Firewall High Availability [HA Pro] - Configurarea dispozitivului HA Pro

Creat - Actualizat
Serhii Boiarynov
Nu este încă urmărit de nimeni
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Notificare importantă:
Stimate client, vă rugăm să fiți conștient de faptul că folosim traducere automată pentru a furniza articole în limba dvs. locală. Este posibil ca nu toate textele să fie traduse cu acuratețe. Dacă există întrebări sau discrepanțe cu privire la acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici: Original Version

Device HA Pro este un serviciu care este utilizat pentru a oferi redundanță de rețea pentru a reduce potențialele perioade de nefuncționare și nu necesită licențe suplimentare pentru a activa acest serviciu. În plus, Device HA Pro sincronizează fișierul de configurare, timpul de funcționare al dispozitivului, sesiunile TCP (IPv4/IPv6), sesiunile VPN IPSec, informațiile I/O, tabelul DHCP, tabelul IP/MAC Binding și starea licenței. Dispozitivul asociat cu instalarea Device HA Pro va juca un rol activ sau pasiv. Dispozitivul activ va primi toate modificările de configurare efectuate la instalare și va fi responsabil pentru trimiterea informațiilor către dispozitivul pasiv. Dispozitivul care își asumă rolul pasiv va primi modificările de configurare de la dispozitivul activ și își va asuma rolul activ dacă dispozitivul activ curent se află în una dintre următoarele stări.

Informații importante: Ambele dispozitive trebuie să fie același model și înregistrate în același cont myZyxel.com. Licențele trebuie să fie transferate pe dispozitivul activ. Atunci când firewall-ul activ se defectează, fiecare licență va fi transferată automat la firewall-ul pasiv.

Înainte de configurarea Device HA Pro, este important să faceți următoarele.

  1. Dispozitivul pasiv trebuie să aibă conectat de la început NUMAI un PC cu acces la GUI Web și FĂRĂ cablu heartbeat
  2. Dispozitivul pasiv trebuie să fie RESET și să aibă același firmware ca dispozitivul activ înainte ca configurarea HA Pro să poată avea loc.
  3. Firewall-ul pasiv trebuie să fie înregistrat MyZyxel.
  4. Așteptați ca lumina sys să clipească (stare pasivă) înainte de a conecta restul cablurilor.
  5. Atunci când configurați cu succes un HA Pro, nu ar trebui să existe timpi morți la împerecherea dispozitivelor
  6. Potriviți versiunile firmware atât pe partițiile primului dispozitiv, cât și pe cele ale celui de-al doilea dispozitiv.

Ce poate să meargă prost? De ce nu pot vedea starea corectă a licenței de pe serverul myzyxel.com?
În setarea Device-HA Pro, există o funcție "Numărul de serie al dispozitivului licențiat pentru sincronizarea licenței". Trebuie să introduceți S/N-ul dispozitivului care are licențe. Astfel, puteți transfera toate licențele către dispozitivul "Activate" și introduceți S/N-ul acestui dispozitiv în cadru.

Notă: Licența implicită Gold Security Pack de un an a gateway-urilor ATP nu este transferabilă. Pentru implementarea dispozitivului HA, vă rugăm să contactați asistența Zyxel din țara/regiunea dvs. pentru a vă ajuta să transferați licențele. Licență

Cum să contactați echipa de asistență pentru transferul licenței, vă rugăm să verificați aici: Cum să contactați echipa de asistență?

Prezentare generală

Funcția Device HA acționează ca un failover atunci când unul dintre firewall-urile din rețea este mort sau nu poate accesa internetul. În Device HA Pro este adăugată o "legătură de bătaie a inimii" pentru monitorizarea stării interfeței și sincronizarea setărilor.

Untitled.png

Configurarea dispozitivului activ

Pentru a configura funcția Device HA Pro, vă rugăm să vă conectați la interfața web a firewall-urilor Zyxel și să navigați la:

Configuration -> Device HA -> Device HA Pro

Ultimul port RJ45 fizic de pe firewall-ul Zyxel este portul Device HA Management (portul Heartbeat). Vă rugăm să vă asigurați că acest port nu face parte dintr-o interfață LAG, VLAN sau bridge.

Pași:
- Debifați opțiunea "Enable Configuration Provisioning From Active Device".
- Verificați dacă numărul de serie este S/N-ul dispozitivului primar.
- Furnizați o adresă IP pentru dispozitivul activ. (Trebuie să fie o adresă care să nu fie utilizată cu niciuna dintre interfețele curente)
- Furnizați o adresă IP pentru dispozitivul pasiv. (în aceeași subrețea ca mai sus)
- Furnizați o mască de subrețea.
- Creați o parolă de sincronizare.
- Selectați interfețele de monitorizare din lista disponibilă și mutați-le în lista de membri.
- Configurați setările dorite pentru Failover Detection.
- Faceți clic pe butonul "Apply & switch to Device HA Pro".

Mergeți din nou la fila Device HA pentru a activa funcția Device HA pe firewall-ul activ.
- Verificați dacă Device HA Mode este setat la "Device HA Pro".
- Bifați căsuța "Enable Device HA".
- Faceți clic pe butonul "Apply" din partea de jos a ecranului pentru a salva setările.

