Device HA Pro je služba, ktorá sa používa na zabezpečenie sieťovej redundancie s cieľom znížiť potenciálne prestoje a na aktiváciu tejto služby nie sú potrebné žiadne ďalšie licencie. Okrem toho Device HA Pro synchronizuje konfiguračný súbor, dobu prevádzky zariadenia, TCP relácie (IPv4/IPv6), IPSec VPN relácie, informácie o I/O, tabuľku DHCP, tabuľku IP/MAC viazaní a stav licencie. Zariadenie spárované s inštaláciou Device HA Pro bude hrať buď aktívnu, alebo pasívnu rolu. Aktívne zariadenie prijíma všetky zmeny konfigurácie vykonané v nastavení a je zodpovedné za odosielanie informácií pasívnemu zariadeniu. Zariadenie, ktoré preberá pasívnu rolu, prijíma zmeny konfigurácie od aktívneho zariadenia a prevezme aktívnu rolu, ak je aktuálne aktívne zariadenie v jednom z nasledujúcich stavov.
Pred konfiguráciou Device HA Pro je dôležité urobiť nasledovné.
- Pasívne zariadenie by malo mať SPOLOČNE iba pripojený počítač s prístupom cez Web GUI a od začiatku bez pripojeného heartbeat kábla.
- Pasívne zariadenie by malo byť RESETOVANÉ a mať rovnaký firmware ako aktívne zariadenie pred konfiguráciou HA Pro.
- Pasívny firewall by mal byť registrovaný v MyZyxel.
- Počkajte, kým LED dióda sys nezačne blikať (pasívny stav), predtým ako pripojíte zvyšné káble.
- Pri úspešnej konfigurácii HA Pro by nemali nastať prestoje pri párovaní zariadení.
- Zladenie verzií firmvéru na oboch zariadeniach, na Prvom aj Druhom zariadení v príslušných oddieloch.
Čo môže zlyhať? Prečo nevidím správny stav licencie na serveri myzyxel.com?
V nastavení Device-HA Pro je funkcia „Sériové číslo licencovaného zariadenia pre synchronizáciu licencií“. Mali by ste zadať sériové číslo zariadenia, ktoré má licencie. Tak môžete preniesť všetky licencie na „Aktívne“ zariadenie a zadať sériové číslo tohto zariadenia do príslušného rámca.
Poznámka: Predvolená ročná licencia Gold Security Pack pre ATP brány nie je prenosná. Pre nasadenie Device HA, prosím kontaktujte podporu Zyxel vo vašej krajine/regióne, aby vám pomohli s prenosom licencií. Licencie
Ako kontaktovať Podporný tím pre prenos licencií, nájdete tu: Ako kontaktovať Podporný tím?
Prehľad
Funkcia Device HA slúži ako záloha, keď jeden z firewallov v sieti prestane fungovať alebo nemá prístup na internet. V Device HA Pro je pridaný „heartbeat link“ na monitorovanie stavu rozhraní a synchronizáciu nastavení.
Nastavenie aktívneho zariadenia
Pre nastavenie funkcie Device HA Pro sa prihláste do webového rozhrania Zyxel firewallu a prejdite na:
Konfigurácia -> Device HA -> Device HA ProPosledný fyzický port RJ45 na Zyxel firewalli je Device HA manažérsky port (Heartbeat port). Uistite sa, že tento port nie je súčasťou LAG, VLAN ani mostového rozhrania.
Kroky:
• Zrušte zaškrtnutie možnosti „Povoliť konfiguráciu z aktívneho zariadenia“.
• Overte, že sériové číslo je sériové číslo primárneho zariadenia.
• Zadajte IP adresu pre aktívne zariadenie. (Musí to byť adresa, ktorá nie je používaná žiadnym vašim aktuálnym rozhraním)
• Zadajte IP adresu pre pasívne zariadenie. (v rovnakom podsieti ako vyššie)
• Zadajte masku podsiete.
• Vytvorte synchronizačné heslo.
• Vyberte monitorovacie rozhrania zo zoznamu dostupných a presuňte ich do zoznamu členov.
• Nakonfigurujte požadované nastavenia detekcie zlyhania.
• Kliknite na tlačidlo „Použiť & prepnúť na Device HA Pro“.
Znova prejdite na kartu Device HA, aby ste povolili funkciu Device HA na aktívnom firewalli.
• Overte, že režim Device HA je nastavený na „Device HA Pro“.
• Zaškrtnite políčko „Povoliť Device HA“.
• Kliknite na tlačidlo „Použiť“ v spodnej časti obrazovky na uloženie nastavení.
Nastavenie pasívneho zariadenia
Poznámka! Pri konfigurácii HA Pro pripojte k pasívnemu firewallu iba počítač. Po nakonfigurovaní HA Pro a zabezpečení rovnakého firmvéru ako aktívne zariadenie môžete pripojiť heartbeat kábel (LEN!). Po spustení zariadenia a keď uvidíte rozsvietenú LED diódu SYS a len LED diódu na heartbeat porte, môžete pripojiť zvyšné porty.
