Von den Experten: Migration von BrightCloud zu PAN-DB in einer Multi-VSYS HA Cluster-Umgebung

Die sekundäre passive Firewall aussetzen

 Prüfen Sie, ob eine dynamische URL-Filterung auf dem Gerät aktiviert ist.
> setzen Sie CLI config-Output-Format-Satz
> Konfiguration
# Show DeviceConfig-Einstellung URL

, wenn es konfiguriert ist, dann löschen Sie die Einstellung, indem Sie die folgenden Befehle:

# Löschen DeviceConfig-Einstellung URL dynamisch-URL
# Commit

Lizenzieren Sie das Palo Alto Networks-Gerät mit Pan-DB-Lizenz und aktivieren Sie die Lizenz auf dem Gerät.

• Navigieren Sie zu Device > Lizenzen
• Klicken Sie auf Lizenzschlüssel vom lizenzServer abrufen oder die Funktion mit auth- Code aktivieren

Laden Sie die für eine bestimmte Region optimierte URL DB-Initial-Seed-Datei herunter.

• Navigieren Sie zu Device > Lizenzen
• Klicken Sie auf Download unter der Palo Alto Networks URL Filterung

Aktivieren Sie auf der Firewall PAN-DB (Device > Lizenzen). Das sollte scheitern. Das ist die Übergabe wird scheitern und die lokale Politik wird auf Pan-DB migriert werden, während Panorama-Politik gedrückt bleibt brightcloud.

Auf der Firewall, Löschen Sie alten URL-Cache von der Management-Ebene und Daten-Ebene und reaktivieren Pan-DB.

Cache aus der DatenEbene löschen

> Url-Cache löschen alle

Cache von der Management Ebene löschen

> URL löschen-Datenbank alle

Re-Download PAN-DB URL-kann auf zwei Arten durchgeführt werden:

über die CLI: Anfrage URL-Filterung Download paloaltonetworks Region <region>
Anfrage URL-Filterung Download-Status-Anbieter paloaltonetworks (um Download-Status zu überPrüfen)

über die WebGUI: gehen Sie zu Device-> Lizenzen und Presse Download unter "Palo Alto Networks Datenbank URL Filterung" </region>

PAN-DB aktivieren

  > Systemeinstellung URL-Datenbank paloaltonetworks

 An dieser Stelle wird die Firewall auf PAN-DB-URL-FilterDatenbank umgestellt.

ÜberPrüfen Sie die verwendete URL-Filterdatenbank und-Version und die URL Fitlering-Profile auf jedem VSYS.

> System Info anzeigen | Match URL-DB

URL-Db: Paloaltonetworks

> System Info anzeigen | Match URL-Filterung-Version

URL-Filterung-Version: 2016.01.07.219

ÜberPrüfen Sie, ob die URL-Filter Kategorien auf das neue Format migriert sind.

Um den Check zu überprüfen, ist der einfachste Weg, ein URL-Filter Profil (Standard) zu überprüfen und sich die Kategorien Text anzusehen.

• Wenn sich die URL-Filter Profile noch im Brightcloud-Format befinden, werden Sie "Kult und Okkultismus" zeigen.
• Wenn die URL-Filter Profile in das PAN-DB-Format migriert werden, werden Sie stattdessen "Religion" anzeigen.
• Falls sich die Kategorien noch im Brightcloud-Format zeigen, ist ein zusätzlicher Schritt erforderlich:

OPTIONAL (wenn die Prüfung ausfällt)--

Auf Panorama drücken Sie die Panorama-Konfiguration One Vsys (oder Device-Group-Commit) zu einer Zeit von Panorama zu Firewall.

Nachdem alle Commits beendet sind, führen Sie die Prüfungen wieder durch.

Änderung der hohen Verfügbarkeit Zustand des sekundär schwebenden Gerätes auf funktionelle

 Das sekundäre Gerät wird in einen nicht-funktionalen Zustand übergehen, was das erwartete Verhalten ist.

Der Failover ist auf das Missverhältnis des URL-Anbieters zwischen den HA-paar Geräten zurückzuführen.

Wenn verschiedene URL-Anbieter auf dem HA-paar von Geräten verwendet werden, wird derjenige mit PAN-DB in den nicht-funktionalen Zustand gehen. Wenn das Szenario zum Beispiel das aktive Gerät mit BrightCloud und passivem Gerät mit PAN-DB hat, wird die passive Einheit mit PAN-DB in den nicht-funktionalen Zustand gehen.

Hoch Verfügbarkeits Zustand des primären aktiven Gerätes aussetzen

Dies führt dazu, dass die sekundäre Firewall in einen aktiven Zustand umzieht und den Verkehr übernimmt.

Verwenden Sie die gleiche Prozedur, um von Brightcloud in PAN-DB URL-Filterdatenbank zu migrieren.

Ändern Sie die hohe Verfügbarkeit Zustand des primären schwebenden Gerätes auf funktionelle

Das primäre Gerät wird in den Zustand passiv zu bewegen.

Wenn die vorbeugende Option aktiviert ist, wird Sie nach Ablauf der halte Zeit in den aktiven Zustand versetzt.

ÜberPrüfen Sie die Synchronisation

ÜberPrüfen Sie, ob die beiden Firewalls auf dem ArmaturenBrett synchron sind-ein hoch Verfügbarkeits Widget.

Wenn laufende Konfigurationen nicht synchron zu sein scheinen, führen Sie die konfigurationssynchronisierung vom primären Gerät in Richtung des sekundären Geräts aus.

Andernfalls wird ein weiterer Failover benötigt, um die primäre Firewall in den aktiven Zustand und die sekundäre Firewall in den passiven Zustand zu bringen.

Die Migration auf beiden Geräten im hoch Verfügbarkeits Cluster ist nun abgeschlossen.