- Thiết bị bảo vệ Meraki MX có thể được định cấu hình để hoạt động như một thiết bị dự phòng warm spare, trong đó MX chính sẽ chuyển đổi nhẹ nhàng sang thiết bị phụ trực tuyến, được định cấu hình trước. Tuy nhiên, nếu MX chính bị lỗi trước khi MX phụ được định cấu hình sẵn làm dự phòng hoặc nếu mạng đang được nâng cấp lên một mẫu MX khác, thì admin phải thực hiện 'cold swap' Bài viết này trình bày hai phương pháp khác nhau để thực hiện 'cold swap' hai thiết bị MX. ÁP DỤNG CẤU HÌNH CỤC BỘ CHO MX THAY THẾ: - Bất kể phương pháp nào được sử dụng, mọi cài đặt cục bộ như địa chỉ IP WAN tĩnh, proxy và tốc độ liên kết sẽ cần được cấu hình cách thủ công trên trang Local Status Page trước khi MX có thể kết nối với Meraki Dashboard. Nói chung, những cấu hình này nên được sao chép từ MX gốc (nếu có). Lưu ý: Nếu MX chạy DHCP và bất kỳ thiết bị downstream nào được cấu hình để phát hiện/chứa các máy chủ DHCP giả mạo, hãy đảm bảo đưa địa chỉ MAC của MX mới vào whitelist. So sánh các Port khác nhau trên thiết bị Meraki: - Hãy tham khảo bảng bên dưới để biết sơ lược về cổng nào tương ứng tới cổng nào khác trên các MX khác nhau. Phần trên cùng bảng là tổng số cổng và loại. Phần thứ hai tương ứng các tên cổng vật lý để thể hiện trên Dashboard. Sử dụng so sánh bên dưới để tính toán độ lệch giữa nhãn cổng vật lý và cấu hình bảng điều khiển. (ví dụ: cổng LAN đầu tiên của MX85 được gắn nhãn vật lý là "5". Cổng này ánh xạ tới LAN 3 trên các mẫu bảng điều khiển.). PHƯƠNG PHÁP 1 – CHUYỂN ĐỔI NHANH (QUICK SWAP): - Phương pháp 1 sẽ dẫn đến việc MX mới còn lại trong cùng một Dashboard Network như MX ban đầu. Thực hiện theo các bước cho Phương pháp 1 sẽ giữ lại tất cả dữ liệu theo dõi client trước đó, không yêu cầu tạo hoặc xóa bất kỳ Networks nào và cho phép quy trình đơn giản hơn khi làm việc với các thiết bị MX trong Combined Network. Bất lợi chính khi thực hiện cold-swap bằng Phương pháp 1 là nó có thể gây ra thời gian ngừng hoạt động nhiều hơn một chút so với Phương pháp 2, vì sẽ có một khoảng thời gian ngắn giữa việc xóa MX gốc (sẽ hoàn trả về Factory Default) và khi thay thế MX mới, MX có thể đăng nhập vào Dashboard và áp dụng lại cấu hình từ MX ban đầu. Tuy nhiên, nếu MX gốc đã không hoạt động hoặc gây ra gián đoạn mạng thì Phương pháp 1 có thể là phương pháp được ưu tiên hơn vì phương pháp này có ít bước hơn và có khả năng nhanh hơn Phương pháp 2 khi bắt đầu mà không cần chuẩn bị. Xóa MX cũ khỏi Network hiện tại - Dashboard Network chỉ có thể chứa một MX trong cùng thời gian. Để nhường chỗ cho MX mới, Admin sẽ phải xóa MX hiện tại. Lưu ý rằng mạng sẽ giữ lại cấu hình non-local của MX cũ, do đó, MX thay thế không cần phải được cấu hình lại trong Dashboard. Để xóa MX khỏi mạng hiện tại, hãy làm theo các bước sau. Bước 1: Chọn Network chứa thiết bị MX cần xoá. Bước 2: Chuyển hướng vào trang Security appliance > Monitor > Appliance status. Bước 3: Click Remove appliance from network. Bước 4: Kiểm tra đúng số Serial thiết bị bạn muốn xóa đi, sau đó nhấn Remove. Bước 5: Thiết bị sẽ bị xóa khỏi mạng. Lưu ý: Bạn không thể