Wie man ein hoch Verfügbarkeits Ersatzgerät konfiguriert

Wie man ein hoch Verfügbarkeits Ersatzgerät konfiguriert

258869
Created On 09/25/18 17:39 PM - Last Modified 04/23/24 03:04 AM


Environment


  • PAN-OS 8.0 und höher.
  • Palo Alto Firewall .

Resolution


Sichern konfiguration sammeln:

Nehmen Sie eine Backup-Konfiguration des defekten Gerätes:

  1. Gehen Sie zu GUI : Device > Setup > Operations > Configuration Management und klicken Sie auf "Gerätestatus exportieren". Der Gerätestatus enthält die Konfiguration für das Gerät.
  • Um eine Sicherung eines Geräts von Panorama zu erstellen, gehen Sie zu GUI : Panorama> Verwaltete Geräte und klicken Sie auf "Verwalten..." unter der Sicherungsspalte für das entsprechende Gerät.
  •  OR Sie können das Gerätestatuspaket auf SCP einen Computer TFTP exportieren, indem Sie CLI
> scp export device-state device to username@serverip:/path/
 

  1. Beachten Sie bei PA-7000 Seriengeräten die Ausgabe des Befehls

    > show session distribution policy
  2. Für alle Plattformen ist nicht die Ausgabe des folgenden Befehls
    > show system setting jumbo-frame
  3. Fahren Sie die fehlerhafte Einheit mit dem Befehl herunter:
    > request shutdown system
  4. Rack die neue Einheit und verbinden Sie sich mit der Management-SchnittStelle des Gerätes.

 

Richten Sie die Basiskonfiguration auf dem neuen Gerät ein:

  1. Transfer Lizenzen. Lesen Sie das folgende Dokument: Übertragen von Lizenzen auf ein Ersatzgerät
  2. (Optional) Stellen Sie den Betriebsmodus so ein, dass er dem auf der alten firewall übereinstimmt. A Für diese Aufgabe ist eine serielle Portverbindung erforderlich.
    1. Geben Sie den folgenden CLI Befehl ein, um auf den Wartungsmodus firewall zuzugreifen:
debug system maintenance-mode
 
  1. Um in die Wartungspartition zu starten, geben Sie maint während der Startsequenz ein.
  2. Wählen Sie den Betriebsmodus als "Set Mode oder Set 4 FIPS CCEAL Mode"   aus dem Hauptmenü aus.
  1. Optional Setzen Sie die Systemeinstellungen, um die Ausgabe der Befehle in Steps (2) und (3) im vorherigen Abschnitt anzupassen.
  2. Management-Zugriff auf das Ersatzgerät konfigurieren
    1. Greifen Sie auf die Konsole zu und melden Sie sich mit den Standardanmeldeinformationen an:
      • Benutzername: admin
      • Passwort: admin (Dies kann je nach PAN-OS Version variieren. Siehe Dokumentation für das Standardkennwort)
    2. Konfigurieren Sie die IP Verwaltungsadresse, netmask und gateway sowie die DNS und aktualisieren Server mit dem folgenden CLI Befehl:
> configure
# set deviceconfig system ip-address <value> netmask <value> default-gateway <value>
# set deviceconfig system dns-setting servers primary 4.2.2.2
# set deviceconfig system update-server updates.paloaltonetworks.com
# commit
# exit
  1. Pingen einer zu testenden Domäne, z. B.:
> ping host paloaltonetworks.com
 
  1. Erhalten Sie Lizenzen vom Lizenzserver.
  • Gehe zu GUI : Geräte> Lizenzen.
  • Klicken Sie auf Lizenzschlüssel vom Lizenzserver abrufen.
  • Stellen Sie sicher, dass eine URL Filterlizenz vorhanden ist und dass die URL Filterung aktiviert ist und dass die Datenbank erfolgreich heruntergeladen wurde. Hinweis: Wenn ein Link "Jetzt herunterladen" angezeigt wird, hat die Datenbank nicht. heruntergeladen.
  1. Installieren Sie denselben Client und dieselben GlobalProtect PAN-OS Versionen auf dem Ersatzgerät wie der vorhandene HA Peer
  • Installieren Sie den GlobalProtect Client.
    1. Gehen Sie zu Device > GlobalProtect Client
    2. Laden Sie die entsprechende Version des Clients herunter und aktivieren Sie sie.
  • Installieren PAN-OS von .
    1. Gerät zur > Software.
    2. Das entsprechende Bild HerunterLaden und installieren.
  • Neustart.
  1. Stellen Sie sicher, dass dynamische Updates dieselbe Version wie der HA Peer haben. Wenn dies nicht der Fall ist, laden Sie die entsprechende Version herunter und installieren Sie sie:
GUI:Device > Dynamic Update > Download > Install.
  1. Wenn das Gerät von verwaltet Panorama wird, ersetzen Sie die alte Seriennummer durch die neue:
> replace device old <Old Serial #> new <New Serial #>
 

