如何配置RMA防火墙

cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
L2 Linker
Did you find this article helpful? Yes No
No ratings

关键词

标题

如何配置RMA防火墙

环境

 

  • 在Panorama 管理下的 Palo Alto 防火墙
  • PAN-OS

解决方案

概述:
要更换或维修防火墙,请向授权的支持供应商开立一个请求RMA的案件。本文件讨论了如何为生产环境准备RMA防火墙。

如果您需要更换HA设备,可以参考以下链接 如何配置一个 High Availability RMA设备

 

步骤:

  • 注册新的防火墙并转移许可证。

  收到RMA设备后,注册新设备,并从旧设备转移许可证。在Palo Alto Networks收到故障设备后,旧的许可是被剥离的状    态,所以立即转移许可是很重要的。

 

  关于如何转让许可证,请参考以下说明:如何将许可证转移到备用设备上

 

  • 配置管理接口 
    • 默认的管理界面IP192.168.1.1,默认的登录/密码admin/admin
    • 配置NTP (Device > Setup > Services) 或日期和时间 (Device > Setup > Management > General Settings)
    • 配置管理端口,使其能够访问互联网,并在Device > Setup > Services下配置DNS服务器。此界面应能访问 updates.paloaltonetworks.com
    • 或者,配置service route,以启用一个具有互联网访问权限的第3层接口进行管理。必须在设备上配置对应的接口、路由和策略。进入Device > Setup > Service Route配置,为paloalto-updates和dns选择适当的接口IP地址。 下面提供一个例子rtaImage.png注意:请参考如何配置管理口IP来设置管理界面的IP地址
    • 检索以前转移到设备的许可证。Device > Licenses > Retrieve license keys from license server。每个功能的许可证显示在同一页上。请确保有一个URL filtering license,URL filtering被激活,并且数据库已被成功下载。如果显示的是"Download Now" 的链接,那么数据库就没有被下载。一个成功激活和下载的PAN-DB URL filtering 数据库如下图所示。rtaImage (1).png
  • 设备现在已经准备好升级了。从 Device > Dynamic Updates > Applications and Threats > Check Now下载并安装可用的应用程序或Apps+Threats。设备会列出要下载和安装包。
  • 要更新PAN-OS,请进入Device > Software > Refresh。
    关于PAN-OS升级的其他信息: How to Upgrade PAN-OS and Panorama
  • 采用与旧防火墙相同的multi-vsys或jumbo-frames(如果适用)。:

         > set system setting multi-vsys on 
        > set system setting jumbo-frame on
  • 要在RMA设备上加载先前备份的配置,请遵循以下使用案例。
    • 注意:在恢复配置之前,如果主密钥已被更改,请将更改后的主密钥添加到防火墙上。否则,你将无法将配置提交给防火墙。

 

  • 案例1:旧设备仍然连接在网络上,防火墙没有使用Panorama管理。
    • 假设新防火墙上只有管理平台被连接。
    • 在旧设备上,保存Device > Setup > Save Named Configuration Snapshot,然后导出Device > Setup > Export Named Configuration Snapshot
    • 在新设备上,进入Device > Setup > Import Named Configuration Snapshot,将备份的配置导入到设备上。
    • 在配置被导入后,加载导入的配置,进入Device > Setup > Load Named Configuration Snapshot
    • 更改管理IP和主机名,这样在连接到同一管理网络时就不会与现有设备产生冲突。如果需要的话,之后可以把它改回来。
    • 解决可能存在的commit错误并commit配置。
    • 移除旧设备,将网线移到新设备上。

 

  • 案例2:旧设备仍然连接在网络上,防火墙使用Panorama管理。
    • 假设只有新设备的管理平台被连接,进入旧设备并导出设备状态:Device > Setup > Export Device State.
    • 转到新设备,进入 Device > Setup > Import Device State,将备份的设备状态导入到新设备上。这样的话,防火墙将获得与旧设备完全相同的设置(也是相同的IP和主机名)。不需要加载任何配置。
    • 这时,已经可以删除旧防火墙。
    • 在Panorama CLI上,用新的序列号替换旧的序列号:replace device old <old SN#> new <new SN#>  同时 commit local and push commit to firewall,也能够同步成功。

 