Pre konfiguráciu pasívneho zariadenia pripojte počítač k druhému Zyxel firewallu a vstúpte do webového rozhrania
Konfigurácia -> Device HA -> Device HA Pro• Uistite sa, že možnosť „Povoliť konfiguráciu z aktívneho zariadenia“ je zaškrtnutá.
• Overte, že režim Device HA je nastavený na „Device HA Pro“.
• Zaškrtnite políčko „Povoliť Device HA“.
• Kliknite na tlačidlo „Použiť“ v spodnej časti obrazovky na uloženie nastavení.
Pripojte ethernetový kábel k Heartbeat portu (posledný fyzický port) na oboch zariadeniach a počkajte približne 5 minút, aby sa zariadenia synchronizovali. V tomto bode je funkcia Device HA Pro nakonfigurovaná a všetky zmeny vykonané na primárnom (aktívnom) firewalle sa synchronizujú s sekundárnym (pasívnym) firewallom.
Poznámka: Uistite sa, že je povolená možnosť „Kontrola konektivity“ pre WAN pripojenie/-ia. Povolením tejto možnosti umožníte Zyxel firewallu testovať prístup na internet a v prípade zlyhania na aktívnom zariadení prepne na sekundárne internetové pripojenie pasívneho zariadenia.
Pre režim On-Premises s povolenou funkciou Vysokej dostupnosti (HA) prosím NEpoužívajte cloudovú aktualizáciu firmvéru. Na dokončenie aktualizácie firmvéru musíte postupovať podľa iného postupu; prečítajte si prosím SOP. * Platné modely a verzie: USG FLEX 500/700, ATP500/700/800 s verziou ZLD5.20 až ZLD5.21 Patch1.
Tipy na riešenie problémov
1. Synchronizácia môže zlyhať s nasledujúcimi správami na pasívnom zariadení
Synchronizácia môže zlyhať s týmito správami na pasívnom zariadení:
Retrieving Active Firmware version has failed
Retrieving Active Firmware version has failed
Retrieving Active Firmware version has failed
Device HA Sync has failed when syncing Firmware Version due to bad 'Sync From' or 'Sync Port'.
Možným dôvodom môže byť, že FTP služba na aktívnom zariadení má určité obmedzenia, takže pasívne zariadenie k nej nemá prístup.
Príklad nesprávneho nastavenia:
2. Zariadenia sa nesynchronizujú
- Uistite sa, že obe zariadenia používajú rovnakú verziu firmvéru. Pre synchronizáciu musia mať rovnakú verziu firmvéru.
- Uistite sa, že obe zariadenia používajú rovnaký bank/slot firmvéru. Ak primárne zariadenie používa slot 1 a slot 2 je v pohotovostnom režime, druhé zariadenie musí tiež používať slot 1 s slotom 2 v pohotovostnom režime.
- Uistite sa, že je pre prvých 5 minút po aktivácii funkcie Device HA Pro pripojený iba Heartbeat port (posledný RJ45 port na zariadení, napr. P7) k primárnemu zariadeniu. Ak sú obe zariadenia zároveň pripojené do živej siete, môže to spôsobiť problémy s routovaním, slučky a kolízie ovplyvňujúce sieť.
3. Nedá sa pristúpiť k pasívnemu zariadeniu
-
- Uistite sa, že zariadenia dokončili synchronizáciu. Počiatočný proces synchronizácie môže trvať až 5 minút.
- Použite IP adresu, ktorú ste nastavili v menu Device HA Pro pre „IP správu pasívneho zariadenia“.
4. Urobil som zmeny na pasívnom zariadení, ale nesynchronizujú sa na hlavnom zariadení.
-
- Po konfigurácii Device HA Pro by sa všetky zmeny v sieťovej konfigurácii mali robiť na hlavnom/primárnom zariadení. Pasívne zariadenie je iba podriadené a zmeny vykonané tu sa neprejavia na primárnom/hlavnom zariadení.
5. Licencia/služba SecuReporter je aktívna na firewalle, ale zariadenie nie je nájdené v SecuReporter
-
- Keď hlavné zariadenie prešlo na pasívne zariadenie a potom bola aktivovaná licencia SecuReporter, môže sa stať, že licencia sa nesynchronizuje v SecuReporter, hoci na GUI firewallu je označená ako „aktívna/aktivovaná“. Je potrebné znova aktivovať primárne zariadenie, potom odstrániť zariadenie a organizáciu v SecuReporter a znovu aktivovať službu SecuReporter na primárnom zariadení.
Ak sa vyskytnú iné problémy, vykonajte opätovné nasadenie Device HA Pro, pozrite tu Opätovné nasadenie Device HA Pro
Príspevky
0 komentárovAk chcete napísať komentár, prihlásiť sa.