PAN-OSアップグレードのベスト プラクティス

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Best Practices for PAN-OS Upgrade

https://live.paloaltonetworks.com/t5/Featured-Articles/Best-Practices-for-PAN-OS-Upgrade/ta-p/111045

 

以下はPAN-OS アップグレード プロセスの未経験のお客様に、ベスト プラクティスの手順を紹介する文書となります。お客様個別のアップグレード手順を作成されたいお客様向けに、基礎となる情報の提供を意図しています。

 

PAN-OSのアップグレードとお客様責任範囲

  • PAN-OSをアップグレードする過程で、機能リリース バージョンをスキップすることはできません。また、ベスト プラクティスとして、常に各機能リリースにおける最新のメンテナンス リリース バージョンをダウンロードし、インストールするようにしてください。次の機能リリースのベース イメージをインストールする前に、機器の再起動も行ってください。これは、アップグレードするパスのすべての機能リリースについても同様です。
  • Panoramaは二つ先の機能リリースまでの互換性を持っています。例えば、PAN-OS 8.0のPanoramaはPAN-OS 7.0のファイアウォールを管理できますが、PAN-OS 6.1のファイアウォールは管理できません。
  • この例では、架空のお客様(ACME社)がPAN-OS 7.0.16から8.0.6-h3(7.1が途中のステップとして含まれます)へのアップグレードを実施します。
  • ACME ファイアウォールはPanoramaの管理下にあるアクティブ/パッシブ高可用性(HA)クラスターです(これは、今日では最も一般的な設定、用法です)。アクティブ/アクティブ、高可用性でない状況、Panoramaがインストールされていない状況は想定していません。
  • これはベスト プラクティスの文書であり、詳細に手順の各ステップを解説することを目的としてはおりません。必要であれば、各お客様ごとで詳細手順は作成してください。
  • お客様はアップグレードのすべての手順を検証する責任を持ちます。

用語定義

アクティブ ファイアウォール

高可用性クラスターにてトラフィックが通過するファイアウォール

パッシブ ファイアウォール

高可用性クラスターにてトラフィックが通過しないファイアウォール

プライマリ ファイアウォール

高可用性クラスターにて通常アクティブであるファイアウォール

セカンダリ ファイアウォール

高可用性クラスターにて通常パッシブであるファイアウォール

機能リリース

新機能とバグ フィクスを含むリリース。大抵の場合、末尾が.0の表記となる(例: 7.1.0

メンテナンス リリース

バグ フィクスのみのリリース。大抵の場合、末尾が0ではない数字となる(例:7.1.2

 

依存性

  • アップグレード前に、ファイアウォール上で稼働するアプリケーション及び脅威のバージョン(コンテンツ バージョン)が、新しいPAN-OSの最低要件を満たしているか確認しておきます(次のページでリリースノートを確認してください)。 https://www.paloaltonetworks.com/documentation.html
  • Panoramaはファイアウォールの機能リリースと同じか、より新しいバージョン(二つ上の機能リリースまでサポートしていますが、2016年6月現在推奨はしていません)で稼働していることを確認します。

ファイアウォールの稼働バージョン

サポートされるPanoramaのバージョン

PAN-OS 7.0.x

7.0.x, 7.1.x, 8.0.x

PAN-OS 7.1.x

7.1.x, 8.0.x

PAN-OS 8.0.x

8.0.x

 

目次

  1. アップグレードの必要性の確認
  2. アップグレード前のチェックリスト
  3. Panoramaのアップグレード手順
  4. ファイアウォールのアップグレード手順(高可用性(HA))
  5. アップグレード後のチェックリスト
  6. トラブルシューティングのリソース
  7. ダウングレード手順

 

1. アップグレードの必要性の確認

  • 大抵の場合、アップグレードは以下の理由でのみ検討するべきです。
  • アップグレードの決定において、我々はお客様に対して Palo Alto Networks アカウントチームへのご相談を強くお勧めしております。お客様のPalo Alto Networksアカウントチームが、推奨するPAN-OSのバージョン情報をご提供いたします。
  • この文書では、2つの機能リリースをまたがる (7.0 > 7.1 > 8.0)アップグレード プロセスの紹介を目的とし、例として7.0.16から8.0.6-h3にアップグレードをします。
  • 注意: 
    8.0より以前の全てのPAN-OSにおいて(つまりPAN-OS 7.1以下)、アップグレード中に思わぬ障害や問題に遭遇することを避けるため、最新のメンテナンスリリースにアップグレードすることを推奨します。

