Firewall High Availability HA Pro - Ponowne wdrożenie Device HA Pro

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ten artykuł zawiera wskazówki dotyczące ponownego wdrożenia HA-Pro, gdy nie działa poprawnie, często z powodu nieprawidłowych slotów firmware lub różnych wersji oprogramowania. Podkreśla konieczność, aby oba urządzenia w konfiguracji Device HA Pro były tego samego modelu, zarejestrowane na to samo konto myZyxel.com oraz miały zsynchronizowane licencje. Artykuł opisuje kroki podstawowej konfiguracji, wdrożenia pierwszego i drugiego urządzenia, sprawdzania statusu oraz testowania przełączenia awaryjnego. Omawia również znaczenie zapewnienia spójności wersji firmware i podaje wskazówki dotyczące rozwiązywania problemów z synchronizacją. W celu uzyskania szczegółowej pomocy w konfiguracji użytkownicy są kierowani do usług profesjonalnych Zyxel.

Podstawowa konfiguracja - Device HA Pro.

Topo (DeviceHA-Pro)

mceclip1.png

W Device HA Pro dodany jest „link heartbeat” do monitorowania statusu interfejsu oraz synchronizacji ustawień.

Zachowanie Device HA Pro obejmuje link heartbeat do monitorowania statusu interfejsu urządzenia „aktywnego”. Jeśli jeden z monitorowanych interfejsów przestanie działać lub ulegnie awarii, status urządzenia „pasywnego” zmieni się na „aktywne”. (Oznacza to, że w danym momencie tylko jedno urządzenie może mieć status „aktywne”.)

Link Heartbeat
Port heartbeat to nowy fizyczny port na urządzeniu (poprawka w ostatnim porcie firmware urządzenia obsługującego HA-Pro). Po włączeniu Device HA Pro urządzenia będą wysyłać pakiety multicast (UDP 694) w celu sprawdzenia statusu każdego urządzenia. Gdy urządzenie pasywne działa poprawnie, dioda LED systemu będzie świecić. Tylko dioda portu heartbeat może być włączona.

Ważna informacja: Oba urządzenia muszą być tego samego modelu i zarejestrowane na to samo konto myZyxel.com. Licencje muszą być przeniesione na urządzenie aktywne. Gdy zapora aktywna ulegnie awarii, wszystkie licencje zostaną automatycznie przeniesione na zaporę pasywną.

Co może pójść nie tak? Dlaczego nie można zobaczyć poprawnego statusu licencji z serwera myzyxel.com?
W ustawieniach Device-HA Pro istnieje funkcja „Numer seryjny licencjonowanego urządzenia do synchronizacji licencji”. Należy wprowadzić numer seryjny urządzenia posiadającego licencje. Dzięki temu można przenieść wszystkie licencje na urządzenie „aktywne” i wpisać ten numer seryjny w ramkę.

Uwaga: Domyślna roczna licencja Gold Security Pack dołączona do bramek ATP jest nieprzenoszalna. W przypadku wdrożenia Device HA prosimy kontaktować się z pomocą techniczną Zyxel w swoim kraju/regionie, aby pomogli przenieść licencje. 

Podstawową instalację znajdziesz tutaj: Podstawowa konfiguracja - Device HA Pro

Przed ponownym wdrożeniem HA-Pro

(1) Przenieś wszystkie licencje na urządzenie podstawowe. Pomaga to uniknąć ponownego przeliczania licencji za każdym razem.
(2) Włącz funkcję sprawdzania łączności na monitorowanych interfejsach. Gdy interfejs nie odbierze żadnej odpowiedzi z zdalnego serwera przez określony czas, urządzenie uzna status interfejsu za awarię. Wówczas funkcja Device HA Pro zmieni status interfejsu.

  1. Wykonaj kopię zapasową bieżącej konfiguracji DeviceA (Aktywnego).
  2. Upewnij się, że DeviceB (Pasywne) jest zresetowane do ustawień domyślnych.
  3. Na Device B wersja działającego firmware musi być taka sama jak na Device A.
  4. Na Device B partycja działającego firmware musi znajdować się na tej samej pozycji co na Device A.
  5. Potwierdź, że numer seryjny Device A jest wpisany na stronie HA-Pro.

mceclip10.png

Przejdź do Konfiguracja> Device HA>Device HA-Pro

mceclip2.png

Następnie kontynuuj konfigurację ustawień HA

Uwaga! Adres IP zarządzania urządzeniem oraz lokalne podsieci nie mogą być takie same!

