Wichtige Hinweise
• WWAN, WLAN – Der Hochverfügbarkeits-Cluster kann nicht konfiguriert werden, wenn WWAN oder WLAN konfiguriert ist.
• DHCP, PPPoE – Der Hochverfügbarkeits-Cluster kann nicht im Aktiv-Aktiv-Modus konfiguriert werden, wenn eine der Schnittstellen dynamisch mit DHCP- oder PPoE-Protokollen konfiguriert ist.
• Sie können Schnittstellen mit DHCP/PPPoE-Protokollen konfigurieren, wenn der HA-Cluster im Aktiv-Aktiv-Modus konfiguriert ist.
• Maskierte Verbindungen – Im Falle manueller Synchronisierungsereignisse bei einem oder mehreren HA-Cluster-Appliances werden alle maskierten Verbindungen verworfen.
• HA kann von jedem der Appliances deaktiviert werden. Bei einer Deaktivierung von der primären Appliance wird HA auf beiden Appliances deaktiviert. Bei einer Deaktivierung der sekundären Appliance wird HA nicht an der primären Appliance deaktiviert und übernimmt die Funktion eines Standalone-Geräts.
• Nach der Deaktivierung von HA ändert sich das IP-Schema der primären Appliance nicht.
• Nach der Deaktivierung von HA werden für die sekundäre Appliance alle Ports außer dem dedizierten HA-Link-Port und dem Peer-Verwaltungsport deaktiviert. Die Peer-HA-Link-IP ist die dem dedizierten HA-Link-Port zugewiesene IP-Adresse, und die Peer-Verwaltungs-IP ist die dem Peer-Verwaltungsport zugewiesene IP-Adresse.
• Wenn HA von einem Standalone-Rechner deaktiviert wird, ändert sich das IP-Schema nicht.
• Für den Zugriff auf die Admin-Konsole der sekundären Appliance sind Super Administrator-Berechtigungen erforderlich, daher kann ein Zugriff nur durch „Admin“-Benutzer erfolgen und die Seiten „Live-Benutzer“/„DHCP-Leases“/„IPsec-Live-Verbindungen“ werden nicht angezeigt.
• Nach der Deaktivierung von HA werden für die sekundäre Appliance für die LAN-Zone alle Verwaltungsdienste – HTTPS, Telnet, SSH – zugelassen, während für die DMZ-Zone nur HTTPS und SSH zugelassen werden.
• Für die sekundäre Appliance ist der Bereitstellungsassistent nicht verfügbar.
• Der dedizierte HA-Link-Port sollte von einer der DMZ-Zonen-Schnittstellen bereitgestellt werden. Stellen Sie sicher, dass sich die IP-Adressen der HA-Link-Ports der promären und sekundären Appliance in demselben Subnetz befinden.
• Nach der Aktivierung von HA wird bei der Wiederherstellung einer Sicherungen ohne HA-Konfiguration HA deaktiviert und auf die primäre Appliance kann gemäß der Sicherungskonfiguration zugegriffen werden, während der Zugriff auf die sekundäre Appliance mit der sekundären Admin-IP-Adresse möglich ist.
• Im Aktiv-Aktiv-Modus werden E-Mails auf beiden Appliances separat in die Quarantäne verschoben, da für den SMTP-Proxy-Datenverkehr die Lastverteilung per Round-Robin stattfindet.
• Im Aktiv-Passiv-Modus werden E-Mails nur auf der primären Appliance in die Quarantäne verschoben.
• Sofern der Quarantäne-Überblick konfiguriert ist, schicken beide Appliances im Cluster Quarantäne-Überblicks.
• Der Administrator kann E-Mails aller Benutzer, die in die Quarantäne verschoben wurden, von beiden Appliances aus freigeben.
• Der Benutzer kann in Quarantäne verschobene E-Mails über das Benutzerportal freigeben. Im Benutzerportal werden nur in Quarantäne verschobene E-Mails auf der primären Appliance angezeigt. Darüber hinaus kann der Benutzer diese über den Quarantäne-Überblick freigeben, der über die primäre Appliance geschickt wird.
• Nicht verfügbar bei den Modellen CR15i, CR15wi, CR25wi, CR35wi, CR15wiNG, CR25wiNG/6P, CR25wiNG/6P und allen Modellen mit WLAN der SG-Serie.
• HA wird deaktiviert, wenn Sie den Bereitstellungsassistenten ausführen.
