Zyxel USG FLEX H Series [HA] - Konfiguracja wysokiej dostępności urządzenia (HA PRO)

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

Rozwiązanie Device HA (High Availability) (HA PRO) gwarantuje ciągłą łączność sieciową poprzez wykorzystanie pary zapór sieciowych w konfiguracji aktywno-pasywnej. W tej konfiguracji aktywny firewall obsługuje ruch w normalnych warunkach, podczas gdy pasywny firewall pozostaje w trybie gotowości. W przypadku awarii urządzenia aktywnego, urządzenie pasywne automatycznie przejmuje rolę aktywnej zapory w ciągu kilku sekund, zapewniając minimalne zakłócenia i utrzymując płynne działanie sieci.

Wprowadzenie wysokiej dostępności urządzenia

Następujące funkcje mogą zostać przeniesione na dodatkowe urządzenie Zyxel, gdy stanie się ono aktywne przy użyciu funkcji Device HA:
  • Konfiguracja uruchomieniowa i bieżąca
  • Sygnatury
  • Wgląd w urządzenie
  • Zewnętrzna lista bloków
  • Wpisy dzierżawy DHCP
  • Uwierzytelnianie dwuskładnikowe
  • Certyfikaty
  • Licencje, w tym NCC, jeśli dotyczy
  • Czas urządzenia Zyxel

Wymagania

  • Urządzenie HA wymaga tego samego modelu firewalla i musi mieć zainstalowaną tę samą wersję oprogramowania sprzętowego.
  • Oba urządzenia muszą być zarejestrowane w tej samej organizacji.
Wersja oprogramowania sprzętowego Obsługiwany sparowany model
Od 1.31 USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Role urządzenia głównego i dodatkowego

  • Role urządzenia głównego i dodatkowego są definiowane przed wdrożeniem i pozostają niezmienione podczas działania urządzenia.
  • Stany trybu aktywnego i pasywnego mogą dynamicznie zmieniać się podczas przełączania awaryjnego.

Port Heartbeat

HA urządzenia wykorzystuje dedykowane łącze heartbeat między urządzeniem aktywnym i pasywnym do synchronizacji stanu i wyzwalania przełączania awaryjnego i tworzenia kopii zapasowych na urządzeniu pasywnym, jeśli urządzenie aktywne przestanie odpowiadać. Na urządzeniu pasywnym wszystkie porty są wyłączone z wyjątkiem portu z łączem heartbeat.
W poniższym przykładzie urządzenie Zyxel A jest urządzeniem aktywnym, które jest połączone z urządzeniem pasywnym Zyxel Device B za pośrednictwem dedykowanego łącza, które służy do sterowania biciem serca, synchronizacji konfiguracji i rozwiązywania problemów. Wszystkie łącza na urządzeniu Zyxel B są wyłączone, z wyjątkiem dedykowanego łącza heartbeat.
  • Dedykowany port heartbeat z bezpośrednim połączeniem między urządzeniami w celu wzajemnego monitorowania ich stanu
  • Port heartbeat dla każdego modelu jest wstępnie zdefiniowany.

Wymagania wstępne HA dla urządzeń

  • Upewnij się, że zarówno urządzenie podstawowe, jak i dodatkowe spełniają następujące warunki:
  1. Ten sam model - oba muszą być USG FLEX 200H; różne modele (np. 200H vs. 200HP) nie są obsługiwane.
  2. To samo oprogramowanie sprzętowe - musi działać w tej samej wersji (uOS 1.31 lub nowszej).
  3. Ta sama organizacja Nebula - oba urządzenia muszą być zarejestrowane w tej samej organizacji.
    • Przypisz urządzenie główne do lokalizacji 1
    • Przypisz urządzenie dodatkowe do lokalizacji 2

Uwaga: Zdecydowanie zaleca się, aby kroki rejestracji urządzenia w Nebula zostały zakończone przed sparowaniem HA.

  • Włącz SSH - SSH musi być włączone na obu urządzeniach (System > SSH) przy użyciu portu 22 dla synchronizacji Device HA.
  • Podsieć IP zarządzania - obsługiwana jest tylko wartość 255.255.255.0.

Konfiguracja funkcji Device HA

Aby skonfigurować funkcję Device HA, zaloguj się do interfejsu internetowego zapory Zyxel i przejdź do:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Odpowiedzialnie wybierz typ adresu Mac, ponieważ tego ustawienia nie można zmienić po aktywacji HA. Aby wprowadzić dalsze zmiany, należy dezaktywować HA, wprowadzić zmiany, a następnie ponownie skonfigurować HA.

Sprawdź status HA w System > Device HA > HA Status

Sprawdź dziennik HA aktywnego urządzenia Zyxel w System > Device HA > HA Log.

Skonfiguruj HA urządzenia na pasywnym urządzeniu Zyxel w System > Device HA > HA Configuration.

Enable - HA Configuration (Na tym etapie nie są wymagane żadne dalsze działania). Po aktywacji HA na urządzeniu pasywnym należy odłączyć od niego wszystkie połączenia sieciowe, a następnie podłączyć kabel heartbeat z urządzenia aktywnego do urządzenia pasywnego).

Ostrzeżenie WAŻNE: Włączenie wysokiej dostępności (HA) na urządzeniu dodatkowym spowoduje:
- Porty WAN/LAN urządzenia będą łączyć się w dół.
- Wyloguj się z bieżącej sesji GUI

Podłącz kabel Heartbeat Ethernet między aktywnym i pasywnym urządzeniem Zyxel.

Sprawdź stan HA aktywnych i pasywnych urządzeń Zyxel w System > Device HA > HA Status.

Sprawdź dzienniki na aktywnym urządzeniu Zyxel w System > Device HA > HA Log.

Po zalogowaniu się do urządzenia Zyxel po sparowaniu urządzenia HA zobaczysz baner pokazujący, czy jesteś zalogowany do aktywnego czy pasywnego urządzenia Zyxel.

Failover Success - Log

Obsługa błędów

Zapora wykryje, czy oprogramowanie sprzętowe lub model urządzenia są inne

 Status niepowodzenia parowania:
  • Nie można poprawnie uzyskać MAC/SN z certyfikatu
  • Rejestracja urządzenia nie powiodła się
  • Wykryto niezgodność oprogramowania sprzętowego lub modelu urządzenia
  • Urządzenia należą do różnych organizacji
  • Niedopasowanie własności urządzenia
  • Urządzenie nie jest przypisane do lokalizacji

Przykład 1: Jak sprawdzić status HA urządzenia

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Przykład 2: Wymuś pełną synchronizację

[Aktywny]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Pasywny]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Przykład 3: Jak sprawdzić stan synchronizacji?

[Pasywny]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Uwaga:
uOS 1.31 uniemożliwia użytkownikom stosowanie konfiguracji w GUI, CLI i narzędziu NCC na żywo, gdy urządzenie HA jest sparowane
Powodem jest unikanie stosowania konfiguracji, gdy HA nie jest aktywowane.


Artykuły w tej sekcji

Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 0 z 0
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.