High Availability (HA) mit Zywall USG 100 und 200 Das Ziel einer High Availability-Lösung (HA) ist, zwei Zywall USG in einem redundanten Verbund einzusetzen. Wenn die Master-Firewall ausfällt oder eine deren Netzwerkverbindungen unterbrochen wird, übernimmt automatisch die Backup-Firewall die Funktion des Masters. Konfiguration Master- Firewall Aktivieren Sie im Menü Device HA die Option Enable Device HA: Aktivieren Sie auf den gewünschten Interface HA. Das Passwort muss mit dem auf der Backup-Firewall übereinstimmen. Hinweis: HA ist nur auf einem Ethernet-Interface mit fixer IP-Adresse möglich. Wenn der Internet-Access über PPPoE erfolgt, kann HA nur für lan1, lan2 oder ext-wlan eingesetzt werden. September 2008 / ATA / Seite 1 von 5
Konfiguration Backup- Firewall Aktivieren Sie im Menü Device HA die Option Enable Device HA: Hinweis: Die Backup-Firewall übernimmt im Falle eines Failovers sämtliche Einstellungen und IP-Adressen der Master-Firewall. Die aktive Firewall ist somit jederzeit über die IP-Adresse der Master-Firewall erreichbar. Um auch auf die Backup-Firewall zugreifen zu können, benötigt diese auf mindestens einem Interface eine zusätzliche Management-IP-Adresse, welche auch im entsprechenden Subnetz des Interface liegen muss. Legen Sie unter Active-Passive Mode die Rolle des Device als Backup fest und editieren Sie die Regel wan1. Wenn die Backup-Firewall über das WAN-Interface managbar sein soll, muss als Management-IP eine zweite WAN-IP aus dem gleichen Subnetz wie die WAN-IP der Master-Firewall eingetragen werden. Steht keine zweite WAN-IP zur Verfügung, muss mindestens ein weiteres Interface aktiviert und eine IP aus dem Subnetz des jeweiligen Interface zugewiesen werden. September 2008 / ATA / Seite 2 von 5
Editieren Sie das lan1 Interface. Auch hier muss eine Management IP eingegeben werden, die sich im gleichen Subnetz befindet wie der Port selbst. Solange der Status der Firewall 'Backup' ist, kann man diese nur über die Management IP ansteuern. Wenn der Status von 'Backup' auf 'Master' wechselt, ist die Firewall über die IPs 192.168.1.1 und 192.168.1.100 konfigurierbar. Es empfiehlt sich aber, die Konfigurationen nur auf der Master-Firewall zu machen und die Backup-Firewall mit dieser zu Synchronisieren. Für die Synchronisation der Zywall muss beim Backup-Device als Server-Adresse die IP-Adresse der Master- Firewall hinterlegt werden. In diesem Konfigurationsbeispiel lautet die IP 192.168.1.1 (lan1 Interface). Üblicherweise wird für die Synchronisation ein LAN-Interface ausgewählt. Das Passwort und der Server-Port müssen den entsprechenden Einstellungen auf der Master-Firewall entsprechen. Das für die Synchronisation verwendete Passwort kann, muss aber nicht mit dem Admin-Passwort übereinstimmen. Damit die Konfiguration mindestens ein Mal pro Tag abgeglichen wird, sollte Auto Synchronisation aktiviert und die Zeit auf 1440 Minuten festgelegt werden. September 2008 / ATA / Seite 3 von 5
Klicken Sie auf Sync. Now um eine Synchronisation der Backup-Firewall mit der Master-Firewall zu starten. Bei der Synchronisation übernimmt die Backup-Firewall die Startup-Config, Zertifikate und AV-, IDP- und AP-Signaturen der Master-Firewall. Hinweis: Die Backup-Firewall muss auf www.myzyxel.com unter dem gleichen Benutzer wie die Master- Firewall registriert werden. AV-, IDP- und Content-Filter-Lizenzen werden nur ein Mal benötigt und sind auf der Master-Firewall zu aktivieren. Mit folgender Nachricht wird die erfolgreiche Synchronisation angezeigt. Falls keine Nachricht angezeigt wird, prüfen Sie bitte, ob ein Popup-Blocker die Anzeige unterdrückt hat. September 2008 / ATA / Seite 4 von 5
Status Fenster der Backup-Firewall: Status Fenster der Master-Firewall: September 2008 / ATA / Seite 5 von 5