Zyxel Firewal H Series [uOS] - Dispozitiv de înaltă disponibilitate (HA PRO)

Creat - Actualizat
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Notificare importantă:
Stimate client, vă rugăm să fiți conștient de faptul că folosim traducere automată pentru a furniza articole în limba dvs. locală. Este posibil ca nu toate textele să fie traduse cu acuratețe. Dacă există întrebări sau discrepanțe cu privire la acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici: Versiunea originală

Soluția Device HA (High Availability) (HA PRO) garantează conectivitatea continuă a rețelei prin utilizarea unei perechi de firewall-uri figurate într-o configurație activă-pasivă. În această configurație, firewall-ul activ gestionează traficul în condiții normale, în timp ce firewall-ul pasiv rămâne în standby. În cazul în care dispozitivul activ se defectează, dispozitivul pasiv preia automat rolul de firewall activ în câteva secunde, asigurând întreruperi minime și menținând funcționarea fără întreruperi a rețelei.

Introducerea disponibilității ridicate a dispozitivului

Următoarele caracteristici pot fi transferate către dispozitivul Zyxel secundar atunci când acesta devine activ utilizând Device HA:
  • Configurație de pornire și funcționare
  • Semnături
  • Device Insight
  • Lista blocurilor externe
  • Înregistrări DHCP Leasing
  • Autentificare cu doi factori
  • Certificate
  • Licențe, inclusiv NCC, dacă este cazul
  • Dispozitiv Zyxel Timp

Cerință

  • Dispozitivul HA necesită același model de firewall și trebuie să instaleze aceeași versiune de firmware.
  • Ambele dispozitive trebuie să fie înregistrate la aceeași organizație.
Versiunea firmware Suport Model împerecheat
De la 1.31 USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Rolurile dispozitivelor primare și secundare

  • Rolurile dispozitivelor primare și secundare sunt definite înainte de implementare și rămân neschimbate în timpul funcționării dispozitivului.
  • Stările modurilor activ și pasiv se pot schimba dinamic în timpul failover-ului.

Portul Heartbeat

Dispozitivul HA utilizează o legătură heartbeat dedicată între un dispozitiv activ și unul pasiv pentru sincronizarea stării și pentru a declanșa failover-ul și back-up-ul către dispozitivul pasiv în cazul în care dispozitivul activ nu mai răspunde. Pe dispozitivul pasiv, toate porturile sunt dezactivate, cu excepția portului cu legătura heartbeat.
În exemplul următor, dispozitivul Zyxel A este dispozitivul activ care este conectat la dispozitivul pasiv Zyxel Device B printr-o legătură dedicată care este utilizată pentru controlul heartbeat, sincronizarea configurației și depanarea. Toate legăturile de pe dispozitivul Zyxel B sunt dezactivate, cu excepția legăturii dedicate de tip heartbeat.
  • Un port heartbeat dedicat cu o conexiune directă între dispozitive pentru a-și monitoriza reciproc starea
  • Portul heartbeat pentru fiecare model este predefinit

Dispozitiv HA Condiții prealabile

  • Asigurați-vă că atât dispozitivul primar, cât și cel secundar îndeplinesc următoarele condiții:
  1. Același model - Ambele trebuie să fie USG FLEX 200H; modele diferite (de exemplu, 200H vs. 200HP) nu sunt acceptate.
  2. Același firmware - Trebuie să ruleze aceeași versiune (uOS 1.31 sau ulterior).
  3. Aceeași organizație Nebula - Ambele trebuie să fie înregistrate sub aceeași organizație.
    • Atribuiți primarul la site-ul 1
    • Atribuiți secundarul la site-ul 2

Notă: Este foarte recomandat ca pașii de înregistrare a dispozitivului pe Nebula să fie finalizați înainte de asocierea HA.

  • Enable SSH - SSH trebuie să fie activat pe ambele dispozitive (System > SSH) utilizând portul 22 pentru sincronizarea HA a dispozitivului.
  • Subnetul IP de gestionare - Este acceptat numai 255.255.255.0.

Configurarea funcției HA a dispozitivului

Pentru a configura funcția Device HA, vă rugăm să vă conectați la interfața web a firewall-urilor Zyxel și să navigați la:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Alegeți tipul de adresă Mac cu responsabilitate, deoarece această setare nu poate fi modificată odată ce HA este activată. Pentru a face alte modificări, va trebui să dezactivați HA, să faceți modificările și apoi să configurați HA din nou.

Verificați starea HA în System > Device HA > HA Status

Verificați jurnalul HA al dispozitivului Zyxel activ în System > Device HA > HA Log

Configurați dispozitivul HA pe dispozitivul Zyxel pasiv în System > Device HA > HA Configuration.

Enable - HA Configuration (Nu este necesară nicio altă acțiune în această etapă. După activarea HA pe dispozitivul pasiv, deconectați toate conexiunile de rețea de la acesta, apoi conectați cablul heartbeat de la dispozitivul activ la dispozitivul pasiv).

Avertisment IMPORTANT: Activarea High Availability (HA) a dispozitivului secundar va:
- Porturile WAN/LAN ale dispozitivului se vor bloca.
- Ieșiți din sesiunea GUI web curentă

Conectați cablul Ethernet Heartbeat între dispozitivele Zyxel activ și pasiv.

Verificați starea HA a dispozitivelor Zyxel active și pasive în System > Device HA > HA Status.

Verificați jurnalele de pe dispozitivul Zyxel activ în System > Device HA > HA Log.

Când vă conectați la un dispozitiv Zyxel după împerecherea Device HA, veți vedea un banner pentru a arăta dacă sunteți conectat la dispozitivul Zyxel activ sau pasiv.

Failover reușit - Jurnal

Gestionarea erorilor

Firewall-ul va detecta dacă firmware-ul sau modelul dispozitivului este diferit

 Pairing Failed Status (Împerechere eșuată):
  • Nu se poate obține corect MAC/SN din certificat
  • Înregistrarea dispozitivului a eșuat
  • A fost detectată o neconcordanță între firmware-ul sau modelul dispozitivului
  • Dispozitivele aparțin unei organizații diferite
  • Neconcordanța de proprietate a dispozitivului
  • Dispozitivul nu este atribuit unui site

Exemplul 1: Cum să verificați starea HA a dispozitivului

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Exemplul 2: Forțarea unei sincronizări complete

[Activ]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Pasiv]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Exemplul 3: Cum să verificați starea sincronizării?

[Pasiv]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Vă rugăm să rețineți:
uOS 1.31 împiedică utilizatorii să aplice configurația pe GUI ,CLI și NCC live tool atunci când dispozitivul HA este asociat
Motivul este evitarea aplicării configurației atunci când HA nu este activat


Articole în această secțiune

A fost util acest articol?
0 din 0 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.