Zyxel USG FLEX H Series [HA] - Înlocuiți dispozitivul sau re-deploiați HA (HA PRO)

Creat - Actualizat
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Notificare importantă:
Stimate client, vă rugăm să fiți conștient de faptul că folosim traducere automată pentru a furniza articole în limba dvs. locală. Este posibil ca nu toate textele să fie traduse cu acuratețe. Dacă există întrebări sau discrepanțe privind acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici: Versiunea originală

Pentru a înlocui un firewall Zyxel USG FLEX H-Series deteriorat sau nefuncțional într-o configurație de înaltă disponibilitate (HA), este esențial să urmați cele mai bune practici pentru a minimiza timpul de inactivitate și a restabili funcționalitatea HA în mod eficient. În timp ce înlocuirea unui dispozitiv defect implică, în esență, reconfigurarea de la zero a configurației HA, acest ghid prezintă pașii cheie, cele mai bune practici și nuanțele importante pentru a ajuta la eficientizarea procesului și evitarea capcanelor comune.

Iată un ghid pas cu pas pentru înlocuirea și reconstruirea HA într-un astfel de scenariu:

  • Aveți două firewall-uri USG FLEX H-Series (primar și secundar).
  • Dispozitivul "primar" defect va fi înlocuit cu o unitate nouă, funcțională, din același model.
  • Unitatea secundară/standby este încă funcțională și activă în prezent.

Topologia HA:

  • USG FLEX 500H - Site5(FLEX500HP_1) - Primary (Site-ul principal în care sunt înregistrate fizic toate dispozitivele de pe site-ul nostru și firewall-ul principal)
  • USG FLEX 500H - Site5(FLEX500HP_2) - Secundar (un site cu doar un dispozitiv firewall de rezervă înregistrat fizic)

Această configurare poate fi oarecum confuză, deoarece firewall-urile sunt înregistrate la site-uri diferite. Cu toate acestea, firewall-ul de pe site-ul secundar (de rezervă/pasiv) va apărea întotdeauna offline, în timp ce firewall-ul de pe site-ul primar (principal) va apărea în mod constant ca fiind online, indiferent de firewall-ul care gestionează traficul în mod activ la un moment dat.

Să presupunem că firewall-ul primar înregistrat la site-ul principal a eșuat, iar firewall-ul de rezervă (secundar) gestionează în prezent tot traficul. În acest caz, trebuie să înlocuim firewall-ul defect care este înregistrat la site-ul principal. Dar putem, de asemenea, să mutăm dispozitivul nostru pasiv în site-ul principal și să îl transformăm în site-ul principal și abia apoi să adăugăm noul nostru dispozitiv ca dispozitiv pasiv.

Pasul 1: Îndepărtați dispozitivul HA Peer defect

  • Deconectați fizic dispozitivul defect și scoateți-l din sistem.
  • Pe dispozitivul activ (funcțional), navigați la: Meniul din stânga > Sistem > Dispozitiv HA
    Dacă HA este activată în prezent, dar nu se poate sincroniza cu omologul defect, faceți clic pe Disable HA (Dezactivare HA).
  • Salvați și aplicați modificările pentru a finaliza acest pas.

Backup Configuration on the Active Device (nu este obligatoriu, dar este cea mai bună practică pentru a evita pierderea setărilor. În mod ideal, ar trebui să aveți întotdeauna o copie a configurației).

  • Conectați-vă la dispozitivul activ (de lucru).
  • Accesați Maintenance > File Manager > Configuration File.
  • Descărcați o ultimă configurație bună și de pornire a dispozitivului activ (în cazul în care ceva nu merge bine).

Pasul 2 - Pregătirea pentru HA a dispozitivului principal activ

În acest exemplu, vom proceda prin atribuirea dispozitivului activ în prezent la site-ul 1 ca dispozitiv primar. Dispozitivul de înlocuire (nou) va fi atribuit site-ului 2 ca dispozitiv de rezervă (secundar).

Deoarece am dezactivat HA pe dispozitivul activ în pașii anteriori, dispozitivul apare acum ca fiind online pe site-ul 2. După cum se arată în imaginea de mai jos, vom realoca acum acest dispozitiv la site-ul 1 și îl vom desemna ca dispozitiv primar.

În primul rând, trebuie să eliminăm firewall-ul deteriorat de pe site-ul principal.

În primul rând, trebuie să eliminăm firewall-ul deteriorat din site-ul principal. Atribuiți dispozitivul activ la site-ul principal, transformându-l astfel în cel principal.

Acum puteți verifica dacă dispozitivul anterior secundar a fost adăugat cu succes la site-ul principal și și-a asumat în mod natural rolul de dispozitiv principal.

Etapa 3 - Pregătirea pentru HA a dispozitivului pasiv

  • Deconectați și porniți dispozitivul nou/de înlocuire, dar nu îl conectați încă la rețea.
  • Asigurați-vă că versiunea firmware corespunde cu cea a dispozitivului activ (verificați la Maintenance > Firmware).
  • Dacă nu, actualizați firmware-ul.

Resetarea din fabrică a dispozitivului nou (dacă a fost utilizat anterior)

  • Țineți apăsat butonul RESET timp de ~10 secunde până când LED-ul SYS clipește în culoarea galbenă.
  • Lăsați dispozitivul să repornească complet.

Conectați și configurați noul dispozitiv de înlocuire

  • Conectați PC-ul la portul LAN al noului firewall.
  • De asemenea, veți avea nevoie de acces la internet pe noul dispozitiv pentru a-l înregistra și a-l adăuga la site-ul Nebul.
  • Conectați-vă folosind IP-ul implicit: 192.168.168.1 (admin / 1234).
  • Inițializați dispozitivul, iar în timpul procesului de inițializare, înregistrați dispozitivul în aceeași organizație.
  • Adăugați noul dispozitiv la al doilea site; noul dispozitiv va fi dispozitivul nostru de rezervă/secundar

Pasul 4 - Împerecheați din nou dispozitivele pentru HA

  • Pe dispozitivul primar, accesați > System >Device HA > HA Configuration
  • Faceți clic pe Enable HA și setați:
  • Pe dispozitivul secundar, mergeți la > System >Device HA > HA Configuration
  • Faceți clic pe Enable HA și setați (pe un dispozitiv pasiv, nu este necesar să efectuați nicio configurare HA, trebuie doar să activați această funcție):

De asemenea, rețineți că cablul heartbeat trebuie deconectat pentru moment.

Pasul 5 - Sincronizare și testare

  • Odată ce HA este activat pe ambele părți:
    • Primarul ar trebui să împingă configurația sa către noul dispozitiv.
    • Așteptați finalizarea sincronizării. Aceasta poate dura câteva minute.
    • Verificați starea HA: Sistem > Dispozitiv HA > Jurnal HA

Pasul 6 - Procedura de testare a failover-ului:

Simularea defectării sistemului primar
Opriți temporar sau deconectați sistemul primar de la WAN pentru a simula un scenariu de defecțiune.

Verificarea preluării sistemului secundar
Confirmați că sistemul secundar nou desemnat își asumă cu succes rolul primar fără întreruperea serviciului.

Restaurarea sistemului primar și validarea stării HA
Reporniți dispozitivul activ pentru a face din nou activ dispozitivul primar original. Verificați dacă starea de înaltă disponibilitate (HA) se normalizează și rolurile revin.

Dacă starea de sincronizare pare incorectă, în ciuda faptului că jurnalele și setările indică o funcționare corectă, puteți rezolva problema prin intermediul Consolei Web executând următoarea comandă:

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

Articole în această secțiune

A fost util acest articol?
0 din 0 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.