防火牆高可用性 [HA Pro]功能 - 如何設定新版韌體防火牆設備的 HA Pro
Zyxel Employee
導言
這裡將會協助您在 Zyxel 防火牆上設定 Device HA Pro。Device HA Pro 功能以前要透過授權證(license)來授權啟動,但現在已經開放不用再多此步驟。如果您的裝置仍需要授權證(license)來授權的話,這表示此裝置尚未採用最新韌體 [USG FLEX、ATP],可先將該裝置做韌體更新後再使用Device HA Pro 功能。
Device HA Pro 的行為包括一個心跳鏈路連結,是用於監控兩台防火牆 “啟動” 設備的介面狀態。如果其中一個受監控的介面下線或發生故障,「被動」設備的狀態將變為“啟動”。(也就是HA pro系統中只會 “啟動” 一台設備的狀態。)
心跳鏈路使用活動及被動防火牆的心跳連接埠來同步防火牆彼此設備及介面狀態而心跳網路監測埠是由設備內定的埠(位在支援的HA-Pro設備韌體的最後一個埠)。當啟用 Device HA Pro 後,設備將傳送組播封包(UDP 694)是用來檢查兩台設備之間的狀態。當被動防火牆正常運作時,只有系統LED燈及心跳埠的LED燈會亮。
重要資訊:兩台裝置必須是相同型號並且註冊在同一 myZyxel.com 帳戶中。所有授權證(license),例如UTM license..必須輸入到主要活動設備。當主動防火牆發生故障時,則每個授權證(license)將自動轉移到被動防火牆。
在部署HA pro期間,請確保被動防火牆滿足以下條件:
- 被動防火牆初始設定時應該只有連結一條能透過Web GUI 管控被動防火牆的PC,並且從一開始先不要連接心跳網路線(這是一般的RJ45網路埠限制規定使用防火牆的最後一埠來完成)。
- 在進行 HA Pro 配置之前,被動設備應該先重置成為與主動設備有相同的韌體。
- 被動防火牆需先註冊到與主要活動防火牆的同一MyZyxel帳號下。
- 被動防火牆等待系統指示燈閃爍(被動狀態),然後再連接其他網路線。
- 成功配置 HA Pro 後,配對好的裝置上不會有出現設備下線的時間。
發生問題時怎麼辦?
*為什麼無法從 myzyxel帳號中看到正確的授權證(license)狀態?在Device-HA Pro設定中,有一個功能「用於授權設備的序號來同步授權證」。您可以輸入帶有授權證(license)的設備序號。因此,您可以將所有授權轉移到「啟動」設備中,並且在方塊中輸入該設備的序號。
注意:ATP 預設綁定的一年Gold Security Pack(ATP機種)或一年 UTM Security Pack(USG FLEX機種)服務授權不可移轉。 針對 Device HA 佈署,請聯繫您所在國家/地區的 Zyxel 支援團隊或發送電子郵件至 support@zyxel.com.tw,以協助移轉預設綁定的服務授權。
您可以在此處找到授權證資訊: Device HA Pro - 對於 HA(高可用性)解決方案,我是否需要兩次獲得所有授權證?
