Zyxel Firewal H-serien [uOS] - Enhet med høy tilgjengelighet (HA PRO)

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er oversatt nøyaktig. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese den opprinnelige artikkelen her:Originalversjon

Løsningen Device HA (High Availability) (HA PRO) garanterer kontinuerlig nettverkstilkobling ved hjelp av et par brannmurer som er konfigurert i et aktivt-passivt oppsett. I denne konfigurasjonen håndterer den aktive brannmuren trafikk under normale forhold, mens den passive brannmuren forblir i standby. Hvis den aktive enheten skulle svikte, tar den passive enheten automatisk over som den aktive brannmuren i løpet av sekunder, noe som sikrer minimale forstyrrelser og opprettholder sømløs nettverksdrift.

Introduksjon av enhetens høye tilgjengelighet

Følgende funksjoner kan overføres til den sekundære Zyxel-enheten når den blir aktiv ved hjelp av Device HA:
  • Oppstart og løpende konfigurasjon
  • Signaturer
  • Enhetsinnsikt
  • Ekstern blokkeringsliste
  • DHCP-leasingoppføringer
  • To-faktor autentisering
  • Sertifikater
  • Lisenser, inkludert NCC hvis aktuelt
  • Zyxel Device Time

Krav

  • HA-enheten krever samme brannmurmodell og må installere samme fastvareversjon.
  • Begge enhetene må være registrert hos samme organisasjon.
Fastvareversjon Støtte Paret modell
Fra 1.31 USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Primære og sekundære enhetsroller

  • Rollene til de primære og sekundære enhetene defineres før distribusjon og forblir uendret under drift av enheten.
  • Aktiv og passiv modusstatus kan endres dynamisk under failover.

Heartbeat-port

Device HA bruker en dedikert hjerteslagkobling mellom en aktiv og en passiv enhet for statussynkronisering og for å utløse failover og sikkerhetskopiering til den passive enheten hvis den aktive enheten ikke lenger svarer. På den passive enheten er alle porter deaktivert, bortsett fra porten med hjerteslagskoblingen.
I eksempelet nedenfor er Zyxel-enhet A den aktive enheten som er koblet til den passive enheten Zyxel-enhet B via en dedikert kobling som brukes til heartbeat-kontroll, konfigurasjonssynkronisering og feilsøking. Alle koblinger på Zyxel-enhet B er nede, bortsett fra den dedikerte hjerteslagkoblingen.
  • En dedikert hjerteslagsport med direkte forbindelse mellom enhetene for å overvåke hverandres status
  • Heartbeat-porten for hver modell er forhåndsdefinert

HA-enhet Forbereder

Oppgradering av fastvare på sammenkoblede Zyxel-enheter
  • Først oppgraderer du fastvaren til den passive enheten.
  • Etter oppgraderingen blir den passive enheten aktiv og håndterer all trafikk under fastvareoppgraderingen.
  • Deretter oppgraderes fastvaren til den passive primære enheten.
  • Etter at fastvareoppgraderingen er fullført på begge Zyxel-enhetene, blir den primære enheten aktiv.
Forberedelser for å distribuere enhet HA
  • Kontroller at den passive Zyxel-enheten er frakoblet, og aktiver deretter Device HA i System > Device HA > HA-konfigurasjon i den aktive Zyxel-enheten.
  • Administrasjons-IP-adressene for både den aktive og den passive Zyxel-enheten må være i samme delnett.
  • Kontroller at SSH-tjenesten i System > SSH er aktivert på begge Zyxel-enhetene. SFTP (Secure File Transfer Protocol) overfører filer fra den aktive til den passive Zyxel-enheten.
  • Koble den passive Zyxel-enheten til den aktive Zyxel-enheten ved hjelp av heartbeat-portene. Dette er de høyest nummererte Ethernet-kobberportene på Zyxel-enhetene - se Heartbeat-porter for enhets-HA.
  • Hvis begge Zyxel-enhetene er slått på samtidig med Device HA aktivert, kan de sende hjerteslag samtidig. I dette tilfellet blir Zyxel-enheten med rollen som primær (lisenskontrollør) den aktive Zyxel-enheten.
Bruke NCC til å administrere Device HA
  • Du må registrere begge Zyxel-enhetene på NCC, det vil si at de begge må tilhøre en organisasjon. Den passive Zyxel-enheten blir automatisk registrert i NCC hvis den ikke allerede er registrert i NCC.
  • Begge Zyxel-enhetene må være i samme organisasjon og være registrert på samme konto.
  • Den passive Zyxel-enheten fjernes fra NCC-området etter at sammenkoblingen av Device HA er fullført, ettersom et område i NCC bare kan ha én Zyxel-enhetsbrannmur (i skrivende stund).
  • NCC sender automatisk en e-post for å varsle brukerne når Zyxel-enheter er paret med overførte lisenser.

Konfigurer Device HA

For å konfigurere Device HA-funksjonen logger du deg inn på Zyxel-brannmurenes webgrensesnitt og navigerer til:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.
Kontroller HA-statusen i System > Device HA > HA Status

Sjekk HA-loggen for den aktive Zyxel-enheten i System > Device HA > HA Log

Konfigurer Device HA på den passive Zyxel-enheten i System > Device HA > HA Configuration.

Koble til Ethernet-kabelen for hjerteslag mellom den aktive og den passive Zyxel-enheten.

Kontroller HA-statusen til de aktive og passive Zyxel-enhetene i System > Enhet HA > HA-status.

Kontroller loggene på den aktive Zyxel-enheten i System > Enhet HA > HA-logg.

Når du logger deg på en Zyxel-enhet etter sammenkobling av Device HA, vises et banner som viser om du er logget på den aktive eller passive Zyxel-enheten.

Vellykket Failover - Logg

Feilhåndtering

Brannmuren vil oppdage om enhetens fastvare eller modell er forskjellig

 Status for mislykket paring:
  • Kan ikke hente MAC/SN riktig fra sertifikatet
  • Registrering av enhet mislyktes
  • Uoverensstemmelse mellom enhetens fastvare eller modell oppdaget
  • Enheter tilhører forskjellige organisasjoner
  • Uoverensstemmelse mellom enhetens eierskap
  • Enheten er ikke tilordnet et område

Eksempel 1: Slik kontrollerer du HA-status for enheten

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Eksempel 2: Tving frem en fullstendig synkronisering

[Aktiv]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Passiv] [Passiv]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Eksempel 3: Hvordan sjekke synkroniseringsstatus?

[Passiv]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Vær oppmerksom på følgende:
uOS 1.31 hindrer brukere i å bruke konfigurasjon på GUI, CLI og NCC live-verktøy når enheten HA er paret
Årsaken er å unngå å bruke konfigurasjon der HA ikke er aktivert


Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del