  • 案例3:旧设备不能再进行备份,防火墙不能从Panorama管理。
    • 当不再能访问设备时,需要寻找曾经储存的配置。包括寻找tech support files,这些文件可以在旧的case或你的环境中找到,可能被保存在某个地方。永远记得备份配置
    • 从旧的防火墙中寻找旧的tech support。你可以从/opt/pancfg/mgmt/saved-config/running-config.xml获得配置文件。
    • 如果没有以前的技术支持,那么也可以使用防火墙的维护模式来备份旧的配置:如何在维护模式下提取Palo Alto Networks防火墙配置
    • 一旦找到tech support file,使用running-config.xml文件并将其导入新的防火墙。进入Device > Setup > Import Named Configuration Snapshot。Commit并确保设备已启动并运行。

 

  • 案例4:旧设备不再可以进行备份,防火墙由Panorama管理。
    • 假设只有新设备的管理平台被连接,进入旧设备并导出设备状态:Device > Setup > Export Device State.
    • 从Panorama备份配置包。Panorama > Setup > Operations > Export Panorama and Devices config bundle。在这个文件中,有一个.xml文件,其名称包含旧防火墙的序列号。该配置可用于在新设备上加载。然而,这只是防火墙本地配置的副本,不包含 Panorama推送的配置。
    • 将IP分配给新的防火墙管理端口,并commit,以便在以下步骤中导入配置后将其连接到Panorama。
    • 在Panorama上用新的S/N替换旧的S/N: replace device old <old SN#> new <new SN#> and commit locally。不要将配置推送到新的防火墙上。
    • 从Panorama和设备配置包中,使用对应于旧设备S/N的配置,将其导入并加载到新的防火墙上。先不要commit。
    • 现在从Panorama推送一个DG和Template,commit到新防火墙上。这个commit应该合并candidate设备并从Panorama推送配置。
    • 如果没有commit error,设备应该已经启动并运行。

 

  • 案例5:旧的设备不再可用来进行备份,防火墙使用Panorama进行管理,但防火墙使用数据平面端口与Panorama进行通信,要求防火墙有完整的配置才能与之通信。
    • 完整配置包括 Panorama 管理的集中配置和防火墙的本地配置。
    • 这些防火墙的设备状态可以从管理的 Panorama 中生成和导出。
    • Panorama可以根据最后提交的本地配置加上Panorama配置来生成设备状态。
    • 请参考这篇文章 如何从Panorama导出管理的防火墙的设备状态
    • 通过替换序列号和导入防火墙状态,我们可以恢复使用 Panorama 来管理防火墙。
    • 在Panorama CLI中使用命令:tftp export device-state device <serial number> to <server-ip>  or  scp export device-state device <serial number> to pantac@<scp-server-ip>:/home/
    • 下一步,使用设备状态将其导入新设备并使其恢复与Panorama的通信。
    • 在Panorama上用新的S/N替换旧的S/N: replace device old <old SN#> new >new SN#> and commit local。
    • Panorama现在应该显示新设备为 "connected"。进入 Panorama > Managed Devices > Summary
    • 现在从Panorama推送一个DG和Template commit到新的防火墙。这个commit应该合并candidate设备并从Panorama推送 配置。
    • 如果没有commit error,设备应该已经启动并运行。

 

  • 如果在源和目的NAT上使用任何NAT IP,这些IP与NAT接口在同一个子网中(除了接口本身的IP),将需要从防火墙上做一个手动的Gratuitous ARP来更新对等体的ARP表。例如,接口IP是198.51.100.1/24,而使用198.51.100.2做NAT,可能需要发送GARP到198.51.100.2。 

   > test arp gratuitous ip <ip> interface <interface>

 

美国客户--退货标签将与替换件一起放在纸箱中。将该标签贴在纸箱上,以退回有缺陷的设备。
国际客户--请参考退货说明和替换件包装箱中的文件。

 

 

其他:

注意:
auto-commit过程中可能会有5-15个等待期,以便commit过程能够彻底完成。请参阅以下文章以了解更多细节如何确定自动提交完成的时间

 

Rate this article:
Register or Sign-in
Contributors
Labels
Article Dashboard
Version history
Last update:
‎01-16-2023 01:12 AM
Updated by: