Firewall High Availability HA Pro - Redeploy Device HA Pro

Creat - Actualizat
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Acest articol oferă îndrumări pentru redeployarea HA-Pro atunci când nu funcționează corect, adesea din cauza sloturilor firmware incorecte sau a versiunilor diferite de firmware. Se subliniază necesitatea ca ambele dispozitive din configurația Device HA Pro să fie același model, înregistrate sub același cont myZyxel.com și să aibă licențe sincronizate. Articolul descrie pașii pentru configurarea de bază, implementarea primului și celui de-al doilea dispozitiv, verificarea stării și testarea failover-ului. De asemenea, discută importanța asigurării consistenței firmware-ului și oferă sfaturi pentru depanarea problemelor de sincronizare. Pentru asistență detaliată în configurare, utilizatorii sunt îndrumați către serviciile profesionale Zyxel.

Configurare de bază - Device HA Pro.

Topo (DeviceHA-Pro)

mceclip1.png

În Device HA Pro, se adaugă un „link heartbeat” pentru monitorizarea stării interfeței și sincronizarea setărilor.

Comportamentul Device HA Pro include un link heartbeat pentru monitorizarea stării interfeței dispozitivului „activate”. Dacă una dintre interfețele monitorizate este inactivă sau eșuează, starea dispozitivului „passive” va deveni „activate”. (Aceasta înseamnă că doar starea unui singur dispozitiv poate fi „activate” în același timp.)

Link Heartbeat
Portul heartbeat este un port fizic nou pe dispozitiv (fix în Firmware pe ultimul port al dispozitivului HA-Pro suportat). După ce ați activat Device HA Pro, dispozitivele vor transmite pachete multicast (UDP 694) pentru a verifica starea fiecărui dispozitiv. Când dispozitivul pasiv funcționează corect, LED-ul sistemului va fi aprins. Doar LED-ul portului heartbeat poate fi aprins.

Informații importante: Ambele dispozitive trebuie să fie același model și înregistrate în același cont myZyxel.com. Licențele trebuie transferate către dispozitivul activ. Când firewall-ul activ eșuează, fiecare licență va fi transferată automat către firewall-ul pasiv.

Ce poate merge greșit? De ce nu se poate vedea starea corectă a licenței de pe serverul myzyxel.com?
În setarea Device-HA Pro, există o funcție „Numărul de serie al dispozitivului licențiat pentru sincronizarea licențelor”. Trebuie să introduceți numărul de serie (S/N) al dispozitivului cu licențe. Astfel, puteți transfera toate licențele către dispozitivul „Activate” și introduceți S/N-ul acestui dispozitiv în câmp.

Notă: Licența Gold Security Pack de un an inclusă implicit pentru gateway-urile ATP nu este transferabilă. Pentru implementarea Device HA, vă rugăm să contactați suportul Zyxel din țara/regiunea dumneavoastră pentru a vă ajuta cu transferul licențelor.

Instalarea de bază o puteți găsi aici: Configurare de bază - Device HA Pro

Înainte de a redeploya HA-Pro

(1) Transferați toate licențele către dispozitivul principal. Acest lucru ajută la evitarea recalculelor sistemului pentru licențe de fiecare dată.
(2) Activați funcția de verificare a conectivității pe interfețele monitorizate. Când o interfață nu primește niciun răspuns de la serverul la distanță pentru o anumită perioadă, dispozitivul va considera starea interfeței ca fiind eșuată. Atunci funcția Device HA Pro va schimba starea interfeței.

  1. Asigurați-vă că DeviceB (Passive) este resetat la setările implicite.
  2. Pe Device B, versiunea de firmware rulată trebuie să fie aceeași cu cea de pe Device A.
  3. Pe Device B, partiția firmware-ului rulant trebuie să fie în aceeași poziție ca pe Device A.
  4. Confirmați că numărul de serie al Device A este introdus pe pagina HA-Pro.

mceclip10.png

Accesați Configuration > Device HA > Device HA-Pro

mceclip2.png

Apoi continuați configurarea setărilor HA

Notă! IP-ul de management al dispozitivului și subrețelele locale nu pot fi identice!

