Altijd actieve netwerkbeveiliging met USG FLEX H-serie en HA - Vragen en antwoorden

High Availability (HA) is een technologie die zorgt voor een continue netwerkwerking door gebruik te maken van twee identieke apparaten in een actieve/passieve configuratie. In het geval van een storing van het actieve apparaat neemt het passieve apparaat automatisch het werk over, waardoor de downtime tot een minimum wordt beperkt.

Belangrijkste vereisten voor HA-installatie

• Identieke apparaatmodellen: bijvoorbeeld twee USG FLEX 500H-units.
• Dezelfde firmwareversie: bijvoorbeeld uOS 1.31 of hoger.
• Registratie in dezelfde Nebula-organisatie: beide apparaten moeten onder dezelfde organisatie in het Nebula Control Center zijn geregistreerd.
• Speciale poort voor Heartbeat-verbinding:
  Meestal wordt de laatste Ethernet-poort op het apparaat gebruikt voor de uitwisseling van heartbeat-signalen tussen de apparaten.

HA-configuratiefuncties

• Heartbeat-verbinding: apparaten wisselen elke 2 seconden signalen uit via UDP-poort 694.
  Als de passieve eenheid twee opeenvolgende heartbeats mist, schakelt deze over naar de actieve modus.
• Configuratiesynchronisatie: Alle configuratiewijzigingen op het actieve apparaat worden automatisch gesynchroniseerd met de passieve eenheid.
  Belangrijk: breng geen wijzigingen rechtstreeks aan op het passieve apparaat.
• Virtueel MAC-adres: tijdens het wisselen van rol wordt een virtueel MAC-adres gebruikt om ARP-cacheproblemen op het netwerk te voorkomen.

Licentiebeheer

• Er is slechts één licentie nodig:
  Alle licenties van het actieve apparaat worden automatisch overgenomen door het passieve apparaat wanneer de rollen worden gewisseld.
• Hoe neemt u contact op met het ondersteuningsteam voor een licentieoverdracht? Kijk hier:Hoe neemt u contact op met het ondersteuningsteam?

Veelgestelde vragen

Hoe krijg ik toegang tot het passieve (slave) apparaat in HA-modus?
Om toegang te krijgen tot het passieve apparaat, moet u het beheer-IP-adres gebruiken dat tijdens de HA-installatie is geconfigureerd. Het slave-apparaat is alleen bereikbaar via de speciale heartbeat-poort en alleen via het opgegeven beheer-IP-adres.

Wordt HA ondersteund in de Nebula-modus op USG FLEX H met uOS?
Ja, HA wordt ondersteund op USG FLEX H met uOS, maar niet rechtstreeks via de Nebula-cloudinterface. Beide apparaten moeten in dezelfde Nebula-organisatie zijn geregistreerd. Alle HA-configuratie en -beheer worden echter lokaal uitgevoerd via de webinterface van het apparaat. Dit wordt een hybride modus genoemd: het apparaat is zichtbaar in Nebula voor licenties en monitoring, maar geavanceerde functies zoals HA worden lokaal afgehandeld.

Kan ik verschillende apparaatmodellen gebruiken voor HA?
Nee. Beide apparaten moeten van hetzelfde model en dezelfde serie zijn, dezelfde firmwareversie hebben en bij dezelfde Nebula-organisatie zijn geregistreerd.

Hoe kan ik HA-synchronisatie uitschakelen voor probleemoplossing?
Om HA-synchronisatie tijdelijk uit te schakelen, navigeert u naar Systeem > Apparaat HA > HA-configuratie in de webinterface en pauzeert u HA.

Hoe kan ik de synchronisatiestatus van de HA-configuratie controleren?
Gebruik de volgende CLI-opdracht om de synchronisatiestatus tussen actieve en passieve eenheden te controleren:

show state vrf main device-ha _debug sync-info

Dit geeft informatie over de huidige synchronisatiestatus.

Hoe kan ik een volledige HA-configuratiesynchronisatie afdwingen?
Om handmatig een volledige synchronisatie tussen apparaten te activeren, gebruikt u de volgende opdracht:

cmd device-ha force-sync full

Hoe kan ik HA-apparaten ontkoppelen en terugzetten naar de stand-alone modus?

1. Reset een van de apparaten (bij voorkeur de passieve eenheid) naar de fabrieksinstellingen.
2. Start het apparaat opnieuw op of gebruik de knop 'Resync' in de web-GUI om de status in MyZyxel bij te werken.
3. De apparaten keren terug naar de stand-alone modus.