xóa thiết bị bảo vệ duy nhất khỏi mạng đang theo dõi bằng số nhận dạng từng client. Mạng sẽ cần được thay đổi để theo dõi theo địa chỉ MAC trên trang Security & SD-WAN > Addressing & VLANs để xóa thiết bị bảo mật khỏi mạng. Thực hiện thay đổi này sẽ xóa tất cả dữ liệu sử dụng của client trong mạng. Thêm MX thay thế vào cùng mạng - Sau khi MX ban đầu bị xóa, hiện có khoảng trống trong mạng để thêm MX thay thế. - Mặc dù có nhiều cách để thêm thiết bị vào mạng, nhưng phần này sẽ phác thảo quy trình từ cấu hình của mạng. Đây là quy trình đơn giản nhất áp dụng cho mọi thiết bị và loại mạng. Lưu ý: Chỉ có thể có một MX hoặc Z1 trong một mạng trừ khi hai MX được sử dụng trong một cặp HA. Việc thêm nhiều loại thiết bị vào mạng sẽ tự động chuyển đổi mạng đó thành mạng kết hợp. Bước 1: Chọn Network mà các thiết bị sẽ được thêm vào, Lưu ý: Chỉ quản trị viên có nhiều tổ chức mới thấy trình đơn thả xuống của tổ chức. Bước 2: Chuyển hướng tới trang Network-wide > Configure > Add devices. Bước 3: (Tùy chọn) Sử dụng hộp tìm kiếm bên dưới danh sách thiết bị để tìm thiết bị bằng: model, số serial,… Bước 4: Chọn ô kế bên thiết bị nào bạn muốn thêm vào. Nếu thiết bị mong muốn không có trong danh sách, chúng có thể cần được Claim trước. Bước 5: Click Add <device_type>. Trong trường hợp này, Add devices. Bước 6: Thiết bị sẽ được thêm vào mạng sau đó và có thể sẵn sàng để giám sát và cấu hình. Thêm một MX thứ hai vào để hình thành cấu hình Warm Spare Bước 1: Chọn mạng có thiết bị. Bước 2: Vào trang Security Appliance > Appliance Status. Bước 3: Click vào nút Configure Warm Spare nằm bên dưới địa chỉ bên trái MX. Bước 4: Chọn Warm Space là Enabled. Bước 5: Chọn số serial thiết bị Warm-spare. Bước 6: Chọn Use virtual uplink IPs hoặc Use the MX uplink IPs. Bước 7: Click Update. Thay thế MX vật lý và Cho phép nó Đăng ký vào - Sau khi MX thay thế đã được thêm vào Network, nó vẫn cần đăng ký chính xác vào Dashboard để lấy cấu hình và thực hiện mọi cập nhật firmware ban đầu. Cho đến khi MX thay thế được đưa vào thực tế và đã được đăng ký đầy đủ cũng như hoàn tất mọi nâng cấp firmware cần thiết, nó sẽ không thể thực hiện đúng các dịch vụ cho client trên mạng. Thông thường, điều này được thực hiện bằng cách di chuyển (các) WAN Uplink trước, sau đó là các kết nối LAN cần thiết nào. Vì MX mới sẽ chạy một bản sao giống hệt với cấu hình MX ban đầu, tất cả cáp phải được di chuyển đến cùng các port trên MX mới như chúng đã được kết nối với trên MX ban đầu. Ví dụ: cáp từ cổng LAN 4 của MX ban đầu chỉ nên di chuyển sang cổng LAN 4 của MX mới hoặc cổng khác có cấu hình giống hệt nhau. - Khi điều này đã được hoàn thành và MX mới đã được đăng ký đầy đủ và hoàn tất các nâng cấp của nó, bây giờ nó sẽ ở đúng vị trí và hoạt động trên mạng với cấu hình chính xác giống như MX ban đầu. Lưu ý: Nếu MX thay thế vẫn không báo cáo trên Dashboard hoặc NAT 1:1 không hoạt động, bạn có thể cần phải xóa ARP cache của upstream modem. Bật lại VPN Site-to-site (tùy chọn) - Nếu thiết bị bảo mật này đã được định cấu hình trước đó để sử dụng VPN