如何配置RMA防火墙

yuma — Mon, 16 Jan 2023 09:12:46 GMT

关键词

RMA 开发 设备管理 初始配置 安装硬件 PAN-OS

标题

如何配置RMA防火墙

环境

在Panorama 管理下的 Palo Alto 防火墙
PAN-OS

解决方案

概述：
要更换或维修防火墙，请向授权的支持供应商开立一个请求RMA的案件。本文件讨论了如何为生产环境准备RMA防火墙。

如果您需要更换HA设备，可以参考以下链接如何配置一个 High Availability RMA设备

步骤：

注册新的防火墙并转移许可证。

收到RMA设备后，注册新设备，并从旧设备转移许可证。在Palo Alto Networks收到故障设备后，旧的许可是被剥离的状态，所以立即转移许可是很重要的。

关于如何转让许可证，请参考以下说明：如何将许可证转移到备用设备上。

配置管理接口
- 默认的管理界面IP是192.168.1.1，默认的登录/密码是admin/admin。
- 配置NTP (Device > Setup > Services) 或日期和时间 (Device > Setup > Management > General Settings)。
- 配置管理端口，使其能够访问互联网，并在Device > Setup > Services下配置DNS服务器。此界面应能访问 updates.paloaltonetworks.com。
- 或者，配置service route，以启用一个具有互联网访问权限的第3层接口进行管理。必须在设备上配置对应的接口、路由和策略。进入Device > Setup > Service Route配置，为paloalto-updates和dns选择适当的接口IP地址。下面提供一个例子注意：请参考如何配置管理口IP来设置管理界面的IP地址。
- 检索以前转移到设备的许可证。Device > Licenses > Retrieve license keys from license server。每个功能的许可证显示在同一页上。请确保有一个URL filtering license，URL filtering被激活，并且数据库已被成功下载。如果显示的是"Download Now" 的链接，那么数据库就没有被下载。一个成功激活和下载的PAN-DB URL filtering 数据库如下图所示。
设备现在已经准备好升级了。从 Device > Dynamic Updates > Applications and Threats > Check Now下载并安装可用的应用程序或Apps+Threats。设备会列出要下载和安装包。
要更新PAN-OS，请进入Device > Software > Refresh。
关于PAN-OS升级的其他信息： How to Upgrade PAN-OS and Panorama
采用与旧防火墙相同的multi-vsys或jumbo-frames（如果适用）。:

> set system setting multi-vsys on

> set system setting jumbo-frame on
要在RMA设备上加载先前备份的配置，请遵循以下使用案例。
- 注意：在恢复配置之前，如果主密钥已被更改，请将更改后的主密钥添加到防火墙上。否则，你将无法将配置提交给防火墙。

案例1：旧设备仍然连接在网络上，防火墙没有使用Panorama管理。
- 假设新防火墙上只有管理平台被连接。
- 在旧设备上，保存Device > Setup > Save Named Configuration Snapshot，然后导出Device > Setup > Export Named Configuration Snapshot。
- 在新设备上，进入Device > Setup > Import Named Configuration Snapshot，将备份的配置导入到设备上。
- 在配置被导入后，加载导入的配置，进入Device > Setup > Load Named Configuration Snapshot。
- 更改管理IP和主机名，这样在连接到同一管理网络时就不会与现有设备产生冲突。如果需要的话，之后可以把它改回来。
- 解决可能存在的commit错误并commit配置。
- 移除旧设备，将网线移到新设备上。

案例2：旧设备仍然连接在网络上，防火墙使用Panorama管理。
- 假设只有新设备的管理平台被连接，进入旧设备并导出设备状态：Device > Setup > Export Device State.
- 转到新设备，进入 Device > Setup > Import Device State，将备份的设备状态导入到新设备上。这样的话，防火墙将获得与旧设备完全相同的设置（也是相同的IP和主机名）。不需要加载任何配置。
- 这时，已经可以删除旧防火墙。
- 在Panorama CLI上，用新的序列号替换旧的序列号：replace device old <old SN#> new <new SN#> 同时 commit local and push commit to firewall，也能够同步成功。

