如何配置高可用性更换设备

收集备份配置：

对故障设备进行备份配置:

1. 转到 GUI ： 设备>设置>操作>配置管理 ， 然后单击 "导出设备状态"。 设备状态包含设备的配置。

• 要从 Panorama GUI Panorama：>管理设备并单击"管理。。。"，请从设备备份在适当设备的备份列下。
•  OR您可以使用 SCP 或从计算机导出设备状态捆绑包TFTP CLI

> scp export device-state device to username@serverip:/path/

2. 对于 PA-7000 系列设备，请注意命令的输出

   > show session distribution policy

3. 对于所有平台，而不是以下命令的输出

   > show system setting jumbo-frame

4. 使用命令关闭故障单元：

   > request shutdown system

5. 机架新设备并连接到设备的管理界面。

在新设备上设置基本配置：

1. 转移许可证。 请参阅以下文档： 如何将许可证转移到备用设备
2. （可选）设置与旧模式匹配的操作模式 firewall 。 A 此任务需要串行端口连接。
   1. 在 CLI 以下命令中输入访问维护模式 firewall ：

debug system maintenance-mode

2. 要引导到维护分区，请在启动序列中输入主。
3. 从主菜单中选择操作模式为" FIPS 设置模式或设置 CCEAL 4 模式   "。

3. 选将系统设置设置为与上一节中步骤 (2) 和 (3) 中的命令的输出匹配。
4. 配置对替换设备的管理访问权限
   1. 使用默认凭据访问控制台并登录：
      • 用户名：管理员
      • 密码：管理员（这可能因版本而异 PAN-OS 。 参考文档以获得默认密码）
   2. IP使用以下命令配置管理地址、网罩和网关，以及服务器 DNS 并更新 CLI 服务器：

> configure
# set deviceconfig system ip-address <value> netmask <value> default-gateway <value>
# set deviceconfig system dns-setting servers primary 4.2.2.2
# set deviceconfig system update-server updates.paloaltonetworks.com
# commit
# exit

3. 平域进行测试，例如：

> ping host paloaltonetworks.com

5. 从许可证服务器获取许可证。

• 转到 GUI ：设备>许可证。
• 单击从许可证服务器检索许可证密钥。
• 确保有 URL 一个过滤许可证， URL 并且过滤都已激活，并且数据库已成功下载。 注意：如果显示"立即下载"链接，则数据库尚未下载。

6. 在 GlobalProtect PAN-OS 替换设备上安装与现有 HA 对等器相同的客户端和版本

• 安装 GlobalProtect 客户端。
  1. 转到设备> GlobalProtect 客户端
  2. 下载并激活客户端的适当版本。
• 安装 PAN-OS 。
  1. 转到设备 > 软件。
  2. 下载并安装适当的图像。
• 重新 启动。

7. 确保动态更新具有与同行相同的版本 HA 。 如果没有，则下载并安装相应的版本：

8. 如果设备正在管理 Panorama 中，则将旧序列号替换为新序列号：

> replace device old <Old Serial #> new <New Serial #>

恢复配置：

1. 对于支持多vsys的系统，首先启用多vsys功能：

> set system setting multi-vsys on

2. （可选）启用巨型框架和会话分布 policy 以匹配旧设备。

> set system setting jumbo-frame on (reboot required to take effect)
> set session distribution policy [ fixed | hash | ingress-slot | random| round-robing | session-load ]

3. 转到 GUI ：开发冰>设置>操作。
4. 单击"导入设备状态"，然后从故障设备导入先前备份的配置。
5. 设备状态导入完成后提交。
6. 确保新设备保持被动状态，以防止配置被推入主动设备。
   • 将新单元从 CLI 运行命令中暂停：

     > request high-availability state suspend

     或
   • 从 GUI 转到 GUI ：设备>高可用性>操作>暂停本地设备。
     
   • 执行配置更改:

7. 连接HA1接口。
8. 请确保替换设备与活动设备具有相同的配置。
   • 转到仪表板选项卡并检查高可用性小部件。
     注意： 如果不显示高可用性小部件，则 单击 小部件>系统>高可用性。
   • 如果配置不一样，请转到 设备>高可用性 ，然后从活动设备 单击 "将配置推至对等"。
9. 验证是否运行了活动提交作业，并且设备处于同步状态。 使用下面的命令

show jobs all
show high-availability all | match "Running Configuration"

10. 验证设备之间的idmgr没有区别。

debug device-server dump idmgr high-availability state

11. 登录到活动单元。 转到 设备>配置审计> 在"运行配置"和"同行运行配置"之间进行配置审计。 确保两者都是一样的。 如果发生任何差异, 请尝试手动配置被动单元。

如果没有为故障设备执行配置备份, 则可能会发生 "配置差异", 因此新设备的配置将与活动单元不相同。 在这种情况下, 需要手动配置。

• 在更换设备上启用配置同步（设备>高可用性>一般>设置）和先发制人（设备>高可用性>一般>选举设置）。
• 提交 更改。

12. 连接HA2接口，等待会话同步完成。
13. 如果 Firewall 第 6 步暂停，则立即取消暂停设备