Comment faire pour configurer un périphérique de remplacement haute disponibilité

Rassembler la configuration de sauvegarde :

Prenez une configuration de sauvegarde de l'appareil défectueux:

1. Rendez-vous GUI sur : Configuration >'> opérations > gestion de configuration et cliquez sur " État du périphérique d’exportation« . L’état de l’appareil contient la configuration de l’appareil.

• Pour prendre une sauvegarde d’un appareil à Panorama partir de , aller à : > appareils GUI Panorama gérés et cliquez sur "Gérer... » sous la colonne sauvegardes pour l’appareil approprié.
•  ORvous pouvez exporter le paquet d’état de l’appareil vers un ordinateur à l’aide SCP ou à partirTFTP CLI

> scp export device-state device to username@serverip:/path/

2. Pour PA-7000 les appareils de série, notez la sortie de la commande

   > show session distribution policy

3. Pour toutes les plateformes, pas la sortie de la commande suivante

   > show system setting jumbo-frame

4. Arrêtez l’unité défectuuse à l’aide de la commande :

   > request shutdown system

5. Rackez la nouvelle unité et connectez-vous à l'Interface de gestion de l'unité.

Configurer la configuration De base sur le nouvel appareil :

1. Licences de transfert. Consultez le document suivant : Comment transférer des licences vers un appareil de rechange
2. (Facultatif) Définissez le mode opérationnel pour correspondre à celui de l’ancien firewall . A connexion de port en série est nécessaire pour cette tâche.
   1. Entrez la commande CLI suivante pour accéder au mode de maintenance sur firewall :

debug system maintenance-mode

2. Pour démarrer dans la partition de maintenance, entrez maint pendant la séquence de démarrage.
3. Sélectionnez le mode opérationnel sous lenom de « Mode set ou set FIPS CCEAL 4 mode» dans le menu   principal.

3. Facultatif Réglez les paramètres système pour qu'ils correspondent à la sortie des commandes des étapes (2) et (3) de la section précédente.
4. Configurer l'Accès de gestion au périphérique de remplacement
   1. Accédez à la console et connectez-vous à l’aide des informations d’identification par défaut :
      • Nom d’utilisateur: admin
      • Mot de passe: admin (Cela peut varier en fonction de la PAN-OS version. Renvoyer la documentation pour le mot de passe par défaut)
   2. Configurez IP l’adresse de gestion, le masque net et la passerelle, ainsi que les serveurs et DNS mises à jour à l’aide de la commande suivante CLI :

> configure
# set deviceconfig system ip-address <value> netmask <value> default-gateway <value>
# set deviceconfig system dns-setting servers primary 4.2.2.2
# set deviceconfig system update-server updates.paloaltonetworks.com
# commit
# exit

3. Ping un domaine à tester, par exemple:

> ping host paloaltonetworks.com

5. Obtenir des licences du serveur de licences.

• Aller à GUI : Device > Licences.
• Cliquez sur Récupérer les clés de licence du serveur de licence.
• Assurez-vous d’avoir URL une licence de filtrage et que URL le filtrage est à la fois activé et que la base de données a été téléchargée avec succès. Note: Si un lien "Download Now" est affiché, la base de données n’a pas été téléchargée.

6. Installez le même GlobalProtect client et les mêmes versions sur PAN-OS l’appareil de remplacement que le HA peer existant

• Installez le GlobalProtect Client.
  1. Aller à l’appareil > GlobalProtect client
  2. Téléchargez et activez la version appropriée du client.
• Installer PAN-OS .
  1. Allez dans appareil > Software.
  2. Téléchargez et installez L'image appropriée.
• Redémarrer.

7. Assurez-vous que les mises à jour dynamiques ont la même version que HA le pair. Si ce n’est pas le cas, téléchargez et installez la version appropriée :

8. Si l’appareil est géré à Panorama partir, remplacez l’ancien numéro de série par le nouveau :

> replace device old <Old Serial #> new <New Serial #>

Restaurer la configuration:

1. Pour les systèmes multi-vsys activés, d’abord activer la capacité multi vsys :

> set system setting multi-vsys on

2. (Facultatif) Activez les cadres jumbo et la distribution de session policy pour correspondre à l’ancien appareil.

> set system setting jumbo-frame on (reboot required to take effect)
> set session distribution policy [ fixed | hash | ingress-slot | random| round-robing | session-load ]

3. Aller à GUI :Device > Setup > Operations.
4. Cliquez sur "État du périphérique d’importation" et importer la configuration précédemment sauvegardée à partir de l’appareil défectueux.
5. Engagez-vous une fois l’importation de l’état de l’appareil terminée.
6. Assurez-vous que le nouvel appareil reste dans un état passif pour éviter que la configuration ne soit poussée vers l’appareil actif.
   • Suspendez la nouvelle unité de CLI l’exécuter la commande :

     > request high-availability state suspend

     Ou
   • De GUI l’aller à GUI : Dispositif > haute disponibilité > opérations > suspendre l’appareil local.
     ou
   • Effectuez le changement de config:

7. Connectez les interfaces HA1.
8. Assurez-vous que le périphérique de remplacement a la même configuration que le périphérique actif.
   • Consultez l’onglet Tableau de bord et consultez le widget Haute Disponibilité.
     Note: Si le widget Haute Disponibilité n’est pas affiché, cliquez sur Widgets > System > Haute Disponibilité.
   • Si les configurations ne sont pas les mêmes, passez à l’appareil > haute disponibilité et cliquez sur " Configuration pushpour regarder" à partir de l’appareil actif.
9. Vérifiez qu’il n’y a pas de travaux de validation actifs en cours d’exécution et que les périphériques sont synchronisés. Utilisez les commandes ci-dessous

show jobs all
show high-availability all | match "Running Configuration"

10. Vérifiez qu’il n’y a pas de différence dans idmgr entre les appareils.

debug device-server dump idmgr high-availability state

11. Connectez-vous à l'unité active. Aller à Device > Config Audit > Do config audit entre " RunningConfig" et "Peers Running Config« . Assurez-vous que les deux sont les mêmes. Si le cas de toute différence, essayez de configurer manuellement l'unité passive.

"Config difference" peut se produire si une sauvegarde de configuration n'a pas été prise pour le périphérique défectueux, de sorte que le nouveau périphérique n'aura pas la même configuration que l'unité active. Dans ce cas, la configuration manuelle est requise.

• Activer la synchronisation config (Device > High Availability > General > Setup) et préventive ( Device > High Availability > General > ElectionSettings) sur le dispositif de remplacement.
• Engagez les modifications.

12. Connectez l’interface HA2 et attendez que la synchronisation de la session soit terminée.
13. Si Firewall l’appareil est suspendu pendant l’étape 6, désespendez l’appareil maintenant