Site-to-site, chức năng đó sẽ cần được bật lại trong Security Appliance > Configure > Site-to-site VPN. Chỉ cần thay đổi Mode thành Full-tunnel hoặc Split-tunnel, tùy thuộc vào chế độ hoạt động mong muốn. PHƯƠNG PHÁP 2 (SAO CHÉP VÀ THAY THẾ): - Phương pháp 2 sẽ dẫn đến việc Meraki MX mới được đặt vào Bản sao của Thiết bị MXban đầu. Ưu điểm của điều này là nó cho phép một MX thay thế được dựng trước để triển khai bằng cách cho phép nó đăng ký và áp dụng cấu hình cũng như firmware cho một mạng giống với MX ban đầu để khi MX ban đầu sẵn sàng được hoán đổi vật lý với thiết bị thay thế, thời gian ngừng hoạt động duy nhất sẽ là trong quá trình hoán đổi vật lý giữa các thiết bị MX. - Nhược điểm chính của phương pháp này là quá trình nhân bản, mọi dữ liệu theo dõi lịch sử client sẽ bị mất trên mạng nhân bản mới. Nó sẽ vẫn tồn tại trên mạng ban đầu, nhưng sẽ không được mang theo trong quá trình nhân bản. Nếu MX ban đầu là một phần của AutoVPN hoạt động như một Hub, thì Cold Swap MX sẽ được thêm vào như là Hub mới yêu cầu thay đổi cấu hình trên tất cả các mạng Spoke của nó. Ngoài ra, nếu MX ban đầu là một phần của Combined Network, thì có một số bước bổ sung phải được thực hiện để tích hợp Network mới, được nhân bản trở lại vào Mạng kết hợp ban đầu. Cũng cần lưu ý rằng mạng Nhân bản sẽ có DDNS hostname khác, do đó các dịch vụ dựa trên DDNS hostname cần được cập nhật (ví dụ: người dùng VPN máy khách kết nối bằng tên máy chủ DDNS). Tạo một Nhân bản của Network hiện đang có Bước 1: Trên trang Dashboard, click vào Organization và chọn Create network. Bước 2: Nhập tên 'Name' cho mạng nhân bản mới này. Bước 3: Trong Network type chọn Security Appliance. Bước 4: Ở phần Network configuration chọn Clone from network. Bước 5. Click Create network để tạo mới. Thêm MX thay thế cho Clone Network Bước 1: Chọn mạng mà các thiết bị sẽ được thêm vào. Bước 2: Chuyển hướng tới trang Network-wide > Configure > Add devices. Bước 3: (Tùy chọn) Sử dụng hộp tìm kiếm bên dưới danh sách thiết bị để tìm thiết bị bằng: model, số serial,… Bước 4: Chọn ô kế bên thiết bị nào bạn muốn thêm vào. Nếu thiết bị mong muốn không có trong danh sách, chúng có thể cần được Claim trước. Bước 5: Click Add <device_type>. Trong trường hợp này, Add devices. Bước 6: Thiết bị sẽ được thêm vào mạng sau đó và có thể sẵn sàng để giám sát và cấu hình. Thêm thiết bị MX thứ hai vào để hình thành cấu hinh Warm Spare Bước 1: Chọn mạng có chứa thiết bị thay thế Bước 2: Vào theo đường dẫn Security Appliance > Appliance Status. Bước 3: Click vào nút Configure Warm Spare được đặt bên dưới địa chỉ định vị MX trong khung phía bên trái trang. Bước 4: Đặt cấu hình Warm Spare là Enable. Bước 5: Chọn vào đúng số serial của thiết bị Warm spare. Bước 6: Chọn Use virtual uplink IPs hoặc Use the MX uplink IPs. Bước 7: Click Update. Để thiết bị MX thay thế hoạt động: - Sau khi thêm MX thay thế vào mạng mới được nhân bản, nó cần được online để kéo cấu hình ban đầu và cập nhật firmware. Điều này cho phép MX thay thế được dựng trước để triển khai mà không cần xóa MX hiện tại hoặc