Пример настройки резервирования устройства Device HA в шлюзах безопасности серии ZyWALL USG

Как настроить функцию резервирования устройства Device HA в режиме Active–Passive в шлюзах безопасности серии ZyWALL USG?


Функция Device HA (High Availability) предназначена для повышения надежности сети, в частности используется резервное устройство (ZyWALL USG в режиме Backup), которое автоматически возьмет на себя роль основного устройства, если основное устройство (ZyWALL USG в режиме Master) по какой-то причине перестанет работать.

 

Существует два режима работы функции Device HA: режим Active-Passive и режим Legacy.
Режим Active-Passive позволяет резервному устройству взять на себя функции основного, если основное устройство перестало по какой-то причине работать.
Режим Legacy позволяет использовать более сложные настройки между резервным и основным устройством, например такие, как режим Active-Active или использование разных ZyWALL'ов в качестве основного для разных интерфейсов.
Режим Legacy предполагает большую степень сложности в настройке. Поэтому мы рекомендуем использовать режим Active-Passive для реализации простой схемы резервирования.
Все устройства ZyWALL USG, использующие функцию Device HA, должны быть настроены на использование одного и того же режима (на обоих устройствах Active-Passive или Legacy).

При настройке Device HA можно настроить отдельный IP-адрес управления (Management IP Address) для каждого интерфейса. Вы можете использовать его для управления основным (Master) устройством или резервным (Backup). IP-адрес управления должен быть из той же подсети, что и IP-адрес интерфейса.

Используйте функцию синхронизации, чтобы иметь на резервном (Backup) устройстве копию конфигурации, сигнатур (Anti-Virus, IDP/Application Patrol) и сертификатов основного (Master) устройства.
Внимание! Синхронизация возможна только при использовании одной и той же модели ZyWALL USG и версии микропрограммы. В противном случае вы должны вручную настроить на резервном устройстве параметры основного (например, редактируя копии конфигурационных файлов в текстовом редакторе).

Перед началом работы Device HA необходимо выполнить следующее:

    • Настройте статический IP-адрес для каждого интерфейса, который будет участвовать в Device HA.
    • Выполните синхронизацию настроек.
      Внимание!
      Перед синхронизацией запустите такие же сервисы на резервном ZyWALL, которые используются на основном устройстве.
      Синхронизация включает в себя обновления сервисов, которые используются на основном и резервном ZyWALL USG. Например, выполните резервное копирование IDP/AppPatrol для получения обновления от основного устройства. Настоятельно рекомендуем использовать одинаковые сервисы на основном и резервном устройстве.

 

Внимание! Не рекомендуется использовать протокол STP (Spanning Tree Protocol) совместно с функцией Device HA.

Рассмотрим более подробно режим Active-Passive.

Основной и резервный ZyWALL USG образуют один Virtual Router (виртуальный роутер). В следующем примере основной (Master) ZyWALL A и резервный (Backup) ZyWALL B образуют один виртуальный роутер.

Вы можете использовать несколько виртуальных роутеров в сети. Для этого используйте разные значения параметра Cluster ID для идентификации каждого виртуального роутера. В следующем примере ZyWALL A и B образуют один виртуальный роутер, который использует Cluster ID 1, а ZyWALL C и D образуют второй виртуальный роутер, который использует Cluster ID 2.

Вы можете выбрать, какие интерфейсы отслеживает функция Device HA. Если отслеживаемый интерфейс на основном ZyWALL USG теряет подключение, то Device HA перекладывает функции основного устройства на резервный ZyWALL USG.
Необходимо включить отслеживание одинаковых интерфейсов на основном и резервном ZyWALL USG.
Каждый отслеживаемый интерфейс на резервном и основном ZyWALL USG должен иметь статический IP-адрес и принадлежать той же подсети.

Когда резервный ZyWALL USG берет на себя роль основного, он использует IP-адрес основного ZyWALL USG. Этот IP-адрес называется виртуальным IP-адресом роутера.
Каждый интерфейс также может иметь IP-адрес для управления. Вы можете подключиться к этому IP-адресу для управления ZyWALL USG независимо от того, является он основным (Master) или резервным (Backup).

