Zyxel USG FLEX H 系列如何設定設備高可用性 (HA)

Jim_Tsai

設備高可用性介紹

設備高可用性採用雙防火牆架構來確保網路連線的穩定，在正常情況下主動防火牆(Primary device)負責處理網路流量，而被動防火牆(Secondary device)則保持待命狀態。一旦主防火牆(Primary device)發生異常被動防火牆(Secondary device)會在數秒內自動接管主防火牆的功能，從而最大限度地減少網路中斷以維持網路的正常運作。

安裝需求

1. 支援型號：USG FLEX 200H、USG FLEX 200HP、USG FLEX 500H、USG FLEX 700H。
2. 韌體版本從 v1.31 開始支援設備高可用性 (HA) 。
3. 兩台防火牆型號必須是相同型號（例如 200H 與 200HP為不同型號）。
4. 兩台防火牆必須是安裝相同的韌體版本。
5. 兩台設備必須在註冊在同一組織。
6. 主動防火牆註冊到要設定使用的站點。
7. 被動防火牆先分配一個暫時的站點，當HA完成後會轉為組織下且不會分配站點。
8. 在 Nebula 上完成裝置註冊步驟後再進行 HA 配對。

心跳連接埠(Heartbeat Port)

1. 主動防火牆(Primary device)與被動防火牆(Secondary device)之間的用來進行設定檔同步及偵測對接設備狀態的埠。
2. 在被動防火牆上除用於建立心跳鏈路的連接埠外，所有連接埠都會是停用。
3. H 系列心跳連接埠固定是在 RJ45 的最後一個埠。

設定設備高可用性-主動防火牆(Primary device)

1. 防火牆如果是初始化設定請選擇「Web Configurator」，並按照畫面指示操作。
2. 在“系統”>“高可用性(HA)”>“HA 設定”，開始設定主動防火牆(Primary device)
   1. 虛擬 MAC 位址：當防火牆角色切換時，備用防火牆會採用與主防火牆相同的虛擬MAC位址以減少網路連線中斷時間。
   2. 主動/被動節點的管理IP位址：選擇一段內部沒有使用的IP。
   3. 監控的介面：當主動防火牆(Primary device)監控的介面發生斷線時被動設備(Secondary device)會進行切換變成主防火牆。
3. 在“系統”>“高可用性(HA)”>“HA 狀態”，中檢查 HA 狀態
4. 在“系統”>“高可用性(HA)”>“HA 日誌”中查看防火牆 HA 日誌。 

設定設備高可用性-被動防火牆(Secondary device)

1. 確認防火牆韌體與主動防火牆一致
2. 在“系統”>“高可用性(HA)”>“HA 設定”選擇次要後按套用 。
3. 按下確定後會被登出防火牆
4. 將網路線連接到兩台防火牆心跳連接埠(RJ45 的最後一個埠)
5. 連到主動防火牆(Primary device)，在“系統”>“高可用性(HA)”>“HA 狀態”，當最近完全同步狀態顯示 "Success"表示兩台防火牆已同步完成
6. 在“系統”>“高可用性(HA)”>“HA 日誌”中查看防火牆 HA 日誌。 
7. 完成後會收到一封電子郵件通知，告知您的裝置已完成高可用性 (HA) 配對
8. 完成後網頁上方會顯示目前登入的是主、被動防火牆

故障轉移成功 - 日誌

1. 當設定的監控介面斷線時的切換日誌
2. 當主防火牆關機時的切換日誌

當裝置已配對 HA 的情況下無法透過 GUI、CLI 和 NCC Live 工具套用設定