  • PAN-OS 8.0 ベース イメージのインストールに関する注意: 

    PAN-OS 8.0についてはベース イメージのサイズが大きい傾向にあるため、さらにベスト プラクティスとして(更新サーバーからのインストールではオプション。手動でファイルからインストールする場合は必須)、ベース イメージのインストールと再起動が加わります。

  • 高可用性(HA) アップグレードに関する注意: 
    二つの機能リリース バージョンにまたがって一度にアップグレードする場合、ネットワーク断が発生することになります。一方で一つの機能リリースのアップグレードが行われる場合は、高可用性におけるアクティブ状態は維持され、ネットワーク断は発生しません。

高可用性(HA)の同期とアクティブ状態を維持するには、高可用性ペアのアップグレードを逐次(タンデムで)行います。もし2つの機能リリースアップグレードを一台の機器に対して行ったら、新しくアップグレードした機器には対向機のOSが古すぎるというエラーが出続け、サスペンド モードにとどまります。そのためもう一つの高可用性機器に対して機能OSアップグレードを実施すると、アップグレードが完了し最初の機器がサスペンド モードからパッシブモードとなり高可用性が復旧するまでネットワークの接続性が失われます。 

  

2. アップグレード前のチェックリスト

  • リリース ノートのレビュー。
  • Panoramaとファイアウォールのアップグレードを同時にスケジュールしない。
  • 先にPanoramaをアップグレードし、ファイアウォールをアップグレードするまで最低24時間待った後、ファイアウォールをアップグレードする。
  • Palo Alto NetworksのTAC(Technical Assistance Center)にコンタクトし、プロアクティブ(事前準備)のサポート ケースをオープンします。これはアップグレード作業時に支援が必要となった際に、スムーズな連絡に役立ちます(訳注:ケースはプレミアム サポート契約のお客様が直接オープン可能です。代理店契約の場合は予め代理店にご相談ください。プロアクティブ ケースをオープンした場合も、対応は発生した問題の重大度に応じたSLAでの対応となります。日本の営業時間外は英語での対応となります)。ケースには以下のような適切な情報をアップロードしてください。
    • プライマリおよびセカンダリ機器(Panoramaとファイアウォール)のテクニカル サポート ファイルとStats Dumpファイル
    • ネットワーク トポロジーの図
    • 使用している標準的でない設定に関する文書
    • 正確な作業日時
    • 問題が起きたときに参加可能なWeb ミーティング/電話会議(カンファレンス ブリッジ)情報
  • アップグレードは業務時間外の実施として、影響を最小限とすべきです。
  • アップグレードのための変更時間には、トラブルシューティングやダウングレードでの切り戻しも考慮して十分な時間を割り当ててください。動作に時間がかかる、ないしは古いシステムなどでは、設定内容次第では2-3時間をアップグレードに要するかもしれません。複数のバージョンのアップグレードを実施する場合は、あわせて時間も倍加します。
  • アップグレードにアプリケーションとネットワークの機能が問題ないことの確認のための、サービス利用者の連絡先を決定しておきます。
  • アップグレード前にコンフィグレーションとデバイス状態のバックアップを取ります。
  • 2016-09-06_upgrade1.png
    • Device > セットアップ > 操作 > 名前付き 設定スナップショットの保存
    • Device > セットアップ > 操作 > 名前付き 設定スナップショットのエクスポート
    • Device > セットアップ > 操作 > デバイス状態のエクスポート
      2016-09-06_ugrade2.png
    • Device > サポート > テクニカル サポート ファイルの生成
  • アップグレード後に適用が必要となるかもしれない、標準的でない設定に関する文書。
    • TCP ステート チェックの無効化
    • Non-syn tcp reject
    • デバッグ設定を実施している(非推奨)
  • PAN-OSイメージのダウンロードと準備が事前に必要です。ベース イメージと最新のメンテナンス リリースの双方が必要となります。ベースイメージのインストール時に再起動は不要です。この場合、以下のバージョンをダウンロードする必要があります。
    • 7.0.18(まず初めに、現行の機能リリースを最新の推奨メンテナンスリリースに上げることを推奨します)
    • 7.1.0(ベース イメージ)(注: もし、現状のメンテナンス リリースが7.0.6より古い場合、7.1.0がソフトウェア ダウンロード ページに表示されるためには7.0.6をインストールしなければなりません)
    • 7.1.14 (訳注: 原文執筆時点の最新バージョンと考えられる。以降、作業時点での最新の7.1のメンテナンス リリースに読み替えてください)
    • ファイアウォール用に8.0.0、Panorama用に8.0.2(ベース イメージ)(注: 8.0のベース イメージとメンテナンス バージョンは7.1をインストールするまでダウンロード ページには表示されません)
    • 8.0.6-h3
  • PAN-OSアップグレードに伴い、関連するソフトウェアのアップグレードが必要となるかもしれません(GlobalProtectエージェントやUser-IDエージェントなど)。
    • リリースノート中のAssociated Software and Content Versions の表を確認します。
  • (オプション、ただし推奨ファイアウォールへのネットワークの帯域外からのアクセス(コンソール アクセス)の準備を可能であれば実施。これはアップグレードに予期せずファイアウォールにログインできない状況が発生した場合の復旧に役立ちます。

