高可用性交換デバイスを構成する方法
258903
Created On 09/25/18 17:39 PM - Last Modified 04/23/24 03:04 AM
Environment
- PAN-OS 8.0 以上。
- パロ アルト Firewall .
Resolution
バックアップ構成を収集する:
障害のあるデバイスのバックアップ構成を取る:
- へ移動 GUI : [構成管理>の操作>デバイス >のセットアップ]をクリックし、[デバイスの状態のエクスポート] をクリックします。 デバイスの状態には、デバイスの構成が含まれています。
- からデバイスのバックアップを取る Panorama 場合は、 に進みます GUI : Panorama>管理対象デバイスをクリックし、管理 ..適切なデバイスの [バックアップ] 列に表示されます。
- OR デバイス状態バンドルは、または を使用してコンピュータ SCP に TFTPエクスポートできます。 CLI
> scp export device-state device to username@serverip:/path/
PA-7000シリーズデバイスの場合は、コマンドの出力に注意してください。
> show session distribution policy
- 次のコマンドの出力ではなく、すべてのプラットフォームに対して
> show system setting jumbo-frame
- 次のコマンドを使用して、障害のあるユニットをシャットダウンします。
> request shutdown system
- 新しいユニットをラックし、ユニットの管理インタフェースに接続します。
新しいデバイスで基本設定を設定します。
- ライセンスを転送します。 次のドキュメントを参照してください: スペア デバイスにライセンスを転送する方法
- (オプション)動作モードを古いのと一致するように設定 firewall します。 A このタスクにはシリアルポート接続が必要です。
- のメンテナンス CLI モードにアクセスするには、次のコマンドを入力 firewall します。
debug system maintenance-mode
- 保守区画でブートするには、ブート・シーケンス中にmaint と入力します。
- メインメニューから「モードを設定 FIPS 」または CCEAL 「4モードを設定」として動作モード を選択します。
- オプション前のセクションの手順 (2) および (3) のコマンドの出力と一致するようにシステム設定を設定します。
- 代替デバイスへの管理アクセスを構成する
- コンソールにアクセスし、デフォルトの認証情報を使用してログインします。
- ユーザー名:管理者
- パスワード: admin (バージョンによって異なる場合があります PAN-OS 。 デフォルトのパスワードについては、ドキュメントを参照してください)
- IP次のコマンドを使用して、管理アドレス、ネットマスク、ゲートウェイ、 DNS およびサーバーの更新を構成 CLI します。
- コンソールにアクセスし、デフォルトの認証情報を使用してログインします。
> configure # set deviceconfig system ip-address <value> netmask <value> default-gateway <value> # set deviceconfig system dns-setting servers primary 4.2.2.2 # set deviceconfig system update-server updates.paloaltonetworks.com # commit # exit
- テストするドメインに対して ping を実行します。
> ping host paloaltonetworks.com
- ライセンスサーバーからライセンスを取得します。
- に移動 GUI : デバイス >ライセンス。
- [ライセンス サーバーからライセンス キーを取得する] をクリックします。
- フィルタリング ライセンスが設定 URL されていること、および URL フィルタリングがアクティブ化され、データベースが正常にダウンロードされたことを確認します。 注:[今すぐダウンロード] リンクが表示された場合、データベースはダウンロードされていません。
- GlobalProtect既存のピアと同じクライアントと PAN-OS バージョンを交換デバイスにインストールする HA
- クライアントをインストール GlobalProtect します。
- デバイス > GlobalProtect クライアントに移動
- 適切なバージョンのクライアントをダウンロードしてアクティブ化します。
- PAN-OSをインストールします。
- デバイスに移動 > ソフトウェア。
- 適切なイメージをダウンロードしてインストールします。
- 再起動。
- 動的更新のバージョンがピアと同じであることを確認 HA します。 インストールされていない場合は、適切なバージョンをダウンロードしてインストールします。
GUI:デバイス>動的更新>ダウンロード>インストール.
- デバイスが から管理されている場合は、 Panorama 古いシリアル番号を新しいシリアル番号に置き換えます。
> replace device old <Old Serial #> new <New Serial #>
構成を復元します。
- マルチ vsys 対応システムの場合は、まず、マルチ vsys 機能を有効にします。
> set system setting multi-vsys on
- (オプション)古いデバイスと一致するようにジャンボフレームとセッション配布 policy を有効にします。
> set system setting jumbo-frame on (reboot required to take effect) > set session distribution policy [ fixed | hash | ingress-slot | random| round-robing | session-load ]
- に移動 GUI :開発氷>セットアップ>操作.
- [デバイスの状態をインポート]をクリックし、以前にバックアップした構成を障害のあるデバイスからインポートします。
- デバイス状態のインポートが完了したら、コミットします。
- 新しいデバイスがパッシブ状態のままであることを確認して、構成がアクティブデバイスにプッシュされないようにします。
- コマンドを実行して新しいユニット CLI を中断します。
> request high-availability state suspend
または - GUI移動先から GUI :デバイス > 高可用性>オペレーション>ローカル デバイスの中断
- 設定の変更を実行します。
- コマンドを実行して新しいユニット CLI を中断します。
[デバイス>高可用性>全般>セットアップ] に移動し、[構成同期を有効にする
] オプションをオフにします。[選択の設定] の下の [プリエンプティブ] を無効にします。
デバイスの優先順位の値が最も高いデバイスを設定します (255)。
コミット
の実行注:この設定では、デバイスはアクティブにならない。 高可用性同期を参照してください。
] オプションをオフにします。[選択の設定] の下の [プリエンプティブ] を無効にします。
デバイスの優先順位の値が最も高いデバイスを設定します (255)。
コミット
の実行注:この設定では、デバイスはアクティブにならない。 高可用性同期を参照してください。
- HA1 インターフェイスを接続します。
- 交換するデバイスがアクティブなデバイスと同じ構成であることを確認します。
- [ダッシュボード] タブに移動し、[高可用性] ウィジェットを確認します。
注:高可用性ウィジェットが表示されない場合は、[システム>高可用性>ウィジェット ] をクリックします。 - 構成が同じでない場合は、[デバイス>高可用性] に移動し、アクティブなデバイスから [構成をピアにプッシュ] をクリックします。
- [ダッシュボード] タブに移動し、[高可用性] ウィジェットを確認します。
- 実行中のアクティブなコミット ジョブがなく、デバイスが同期していることを確認します。 以下のコマンドを使用する
show jobs all show high-availability all | match "Running Configuration"
- デバイス間で idmgr に違いがないことを確認します。
debug device-server dump idmgr high-availability state
- アクティブなユニットにログインします。 「構成を実行している」と「構成を実行しているピア」の間で、構成監査を実行>デバイス >構成監査に進みます。 両方が同じであることを確認します。 違いがある場合は、パッシブユニットを手動で設定してください。
「設定の違い」は、障害のあるデバイスに対して構成のバックアップがとられていない場合に発生する可能性があるため、新しいデバイスはアクティブなユニットと同じ構成にはなりません。 この場合、手動構成が必要です。
- 構成同期 (デバイス >高可用性>一般的な> セットアップ) とプリエンプティブ (デバイス > 高可用性 > 一般>選挙設定) を交換デバイスで有効にします。
- 変更をコミット します。
- HA2 インターフェイスを接続し、セッションの同期が完了するまで待ちます。
- 手順 Firewall 6 で中断されている場合は、デバイスのサスペンドを今すぐ解除します。