Zyxel USG FLEX H-serien [HA] - Bytt ut enheten eller installer HA på nytt (HA PRO)

Når du skal erstatte en skadet eller ikke-funksjonell brannmur i Zyxel USG FLEX H-serien i et HA-oppsett (High Availability), er det viktig å følge beste praksis for å minimere nedetid og gjenopprette HA-funksjonalitet på en effektiv måte. Selv om utskifting av en defekt enhet i hovedsak innebærer å rekonfigurere HA-oppsettet fra bunnen av, beskriver denne veiledningen viktige trinn, beste praksis og viktige nyanser for å effektivisere prosessen og unngå vanlige fallgruver.

Her er en trinnvis veiledning for å erstatte og gjenoppbygge HA i et slikt scenario:

• Du har to brannmurer i USG FLEX H-serien (primær og sekundær).
• Den defekte "primære" enheten erstattes med en ny, fungerende enhet av samme modell.
• Den sekundære/standby-enheten fungerer fortsatt og er for øyeblikket aktiv.

HA-topologi:

• USG FLEX 500H - Site5(FLEX500HP_1 ) - Primær (Hovedsiden der alle enheter på nettstedet vårt er fysisk registrert og hovedbrannmuren)
• USG FLEX 500H - Site5(FLEX500HP_2) - Sekundær (et område med kun en fysisk registrert backup-brannmurenhet)

Dette oppsettet kan være noe forvirrende, ettersom brannmurene er registrert på forskjellige nettsteder. Brannmuren på det sekundære (backup/passiv) området vil imidlertid alltid vises som frakoblet, mens brannmuren på det primære (hoved) området konsekvent vil vises som tilkoblet, uavhengig av hvilken brannmur som aktivt håndterer trafikk til enhver tid.

La oss anta at den primære brannmuren som er registrert på hovedsiden, har feilet, og at backup-brannmuren (sekundær brannmur) for øyeblikket håndterer all trafikk. I dette tilfellet må vi erstatte den brannmuren som er registrert på hovedsiden. Men vi kan også flytte den passive enheten vår til hovedsiden og gjøre den til hovedsiden, og først da legge til den nye enheten som en passiv enhet.

Trinn 1: Fjern den defekte HA-motparten

• Koble fra den defekte enheten fysisk, og fjern den fra systemet.
• På den aktive (fungerende) enheten navigerer du til: Venstre meny > System > Enhet HA
  Hvis HA er aktivert, men ikke kan synkronisere med den ødelagte motparten, klikker du på Deaktiver HA.
• Lagre og bruk endringene for å fullføre dette trinnet.

Sikkerhetskopier konfigurasjonen på den aktive enheten (dette er ikke obligatorisk, men det er beste praksis for å unngå å miste innstillingene dine. Ideelt sett bør du alltid ha en kopi av konfigurasjonen).

• Logg på den aktive (fungerende) enheten.
• Gå til Vedlikehold > Filbehandling > Konfigurasjonsfil.
• Last ned en siste og oppstartskonfigurasjon av den aktive enheten (i tilfelle noe skulle gå galt).

Trinn 2 - Forbered HA for den aktive masterenheten

I dette eksemplet fortsetter vi med å tilordne den aktive enheten til Site 1 som primærenhet. Den nye enheten tilordnes til Site 2 som backup-enhet (sekundærenhet).

Siden vi deaktiverte HA på den aktive enheten i de foregående trinnene, vises enheten nå som online på Site 2. Som vist på bildet nedenfor, skal vi nå tilordne denne enheten til Site 1 på nytt og utpeke den som primærenhet.

Først må vi fjerne den skadede brannmuren fra hovedsiden.

Først må vi fjerne den skadede brannmuren fra hovedsiden.	Tilordne den aktive enheten til hovedsiden, slik at den blir den viktigste.

Du kan nå kontrollere at den tidligere sekundære enheten er lagt til på hovedsiden og har overtatt rollen som den primære enheten.

Trinn 3 - Forberedelse av HA for den passive enheten

• Ta ut av esken og slå på den nye/erstatningsenheten, men ikke koble den til nettverket ennå.
• Kontroller at fastvareversjonen samsvarer med den aktive enheten (sjekk under Vedlikehold > Fastvare).
• Hvis ikke, må du oppgradere fastvaren.

Tilbakestill den nye enheten til fabrikkinnstilling (hvis den har vært brukt tidligere)

• Hold RESET-knappen inne i ca. 10 sekunder til SYS-LED-en blinker gult.
• La enheten starte helt på nytt.

Koble til og konfigurer den nye erstatningsenheten

• Koble PC-en til LAN-porten på den nye brannmuren.
• Du trenger også tilgang til Internett på den nye enheten for å registrere den og legge den til på Nebul-nettstedet.
• Logg inn med standard IP: 192.168.168.1 (admin / 1234).
• Initialiser enheten, og registrer enheten i samme organisasjon under initialiseringsprosessen.
• Legg til den nye enheten på det andre nettstedet; den nye enheten vil være vår backup/sekundærenhet.

Trinn 4 - Par enhetene igjen for HA

• På den primære enheten går du til > System >Enhet HA > HA-konfigurasjon
• Klikk på Aktiver HA og angi:

• På den sekundære enheten går du til > System >Device HA > HA-konfigurasjon
• Klikk på Aktiver HA og angi (på en passiv enhet er det ikke nødvendig å foreta noen HA-innstillinger, bare aktiver denne funksjonen):

Vær også oppmerksom på at heartbeat-kabelen bør være frakoblet inntil videre.

Trinn 5 - Synkronisering og testing

• Når HA er aktivert på begge sider:
  • Den primære enheten bør overføre konfigurasjonen sin til den nye enheten.
  • Vent til synkroniseringen er fullført. Dette kan ta noen minutter.
  • Sjekk HA-statusen: System > Enhet HA > HA-logg

Trinn 6 - Fremgangsmåte for testing av failover:

Simuler primærfeil
Slå midlertidig av eller koble det primære systemet fra WAN for å simulere et feilscenario.

Bekreft sekundær overtakelse
Bekreft at det nylig utpekte sekundære systemet overtar den primære rollen uten tjenesteavbrudd.

Gjenopprett primærsystemet og valider HA-status
Start den aktive enheten på nytt for å gjøre den opprinnelige primære enheten aktiv igjen. Kontroller at statusen for høy tilgjengelighet (HA) normaliseres og at rollene kommer tilbake.

Hvis synkroniseringsstatusen ser ut til å være feil, til tross for at logger og innstillinger indikerer riktig drift, kan du løse problemet via nettkonsollen ved å utføre følgende kommando:

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>