문제점
RMA 교체 방화벽을 구성하는 방법
환경
Panorama에서 관리하는 Palo Alto 방화벽
PAN-OS
해결책
개요
방화벽을 교체하거나 복구하려면 인증된 지원 공급자에게 RMA 교체 요청을 case 하나 오픈해서
진행해야 합니다. 해당 문서는 운영 환경에 맞게 교체 준비하는 방법에 대해 설명합니다.
단계
1. 새 방화벽 등록 및 라이센스 이전:
수령 시 새 장치를 등록하고 이전 장치에서 라이센스를 이전합니다. Palo Alto Networks가
고장난 장치를 받은 후 이전 라이선스는 제거되므로 라이선스를 즉시 이전하는 것이
중요합니다.
2. 관리 인터페이스를 구성합니다.
2.1 기본 관리 인터페이스 IP는 192.168.1.1이고 기본 로그인/비밀번호는
admin/admin입니다.
2.2 NTP(Device > Setup > Services) 또는 날짜 및 시간(Device > Setup > Management
> General Settings) 구성
2.3 인터넷에 액세스할 수 있도록 관리 인터페이스를 구성하고 Device > Setup >
Services(디바이스 설정 서비스)에서 DNS 서버를 구성합니다. 이 인터페이스는
updates.paloaltonetworks.com 와 통신할 수 있어야 합니다.
2.4 또는 관리를 위해 인터넷 액세스를 통해 Layer 3 인터페이스를 활성화하도록 서비스
경로를 구성합니다. 장비에서 적절한 인터페이스, 라우팅 및 정책을 구성해야 합니다. Device
> Setup(디바이스 설정) > Service Route Configuration(서비스 경로 컨피그레이션)으로
이동하여 paloalto-updates 및 dns에 적합한 인터페이스 IP 주소를 선택합니다. 예를 들면
다음과 같습니다.
2.5 이전에 장치로 전송된 라이선스를 검색합니다. Device > Licenses(디바이스
라이선스) > Retrieve license keys from license server(라이선스 서버에서
라이선스 키 검색)로 이동합니다. 각 기능에 대한 라이센스가 동일한 페이지에
표시됩니다. URL 필터링 라이센스가 있어야 하고, URL 필터링이 활성화되어 있으며,
데이터베이스가 성공적으로 다운로드되었는지 확인합니다. "지금 다운로드" 링크가
표시되면 데이터베이스가 다운로드되지 않은 것입니다. 성공적으로 활성화되고
다운로드된 PAN-DB URL 필터링 데이터베이스는 다음과 같습니다.
2.5.1 이제 필요한 경우 장치를 업그레이드할 준비가 되었습니다. 지금 확인> 장치
> 동적 업데이트 > 응용 프로그램 및 위협에서 사용 가능한 앱 또는 앱+위협
패키지를 다운로드하여 설치합니다. 장치에 다운로드하여 설치할 수 있는
패키지가 나열됩니다.
2.5.2 PAN-OS를 업데이트하려면 장치 > 소프트웨어 > 새로 고침으로
이동합니다.
2.5.3 해당하는 경우 이전 방화벽과 동일한 다중 vsys 또는 점보 프레임을
사용하도록 설정합니다.
> set system setting multi-vsys on
> set system setting jumbo-frame on
교체 디바이스에서 이전에 백업한 구성을 로드하려면 아래 사용 사례를
따르십시오.
참고: 구성을 복원하기 전에 마스터 키가 변경된 경우 변경된 마스터 키를
방화벽에 추가합니다. 그렇지 않으면 구성을 방화벽에 커밋할 수 없습니다.
2.5.4 사례 1: 이전 디바이스가 여전히 네트워크에 연결되어 있고 방화벽이
파노라마에서 관리되지 않았습니다.
2.5.4.1 새 방화벽의 관리 네트워크만 연결되었다고 가정합니다.
2.5.4.2 이전 장치에서 Device > Setup(디바이스 설정)을 저장하고 Save
Named Configuration Snapshot(명명된 컨피그레이션 스냅샷 저장)>
Device > Setup(명명된 컨피그레이션 스냅샷 내보내기)> Export
Named Configuration Snapshot(명명된 컨피그레이션 스냅샷
내보내기)을 도출합니다.