thay đổi bất kỳ cấu hình nào. Theo mặc định, tất cả các thiết bị MX sẽ tìm IP DHCP WAN để sử dụng để lấy cấu hình ban đầu của chúng, nếu DHCP không có sẵn hoặc nếu IP tĩnh được yêu cầu, Trang Local Status sẽ cần được sử dụng để cấu hình đó cho giao diện WAN của MX thay thế. Thay thế thiết bị MX vật lý: - Sau khi thiết bị bảo vệ Meraki MX thay thế đã được thêm vào mạng nhân bản và được phép kéo cấu hình và cập nhật firmware xong hết, nó sẽ sẵn sàng để hoán đổi vật lý với MX gốc. Thông thường, điều này được thực hiện bằng cách chuyển các WAN Uplink trước, sau đó là tất cả kết nối đến LAN. Vì MX mới đang chạy một bản sao giống với cấu hình MX trước, tất cả các cáp phải được di chuyển đến cùng các cổng trên MX mới khi chúng được kết nối với trên MX ban đầu. Ví dụ: cáp từ cổng LAN 4 của MX ban đầu chỉ nên di chuyển sang cổng LAN 4 của MX mới hoặc cổng khác có cấu hình giống hệt nhau. - Khi việc này đã hoàn thành, MX mới nên được đặt nơi và hoạt động trên mạng với cấu hình giống như MX ban đầu. Lưu ý: Nếu MX thay thế vẫn không báo cáo trên Dashboard hoặc NAT 1:1 không hoạt động, bạn có thể xóa ARP cache của modem upstream. NHỮNG BƯỚC THỰC HIỆN KHÁC MÀ BẠN CÓ THỂ THỰC HIỆN ĐỂ TỐI ƯU CHO MX THAY THẾ: Bật lại VPN Site-to-Site Xóa mạng Gốc đã được nhân bản. Tích hợp Cloned MX Network (Mạng nhân bản) đã nhân bản với Combined Network (Mạng hỗn hợp) hiện có: - Nếu MX ban đầu đã nằm trong Combined Network thì Cloned Network mới cũng có thể được tích hợp trở lại vào Combined Network hiện có chỉ bằng một vài bước bổ sung. Chia tách Combined Network - Trước khi Thiết bị bảo vệ MX mới có thể được thêm vào mạng hỗn hợp thì Combined Network trước tiên mạng phải được hủy hỗn hợp. Để làm như vậy, hãy đi đến trang Organization > Monitor > Overview. Tiếp theo, mở rộng Network List nếu nó chưa được mở rộng theo mặc định và chọn checkbox cho Combined Network sẽ được tách ra. Sau đó, chọn Split Networks từ đầu Network List. - Sau khi chọn Split Networks cho Combined Network ban đầu giờ đây sẽ được chia thành các mạng riêng lẻ, với mỗi Network được liệt kê riêng là 'Network_Name-appliance', 'Network_Name-switch' và ''Network_Name-wireless. Nếu không có thiết bị nào thuộc loại nhất định từng được thêm vào mạng hỗn hợp thì loại mạng tương ứng đó sẽ không có sau khi chia tách. Ví dụ: nếu không có thiết bị không dây nào được thêm vào 'Network_Name' khi được kết hợp lại, thì khi tách thiết bị này, chúng tôi sẽ không thấy mạng '-wireless' được tạo ra. Kết hợp lại với Mạng MX Mới - Sau khi đã tách Combined Network ra, giờ đây chúng ta cần kết hợp lại nó với mạng Security Appliance Network có chứa MX thay thế. Để tái kết hợp các Network, trước tiên hãy chọn các checkbox cho tất cả các Netowk sẽ được kết hợp. Điều này sẽ bao gồm bất kỳ mạng '-switch' hoặc '-wireless' nào còn lại từ mạng kết hợp ban đầu ngoài mạng MX mới được nhân bản. Sau khi đảm bảo rằng đã chọn đúng các Network, hãy click vào nút ''Combine' ' và chọn tên cho Network mới được kết hợp để hợp nhất các mạng đã chọn lại với nhau thành một Combined Network duy nhất.