• Sie müssen die Appliance registrieren, um HA zu konfigurieren.
Sitzungs-Failover
• Sitzungs-Failover ist möglich für weitergeleiteten TCP-Verkehr im Routing-Modus, Bridge-Modus, gemischten Modus und dem Multiport-Bridge-Modus.
• Sitzungs-Failover ist nicht möglich für die folgenden Arten von Verkehr im Routing-Modus, Bridge-Modus, gemischten Modus und dem Multiport-Bridge-Modus:
◦ Proxy-Teilsystem (transparenter/direkter/übergeordneter Proxy)
◦ VPN-Verkehr
◦ Weitergeleiteter IPv4- und IPv6-Verkehr wie UDP, ICMP, Multicast, Broadcast, etc.
◦ Vom System generierter Datenverkehr
◦ Sitzungen mit Virenscan
◦ Übergeordneter-Proxy-Verkehr
Lastverteilung
• Ein Aktiv-Aktiv HA-Cluster verteilt die Last erfolgreich für die folgenden Arten von Verkehr im Routing-Modus, Bridge-Modus, gemischten Modus und dem Multiport-Bridge-Modus:
◦ TCP-Verkehr, der durch das Proxy-Teilsystem geleitet wird (transparent/direkt/übergeordnet)
◦ Weitergeleiteter TCP-Verkehr
◦ Über NAT (SNAT und Virtueller Host) gesendeter, weitergeleiteter TCP-Verkehr
◦ HTTPS-Verbindung
◦ VLAN-Verkehr
• Ein Aktiv-Aktiv HA-Cluster verteilt die Last nicht für die folgenden Arten von Verkehr im Routing-Modus, Bridge-Modus, gemischten Modus und dem Multiport-Bridge-Modus:
◦ VPN-Sitzungen
◦ Verkehr außer TCP (UDP, ICMP, Multicast, Broadcast, etc.)
◦ Vom System generierter Datenverkehr
◦ Gescannter FTP-Verkehr
◦ Verkehr der über Wireless RED-Appliances oder Access Points hereinkommt.
◦ TCP-Verkehr für das Benutzerportal, die Admin-Konsole oder die Telnet-Konsole
◦ H.323-Verkehr Sitzungen
◦ Überwachungsverkehr für alle Module
Vor der Konfiguration von HA
Bevor Sie zwei Appliances als HA-Paar für Hardware-Failover konfigurieren, stellen Sie sicher, dass folgende Systemvoraussetzungen erfüllt sind:
• Beide Appliances im HA-Cluster, d. h. primäre und sekundäre Appliance, müssen registriert sein und dieselbe Anzahl an Schnittstellen aufweisen. Beide Appliances sollten dasselbe Modell sein.
• Auf beiden Appliances im HA-Cluster muss dieselbe Firmware installiert sein.
• Aktiv-Aktiv: Es sind zwei separate Lizenzen erforderlich, eine für die primäre Appliance und eine für die sekundäre Appliance. Auf beiden Appliances sollten dieselben Abonnementmodule aktiviert sein.
• Aktiv-Passiv: Für die primäre Appliance ist eine (1) Lizenz erforderlich. Für die sekundäre Appliance ist keine Lizenz erforderlich.
• An beiden Appliances müssen die Kabel zu allen überwachten Ports angeschlossen sein. Verbinden Sie den dedizierten HA-Link-Port beider Appliances mit Crossover-Kabel.
• Der dedizierte HA-Link-Port sollte ausschließlich von der DMZ-Zonen-Schnittstelle bereitgestellt werden und muss eine eindeutige IP-Adresse auf beiden Appliances besitzen. SSH sollte für beide Appliances in der DMZ-Zone aktiviert werden.
• Die WWAN- und WLAN-Konfiguration muss vor der HA-Konfiguration deaktiviert werden.
• Die DHCP-/PPPoE-Konfiguration muss deaktiviert werden, bevor HA im Aktiv-Aktiv-Modus konfiguriert wird.
Vor der Aktivierung von HA
Bevor Sie HA aktivieren, müssen Sie die Kennwort und den Dedizierten HA-Link-Port auf der sekundären Appliance angeben. Wählen Sie hierzu Sekundär bei Anfangsstatus der HA-Appliance. Wenn die Daten nicht auf der sekundären Appliance konfiguriert werden, kann sich die primäre Appliance nicht mit der sekundären Appliance verbinden.