 

3. Panoramaのアップグレード手順

  • プライマリ Panoramaアップグレード手順:
    1. プリエンプティブが有効化されていた場合の無効化。
      (高可用性設定におけるプリエンプティブの無効化は意図しないフェイル オーバーを避けるためです。プリエンプティブ無効化の変更は両方の機器でコミットする必要があります。)
    2. Device > 高可用性 > 選択設定 にてプリエンプティブのチェックを外します。その後に変更をコミットします:
      2016-09-06_upgrade4.png
    3. セカンダリをアクティブにするため、プライマリをサスペンドします。
      プライマリのPanoramaから高可用性の機能を使用してサスペンドします:
      CLI:
      > request high-availability state suspend

      GUI:
      Device > 高可用性 > 操作コマンド > Suspend local デバイスをクリック。 
      2016-08-31_ha3.png
    4. サスペンド状態をプライマリ/パッシブのPanoramaで確認します。
    5. すべてのファイアウォールがセカンダリ/アクティブのPanoramaに接続していることを確認します。
    6. プライマリのPanoramaにて、7.0.18をダウンロード、インストールし、再起動します。
    7. 7.1.0(ベース バージョン)をダウンロードします。
    8. 7.1.14をダウンロードし、インストールします。再起動によりインストールが完了します。
    9. テクニカル サポート ファイルと名前付き デバイス状態の保存/エクスポートを実施します(ダウングレードが必要となったときのため)。
    10. 8.0.2をダウンロードします(ベース バージョン)。
        ベスト プラクティスとして、PAN-OS 8.0にアップグレードする際は、PAN-OS 8.0.2 ベース イメージをインストールしてからPAN-OS 8.0のメンテナンスリリースをダウンロード/インストールする前にファイアウォールを再起動します。これはオプションであり追加のステップです。
    11. 8.0.6-h3をダウンロードし、インストールします。再起動によりインストールが完了します。
    12. テクニカル サポート ファイルと名前付き デバイス状態の保存/エクスポートを実施します(ダウングレードが必要となったときのため)。
    13. 必要な場合、プリエンプティブを再度有効化します。
    14. これによりプライマリ Panoramaのアップグレードが完了します。
  • セカンダリ Panoramaアップグレード手順:
    1. 7.0.18をダウンロード、インストールし、再起動します。
    2. 7.1.0(ベース バージョン)をダウンロードします。
    3. 7.1.14をダウンロードし、インストールします。再起動によりインストールが完了します。
    4. テクニカル サポート ファイルと名前付き デバイス状態の保存/エクスポートを実施します(ダウングレードが必要となったときのため)。
    5. 8.0.2をダウンロードします(ベース バージョン)
            ベスト プラクティスとして、PAN-OS 8.0にアップグレードする際は、PAN-OS 8.0.2 ベース イメージをインストールしてからPAN-OS 8.0のメンテナンスリリースをダウンロード/インストールする前にファイアウォールを再起動します。これはオプションであり追加のステップです。
    6. 8.0.6-h3をダウンロードし、インストールします。再起動によりインストールが完了します。
    7. テクニカル サポート ファイルと名前付き デバイス状態の保存/エクスポートを実施します(ダウングレードが必要となったときのため)。
    8. これによりセカンダリ Panoramaのアップグレードが完了します。
    9. 念のため設定とデバイス状態をバックアップします:
      https://live.paloaltonetworks.com/t5/Configuration-Articles/Back-Up-Configuration-and-Device-State-f...
    10. 設定のロックを行うことで、ポリシーや設定の変更が行われないようにします。
      2016-09-06_upgrade3.png
      GUI右上の南京錠のアイコンをクリックします。何らかのロックがあった場合、ロックを解除するかロックを実施した管理者に確認を取ってください。解除の後にコミットします。
  • アップグレード開始前にPanoramaのペンディングのコミット ジョブをクリアないしは完了します。
  • (オプション、ただし推奨)アップグレード後のフェイル オーバーテスト:
  • アップグレード後もフェイル オーバーが機能しているか確認のため、セカンダリPanoramaをサスペンドし、プライマリのPanoramaに接続を戻します。
    CLI:
    > request high-availability state suspend
    GUI:
    Device > 高可用性 > 操作コマンド > Suspend local デバイスをクリック。

