Sie können ein HA-Link-Paar mithilfe eine der folgenden Methoden herstellen:
- Direkt, über ein Überkeuzkabel.
- Indirekt, über ein dediziertes Ethernet-Netzwerk. Der HA-Verwaltungsverkehr muss auf einem isolierten Netzwerk stattfinden, z.B. einem dedizierten VLAN über ein Ethernet-Netzwerk.
Anmerkung Verwenden Sie das Netzwerkmedium, das in der Lage ist, Multicast-Pakete weiterzuleiten, die nicht fürs Routen vorgesehen sind.
Voraussetzungen
- An beiden Appliances müssen die Kabel zu allen überwachten Ports angeschlossen sein.
- Die Appliances im HA-Cluster müssen vom gleichen Modell und Revision sein.
- Die Appliances müssen registriert sein.
- Die Appliances müssen dieselbe Anzahl an Schnittstellen haben.
- Die Appliances müssen die gleiche Firmware-Version installiert haben (einschließlich Maintenance-Releases und Hotfixes).
- Für eine Aktiv/Aktiv-Konfiguration wird eine Lizenz je Appliance benötigt.
- Für eine Aktiv/Passiv-Konfiguration wird eine Lizenz für jede primäre Appliance benötigt. Für die sekundäre Appliance ist keine Lizenz erforderlich.
- Die Appliances müssen die gleichen Abonnement-Module aktiviert haben.
- Sichern Sie Ihre Netzwerkumgebung, da der Kommunikationskanal zwischen den HA-Knoten unverschlüsselt ist.
- Auf beiden Appliances muss der dedizierte HA-Link ein Mitglied derselben Zone des Typs DMZ sein und muss eine eindeutige IP-Adresse besitzen. Außerdem muss SSH für beide Appliances in der DMZ-Zone aktiviert sein.
- Zugang über SSH auf die DMZ-Zone muss für beide XG Firewall Appliances aktiviert sein.
- Die DHCP- und PPPoE-Konfiguration muss deaktiviert sein, bevor eine HA-Konfiguration versucht wird.
- Die HA-Link-Verzögerung verstärkt sich mit zunehmender Distanz. Wir empfehlen, dass Sie Spanning Tree Protocol (STP) auf dem dedizierten HA-Link deaktivieren.
- Aktivieren Sie für die Switch-Ports, mit denen sich XG Firewall verbindet, die Option portfast. Deaktivieren Sie die Spanning-Tree-Protokolle STP und RSTP.