Firewall High Availability HA Pro - Konfigurer enhet HA Pro

Opprettet 10. desember 2019 kl. 11.11 - Oppdatert 25. juni 2026 kl. 10.05

Serhii Boiarynov

Har du flere spørsmål? Send oss en henvendelse

Device HA Pro er en tjeneste som brukes for å tilby nettverksredundans for å redusere potensiell nedetid og krever ingen ekstra lisenser for å aktivere denne tjenesten. I tillegg synkroniserer Device HA Pro konfigurasjonsfilen, enhetens oppetid, TCP-økter (IPv4/IPv6), IPSec VPN-økter, I/O-informasjon, DHCP-tabell, IP/MAC Binding-tabell og lisensstatus. Enheten som pares med Device HA Pro-installasjonen vil spille enten en aktiv eller passiv rolle. Den aktive enheten vil motta alle konfigurasjonsendringer som gjøres i oppsettet og vil være ansvarlig for å sende informasjonen til den passive enheten. Enheten som inntar den passive rollen vil motta konfigurasjonsendringer fra den aktive enheten og vil overta den aktive rollen hvis den nåværende aktive enheten befinner seg i en av følgende tilstander.

Viktig informasjon: Begge enheter må være samme modell og registrert på samme myZyxel.com-konto. Lisensene må overføres til den aktive enheten.

Før du konfigurerer Device HA Pro, er det viktig å gjøre følgende.

Den passive enheten skal KUN ha en PC tilkoblet med Web GUI-tilgang og UTEN heartbeat-kabel fra starten av.
Den passive enheten skal RESETTES og ha samme firmware som den aktive enheten før HA Pro-konfigurasjon kan skje.
Den passive brannmuren skal være registrert i MyZyxel.
Vent til sys-lyset blinker (passiv tilstand) før du kobler til resten av kablene.
Ved vellykket konfigurasjon av HA Pro skal det ikke være nedetid når enhetene pares.
Sørg for at firmwareversjonene på både Første enhet og Andre enhet sine partisjoner stemmer overens.

Hva kan gå galt? Hvorfor kan jeg ikke se korrekt lisensstatus fra myzyxel.com-serveren?
På Device-HA Pro-innstillingen finnes det en funksjon "Serienummer på lisensiert enhet for lisenssynkronisering". Du bør skrive inn enhetens S/N som har lisensene. På denne måten kan du overføre alle lisensene til "Aktiv" enhet, ved å skrive inn denne enhetens S/N i feltet.

Merk: Den standard inkluderte ettårige Gold Security Pack-lisensen for ATP-gatewayer er ikke overførbar. For Device HA-distribusjon, vennligst kontakt Zyxel support i ditt land/region for å få hjelp med å overføre lisenser. Lisens

Hvordan kontakte Support Team for lisensoverføring, sjekk her: Hvordan kontakte Support Team?

Oversikt

Device HA-funksjonen fungerer som en failover når en av brannmurene i nettverket er nede eller ikke kan få tilgang til internett. I Device HA Pro legges det til en "heartbeat-link" for å overvåke grensesnittstatus og synkronisere innstillinger.

Oppsett av aktiv enhet

For å sette opp Device HA Pro-funksjonen, logg inn på Zyxel-brannmurens webgrensesnitt og naviger til:

Konfigurasjon -> Device HA -> Device HA Pro

Den siste fysiske RJ45-porten på Zyxel-brannmuren er Device HA Management-porten (Heartbeat-port). Sørg for at denne porten ikke er en del av en LAG, VLAN eller brogrensesnitt.

Trinn:
• Fjern haken ved “Enable Configuration Provisioning From Active Device” (Aktiver konfigurasjonsprovisjonering fra aktiv enhet).
• Bekreft at serienummeret er primær enhetens S/N.
• Angi en IP-adresse for den aktive enheten. (Må være en adresse som ikke er i bruk på noen av dine nåværende grensesnitt)
• Angi en IP-adresse for den passive enheten. (innenfor samme subnett som ovenfor)
• Angi en subnettmaske.
• Opprett et synkroniseringspassord.
• Velg overvåkingsgrensesnittene fra tilgjengelig liste og flytt dem til medlemslisten.
• Konfigurer ønskede innstillinger for feilsøkingsdeteksjon.
• Klikk på knappen "Apply & switch to Device HA Pro".

Gå til Device HA-fanen igjen for å aktivere Device HA-funksjonen på den aktive brannmuren.
• Bekreft at Device HA Mode er satt til “Device HA Pro”.
• Huk av boksen for “Enable Device HA”.
• Klikk på "Apply"-knappen nederst på skjermen for å lagre innstillingene.

