Device HA Pro to usługa służąca do zapewnienia redundancji sieci, która zmniejsza potencjalne przestoje i nie wymaga dodatkowych licencji do aktywacji tej usługi. Dodatkowo Device HA Pro synchronizuje plik konfiguracyjny, czas pracy urządzenia, sesje TCP (IPv4/IPv6), sesje IPSec VPN, informacje I/O, tabelę DHCP, tabelę powiązań IP/MAC oraz status licencji. Urządzenie sparowane z instalacją Device HA Pro będzie pełnić rolę aktywną lub pasywną. Urządzenie aktywne odbiera wszystkie zmiany konfiguracji dokonane w ustawieniach i jest odpowiedzialne za przesyłanie informacji do urządzenia pasywnego. Urządzenie pełniące rolę pasywną odbiera zmiany konfiguracji z urządzenia aktywnego i przejmuje rolę aktywną, jeśli bieżące urządzenie aktywne znajduje się w jednym z następujących stanów.
Przed skonfigurowaniem Device HA Pro ważne jest wykonanie następujących kroków.
- Do urządzenia pasywnego powinien być PODŁĄCZONY WYŁĄCZNIE komputer z dostępem do Web GUI i BEZ kabla heartbeat od samego początku.
- Urządzenie pasywne powinno zostać ZRESETOWANE i mieć tę samą wersję oprogramowania co urządzenie aktywne przed rozpoczęciem konfiguracji HA Pro.
- Firewall pasywny powinien być zarejestrowany w MyZyxel.
- Poczekaj, aż dioda sys zacznie migać (stan pasywny) przed podłączeniem pozostałych kabli.
- Podczas pomyślnej konfiguracji HA Pro nie powinno wystąpić żadne przestoje podczas parowania urządzeń.
- Dopasuj wersje oprogramowania na obu partycjach Pierwszego i Drugiego Urządzenia.
Co może pójść nie tak? Dlaczego nie widzę poprawnego statusu licencji z serwera myzyxel.com?
W ustawieniach Device-HA Pro istnieje funkcja „Numer seryjny urządzenia z licencją do synchronizacji licencji”. Należy wpisać numer seryjny urządzenia, które posiada licencje. Dzięki temu można przenieść wszystkie licencje na urządzenie „Aktywne” i wpisać numer seryjny tego urządzenia w ramce.
Uwaga: Domyślna roczna licencja Gold Security Pack do bramek ATP jest nieprzenoszalna. W przypadku wdrożenia Device HA prosimy skontaktować się z pomocą techniczną Zyxel w swoim kraju/regionie, aby pomogli w przeniesieniu licencji. Licencja
Jak skontaktować się z zespołem wsparcia w celu przeniesienia licencji, sprawdź tutaj: Jak skontaktować się z zespołem wsparcia?
Przegląd
Funkcja Device HA działa jako mechanizm przełączania awaryjnego, gdy jeden z firewalli w sieci przestaje działać lub traci dostęp do internetu. W Device HA Pro dodano „łącze heartbeat” do monitorowania stanu interfejsu i synchronizacji ustawień.
Konfiguracja urządzenia aktywnego
Aby skonfigurować funkcję Device HA Pro, zaloguj się do interfejsu webowego firewalli Zyxel i przejdź do:
Konfiguracja -> Device HA -> Device HA ProOstatni fizyczny port RJ45 na firewallu Zyxel to port zarządzania Device HA (port heartbeat). Upewnij się, że port ten nie jest częścią LAG, VLAN ani interfejsu mostu.
Kroki:
• Odznacz opcję „Enable Configuration Provisioning From Active Device”.
• Sprawdź, czy numer seryjny to numer seryjny urządzenia głównego.
• Podaj adres IP dla urządzenia aktywnego. (Adres musi być nieużywany przez żaden z aktualnych interfejsów)
• Podaj adres IP dla urządzenia pasywnego. (w tej samej podsieci co powyżej)
• Podaj maskę podsieci.
• Utwórz hasło synchronizacji.
• Wybierz interfejsy do monitorowania z dostępnej listy i przenieś je na listę członków.
• Skonfiguruj ustawienia wykrywania awarii (Failover Detection) według potrzeb.
• Kliknij przycisk "Apply & switch to Device HA Pro".
Ponownie przejdź do zakładki Device HA, aby włączyć funkcję Device HA na aktywnym firewallu.
• Sprawdź, czy tryb Device HA jest ustawiony na „Device HA Pro”.
• Zaznacz pole „Enable Device HA”.
• Kliknij przycisk "Apply" na dole ekranu, aby zapisać ustawienia.