  • セカンダリPanoramaにてサスペンド状態を確認します。
  • すべてのファイアウォールがプライマリPanoramaに接続していることを確認します。
  • セカンダリPanoramaを高可用性の機能を使用して再度有効化します。
    CLI:
    > request high-availability state functional
    GUI:
    Device > 高可用性 > 操作コマンド > Make local デバイス functionalをクリックします 。

 

4. ファイアウォールのアップグレード手順(高可用性(HA))

プライマリ ファイアウォールを先にアップグレードし、それからセカンダリ ファイアウォールをアップグレードすることを推奨します。これは次の二つの理由によるものです:

1.) 高可用性のフェイル オーバーが適切に機能し、 
2.) パッシブのファイアウォールが適切に機能し、トラフィックを処理できる。

  • プリエンプティブが有効の場合、無効化します。プリエンプティブの無効化は予期せぬフェイルオーバーの発生を防ぎます。プリエンプティブ無効化設定の変更は両方の機器でコミットする必要があります。同様に再有効化も両方の機器でコミットする必要があります。
    無効化の方法: Device > 高可用性 > 選択設定 にてプリエンプティブのチェックを外します。
    その後に変更をコミットします。
    2016-09-08_vpc6.png
    注: この手順は管理者が機器へいつでもアクセスできることを前提としています。ファイアウォールのアップグレードに際しては、マネジメント ネットワークへのローカルから、または帯域外(訳注:前述のコンソール アクセス)で接続性があることがベストプラクティスです。これらのアクセスが確保できない場合、厳密なアップグレード手順を犠牲にしてでも、接続性を失わないように手順をいくらか変更するのが良いでしょう。

    プリエンプティブを有効化していると、この変更におけるすべてのプロセスにおいて、アップグレード中にアクティブの機器が変更されること気にせねばならなくなります。
  • プライマリ ファイアウォール アップグレード手順
    1. プライマリ ファイアウォール上で、セカンダリ ファイアウォールをアクティブにするために、プライマリをサスペンドします
      CLI
      > request high-availability state suspend
      GUI
      Device > 高可用性 > 操作コマンド > Suspend local デバイスをクリック。
      注: これは高可用性のフェイル オーバーを引き起こします。高可用性が機能していることを確認するために、アップグレードの開始前にこの手順を最初に行うことを推奨します。本番環境のトラフィックはこの時点でアクティブとなったセカンダリ ファイアウォールで処理されています。 
    2. 利用者にすべてのネットワーク上の全てのアプリケーションが機能していることを確認します。問題があればトラブルシューティング セクションに進んでください。もし問題があれば、アップグレードを進める前に解消します。
    3. プライマリ ファイアウォールをアップグレードします。直接ファイアウォールからダウンロードとインストールを実施する、またはPanoramaの デバイスのデプロイ > ソフトウェア を経由してのどちらの手段でも行えます。
    4. 7.0.18をダウンロード、インストールし、再起動します。
    5. 7.1.0(ベース バージョン)をダウンロードします。
    6. 7.1.14をダウンロードし、インストールします。再起動によりインストールが完了します。
    7. テクニカル サポート ファイルと名前付き デバイス状態の保存/エクスポートを実施します(ダウングレードが必要となったときのため)。
    8. 8.0.0をダウンロードします(ベース バージョン)。
          ベスト プラクティスとして、PAN-OS 8.0にアップグレードする際は、PAN-OS 8.0.0 ベース イメージをインストールしてからPAN-OS 8.0のメンテナンス リリースをダウンロード/インストールする前にファイアウォールを再起動します。これはオプションであり、追加のステップです。
    9. 8.0.6-h3をダウンロードし、インストールします。再起動によりインストールが完了します。
    10. プライマリ ファイアウォールにて、次の手順に進む前に以下のコマンドを使用してコミットが成功裏に完了する(FIN OK)ことを確認します: 
      > show jobs all 
      プライマリ ファイアウォールを以下のコマンドを実行して再度有効化します:
      > request high-availability state functional
    11. これによりプライマリ ファイアウォールのアップグレードが完了します。
  • セカンダリ ファイアウォール アップグレード手順:
    1. プライマリ ファイアウォールをアクティブにするため、セカンダリ ファイアウォールををサスペンドします。
      セカンダリファイアウォールから、高可用性の機能を使用してサスペンドします。
      CLI:
      > request high-availability state suspend

      GUI:
      Device > 高可用性 > 操作コマンド > Suspend local デバイスをクリック。

      注:これは高可用性のフェイル オーバーを引き起こします。本番環境のトラフィックはこの時点でアクティブとなった新しいソフトウエアがインストール済みのプライマリ ファイアウォールで処理されています。
    2. 利用者にすべてのネットワーク上の全てのアプリケーションが機能していることを確認します。問題があればトラブルシューティング セクションに進んでください。もし問題があれば、アップグレードを進める前に解消します。
    3. セカンダリ ファイアウォールをアップグレードします。直接ファイアウォールからダウンロードとインストールを実施する、またはPanoramaの デバイスのデプロイ > ソフトウェア を経由してのどちらの手段でも行えます。
    4. 7.0.18をダウンロード、インストールし、再起動します。
    5. 7.1.0(ベース バージョン)をダウンロードします。
    6. 7.1.14をダウンロードし、インストールします。再起動によりインストールが完了します。
    7. テクニカル サポート ファイルと名前付き デバイス状態の保存/エクスポートを実施します(ダウングレードが必要となったときのため)。
    8. 8.0.0(ベース バージョン)をダウンロードします。
            ベスト プラクティスとして、PAN-OS 8.0にアップグレードする際は、PAN-OS 8.0.0 ベース イメージをインストールしてからPAN-OS 8.0のメンテナンス リリースをダウンロード/インストールする前にファイアウォールを再起動します。これはオプションであり、追加のステップです。
    9. 8.0.6-h3をダウンロードし、インストールします。再起動によりインストールが完了します。
    10. 次の手順に進む前に以下のコマンドを使用してコミットが成功裏に完了する(FIN OK)ことを確認します: 
      > show jobs all 

      セカンダリ ファイアウォールを以下のコマンドを実行して再度有効化します:
      > request high-availability state functional
    11. これによりセカンダリ ファイアウォールのアップグレードが完了します。
  • (オプション、ただし推奨) TCP-Reject-Non-SYNが有効化されていた場合は、無効化します。
    アップグレードが機能リリース間に渡る場合(6.1->7.0あるいは7.0->7.1)、セッションが同期されていなくてもフェイル オーバーするよう、TCP-Reject-Non-SYNの無効化が望ましいです。
    > configuration
    # set deviceconfig setting session tcp-reject-non-syn no
    # commit
  • (オプション、ただし推奨) ファイアウォールへのネットワークの帯域外からのアクセス(コンソール アクセス)の準備を可能であれば実施。
    これはアップグレードに予期せずファイアウォールにログインできない状況が発生した場合の復旧に役立ちます。

  • 念のため設定とデバイス状態をバックアップします。
  • 設定のロックを行うことで、ポリシーや設定の変更が行われないようにします。
    • GUI右上の南京錠のアイコンをクリックします。
  • ファイアウォールにPendingのコミット ジョブがないことを確認します。
  • (オプション、ただし推奨) アップグレード後の確認
    • この時点でプライマリとセカンダリ両方のファイアウォールが新しいソフトウェアで稼働しており、再度フェイル オーバーを試験するのは良い考えでしょう。
    • セカンダリにトラフィックを移すために、以下のコマンドでプライマリ ファイアウォールをサスペンドします。
    • > request high-availability state suspend
      利用者にすべてのネットワーク上の全てのアプリケーションがセカンダリ ファイアウォールを通して機能していることを確認します。問題があればトラブルシューティング セクションに進んでください。
    • プライマリ ファイアウォールを有効化するために、以下のCLIコマンドを実行します:
      > request high-availability state functional
    • プライマリ ファイアウォールを通してトラフィックが機能していることを手順を繰り返して確認します(セカンダリ ファイアウォールをサスペンドし、プライマリ ファイアウォールをテストし、それからセカンダリを再度有効化します)。
    • これでフェイル オーバー テストが終了します。
  • (オプション、ただし推奨) アップグレードのために無効化していた場合は、TCP-Reject-Non-SYNを有効化します。
    CLIにて:
    >configure
    # set deviceconfig setting session tcp-reject-non-syn yes

    # commit

  • (オプション、ただし推奨) アップグレードのために無効化していた場合は、プリエンプティブを有効化します。
    • プリエンプティブの再有効化の設定変更は両方の機器でコミットしなければなりません。
    • Device > 高可用性 > 選択設定 にてプリエンプティブのチェックします。その後に変更をコミットします:
      2016-09-08_vpc6.png
  • これで高可用性ペアのアップグレードが完了します。
  • 参考情報:

https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Upgrade-PAN-OS-and-Panorama/ta-p/587...

https://live.paloaltonetworks.com/t5/Management-Articles/How-to-upgrade-a-High-Availability-HA-pair/...

 

 

5. アップグレード後のチェックリスト

以下は変更作業時間が終わる前に実施すべき、インプリメンテーション事後作業です。これら作業をすることで、計画作業時間後に行うことになるかもしれなかった潜在的な修正作業を、計画された作業時間内に行う時間的余裕を生み出します。

  • 作業実施後と作業実施前の結果を比較します。
    • 事前チェックリストにあった永続的でない設定を再度適用します
    • 予期せぬエラーが出ていないかシステム ログを確認します
    • 予期せぬ許可や拒否がないか、トラフィック ログを確認します
    • 該当するのであれば、ファイアウォールとPanoramaの接続性、特にファイアウォールからPanoramaへのログ転送を確認します。またPanoramaとファイアウォールの間での変更がコミットできるかを確認します。
  • 関連する障害がなかったかシステム レポートと事故有無を確認します。
    • 24から48時間程度を目安に、ヘルプデスクのチケット状況をモニターします。
  • 管理者は変更の完了を確認します。
    • 全てのステークホルダーに連絡をとり、変更のID、変更の作業結果の詳細、関連するネットワーク アラーム、インシデント、あるいは障害がなかったかについてコミュニケーションを図ります。
    • 異常がないか、機器をモニターします。

 

6. トラブルシューティングのリソース

 

