Des experts: migration de BrightCloud vers Pan-dB dans un environnement de clusters ha multi-VSYS

Des experts: migration de BrightCloud vers Pan-dB dans un environnement de clusters ha multi-VSYS

20062
Created On 09/25/18 18:59 PM - Last Modified 06/14/23 07:16 AM


Symptom


Symptômes

Le cluster multi-VSYS ha présente certains défis à la migration de la base de données URL de BrightCloud à Pan-dB sur les périphériques avec des configurations locales et panoramiques mixtes.

Diagnostic

Migration de la base de données d'URL vers Pan-dB sur les périphériques qui ont des configurations locales et panoramiques mixtes avec un environnement de clusters ha multi-VSYS.

Resolution


Suspendre le pare-feu passif secondaire

 

 Vérifiez si le filtrage d'URL dynamique est activé sur le périphérique.
> Set CLI config-output-format set
> configurer
# Show deviceconfig paramètre URL

si elle est configurée, supprimez le paramètre en exécutant les commandes suivantes:

# Delete deviceconfig Setting URL Dynamic-URL
# Commit

 

Licence de l'appareil Palo Alto Networks avec la licence Pan-DB et activer la licence sur l'appareil.

  • Accédez à Device > licences
  • Cliquez sur récupérer les clés de licence du serveur de licences ou activer la fonctionnalité à l'Aide du code auth

 

Téléchargez le fichier de démarrage d'URL DB initial optimisé pour une région spécifique.

  • Accédez à Device > licences
  • Cliquez sur Télécharger sous le filtre d'URL de Palo Alto Networks

 

Sur le pare-feu, activez Pan-dB (Device > licenses). Cela devrait échouer. C'est le commit va échouer et la stratégie locale sera migrée vers Pan-dB, tandis que la stratégie de panorama Push reste BrightCloud.

 

Sur le pare-feu, effacez le vieux cache d'URL du plan de gestion et du plan de données et réactivez Pan-DB.

 

Supprimer le cache du plan de données

> effacer url-cache toutes les

 

Supprimer le cache du plan de gestion

> Delete URL-base de données tous

 

Re-télécharger PAN-DB URL-peut être fait de deux façons:

via le CLI: Request URL-filtrage de téléchargement paloaltonetworks région <region>
demande URL-filtrage téléchargement statut vendeur paloaltonetworks (pour vérifier l'État de téléchargement)

via le WebGUI: aller à Device-> licences, et appuyez sur Télécharger sous "Palo Alto Networks Database URL Filtering" </region>

 

Activer PAN-DB

  > Set System Setting URL-Database paloaltonetworks

 À ce stade, le pare-feu sera passé à la base de données de filtrage d'URL PAN-DB.

 

Vérifiez la base de données et la version de filtrage d'URL utilisées et les profils d'URL Fitlering sur chaque VSYS.

> Show System Info | correspondance de l'URL-DB

URL-db : paloaltonetworks

 

> Show System Info | correspondance URL-filtrage-version

filtrage d'url-version: 2016.01.07.219

 

Vérifiez que les catégories de filtrage d'URL ont migré vers le nouveau format.

Pour vérifier, la méthode la plus simple consiste à vérifier un profil de filtrage d'URL (par défaut) et à examiner le texte des catégories.

  • Si les profils de filtrage d'URL sont encore au format Brightcloud, ils afficheront "CULT et occulte".
  • Si les profils de filtrage d'URL migrent au format Pan-dB, ils afficheront plutôt «religion».
  • Dans le cas où les catégories montrent encore dans le format Brightcloud, une étape supplémentaire est nécessaire:

 

OPTIONNEL (si Check échoue)--

 

Sur panorama, poussez le panorama config One VSys (ou groupe de périphériques Commit) à la fois du panorama au pare-feu.

 

Une fois que toutes les validations sont terminées, réexécutez les vérifications.

 

 

Modifier l'état de haute disponibilité du dispositif suspendu secondaire en fonction

 Le périphérique secondaire se déplace vers un État non fonctionnel, qui est le comportement attendu.

 

Le basculement est dû à la non-concordance du fournisseur d'URL entre la paire de périphériques ha.

De plus, si différents fournisseurs d'URL sont utilisés sur la paire de périphériques HA, celui avec PAN-DB ira dans l'état non fonctionnel. Par exemple, si le scénario possède le périphérique actif à l'Aide de BrightCloud et d'un périphérique passif avec Pan-dB, l'unité passive avec Pan-DB va entrer dans l'état non fonctionnel.

 

Suspendre l'état de haute disponibilité du périphérique actif principal

Cela entraînera le passage du pare-feu secondaire à l'état actif et à la prise en charge du trafic.

 

Appliquez la même procédure pour migrer de Brightcloud à la base de données de filtrage d'URL Pan-DB.

 

Modifier l'état de haute disponibilité du périphérique suspendu principal en fonction

L'appareil principal se déplace vers l'état passif.

Si l'option de préemption est activée, elle se déplace vers l'état actif après l'expiration du délai de maintien.

 

Vérifier la synchronisation haute disponibilité

Vérifiez que les deux pare-feu sont synchronisés sur le tableau de bord--widget haute disponibilité.

 

Si les configurations en cours d'exécution semblent désynchronisées, exécutez la synchronisation de configuration à partir du périphérique principal vers le secondaire.

Sinon, un autre basculement est nécessaire pour amener le pare-feu principal à l'état actif et au pare-feu secondaire à l'état passif.

 

La migration sur les deux périphériques dans le cluster haute disponibilité est maintenant terminée.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSXCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language