Device HA Pro är en tjänst som används för att tillhandahålla nätverksredundans för att minska potentiell driftstopp och kräver inga ytterligare licenser för att aktivera denna tjänst. Dessutom synkroniserar Device HA Pro konfigurationsfilen, enhetens drifttid, TCP-sessioner (IPv4/IPv6), IPSec VPN-sessioner, I/O-information, DHCP-tabell, IP/MAC-bindningstabell och licensstatus. Enheten som paras ihop med Device HA Pro-installationen kommer att ha antingen en aktiv eller passiv roll. Den aktiva enheten tar emot alla konfigurationsändringar som görs i uppsättningen och ansvarar för att skicka informationen till den passiva enheten. Enheten som antar den passiva rollen kommer att ta emot konfigurationsändringar från den aktiva enheten och kommer att anta den aktiva rollen om den nuvarande aktiva enheten befinner sig i något av följande tillstånd.
Innan du konfigurerar Device HA Pro är det viktigt att göra följande.
- Den passiva enheten bör ENDAST ha en PC ansluten med Web GUI-åtkomst och UTAN någon heartbeat-kabel från början
- Den passiva enheten bör ÅTERSTÄLLAS och ha samma firmware som den aktiva enheten innan HA Pro-konfigurationen kan genomföras.
- Den passiva brandväggen bör vara registrerad på MyZyxel.
- Vänta tills sys-lampan blinkar (passivt läge) innan du ansluter resten av kablarna.
- När du har konfigurerat HA Pro framgångsrikt bör det inte vara någon driftstopp när enheterna paras ihop
- Matcha firmwareversionerna på både Första enheten och Andra enhetens partitioner.
Vad kan gå fel? Varför kan jag inte se korrekt licensstatus från myzyxel.com-servern?
På Device-HA Pro-inställningen finns en funktion ”Serienummer för licensierad enhet för licenssynkronisering”. Du bör ange enhetens S/N som har licenser. Så kan du överföra alla licenser till ”Aktiv” enhet och ange denna enhets S/N i fältet.
Notera: Den förinstallerade ettåriga Gold Security Pack-licensen för ATP-gateways är icke-överförbar. För Device HA-distribution, vänligen kontakta Zyxel-support i ditt land/region för att få hjälp med licensöverföring. Licens
Hur du kontaktar Supportteamet för licensöverföring, se här: Hur kontaktar jag Supportteamet?
Översikt
Funktionen Device HA fungerar som en failover när en av brandväggarna i nätverket är nere eller inte kan nå internet. I Device HA Pro läggs en ”heartbeat-länk” till för att övervaka gränssnittets status och synkronisera inställningar.
Konfiguration av aktiv enhet
För att konfigurera Device HA Pro-funktionen, logga in på Zyxel-brandväggens webbgränssnitt och navigera till:
Configuration -> Device HA -> Device HA ProDen sista fysiska RJ45-porten på Zyxel-brandväggen är Device HA Management-porten (Heartbeat-porten). Se till att denna port inte är en del av en LAG, VLAN eller brygggränssnitt.
Steg:
• Avmarkera alternativet ”Enable Configuration Provisioning From Active Device”.
• Kontrollera att serienumret är den primära enhetens S/N.
• Ange en IP-adress för den aktiva enheten. (Måste vara en adress som INTE används av något av dina nuvarande gränssnitt)
• Ange en IP-adress för den passiva enheten. (inom samma subnet som ovan)
• Ange en subnätmask.
• Skapa ett synkroniseringslösenord.
• Välj övervakningsgränssnitt från tillgänglig lista och flytta dem till medlemslistan.
• Konfigurera dina önskade inställningar för failover-detektering.
• Klicka på knappen "Apply & switch to Device HA Pro".
Gå till Device HA-fliken igen för att aktivera Device HA-funktionen på den aktiva brandväggen.
• Kontrollera att Device HA-läget är inställt på ”Device HA Pro”.
• Kryssa i rutan för ”Enable Device HA”.
• Klicka på knappen "Apply" längst ner på skärmen för att spara inställningarna.
Konfiguration av passiv enhet
Notera! Anslut endast din PC till den passiva brandväggen när du konfigurerar HA Pro. När du har konfigurerat HA Pro och har samma firmware som den aktiva enheten, kan du ansluta heartbeat-kabeln (ENDAST!). När enheten har startat upp och du ser SYS LED-lampan och endast heartbeat-portens LED-lampa är tänd, kan du ansluta resten av portarna.
För att konfigurera den passiva enheten, anslut datorn till den andra Zyxel-brandväggen och öppna webbgränssnittet
Configuration -> Device HA -> Device HA Pro• Se till att ”Enable Configuration Provisioning From Active Device” är ikryssat.
• Kontrollera att Device HA-läget är inställt på ”Device HA Pro”.
• Kryssa i rutan för ”Enable Device HA”.
• Klicka på knappen "Apply" längst ner på skärmen för att spara inställningarna.
Anslut en Ethernet-kabel till Heartbeat-porten (sista fysiska porten) på båda enheterna och vänta cirka 5 minuter för att enheterna ska synkronisera alla inställningar. Vid denna punkt är Device HA Pro-funktionen konfigurerad och alla ändringar som görs på den primära (aktiva) brandväggen kommer att synkroniseras till den sekundära (passiva) brandväggen.
Notera: Var noga med att aktivera ”Connectivity Check” för WAN-anslutningen/anslutningarna. Att aktivera detta alternativ gör att Zyxel-brandväggen kan testa internetåtkomst och byta till den sekundära internetanslutningen på den passiva enheten om den aktiva enheten misslyckas.
För On-Premises-läge med funktionen High Available (HA) aktiverad, använd INTE molnuppgradering av firmware. Du måste följa en annan procedur för att slutföra firmwareuppgraderingen; läs vänligen SOP. * Gäller modeller och versioner: USG FLEX 500/700, ATP500/700/800 med ZLD5.20 till ZLD5.21 Patch1.
Felsökningstips
1. Synkroniseringen kan misslyckas med meddelanden på den passiva enheten
Synkroniseringen kan misslyckas med meddelanden på passiv enhet:
Hämtning av aktiv firmwareversion misslyckades
Hämtning av aktiv firmwareversion misslyckades
Hämtning av aktiv firmwareversion misslyckades
Device HA Sync misslyckades vid synkronisering av firmwareversion på grund av dålig 'Sync From' eller 'Sync Port'.
En möjlig orsak kan vara att FTP-tjänsten på den aktiva enheten har vissa begränsningar så att den passiva enheten inte kan komma åt den.
Exempel på felaktig konfiguration:
2. Enheterna synkroniseras inte
- Se till att båda enheterna kör samma firmwareversion. Båda måste köra samma firmwareversion för att synkronisering ska fungera.
- Se till att båda enheterna använder samma firmwarebank/-slot. Om den primära enheten kör firmware slot 1 och slot 2 är standby, måste den andra enheten också köra slot 1 med slot 2 i standby.
- Se till att endast Heartbeat-porten (sista RJ45-porten på enheten [t.ex. P7]) är ansluten till den primära enheten under de första 5 minuterna efter att Device HA Pro-funktionen aktiverats. Om båda enheterna är anslutna till ett aktivt nätverk samtidigt kan detta orsaka routningsproblem, loopar och kollisioner som påverkar nätverket.
3. Kan inte komma åt den passiva enheten
-
- Se till att enheterna är färdiga med synkroniseringen. Den initiala synkroniseringsprocessen kan ta upp till 5 minuter.
- Använd den IP-adress du konfigurerade i Device HA Pro-menyn för "Passive Device Management IP".
4. Jag gjorde ändringar på den passiva enheten men de synkroniseras inte till Master.
-
- När Device HA Pro är konfigurerat ska alla ändringar i nätverkskonfigurationen göras på Master/Primär-enheten. Den passiva enheten är endast en slav och ändringar gjorda här kommer inte att tillämpas på Primär/Master.
5. SecuReporter-licens/tjänst är aktiv på brandväggen, men enheten kan inte hittas i SecuReporter
-
- När master-enheten har bytt till den passiva enheten och sedan SecuReporter-licensen aktiveras, kan du uppleva att licensen inte synkroniseras i SecuReporter, även om det står "aktiv/aktiverad" i brandväggens GUI. Du måste göra den primära enheten aktiv igen, sedan ta bort enheten och organisationen i SecuReporter och återaktivera SecuReporter-tjänsten på den primära enheten.
Det finns andra problem, vänligen gör en omdistribution av Device HA Pro, se här Device HA Pro omdistribution
Kommentarer
0 kommentarerlogga in för att lämna en kommentar.