2.5.4.3 새 디바이스에서 Device > Setup(디바이스 설정)> Import Named
Configuration Snapshot(명명된 컨피그레이션 스냅샷 가져오기)으로
이동하여 백업된 컨피그레이션을 디바이스로 가져옵니다.
2.5.4.4 구성을 가져오면 가져온 구성을 로드하고 Device > Setup(디바이스
설정)으로 이동하여 Load Named Configuration Snapshot(명명된
컨피그레이션 스냅샷 로드)> 이동합니다.
2.5.4.5 동일한 관리 네트워크에 연결된 경우 기존 디바이스와 충돌하지
않도록 관리 IP 및 호스트 이름을 변경합니다. 나중에 필요한 경우
다시 변경할 수 있습니다.
2.5.4.6 커밋 오류를 해결하고 구성을 커밋합니다.
2.5.4.7 이전 장치를 제거하고 네트워크 케이블을 새 장치로 옮깁니다.
2.5.5 사례 2: 이전 디바이스가 여전히 네트워크에 연결되어 있고 방화벽이
파노라마에서 관리됩니다.
2.5.5.1 새 장치의 관리만 연결되어 있다고 가정하고 이전 장치로 이동하여
장치 상태를 내보냅니다(장치 > 설정 > 장치 상태 내보내기).
2.5.5.2 새 장치: 장치 > 설정 > 장치 상태 가져오기로 이동하여 백업된 장치
상태를 장치로 가져옵니다. 이렇게 하면 방화벽은 이전 장치와 정확히
동일한 설정을 갖게 됩니다(동일한 IP 및 호스트 이름도 포함). 구성을
로드할 필요가 없습니다.
2.5.5.3 이 시점에서 이전 방화벽을 제거할 수 있습니다.
2.5.5.4 Panorama CLI에서 이전 일련 번호를 새 일련 번호로
교체합니다.디바이스 이전 <이전 SN#> 새 <새 SN#> 및 로컬 커밋을
커밋하고 방화벽에 커밋을 푸시하여 동기화합니다.
2.5.6 사례 3: 이전 디바이스는 더 이상 백업을 수행할 수 없으며 방화벽이
Panorama에서 관리되지 않았습니다.
2.5.6.1 더 이상 컴퓨터에 액세스할 수 없으면 생각할 수 있는 모든 위치에서
구성을 찾아야 합니다. 여기에는 이전 지원 사례 또는 사용자 환경의
어딘가에 백업되어 저장될 수 있는 기술 지원 파일을 찾는 것이
포함됩니다. 항상 구성을 백업하는 것을 잊지 마십시오.
2.5.6.2 오래된 방화벽에서 오래된 기술 지원을
찾으십시오. /opt/pancfg/mgmt/saved-config/running-
config.xml 에서 컨피그레이션을 가져올 수 있습니다
2.5.6.3 이전 기술 지원을 사용할 수 없는 경우 방화벽에서 유지 관리 모드를
사용하여 이전 구성을 백업할 수 있습니다. 유지 관리
2.5.6.4 기술 지원 파일이 발견되면 running-config.xml 파일을 가져와서 새
방화벽으로 가져옵니다. Device > Setup(장치 설정)> Import Named
Configuration Snapshot(명명된 구성 스냅샷 가져오기)을
선택합니다. 커밋하고 디바이스가 실행 중인지 확인합니다.
2.5.7 사례 4: 이전 디바이스는 더 이상 백업을 수행할 수 없으며 방화벽은
Panorama에서 관리됩니다..
2.5.7.1 Panorama CLI로 이동하여 SCP(Secure Copy) 또는 TFTP를
사용하여 이전 방화벽에서 컴퓨터로 디바이스 상태 번들을
내보냅니다. export 명령은 디바이스 상태 번들을 tar 압축 파일로
생성하고 지정된 위치로 내보냅니다. 이 디바이스 상태에는 LSVPN
동적 구성(위성 정보 및 인증서 세부 정보)
이 포함되지 않습니다.
> scp export device-state device <old serial#> to
<login>@<serverIP>:<path>
or
> tftp export device-state device <old serial#> to <serverIP>
2.5.7.2 이전 방화벽의 일련 번호를 Panorama에 있는 새 교체 방화벽의 일련
번호로 교체합니다. Panorama에서 일련 번호를 교체하면 방화벽에서
컨피그레이션을 복원한 후 새 방화벽이 Panorama에 연결할 수
있습니다.