Implementați primul dispozitiv

  • Configurați setările HA Pro (IP management, interfață monitor, licență)
  • Conectați-l online ca dispozitiv activ

4. Implementați al doilea dispozitiv

  • Versiunea de firmware rulantă trebuie să fie aceeași cu a primului dispozitiv
  • Partiția firmware-ului rulant trebuie să fie în aceeași poziție ca a primului dispozitiv

Partiția rulantă a primului dispozitiv este partiția 1, atunci partiția rulantă a celui de-al doilea dispozitiv trebuie să fie partiția 1.

  • Configurați setările HA-pro în GUI (doar 2 click-uri)

Mai întâi pe dispozitivul pasiv:

mceclip3.png


Apoi pe dispozitivul activ:

mceclip4.png

Conectați consola pe ambele dispozitive

  • Conectați link-ul portului heartbeat și așteptați sincronizarea completă.

Notă: sincronizarea completă a configurației pentru prima dată durează timp (peste 10 minute)

 

Cum să verificați dacă sincronizarea completă s-a terminat fără probleme,

Pe consola dispozitivului pasiv, veți vedea portul fizic (la care este conectat PC-ul)

1st down: după ce activați device HA-pro

1st up: începe aplicarea sincronizării configurației de pe dispozitivul activ

2nd down: sincronizarea este aproape finalizată

mceclip5.png

Apoi puteți merge la consola dispozitivului activ și tastați CLI

# show device-ha2 passive device-status

Până când primiți informațiile despre dispozitivul pasiv.

mceclip6.png

Apoi reveniți la consola dispozitivului pasiv și tastați CLI

# show device-ha2 sync summary

mceclip7.png

Este foarte important ca starea [ZySH Startup Configuration] să fie reușită fără nicio problemă, iar ultima linie cu starea Device HA Sync să fie de asemenea reușită.

Atenție:

Dacă apare vreo eroare, vă rugăm să deconectați toate legăturile. Apoi resetați dispozitivul la setările din fabrică și încercați din nou.

Nu copiați fișierul de configurație de pe primul dispozitiv și să-l încărcați pe al doilea pentru implementare.

  • Conectați restul legăturilor

Testați failover-ul

Puteți folosi debug CLI pe dispozitivul activ pentru a simula evenimentul de interfață jos.

Pentru a declanșa failover-ul către dispozitivul pasiv.

# debug device-ha2 send linkdown <numele interfeței>

Verificarea stării sincronizării prin Interfața Web:

mceclip11.png

CONFIGURATION > Device HA > Vizualizați jurnalul, trebuie să apară Synchronize complete.

mceclip12.png

Sau verificați prin CLI: Verificați detaliile stării sincronizării pe dispozitiv

show device-ha2 sync summary

mceclip14.png

Este foarte important ca ultima intrare referitoare la starea Device HA Sync să indice că a reușit.

Eșecul sincronizării

mceclip15.png

Notă: Există 2 metode de a forța sincronizarea completă a configurației. În funcție de locul de unde inițiați, comanda va varia.
Pe dispozitivul pasiv: Router# device-ha2 sync_from_active
Pe dispozitivul activ: Router# device-ha2 sync_to_passive

La efectuarea unei actualizări de firmware, dispozitivul pasiv va face upgrade-ul firmware-ului primul și apoi va reporni.
După repornirea dispozitivului pasiv, acesta va începe imediat o sincronizare completă a configurației.
Sincronizarea va eșua deoarece firmware-ul dispozitivului pasiv este diferit de cel al dispozitivului activ.
Acesta este un comportament normal și puteți ignora jurnalele de sincronizare eșuată în acest caz.

Configurarea de bază a HA Pro o puteți găsi aici: Configurare Device HA Pro

Articole în această secțiune

Vizualizați mai mult
A fost util acest articol?
1 din 3 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.