Firewall High Availability HA Pro - повторное развертывание Device HA Pro

Создан - Обновлено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

В этой статье приведены рекомендации по повторному развертыванию HA-Pro при его неправильной работе, часто вызванной некорректными слотами прошивки или разными версиями прошивки. Подчеркивается необходимость, чтобы оба устройства в настройке Device HA Pro были одной модели, зарегистрированы под одной учетной записью myZyxel.com и имели синхронизированные лицензии. В статье описаны шаги для базовой настройки, развертывания первого и второго устройств, проверки статуса и тестирования переключения на резерв. Также обсуждается важность обеспечения согласованности прошивки и приведены советы по устранению проблем с синхронизацией. Для подробной помощи с настройкой пользователям рекомендуется обращаться в профессиональные сервисы Zyxel.

Базовая настройка - Device HA Pro.

Топология (DeviceHA-Pro)

mceclip1.png

В Device HA Pro добавлена «связь контроля состояния» (heartbeat link) для мониторинга состояния интерфейсов и синхронизации настроек.

Поведение Device HA Pro включает связь контроля состояния для мониторинга состояния интерфейса «активного» устройства. Если один из контролируемых интерфейсов перестает работать или выходит из строя, статус «пассивного» устройства изменится на «активный». (Это означает, что в любой момент времени только у одного устройства может быть статус «активный».)

Связь контроля состояния
Порт контроля состояния — это новый физический порт на устройстве (фиксируется в прошивке на последнем порту поддерживаемого устройства HA-Pro). После включения Device HA Pro устройства будут передавать мультикастовые пакеты (UDP 694) для проверки статуса каждого устройства. Когда пассивное устройство работает корректно, индикаторный светодиод системы будет гореть. Гореть может только светодиод порта контроля состояния.

Важная информация: Оба устройства должны быть одной модели и зарегистрированы в одной учетной записи myZyxel.com. Лицензии должны быть перенесены на активное устройство. При сбое активного файрвола все лицензии автоматически перенесутся на пассивный файрвол.

Что может пойти не так? Почему не отображается правильный статус лицензии с сервера myzyxel.com?
В настройках Device-HA Pro есть функция «Серийный номер лицензированного устройства для синхронизации лицензий». Вы должны ввести серийный номер устройства с лицензиями. Таким образом вы сможете перенести все лицензии на «активное» устройство и ввести серийный номер этого устройства в поле.

Примечание: стандартная комплектная годовая лицензия Gold Security Pack для шлюзов ATP не подлежит переносу. Для развертывания Device HA, пожалуйста, обратитесь в службу поддержки Zyxel в вашей стране/регионе для помощи с переносом лицензий. 

Базовую установку можно найти здесь: Базовая настройка - Device HA Pro

Перед повторным развертыванием HA-Pro

(1) Перенесите все лицензии на основное устройство. Это поможет избежать повторного подсчета лицензий системой каждый раз.
(2) Включите функцию проверки соединения на контролируемых интерфейсах. Если интерфейс в течение определенного времени не получает ответа от удаленного сервера, устройство считает состояние интерфейса сбойным. Тогда функция Device HA Pro изменит статус интерфейса.

  1. Сделайте резервную копию текущей конфигурации DeviceA (Активного).
  2. Убедитесь, что DeviceB (Пассивное) сброшено к настройкам по умолчанию.
  3. На DeviceB версия запущенной прошивки должна совпадать с DeviceA.
  4. На DeviceB раздел с запущенной прошивкой должен находиться в той же позиции, что и у DeviceA.
  5. Подтвердите, что серийный номер DeviceA введен на странице HA-Pro.

mceclip10.png

Перейдите в Configuration> Device HA>Device HA-Pro

mceclip2.png

Далее продолжите настройку HA

Внимание! IP-адрес управления устройством и локальные подсети не могут совпадать!

Развертывание первого устройства

  • Настройте параметры HA Pro (IP управления, мониторинг интерфейса, лицензии)
  • Подключите устройство в режиме Активного

4. Развертывание второго устройства

  • Версия запущенной прошивки должна совпадать с первым устройством
  • Раздел запущенной прошивки должен находиться в той же позиции, что и у первого устройства

Если запущенный раздел первого устройства — раздел 1, то у второго устройства тоже должен быть раздел 1.

  • Настройте параметры HA-pro через GUI (всего 2 клика)

Сначала на пассивном устройстве: 

mceclip3.png


Затем на активном устройстве:

mceclip4.png

Подключение консоли к обоим устройствам

  • Подключите связь через порт контроля состояния и дождитесь полной синхронизации.

Примечание: первая полная синхронизация конфигурации занимает время (более 10 минут)

 

Как проверить, что полная синхронизация завершена без проблем,

В консоли пассивного устройства вы увидите физический порт (к которому подключен ПК)

1й спад: после включения Device HA-pro

1й подъем: начало применения синхронизации конфигурации с активного устройства

2й спад: почти завершена синхронизация

mceclip5.png

Затем можно перейти в консоль активного устройства и ввести CLI

# show device-ha2 passive device-status

Пока не получите информацию о пассивном устройстве.

mceclip6.png

После этого вернитесь в консоль пассивного устройства и введите CLI

# show device-ha2 sync summary

mceclip7.png

Очень важно, чтобы статус [ZySH Startup Configuration] был успешным без ошибок, а в последней строке статус синхронизации Device HA также был успешным.

Внимание:

При любых ошибках отключите все соединения. Затем сбросьте устройство к заводским настройкам и повторите попытку.

Не копируйте конфигурационный файл с первого устройства и не загружайте его на второе для развертывания.

  • Подключите остальные соединения

Тестирование переключения на резерв

Вы можете использовать отладочную CLI-команду на активном устройстве, чтобы симулировать событие отключения интерфейса.

Это вызовет переключение на пассивное устройство.

# debug device-ha2 send linkdown <имя интерфейса>

Проверка статуса синхронизации через веб-интерфейс:

mceclip11.png

CONFIGURATION > Device HA > Просмотр журнала, там должно быть сообщение Synchronize complete.

mceclip12.png

Или проверьте через CLI: подробный статус синхронизации на устройстве

show device-ha2 sync summary

mceclip14.png

Очень важно, чтобы последняя запись о статусе синхронизации Device HA была успешной.

Ошибка синхронизации

mceclip15.png

Примечание: существует 2 способа принудительной полной синхронизации конфигурации. В зависимости от того, где вы ее запускаете, команда будет разной.
На пассивном устройстве: Router# device-ha2 sync_from_active
На активном устройстве: Router# device-ha2 sync_to_passive

При обновлении прошивки пассивное устройство обновляет прошивку первым, затем перезагружается.
После перезагрузки пассивное устройство сразу начинает полную синхронизацию конфигурации.
Синхронизация завершится с ошибкой, поскольку прошивка пассивного устройства отличается от активного.
Это нормальное поведение, и вы можете игнорировать сообщения об ошибках синхронизации в этом случае.

Базовую настройку HA Pro вы можете найти здесь: Настройка Device HA Pro

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 1 из 3
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.