了解如何从备份还原配置、保存和提交之间的差异以及在帕洛阿尔托网络下一代防火墙上的 "设备 >> 安装 > 操作 > 配置管理" 下的各种操作.
保存和提交 的区别
对配置文件的保存更改与对文件所提交的更改 之间存在很大的差异。
帕洛阿尔托网络允许管理员进行更改并保存以供将来使用。但是, 如果管理员提交对配置文件的更改, 则更改将覆盖正在运行的配置, 并立即变为活动状态。
因此, 我们建议您在对配置文件进行任何更改之前保存并备份正在运行的配置。容易犯严重错误, 如果没有好的备份, 就很难逆转更改并恢复到以前的配置。
备份和还原配置
帕洛阿尔托网络操作系统为管理员提供以下选项:
验证 | 验证候选配置 |
还原 | 还原到上次保存的配置 |
| 还原为正在运行的配置 |
保存 | 保存命名的配置快照 |
| 保存候选配置 |
负载 | 加载命名的配置快照 |
| 加载配置版本 |
导出 | 出口命名配置快照 |
| 导出配置版本 |
| 出口设备状态 |
导入 | 导入命名的配置快照 |
| 导入设备状态 |
验证-验证候选配置
检查候选配置是否有错误。PaloAlto OS 允许管理员验证已保存但未提交的配置文件。验证过程检查配置文件中是否存在可能的错误和冲突。它将为管理员提供输出。这是一个有用的函数, 可以帮助避免配置错误或加载错误的配置文件。
还原
如果在配置中出错, 操作系统允许您快速还原到上一个保存的配置或运行的配置。上次保存的配置与正在运行的配置之间存在差异。这两个选项可以称为 "一次单击" 还原。它们不允许您选择要还原的文件。这两个选项都从两个不同的源还原配置:
- 还原到上次保存的配置将从中还原配置.快照. xml文件
- 还原为运行配置从运行配置的. xml文件 还原配置
还原到上次保存的配置
还原选项从本地驱动器还原上次保存的候选配置。当前候选配置被覆盖。如果未保存候选配置, 则会发生错误。这是一个快速恢复非常有用的 "热" 框工作。
第一个提示询问您是否要继续进行还原。
第二个消息通知您已还原的文件。
请记住, 帕洛阿尔托设备生成运行配置的快照, 并将其保存在硬盘驱动器上。每次进行更改或单击 "提交" 时都会生成运行配置的新版本. 这是一个非常好的函数, 它允许管理员在意外更改时快速恢复配置。
还原为运行配置
从运行配置. xml 还原上次运行的配置。当前正在运行的配置被覆盖。此选项显示在进行更改和保存和提交的运行配置时所执行的快照之间的差异。
第一个提示询问您是否要继续进行还原。
第二个消息通知您已还原的文件。
保存配置文件
有两种方法可以保存配置文件
有什么区别, 为什么有两种选择?
保存命名配置快照选项将候选配置保存到文件中. 保存配置文件不会覆盖运行的配置。在创建备份文件或测试配置文件时, 此函数非常有用, 可以在实验室环境中下载此功能以进行进一步修改或测试。您可以输入文件名或选择要覆盖的现有文件. 请注意, 无法覆盖当前活动配置文件 (运行配置. xml)。
保存候选配置
将候选配置保存在闪存中 (与单击页面顶部的 "保存" 相同)。
加载命名的配置快照
从活动配置 (运行配置. xml) 或以前导入或保存的配置中加载候选配置。选择要加载的配置文件。当前候选配置被覆盖。
加载配置版本
加载指定的配置版本。
出口命名配置快照
导出活动配置 (运行配置. xml) 或以前保存或导入的配置。选择要导出的配置文件。您可以打开该文件并/或将其保存在任何网络位置。
导出配置版本
导出配置的指定版本。
导出全景和设备配置捆绑 (仅全景)
手动生成和导出全景图和每个托管防火墙的运行配置备份的最新版本。要自动创建和导出配置包每天到 SCP 或 FTP 服务器的过程, 请参阅 "计划配置导出"。
导出设备状态 (仅限防火墙)
此功能用于从防火墙配置的配置和动态信息导出, 它已启用了大规模 VPN 功能, 并将其设置为 GlobalProtect 门户。如果门户遇到故障, 则可以导入导出文件以还原门户的配置和动态信息。
导出包含由门户管理的所有附属设备的列表、导出时运行的配置以及所有证书信息 (根 CA、服务器和附属证书)。
重要: 必须手动运行设备状态导出或创建计划的 XML API 脚本, 将文件导出到远程服务器。这应该定期进行, 因为卫星证书可能经常发生变化。
要从 CLI 创建设备状态文件, 请从配置模式运行保存设备状态。
该文件将被命名为 device_state_cfg tgz 并存储在/选择/pancfg/管理/设备状态中。导出设备状态文件的操作命令是 scp 导出设备状态 (您还可以使用 tftp 导出设备状态)。
有关使用 xml api 的信息, 请参阅 xml api 用法指南。
导入命名配置快照
从任何网络位置导入配置文件。单击 "浏览" 并选择要导入的配置文件。
导入设备状态 (仅限防火墙)
导入使用 "导出设备状态" 选项导出的设备状态信息。这包括当前运行的配置、全景模板和共享策略。如果设备是全局保护门户, 则导出包括证书颁发机构 (CA) 信息和附属设备列表及其身份验证信息。