1. 概述
2. 活動防火牆設備設定
3. 被動防火牆設備設定
4. 故障排除技巧
一、概述
當網路中的防火牆之一失效或無法存取網際網路時,Device HA 功能會做故障移轉排除。Device HA Pro 中使用“心跳鏈路”在兩台防火牆之間,用來監控介面狀態和設定同步。
二、主要活動設備設定
若要設定 Device HA Pro 功能,請先登入 Zyxel 防火牆 Web 介面並導覽至:
設定 -> 高可用性(HA) -> 高可用性(HA Pro)
Zyxel 防火牆上的最後一個實體 RJ45 連接埠是設備 HA 管理連接埠(心跳連接埠)。請確保此連接埠不是 (鏈路聚合)LAG、VLAN虛擬區域網路或橋接器(bridge)介面的一部分。
步驟:
• 取消啟動勾選「從已啟動的主裝置上複製配置」選項中。
• 驗證序號是否為主要設備S/N。
• 提供活動設備的IP 位址。(必須是目前任何介面未使用的位址)
•提供被動設備的IP 位址。(與上述相同的子網路內)
• 提供子網路遮罩。
• 建立同步密碼。
• 從可用清單中選擇監控介面並將其移至成員清單。
• 設定您所需的容錯移轉偵測設定。有 “介面失效時啟用容錯移轉 (選項)” 及 “當系統服務失效時啟動故障轉移 (選項)”
• 點選「套用」按鈕。
再次進入「高可用性(HA)」選項,啟用主要活動防火牆的「啟用高可用性HA」功能。
• 選取「啟用高可用性HA」選框。
• 點選螢幕底部的「套用(Apply)」按鈕儲存設定。
三、被動設備設定
注意!配置 HA Pro 時僅將您的 PC 連接到被動防火牆。配置 HA Pro 並具有與活動設備相同的韌體後,您可以連接心跳線(僅限最後一 埠!)。裝置啟動後,您只會看到 SYS LED及PWR 燈恆亮,接上心跳連線後只有心跳連接埠的 LED 燈會亮起並且SYS LED開始閃爍,之後再連接其餘連接埠。
若要設定被動設備,請將您的電腦連接到第二個 Zyxel 防火牆並進入 Web 介面
設定 -> 高可用性(HA) -> 高可用性(HA Pro)
• 點選「啟用高可用性HA」。
•確保選取「從已啟動的主裝置上複製配置」。
• 點選「套用」按鈕。
將乙太網路線連接到兩台裝置上的心跳連接埠(防火牆的最後一個實體連接埠),並等待約 5 分鐘讓裝置同步所有設定。此時,Device HA Pro 功能已配置完畢,對主要(活動)防火牆所做的任何更改都將同步到輔助(被動)的防火牆。
注意:若有選擇監控介面請務必啟用 WAN 連線的「連線檢查」。啟用此選項將允許 Zyxel 防火牆測試互聯網路的連線狀況,並在主動防火牆發生故障時切換到被動防火牆互聯網路連接。
對於啟用了高可用 (HA) 功能的本機模式,請不要使用雲端韌體升級。您將需要遵循不同的程序來完成韌體升級,請閱讀SOP。* 適用型號和版本:USG FLEX 500/700、ATP500/700/800(含 ZLD5.20 至 ZLD5.21 Patch1)。
或下列文章 " 在已經同步的HA Pro 裝置上如何去升級韌體版本? "
四、故障排除技巧
1. | 兩台HA pro防火牆設備不會同步 |
|---|---|
確保兩台防火牆運行相同的韌體版本。兩者必須運行相同的韌體版本才能同步。 | |
確保兩台防火牆運行相同的韌體版本/槽位。如果主裝置正在執行韌體槽位 1,而槽位 2 處於備用狀態,則第二個裝置也必須正在執行槽位 1,而槽位 2 處於備用狀態。 | |
確保在啟用裝置 HA Pro 功能後的前 5 分鐘內,只有 Heartbeat 連接埠(裝置上的最後一個 RJ45連接埠 [例如:ATP 800 P12])連接到主裝置。如果兩個防火牆同時連接到即時網絡,則可能會導致路由問題、環路和衝突,從而影響網路。 | |
2. | 無法存取被動防火牆設備 |
請確保設備已完成同步。初始同步過程可能需要長達 5 分鐘。 | |
使用您在 Device HA Pro 選單上設定為「被動的設備管理 IP」的 IP 位址。 | |
3. | 我在被動防火牆設備上進行了更改,但是它們沒有在主要活動防火牆設備上同步 |
配置設備 HA Pro 後,應在主要活動防火牆設備上對網路配置進行任何變更。被動設備只是從設備,此處所做的更改不會應用於主要活動防火牆設備。 | |
4. | SecuReporter 授權證/服務在防火牆上處於活動狀態,但在 SecuReporter 中找不到設備 |
當主要防火牆設備切換到被動防火牆設備,然後啟動 SecuReporter 授權證時,您可能會遇到授權證在 SecuReporter 中不同步的情況,即使它在防火牆 GUI 上顯示「活動/已啟動」。您需要再次啟動現在的主要活動防火牆設備,然後刪除 SecuReporter 上的設備和組織,並重新啟動主要活動防火牆設備上的 SecuReporter 服務。 | |
