Device HA (High Availability) op een ZyWALL USG
referentie Z187C
We willen de volgende opzet d.m.v. de Device-HA optie realiseren:
Hiervoor dient eerst de Device HA setting op de Master ZyWALL USG (Router A) geconfigureerd te worden. Hierna kunnen de kabels naar de Backup ZyWALL USG (Router B) worden omgeprikt om de instellingen in de Backup te configureren om vervolgens te kunnen synchroniseren. Hierna zal de Device HA gereed zijn, kunnen de ZyWALL USG' op de switches worden aangesloten en zal de Backup ZyWALL USG het verkeer over nemen in het geval dat de Master ZyWALL USG uitvalt. In dit voorbeeld wordt er van uit gegaan dat alleen de WAN- en de LAN-zijde worden opgenomen in de HA-setup. Dit voorbeeld is gemaakt met een USG-200, maar kan in principe als leidraad worden gebruikt voor alle USG-modellen die Device HA ondersteunen (USG-100 en hoger) en firmware-versie V2.20 of hoger hebben. Wij bieden geen ondersteuning meer op Device-HA bij gebruik van firmware ouder dan V2.20.
Belangrijke voorwaarden voor een goed werkende Device HA setup:
- Device HA werkt op basis van VRRP (Virtual Router Redundancy Protocol) en moet binnen het netwerk een uniek Cluster ID hebben. M.a.w. een eventueel aanwezig ander VRRP-cluster moet een ander VRRP Cluster ID hebben.
- Master en Backup moeten verplicht exact dezelfde firmware-versie gebruiken. Hier wordt op gecontroleerd tijdens het synchroniseren van Master naar Backup.
- Alle aan de HA-setup deelnemende interfaces dienen een statisch ingesteld IP-adres te hebben.
- Naast het hoofd IP-adres (het adres dat de HA-set gaat gebruiken) moeten zowel Master als Backup op elk te gebruiken interface ook een IP-adres voor management hebben.
IN dit voorbeeld hebben we dus niet alleen voor de LAN-zijde maar ook voor de WAN-zijde 3 bruikbare IP-adressen, in hetzelfde subnet, nodig.
(Als gevolg van deze laatste 2 punten kan Device HA dus per definitie niet worden gebruikt op Halfbridge/DHCP-spoofing WAN-verbindingen!)
- Dit document gaat uit van de standaard firewall-instellingen, dus LAN naar ZyWALL verkeer wordt toegestaan. Mocht u de firewall-regels dusdanig hebben gewijzigd dat dit verkeer wordt geblokkeerd, zorg er dan met een aparte firewall-regel voor dat VRRP verkeer van LAN naar ZyWALL wél wordt geaccepteerd.
- Mocht u gebruik maken van licenties (bijv. voor Anti-Virus, IDP, uitbreiding aantal SSL-VPN's, etc.) en u wilt deze ook synchroniseren naar de Backup, dan mag de Backup USG niet geregistreerd zijn via MyZyXEL.com (en dus geen licenties hebben geactiveerd) en dient u beide serienummers aan ons of aan ZyXEL door te geven zodat de apparaten in de licentie-database van MyZyXEL.com aan elkaar "gelinked" kunnen worden.
Stap 1
- Login op de Master ZyWALL USG en ga in het Configuration-menu naar "Device HA" > tabblad "Active-Passive Mode. Selecter "Master", en vul een uniek Cluster ID in (als er meerdere apparaten in het netwerk zitten die iets met VRRP/Device HA doen, mag het Cluster ID niet overeenkomen met een ander cluster).
- "Edit" als eerste de WAN-verbinding en vul als volgt in:
- "Edit" daarna de LAN-verbinging op dezelfde manier:
- Na het op "OK" klikken komt u weer terug in het overzichtsscherm met deelnemende interfaces.
Controleer of de deelnemende interfaces ge-enabled zijn (lampje = geel) en vul het synchronisatie-wachtwoord in waarmee de Backup straks de configuratie moet gaan synchroniseren:
- Schakel, onder tabblad "General", op de Master alvast Device HA in. Na het op "Apply" klikken verschijnen de deelnemende interfaces onder "Monitored Interface Summary":
Ontkoppel hierna alle netwerk-kabels van de Master en sluit de Backup aan.
- Stap 2
- Login op de Backup ZyWALL USG en ga in het Configuration-menu naar "Device HA" > tabblad "Active-Passive Mode". Selecteer "Backup",
en vul hetzelfde Cluster ID in als dat u op de Master heeft gekozen.
!!!!! Klik daarna EERST op "Apply", anders worden deze instellingen niet opgeslagen !!!!!
"Edit" daarna de deelnemende interfaces op dezelfde manier als dat u dat op de Master heeft gedaan.
- De WAN-interface:
- en de LAN-interface:
- Vul, na het op "OK" klikken, onder "Synchronization" één van de twee management IP-adressen van de Master in (in dit voorbeeld het Mgmt-adres van de LAN-zijde). Vul hier ook het op de Master gekozen synchronisatie wachtwoord in en de overige hieronder aangegeven zaken:
- Als laatste configuratie-actie dient ook op de Backup de Device HA functie te worden aangezet. Belangrijk om te weten: Hierna verliest u het contact met de Backup via het hoofd LAN IP-adres!!!
- Stap 3
- Sluit hierna alle kabels op de correcte wijze aan; de beide WAN-poorten op de switch die aan de internet-verbinding hangt, beide LAN-poorten aan de LAN-switch.(zie de topologie aan het begin van dit document)
- Open twee browser-vensters (of Tabs) en log in op zowel de Master- als de Backup ZyWALL USG via het Management IP. Controleer via het "Configuration menu" > "Device HA" of op de Master de interfaces op "Active" staan:
en of deze op de Backup op "Standby" staan:
Is dit niet het geval, reboot dan beide apparaten een keer; eerste de Master en even daarna de Backup.
- Nu kunnen we de configuratie van de Master naar de Backup synchroniseren.
Ga naar op de Backup naar het tabblad "Active-Passove Mode".
Nu de ZyWALL USG's eenmaal met Device HA ge-enabled zijn aangesloten is hier op de Backup ook knop bij gekomen genaamd "Sync. Now". Klik op deze knop.
- Hetvolgende synchronisatie-voortgangs venster wordt zichtbaar.
Er volgen, afhankelijk van de configuratie en eventueel geactiveerde licenties nog een reeks andere meldingen.
- Bij succes ziet u als laatste het volgende venster:
- Ga, nogsteeds in de Backup USG, naar de log's en controleer deze op een melding dat de synchronisatie is geslaagd:
Na deze stap is de Device HA configuratie voltooid!
