Firewall High Availability HA Pro - Configurare Device HA Pro

Creat - Actualizat
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Device HA Pro este un serviciu utilizat pentru a oferi redundanță în rețea pentru a reduce timpul potențial de nefuncționare și nu necesită licențe suplimentare pentru activarea acestui serviciu. În plus, Device HA Pro sincronizează fișierul de configurare, timpul de funcționare al dispozitivului, sesiunile TCP (IPv4/IPv6), sesiunile IPSec VPN, informațiile I/O, tabela DHCP, tabela de legare IP/MAC și starea licenței. Dispozitivul asociat cu instalarea Device HA Pro va juca fie un rol activ, fie unul pasiv. Dispozitivul activ va primi toate modificările de configurare făcute în setare și va fi responsabil pentru trimiterea informațiilor către dispozitivul pasiv. Dispozitivul care preia rolul pasiv va primi modificările de configurare de la dispozitivul activ și va prelua rolul activ dacă dispozitivul activ curent se află într-una dintre următoarele stări.

Informații importante: Ambele dispozitive trebuie să fie același model și înregistrate în același cont myZyxel.com. Licențele trebuie transferate către dispozitivul activ. Când firewall-ul activ eșuează, toate licențele vor fi transferate automat către firewall-ul pasiv.

Înainte de a configura Device HA Pro, este important să faceți următoarele.

  1. Dispozitivul pasiv ar trebui să aibă DOAR un PC conectat cu acces la interfața Web GUI și FĂRĂ cablu heartbeat de la început
  2. Dispozitivul pasiv trebuie RESETAT și să aibă aceeași versiune de firmware ca dispozitivul activ înainte de a putea configura HA Pro.
  3. Firewall-ul pasiv trebuie să fie înregistrat în MyZyxel.
  4. Așteptați ca LED-ul sys să clipească (stare pasivă) înainte de a conecta restul cablurilor.
  5. La configurarea cu succes a HA Pro, nu ar trebui să existe timp de nefuncționare la asocierea dispozitivelor
  6. Potriviți versiunile de firmware pe ambele partiții ale Primului Dispozitiv și al Celui de-al Doilea Dispozitiv.

Ce poate merge prost? De ce nu pot vedea starea corectă a licenței de pe serverul myzyxel.com?
În setarea Device-HA Pro, există o funcție „Numărul serial al dispozitivului licențiat pentru sincronizarea licențelor”. Trebuie să introduceți S/N-ul dispozitivului care are licențele. Astfel puteți transfera toate licențele către dispozitivul „Activ”, introducând S/N-ul acestui dispozitiv în câmp.

Notă: Licența Gold Security Pack inclusă implicit pentru un an pentru gateway-urile ATP nu este transferabilă. Pentru implementarea Device HA, vă rugăm contactați suportul Zyxel din țara/regiunea dumneavoastră pentru a vă ajuta cu transferul licențelor. Licența

Cum să contactați echipa de suport pentru transferul licențelor, verificați aici: Cum să contactați echipa de suport?

Prezentare generală

Funcția Device HA acționează ca un failover atunci când unul dintre firewall-urile din rețea este oprit sau nu poate accesa internetul. În Device HA Pro este adăugat un „link heartbeat” pentru monitorizarea stării interfeței și sincronizarea setărilor.

Untitled.png

 

Configurarea dispozitivului activ

Pentru a configura funcția Device HA Pro, vă rugăm să vă conectați la interfața web a firewall-urilor Zyxel și să navigați la:

Configuration -> Device HA -> Device HA Pro

Ultimul port fizic RJ45 de pe firewall-ul Zyxel este portul de management Device HA (Port Heartbeat). Vă rugăm să vă asigurați că acest port nu face parte dintr-un LAG, VLAN sau interfață bridge.

Pași:
• Debifați opțiunea „Enable Configuration Provisioning From Active Device”.
• Verificați că numărul serial este S/N-ul dispozitivului principal.
• Introduceți o adresă IP pentru Dispozitivul Activ. (Trebuie să fie o adresă neutilizată de niciuna dintre interfețele curente)
• Introduceți o adresă IP pentru Dispozitivul Pasiv. (în aceeași subrețea ca mai sus)
• Introduceți o mască de subrețea.
• Creați o parolă de sincronizare.
• Selectați interfețele de monitorizat din lista disponibilă și mutați-le în lista membrilor.
• Configurați setările dorite pentru Detectarea Failover.
• Apăsați butonul „Apply & switch to Device HA Pro”.

Accesați din nou fila Device HA pentru a activa funcția Device HA pe firewall-ul activ.
• Verificați că modul Device HA este setat pe „Device HA Pro”.
• Bifați caseta „Enable Device HA”.
• Apăsați butonul „Apply” din partea de jos a ecranului pentru a salva setările.

