Firewall High Availability HA Pro - Device HA Pro opnieuw implementeren

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Dit artikel biedt richtlijnen voor het opnieuw implementeren van HA-Pro wanneer het niet correct functioneert, vaak door onjuiste firmware slots of verschillende firmwareversies. Het benadrukt dat beide apparaten in de Device HA Pro-opstelling hetzelfde model moeten zijn, geregistreerd onder hetzelfde myZyxel.com-account, en gesynchroniseerde licenties moeten hebben. Het artikel beschrijft stappen voor basisconfiguratie, het implementeren van het eerste en tweede apparaat, het controleren van de status en het testen van failover. Het bespreekt ook het belang van firmwareconsistentie en geeft tips voor het oplossen van synchronisatieproblemen. Voor gedetailleerde hulp bij de installatie worden gebruikers doorverwezen naar de professionele diensten van Zyxel.

Basisconfiguratie - Device HA Pro.

Topologie (DeviceHA-Pro)

mceclip1.png

In Device HA Pro wordt een “heartbeat-link” toegevoegd voor het monitoren van de interface-status en het synchroniseren van instellingen.

Het gedrag van Device HA Pro omvat een heartbeat-link om de interface-status van het “actieve” apparaat te monitoren. Als een van de gemonitorde interfaces uitvalt of faalt, wordt de status van het “passieve” apparaat “actief”. (Dit betekent dat slechts 1 apparaat tegelijk de status “actief” kan hebben.)

Heartbeat-link
De heartbeat-poort is een nieuwe fysieke poort op het apparaat (vastgesteld in Firmware laatste poort van ondersteunde HA-Pro apparaten). Nadat u Device HA Pro hebt ingeschakeld, zullen de apparaten multicast-pakketten (UDP 694) verzenden om de status van elk apparaat te controleren. Wanneer het passieve apparaat correct werkt, zal het systeem-LED-lampje branden. Alleen het LED-lampje van de heartbeat-poort kan branden.

Belangrijke informatie: Beide apparaten moeten hetzelfde model zijn en geregistreerd staan onder hetzelfde myZyxel.com-account. De licenties moeten worden overgedragen naar het actieve apparaat. Wanneer de actieve firewall faalt, worden alle licenties automatisch overgedragen naar de passieve firewall.

Wat kan er misgaan? Waarom zie ik niet de juiste licentiestatus van de myzyxel.com-server?
In de Device-HA Pro-instelling is er een functie “Serienummer van het gelicentieerde apparaat voor licentiesynchronisatie”. U moet het serienummer van het apparaat met licenties invoeren. Zo kunt u alle licenties overdragen naar het “actieve” apparaat en voert u het serienummer van dit apparaat in het veld in.

Opmerking: De standaard meegeleverde eenjarige Gold Security Pack-licentie van ATP-gateways is niet overdraagbaar. Voor Device HA-implementatie, neem contact op met Zyxel-ondersteuning in uw land/regio om u te helpen bij het overdragen van licenties.

De basisinstallatie vindt u hier: Basisconfiguratie - Device HA Pro

Voordat u HA-Pro opnieuw implementeert

(1) Draag alle licenties over naar het primaire apparaat. Dit voorkomt dat het systeem elke keer licenties opnieuw telt.
(2) Schakel de connectiviteitscontrolefunctie in op de gemonitorde interfaces. Wanneer een interface gedurende een bepaalde tijd geen reactie ontvangt van de externe server, beschouwt het apparaat de interface als mislukt. Vervolgens verandert de Device HA Pro-functie de status van de interface.

  1. Zorg ervoor dat DeviceB (Passief) is teruggezet naar de fabrieksinstellingen.
  2. Op Device B moet de draaiende firmwareversie hetzelfde zijn als op Device A.
  3. Op Device B moet de partitie van de draaiende firmware zich op dezelfde positie bevinden als op Device A.
  4. Bevestig dat het serienummer van Device A is ingevoerd op de HA-Pro-pagina.

mceclip10.png

Ga naar Configuratie> Device HA>Device HA-Pro

mceclip2.png

Configureer vervolgens de HA-instelling

Let op! Device Management IP en lokale subnetten mogen niet hetzelfde zijn!