Например, ZyWALL B получает IP-адрес LAN-интерфейса 192.168.1.1. Это виртуальный IP-адрес роутера. ZyWALL A при этом сохраняет IP-адрес управления 192.168.1.5, а ZyWALL B имеет свой собственный IP-адрес управления 192.168.1.6. Эти адреса не меняются, когда резервный ZyWALL B становится основным.

Далее приведем практический пример настройки функции резервирования Device HA в режиме Active-Passive на ZyWALL USG.

Предположим, имеется следующая схема:

Для начала установите в устройствах заводские установки (выполните сброс пользовательских настроек). После этого подключите устройства к Ethernet-коммутатору.

1. Убедитесь, что версии микропрограмм на обоих устройствах одинаковые. Посмотреть версию микропрограммы можно в меню Maintenance > File Manager > Firmware Package.



2. Убедитесь, что WAN и LAN IP-адреса на основном (Master) и резервном (Backup) устройстве имеют статические и одинаковые IP-адреса.



3. Настройте основное устройство (Master). Зайдите в меню Configuration > Device HA > Active-Passive Mode и в поле Device Role укажите Master.

Для настройки IP-адреса управления (Management IP) дважды щелкните мышкой по строке нужного интерфейса.

Если ZyWALL работает в роли основного устройства, в поле Server Address отображаются IP-адреса и/или доменные имена (FQDN), через которые резервное устройство сможет получить конфигурацию от данного устройства.
В разделе Synchronization настройте синхронизацию конфигурации и сигнатур. В поле Password укажите пароль, который будет использоваться для проверки синхронизации. На каждом ZyWALL USG должен быть указан один и тот же пароль.

На вкладке Configuration > Device HA > General включите функцию резервирования устройства, установив галочку в поле Enable Device HA.



4. Настройте резервное устройство (Backup). Зайдите в меню Configuration > Device HA > Active-Passive Mode и в поле Device Role укажите Backup.

Для настройки IP-адреса управления (Management IP) дважды щелкните мышкой по строке нужного интерфейса.
В разделе Synchronization настройте синхронизацию конфигурации и сигнатур.
В поле Server Address укажите IP-адрес основного устройства. Если ZyWALL USG работает в режиме резервного устройства, введите IP-адрес или доменное имя (FQDN) основного устройства, от которого данное устройство будет получать конфигурацию. Обычно указывается IP-адрес или FQDN виртуального роутера.
Если на резервном ZyWALL USG включена функция Device HA и используется режим Active-Passive, появится кнопка Sync. Now, нажав на которую можно вручную запустить синхронизацию с указанного устройства.
В поле Password укажите пароль, который будет использоваться для проверки синхронизации. На каждом ZyWALL USG должен быть указан один и тот же пароль.
Поставьте галочку в поле Auto Synchronize для включения функции автоматической синхронизации и в поле Interval укажите интервал времени в минутах, который определит, как часто осуществлять синхронизацию с основным (Master) устройством.

На вкладке Configuration > Device HA > General включите функцию резервирования устройства, установив галочку в поле Enable Device HA.



После настройки аппаратных шлюзов ZyWALL USG подключите Ethernet-кабель к коммутатору. На каждом устройстве на вкладке General в разделе Monitored Interface Summary в столбце HA Status будет отображаться статус функции Device HA.
Значение перед / показывает, в каком режиме работает устройство Master или Backup.
Значение после / показывает статус отслеживаемых интерфейсов на виртуальном роутере.
Значение Active - Интерфейс работает, и используется виртуальный IP-адрес и маска подсети.
Значение Stand-By - Интерфейс является резервным интерфейсом на виртуальном роутере. Он не использует виртуальный IP-адрес и маску подсети.
Значение Fault - Интерфейс в данный момент не работает на виртуальном роутере. Если в режиме Active-Passive (или в режиме Legacy с включенным Link Monitoring) один из интерфейсов основного (Master) устройства потеряет подключение, основной ZyWALL USG на всех своих интерфейсах установит статус Fault, чтобы резервный ZyWALL USG смог взять на себя функцию основного устройства.



При нажатии на кнопку Sync. Now на резервном устройстве можно выполнить синхронизацию конфигурации и сигнатур с основного устройства.

 

KB-3012

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.