Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 11643 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High Availability Setup - Basics

DaveG
I am trying to setup HA between two identical UTM220's.

I have the basics down on the steps to turn on HA in an Active / Passive configuration.
Need to use a Cross-over cable between eth3 interfaces.

If I am most concerned with one of the UTM220's failing and not a backup ISP, do I use a switch to connect both Eth0 ports together ? (and Eth1's ).

My simple question is 1. "Where do the cables get plugged into" ?

MAster has eth0 to the LAN Network and eth1 to the WAN outside IP.
Master eth3 and Slave eth3 are connected together via a cross-over cable.
Slave eth0 goes to ______?  Slave eth1 goes to ______ ?

Question 2. "Can I use uptodate to upgrade the slave and roll to master" ?

Question 3. "how can I move the workload off of Master to upgrade firmware?' ( need to be up 24/7 ).

My concern is with my many VPN S2S Tunnels.  They will break if my Outside IP changes unless somehow the slave when it becomes active can use the same WAN outside IP.

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Most (all?) GigE NICs are auto-sensing.

    Barry
  • 0 in reply to BarryG
    I connected the 220's per my diagram. Did NOT use a crossover on port 3 ; normal cat5 works fine ( auto-sense ) on the 1gig ports.

    Did not like the Auto-configuration selection ( did not work well for me ) so I tried again using Hot-Standby(active-passive).

    Configuration is very simple:
    1. with both UTM's running w/o eth3 attached configure UTM1 
    - MAnagement, High Availability, then Configuration Tab, Hot-Standby
    - Sync Nic = eth3
    - Device NAme = Node2 ( call it what you want )
    - Device node = 2 ( choice of 1 or 2 )
    - Encryption key = abcd1234 ( use anthing you want )
    - APPLY

    2. go to the other UTM and repeat steps above, except:
    - Device NAme = Node1 ( must be unique ; not the same as other UTM )
    - Device node = 1
    - APPLY

    3. Attach eth3 cat 5 cable and the rest is auto-magic
    - front panels will indicate status like "HA Slave Node 1 Active"

    I had another PC attached with ping on auto to an outside web site
    Then pulled the Eth1 cable from the MAster UTM
    - ping traffic stopped for 2-seconds and then started again
    - the 2-seconds was the time it took for the SLAVE UTM to become MASTER

    I was impressed !

    I also tried updating from 8.305 to 8.306
    - it updates the slave first, reboots and becomes master
    - then the "new" slave updates and reboots and stays the slave

    Just wish I had the option of leaving the master at 8.306 and the slave at 8.305 till I was sure the new version was ok.
    - but I suppose the way it works is acceptable.
  • 0 in reply to DaveG
    First off - looks like version 9 has an option to keep the Master and Slave at different firmware versions.  So you can update one and run on it for a while, then when comfortable, let the other HA box update.

    My final test to implement HA ( have many other projects taking priority ), is to understand if there is any other way to connect both boxes to all interfaces, without using three VLAN ports or a small switch for each interface.

    All is simple on eth0, 1, and the HA port eth3.
    But how do you attach the 2nd box to hosts running on the 1st box on eth4,5,6, and 7 ?

    If a host has two NICS, I cannot find a document how to configure them with the same IP info of that host.  So I could simply connect HA box2 to NIC 2 of the host on eth4 for example.

    Do I have to burn three ports of a VLAN switch for every HA box host interface?
    1. for the Host, 2. for HA box 1 eth4, 3. for HA box 2 eth4

    Thanks
Reply
  • 0 in reply to DaveG
    First off - looks like version 9 has an option to keep the Master and Slave at different firmware versions.  So you can update one and run on it for a while, then when comfortable, let the other HA box update.

    My final test to implement HA ( have many other projects taking priority ), is to understand if there is any other way to connect both boxes to all interfaces, without using three VLAN ports or a small switch for each interface.

    All is simple on eth0, 1, and the HA port eth3.
    But how do you attach the 2nd box to hosts running on the 1st box on eth4,5,6, and 7 ?

    If a host has two NICS, I cannot find a document how to configure them with the same IP info of that host.  So I could simply connect HA box2 to NIC 2 of the host on eth4 for example.

    Do I have to burn three ports of a VLAN switch for every HA box host interface?
    1. for the Host, 2. for HA box 1 eth4, 3. for HA box 2 eth4

    Thanks
Children
  • 0 in reply to DaveG
    You could do NIC teaming on the host which would make two NIC's work as one. This way you connect one host NIC to a port on firewall 1 and the other host NIC to a port on firewall 2.
  • 0 in reply to bryans2k
    Thanks Bryan.

    I looked into NIC Teaming / failover, etc. but it always required a lot of setup on the server end to get the virtual Nic and two physical nics to work.

    Plus my host is an IBM iSeries ( AS400 ) that complicates it a bit.

    I was wondering how most people connect two boxes in HA for eth4,5,6,7...

    I am thinking just using a VLAN switch and make mini VLANS with 3 ports for each interface.  Keep it simple - but hate buring 12 VLAN ports or more.

    My ultimate solution is moving the hosts on eth4,5,6,7 to a VLAN switch then I only have to make both HA boxes see the VLAN switch once.

    Again - how are others doing this ?

    Thanks
Cookie Information Banner