高可用性構成で HA1 の暗号化を有効にする方法
76861
Created On 09/25/18 17:52 PM - Last Modified 03/29/23 09:56 AM
Resolution
概要
このドキュメントでは、2つのパロアルトネットワークファイアウォール間の HA1 トラフィックで暗号化を有効にする方法について説明します。
手順
パロアルトネットワークはすべて firewall 、HA1トラフィックの暗号化に使用できる独自の高可用性キーを持っています。 暗号化を有効にする前に、キーを PA1 からエクスポートし、PA2 にインポートする必要があります。 PA2 キーは、エクスポートして PA1 にインポートする必要もあります。 キーがインポートされた後、最後の手順では、各キーが firewall 明示的にピアのキーを受け入れるように DSA します。 この操作は、 を使用して実行できます CLI 。
PA1 のキーをエクスポートします。から CLI :
> scp エクスポート高可用性キーを HA- キー-0009C100762 から user@server_ip:/ディレクトリへ
から GUI :
PA2 のインポートキー。から CLI :
> scp インポート高可用性キーから user@server_ip:/ディレクトリ/ HA- キー-0009C100762
から GUI :
上記の手順1と2を繰り返しますが、PA2 からキーをエクスポートし、PA1 にインポートします。 暗号化を有効にし、両方のデバイスでコミットを実行します。 RSAノード間のキー交換を完了するには HA 、 CLI 各ノードから、 SSH ピアにアクセスします。 トークンのインストールを求めるメッセージが表示されたら RSA 、「yes」と入力します。
たとえば、次のようになります。
1.1.1.1 < HA ピア MGT インターフェイス IP アドレス。
admin@ PA-3050 > ssh ホスト 1.1.1.1
ホスト ' 1.1.1.1 (1.1.1.1) ' の信憑性を確立することはできません。
DSA キーフィンガープリントは e9:de:76:fb:db:95:98:7d:c8:45:c4:83:dc:35:f1:2b です。
接続を継続してもよろしいですか (はい/いいえ)。うん
警告: 既知のホストのリストに「1.1.1.1」() DSA を恒久的に追加しました。
管理者 @ 1.1.1.1 のパスワード:
追加情報
キーに問題がある場合、または単にキーを更新する場合は、次のコマンドを使用 CLI します。
Note: Please be aware that this command will cause the firewall to reboot automatically .
> debug system ssh-key-reset high-availability
Executing this command will reset the high-availability SSH keys and reboot the system. Do you want to continue? (y or n)
Broadcast message from root (Fri Mar 29 10:10:28 2013):
The system is going down for reboot NOW! コマンドの実行後、エクスポート/インポート コマンドを使用して 2 つのデバイス間のキーを再同期するか、デバイス SCP GUI が再起動された後に前述の手順でキーを再同期する必要があります。
オーナー: rvanderveken