Непрерывная сетевая безопасность с USG FLEX H Series и HA — вопросы и ответы

Высокая доступность (HA) — это технология, которая обеспечивает непрерывную работу сети за счет использования двух идентичных устройств в конфигурации «активный/пассивный ». В случае сбоя активного устройства пассивное устройство автоматически принимает на себя его функции, сводя к минимуму время простоя.

Основные требования к настройке HA

• Идентичные модели устройств: например, два устройства USG FLEX 500H.
• Одинаковая версия прошивки: например, uOS 1.31 или выше.
• Регистрация в одной и той же организации Nebula: оба устройства должны быть зарегистрированы в одной и той же организации в центре управления Nebula.
• Выделенный порт для соединения Heartbeat:
  Обычно последний порт Ethernet на устройстве используется для обмена сигналами Heartbeat между устройствами.

Особенности конфигурации HA

• Соединение Heartbeat: устройства обмениваются сигналами каждые 2 секунды через порт UDP 694.
  Если пассивное устройство пропускает два последовательных сигнала Heartbeat, оно переключается в активный режим.
• Синхронизация конфигурации: все изменения конфигурации на активном устройстве автоматически синхронизируются с пассивным устройством.
  Важно: не вносите изменения непосредственно на пассивном устройстве.
• Виртуальный MAC-адрес: во время переключения ролей используется виртуальный MAC-адрес, чтобы предотвратить проблемы с кэшем ARP в сети.

Управление лицензиями

• Требуется только одна лицензия:
  Все лицензии с активного устройства автоматически наследуются пассивным устройством при переключении ролей.
• Как связаться со службой поддержки для переноса лицензии? Пожалуйста, проверьте здесь:Как связаться со службой поддержки?

Часто задаваемые вопросы

Как получить доступ к пассивному (ведомому) устройству в режиме HA?
Для доступа к пассивному устройству необходимо использовать IP-адрес управления, настроенный во время настройки HA. Подчиненное устройство доступно только через выделенный порт heartbeat и только через указанный IP-адрес управления.

Поддерживается ли HA в режиме Nebula на USG FLEX H с uOS?
Да, HA поддерживается на USG FLEX H с uOS, но не напрямую через облачный интерфейс Nebula. Оба устройства должны быть зарегистрированы в одной и той же организации Nebula. Однако вся настройка и управление HA выполняются локально через веб-интерфейс устройства. Это называется гибридным режимом — устройство отображается в Nebula для лицензирования и мониторинга, но расширенные функции, такие как HA, обрабатываются локально.

Можно ли использовать разные модели устройств для HA?
Нет. Оба устройства должны быть одной модели и серии, работать под управлением одной и той же версии прошивки и быть зарегистрированы в одной и той же организации Nebula.

Как отключить синхронизацию HA для устранения неполадок?
Чтобы временно отключить синхронизацию HA, перейдите в веб-интерфейсе в раздел «Система» > «HA устройства» > «Конфигурация HA» и приостановите HA.

Как я могу проверить статус синхронизации конфигурации HA?
Чтобы проверить состояние синхронизации между активным и пассивным устройствами, используйте следующую команду CLI:

show state vrf main device-ha _debug sync-info

Это предоставит информацию о текущем состоянии синхронизации.

Как принудительно выполнить полную синхронизацию конфигурации HA?
Чтобы вручную запустить полную синхронизацию между устройствами, используйте команду:

cmd device-ha force-sync full

Как отменить сопряжение устройств HA и вернуть их в автономный режим?

1. Сбросьте настройки одного из устройств (желательно пассивного).
2. Перезагрузите устройство или используйте кнопку «Resync» (Повторно синхронизировать) в веб-интерфейсе, чтобы обновить статус в MyZyxel.
3. Устройства вернутся в автономный режим.