交換後の高可用性デバイスの設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Configure a High Availability Replacement Device

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-High-Availability-Rep...

 

 

概要

この文書は、高可用性 (HA) システム中のデバイスをRMAする場合の、交換デバイスの設定方法について記載します。

 

手順

設定のバックアップを収集

故障したデバイスの設定のバックアップを取得する:

  1. [ Device ] > [セットアップ ] > [ 操作 ] > [ 設定の管理 ] > [ デバイス状態のエクスポート ] をクリックします。 デバイス状態には、デバイスの設定が含みます。
    注:Panoramaからデバイスのバックアップを取得するには、[ Panorama ] > [ 管理対象デバイス ] を開き、適切なデバイスのバックアップ欄の中の「Manage...」をクリックします。あるいは、CLIからSCPやTFTPを使用してコンピュータにデバイス状態をエクスポートできます。
    > scp export device-state device to username@serverip:/path/
  2. 以下のコマンドを使用して、故障した機器をシャットダウンします:
    > request shutdown system
  3. 新しい機器をラックに載せ、機器の管理インターフェイスに接続します。

 

新しいデバイス上で、基本的な設定を実施

  1. ライセンスを転送します。参照:How to Transfer Licenses to a Spare Device
  2. (任意) 古いファイアウォールの操作モードに合わせるために、新しいファイアウォールのモードを設定します。この作業にはシリアルポートでの接続が必要です。
    1. 以下のCLIコマンドを入力して、ファイアウォールのメンテナンスモードに入ります:
      > debug system maintenance-mode
    2. メンテナンス パーティションに入ってブートするために、ブート シーケンス中に"maint"と入力します。
    3. メイン メニューから、操作モードとして"Set FIPS Mode"または"Set CCEAL 4 Mode"を選択します。
  3. 交換したデバイスへの管理アクセスを設定します。
    1. コンソールに接続し、初期の資格情報を使用してログインします:
      • ユーザー名:admin
      • パスワード:admin
    2. 以下のCLIコマンドを使用して管理IPアドレス、ネットマスク、ゲートウェイ、DNS、そして更新サーバーを設定します:
      > configure
      # set deviceconfig system ip-address <value> netmask <value> default-gateway <value>
      # set deviceconfig system dns-setting servers primary 4.2.2.2

      # set deviceconfig system update-server updates.paloaltonetworks.com
      # commit
      # exit
    3. テストとしてドメインに対してPingをします。例:(訳注1)
      > ping host paloaltonetworks.com
  4. ライセンス サーバーからライセンスを取得します。
    • [ Device ] > [ ライセンス ] を開きます。
    • 「ライセンス サーバーからライセンス キーを取得」をクリックします。
    • URLフィルタリングのライセンスを所有していることを確認し、URLフィルタリングが有効化されていることと、そのデータベースのダウンロードに成功していることを確認します。注:「今すぐダウンロード」というリンクが表示されている場合、データベースはダウンロードされていません。
  5. 交換したデバイスに、既存の対となるHAデバイスと同じGlobalProtectクライアントと、同じバージョンのPAN-OSをインストールします。
    • GlobalProtectクライアントのインストール
      1. [ Device ] > [ GlobalProtectクライアント ] を開きます。
      2. 適切なバージョンのクライアントをダウンロードして有効にします。
    • PAN-OSのインストール
      1. [ Device ] > [ ソフトウェア ] を開きます。
      2. 適切なイメージをダウンロードしてインストールします。
    • 再起動します。
  6. ダイナミック更新が、対となるHAとして同じバージョンを保持していることを確認します。同じバージョンではない場合、適切なバージョンをダウンロードしてインストールします:
    [ Device ] > [ ダイナミック更新 ] > [ ダウンロード ] > [ インストール ]
  7. デバイスがPanoramaから管理されている場合、古いシリアルナンバーを新しいシリアルナンバーと置き換えます:
    > replace device old <Old Serial #> new <New Serial #>

 

設定の復元

  1. [ Device ] > [ セットアップ ] > [ 操作 ] を開きます。
  2. 「デバイス状態のインポート」をクリックして、故障したデバイスから、以前バックアップしておいた設定をインポートします。
  3. コミットをクリックし、デバイス状態のインポートを完了させます。
  4. (任意) 新しいファイアウォールの操作状態を古いファイアウォールに合わせます。例えば、マルチ仮想システム (multi-vsys) 機能を有効にしていたファイアウォールのためにmulti-vsys機能を有効にします。
    > set system setting multi-vsys on
    > set system setting jumbo-frame on
  5. 新しいデバイスが、アクティブなデバイスに設定をプッシュしないように、確実にパッシブ状態にしておきます。
    • 新しい機器を一時停止させるために、CLIにて以下のコマンドを実行します:
      > request high-availability state suspend
      あるいは
    • GUIから、[ Device ] > [ 高可用性 ] > [ 操作コマンド ] > [ ローカル デバイスの一時停止(訳注2)]
      あるいは
    • 設定変更を実施:
        • [ Device ] > [ 高可用性 ] > [ 全般 ] > [ セットアップ ] を開き、"設定の同期化の有効化"オプションのチェックボックスのチェックを外す。
        • [ 選択設定 ] 内のプリエンプティブを無効にする。
        • もっとも大きいデバイスのプライオリティ値 (255) でデバイスを設定する。
        • コミットを実行する。
          注:デバイスは、この設定ではアクティブにはなりません。参照High Availability Synchronization
  6. 交換したデバイスが、アクティブなデバイスと同じ設定を保持していることを確認します。
    • [ Dashboard ] タブを開き、高可用性ウィジェットを確認します。
      注:高可用性ウィジェットが表示されていない場合、[ ウィジェット ] > [ システム ] > [ 高可用性 ] をクリックします。
    • 設定が同じでない場合、[ Device ] > [ 高可用性 ] を開き、アクティブなデバイスから"Push configuration to peer"をクリックします。
  7.    アクティブな機器にログインします。[ Device ] > [ 設定監査 ] を開き、"Running Config"と"Peers Running Config"間で設定監査を行います。両方の設定が同じであることを確認します。相違が見られる場合、パッシブな機器を手動にて設定を試みます。

故障したデバイスの設定のバックアップが取得されていなかった場合、設定に相違が起きる可能性があり、新しいデバイスはアクティブな機器と同じ設定を持たないことになります。このような場合、手動による設定が必要となります。

  1. 交換したデバイスにて、設定の同期を有効にし ( [ Device ] > [ 高可用性 ] > [ 全般 ] > [ セットアップ ] )、プリエンプティブを有効にします ( [ Device ] > [ 高可用性 ] > [ 全般 ] > [ 選択設定 ] )。
  2. コミットをクリックして、変更を反映します。

 

コミット後、残りのケーブルを新しいデバイスに接続します。

 

 

訳注1:2016/10/31現在、paloaltonetworks.comや更新サーバーはPingに対して応答を返さなくなっています。更新サーバーへの接続確認は、WebUIでは、[Device] > [ソフトウェア]から[今すぐチェック]をクリックし接続エラー出ないことを確認するなどの方法で行ってください。

訳注2:[Suspend local デバイス]の表記となっている場合もあります。

 

著者:hshah