案例3：旧设备不能再进行备份，防火墙不能从Panorama管理。
- 当不再能访问设备时，需要寻找曾经储存的配置。包括寻找tech support files，这些文件可以在旧的case或你的环境中找到，可能被保存在某个地方。永远记得备份配置。
- 从旧的防火墙中寻找旧的tech support。你可以从/opt/pancfg/mgmt/saved-config/running-config.xml获得配置文件。
- 如果没有以前的技术支持，那么也可以使用防火墙的维护模式来备份旧的配置：如何在维护模式下提取Palo Alto Networks防火墙配置
- 一旦找到tech support file，使用running-config.xml文件并将其导入新的防火墙。进入Device > Setup > Import Named Configuration Snapshot。Commit并确保设备已启动并运行。

案例4：旧设备不再可以进行备份，防火墙由Panorama管理。
- 假设只有新设备的管理平台被连接，进入旧设备并导出设备状态：Device > Setup > Export Device State.
- 从Panorama备份配置包。Panorama > Setup > Operations > Export Panorama and Devices config bundle。在这个文件中，有一个.xml文件，其名称包含旧防火墙的序列号。该配置可用于在新设备上加载。然而，这只是防火墙本地配置的副本，不包含 Panorama推送的配置。
- 将IP分配给新的防火墙管理端口，并commit，以便在以下步骤中导入配置后将其连接到Panorama。
- 在Panorama上用新的S/N替换旧的S/N: replace device old <old SN#> new <new SN#> and commit locally。不要将配置推送到新的防火墙上。
- 从Panorama和设备配置包中，使用对应于旧设备S/N的配置，将其导入并加载到新的防火墙上。先不要commit。
- 现在从Panorama推送一个DG和Template，commit到新防火墙上。这个commit应该合并candidate设备并从Panorama推送配置。
- 如果没有commit error，设备应该已经启动并运行。

案例5：旧的设备不再可用来进行备份，防火墙使用Panorama进行管理，但防火墙使用数据平面端口与Panorama进行通信，要求防火墙有完整的配置才能与之通信。
- 完整配置包括 Panorama 管理的集中配置和防火墙的本地配置。
- 这些防火墙的设备状态可以从管理的 Panorama 中生成和导出。
- Panorama可以根据最后提交的本地配置加上Panorama配置来生成设备状态。
- 请参考这篇文章如何从Panorama导出管理的防火墙的设备状态
- 通过替换序列号和导入防火墙状态，我们可以恢复使用 Panorama 来管理防火墙。
- 在Panorama CLI中使用命令：tftp export device-state device <serial number> to <server-ip> or scp export device-state device <serial number> to pantac@<scp-server-ip>:/home/
- 下一步，使用设备状态将其导入新设备并使其恢复与Panorama的通信。
- 在Panorama上用新的S/N替换旧的S/N： replace device old <old SN#> new >new SN#> and commit local。
- Panorama现在应该显示新设备为 "connected"。进入 Panorama > Managed Devices > Summary
- 现在从Panorama推送一个DG和Template commit到新的防火墙。这个commit应该合并candidate设备并从Panorama推送配置。
- 如果没有commit error，设备应该已经启动并运行。

如果在源和目的NAT上使用任何NAT IP，这些IP与NAT接口在同一个子网中（除了接口本身的IP），将需要从防火墙上做一个手动的Gratuitous ARP来更新对等体的ARP表。例如，接口IP是198.51.100.1/24，而使用198.51.100.2做NAT，可能需要发送GARP到198.51.100.2。

> test arp gratuitous ip <ip> interface <interface>

返厂有缺陷的设备。要在送回前恢复出厂默认值，请参考如何对Palo Alto Networks设备进行出厂重置，如果运行PAN-OS 6.0及更高版本，请查看如何使用SSH进入维护模式，因为可以通过SSH进入维护模式。支持订阅包括提前更换故障防火墙的客户必须在收到更换的设备后将有问题的设备退回给Palo Alto Networks。

美国客户--退货标签将与替换件一起放在纸箱中。将该标签贴在纸箱上，以退回有缺陷的设备。
国际客户--请参考退货说明和替换件包装箱中的文件。

其他：

注意：
在auto-commit过程中可能会有5-15个等待期，以便commit过程能够彻底完成。请参阅以下文章以了解更多细节: 如何确定自动提交完成的时间。

article 如何配置RMA防火墙 in 配置和实施

如何配置RMA防火墙

关键词

标题

环境

解决方案