Firewall de înaltă disponibilitate [HA Pro] - Redeployarea dispozitivului HA Pro

Creat - Actualizat
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Notificare importantă:
Stimate client, vă rugăm să fiți conștient de faptul că folosim traducere automată pentru a furniza articole în limba dvs. locală. Este posibil ca nu toate textele să fie traduse cu acuratețe. Dacă există întrebări sau discrepanțe privind acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici: Versiunea originală

Acest articol oferă îndrumări privind redistribuirea HA-Pro atunci când acesta nu funcționează corect, adesea din cauza sloturilor incorecte de firmware sau a versiunilor diferite de firmware. Acesta subliniază necesitatea ca ambele dispozitive din configurarea dispozitivului HA-Pro să fie același model, înregistrate în același cont myZyxel.com și să aibă licențe sincronizate. Articolul prezintă pașii pentru configurarea de bază, implementarea primului și celui de-al doilea dispozitiv, verificarea stării și testarea failover-ului. De asemenea, se discută despre importanța asigurării consecvenței firmware-ului și se oferă sfaturi de depanare pentru problemele de sincronizare. Pentru asistență detaliată privind configurarea, utilizatorii sunt îndrumați către serviciile profesionale ale Zyxel.

Configurare de bază - Device HA Pro.

Topo (DeviceHA-Pro)

mceclip1.png

În Device HA Pro, este adăugată o "legătură heartbeat" pentru monitorizarea stării interfeței și sincronizarea setărilor.

Comportamentul Device HA Pro include o legătură heartbeat pentru monitorizarea stării interfeței dispozitivului "activ". Dacă una dintre interfețele monitorizate este moartă sau eșuează, starea dispozitivului "pasiv" va deveni "activ".(Aceasta înseamnă că starea unui singur dispozitiv poate fi "activ" în același timp).

Legătura Heartbeat
Portul Heartbeat este un nou port fizic pe dispozitiv (fixat în Firmware last Port al dispozitivului HA-Pro acceptat). După ce ați activat dispozitivul HA Pro, dispozitivele vor transmite pachete multicast (UDP 694) pentru a verifica starea fiecărui dispozitiv. Atunci când dispozitivul pasiv funcționează corect, lumina LED a sistemului va fi aprinsă. Doar lumina LED a portului heartbeat poate fi aprinsă.

Informații importante: Ambele dispozitive trebuie să fie același model și înregistrate în același cont myZyxel.com. Licențele trebuie să fie transferate pe dispozitivul activ. Atunci când firewall-ul activ se defectează, fiecare licență va fi transferată automat la firewall-ul pasiv.

Ce poate merge prost? De ce nu pot vedea starea corectă a licenței de pe serverul myzyxel.com?
În setările Device-HA Pro, există o funcție "Numărul de serie al dispozitivului licențiat pentru sincronizarea licențelor". Trebuie să introduceți S/N-ul dispozitivului cu licențe. Astfel, puteți transfera toate licențele la dispozitivul "Activate" și introduceți S/N-ul acestui dispozitiv în cadru.

Notă: Licența predefinită Gold Security Pack de un an a gateway-urilor ATP nu este transferabilă. Pentru implementarea Device HA, vă rugăm să contactați asistența Zyxel din țara/regiunea dvs. pentru a vă ajuta să transferați licențele. Informații despre licențe puteți găsi aici: Device HA Pro - Am nevoie de toate licențele de două ori pentru o soluție HA (high-availability)?

Instalarea de bază o puteți găsi aici: Instalarea de bază - Device HA Pro

Înainte de redistribuirea dispozitivului HA-Pro

(1) Transferați toate licențele către dispozitivul primar. Acest lucru ajută la evitarea renumărării licențelor de către sistem de fiecare dată.
(2) Activați funcția de verificare a conectivității pe interfețele monitorizate. Atunci când o interfață nu primește niciun răspuns de la serverul de la distanță pentru o anumită perioadă de timp, dispozitivul va considera că starea interfeței este defectă. Apoi, funcția Device HA Pro va schimba starea interfeței.

  1. Faceți o copie de rezervă a configurației curente a dispozitivului DeviceA (Active) .
  2. Asigurați-vă că dispozitivul B (pasiv) este resetat la setările implicite
  3. Pe dispozitivul B, versiunea de firmware care rulează trebuie să fie aceeași cu cea a dispozitivului A.
  4. Pe dispozitivul B, partiția firmware-ului care rulează trebuie să fie în aceeași poziție ca dispozitivul A.
  5. Confirmați că numărul de serie al dispozitivului A este introdus pe pagina HA-Pro.

mceclip10.png

Mergeți la Configuration> Device HA>DeviceHA-Pro

mceclip2.png

Apoi Progress configurează setările HA

Notă! IP-ul Device Management și subrețelele locale nu pot fi aceleași!

