Высокая доступность брандмауэра HA Pro - Настройка Device HA Pro

Создан - Обновлено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Device HA Pro — это сервис, который используется для обеспечения сетевой избыточности с целью сокращения потенциального времени простоя и не требует дополнительных лицензий для активации этой услуги. Кроме того, Device HA Pro синхронизирует файл конфигурации, время работы устройства, TCP-сессии (IPv4/IPv6), IPSec VPN-сессии, информацию о вводе/выводе, таблицу DHCP, таблицу привязки IP/MAC и статус лицензий. Устройство, связанное с установкой Device HA Pro, будет играть либо активную, либо пассивную роль. Активное устройство будет получать все изменения конфигурации, внесённые в настройку, и будет отвечать за передачу информации пассивному устройству. Устройство, принимающее пассивную роль, будет получать изменения конфигурации от активного устройства и примет активную роль, если текущее активное устройство окажется в одном из следующих состояний.

Важная информация: Оба устройства должны быть одной модели и зарегистрированы в одной учётной записи myZyxel.com. Лицензии должны быть перенесены на активное устройство. При сбое активного брандмауэра все лицензии автоматически будут перенесены на пассивный брандмауэр.

Перед настройкой Device HA Pro важно выполнить следующие действия.

  1. Пассивное устройство должно ИМЕТЬ ПОДКЛЮЧЕННЫМ ТОЛЬКО ПК с доступом к веб-интерфейсу и при этом НЕ должно иметь подключённого кабеля heartbeat с самого начала.
  2. Пассивное устройство должно быть СБРОШЕНО до заводских настроек и иметь ту же версию прошивки, что и активное устройство, перед началом настройки HA Pro.
  3. Пассивный брандмауэр должен быть зарегистрирован в MyZyxel.
  4. Дождитесь мигания индикатора sys (пассивное состояние) перед подключением остальных кабелей.
  5. При успешной настройке HA Pro не должно быть простоев при объединении устройств.
  6. Сопоставьте версии прошивки на обоих устройствах — на первом и втором устройствах, на обоих разделах.

Что может пойти не так? Почему не отображается правильный статус лицензии на сервере myzyxel.com?
В настройках Device-HA Pro есть функция «Серийный номер лицензированного устройства для синхронизации лицензий». Вы должны ввести серийный номер устройства, на котором есть лицензии. Таким образом, вы можете перенести все лицензии на «Активное» устройство, указав серийный номер этого устройства в соответствующем поле.

Примечание: Встроенная лицензия Gold Security Pack на один год для шлюзов ATP не подлежит передаче. Для развертывания Device HA, пожалуйста, свяжитесь с поддержкой Zyxel в вашей стране/регионе, чтобы помочь вам с переносом лицензий. Лицензия

Как связаться с командой поддержки для переноса лицензии, смотрите здесь: Как связаться с командой поддержки?

Обзор

Функция Device HA служит для переключения при отказе, когда один из брандмауэров в сети выходит из строя или теряет доступ в интернет. В Device HA Pro добавляется «heartbeat link» для мониторинга состояния интерфейса и синхронизации настроек.

Untitled.png

 

Настройка активного устройства

Для настройки функции Device HA Pro войдите в веб-интерфейс брандмауэра Zyxel и перейдите в:

Конфигурация -> Device HA -> Device HA Pro

Последний физический порт RJ45 на брандмауэре Zyxel является портом управления Device HA (Heartbeat Port). Убедитесь, что этот порт не входит в состав LAG, VLAN или мостового интерфейса.

Шаги:
• Снимите галочку с опции «Enable Configuration Provisioning From Active Device» (Включить предоставление конфигурации с активного устройства).
• Проверьте, что серийный номер соответствует серийному номеру основного устройства.
• Укажите IP-адрес для активного устройства (адрес должен быть неиспользуемым на текущих интерфейсах).
• Укажите IP-адрес для пассивного устройства (в той же подсети, что и выше).
• Укажите маску подсети.
• Создайте пароль синхронизации.
• Выберите интерфейсы для мониторинга из доступного списка и переместите их в список участников.
• Настройте желаемые параметры обнаружения переключения (Failover Detection).
• Нажмите кнопку «Apply & switch to Device HA Pro» (Применить и переключиться на Device HA Pro).

Снова перейдите на вкладку Device HA, чтобы включить функцию Device HA на активном брандмауэре.
• Убедитесь, что режим Device HA установлен на «Device HA Pro».
• Отметьте опцию «Enable Device HA» (Включить Device HA).
• Нажмите кнопку «Apply» внизу экрана, чтобы сохранить настройки.