Fenster schließen HA konfigurieren
Wichtige Hinweise
• WWAN, WLAN – Der Hochverfügbarkeits-Cluster kann nicht konfiguriert werden, wenn WWAN oder WLAN konfiguriert ist.
• DHCP, PPPoE – Der Hochverfügbarkeits-Cluster kann nicht im Aktiv-Aktiv-Modus konfiguriert werden, wenn eine der Schnittstellen dynamisch mit DHCP- oder PPoE-Protokollen konfiguriert ist.
• Sie können Schnittstellen mit DHCP/PPPoE-Protokollen konfigurieren, wenn der HA-Cluster im Aktiv-Aktiv-Modus konfiguriert ist.
• Maskierte Verbindungen – Im Falle manueller Synchronisierungsereignisse bei einem oder mehreren HA-Cluster-Appliances werden alle maskierten Verbindungen verworfen.
• HA kann von jedem der Appliances deaktiviert werden. Bei einer Deaktivierung von der primären Appliance wird HA auf beiden Appliances deaktiviert. Bei einer Deaktivierung der sekundären Appliance wird HA nicht an der primären Appliance deaktiviert und übernimmt die Funktion eines Standalone-Geräts.
• Nach der Deaktivierung von HA ändert sich das IP-Schema der primären Appliance nicht.
• Nach der Deaktivierung von HA werden für die sekundäre Appliance alle Ports außer dem dedizierten HA-Link-Port und dem Peer-Verwaltungsport deaktiviert. Die Peer-HA-Link-IP ist die dem dedizierten HA-Link-Port zugewiesene IP-Adresse, und die Peer-Verwaltungs-IP ist die dem Peer-Verwaltungsport zugewiesene IP-Adresse.
• Wenn HA von einem Standalone-Rechner deaktiviert wird, ändert sich das IP-Schema nicht.
• Für den Zugriff auf die Admin-Konsole der sekundären Appliance sind Super Administrator-Berechtigungen erforderlich, daher kann ein Zugriff nur durch „Admin“-Benutzer erfolgen und die Seiten „Live-Benutzer“/„DHCP-Leases“/„IPsec-Live-Verbindungen“ werden nicht angezeigt.
• Nach der Deaktivierung von HA werden für die sekundäre Appliance für die LAN-Zone alle Verwaltungsdienste – HTTPS, Telnet, SSH – zugelassen, während für die DMZ-Zone nur HTTPS und SSH zugelassen werden.
• Für die sekundäre Appliance ist der Bereitstellungsassistent nicht verfügbar.
• Der dedizierte HA-Link-Port sollte von einer der DMZ-Zonen-Schnittstellen bereitgestellt werden. Stellen Sie sicher, dass sich die IP-Adressen der HA-Link-Ports der promären und sekundären Appliance in demselben Subnetz befinden.
• Nach der Aktivierung von HA wird bei der Wiederherstellung einer Sicherungen ohne HA-Konfiguration HA deaktiviert und auf die primäre Appliance kann gemäß der Sicherungskonfiguration zugegriffen werden, während der Zugriff auf die sekundäre Appliance mit der sekundären Admin-IP-Adresse möglich ist.
• Im Aktiv-Aktiv-Modus werden E-Mails auf beiden Appliances separat in die Quarantäne verschoben, da für den SMTP-Proxy-Datenverkehr die Lastverteilung per Round-Robin stattfindet.
• Im Aktiv-Passiv-Modus werden E-Mails nur auf der primären Appliance in die Quarantäne verschoben.
• Sofern der Quarantäne-Überblick konfiguriert ist, schicken beide Appliances im Cluster Quarantäne-Überblicks.
• Der Administrator kann E-Mails aller Benutzer, die in die Quarantäne verschoben wurden, von beiden Appliances aus freigeben.
• Der Benutzer kann in Quarantäne verschobene E-Mails über das Benutzerportal freigeben. Im Benutzerportal werden nur in Quarantäne verschobene E-Mails auf der primären Appliance angezeigt. Darüber hinaus kann der Benutzer diese über den Quarantäne-Überblick freigeben, der über die primäre Appliance geschickt wird.
• Nicht verfügbar bei den Modellen CR15i, CR15wi, CR25wi, CR35wi, CR15wiNG, CR25wiNG/6P, CR25wiNG/6P und allen Modellen mit WLAN der SG-Serie.
• HA wird deaktiviert, wenn Sie den Bereitstellungsassistenten ausführen.
