Zyxel Firewal H-serie [uOS] - Apparaat met hoge beschikbaarheid (HA PRO)

Gemaakt 23 januari 2025 12:41 - Bijgewerkt 14 april 2025 14:40

Serhii Boiarynov

Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier:Originele versie

De Device HA (High Availability) (HA PRO) oplossing garandeert continue netwerkconnectiviteit door gebruik te maken van een paar firewalls geconfigureerd in een actief-passieve opstelling. In deze configuratie handelt de actieve firewall het verkeer onder normale omstandigheden af terwijl de passieve firewall stand-by blijft. Als het actieve apparaat uitvalt, neemt het passieve apparaat binnen enkele seconden automatisch over als de actieve firewall, waardoor een minimale onderbreking wordt gegarandeerd en het netwerk naadloos blijft werken.

Introductie van het apparaat Hoge Beschikbaarheid

De volgende functies kunnen worden overgedragen naar het secundaire Zyxel-apparaat wanneer het actief wordt met behulp van Device HA:

Opstart en lopende configuratie
Handtekeningen
Inzicht in apparaat
Externe blokkadelijst
DHCP-lease-entries
Authenticatie met twee factoren
Certificaten
Licenties inclusief NCC, indien van toepassing
Zyxel Apparaat Tijd

Vereiste

Het HA-apparaat vereist hetzelfde firewallmodel en moet dezelfde firmwareversie installeren.
Beide apparaten moeten geregistreerd zijn bij dezelfde organisatie.

Firmwareversie	Ondersteuning Gekoppeld Model
Vanaf 1.31	USG FLEX 200H	USG FLEX 200H
	USG FLEX 200HP	USG FLEX 200HP
	USG FLEX 500H	USG FLEX 500H
	USG FLEX 700H	USG FLEX 700H

Primaire en secundaire apparaatrollen

De rollen van het primaire en secundaire apparaat worden vóór de implementatie gedefinieerd en blijven ongewijzigd tijdens de werking van het apparaat.
De status van de actieve en passieve modus kan dynamisch veranderen tijdens failover.

Heartbeatpoort

Device HA gebruikt een speciale heartbeatverbinding tussen een actief en een passief apparaat voor het synchroniseren van de status en om failover en back-up naar het passieve apparaat te activeren als het actieve apparaat niet meer reageert. Op het passieve apparaat zijn alle poorten uitgeschakeld, behalve de poort met de heartbeat-link.

In het volgende voorbeeld is Zyxel Device A het actieve apparaat dat is verbonden met het passieve apparaat Zyxel Device B via een speciale link die wordt gebruikt voor heartbeat control, configuratiesynchronisatie en probleemoplossing. Alle links op Zyxel Device B zijn down, behalve de speciale heartbeat-link.

Een speciale heartbeat-poort met een directe verbinding tussen de apparaten om elkaars status te controleren
De heartbeatpoort voor elk model is vooraf gedefinieerd

HA-apparaat Voorbereiden

Firmware-upgrade op gekoppelde Zyxel-apparaten

Voer eerst een firmware-upgrade uit op het passieve apparaat.
Na de upgrade wordt het passieve apparaat actief en handelt al het verkeer af tijdens de firmware-upgrade.
Vervolgens wordt de firmware geüpgraded naar het passieve primaire apparaat.
Nadat de firmware-upgrade op beide Zyxel-apparaten is voltooid, wordt het primaire apparaat actief.

De implementatie van HA voorbereiden

Zorg ervoor dat het passieve Zyxel-apparaat offline is en schakel vervolgens Device HA in System > Device HA > HA Configuration in op het actieve Zyxel-apparaat.
De beheer-IP-adressen voor zowel het actieve als het passieve Zyxel-apparaat moeten zich in hetzelfde subnet bevinden.
Zorg ervoor dat de SSH-service in Systeem > SSH is ingeschakeld op beide Zyxel-apparaten. SFTP (Secure File Transfer Protocol) draagt bestanden over van het actieve naar het passieve Zyxel-apparaat.
Verbind het passieve Zyxel Device met het actieve Zyxel Device via de heartbeat poorten. Dit zijn de hoogst genummerde koperen Ethernetpoorten op de Zyxel-apparaten - zie Device HA Heartbeat Ports.
Als beide Zyxel-apparaten tegelijkertijd zijn ingeschakeld met Device HA ingeschakeld, dan kunnen ze de heartbeat tegelijkertijd verzenden. In dit geval wordt het Zyxel-apparaat met de primaire rol (licentiecontroller) het actieve Zyxel-apparaat.

NCC gebruiken om Device HA te beheren

U moet beide Zyxel-apparaten registreren op NCC, dat wil zeggen dat ze allebei tot een organisatie moeten behoren. Het passieve Zyxel-apparaat wordt automatisch geregistreerd in NCC als het nog niet geregistreerd is in NCC.
Beide Zyxel-apparaten moeten deel uitmaken van dezelfde organisatie en geregistreerd zijn op hetzelfde account.
Het passieve Zyxel-apparaat wordt verwijderd uit de NCC-website nadat de koppeling van Device HA is voltooid, omdat een site in NCC slechts één firewall van Zyxel-apparaten kan hebben (op het moment van schrijven).
NCC stuurt automatisch een e-mail om gebruikers op de hoogte te stellen wanneer Zyxel-apparaten zijn gekoppeld en licenties zijn overgedragen.

Apparaat HA instellen

Om de Device HA-functie in te stellen, logt u in op de webinterface van de Zyxel firewalls en navigeert u naar:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Controleer de HA-status in Systeem > Apparaat HA > HA-status

Controleer het HA-logboek van het actieve Zyxel-apparaat in Systeem > Apparaat HA > HA-logboek

Configureer Device HA op het passieve Zyxel-apparaat in Systeem > Apparaat HA > HA-configuratie.

Sluit de heartbeat-ethernetkabel aan tussen het actieve en passieve Zyxel-apparaat.

Controleer de HA-status van de actieve en passieve Zyxel-apparaten in Systeem > Apparaat HA > HA-status.

Controleer de logboeken op het actieve Zyxel Device in System > Device HA > HA Log.

Als u inlogt op een Zyxel Device na het koppelen van Device HA, ziet u een banner die aangeeft of u bent ingelogd op het actieve of passieve Zyxel Device.

Failover geslaagd - Logboek

Foutafhandeling

De firewall detecteert of de firmware of het model van het apparaat verschillend is

Voorbeeld 1: Hoe de HA-status van het apparaat te controleren

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..

usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Voorbeeld 2: Forceer een volledige synchronisatie

[Actief]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Passief]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Voorbeeld 3: Hoe de synchronisatiestatus controleren?

[Passief]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Let op:
uOS 1.31 voorkomt dat gebruikers configuraties toepassen op GUI, CLI en NCC live tool wanneer HA gekoppeld is.
De reden hiervoor is dat configuratie niet mag worden toegepast als HA niet is geactiveerd.

Artikelen in deze sectie

Zie meer