Брандмауэр высокой доступности [HA Pro] - развертывание устройства HA Pro

Создан 07/09/2021 09:27 - Обновлено 05/09/2025 12:13

Serhii Boiarynov

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в отношении точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В этой статье приведены рекомендации по перераспределению HA-Pro в случае его некорректной работы, часто из-за неправильных слотов прошивки или разных версий прошивки. В ней подчеркивается необходимость того, чтобы оба устройства в настройке Device HA Pro были одной модели, зарегистрированы под одной учетной записью myZyxel.com и имели синхронизированные лицензии. В статье описаны шаги по базовой настройке, развертыванию первого и второго устройств, проверке состояния и тестированию обхода отказа. В статье также обсуждается важность обеспечения согласованности микропрограммного обеспечения и даются советы по устранению проблем с синхронизацией. За подробной помощью в настройке пользователи могут обратиться к профессиональным услугам Zyxel.

Базовая настройка - Device HA Pro.

Топография (DeviceHA-Pro)

В Device HA Pro добавлен "канал сердцебиения" для мониторинга состояния интерфейса и синхронизации настроек.

Поведение Device HA Pro включает в себя канал сердцебиения для мониторинга состояния интерфейса "активированного" устройства. Если один из контролируемых интерфейсов мертв или вышел из строя, статус "пассивного" устройства станет "активированным".(Это означает, что только 1 устройство может одновременно находиться в состоянии "активировано").

Heartbeat Link
Порт сердцебиения - это новый физический порт на устройстве (фиксируется в Firmware last Port поддерживаемого устройства HA-Pro). После включения Device HA Pro устройства будут передавать многоадресные пакеты (UDP 694) для проверки состояния каждого устройства. Если пассивное устройство работает правильно, системный светодиодный индикатор будет гореть. Может гореть только светодиодный индикатор порта сердцебиения.

Важная информация: Оба устройства должны быть одной модели и зарегистрированы в одной учетной записи myZyxel.com. Лицензии должны быть перенесены на активное устройство. Если активный брандмауэр выйдет из строя, все лицензии будут автоматически перенесены на пассивный брандмауэр.

Что может пойти не так? Почему на сервере myzyxel.com не отображается правильный статус лицензии?
В настройках Device-HA Pro есть функция "Серийный номер лицензированного устройства для синхронизации лицензий". Вы должны ввести S/N устройства с лицензиями. Таким образом, вы можете перенести все лицензии на устройство "Активировать" и ввести S/N этого устройства в рамке.

Примечание: Годовая лицензия Gold Security Pack, входящая в комплект поставки шлюзов ATP по умолчанию, не подлежит передаче. Для развертывания Device HA обратитесь в службу поддержки Zyxel в вашей стране/регионе, чтобы вам помогли перенести лицензии. Информацию о лицензиях вы можете найти здесь: Device HA Pro - Нужны ли мне все лицензии дважды для решения HA (высокой доступности)?

Базовую установку вы можете найти здесь: Базовая установка - Device HA Pro

Перед повторным развертыванием HA-Pro

(1) Перенесите все лицензии на основное устройство. Это поможет системе избежать необходимости каждый раз пересчитывать лицензии.
(2) Включите функцию проверки подключения на контролируемых интерфейсах. Если интерфейс не получает ответа от удаленного сервера в течение определенного периода времени, устройство будет считать состояние интерфейса неудачным. Затем функция Device HA Pro изменит статус интерфейса.

Создайте резервную копию текущей конфигурации DeviceA (Active) .
Убедитесь, что DeviceB (Passive) сброшен к настройкам по умолчанию.
На устройстве B версия прошивки должна быть такой же, как и на устройстве A.
На устройстве B раздел с работающей микропрограммой должен находиться в том же положении, что и на устройстве A.
Убедитесь, что серийный номер устройства A введен на странице HA-Pro.

Перейдите в раздел Конфигурация>Устройство HA>УстройствоHA-Pro

Затем выполните настройку параметров HA

Примечание! IP-адрес управления устройством и локальные подсети не могут быть одинаковыми!

Разверните первое устройство

Настройте параметры HA Pro (IP-адрес управления, интерфейс монитора, лицензия).
Включение в сеть в качестве активного устройства

4. Разверните второе устройство

Версия прошивки должна быть такой же, как и на первом устройстве.
Раздел прошивки должен находиться в том же положении, что и на первом устройстве.

Работающий раздел первого устройства - это раздел 1, тогда работающий раздел второго устройства должен быть разделом 1.

Настройте параметры HA-pro в графическом интерфейсе (только нажатие 2 кнопок)

На пассивном устройстве первым:

На активном устройстве второй:

Подключите консоль на обоих устройствах

Подключите канал порта heartbeat и дождитесь полной синхронизации.

Примечание: для первой полной синхронизации конфигурации требуется некоторое время (более 10 минут).

Как проверить, что полная синхронизация завершена без проблем,

На консоли пассивного устройства вы увидите физический порт (подключенный ПК).

^1-й вниз: после включения устройства HA-pro

^1-й вверх: начало применения синхронизации конфигурации с активного устройства

^2-й вниз: почти завершена синхронизация

Затем вы можете перейти на консоль активного устройства и ввести команду CLI

# show device-ha2 passive device-status

Пока не получите информацию о пассивном устройстве.

Затем вернитесь на консоль пассивного устройства и введите CLI

# show device-ha2 sync summary

Очень важно, чтобы статус [ZySH Startup Configuration] был успешным без каких-либо проблем, а в последней строке статус Device HA Sync также был успешным.

Внимание:

В случае неудачи отключите все соединения. Затем сбросьте настройки устройства до заводских и повторите попытку.

Не копируйте файл конфигурации с первого устройства и не загружайте его на второе устройство для развертывания.

Подключите остальные соединения

Проверка обхода отказа

Вы можете использовать отладочный CLI на активном устройстве для имитации события отключения интерфейса.

Это позволит запустить обход отказа на пассивном устройстве.

# debug device-ha2 send linkdown

Проверка состояния синхронизации через веб-интерфейс:

CONFIGURATION > Device HA > View log там должно быть Synchronize complete.

Или проверьте через CLI: Check the detail synchronization status on the device

show device-ha2 sync summary

Очень важно, чтобы последняя запись, относящаяся к статусу синхронизации Device HA, гласила, что она прошла успешно.

Сбой синхронизации

Примечание: Существует два способа принудительной синхронизации полной конфигурации. В зависимости от того, где вы ее инициируете, команда будет отличаться.
На пассивном устройстве: Router# device-ha2 sync_from_active
На активном устройстве: Router# device-ha2 sync_to_passive

При обновлении прошивки пассивное устройство сначала обновит прошивку, а затем перезагрузится.
После перезагрузки пассивного устройства оно немедленно проведет полную синхронизацию конфигурации.
Синхронизация завершится неудачей, поскольку прошивка пассивного устройства отличается от прошивки активного устройства.
Это нормальное поведение, и в этом случае вы можете игнорировать журналы неудачной синхронизации.

Базовую настройку HA Pro вы можете найти здесь: Device HA Pro Setup

Помощь в настройке, вы ищете помощь в настройке от нашей команды профессиональных специалистов? Пожалуйста, загляните сюда: Zyxel ConfigService Security

Статьи в этом разделе

Больше