Implementeer het eerste apparaat

  • Configureer HA Pro-instellingen (beheer-IP, monitorinterface, licentie)
  • Ga online als het actieve apparaat

4. Implementeer het tweede apparaat

  • De draaiende firmwareversie moet hetzelfde zijn als die van het eerste apparaat
  • De draaiende firmwarepartitie moet zich op dezelfde positie bevinden als die van het eerste apparaat

De draaiende partitie van het eerste apparaat is partitie 1, dus de draaiende partitie van het tweede apparaat moet ook partitie 1 zijn.

  • Configureer HA-Pro-instellingen via GUI (slechts 2 knoppen klikken)

Eerst op het passieve apparaat:

mceclip3.png


Vervolgens op het actieve apparaat:

mceclip4.png

Console verbinden op beide apparaten

  • Verbind de heartbeat-poortlink en wacht op volledige synchronisatie.

Opmerking: het duurt enige tijd (meer dan 10 minuten) voordat de volledige configuratiesynchronisatie voor het eerst is voltooid

 

Hoe controleert u of de volledige synchronisatie zonder problemen is voltooid,

Op de console van het passieve apparaat ziet u de fysieke poort (waaraan de pc is verbonden)

1e uitval: nadat u Device HA-Pro hebt ingeschakeld

1e inschakeling: start met het toepassen van configuratiesynchronisatie vanaf het actieve apparaat

2e uitval: synchronisatie bijna voltooid

mceclip5.png

Ga vervolgens naar de console van het actieve apparaat en typ CLI

# show device-ha2 passive device-status

Totdat u de informatie van het passieve apparaat ontvangt.

mceclip6.png

Ga daarna terug naar de console van het passieve apparaat en typ CLI

# show device-ha2 sync summary

mceclip7.png

Het is erg belangrijk dat de status van [ZySH Startup Configuration] succesvol is zonder problemen en dat de laatste regel de status van Device HA Sync ook succesvol aangeeft.

Waarschuwing:

Bij falen, verbreek alle verbindingen. Zet het apparaat terug naar de fabrieksinstellingen en probeer het opnieuw.

Kopieer het configuratiebestand niet van het eerste apparaat en upload het naar het tweede apparaat voor implementatie.

  • Verbind de overige verbindingen

Failover testen

U kunt de debug-CLI op het actieve apparaat gebruiken om een interface-down gebeurtenis te simuleren.

Hierdoor wordt de failover naar het passieve apparaat geactiveerd.

# debug device-ha2 send linkdown <interface naam>

Controleer de synchronisatiestatus via de webinterface:

mceclip11.png

CONFIGURATIE > Device HA > Bekijk log, daar moet Synchronisatie voltooid staan.

mceclip12.png

Of controleer via CLI: Controleer de gedetailleerde synchronisatiestatus op het apparaat

show device-ha2 sync summary

mceclip14.png

Het is erg belangrijk dat de laatste vermelding over de status van de Device HA Sync aangeeft dat deze succesvol is.

Synchronisatiefout

mceclip15.png

Opmerking: Er zijn 2 methoden om de volledige configuratiesynchronisatie af te dwingen. Afhankelijk van waar u deze start, varieert het commando.
Op passief apparaat: Router# device-ha2 sync_from_active
Op actief apparaat: Router# device-ha2 sync_to_passive

Bij een firmware-update zal het passieve apparaat eerst de firmware upgraden en vervolgens opnieuw opstarten.
Na het opnieuw opstarten zal het passieve apparaat onmiddellijk een volledige configuratiesynchronisatie uitvoeren.
De synchronisatie zal mislukken omdat de firmware van het passieve apparaat anders is dan die van het actieve apparaat.
Dit is normaal gedrag en u kunt de mislukte synchronisatielogs in dit geval negeren.

De basisconfiguratie van HA Pro vindt u hier: Device HA Pro Setup

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 1 van 3
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.