Cómo configurar un dispositivo de reemplazo de alta disponibilidad

Recopilar configuración de copia de seguridad:

Tome una configuración de copia de seguridad del dispositivo defectuoso:

1. Vaya a GUI : Configuración > dispositivo > Operaciones > Administración de configuración y haga clic en "Exportar estado del dispositivo." El estado del dispositivo contiene la configuración del dispositivo.

• Para realizar una copia de seguridad de un dispositivo desde Panorama , vaya a : > dispositivos GUI Panoramaadministrados y haga clic en "Administrar..." debajo de la columna de copias de seguridad para el dispositivo adecuado.
•  OR puede exportar el paquete de estado del dispositivo a un equipo utilizando SCP o TFTP desde CLI

> scp export device-state device to username@serverip:/path/

2. Para PA-7000 los dispositivos de serie, observe la salida del comando

   > show session distribution policy

3. Para todas las plataformas, no la salida del siguiente comando

   > show system setting jumbo-frame

4. Apague la unidad defectuosa mediante el comando:

   > request shutdown system

5. Enracke la nueva unidad y conéctela a la interfaz de administración de la unidad.

Configure la configuración básica en el nuevo dispositivo:

1. Licencias de transferencia. Consulte el siguiente documento: Cómo transferir licencias a un dispositivo de repuesto
2. (Opcional) Establezca el modo operativo para que coincida con el anterior firewall . A se requiere conexión de puerto serie para esta tarea.
   1. Escriba el siguiente CLI comando para acceder al modo de mantenimiento firewall en:

debug system maintenance-mode

2. Para arrancar en la partición de mantenimiento, introduzca maint durante la secuencia de arranque.
3. Seleccione el modo operativo como "Establecer modo o Establecer modo FIPS CCEAL 4"   en el menú principal.

3. Opcional Configure la configuración del sistema para que coincida con la salida de los comandos de los pasos (2) y (3) de la sección anterior.
4. Configurar el acceso de administración al dispositivo de reemplazo
   1. Acceda a la consola e inicie sesión con las credenciales predeterminadas:
      • Nombre de usuario: admin
      • Contraseña: admin (Esto puede variar dependiendo de la PAN-OS versión. Consulte la documentación de la contraseña predeterminada)
   2. Configure la dirección de IP administración, la máscara de red y la puerta de enlace, así como los DNS servidores y actualicen mediante el siguiente CLI comando:

> configure
# set deviceconfig system ip-address <value> netmask <value> default-gateway <value>
# set deviceconfig system dns-setting servers primary 4.2.2.2
# set deviceconfig system update-server updates.paloaltonetworks.com
# commit
# exit

3. Haga ping en un dominio para probar, por ejemplo:

> ping host paloaltonetworks.com

5. Obtener licencias del servidor de licencias.

• Vaya a GUI : Licencias de > de dispositivos.
• Haga clic en Recuperar claves de licencia del servidor de licencias.
• Asegúrese de tener una URL licencia de filtrado y de que el filtrado está activado y de que la base de datos se URL ha descargado correctamente. Nota: Si se muestra un enlace "Descargar ahora" la base de datos no se ha descargado.

6. Instale el mismo GlobalProtect cliente y versiones en el dispositivo de reemplazo que el PAN-OS par existente HA

• Instale el GlobalProtect cliente.
  1. Vaya al cliente de > GlobalProtect del dispositivo
  2. Descargue y active la versión adecuada del cliente.
• Instalar PAN-OS .
  1. Ir a dispositivo > Software.
  2. Descargue e instale la imagen apropiada.
• Reiniciar.

7. Asegúrese de que las actualizaciones dinámicas tengan la misma versión que el HA par. Si no es así, descargue e instale la versión adecuada:

8. Si el dispositivo se está gestionando Panorama de , reemplace el número de serie antiguo por el nuevo:

> replace device old <Old Serial #> new <New Serial #>

Restaure la configuración:

1. Para sistemas habilitados para varios vsys, primero habilite la capacidad de varios vsys:

> set system setting multi-vsys on

2. (Opcional) Habilite las tramas gigantes y la distribución de sesiones policy para que coincidan con el dispositivo antiguo.

> set system setting jumbo-frame on (reboot required to take effect)
> set session distribution policy [ fixed | hash | ingress-slot | random| round-robing | session-load ]

3. Vaya a GUI : Operaciones de > de instalación de > de hielo dedesarrollo.
4. Haga clic en"Importar estado del dispositivo"e importe la configuración de copia de seguridad anterior desde el dispositivo defectuoso.
5. Confirme una vez completada la importación del estado del dispositivo.
6. Asegúrese de que el nuevo dispositivo permanezca en un estado pasivo para evitar que la configuración se inserte en el dispositivo activo.
   • Suspenda la nueva unidad de la CLI ejecución del comando:

     > request high-availability state suspend

     O
   • De GUI ir a GUI : Dispositivo > operaciones de alta disponibilidad > > suspender dispositivo local.
     
   • Realice el cambio de configuración:

7. Conecte las interfaces HA1.
8. Asegúrese de que el dispositivo de reemplazo tenga la misma configuración que el dispositivo activo.
   • Vaya a la pestaña Panel y compruebe el widget Alta disponibilidad.
     Nota: Si no se muestra el widget Alta disponibilidad, haga clic en Widgets > sistema > alta disponibilidad.
   • Si las configuraciones no son las mismas, vaya al dispositivo > alta disponibilidad y haga clic en "Insertar configuración para emparejar"desde el dispositivo activo.
9. Compruebe que no hay trabajos de confirmación activos en ejecución y los dispositivos están sincronizados. Utilice los siguientes comandos

show jobs all
show high-availability all | match "Running Configuration"

10. Verifique que no haya diferencia en idmgr entre los dispositivos.

debug device-server dump idmgr high-availability state

11. Inicie sesión en la unidad activa. Vaya a Device > Config Audit > Do config audit between"Running Config"y "Peers Running Config." Asegúrese de que ambos sean iguales. En caso de diferencias, intente configurar manualmente la unidad pasiva.

"Config Difference" puede ocurrir si no se ha tomado una copia de seguridad de la configuración para el dispositivo defectuoso, por lo que el nuevo dispositivo no tendrá la misma configuración que la unidad activa. En este caso, se requiere configuración manual.

• Habilite la sincronización de configuración(configuración de > de alta disponibilidad > configuración de > general)y preventivo(> alta disponibilidad > configuración de elecciones generales >)en el dispositivo de reemplazo.
• Confirme los cambios.

12. Conecte la interfaz HA2 y espere a que se complete la sincronización de sesión.
13. Si el se suspende durante el Firewall paso 6, desenroscar el dispositivo ahora