De los expertos: migrar de BrightCloud a pan-dB en un entorno de clúster multi-VSYS ha

De los expertos: migrar de BrightCloud a pan-dB en un entorno de clúster multi-VSYS ha

20052
Created On 09/25/18 18:59 PM - Last Modified 06/14/23 07:16 AM


Symptom


Síntomas de

El clúster multi-VSYS ha presenta algunos desafíos para migrar la base de datos de URL de BrightCloud a pan-dB en dispositivos con configuraciones locales y panorámicas mixtas.

Diagnóstico

Migrar la base de datos URL a pan-dB en dispositivos que tienen configuraciones locales y panorámicas mixtas con entorno de clústeres multi-VSYS ha.

Resolution


Suspender el cortafuegos pasivo secundario

 

 Compruebe si está habilitado el filtrado dinámico de URL en el dispositivo.
> Configure CLI config-Output-formato set
> configure
# Show deviceconfig Setting URL

si está configurado, elimine la configuración ejecutando los siguientes comandos:

# Delete deviceconfig Setting URL dinámica-URL
# commit

 

Licenciar el dispositivo Palo Alto Networks con licencia pan-dB y activar la licencia en el dispositivo.

  • Desplácese hasta dispositivo > licencias
  • Haga clic en recuperar claves de licencia del servidor de licencias o activar función mediante el código auth

 

Descargue el archivo de semilla inicial de URL dB optimizado para una región específica.

  • Desplácese hasta dispositivo > licencias
  • Haga clic en Descargar bajo el filtrado de URL de Palo Alto Networks

 

En el firewall, Active PAN-DB (dispositivo > licencias). Esto debería fallar. Esto es, el commit fallará y la política local se migrará a pan-dB, mientras que la política de panorama Push sigue siendo BrightCloud.

 

En el cortafuegos, borre la caché de URL antigua del plano de administración y del plano de datos y reactive pan-dB.

 

Eliminar caché del plano de datos

> Borrar caché de enlace todos

 

Eliminar caché del plano de administración

> eliminar URL-base de datos todo

 

Re-descarga de la URL de PAN-DB-se puede hacer de dos maneras: a

través de la CLI: solicitud de filtrado de URL descarga paloaltonetworks región <region>
solicitud de filtrado de URL de filtro de estado de descarga proveedor paloaltonetworks (para comprobar el estado de descarga) a

través de la webgui: ir a Dispositivo-> licencias, y descarga de prensa bajo "enlace de base de datos de redes de Palo Alto Networks Filtering" </region>

 

Activar PAN-DB

  > establecer configuración del sistema URL-Database paloaltonetworks

 En este punto, el Firewall se habrá cambiado a la base de datos de filtrado de URL de PAN-DB.

 

Compruebe la base de datos de filtrado de URL utilizada y la versión y los perfiles URL Fitlering en cada VSYS.

> Mostrar información del sistema | URL del fósforo-dB

URL-db: paloaltonetworks

 

> Mostrar información del sistema | Match URL-Filtering-versión

filtrado de URL-versión: 2016.01.07.219

 

Compruebe que las categorías de filtrado de URL se han migrado al nuevo formato.

Para comprobar el doble, la forma más fácil es comprobar un perfil de filtrado de URL (predeterminado) y mirar el texto de las categorías.

  • Si los perfiles de filtrado de URL siguen en formato Brightcloud, mostrarán "culto y ocultismo".
  • Si los perfiles de filtrado de URL migran a formato pan-dB, mostrarán "religión" en su lugar.
  • En caso de que las categorías aún aparezcan en formato Brightcloud, se necesita un paso adicional:

 

OPCIONAL (si el cheque falla)--

 

En panorama, empuje el panorama config uno vsys (o grupo de dispositivo commit) a la vez de panorama a Firewall.

 

Después de que todos los commits hayan terminado, vuelva a ejecutar los cheques.

 

 

Cambiar el estado de alta disponibilidad del dispositivo suspendido secundario a funcional

 El dispositivo secundario se moverá a un estado no funcional, que es el comportamiento esperado.

 

El failover se debe a la coincidencia del proveedor de URL entre el par de dispositivos HA.

Además, si se utilizan diferentes proveedores de URL en el par de dispositivos ha, el que tiene pan-dB entrará en el estado no funcional. Por ejemplo, si el escenario tiene el dispositivo activo utilizando BrightCloud y dispositivo pasivo con pan-dB, la unidad pasiva con pan-dB entrará en el estado no funcional.

 

Suspender estado de alta disponibilidad del dispositivo activo primario

Esto hará que el cortafuegos secundario se mueva al estado activo y se encargará del tráfico.

 

Aplique el mismo procedimiento para migrar de Brightcloud a la base de datos de filtrado de URL de pan-dB.

 

Cambiar el estado de alta disponibilidad del dispositivo principal suspendido a funcional

El dispositivo principal se moverá a estado pasivo.

Si la opción preventiva está activada, se moverá al estado activo después de que expire el tiempo de espera.

 

Comprobar la sincronización de alta disponibilidad

Compruebe que los dos cortafuegos están sincronizados en el panel de control--widget de alta disponibilidad.

 

Si el funcionamiento de las configuraciones parece estar dessincronizado, ejecute la sincronización de configuración desde el dispositivo primario hacia el secundario.

De lo contrario, se necesita otro failover para llevar el cortafuegos primario al estado activo y al cortafuegos secundario al estado pasivo.

 

La migración de ambos dispositivos en el clúster de alta disponibilidad ya está completa.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSXCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language