Konfiguracja urządzenia pasywnego
Uwaga! Podłączaj komputer do pasywnego firewalla tylko podczas konfiguracji HA Pro. Po skonfigurowaniu HA Pro i zapewnieniu tej samej wersji oprogramowania co urządzenie aktywne, możesz podłączyć kabel heartbeat (TYLKO!). Po uruchomieniu urządzenia i gdy zobaczysz świecącą diodę SYS oraz tylko diodę portu heartbeat, możesz podłączyć pozostałe porty.
Aby skonfigurować urządzenie pasywne, podłącz komputer do drugiego firewalla Zyxel i uzyskaj dostęp do interfejsu webowego
Konfiguracja -> Device HA -> Device HA Pro• Upewnij się, że opcja „Enable Configuration Provisioning From Active Device” jest zaznaczona.
• Sprawdź, czy tryb Device HA jest ustawiony na „Device HA Pro”.
• Zaznacz pole „Enable Device HA”.
• Kliknij przycisk "Apply" na dole ekranu, aby zapisać ustawienia.
Podłącz kabel Ethernet do portu Heartbeat (ostatni fizyczny port) na obu urządzeniach i odczekaj około 5 minut na synchronizację ustawień. W tym momencie funkcja Device HA Pro jest skonfigurowana, a wszelkie zmiany dokonane na firewallu głównym (aktywnym) zostaną zsynchronizowane z firewallem zapasowym (pasywnym).
Uwaga: Upewnij się, że włączona jest opcja „Connectivity Check” dla połączenia WAN. Włączenie tej opcji pozwoli firewallowi Zyxel testować dostęp do internetu i przełączyć się na drugie połączenie internetowe urządzenia pasywnego, jeśli połączenie aktywne zawiedzie.
W trybie On-Premises z włączoną funkcją High Availability (HA) NIE używaj aktualizacji oprogramowania przez chmurę. Należy zastosować inną procedurę aktualizacji oprogramowania; prosimy zapoznać się z SOP. * Modele i wersje objęte: USG FLEX 500/700, ATP500/700/800 z ZLD5.20 do ZLD5.21 Patch1.
Wskazówki dotyczące rozwiązywania problemów
1. Synchronizacja może się nie powieść z komunikatami na urządzeniu pasywnym
Synchronizacja może się nie powieść z komunikatami na urządzeniu pasywnym:
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Device HA Sync has filed when syncing Firmware Version due to bad 'Sync From' or 'Sync Port'.
Możliwą przyczyną jest ograniczenie usługi FTP na urządzeniu aktywnym, przez co urządzenie pasywne nie ma do niej dostępu.
Przykład błędnej konfiguracji:
2. Urządzenia się nie synchronizują
- Upewnij się, że oba urządzenia mają tę samą wersję oprogramowania. Oba muszą działać na tej samej wersji firmware, aby synchronizacja była możliwa.
- Upewnij się, że oba urządzenia działają na tym samym banku/slotcie oprogramowania. Jeśli urządzenie główne działa na slocie 1, a slot 2 jest w trybie standby, drugie urządzenie również musi działać na slocie 1 z slotem 2 w trybie standby.
- Upewnij się, że tylko port Heartbeat (ostatni port RJ45 na urządzeniu [np. P7]) jest podłączony do urządzenia głównego przez pierwsze 5 minut po włączeniu funkcji Device HA Pro. Jeśli oba urządzenia są jednocześnie podłączone do aktywnej sieci, może to powodować problemy z routingiem, pętle i kolizje wpływające na sieć.
3. Brak dostępu do urządzenia pasywnego
-
- Upewnij się, że synchronizacja urządzeń została zakończona. Początkowa synchronizacja może potrwać do 5 minut.
- Używaj adresu IP skonfigurowanego w menu Device HA Pro jako „Passive Device Management IP”.
4. Dokonałem zmian na urządzeniu pasywnym, ale nie synchronizują się one z urządzeniem głównym.
-
- Po skonfigurowaniu Device HA Pro wszelkie zmiany w konfiguracji sieci powinny być dokonywane na urządzeniu głównym/master. Urządzenie pasywne jest tylko podrzędne, a zmiany wprowadzone na nim nie będą stosowane na urządzeniu głównym/master.
5. Licencja/usługa SecuReporter jest aktywna na firewallu, ale urządzenie nie jest widoczne w SecuReporter
-
- Gdy urządzenie główne przełączy się na urządzenie pasywne, a następnie licencja SecuReporter zostanie aktywowana, możesz doświadczyć braku synchronizacji licencji w SecuReporter, mimo że na GUI firewalla widnieje status „active/activated”. Należy ponownie aktywować urządzenie główne, a następnie usunąć urządzenie i organizację w SecuReporter i ponownie aktywować usługę SecuReporter na urządzeniu głównym.
W przypadku innych problemów wykonaj ponowne wdrożenie Device HA Pro, zobacz tutaj Ponowne wdrożenie Device HA Pro
Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.