Zyxel USG FLEX H Series [HA] - Configurarea dispozitivului de înaltă disponibilitate (HA PRO)

Создан - Обновлено
Serhii Boiarynov
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. В случае возникновения вопросов или несоответствия точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

Решение Device HA (High Availability) (HA PRO) гарантирует непрерывное подключение к сети за счет использования пары брандмауэров, объединенных в активно-пассивную конфигурацию. В этой конфигурации активный брандмауэр обрабатывает трафик в нормальных условиях, а пассивный брандмауэр остается в режиме ожидания. Если активное устройство выходит из строя, пассивное устройство автоматически принимает на себя функции активного брандмауэра в течение нескольких секунд, обеспечивая минимальные сбои и бесперебойную работу сети.

Внедрение функции высокой доступности устройства

Следующие функции могут быть переданы вторичному устройству Zyxel, когда оно становится активным с помощью Device HA:
  • Запуск и работающая конфигурация
  • Сигнатуры
  • Device Insight
  • Список внешних блоков
  • Записи аренды DHCP
  • Двухфакторная аутентификация
  • Сертификаты
  • Лицензии, включая NCC, если применимо
  • Время работы устройства Zyxel

Требование

  • Для устройства HA требуется та же модель брандмауэра и должна быть установлена та же версия прошивки.
  • Оба устройства должны быть зарегистрированы в одной организации.
Версия микропрограммы Поддержка парной модели
Начиная с версии 1.31 USG FLEX 200H USG FLEX 200H
USG FLEX 200HP USG FLEX 200HP
USG FLEX 500H USG FLEX 500H
USG FLEX 700H USG FLEX 700H

Роли первичного и вторичного устройств

  • Роли основного и дополнительного устройств определяются перед развертыванием и остаются неизменными во время работы устройства.
  • Состояния активного и пассивного режимов могут динамически изменяться во время обхода отказа.

Порт сердцебиения

Устройство HA использует выделенный канал сердцебиения между активным и пассивным устройствами для синхронизации состояния и запуска обхода отказа и резервного копирования на пассивное устройство, если активное устройство перестает реагировать. На пассивном устройстве все порты отключены, кроме порта с каналом сердцебиения.
В следующем примере активное устройство Zyxel Device A подключено к пассивному устройству Zyxel Device B через выделенный канал связи, который используется для управления пульсом, синхронизации конфигурации и устранения неполадок. Все каналы связи на устройстве Zyxel Device B отключены, кроме выделенного канала сердцебиения.
  • Выделенный порт сердцебиения с прямым соединением между устройствами для мониторинга состояния друг друга
  • Порт сердцебиения для каждой модели заранее определен.

Необходимые условия для HA устройств

  • Убедитесь, что первичное и вторичное устройства соответствуют следующим требованиям:
  1. Одинаковая модель - Оба устройства должны быть USG FLEX 200H; разные модели (например, 200H против 200HP) не поддерживаются.
  2. Одинаковая прошивка - Должна использоваться одна и та же версия (uOS 1.31 или более поздняя).
  3. Одинаковая организация Nebula - оба устройства должны быть зарегистрированы в одной организации.
    • Назначьте первичное устройство сайту 1
    • Назначьте вторичный на сайт 2

Примечание: Настоятельно рекомендуется выполнить шаги по регистрации устройства на Nebula перед сопряжением HA.

  • Включить SSH - SSH должен быть включен на обоих устройствах (Система > SSH) с использованием порта 22 для синхронизации устройств HA.
  • IP-подсеть управления - поддерживается только 255.255.255.0.

Настройка Device HA

Чтобы настроить функцию Device HA, войдите в веб-интерфейс брандмауэров Zyxel и перейдите по адресу:

Set up Device HA on the active Zyxel Device in System > Device HA > HA Configuration.

Ответственно подойдите к выбору типа Mac-адреса, так как после активации HA этот параметр изменить нельзя. Для внесения дальнейших изменений необходимо деактивировать HA, внести изменения, а затем снова настроить HA.

Проверьте состояние HA в разделе Система > Устройство HA > Состояние HA.

Проверьте журнал HA активного устройства Zyxel Device в System > Device HA > HA Log

Настройте HA устройства на пассивном устройстве Zyxel Device в System > Device HA > HA Configuration.

Включить - Конфигурация HA (На этом этапе дальнейшие действия не требуются. После активации HA на пассивном устройстве отключите от него все сетевые подключения, а затем подключите кабель heartbeat от активного устройства к пассивному).

Предупреждение ВАЖНО: Включение высокой доступности (HA) на вторичном устройстве приведет к тому, что:
- Порты WAN/LAN устройства будут отключены.
- Выйдите из текущей сессии веб-интерфейса

Подключите кабель Heartbeat Ethernet между активным и пассивным устройствами Zyxel.

Проверьте состояние HA активного и пассивного устройств Zyxel в разделе Система > Устройство HA > Состояние HA.

Проверьте журналы на активном устройстве Zyxel Device в System > Device HA > HA Log.

При входе в устройство Zyxel Device после сопряжения Device HA появится баннер, показывающий, в активное или пассивное устройство Zyxel Device вы вошли.

Успех обхода отказа - журнал

Обработка ошибок

Брандмауэр обнаружит, если прошивка или модель устройства отличается

 Состояние "Сопряжение не удалось":
  • Невозможно правильно получить MAC/SN из сертификата
  • Регистрация устройства не удалась
  • Обнаружено несоответствие прошивки или модели устройства
  • Устройства принадлежат разным организациям
  • Несоответствие прав собственности на устройство
  • Устройство не приписано к сайту

Пример 1: Как проверить состояние HA устройства

usgflex500h> show state vrf main device-ha status
status
    enabled true
    pairing-state paired
    pairing-msg Paired
    ha-health-state connected
    local-state passive
    local-role primary
    active
        role secondary
        sn S212L4029XXXX
        icon-color on
        ..
    passive
        role primary
        sn S212L4029XXXX
        icon-color on
        ..
    ..
usgflex500h> show state vrf main device-ha summary
summary
    last-failover-epoch 1735296426
    last-failover-reason "Monitor interface link down"
    last-sync-epoch 1735296121
    last-sync-status Success
    ..

Пример 2: Принудительная полная синхронизация

[Активно]

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

[Пассивный]

usgflex500h> cmd device-ha force-sync full
This command can only be used on active device.

Пример 3: Как проверить состояние синхронизации?

[Пассивный]

usgflex700h> show state vrf main device-ha _debug sync-info
sync-info
    op-state passive
    msg "[Full sync(1024)] Received file sync event."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Full sync(1024)] Full sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
    msg "[Neoagent Certificate(8)] Neoagent Certificate sync start..."
    date 2024/12/30-11:13:37
    ..
sync-info
    op-state passive
cert_neoagent.tar.bz2 download success!"
    date 2024/12/30-11:13:37
    ..

Обратите внимание:
uOS 1.31 не позволяет пользователям применять конфигурацию в GUI, CLI и NCC live tool, когда устройство HA сопряжено.
Причина в том, чтобы избежать применения конфигурации, когда HA не активирована.


Статьи в этом разделе

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Поделиться