Afdrukken
PDF

HA configureren op een ZyWALL

In de ZyXEL USG serie heb je de mogelijkheid om Device HA te configureren, dit kan op 2 manieren.

- Active-Passive mode
- Legacy Mode

Beide zijn een eigen implementatie van ZyXEL, active-passive mode kun je eigenlijk achterwege laten en geen tijd in steken. Bij Legacy Mode wordt gebruik gemaakt van VRRP. ZyXEL houdt zich niet aan de VRRP standaard dus kun je het niet gebruiken met andere hardware-vendors, maar waarom zou je dit doen?

Ik heb gekozen voor een implementatie van de Legacy Mode dit omdat Active Passive een minder flexibele methode is, je kunt bijvoorbeeld ook geen vlan's gebruiken dit gaat bij de Legacy Mode wel, bij legacy mode heb je tevens de mogelijkheid om per VRID (Gemonitorde interface) aan te geven of het de Master of Backup betreft. Op deze manier kun je ook een soort van load-balancing realiseren.

Er zijn een aantal dingen waar je rekening mee moet houden en dat zijn;
- Je kunt alleen interfaces gebruiken die een statisch IP-Adres hebben ingesteld
- Je kunt maar 1 VRRP groep per interface activeren
- Je kunt bij authenticatie kiezen voor AH MD5 authenticatie of VRRP, bij AH wordt gebruik gemaakt van IP Protocol 51 ip plaats van IP Protocol 112 (VRRP)
- Op de link waar de gemonitorde interface zit moet multicast verkeer mogelijk zijn
- Voor elke gemonitorde interface heb je 3 vrije IP-adressen nodig. 2 voor management een zogenaamd virtual router ip

 

Bij HA laat je de firewall een interface monitoren, zodra de interface wegvalt zet de ZyWALL alle interfaces 'standby' en laat hij de backup firewall de communicatie overnemen.

 

Je moet er voor zorgen dat de firewall's op de interfaces welke gemonitored worden hetzelfde IP-Adres hebben, let er wel op dat je geen 2 devices met hetzelfde IP actief kunt hebben in het netwerk. Je zult ze dus even apart van elkaar moeten configureren totdat je HA aanzet

 2-IPadressing-Master

Nu kun je naar de menu-optie Device HA gaan

Menu Device HA

 

Ga nu naar het tabblad legacy hier vul je de monitored interfaces in en een management IP. Een management IP is niet verplicht om in te vullen maar mijn ervaring is wanneer je dit leeg laat de VRRP advertisements niet goed lopen. Zo kan het dus gebeuren dat wanneer er een verbinding wegvalt deze niet goed wordt overgenomen. Het management IP moet wel uniek zijn voor beide ZyWALL's in tegenstelling tot het interface IP.  

Device HA - Legacy Mode

Bij het toevoegen van een interface kun je kiezen voor backup of master, dit wijst voor zich.. Het VRID is het Virtual Router ID deze moet aan 2 kanten gelijk zijn voor de gemonitorde interface.

Edit monitored interface

 

Op de slave kies je een ander Management IP en kies je voor backup, wel zet je hem in dezelfde VRID als op de Master

Edit monitored interface Slave

-Je kunt hier eventueel ook nog voor advanced settings kiezen en dan gebruik maken van authenticatie voor de VRRP groep.

 

Het is handig om synchronization in te stellen op de slave op deze manier worden configuratie aanpassingen van de master namelijk ook doorgevoerd op de slave, ik zet hem op zo'n 60 minuten. Meegenomen in de sync worden: Startupconfiguration, AV signatures, IDP and application Patrol signatures, System protect signatures, Certificates.

Device HA - Legacy Mode Sync

 

Wanneer beide ZyWALL's ingesteld zijn kun je Device HA activeren door naar het eerste tabblad te gaan en voor activate te kiezen (wel even opletten dat hij op Legacy Mode staat)

Device HA - Enable