Configurarea dispozitivului pasiv

Notă! Conectați numai PC-ul la firewall-ul pasiv atunci când configurați HA Pro. După ce ați configurat HA Pro și aveți același firmware ca dispozitivul activ, atunci puteți conecta cablul heartbeat (DOAR!). După ce dispozitivul a pornit și vedeți LED-ul SYS aprins și doar LED-ul portului Heartbeat aprins, puteți conecta restul porturilor.
Pentru a configura dispozitivul pasiv, vă rugăm să vă conectați computerul la al doilea firewall Zyxel și să accesați interfața web

 Configuration -> Device HA -> Device HA Pro

- Asigurați-vă că opțiunea "Enable Configuration Provisioning From Active Device" este bifată.
- Verificați dacă Device HA Mode este setat la "Device HA Pro".
- Bifați căsuța "Enable Device HA".
- Faceți clic pe butonul "Apply" din partea de jos a ecranului pentru a salva setările.

Conectați un cablu Ethernet la portul Heartbeat (ultimul port fizic) de pe ambele dispozitive și acordați aproximativ 5 minute pentru ca dispozitivele să sincronizeze toate setările. În acest moment, funcția Device HA Pro este configurată și orice modificări efectuate la firewall-ul primar (activ) se vor sincroniza cu firewall-ul secundar (pasiv).

Notă: Asigurați-vă că activați "Connectivity Check" pentru conexiunea (conexiunile) WAN. Activarea acestei opțiuni va permite firewall-ului Zyxel să testeze accesul la internet și să comute pe conexiunea secundară la internet a dispozitivului pasiv dacă nu reușește pe dispozitivul activ.

Pentru modul On-Premises cu funcția High Available (HA) activată, vă rugăm să NU utilizați actualizarea firmware în cloud. Va trebui să urmați o procedură diferită pentru a finaliza actualizarea firmware-ului; vă rugăm să citiți SOP. * Modele și versiuni aplicabile: USG FLEX 500/700, ATP500/700/800 cu ZLD5.20 până la ZLD5.21 Patch1.

Dispozitiv HA - Actualizarea firmware-ului se blochează / blocat la încărcare - Cum se remediază?

Sfaturi pentru depanare

1. Sincronizarea poate eșua cu mesajele de pe dispozitivul pasiv

The sync can fails with the messages on Passive device:
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Device HA Sync has filed when syncing Firmware Version due to bad 'Sync From' or 'Sync Port'.

Un motiv posibil poate fi serviciul FTP de pe un dispozitiv activ are anumite restricții, astfel încât cel pasiv nu îl poate accesa.

Exemplu de configurare greșită:

2. Dispozitivele nu se sincronizează

  • Asigurați-vă că ambele dispozitive rulează aceeași revizuire a firmware-ului. Ambele trebuie să ruleze aceeași versiune de firmware pentru sincronizare.
  • Asigurați-vă că ambele dispozitive rulează același slot/bancă de firmware. Dacă dispozitivul principal rulează slotul de firmware 1 și slotul 2 este în standby, a doua unitate trebuie să ruleze, de asemenea, slotul 1, iar slotul 2 este în standby.
  • Asigurați-vă că numai portul Heartbeat (ultimul port RJ46 de pe aparat [ex: P7]) este conectat la dispozitivul principal în primele 5 minute după activarea funcției Device HA Pro. Dacă ambele dispozitive sunt conectate la o rețea activă în același timp, acest lucru poate cauza probleme de rutare, bucle și coliziuni care afectează rețeaua.

3. Imposibilitatea de a accesa dispozitivul pasiv

    • Vă rugăm să vă asigurați că dispozitivele au terminat sincronizarea. Procesul inițial de sincronizare poate dura până la 5 minute.
    • Utilizați adresa IP pe care ați configurat-o în meniul Device HA Pro pentru "Passive Device Management IP".

4. Am efectuat modificări pe dispozitivul pasiv, dar acestea nu sunt sincronizate pe dispozitivul principal.

    • Odată ce Device HA Pro este configurat, orice modificare a configurației de rețea trebuie efectuată pe dispozitivul principal/primar. Dispozitivul pasiv este doar un sclav și modificările efectuate aici nu vor fi aplicate pe dispozitivul primar/master.

5. Licența/serviciul SecuReporter este activ pe firewall, dar dispozitivul nu poate fi găsit în SecuReporter

    • Atunci când dispozitivul principal a trecut la dispozitivul pasiv și apoi licența SecuReporter este activată, este posibil să observați că licența nu se sincronizează în SecuReporter, chiar dacă pe GUI-ul firewall-ului scrie "activ/activat". Trebuie să activați din nou dispozitivul principal, apoi să eliminați dispozitivul și organizația de pe SecuReporter și să reactivați serviciul SecuReporter pe dispozitivul principal

Există și alte probleme, vă rugăm să efectuați o redistribuire a Device HA Pro, consultați aici Device HA Pro redeploy

Articole în această secțiune

Vizualizați mai mult
A fost util acest articol?
2 din 3 au considerat acest conținut util
Partajare