Deplasați primul dispozitiv

  • Configurați setările HA Pro (IP de gestionare, interfață de monitorizare, licență)
  • Online ca dispozitiv activ

4. Deplasați al doilea dispozitiv

  • Versiunea firmware care rulează trebuie să fie aceeași cu cea a primului dispozitiv
  • Partiția firmware-ului care rulează trebuie să aibă aceeași poziție ca și primul dispozitiv

Partiția de execuție a primului dispozitiv este partiția 1, atunci partiția de execuție a celui de-al doilea dispozitiv trebuie să fie partiția 1.

  • Configurați setările HA-pro pe interfața grafică (faceți clic numai pe 2 butoane)

Pe primul dispozitiv pasiv:

mceclip3.png


Pe al doilea dispozitiv activ:

mceclip4.png

Conectați consola pe ambele dispozitive

  • Conectați legătura portului heartbeat și așteptați sincronizarea completă.

Notă: este nevoie de timp (peste 10 minute) pentru prima sincronizare completă a configurației

Cum să verificați dacă sincronizarea completă este finalizată fără probleme,

Pe consola dispozitivului pasiv, veți vedea portul fizic (PC-ul conectat)

1st down: după ce ați activat HA-pro pentru dispozitiv

1st up: începeți să aplicați sincronizarea configurației de la dispozitivul activ

Al doilea în jos: aproape finalizați sincronizarea

mceclip5.png

Apoi puteți merge la consola dispozitivului activ pentru a tasta CLI

# show device-ha2 passive device-status

Până când obțineți informațiile despre dispozitivul pasiv.

mceclip6.png

Apoi mergeți înapoi la consola dispozitivului pasiv pentru a tasta CLI

# show device-ha2 sync summary

mceclip7.png

Este foarte important ca starea [ZySH Startup Configuration] să fie reușită fără nicio problemă, iar ultima linie starea Device HA Sync să fie, de asemenea, reușită.

Atenție:

Orice eșec, vă rugăm să deconectați toate legăturile. Apoi resetați dispozitivul la setările din fabrică și încercați din nou.

Nu copiați fișierul de configurare de pe primul dispozitiv și nu îl încărcați pe al doilea dispozitiv pentru implementare.

  • Conectați restul legăturilor

Testați failover-ul

Puteți utiliza CLI de depanare pe dispozitivul activ pentru a simula evenimentul de cădere a interfeței.

Astfel încât să declanșați failover-ul către dispozitivul pasiv.

# debug device-ha2 send linkdown

Verificarea stării sincronizării prin interfața web:

mceclip11.png

CONFIGURATION > Device HA > View log trebuie să existe Synchronize complete.

mceclip12.png

Sau verificați prin CLI: Check the detail synchronization status on the device

show device-ha2 sync summary

mceclip14.png

Este foarte important ca ultima intrare referitoare la starea sincronizării Device HA să menționeze că aceasta a reușit.

Eșecul sincronizării

mceclip15.png

Notă: Există 2 metode de a forța sincronizarea configurației complete. În funcție de locul în care o inițiați, comanda va varia.
Pe dispozitivul pasiv: Router# device-ha2 sync_from_active
Pe dispozitivul activ: Router# device-ha2 sync_to_passive

Atunci când efectuați o actualizare a firmware-ului, dispozitivul pasiv va actualiza firmware-ul mai întâi și apoi va reporni.
După repornirea dispozitivului pasiv, acesta va efectua imediat o sincronizare completă a configurației.
Sincronizarea va eșua deoarece firmware-ul dispozitivului pasiv este diferit de cel al dispozitivului activ.
Acesta este un comportament normal și puteți ignora jurnalele de sincronizare eșuată în acest caz.

Configurarea de bază a HA Pro o puteți găsi aici: Dispozitiv HA Pro Setup

Asistență pentru configurare, sunteți în căutarea unei configurații asistate de echipa noastră de servicii profesionale? Vă rugăm să verificați aici: Zyxel ConfigService Securitate

Articole în această secțiune

Vizualizați mai mult
A fost util acest articol?
1 din 3 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.