Zyxel USG FLEX H-serien [HA] - Oppsett av enhet med høy tilgjengelighet (HA PRO)

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er oversatt nøyaktig. Hvis det er spørsmål eller uoverensstemmelser med hensyn til nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese den opprinnelige artikkelen her:Originalversjon

Løsningen Device HA (High Availability) (HA PRO) garanterer kontinuerlig nettverkstilkobling ved å bruke et par brannmurer i et aktivt-passivt oppsett. I denne konfigurasjonen håndterer den aktive brannmuren trafikk under normale forhold, mens den passive brannmuren forblir i standby. Hvis den aktive enheten skulle svikte, tar den passive enheten automatisk over som den aktive brannmuren i løpet av sekunder, noe som sikrer minimale avbrudd og opprettholder sømløs nettverksdrift.

Introduksjon av enhetens høye tilgjengelighet

Følgende funksjoner kan overføres til den sekundære Zyxel-enheten når den blir aktiv ved hjelp av Device HA:
  • Oppstart og løpende konfigurasjon
  • Signaturer
  • Enhetsinnsikt
  • Ekstern blokkeringsliste
  • DHCP-leasingoppføringer
  • To-faktor autentisering
  • Sertifikater
  • Lisenser, inkludert NCC hvis aktuelt
  • Zyxel Device Time

Krav

  • HA-enheten krever samme brannmurmodell og må installere samme fastvareversjon.
  • Begge enhetene må være registrert hos samme organisasjon.
Fastvareversjon Støtte Paret modell
Fra 1.31 USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Primære og sekundære enhetsroller

  • Rollene til de primære og sekundære enhetene defineres før distribusjon og forblir uendret under drift av enheten.
  • Aktiv og passiv modusstatus kan endres dynamisk under failover.

Heartbeat-port

Device HA bruker en dedikert hjerteslagkobling mellom en aktiv og en passiv enhet for statussynkronisering og for å utløse failover og sikkerhetskopiering til den passive enheten hvis den aktive enheten ikke lenger svarer. På den passive enheten er alle porter deaktivert, bortsett fra porten med hjerteslagkoblingen.
I eksemplet nedenfor er Zyxel-enhet A den aktive enheten som er koblet til den passive enheten Zyxel-enhet B via en dedikert kobling som brukes til heartbeat-kontroll, konfigurasjonssynkronisering og feilsøking. Alle koblinger på Zyxel-enhet B er nede, bortsett fra den dedikerte hjerteslagkoblingen.
  • En dedikert hjerteslagsport med en direkte forbindelse mellom enhetene for å overvåke hverandres status
  • Heartbeat-porten for hver modell er forhåndsdefinert

Forutsetninger for enhets-HA

  • Sørg for at både primær- og sekundærenhetene oppfyller følgende:
  1. Samme modell - Begge må være USG FLEX 200H; ulike modeller (f.eks. 200H vs. 200HP) støttes ikke.
  2. Samme fastvare - Må kjøre samme versjon (uOS 1.31 eller nyere).
  3. Samme Nebula-organisasjon - Begge må være registrert under samme organisasjon.
    • Tilordne den primære til område 1
    • Tilordne den sekundære til Site 2

Merk: Det anbefales på det sterkeste at trinnene for enhetsregistrering på Nebula fullføres før HA sammenkobles.

  • Aktiver SSH - SSH må være aktivert på begge enhetene (System > SSH) ved bruk av port 22 for synkronisering av enhet HA.
  • Administrasjons-IP-delnett - Kun 255.255.255.255.0 støttes.

Konfigurer Device HA

For å konfigurere Device HA-funksjonen logger du deg inn på Zyxel-brannmurenes webgrensesnitt og navigerer til:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Velg Mac-adressetype på en ansvarlig måte, da denne innstillingen ikke kan endres når HA er aktivert. Hvis du vil gjøre ytterligere endringer, må du deaktivere HA, gjøre endringene og deretter konfigurere HA på nytt.

Kontroller HA-statusen i System > Enhet HA >HA-status

Kontroller HA-loggen for den aktive Zyxel-enheten i System > Enhet HA > HA-logg

Konfigurer HA på den passive Zyxel-enheten i System > Device HA > HA Configuration.

Aktiver - HA-konfigurasjon (Ingen ytterligere tiltak er nødvendig på dette stadiet. Etter at du har aktivert HA på den passive enheten, kobler du fra alle nettverkstilkoblinger fra den, og deretter kobler du til hjerteslagkabelen fra den aktive enheten til den passive enheten).

Advarsel VIKTIG: Aktivering av den sekundære enhetens høytilgjengelighet (HA) vil:
- Enhetens WAN/LAN-porter kobles ned.
- Logg ut av gjeldende web GUI-økt

Koble til Ethernet-kabelen for hjerteslag mellom den aktive og den passive Zyxel-enheten.

Kontroller HA-statusen til de aktive og passive Zyxel-enhetene i System > Enhet HA > HA-status.

Kontroller loggene på den aktive Zyxel-enheten i System > Enhet HA > HA-logg.

Når du logger deg på en Zyxel-enhet etter sammenkobling av Device HA, vises et banner som viser om du er logget på den aktive eller passive Zyxel-enheten.

Vellykket Failover - Logg

Feilhåndtering

Brannmuren vil oppdage om enhetens fastvare eller modell er forskjellig

 Status for mislykket paring:
  • Kan ikke hente MAC/SN riktig fra sertifikatet
  • Registrering av enhet mislyktes
  • Uoverensstemmelse mellom enhetens fastvare eller modell oppdaget
  • Enheter tilhører forskjellige organisasjoner
  • Uoverensstemmelse mellom enhetens eierskap
  • Enheten er ikke tilordnet et område

Eksempel 1: Slik kontrollerer du HA-status for enheten

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Eksempel 2: Tving frem en fullstendig synkronisering

[Aktiv]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Passiv] [Passiv]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Eksempel 3: Hvordan sjekke synkroniseringsstatus?

[Passiv]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Vær oppmerksom på følgende:
uOS 1.31 hindrer brukere i å bruke konfigurasjon på GUI, CLI og NCC live-verktøy når enhetens HA er paret
Årsaken er å unngå å bruke konfigurasjon der HA ikke er aktivert


Artikler i denne seksjonen

Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del