> replace device old <old SN#> new <new SN#>
> configure
# commit
2.5.7.3 방화벽 웹 인터페이스에 로그인합니다. 장치 > 설정 >
작업을 선택하고 장치 상태 가져오기를 클릭합니다.
2.5.7.4 (PAN-OS 10.1+만 해당): 장치 > 설정 > 관리를 선택하고 파노라마
설정을 편집합니다. Panorama에서 생성된 인증 키(Panorama >
Device Registration Auth Key)를 입력합니다. 변경 내용을 방화벽에
커밋합니다. 방화벽이 Panorama에 다시 연결되지 않으면 매니지드
디바이스 연결을 Panorama로 복구해야 할 수 있습니다
2.5.8 사례 5: 이전 디바이스는 더 이상 백업을 수행할 수 없으며 방화벽은
Panorama를 사용하여 관리되지만, 방화벽은 방화벽이 통신할 수 있고
통신할 수 있는 완전한 컨피그레이션을 가져야 하는 데이터 플레인 포트를
사용하여 Panorama와 통신합니다.
2.5.8.1 전체 구성에는 Panorama가 관리하는 중앙 집중식 구성과 방화벽의
로컬 구성이 포함됩니다.
2.5.8.2 이러한 방화벽의 장치 상태는 관리 파노라마에서 생성하고 내보낼 수
있습니다.
2.5.8.3 Panorama는 마지막으로 커밋된 로컬 구성과 Panorama 구성을
기반으로 디바이스 상태를 생성할 수 있습니다.
2.5.8.4 일련 번호를 바꾸고 방화벽 상태를 가져오면 Panorama를 사용하여
방화벽 관리를 재개할 수 있습니다.
2.5.8.5 Panorama CLI에서 tftp export device-state device<일련 번호> to
<server-ip> 또는 scp export device-state device<serial
number> to pantac@<scp-server-ip>:/home/ 명령을 사용합니다.
2.5.8.6 그런 다음 장치 상태를 사용하여 새 장치로 가져오고 Panorama와의
통신을 복원합니다.
2.5.8.7 Panorama에서 이전 S/N을 새 S/N으로 교체: 장치 이전 <이전 SN#>
새 >새 SN#> 교체하고 로컬로 커밋합니다.
2.5.8.8 이제 Panorama가 새 장치에 대해 "연결됨"으로 표시되어야
합니다. Panorama > 매니지드 디바이스 > 요약
2.5.8.9 Panorama에서 이제 DG 및 템플릿 커밋을 새 방화벽으로 푸시합니다.
이 커밋은 후보를 병합하고 Panorama에서 구성을 푸시해야 합니다.
2.5.8.10 커밋 오류가 없으면 디바이스가 실행 중이어야 합니다.
2.5.9 NAT 인터페이스와 동일한 서브넷에 있는 소스 및 대상 NAT에 NAT IP를
사용하는 경우(인터페이스 자체의 IP 제외) 방화벽에서 수동 무상 ARP를
수행하여 피어의 ARP 테이블을 업데이트해야 합니다. 예를 들어 인터페이스
IP가 198.51.100.1/24이고 NAT에 198.51.100.2을 사용하는 경우
198.51.100.2에 대해 GARP를 전송해야 합니다.
> test arp gratuitous ip <ip> interface <interface>
2.5.10 결함이 있는 장치를 반환하십시오. 반환하기 전에 공장 기본값을
복원하려면 Palo Alto Networks 디바이스를 공장 초기화하는 방법을
참조하거나 PAN-OS 6.0 이상을 실행하는 경우 유지 관리 모드에 대한
SSH가 가능하므로 유지 관리 모드로 SSH하는
방법을 검토하십시오. 장애가 발생한 방화벽의 사전 교체가 포함된 지원
구독이 있는 고객은 교체품을 받은 후 결함이 있는 장치를 Palo Alto
Networks에 반환해야 합니다.
미국 고객 - 반품 배송 라벨은 교체품과 함께 상자에 들어 있습니다.
라벨을 상자에 부착하여 결함이 있는 장치를 반품하십시오.
해외 고객 - 교체 배송 상자에 있는 반품 지침 및 문서를 참조하십시오.