Настройка пассивного устройства

Примечание! Подключайте ПК к пассивному брандмауэру только при настройке HA Pro. После настройки HA Pro и установки той же версии прошивки, что и на активном устройстве, можно подключить кабель heartbeat (ТОЛЬКО его!). После загрузки устройства и появления светового индикатора SYS и включённого индикатора порта heartbeat можно подключать остальные порты.
Для настройки пассивного устройства подключите компьютер ко второму брандмауэру Zyxel и войдите в веб-интерфейс.

 Конфигурация -> Device HA -> Device HA Pro

• Убедитесь, что опция «Enable Configuration Provisioning From Active Device» включена.
• Проверьте, что режим Device HA установлен на «Device HA Pro».
• Отметьте опцию «Enable Device HA».
• Нажмите кнопку «Apply» внизу экрана для сохранения настроек.

Подключите Ethernet-кабель к порту Heartbeat (последнему физическому порту) на обоих устройствах и подождите около 5 минут для синхронизации всех настроек. На этом этапе функция Device HA Pro настроена, и любые изменения, внесённые на основном (активном) брандмауэре, будут синхронизированы с вторичным (пассивным) брандмауэром.

Примечание: Обязательно включите опцию «Connectivity Check» для WAN-соединения(й). Включение этой опции позволит брандмауэру Zyxel проверять доступ в интернет и переключаться на вторичное интернет-соединение пассивного устройства в случае сбоя активного устройства.

Для режима On-Premises с включённой функцией высокой доступности (HA) НЕ используйте обновление прошивки через облако. Вам потребуется следовать другой процедуре для завершения обновления прошивки; пожалуйста, ознакомьтесь с SOP. * Применимые модели и версии: USG FLEX 500/700, ATP500/700/800 с ZLD5.20 по ZLD5.21 Patch1.

Советы по устранению неполадок

1. Синхронизация может завершиться с ошибками на пассивном устройстве

Синхронизация завершается с ошибками на пассивном устройстве:
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Device HA Sync has filed when syncing Firmware Version due to bad 'Sync From' or 'Sync Port'.

Возможная причина — служба FTP на активном устройстве имеет некоторые ограничения, из-за чего пассивное устройство не может получить к ней доступ.

Пример неправильной настройки:

2. Устройства не синхронизируются

  • Убедитесь, что оба устройства работают на одной и той же версии прошивки. Для синхронизации обе должны иметь одинаковую версию прошивки.
  • Убедитесь, что оба устройства работают на одном и том же слоте/банке прошивки. Если основное устройство использует слот 1 с резервным слотом 2, то второе устройство также должно использовать слот 1 с резервным слотом 2.
  • Убедитесь, что только порт Heartbeat (последний порт RJ45 на устройстве, например, P7) подключён к основному устройству в первые 5 минут после включения функции Device HA Pro. Если оба устройства подключены к активной сети одновременно, это может вызвать проблемы с маршрутизацией, петли и коллизии, влияющие на сеть.

 3. Нет доступа к пассивному устройству

  1.  
    • Убедитесь, что устройства завершили синхронизацию. Начальный процесс синхронизации может занять до 5 минут.
    • Используйте IP-адрес, который вы указали в меню Device HA Pro для «IP-адреса управления пассивным устройством».

4. Я внес изменения на пассивном устройстве, но они не синхронизируются с основным.

  •  
    • После настройки Device HA Pro любые изменения конфигурации сети должны вноситься на основном/мастер-устройстве. Пассивное устройство является подчинённым, и изменения, сделанные на нём, не применяются к основному/мастер-устройству.

5. Лицензия/сервис SecuReporter активен на брандмауэре, но устройство не отображается в SecuReporter

  •  
    • Когда мастер-устройство переключается на пассивное, а затем активируется лицензия SecuReporter, может возникнуть ситуация, когда лицензия не синхронизируется в SecuReporter, хотя в интерфейсе брандмауэра отображается статус «активна/активирована». Вам нужно снова сделать основное устройство активным, затем удалить устройство и организацию в SecuReporter и повторно активировать сервис SecuReporter на основном устройстве.

 

Если возникают другие проблемы, выполните повторное развертывание Device HA Pro, смотрите здесь Повторное развертывание Device HA Pro

 

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 2 из 3
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.