sincronizzazione completa sia terminata senza problemi,

Nel terminale del dispositivo Passivo, vedrai la porta fisica (a cui è collegato il PC)

1° down: dopo aver abilitato device HA-pro

1° up: inizio applicazione sincronizzazione configurazione dal dispositivo attivo

2° down: sincronizzazione quasi completata

mceclip5.png

Poi puoi andare al terminale del dispositivo attivo e digitare CLI

# show device-ha2 passive device-status

Finché non ottieni le informazioni del dispositivo passivo.

mceclip6.png

Poi torna al terminale del dispositivo passivo e digita CLI

# show device-ha2 sync summary

mceclip7.png

È molto importante che lo stato di [ZySH Startup Configuration] sia riuscito senza problemi e che l’ultima riga relativa allo stato della sincronizzazione Device HA sia anch’esso riuscito.

Attenzione:

Se c’è un errore, scollega tutti i collegamenti. Poi resetta il dispositivo alle impostazioni di fabbrica e riprova.

Non copiare il file di configurazione dal primo dispositivo e caricarlo sul secondo per il deployment.

  • Collega il resto dei collegamenti

Test failover

Puoi usare il debug CLI sul dispositivo attivo per simulare l’evento di interfaccia down.

Così da attivare il failover al dispositivo passivo.

# debug device-ha2 send linkdown <nome interfaccia>

Controllo dello stato di sincronizzazione tramite interfaccia Web:

mceclip11.png

CONFIGURAZIONE > Device HA > Visualizza log, deve esserci “Synchronize complete”.

mceclip12.png

Oppure controlla via CLI: verifica lo stato dettagliato della sincronizzazione sul dispositivo

show device-ha2 sync summary

mceclip14.png

È molto importante che l’ultima voce riguardante lo stato della sincronizzazione Device HA indichi che è andata a buon fine.

Fallimento della sincronizzazione

mceclip15.png

Nota: Ci sono 2 metodi per forzare la sincronizzazione completa della configurazione. A seconda di dove viene avviata, il comando varia.
Su dispositivo Passivo: Router# device-ha2 sync_from_active
Su dispositivo Attivo: Router# device-ha2 sync_to_passive

Durante un aggiornamento firmware, il dispositivo passivo aggiornerà prima il firmware e poi si riavvierà.
Dopo il riavvio, il dispositivo passivo eseguirà immediatamente una sincronizzazione completa della configurazione.
La sincronizzazione fallirà poiché il firmware del dispositivo passivo è diverso da quello del dispositivo attivo.
Questo è un comportamento normale e puoi ignorare i log di sincronizzazione fallita in questo caso.

La configurazione di base di HA Pro la trovi qui: Configurazione Device HA Pro

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 1 su 3
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.