Stellen Sie die Konfiguration wieder her:

 

  1. Aktivieren Sie für multi-vsys-fähige Systeme zuerst die multi vsys-Fähigkeit:
> set system setting multi-vsys on

 
  1. (Optional) Aktivieren Sie Jumbo-Frames und Sitzungsverteilung, policy um dem alten Gerät zu entsprechen.
> set system setting jumbo-frame on (reboot required to take effect)
> set session distribution policy [ fixed | hash | ingress-slot | random| round-robing | session-load ]
 
  1. Gehe zu GUI :Device > Setup> Operations.
  2. Klicken Sie auf"Gerätestatus importieren" und importieren Sie die zuvor gesicherte Konfiguration vom fehlerhaften Gerät.
  3. Commit, sobald der Import des Gerätestatus abgeschlossen ist.
  4. Stellen Sie sicher, dass das neue Gerät in einem passiven Zustand bleibt, um zu verhindern, dass die Konfiguration auf das aktive Gerät übertragen wird.
    • Setzen Sie die neue Einheit aus dem CLI Ausführen des Befehls:
      > request high-availability state suspend
      oder
    • Von GUI anfang GUI an: Gerät > Hochverfügbarkeit > Betrieb > lokales Gerät aussetzen
      . oder
    • Führen Sie die Konfigurationsänderung durch:
Wechseln Sie zu Gerät > High Availability > General > Setup, und deaktivieren Sie die Option Config Sync aktivieren.
Deaktivieren Sie "Preemptive" unter Election Settings.
Konfigurieren Sie das Gerät mit dem höchsten Geräteprioritätswert (255).
Ausführen einesCommit-Hinweises: Das Gerät wird mit dieser Konfiguration nichtaktiv.
Siehe Hochverfügbarkeitssynchronisierung
  1. VERBINDEN Sie HA1-Schnittstellen.
  2. Vergewissern Sie sich, dass das Ersatzgerät die gleiche Konfiguration wie das aktive Gerät hat.
    • Wechseln Sie zur Registerkarte Dashboard, und überprüfen Sie das Widget "Hochverfügbarkeit".
      Hinweis: Wenn das Widget "Hochverfügbarkeit" nicht angezeigt wird, klicken Sie auf Widgets > System > High Availability.
    • Wenn die Konfigurationen nicht identisch sind, gehen Sie zu Device > High Availability und klicken Sie vom aktiven Gerät auf"Push-Konfiguration, umeinen Peer zu " zu erstellen.
  3. Stellen Sie sicher, dass keine aktiven Commit-Aufträge ausgeführt werden und die Geräte synchronisiert sind. Verwenden Sie die folgenden Befehle
show jobs all
show high-availability all | match "Running Configuration"
 
  1. Stellen Sie sicher, dass es keinen Unterschied in idmgr zwischen den Geräten gibt.
debug device-server dump idmgr high-availability state
 
  1. In die aktive Einheit einloggen. Wechseln Sie zu Device > Config Audit > do config audit zwischen " RunningConfig" und "Peers Running Config"durchführen. Stellen Sie sicher, dass beide gleich sind. Wenn der Fall von unterschieden, versuchen Sie, die passive Einheit manuell zu konfigurieren.

"Config Difference" kann auftreten, wenn keine Konfigurations Sicherung für das defekte Gerät genommen wurde, so dass das neue Gerät nicht die gleiche Konfiguration wie die aktive Einheit hat. In diesem Fall ist eine manuelle Konfiguration erforderlich.

  • Aktivieren Sie die Konfigurationssynchronisierung (Device > High Availability > General > Setup) und die vorbeugende ( Device > High Availability > General > ElectionSettings) auf dem Ersatzgerät.
  • Übernehmen Sie die Änderungen.
  1. Schließen Sie die HA2-Schnittstelle an, und warten Sie, bis die Sitzungssynchronisierung abgeschlossen ist.
  2. Wenn der Firewall während Schritt 6 angehalten wird,
Das Ersatzverfahren ist nun abgeschlossen.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHFCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language