Firewall High Availability HA Pro - Configureer Device HA Pro

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Device HA Pro is een service die wordt gebruikt om netwerkredundantie te bieden om potentiële downtime te verminderen en vereist geen extra licenties om deze service te activeren. Bovendien synchroniseert Device HA Pro het configuratiebestand, de uptime van het apparaat, TCP-sessies (IPv4/IPv6), IPSec VPN-sessies, I/O-informatie, DHCP-tabel, IP/MAC-bindingstabel en licentiestatus. Het apparaat dat gekoppeld is aan de Device HA Pro-installatie zal een actieve of passieve rol spelen. Het actieve apparaat ontvangt alle configuratiewijzigingen die aan de setup worden gemaakt en is verantwoordelijk voor het verzenden van de informatie naar het passieve apparaat. Het apparaat dat de passieve rol aanneemt, ontvangt configuratiewijzigingen van het actieve apparaat en neemt de actieve rol over als het huidige actieve apparaat zich in een van de volgende toestanden bevindt.

Belangrijke informatie: Beide apparaten moeten hetzelfde model zijn en geregistreerd staan in hetzelfde myZyxel.com-account. De licenties moeten worden overgedragen naar het actieve apparaat. Wanneer de actieve firewall uitvalt, worden alle licenties automatisch overgedragen naar de passieve firewall.

Voordat u Device HA Pro configureert, is het belangrijk om het volgende te doen.

  1. Het passieve apparaat mag ALLEEN een pc verbonden hebben met Web GUI-toegang en ZONDER heartbeat-kabel vanaf het begin
  2. Het passieve apparaat moet worden GERESSET en dezelfde firmware hebben als het actieve apparaat voordat de HA Pro-configuratie kan plaatsvinden.
  3. De passieve firewall moet geregistreerd zijn bij MyZyxel.
  4. Wacht tot het sys-lampje knippert (passieve status) voordat u de rest van de kabels aansluit.
  5. Bij een succesvolle configuratie van HA Pro mag er geen downtime zijn bij het koppelen van apparaten
  6. Zorg dat de firmwareversies op zowel het Eerste als het Tweede apparaat overeenkomen in de partities.

Wat kan er misgaan? Waarom zie ik niet de correcte licentiestatus van de myzyxel.com-server?
In de Device-HA Pro-instelling is er een functie “Serienummer van het gelicentieerde apparaat voor licentiesynchronisatie”. U moet het serienummer van het apparaat invoeren dat licenties heeft. Zo kunt u alle licenties overdragen aan het “Actieve” apparaat door het serienummer van dit apparaat in te voeren in het veld.

Opmerking: De standaard meegeleverde eenjarige Gold Security Pack-licentie van ATP-gateways is niet overdraagbaar. Voor Device HA-implementatie, neem contact op met de Zyxel-ondersteuning in uw land/regio om u te helpen bij het overdragen van licenties. Licentie 

Hoe u contact opneemt met het ondersteuningsteam voor licentieoverdracht, vindt u hier: Hoe contact opnemen met het ondersteuningsteam?

Overzicht

De Device HA-functie fungeert als failover wanneer een van de firewalls in het netwerk uitvalt of geen internettoegang heeft. In Device HA Pro wordt een “heartbeat link” toegevoegd voor het monitoren van de interface-status en het synchroniseren van instellingen.

Untitled.png

 

Configuratie van het actieve apparaat

Om de Device HA Pro-functie in te stellen, logt u in op de webinterface van de Zyxel-firewalls en navigeert u naar:

Configuratie -> Device HA -> Device HA Pro

De laatste fysieke RJ45-poort op de Zyxel-firewall is de Device HA Management-poort (Heartbeat-poort). Zorg ervoor dat deze poort geen onderdeel is van een LAG, VLAN of bridge-interface.

Stappen:
• Haal het vinkje weg bij de optie “Enable Configuration Provisioning From Active Device”.
• Controleer of het serienummer het primaire apparaat S/N is.
• Geef een IP-adres op voor het actieve apparaat. (Moet een adres zijn dat niet in gebruik is door een van uw huidige interfaces)
• Geef een IP-adres op voor het passieve apparaat. (binnen hetzelfde subnet als hierboven)
• Geef een subnetmasker op.
• Maak een synchronisatiwachtwoord aan.
• Selecteer de te monitoren interfaces uit de beschikbare lijst en verplaats ze naar de ledenlijst.
• Stel uw gewenste failoverdetectie-instellingen in.
• Klik op de knop "Apply & switch to Device HA Pro".

Ga opnieuw naar het tabblad Device HA om de Device HA-functie op de actieve firewall in te schakelen.
• Controleer of de Device HA-modus is ingesteld op “Device HA Pro”.
• Vink het vakje aan om “Device HA” in te schakelen.
• Klik onderaan het scherm op de knop "Apply" om de instellingen op te slaan.