Oppsett av passiv enhet

Merk! Koble kun PC-en din til den passive brannmuren når du konfigurerer HA Pro. Etter at du har konfigurert HA Pro og har samme firmware som den aktive enheten, kan du koble til heartbeat-kabelen (KUN!). Etter at enheten har startet opp og du ser SYS LED-lyset og kun heartbeat-portens LED-lys er på, kan du koble til resten av portene.
For å konfigurere den passive enheten, koble datamaskinen til den andre Zyxel-brannmuren og få tilgang til webgrensesnittet

 Konfigurasjon -> Device HA -> Device HA Pro

• Sørg for at “Enable Configuration Provisioning From Active Device” er huket av.
• Bekreft at Device HA Mode er satt til “Device HA Pro”.
• Huk av boksen for “Enable Device HA”.
• Klikk på "Apply"-knappen nederst på skjermen for å lagre innstillingene.

Koble en Ethernet-kabel til Heartbeat-porten (siste fysiske port) på begge enheter og vent omtrent 5 minutter for at enhetene skal synkronisere alle innstillinger. På dette tidspunktet er Device HA Pro-funksjonen konfigurert, og eventuelle endringer gjort på primær (aktiv) brannmur vil synkroniseres til sekundær (passiv) brannmur.

Merk: Vennligst sørg for å aktivere “Connectivity Check” for WAN-tilkoblingen(e). Aktivering av dette alternativet gjør at Zyxel-brannmuren kan teste internettilgang og bytte over til sekundær internettforbindelse på den passive enheten hvis den aktive enheten feiler.

For On-Premises-modus med High Available (HA) funksjonen aktivert, vennligst BRUK IKKE skybasert firmware-oppgradering. Du må følge en annen prosedyre for å fullføre firmware-oppgraderingen; vennligst les SOP. * Gjelder modeller og versjoner: USG FLEX 500/700, ATP500/700/800 med ZLD5.20 til ZLD5.21 Patch1.

Feilsøkingstips

1. Synkroniseringen kan feile med meldinger på den passive enheten

Synkroniseringen kan feile med meldinger på den passive enheten:
Retrieving Active Firmware version has failed
Retrieving Active Firmware version has failed
Retrieving Active Firmware version has failed
Device HA Sync has failed when syncing Firmware Version due to bad 'Sync From' or 'Sync Port'.

En mulig årsak kan være at FTP-tjenesten på en aktiv enhet har noen begrensninger, slik at den passive ikke får tilgang.

Eksempel på feil oppsett:

2. Enhetene synkroniserer ikke

Sørg for at begge enheter kjører samme firmwareversjon. Begge må kjøre samme firmwareversjon for å synkronisere.
Sørg for at begge enheter kjører samme firmwarebank/-slot. Hvis primæren kjører firmware i slot 1 og slot 2 er standby, må den andre enheten også kjøre slot 1 med slot 2 i standby.
Sørg for at kun Heartbeat-porten (siste RJ45-port på enheten [f.eks. P7]) er koblet til primæren de første 5 minuttene etter aktivering av Device HA Pro-funksjonen. Hvis begge enheter er koblet til et aktivt nettverk samtidig, kan dette forårsake rutingsproblemer, løkker og kollisjoner som påvirker nettverket.

3. Kan ikke få tilgang til den passive enheten

- Vennligst sørg for at enhetene er ferdige med synkroniseringen. Den innledende synkroniseringsprosessen kan ta opptil 5 minutter.
- Bruk IP-adressen du har konfigurert i Device HA Pro-menyen for "Passive Device Management IP".

4. Jeg gjorde endringer på den passive enheten, men de synkroniseres ikke til hovedenheten.

- Når Device HA Pro er konfigurert, skal alle nettverksendringer gjøres på Master/Primær-enheten. Den passive enheten er kun en slave, og endringer her vil ikke bli brukt på Primær/Master-enheten.

5. SecuReporter-lisens/tjeneste er aktiv på brannmuren, men enheten kan ikke finnes i SecuReporter

- Når master-enheten har byttet til den passive enheten og SecuReporter-lisensen aktiveres, kan det hende at lisensen ikke synkroniseres i SecuReporter, selv om det står "aktivert" i brannmurens GUI. Du må gjøre primær-enheten aktiv igjen, deretter fjerne enheten og organisasjonen i SecuReporter og reaktivere SecuReporter-tjenesten på primær-enheten.

Det finnes andre problemer, vennligst gjør en re-deploy av Device HA Pro, se her Device HA Pro redeploy

Artikler i denne seksjonen

Se mer

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.