• Sie müssen die Appliance registrieren, um HA zu konfigurieren.
Sitzungs-Failover
• Sitzungs-Failover ist möglich für weitergeleiteten TCP-Verkehr im Routing-Modus, Bridge-Modus, gemischten Modus und dem Multiport-Bridge-Modus.
• Sitzungs-Failover ist nicht möglich für die folgenden Arten von Verkehr im Routing-Modus, Bridge-Modus, gemischten Modus und dem Multiport-Bridge-Modus:
◦ Proxy-Teilsystem (transparenter/direkter/übergeordneter Proxy)
◦ VPN-Verkehr
◦ Weitergeleiteter IPv4- und IPv6-Verkehr wie UDP, ICMP, Multicast, Broadcast, etc.
◦ Vom System generierter Datenverkehr
◦ Sitzungen mit Virenscan
◦ Übergeordneter-Proxy-Verkehr
Lastverteilung
• Ein Aktiv-Aktiv HA-Cluster verteilt die Last erfolgreich für die folgenden Arten von Verkehr im Routing-Modus, Bridge-Modus, gemischten Modus und dem Multiport-Bridge-Modus:
◦ TCP-Verkehr, der durch das Proxy-Teilsystem geleitet wird (transparent/direkt/übergeordnet)
◦ Weitergeleiteter TCP-Verkehr
◦ Über NAT (SNAT und Virtueller Host) gesendeter, weitergeleiteter TCP-Verkehr
◦ HTTPS-Verbindung
◦ VLAN-Verkehr
• Ein Aktiv-Aktiv HA-Cluster verteilt die Last nicht für die folgenden Arten von Verkehr im Routing-Modus, Bridge-Modus, gemischten Modus und dem Multiport-Bridge-Modus:
◦ VPN-Sitzungen
◦ Verkehr außer TCP (UDP, ICMP, Multicast, Broadcast, etc.)
◦ Vom System generierter Datenverkehr
◦ Gescannter FTP-Verkehr
◦ Verkehr der über Wireless RED-Appliances oder Access Points hereinkommt.
◦ TCP-Verkehr für das Benutzerportal, die Admin-Konsole oder die Telnet-Konsole
◦ H.323-Verkehr Sitzungen
◦ Überwachungsverkehr für alle Module
Vor der Konfiguration von HA
Bevor Sie zwei Appliances als HA-Paar für Hardware-Failover konfigurieren, stellen Sie sicher, dass folgende Systemvoraussetzungen erfüllt sind:
• Beide Appliances im HA-Cluster, d. h. primäre und sekundäre Appliance, müssen registriert sein und dieselbe Anzahl an Schnittstellen aufweisen. Beide Appliances sollten dasselbe Modell sein.
• Auf beiden Appliances im HA-Cluster muss dieselbe Firmware installiert sein.
• Aktiv-Aktiv: Es sind zwei separate Lizenzen erforderlich, eine für die primäre Appliance und eine für die sekundäre Appliance. Auf beiden Appliances sollten dieselben Abonnementmodule aktiviert sein.
• Aktiv-Passiv: Für die primäre Appliance ist eine (1) Lizenz erforderlich. Für die sekundäre Appliance ist keine Lizenz erforderlich.
• An beiden Appliances müssen die Kabel zu allen überwachten Ports angeschlossen sein. Verbinden Sie den dedizierten HA-Link-Port beider Appliances mit Crossover-Kabel.
• Der dedizierte HA-Link-Port sollte ausschließlich von der DMZ-Zonen-Schnittstelle bereitgestellt werden und muss eine eindeutige IP-Adresse auf beiden Appliances besitzen. SSH sollte für beide Appliances in der DMZ-Zone aktiviert werden.
• Die WWAN- und WLAN-Konfiguration muss vor der HA-Konfiguration deaktiviert werden.
• Die DHCP-/PPPoE-Konfiguration muss deaktiviert werden, bevor HA im Aktiv-Aktiv-Modus konfiguriert wird.
Vor der Aktivierung von HA
Bevor Sie HA aktivieren, müssen Sie die Kennwort und den Dedizierten HA-Link-Port auf der sekundären Appliance angeben. Wählen Sie hierzu Sekundär bei Anfangsstatus der HA-Appliance. Wenn die Daten nicht auf der sekundären Appliance konfiguriert werden, kann sich die primäre Appliance nicht mit der sekundären Appliance verbinden.