Configuratie van het passieve apparaat

Opmerking! Sluit uw pc alleen aan op de passieve firewall bij het configureren van HA Pro. Nadat u HA Pro heeft geconfigureerd en dezelfde firmware heeft als het actieve apparaat, kunt u de heartbeat-kabel aansluiten (ALLEEN!). Nadat het apparaat is opgestart en u ziet dat het SYS LED-lampje en alleen het LED-lampje van de heartbeat-poort branden, kunt u de rest van de poorten aansluiten.
Om het passieve apparaat te configureren, sluit u uw computer aan op de tweede Zyxel-firewall en opent u de webinterface

 Configuratie -> Device HA -> Device HA Pro

• Zorg ervoor dat “Enable Configuration Provisioning From Active Device” is aangevinkt.
• Controleer of de Device HA-modus is ingesteld op “Device HA Pro”.
• Vink het vakje aan om “Device HA” in te schakelen.
• Klik onderaan het scherm op de knop "Apply" om de instellingen op te slaan.

Sluit een Ethernet-kabel aan op de Heartbeat-poort (laatste fysieke poort) op beide apparaten en wacht ongeveer 5 minuten totdat de apparaten alle instellingen hebben gesynchroniseerd. Op dit moment is de Device HA Pro-functie geconfigureerd en worden wijzigingen die op de primaire (actieve) firewall worden aangebracht, gesynchroniseerd met de secundaire (passieve) firewall.

Opmerking: Zorg ervoor dat u de “Connectivity Check” voor de WAN-verbinding(en) inschakelt. Door deze optie in te schakelen kan de Zyxel-firewall internettoegang testen en overschakelen naar de secundaire internetverbinding van het passieve apparaat als de actieve verbinding faalt.

Voor de On-Premises-modus met High Available (HA)-functie ingeschakeld, gebruik ALSTUBLIEFT GEEN cloud firmware-upgrade. U moet een andere procedure volgen om de firmware-upgrade te voltooien; lees hiervoor de SOP. * Toepasselijke modellen en versies: USG FLEX 500/700, ATP500/700/800 met ZLD5.20 tot en met ZLD5.21 Patch1. 

Probleemoplossingstips

1. De synchronisatie kan mislukken met de volgende meldingen op het passieve apparaat

De synchronisatie kan mislukken met de volgende meldingen op het passieve apparaat:
Retrieving Active Firmware version has failed
Retrieving Active Firmware version has failed
Retrieving Active Firmware version has failed
Device HA Sync is mislukt bij het synchroniseren van de Firmware-versie vanwege een slechte 'Sync From' of 'Sync Port'.

Een mogelijke reden kan zijn dat de FTP-service op het actieve apparaat enkele beperkingen heeft waardoor het passieve apparaat er geen toegang toe heeft.

Voorbeeld van een verkeerde configuratie:

2. Apparaten synchroniseren niet

  • Zorg ervoor dat beide apparaten dezelfde firmwareversie draaien. Beide moeten dezelfde firmwareversie draaien om te kunnen synchroniseren.
  • Zorg ervoor dat beide apparaten dezelfde firmwarebank/-slot gebruiken. Als het primaire apparaat firmware slot 1 gebruikt en slot 2 standby is, moet het tweede apparaat ook slot 1 gebruiken met slot 2 in standby.
  • Zorg ervoor dat alleen de Heartbeat-poort (laatste RJ45-poort op het apparaat [bijv. P7]) is verbonden met het primaire apparaat gedurende de eerste 5 minuten nadat de Device HA Pro-functie is ingeschakeld. Als beide apparaten tegelijkertijd met een actief netwerk zijn verbonden, kan dit routeringsproblemen, loops en botsingen veroorzaken die het netwerk beïnvloeden.

 3. Kan geen toegang krijgen tot het passieve apparaat

  1.  
    • Zorg ervoor dat de apparaten klaar zijn met synchroniseren. Het initiële synchronisatieproces kan tot 5 minuten duren.
    • Gebruik het IP-adres dat u heeft geconfigureerd in het Device HA Pro-menu voor "Passive Device Management IP".

4. Ik heb wijzigingen aangebracht op het passieve apparaat, maar deze worden niet gesynchroniseerd met de Master.

  •  
    • Zodra Device HA Pro is geconfigureerd, moeten netwerkconfiguratie-wijzigingen worden aangebracht op het Master/Primaire apparaat. Het passieve apparaat is slechts een slave en wijzigingen die hier worden aangebracht, worden niet toegepast op het primaire/master-apparaat.

5. SecuReporter-licentie/service is actief op de firewall, maar het apparaat kan niet worden gevonden in SecuReporter

  •  
    • Wanneer het masterapparaat is overgeschakeld naar het passieve apparaat en vervolgens de SecuReporter-licentie wordt geactiveerd, kunt u ervaren dat de licentie niet synchroniseert in SecuReporter, ook al staat er "actief/geactiveerd" in de firewall GUI. U moet het primaire apparaat opnieuw actief maken, vervolgens het apparaat en de organisatie in SecuReporter verwijderen en de SecuReporter-service opnieuw activeren op het primaire apparaat.

 

Er zijn andere problemen, voer een herimplementatie van Device HA Pro uit, zie hier Device HA Pro herimplementatie

 

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 2 van 3
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.