Zyxel USG FLEX H-serie [HA] - Het apparaat vervangen of HA opnieuw implementeren (HA PRO)

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier:Originele versie

Om een beschadigde of niet-functionerende firewall uit de USG FLEX H-serie van Zyxel te vervangen in een High Availability (HA)-opstelling, is het essentieel om best practices te volgen om de downtime te minimaliseren en de HA-functionaliteit effectief te herstellen. Hoewel het vervangen van een defect apparaat in wezen betekent dat de HA-setup helemaal opnieuw moet worden geconfigureerd, schetst deze handleiding de belangrijkste stappen, best practices en belangrijke nuances om het proces te stroomlijnen en veelvoorkomende valkuilen te vermijden.

Hier volgt een stapsgewijze handleiding voor het vervangen en opnieuw opbouwen van HA in een dergelijk scenario:

  • U hebt twee USG FLEX H-serie firewalls (primair en secundair).
  • Het defecte "primaire" apparaat wordt vervangen door een nieuw, werkend apparaat van hetzelfde model.
  • Het secundaire/reserveapparaat werkt nog steeds en is momenteel actief.

HA-topologie:

  • USG FLEX 500H - Site5(FLEX500HP_1) - Primair (de hoofdsite waar alle apparaten op onze site fysiek zijn geregistreerd en de hoofdfirewall)
  • USG FLEX 500H - Site5(FLEX500HP_2) - Secundair (een site waar alleen een back-up firewallapparaat fysiek is geregistreerd)

Deze opstelling kan enigszins verwarrend zijn, aangezien de firewalls geregistreerd zijn op verschillende sites. De firewall op de secundaire (Back-up/Passief) site zal echter altijd offline verschijnen, terwijl de firewall op de primaire (hoofd) site consistent als online zal verschijnen, ongeacht welke firewall op een bepaald moment actief verkeer afhandelt.

Laten we aannemen dat de primaire firewall die geregistreerd staat op de hoofdsite is uitgevallen en dat de backup (secundaire) firewall momenteel al het verkeer afhandelt. In dit geval moeten we de defecte firewall die is geregistreerd op de hoofdlocatie vervangen. Maar we kunnen ook ons passieve apparaat naar de hoofdsite verplaatsen en er de hoofdsite van maken, en dan pas ons nieuwe apparaat als passief apparaat toevoegen.

Stap 1: Defecte HA-peer verwijderen

  • Koppel het beschadigde apparaat fysiek los en verwijder het uit het systeem.
  • Navigeer op het actieve (werkende) apparaat naar: Menu links > Systeem > Apparaat HA
    Als HA momenteel is ingeschakeld maar niet kan synchroniseren met de defecte peer, klik dan op HA uitschakelen.
  • Sla de wijzigingen op en pas ze toe om deze stap te voltooien.

Maak een back-up van de configuratie op het actieve apparaat (dit is niet verplicht, maar wel de beste manier om te voorkomen dat je instellingen verloren gaan. Idealiter zou je altijd een kopie van de configuratie moeten hebben).

  • Log in op het actieve (werkende) apparaat.
  • Ga naar Onderhoud > Bestandsbeheer > Configuratiebestand.
  • Download een lastgood- en opstartconfiguratie van het Active-apparaat (voor het geval er iets misgaat).

Stap 2 - Voorbereiden voor HA van het actieve masterapparaat

In dit voorbeeld wijzen we het huidige actieve apparaat toe aan Locatie 1 als het primaire apparaat. Het vervangende (nieuwe) apparaat wordt toegewezen aan Locatie 2 als het Back-up (Secundaire) apparaat.

Aangezien we HA op het actieve apparaat in de vorige stappen hebben uitgeschakeld, verschijnt het apparaat nu als online op Locatie 2. Zoals te zien is in de afbeelding hieronder, wijzen we dit apparaat nu opnieuw toe aan Locatie 1 en wijzen we het aan als het Primaire apparaat.

Eerst moeten we onze beschadigde firewall van de hoofdsite verwijderen.

Eerst moeten we onze beschadigde firewall van de hoofdsite verwijderen. Wijs uw actieve apparaat toe aan de hoofdsite en maak het daarmee de hoofdsite.

U kunt nu verifiëren dat het eerdere secundaire apparaat met succes is toegevoegd aan de hoofdsite en op natuurlijke wijze de rol van het primaire apparaat heeft overgenomen.

Stap 3 - Voorbereiding voor HA van het passieve apparaat

  • Haal het nieuwe/vervangende apparaat uit de doos en schakel het in, maar sluit het nog niet aan op het netwerk.
  • Controleer of de firmwareversie overeenkomt met die van het actieve apparaat (controleer onder Onderhoud > Firmware).
  • Zo niet, upgrade dan de firmware.

Fabrieksreset van het nieuwe apparaat (indien eerder gebruikt)

  • Houd de RESET-knop ongeveer 10 seconden ingedrukt totdat de SYS-LED oranje knippert.
  • Laat het apparaat volledig herstarten.

Het nieuwe vervangende apparaat aansluiten en configureren

  • Sluit je PC aan op de LAN-poort van de nieuwe firewall.
  • Je hebt ook toegang tot het internet nodig op het nieuwe apparaat om het te registreren en toe te voegen aan de Nebul site.
  • Log in met het standaard IP: 192.168.168.1 (admin / 1234).
  • Initialiseer het apparaat en registreer tijdens het initialisatieproces het apparaat in dezelfde organisatie.
  • Voeg uw nieuwe apparaat toe aan de tweede site; het nieuwe apparaat wordt ons back-up/secundaire apparaat.

Stap 4 - De apparaten opnieuw koppelen voor HA

  • Ga op het primaire apparaat naar > Systeem > Apparaat HA > HA-configuratie
  • Klik op HA inschakelen en instellen:
  • Ga op het secundaire apparaat naar > Systeem >Device HA > HA-configuratie
  • Klik op HA inschakelen en instellen (op een passief apparaat is het niet nodig om HA-instellingen te maken, activeer gewoon deze functie):

Merk ook op dat de heartbeat-kabel voorlopig losgekoppeld moet zijn.

Stap 5 - Synchronisatie en testen

  • Zodra HA aan beide kanten is ingeschakeld:
    • Het primaire apparaat moet zijn configuratie naar het nieuwe apparaat pushen.
    • Wacht tot de synchronisatie voltooid is. Dit kan enkele minuten duren.
    • Controleer de HA-status: Systeem > Apparaat HA > HA-logboek

Stap 6 - Failover testprocedure:

Simuleer primaire storing
Schakel het primaire systeem tijdelijk uit of koppel het los van het WAN om een storingsscenario te simuleren.

Controleer secundaire overname
Bevestig dat het nieuw aangewezen secundaire systeem met succes de primaire rol overneemt zonder serviceonderbreking.

Primair herstellen en HA-status valideren
Herstart het actieve apparaat om het oorspronkelijke primaire apparaat weer actief te maken. Controleer of de status van hoge beschikbaarheid (HA) normaliseert en de rollen terugkeren.

Als de synchronisatiestatus onjuist lijkt, ondanks het feit dat logboeken en instellingen aangeven dat het goed werkt, kun je het probleem oplossen via de webconsole door de volgende opdracht uit te voeren:

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

Artikelen in deze sectie

Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 0
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.