HA-Voraussetzungen

Sie können ein HA-Link-Paar mithilfe eine der folgenden Methoden herstellen:
  • Direkt, über ein Überkeuzkabel.
  • Indirekt, über ein dediziertes Ethernet-Netzwerk. Der HA-Verwaltungsverkehr muss auf einem isolierten Netzwerk stattfinden, z.B. einem dedizierten VLAN über ein Ethernet-Netzwerk.
  • Mithilfe eines Linkbündelungs-Switch in LACP 802.3ad Modus, wobei XG Firewall im Bridge-Modus angeschlossen wird.
Hinweis: Verwenden Sie das Netzwerkmedium, das in der Lage ist, Multicast-Pakete weiterzuleiten, die nicht fürs Routen vorgesehen sind.

Voraussetzungen

  • An beiden Appliances müssen die Kabel zu allen überwachten Ports angeschlossen sein.
  • Die Appliances im HA-Cluster müssen vom gleichen Modell und Revision sein.
  • Die Appliances müssen registriert sein.
  • Die Appliances müssen dieselbe Anzahl an Schnittstellen haben.
  • Die Appliances müssen die gleiche Firmware-Version installiert haben (einschließlich Maintenance-Releases und Hotfixes).
  • Für eine Aktiv/Aktiv-Konfiguration wird eine Lizenz je Appliance benötigt.
  • Für eine Aktiv/Passiv-Konfiguration wird eine Lizenz für jede primäre Appliance benötigt. Für die sekundäre Appliance ist keine Lizenz erforderlich.
  • Die Appliances müssen die gleichen Abonnement-Module aktiviert haben.
  • Sichern Sie Ihre Netzwerkumgebung, da der Kommunikationskanal zwischen den HA-Knoten unverschlüsselt ist.
  • Auf beiden Appliances muss der dedizierte HA-Link ein Mitglied derselben Zone des Typs DMZ sein und muss eine eindeutige IP-Adresse besitzen. Außerdem muss SSH für beide Appliances in der DMZ-Zone aktiviert sein.
  • Zugang über SSH auf die DMZ-Zone muss für beide XG Firewall Appliances aktiviert sein.
  • Die DHCP- und PPPoE-Konfiguration muss deaktiviert sein, bevor eine HA-Konfiguration versucht wird.
  • Die HA-Link-Verzögerung verstärkt sich mit zunehmender Distanz. Wir empfehlen, dass Sie Spanning Tree Protocol (STP) auf dem dedizierten HA-Link deaktivieren.
  • Auf der Schnittstelle, die mit dem Switch verbunden ist, passen Sie die Link-Aktivierungszeit für jeden Port an, der mit der Firewall-Schnittstelle verbunden ist. Dies gilt, wenn der Ethernet-Switch Spanning Tree Protocol (STP) oder Rapid Spanning Tree Protocol (RSTP) verwendet. Auf einem Cisco Switch der Catalyst-Serie zum Beispiel, aktivieren Sie Spanning-Tree portfast auf jedem Port, der mit der Firewall-Schnittstelle verbunden ist.