Zyxel USG FLEX H Series [HA] - Замена устройства или повторное развертывание HA (HA PRO)

Создан - Обновлено
Serhii Boiarynov
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в отношении точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

Для замены поврежденного или неработающего межсетевого экрана Zyxel USG FLEX H-Series в системе высокой доступности (HA) необходимо следовать лучшим практикам, чтобы минимизировать время простоя и эффективно восстановить функциональность HA. Хотя замена вышедшего из строя устройства, по сути, подразумевает изменение конфигурации HA-настройки с нуля, в этом руководстве описаны основные шаги, лучшие практики и важные нюансы, которые помогут упростить процесс и избежать распространенных ошибок.

Ниже приводится пошаговое руководство по замене и восстановлению HA в таком сценарии:

  • У вас есть два межсетевых экрана USG FLEX серии H (первичный и вторичный).
  • Неисправное "первичное" устройство будет заменено на новое, рабочее устройство той же модели.
  • Вторичное/резервное устройство продолжает функционировать и в настоящее время активно.

Топология HA:

  • USG FLEX 500H - Site5(FLEX500HP_1) - Primary (основной сайт, где физически зарегистрированы все устройства на нашем сайте, и главный брандмауэр)
  • USG FLEX 500H - Site5(FLEX500HP_2) - Secondary (Сайт, на котором физически зарегистрировано только резервное устройство брандмауэра)

Эта настройка может быть несколько запутанной, поскольку брандмауэры зарегистрированы на разных сайтах. Однако брандмауэр на вторичном (резервном/пассивном) сайте всегда будет отображаться как автономный, в то время как брандмауэр на первичном (основном) сайте будет постоянно отображаться как онлайн, независимо от того, какой брандмауэр активно обрабатывает трафик в каждый момент времени.

Предположим, что основной брандмауэр, зарегистрированный на главном сайте, вышел из строя, а резервный (вторичный) брандмауэр в настоящее время обрабатывает весь трафик. В этом случае нам нужно заменить вышедший из строя брандмауэр, зарегистрированный на главном сайте. Но мы также можем переместить наше пассивное устройство на главный сайт и сделать его главным, а только потом добавить наше новое устройство в качестве пассивного.

Шаг 1: Удаление поврежденного HA Peer

  • Физически отключите поврежденное устройство и удалите его из системы.
  • На активном (работающем) устройстве перейдите в: Левое меню > Система> Устройство HA
    Если функция HA включена, но не может синхронизироваться с поврежденным аналогом, нажмите Отключить HA.
  • Сохраните и примените изменения, чтобы завершить этот шаг.

Резервное копирование конфигурации на активном устройстве (это не является обязательным, но это лучшая практика, чтобы избежать потери настроек. В идеале у вас всегда должна быть копия конфигурации).

  • Войдите в систему на активном (рабочем) устройстве.
  • Перейдите в раздел Обслуживание > Диспетчер файлов > Файл конфигурации.
  • Загрузите последнюю и начальную конфигурацию активного устройства (на случай, если что-то пойдет не так).

Шаг 2 - Подготовка к HA активного ведущего устройства

В этом примере мы назначим активное устройство на сайт 1 в качестве основного устройства. Заменяющее (новое) устройство будет назначено на сайт 2 в качестве резервного (вторичного) устройства.

Поскольку мы отключили HA на активном устройстве в предыдущих шагах, устройство теперь отображается как онлайн на сайте 2. Как показано на изображении ниже, теперь мы переназначим это устройство на сайт 1 и назначим его основным устройством.

Сначала нам нужно удалить наш поврежденный брандмауэр с главного сайта.

Сначала нам нужно удалить поврежденный брандмауэр с главного сайта. Назначьте активное устройство на главный сайт, тем самым сделав его основным.

Теперь вы можете убедиться, что ранее вторичное устройство было успешно добавлено на главный сайт и естественным образом приняло на себя роль основного устройства.

Шаг 3 - Подготовка к HA пассивного устройства

  • Распакуйте и включите новое/заменяющее устройство, но пока не подключайте его к сети.
  • Убедитесь, что версия прошивки совпадает с версией прошивки активного устройства (проверьте в разделе Maintenance > Firmware).
  • Если нет, обновите прошивку.

Сбросьте заводские настройки нового устройства (если оно ранее использовалось).

  • Удерживайте кнопку RESET в течение ~10 секунд, пока светодиод SYS не начнет мигать янтарным цветом.
  • Дайте устройству полностью перезагрузиться.

Подключение и настройка нового сменного устройства

  • Подключите компьютер к порту LAN нового брандмауэра.
  • Вам также понадобится доступ к Интернету на новом устройстве, чтобы зарегистрировать его и добавить на сайт Nebul.
  • Войдите в систему, используя IP-адрес по умолчанию: 192.168.168.1 (admin / 1234).
  • Инициализируйте устройство и в процессе инициализации зарегистрируйте его в той же организации.
  • Добавьте новое устройство на второй сайт; новое устройство будет нашим резервным/вторичным устройством.

Шаг 4 - Повторное сопряжение устройств для HA

  • На основном устройстве перейдите в раздел > Система > Устройство HA > Конфигурация HA.
  • Нажмите Включить HA и установите:
  • На вторичном устройстве перейдите в раздел > Система > Устройства HA > Конфигурация HA.
  • Нажмите Enable HA и установите (на пассивном устройстве нет необходимости выполнять какие-либо настройки HA, просто активируйте эту функцию):

Также обратите внимание, что кабель сердцебиения должен быть пока отключен.

Шаг 5 - Синхронизация и тестирование

  • После включения HA на обеих сторонах:
    • Основное устройство должно передать свой конфиг на новое устройство.
    • Дождитесь завершения синхронизации. Это может занять несколько минут.
    • Проверьте состояние HA: Система > Устройство HA > Журнал HA

Шаг 6 - Процедура тестирования обхода отказа:

Имитация отказа основной системы
Временно отключите или отсоедините первичную систему от глобальной сети, чтобы смоделировать сценарий отказа.

Убедитесь, что вторичная система перешла на обслуживание
Убедитесь, что назначенная вторичная система успешно принимает роль первичной без перерыва в обслуживании.

Восстановление первичной системы и проверка состояния HA
Перезагрузите активное устройство, чтобы исходное первичное устройство снова стало активным. Убедитесь, что состояние высокой доступности (HA) нормализуется и роли возвращаются.

Если статус синхронизации отображается некорректно, несмотря на то, что журналы и настройки указывают на правильную работу, вы можете решить проблему через веб-консоль, выполнив следующую команду:

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>

Статьи в этом разделе

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Поделиться