Zyxel USG FLEX H Series [HA] - Byt ut enheten eller distribuera HA på nytt (HA PRO)

För att ersätta en skadad eller icke-funktionell Zyxel USG FLEX H-Series brandvägg i en High Availability (HA) -installation är det viktigt att följa bästa praxis för att minimera driftstopp och återställa HA-funktionalitet effektivt. Att ersätta en felaktig enhet innebär i princip att konfigurera om HA-installationen från grunden, men den här guiden beskriver viktiga steg, bästa praxis och viktiga nyanser för att effektivisera processen och undvika vanliga fallgropar.

Här är en steg-för-steg-guide för att ersätta och återuppbygga HA i ett sådant scenario:

• Du har två brandväggar i USG FLEX H-Series (primär och sekundär).
• Den felaktiga "primära" enheten kommer att ersättas med en ny, fungerande enhet av samma modell.
• Den sekundära/standby-enheten fungerar fortfarande och är för närvarande aktiv.

HA-topologi:

• USG FLEX 500H - Site5(FLEX500HP_1) - Primär (huvudplatsen där alla enheter på vår webbplats är fysiskt registrerade och huvudbrandväggen)
• USG FLEX 500H - Site5(FLEX500HP_2) - Sekundär (En site med endast en backup-brandväggsenhet fysiskt registrerad)

Den här konfigurationen kan vara något förvirrande, eftersom brandväggarna är registrerade på olika platser. Brandväggen på den sekundära (Backup/Passiv) platsen kommer dock alltid att visas som offline, medan brandväggen på den primära (huvud) platsen konsekvent kommer att visas som online, oavsett vilken brandvägg som aktivt hanterar trafik vid varje given tidpunkt.

Låt oss anta att den primära brandväggen som är registrerad på huvudwebbplatsen har gått sönder och att backup-brandväggen (sekundär) för närvarande hanterar all trafik. I det här fallet måste vi ersätta den brandvägg som inte fungerade och som är registrerad på huvudsidan. Men vi kan också flytta vår passiva enhet till huvudsidan och göra den till huvudsida, och först därefter lägga till vår nya enhet som en passiv enhet.

Steg 1: Ta bort den defekta HA-peeren

• Koppla fysiskt ur den skadade enheten och ta bort den från systemet.
• På den aktiva (fungerande) enheten navigerar du till: Vänster meny > System> Enhet HA
  Om HA för närvarande är aktiverat men inte kan synkronisera med den trasiga peer-enheten klickar du på Disable HA.
• Spara och tillämpa ändringarna för att slutföra detta steg.

Säkerhetskopiera konfigurationen på den aktiva enheten (det är inte obligatoriskt, men det är bästa praxis för att undvika att förlora dina inställningar. Helst bör du alltid ha en kopia av konfigurationen).

• Logga in på den aktiva (fungerande) enheten.
• Gå till Underhåll > Filhanterare > Konfigurationsfil.
• Ladda ner en konfiguration av den aktiva enheten (ifall något skulle gå fel).

Steg 2 - Förbered för HA för den aktiva masterenheten

I det här exemplet fortsätter vi med att tilldela den för närvarande aktiva enheten till Site 1 som primär enhet. Den ersättande (nya) enheten kommer att tilldelas Site 2 som backup-enhet (sekundär).

Eftersom vi inaktiverade HA på den aktiva enheten i de föregående stegen visas enheten nu som online på Site 2. Som visas i bilden nedan ska vi nu tilldela den här enheten till Site 1 och utse den till primär enhet.

Först måste vi ta bort vår skadade brandvägg från huvudplatsen.

Först måste vi ta bort vår skadade brandvägg från huvudplatsen.	Tilldela din aktiva enhet till huvudplatsen och gör den därmed till den viktigaste.

Du kan nu kontrollera att den tidigare sekundära enheten har lagts till på huvudplatsen och på ett naturligt sätt har övertagit rollen som den primära enheten.

Steg 3 - Förberedelser för HA för den passiva enheten

• Packa upp och starta den nya/ersättande enheten, men anslut den inte till nätverket ännu.
• Kontrollera att firmware-versionen matchar den aktiva enheten (kontrollera under Maintenance > Firmware).
• Om inte, uppgradera den fasta programvaran.

Fabriksåterställ den nya enheten (om den tidigare har använts)

• Håll RESET-knappen intryckt i ~10 sekunder tills SYS LED blinkar gult.
• Låt enheten starta om helt och hållet.

Anslut och konfigurera den nya ersättningsenheten

• Anslut din dator till LAN-porten på den nya brandväggen.
• Du behöver också tillgång till Internet på den nya enheten för att registrera den och lägga till den på Nebul-webbplatsen.
• Logga in med hjälp av standard-IP: 192.168.168.1 (admin / 1234).
• Initialisera enheten och registrera enheten i samma organisation under initialiseringsprocessen.
• Lägg till din nya enhet på den andra webbplatsen; den nya enheten kommer att vara vår backup/sekundärenhet

Steg 4 - Para ihop enheterna igen för HA

• På den primära enheten går du till > System >Device HA > HA Configuration
• Klicka på Enable HA och ställ in:

• På den sekundära enheten, gå till > System >Device HA > HA Configuration
• Klicka på Enable HA och ställ in (på en passiv enhet behöver du inte göra några HA-inställningar, utan bara aktivera den här funktionen):

Observera också att heartbeat-kabeln ska vara bortkopplad för tillfället.

Steg 5 - Synkronisering och testning

• När HA är aktiverat på båda sidor:
  • Den primära enheten ska överföra sin konfiguration till den nya enheten.
  • Vänta på att synkroniseringen ska slutföras. Detta kan ta några minuter.
  • Kontrollera HA-status: System > Enhet HA > HA-logg

Steg 6 - Testprocedur för failover:

Simulera primärt fel
Stäng tillfälligt av eller koppla bort det primära systemet från WAN för att simulera ett felscenario.

Verifiera sekundär övertagning
Bekräfta att det nyligen utsedda sekundära systemet framgångsrikt tar över den primära rollen utan serviceavbrott.

Återställ primärt system och validera HA-status
Starta om den aktiva enheten för att göra den ursprungliga primära enheten aktiv igen. Kontrollera att HA-statusen (High Availability) normaliseras och att rollerna återgår.

Om synkroniseringsstatusen verkar vara felaktig, trots att loggar och inställningar indikerar korrekt drift, kan du lösa problemet via webbkonsolen genom att utföra följande kommando:

usgflex500h> cmd device-ha force-sync full
OKusgflex500h>