専門家から: マルチ VSYS HA クラスタ環境で BrightCloud からパン DB への移行

専門家から: マルチ VSYS HA クラスタ環境で BrightCloud からパン DB への移行

20060
Created On 09/25/18 18:59 PM - Last Modified 06/14/23 07:16 AM


Symptom


兆候

マルチ VSYS HA クラスターでは、ローカルとパノラマの混在した構成のデバイスで、URL データベースを BrightCloud からパン DB に移行するという課題がいくつかあります。

診断

マルチ VSYS HA クラスタ環境でローカルおよびパノラマ構成が混在しているデバイスで、URL データベースをパン DB に移行します。

Resolution


セカンダリパッシブファイアウォールを中断する

 

 デバイスで動的 URL フィルタが有効になっているかどうかを確認します。
> 設定の cli 構成-出力フォーマットセット
> 構成
# deviceconfig 設定の url

が構成されている場合は、次のコマンドを実行して設定を削除します。

# 削除 deviceconfig 設定 url 動的 url
# commit

 

ライセンスを使用して、パロアルトネットワークデバイスをパン DB ライセンスとデバイス上のライセンスを有効にします。

  • デバイス > ライセンスに移動します。
  • [ライセンスサーバーからライセンスキーを取得する] または [認証コードを使用して機能をアクティブにする ]

 

特定のリージョンに最適化された URL DB 初期シードファイルをダウンロードします。

  • デバイス > ライセンスに移動します。
  • をクリックしてダウンロードパロアルトネットワークの URL フィルタリングの下で

 

ファイアウォールで、パン DB (デバイス > ライセンス) をアクティブ化します。これは失敗します。つまり、コミットは失敗し、ローカルポリシーはパン DB に移行されますが、パノラマプッシュポリシーは BrightCloud ままになります。

 

ファイアウォールで、 管理プレーンとデータプレーンから古い URL キャッシュをクリアし、パン DB を再アクティブ化します。

 

データプレーンからキャッシュを削除する

> url キャッシュをクリアすべて

 

管理平面からキャッシュを削除

> url の削除-データベースのすべて

 

再ダウンロードパン-DB の url-2 つの方法で行うことができます:

CLI を介して: リクエスト url-フィルタリングダウンロード paloaltonetworks リージョン<region>
要求の url-フィルタリングダウンロードステータスベンダー paloaltonetworks (ダウンロードステータスを確認するに

は) WebGUI を介して: に移動デバイス-> ライセンス、およびプレスダウンロード "パロアルトネットワークデータベースの URL フィルタリング" の下で</region>

 

パン DB のアクティブ化

  >システム設定 url の設定-データベース paloaltonetworks

 この時点で、ファイアウォールはパン DB URL フィルタリングデータベースに切り替えられます。

 

使用されている url フィルタのデータベースとバージョン、および各 VSYS の url Fitlering プロファイルを確認してください。

> システム情報を表示する |一致する url-db

url db: paloaltonetworks

 

> システム情報を表示する |一致 url-フィルタリング-バージョン

url フィルタリング-バージョン: 2016.01.07.219

 

URL フィルタのカテゴリが新しい形式に移行されていることを確認します。

ダブルチェックするには、最も簡単な方法は、URL フィルタリングプロファイル (デフォルト) をチェックし、カテゴリのテキストを見ている。

  • URL フィルタリングプロファイルがまだ Brightcloud 形式である場合、彼らは "カルトとオカルト" が表示されます。
  • URL フィルタプロファイルがパン DB 形式に移行された場合、それらは "宗教" を代わりに表示します。
  • カテゴリがまだ Brightcloud 形式で表示される場合は、追加の手順が必要です。

 

オプション (チェックが失敗した場合)--

 

パノラマで、パノラマ構成の1つの vsys (またはデバイスグループのコミット) を、panorama からファイアウォールに一度にプッシュします。

 

すべてのコミットが完了したら、再度チェックを実行します。

 

 

セカンダリサスペンドデバイスの高可用性状態を機能に変更する

 セカンダリデバイスは、機能しない状態 (予期される動作) に移動します。

 

フェイルオーバーは、デバイスの HA ペア間の URL ベンダの不一致によるものです。

さらに、異なる URL ベンダがデバイスの HA ペアで使用されている場合、PAN DB を持つものは機能しない状態になります。たとえば、BrightCloud とパッシブデバイスを使用してアクティブなデバイスがあるシナリオでは、汎 db のパッシブユニットは非機能状態になります。

 

プライマリアクティブデバイスの高可用性状態を中断する

これにより、セカンダリファイアウォールがアクティブ状態に移行し、トラフィックを引き継ぐことになります。

 

同じ手順を適用して、Brightcloud からパン DB URL フィルタデータベースに移行します。

 

プライマリサスペンドデバイスの高可用性状態を機能に変更する

プライマリデバイスはパッシブ状態に移行します。

プリエンプティブオプションが有効になっている場合、ホールド時間が切れるとアクティブ状態に移行します。

 

高可用性の同期を確認する

2つのファイアウォールがダッシュボードで同期していることを確認します (高可用性ウィジェット)。

 

実行中の構成が同期していないように見える場合は、プライマリデバイスからセカンダリに構成の同期を実行します。

それ以外の場合は、プライマリファイアウォールをアクティブ状態にし、セカンダリファイアウォールをパッシブ状態にするには、別のフェールオーバーが必要です。

 

高可用性クラスタ内の両方のデバイスでの移行が完了しました。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSXCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language