Zyxel USG FLEX H-serie [HA] - Apparaat instellen op hoge beschikbaarheid (HA PRO)

Gemaakt - Bijgewerkt
Serhii Boiarynov
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier:Originele versie

De Device HA (High Availability) (HA PRO) oplossing garandeert een continue netwerkconnectiviteit door gebruik te maken van een paar firewalls die in een actief-passieve opstelling staan. In deze configuratie handelt de actieve firewall het verkeer onder normale omstandigheden af terwijl de passieve firewall stand-by blijft. Als het actieve apparaat uitvalt, neemt het passieve apparaat het binnen enkele seconden automatisch over als de actieve firewall, waardoor een minimale onderbreking wordt gegarandeerd en het netwerk naadloos blijft werken.

Introductie van het apparaat Hoge Beschikbaarheid

De volgende functies kunnen worden overgedragen naar het secundaire Zyxel-apparaat wanneer het actief wordt met behulp van Device HA:
  • Opstart en lopende configuratie
  • Handtekeningen
  • Inzicht in apparaat
  • Externe blokkadelijst
  • DHCP-lease-entries
  • Authenticatie met twee factoren
  • Certificaten
  • Licenties inclusief NCC, indien van toepassing
  • Zyxel Apparaat Tijd

Vereiste

  • Het HA-apparaat vereist hetzelfde firewallmodel en moet dezelfde firmwareversie installeren.
  • Beide apparaten moeten geregistreerd zijn bij dezelfde organisatie.
Firmwareversie Ondersteuning Gekoppeld Model
Vanaf 1.31 USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Primaire en secundaire apparaatrollen

  • De rollen van het primaire en secundaire apparaat worden vóór de implementatie gedefinieerd en blijven ongewijzigd tijdens de werking van het apparaat.
  • De status van de actieve en passieve modus kan dynamisch veranderen tijdens failover.

Heartbeatpoort

Device HA gebruikt een speciale heartbeatverbinding tussen een actief en een passief apparaat voor het synchroniseren van de status en om failover en back-up naar het passieve apparaat te activeren als het actieve apparaat niet meer reageert. Op het passieve apparaat zijn alle poorten uitgeschakeld, behalve de poort met de heartbeat-link.
In het volgende voorbeeld is Zyxel Device A het actieve apparaat dat verbonden is met het passieve apparaat Zyxel Device B via een speciale link die wordt gebruikt voor heartbeat control, configuratiesynchronisatie en probleemoplossing. Alle links op Zyxel Device B zijn down, behalve de speciale heartbeat-link.
  • Een speciale heartbeat-poort met een directe verbinding tussen de apparaten om elkaars status te controleren
  • De heartbeatpoort voor elk model is vooraf gedefinieerd

Apparaat HA Voorwaarden

  • Zorg ervoor dat zowel het primaire als het secundaire apparaat aan het volgende voldoen:
  1. Zelfde model - Beide moeten USG FLEX 200H zijn; verschillende modellen (bijv. 200H vs. 200HP) worden niet ondersteund.
  2. Dezelfde firmware - Moet dezelfde versie hebben (uOS 1.31 of later).
  3. Dezelfde Nebula Organisatie - Beide moeten geregistreerd zijn onder dezelfde Organisatie.
    • Wijs de primaire toe aan Locatie 1
    • Wijs de secundaire toe aan Locatie 2

Opmerking: Het wordt ten zeerste aanbevolen om de registratiestappen voor apparaten op Nebula te voltooien voordat de HA wordt gekoppeld.

  • SSH inschakelen - SSH moet op beide apparaten worden ingeschakeld (Systeem > SSH) met poort 22 voor synchronisatie van Device HA.
  • IP-subnet voor beheer - Alleen 255.255.255.0 wordt ondersteund.

HA-apparaat instellen

Om de Device HA-functie in te stellen, logt u in op de webinterface van de Zyxel firewalls en navigeert u naar:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Kies het type Mac-adres op verantwoorde wijze, aangezien deze instelling niet kan worden gewijzigd als HA eenmaal is geactiveerd. Om verdere wijzigingen aan te brengen, moet u HA deactiveren, de wijzigingen aanbrengen en HA opnieuw instellen.

Controleer de HA-status in Systeem > Apparaat HA > HA-status

Controleer het HA-logboek van het actieve Zyxel-apparaat in Systeem > Apparaat HA > HA-logboek

Configureer HA op het passieve Zyxel-apparaat in Systeem > Apparaat HA > HA-configuratie.

Inschakelen - HA-configuratie (In dit stadium is geen verdere actie vereist. Nadat u HA hebt geactiveerd op het passieve apparaat, moet u alle netwerkverbindingen ervan loskoppelen en vervolgens de heartbeat-kabel van het actieve apparaat aansluiten op het passieve apparaat).

Waarschuwing BELANGRIJK: Het inschakelen van de hoge beschikbaarheid (HA) van het secundaire apparaat zal:
- De WAN/LAN-poorten van het apparaat zullen een verbinding tot stand brengen.
- Huidige web-GUI-sessie afmelden

Sluit de heartbeat Ethernet-kabel aan tussen het actieve en passieve Zyxel-apparaat.

Controleer de HA-status van de actieve en passieve Zyxel-apparaten in Systeem > Apparaat HA > HA-status.

Controleer de logboeken op het actieve Zyxel Device in System > Device HA > HA Log.

Als u inlogt op een Zyxel Device na het koppelen van Device HA, ziet u een banner om aan te geven of u bent ingelogd op het actieve of passieve Zyxel Device.

Failover geslaagd - Logboek

Foutafhandeling

De firewall detecteert of de firmware of het model van het apparaat verschillend is

 Status koppeling mislukt:
  • Kan MAC/SN niet correct uit certificaat halen
  • Registratie van apparaat mislukt
  • Firmware of model van apparaat komt niet overeen
  • Apparaten behoren tot verschillende organisaties
  • Verkeerd eigenaarschap van het apparaat
  • Apparaat is niet toegewezen aan een site

Voorbeeld 1: Hoe de HA-status van het apparaat te controleren

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Voorbeeld 2: Forceer een volledige synchronisatie

[Actief]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Passief]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Voorbeeld 3: Hoe de synchronisatiestatus controleren?

[Passief]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Let op:
uOS 1.31 voorkomt dat gebruikers configuratie toepassen op GUI, CLI en NCC live tool wanneer Device HA gekoppeld is.
De reden hiervoor is dat configuratie niet mag worden toegepast als HA niet is geactiveerd.


Artikelen in deze sectie

Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 0
Delen