环境
- 在Panorama 管理下的 Palo Alto 防火墙
- PAN-OS
解决方案
概述:
要更换或维修防火墙,请向授权的支持供应商开立一个请求RMA的案件。本文件讨论了如何为生产环境准备RMA防火墙。
如果您需要更换HA设备,可以参考以下链接 如何配置一个 High Availability RMA设备
步骤:
收到RMA设备后,注册新设备,并从旧设备转移许可证。在Palo Alto Networks收到故障设备后,旧的许可是被剥离的状 态,所以立即转移许可是很重要的。
关于如何转让许可证,请参考以下说明:如何将许可证转移到备用设备上。
- 案例1:旧设备仍然连接在网络上,防火墙没有使用Panorama管理。
- 假设新防火墙上只有管理平台被连接。
- 在旧设备上,保存Device > Setup > Save Named Configuration Snapshot,然后导出Device > Setup > Export Named Configuration Snapshot。
- 在新设备上,进入Device > Setup > Import Named Configuration Snapshot,将备份的配置导入到设备上。
- 在配置被导入后,加载导入的配置,进入Device > Setup > Load Named Configuration Snapshot。
- 更改管理IP和主机名,这样在连接到同一管理网络时就不会与现有设备产生冲突。如果需要的话,之后可以把它改回来。
- 解决可能存在的commit错误并commit配置。
- 移除旧设备,将网线移到新设备上。
- 案例2:旧设备仍然连接在网络上,防火墙使用Panorama管理。
- 假设只有新设备的管理平台被连接,进入旧设备并导出设备状态:Device > Setup > Export Device State.
- 转到新设备,进入 Device > Setup > Import Device State,将备份的设备状态导入到新设备上。这样的话,防火墙将获得与旧设备完全相同的设置(也是相同的IP和主机名)。不需要加载任何配置。
- 这时,已经可以删除旧防火墙。
- 在Panorama CLI上,用新的序列号替换旧的序列号:replace device old <old SN#> new <new SN#> 同时 commit local and push commit to firewall,也能够同步成功。
- 案例3:旧设备不能再进行备份,防火墙不能从Panorama管理。
- 当不再能访问设备时,需要寻找曾经储存的配置。包括寻找tech support files,这些文件可以在旧的case或你的环境中找到,可能被保存在某个地方。永远记得备份配置。
- 从旧的防火墙中寻找旧的tech support。你可以从/opt/pancfg/mgmt/saved-config/running-config.xml获得配置文件。
- 如果没有以前的技术支持,那么也可以使用防火墙的维护模式来备份旧的配置:如何在维护模式下提取Palo Alto Networks防火墙配置
- 一旦找到tech support file,使用running-config.xml文件并将其导入新的防火墙。进入Device > Setup > Import Named Configuration Snapshot。Commit并确保设备已启动并运行。
- 案例4:旧设备不再可以进行备份,防火墙由Panorama管理。
- 假设只有新设备的管理平台被连接,进入旧设备并导出设备状态:Device > Setup > Export Device State.
- 从Panorama备份配置包。Panorama > Setup > Operations > Export Panorama and Devices config bundle。在这个文件中,有一个.xml文件,其名称包含旧防火墙的序列号。该配置可用于在新设备上加载。然而,这只是防火墙本地配置的副本,不包含 Panorama推送的配置。
- 将IP分配给新的防火墙管理端口,并commit,以便在以下步骤中导入配置后将其连接到Panorama。
- 在Panorama上用新的S/N替换旧的S/N: replace device old <old SN#> new <new SN#> and commit locally。不要将配置推送到新的防火墙上。
- 从Panorama和设备配置包中,使用对应于旧设备S/N的配置,将其导入并加载到新的防火墙上。先不要commit。
- 现在从Panorama推送一个DG和Template,commit到新防火墙上。这个commit应该合并candidate设备并从Panorama推送配置。
- 如果没有commit error,设备应该已经启动并运行。
- 案例5:旧的设备不再可用来进行备份,防火墙使用Panorama进行管理,但防火墙使用数据平面端口与Panorama进行通信,要求防火墙有完整的配置才能与之通信。
- 完整配置包括 Panorama 管理的集中配置和防火墙的本地配置。
- 这些防火墙的设备状态可以从管理的 Panorama 中生成和导出。
- Panorama可以根据最后提交的本地配置加上Panorama配置来生成设备状态。
- 请参考这篇文章 如何从Panorama导出管理的防火墙的设备状态
- 通过替换序列号和导入防火墙状态,我们可以恢复使用 Panorama 来管理防火墙。
- 在Panorama CLI中使用命令:tftp export device-state device <serial number> to <server-ip> or scp export device-state device <serial number> to pantac@<scp-server-ip>:/home/
- 下一步,使用设备状态将其导入新设备并使其恢复与Panorama的通信。
- 在Panorama上用新的S/N替换旧的S/N: replace device old <old SN#> new >new SN#> and commit local。
- Panorama现在应该显示新设备为 "connected"。进入 Panorama > Managed Devices > Summary
- 现在从Panorama推送一个DG和Template commit到新的防火墙。这个commit应该合并candidate设备并从Panorama推送 配置。
- 如果没有commit error,设备应该已经启动并运行。
- 如果在源和目的NAT上使用任何NAT IP,这些IP与NAT接口在同一个子网中(除了接口本身的IP),将需要从防火墙上做一个手动的Gratuitous ARP来更新对等体的ARP表。例如,接口IP是198.51.100.1/24,而使用198.51.100.2做NAT,可能需要发送GARP到198.51.100.2。
> test arp gratuitous ip <ip> interface <interface>
美国客户--退货标签将与替换件一起放在纸箱中。将该标签贴在纸箱上,以退回有缺陷的设备。
国际客户--请参考退货说明和替换件包装箱中的文件。
其他:
注意:
在auto-commit过程中可能会有5-15个等待期,以便commit过程能够彻底完成。请参阅以下文章以了解更多细节: 如何确定自动提交完成的时间。
