※この記事は以下の記事の日本語訳です。
How to Downgrade PAN-OS
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Downgrade-PAN-OS/ta-p/58664
概要
Palo Alto Networksファイアウォールを下位のPAN-OSバージョンにダウングレードする場合に従うべき手順を、このドキュメントに記載します。
詳細
切り戻し(Revert)
CLIにて、以前のバージョンに復旧する切り戻し(revert)コマンドを発行します。
注:この機能はメジャー/マイナーアップグレード(訳注)をした環境での切り戻し(例えば6.1.3から6.0.2)に対しては、アップグレードに伴うログやデータベースの変更があるためサポートされていません。代わりに本文書下部で紹介の"Reinstall"を使用してください。`revert`コマンドの使用はメンテナンスバージョン(訳注)のダウングレード時(例えば6.1.3から6.1.2)でのみ推奨します。
- アップグレード前の以前のPAN-OSバージョンがパーティション上にまだロードされており、切り戻し可能であることを次のCLIコマンドで確認します: debug swm status
> debug swm status
Partition State Version
--------------------------------------------------------------------------------
sysroot0 REVERTABLE 6.1.1
sysroot1 RUNNING-ACTIVE 6.1.3
maint READY 6.1.3上記の出力例ではデバイスはRUNNING-ACTIVE 状態が示すとおり、PAN-OS6.1.3で動作しています。PAN-OS 6.1.1への切り戻しが可能です。
- アップグレード間に使用していたパーティションから起動するには、次のCLIコマンドを実行します:debug swm revert
アンインストールやコンフィグレーション変更などは行われず、デバイスは先のPAN-OSバージョンをロードするようになります。
> debug swm revert
Reverting from 6.1.3 (sysroot0) to 6.1.1 (sysroot1)
現在の状態を確認します。
> debug swm status
Partition State Version
--------------------------------------------------------------------------------
sysroot0 PENDING-REVERT 6.1.1sysroot1 RUNNING-ACTIVE 6.1.3
maint READY 6.1.3 - この後再起動をすると、先のバージョンに戻ります。
> request restart system - セーブしていたコンフィグ ファイルをリロードします。
再インストール(Reinstall)
- 先のバージョンへの切り戻し(revert)ができない場合、以前のPAN-OSバージョンの再インストールを行います。GUIにて古いソフトウェア バージョンの"インストール"をクリックして実施してください。
- デバイスを再起動します。
- セーブしていたコンフィグ ファイルをリロードします。
工場出荷時設定へのリセット(Factory Reset) (何らかの理由でダウングレードが失敗に終わった場合)
- 工場出荷時設定にデバイスをリセットする手順については、次の記事を参照してください。How to Factory Reset a Palo Alto Networks Device
- ダイナミック更新のコンテンツとURLデータベースを最新にアップグレードします。
- セーブしていたコンフィグ ファイルを復元します。
'debug swm revert'実施に当たっての注意 -
新しいPAN-OSをインストールした後と、SWM切り戻しに伴う再起動を実施する間にコンフィグ変更を行っていた場合は、切り戻し完了後に最新のコンフィグ バージョンをロードしてコミットを実施するようにしてください。
訳注:弊社の正式なPAN-OSのバージョン表記のポリシーに従い、原文からメジャー/マイナー/メンテナンスの表現を意図的に変更しています。メジャー/マイナー/メンテナンスリリースについての詳細はPAN-OS や Panoramaのアップグレード手順をご覧ください。
著者: panagent