Wdrożenie pierwszego urządzenia

  • Skonfiguruj ustawienia HA Pro (adres IP zarządzania, interfejs monitorujący, licencje)
  • Uruchom online jako urządzenie aktywne

4. Wdrożenie drugiego urządzenia

  • Wersja działającego firmware musi być taka sama jak pierwszego urządzenia
  • Partycja działającego firmware musi być na tej samej pozycji co pierwszego urządzenia

Jeśli działająca partycja pierwszego urządzenia to partycja 1, to działająca partycja drugiego urządzenia również musi być partycją 1.

  • Skonfiguruj ustawienia HA-pro w GUI (wystarczą 2 kliknięcia)

Najpierw na urządzeniu pasywnym: 

mceclip3.png


Następnie na urządzeniu aktywnym:

mceclip4.png

Podłącz konsolę do obu urządzeń

  • Połącz link portu heartbeat i poczekaj na pełną synchronizację.

Uwaga: pełna synchronizacja konfiguracji po raz pierwszy zajmuje czas (powyżej 10 minut)

 

Jak sprawdzić, czy pełna synchronizacja zakończyła się bez problemów,

Na konsoli urządzenia pasywnego zobaczysz status fizycznego portu (do którego podłączony jest PC)

1wsze wyłączenie: po włączeniu Device HA-pro

1wsze włączenie: rozpoczęcie synchronizacji konfiguracji z urządzenia aktywnego

2gie wyłączenie: prawie zakończona synchronizacja

mceclip5.png

Następnie możesz przejść do konsoli urządzenia aktywnego i wpisać CLI

# show device-ha2 passive device-status

Aż otrzymasz informacje o urządzeniu pasywnym.

mceclip6.png

Następnie wróć do konsoli urządzenia pasywnego i wpisz CLI

# show device-ha2 sync summary

mceclip7.png

Bardzo ważne jest, aby status [ZySH Startup Configuration] był pomyślny bez żadnych problemów, a ostatnia linia ze statusem synchronizacji Device HA również wskazywała sukces.

Ostrzeżenie:

W przypadku błędu odłącz wszystkie połączenia. Następnie zresetuj urządzenie do ustawień fabrycznych i spróbuj ponownie.

Nie kopiuj pliku konfiguracyjnego z pierwszego urządzenia i nie wgrywaj go na drugie urządzenie podczas wdrożenia.

  • Podłącz pozostałe połączenia

Test przełączenia awaryjnego (failover)

Możesz użyć debugowania CLI na urządzeniu aktywnym, aby zasymulować zdarzenie wyłączenia interfejsu.

W ten sposób wywołasz przełączenie awaryjne na urządzenie pasywne.

# debug device-ha2 send linkdown <nazwa interfejsu>

Sprawdzanie statusu synchronizacji przez interfejs webowy:

mceclip11.png

CONFIGURATION > Device HA > Wyświetl dziennik, gdzie musi pojawić się Synchronize complete.

mceclip12.png

Lub sprawdź przez CLI: Sprawdź szczegółowy status synchronizacji na urządzeniu

show device-ha2 sync summary

mceclip14.png

Bardzo ważne jest, aby ostatni wpis dotyczący statusu synchronizacji Device HA wskazywał, że zakończyła się sukcesem.

Błąd synchronizacji

mceclip15.png

Uwaga: Istnieją 2 metody wymuszenia pełnej synchronizacji konfiguracji. W zależności od miejsca wywołania, komenda będzie się różnić.
Na urządzeniu pasywnym: Router# device-ha2 sync_from_active
Na urządzeniu aktywnym: Router# device-ha2 sync_to_passive

Podczas aktualizacji firmware pasywne urządzenie najpierw aktualizuje firmware, a następnie się restartuje.
Po restarcie urządzenie pasywne natychmiast przeprowadza pełną synchronizację konfiguracji.
Synchronizacja się nie powiedzie, ponieważ firmware urządzenia pasywnego różni się od firmware urządzenia aktywnego.
To normalne zachowanie i można zignorować błędy synchronizacji w tym przypadku.

Podstawową konfigurację HA Pro znajdziesz tutaj: Konfiguracja Device HA Pro

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 1 z 3
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.