Configurarea dispozitivului pasiv

Notă! Conectați PC-ul doar la firewall-ul pasiv în timpul configurării HA Pro. După ce ați configurat HA Pro și aveți același firmware ca dispozitivul activ, atunci puteți conecta cablul heartbeat (DOAR!). După ce dispozitivul a pornit și vedeți LED-ul SYS și doar LED-ul portului heartbeat aprins, puteți conecta restul porturilor.
Pentru a configura dispozitivul pasiv, conectați calculatorul la al doilea firewall Zyxel și accesați interfața web

 Configuration -> Device HA -> Device HA Pro

• Asigurați-vă că opțiunea „Enable Configuration Provisioning From Active Device” este bifată.
• Verificați că modul Device HA este setat pe „Device HA Pro”.
• Bifați caseta „Enable Device HA”.
• Apăsați butonul „Apply” din partea de jos a ecranului pentru a salva setările.

Conectați un cablu Ethernet la Portul Heartbeat (ultimul port fizic) pe ambele dispozitive și așteptați aproximativ 5 minute pentru ca dispozitivele să sincronizeze toate setările. În acest moment, funcția Device HA Pro este configurată și orice modificări făcute pe firewall-ul primar (activ) vor fi sincronizate cu firewall-ul secundar (pasiv).

Notă: Vă rugăm să vă asigurați că opțiunea „Connectivity Check” este activată pentru conexiunea(e) WAN. Activarea acestei opțiuni va permite firewall-ului Zyxel să testeze accesul la internet și să comute la conexiunea secundară de internet a dispozitivului pasiv dacă conexiunea activă eșuează.

Pentru modul On-Premises cu funcția High Available (HA) activată, vă rugăm să NU folosiți upgrade-ul firmware-ului prin cloud. Va trebui să urmați o procedură diferită pentru a finaliza upgrade-ul firmware-ului; vă rugăm să citiți SOP. * Modele și versiuni aplicabile: USG FLEX 500/700, ATP500/700/800 cu ZLD5.20 până la ZLD5.21 Patch1. 

Sfaturi pentru depanare

1. Sincronizarea poate eșua cu mesajele pe dispozitivul pasiv

Sincronizarea poate eșua cu mesajele pe dispozitivul pasiv:
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Device HA Sync has filed when syncing Firmware Version due to bad 'Sync From' or 'Sync Port'.

Un motiv posibil poate fi că serviciul FTP pe dispozitivul activ are unele restricții, astfel încât dispozitivul pasiv nu poate accesa serviciul.

Exemplu de configurare greșită:

2. Dispozitivele nu se sincronizează

  • Asigurați-vă că ambele dispozitive rulează aceeași versiune de firmware. Ambele trebuie să ruleze aceeași versiune de firmware pentru a se sincroniza.
  • Asigurați-vă că ambele dispozitive rulează din aceeași bancă/slot de firmware. Dacă dispozitivul principal rulează slotul 1 de firmware și slotul 2 este în standby, al doilea dispozitiv trebuie să ruleze de asemenea slotul 1 cu slotul 2 în standby.
  • Asigurați-vă că doar portul Heartbeat (ultimul port RJ45 pe dispozitiv [ex: P7]) este conectat la dispozitivul principal pentru primele 5 minute după activarea funcției Device HA Pro. Dacă ambele dispozitive sunt conectate simultan la o rețea activă, acest lucru poate cauza probleme de rutare, bucle și coliziuni care afectează rețeaua.

 3. Nu se poate accesa dispozitivul pasiv

  1.  
    • Vă rugăm să vă asigurați că dispozitivele au terminat sincronizarea. Procesul inițial de sincronizare poate dura până la 5 minute.
    • Folosiți adresa IP configurată în meniul Device HA Pro pentru „Passive Device Management IP”.

4. Am făcut modificări pe dispozitivul pasiv, dar acestea nu se sincronizează cu Master-ul.

  •  
    • Odată ce Device HA Pro este configurat, orice modificare a configurației rețelei trebuie făcută pe dispozitivul Master/Primar. Dispozitivul pasiv este doar un dispozitiv secundar și modificările făcute aici nu vor fi aplicate pe dispozitivul Primar/Master.

5. Licența/serviciul SecuReporter este activ pe firewall, dar dispozitivul nu poate fi găsit în SecuReporter

  •  
    • Când dispozitivul master a trecut pe dispozitivul pasiv și apoi licența SecuReporter este activată, este posibil să întâmpinați faptul că licența nu se sincronizează în SecuReporter, chiar dacă apare ca „activ/activat” în interfața firewall-ului. Trebuie să faceți din nou dispozitivul primar activ, apoi să eliminați dispozitivul și organizația din SecuReporter și să reactivați serviciul SecuReporter pe dispozitivul primar.

 

Există și alte probleme, vă rugăm să faceți o reimplementare a Device HA Pro, vedeți aici Reimplementare Device HA Pro

 

Articole în această secțiune

Vizualizați mai mult
A fost util acest articol?
2 din 3 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.