7. ダウングレード手順

  • 割り当てられた計画作業時間内に問題を解決できない場合、すべての変更を切り戻すべきです。
    • 7.1.0(ベース バージョン)がシステム上にまだ残っていることを確認します。
    • 7.1.14をインストールします。再起動によりインストールが完了します。使用する設定の確認を促された際にはアップグレード時に保存しておいた7.1.14のスナップショットを使用します。
    • 7.0.1(ベース バージョン)がシステム上にまだ残っていることを確認します。
    • 7.0.18をダウンロードとインストールします。再起動によりインストールが完了します。使用する設定の確認を促された際にはアップグレード時に保存しておいた7.0.18のスナップショットを使用します。
      注: セカンダリ ファイアウォールを再起動したあと、CLIのプロンプトはnon-functionalとなります。
    • 次の手順に進む前に、プライマリ ファイアウォールにおいて以下のコマンドを使用してオート コミットが成功裏に完了する(FIN OK)ことを確認します:
      > show jobs all 
      以下のコマンドを実行して再度functional状態にします: 
      > request high-availability state functional
    • これによりプライマリ ファイアウォールのダウングレードが完了します。

 

  • プライマリ ファイアウォールをダウングレード
    • セカンダリにトラフィックを移すために、プライマリをサスペンドします。
    • プライマリ機器でサスペンドを行います。CLIから以下のコマンドを実行します:
      > request high-availability state suspend
  •  分析のために次のファイルを保存します:
    • アクティブとパッシブ両方のテクニカル サポート ファイルとデバイス状態を保存及びエクスポートします。
    • コア ファイルがあった場合、それらをエクスポートします。
    • 問題のあるトラフィックが見られた場合、そのパケットキャプチャー。
  • ファイアウオールが現時点で8.0.6-h3で稼働しており、プライマリ ファイアウォールでトラフィックが処理されている場合、アップグレードと同様の手順を逆の順番で実施します。
  • セカンダリ ファイアウォールをダウングレードします
    • 7.1.0(ベース バージョン)がシステムにまだ残っていることを確認します。
    • 7.1.14をインストールします。再起動によりインストールが完了します。使用する設定の確認を促された際にはアップグレード時に保存しておいた7.1.14のスナップショットを使用します。
    • 7.0.1(ベース バージョン)がシステムにまだ残っていることを確認します。
    • 7.0.18をダウンロードとインストールします。再起動によりインストールが完了します。使用する設定の確認を促された際にはアップグレード時に保存しておいた7.0.18のスナップショットを使用します。
      注: セカンダリ ファイアウォールを再起動したあと、CLIのプロンプトはnon-functionalとなります。
    • 次の手順に進む前に、セカンダリ ファイアウォールにおいて以下のコマンドを使用してオート コミットが成功裏に完了する(FIN OK)ことを確認します:
      > show jobs all 
      以下のコマンドを実行して再度有効化します: 
      > request high-availability state functional
    • これによりセカンダリ ファイアウォールのダウングレードが完了します。
  •  (オプション、ただし推奨) アップグレードのために無効化していた場合は、TCP-Reject-Non-SYNを有効化します。
    CLIにて:
    > configuration
    # set deviceconfig setting session tcp-reject-non-syn yes
    # commit
  • (オプション、ただし推奨) アップグレードのために無効化していた場合は、プリエンプティブを有効化します。
    • プリエンプティブの再有効化の設定変更は両方の機器でコミットしなければなりません。
    • Device > 高可用性 > 選択設定 にてプリエンプティブのチェックします。その後に変更をコミットします:

2016-09-08_vpc6.png

 

 

  • (オプション、ただし推奨)利用者にネットワーク上の全てのアプリケーションが機能していることを確認します。問題があればトラブルシューティング セクションに進んでください。
  • 今後のトラブルシューティングのため、すべてのファイルをPalo Alto Networks プロアクティブ サポート ケースにアップロードします。
  • これでダウングレード手順が完了します。

 

コメント

>Panoramaは二つ先の機能リリースまでの互換性を持っています。例えば、

>PAN-OS 8.0のPanoramaはPAN-OS 7.0のファイアウォールを管理できますが、PAN-OS 6.1のファイアウォールは管理できません。

 

原文やアドミンガイドにはこの文言は書いてない様ですが、追加情報でしょうか?

※ちなみに2つ先ではなく、2つ前ですかね