USG FLEX H 防火牆設定 Device HA Pro (高可用性)

Zyxel小編 Corey
Zyxel小編 Corey 文章數: 212 image  Zyxel Employee
First Answer First Comment Friend Collector Sixth Anniversary
防火牆 常見問題

功能介紹:什麼是 Device HA?

Device HA (High Availability) 是一套高可用性解決方案,它透過將兩台功能與設定完全相同的防火牆,配對成「主動-被動 (Active-Passive)」的架構,來確保網路服務的永續性。正常情況下,由「主動」設備處理所有網路流量;一旦主動設備發生故障,「被動」設備會在數秒內自動接管,成為新的主動設備,從而確保網路中斷時間降至最低。

核心觀念

  • 角色 (Role) vs. 狀態 (State)
    • 角色:分為「主要 (Primary)」和「次要 (Secondary)」,在部署前就已決定,不會改變。
    • 狀態:分為「主動 (Active)」和「被動 (Passive)」,會根據設備的健康狀況動態切換。 image.png
  • 心跳埠 (Heartbeat Port)兩台設備之間需要一條專用的「心跳線」直接連接在預定義的「心跳埠」上。此線路用於同步設定、監控彼此狀態,並在主動設備故障時觸發切換。被動設備上,除了心跳埠外,所有其他埠口都會被停用。 image.png

同步的項目

當 HA 啟用時,主動設備會將以下資訊即時同步至被動設備:

  • 啟動與運行設定檔
  • 各種簽章碼 (Signatures)
  • 設備洞察 (Device Insight)
  • 外部封鎖清單
  • DHCP 租約表
  • 憑證與授權 (包含 Nebula 授權)
  • 系統時間

⚠️ 開始前提條件(非常重要)

設定 Device HA 有嚴格的要求,忽略任何一項都會導致配對失敗。

  1. 硬體與韌體:兩台設備必須是完全相同的型號(例如,兩台皆為 USG FLEX 200H),並運行完全相同的韌體版本 (uOS 1.31 或更新)。 image.png
  2. 授權與註冊:兩台設備必須註冊在同一個 myZyxel 帳號下。設定 HA 前,請先完成設備的註冊。 image.png
  3. SSH 必須啟用:兩台設備的 SSH 功能都必須「啟用」,且 SSH Port 為「 22」 (位於 System > Setting)。 image.png
  4. 管理 IP 子網路:設備的管理介面子網路遮罩,目前僅支援 255.255.255.0 image.png

設定流程(六階段)

請嚴格依照以下順序,分別在兩台設備上進行操作。

第一階段 : 註冊設備

將設備註冊上Nebula,並分配於兩個不同的站點。確認兩台設備都在線上報到完成。

若您尚未熟悉設備初始設定,請參考下方教學連結 :

image.png

前往【Licensing > Licenses 】,檢查狀態為「Registered」。

Secondary 註冊完成後,拔除 WAN 線路,保留 Primary Nebula 上線狀態即可。

image.png

第二階段:設定「次要 (Secondary)」設備

  1. 登入您預計作為「次要」設備的防火牆本地 Web GUI。
  2. 前往 【System > Device HA > HA Configuration】
  3. 確認 HA 角色為「Secondary」
  4. 啟用 HA 功能,無需進行其他設定。
  5. 此時請勿串接 heartbeat 線路。

警告:啟用後,此被動設備的所有網路埠都會被停用(心跳埠除外),且您當前的 Web GUI 連線將被登出。

image.png

第三階段:設定「主要 (Primary)」設備

  1. 登入您預計作為「主要」設備的防火牆本地 Web GUI。
  2. 前往 【System > Device HA > HA Configuration】
  3. 啟用 HA 功能,並根據您的需求設定相關參數。
    1. 監控介面 : 選擇的介面連接中斷或連線檢查失敗時,將立即切換 HA 角色。
    2. HA MAC address : 建議優先使用 Virtual MAC 位址,這是專為 HA 設計的功能,能確保在設備故障轉移時,對網路的衝擊降到最低,實現真正的備援和高可用性。
  4. 重要:選擇 MAC 位址的接管方式。此設定一旦啟用 HA 後便無法更改。
image.png

第四階段:執行實體接線

  1. 斷開被動設備的所有連線:在啟用 HA 後,請拔除被動設備上所有的網路線。
  2. 連接心跳線:使用一條網路線,直接連接「主動」「被動」設備的預設心跳埠 image.png

第五階段:驗證 HA 狀態

  1. 登入「Active」設備的 Web GUI。
  2. 查看配對燈號 : image.png
  3. 前往 【System > Device HA > HA Status】,確認配對狀態是否顯示為「Paired」。 image.png
  4. 前往 【System > Device HA > HA log】,查看詳細的同步與狀態變更紀錄。 image.png
  5. 成功配對後,登入任一設備時,頂端都會有橫幅提示您目前登入的是「Active」還是「Passive」設備。 image.png

第六階段:強制同步設定

初次建置完成,請登入 Active 防火牆 Web console

image.png

輸入強制同步指令「cmd device-ha force-sync full」

image.png

確保設定同步成功

image.png

疑難排解:配對失敗狀態說明

若 HA 狀態顯示配對失敗,請參考下表,比對錯誤訊息與可能原因:

狀態訊息 (Pairing Failed Status)

說明與可能原因

Cannot get MAC/SN correctly from certificate

無法從憑證正確讀取 MAC/SN。

Device registration failed

設備註冊失敗。

Device firmware or model mismatch detected

偵測到兩台設備的韌體版本型號不匹配。

Devices belong to different organization

兩台設備註冊在不同的 Nebula 組織下。

Device ownership mismatch

兩台設備註冊在不同的 myZyxel 帳號下。

Device is not assigned to a site

設備尚未被分配到任何一個 Nebula 站點。

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)