专家: 多 VSYS HA 集群环境中从 BrightCloud 到泛 DB 的迁移
Symptom
Resolution
挂起辅助被动防火墙
验证设备上是否启用了动态 URL 筛选。
>> 设置 cli 配置-输出格式设置
>> 配置
# 显示 deviceconfig 设置 url
如果已配置, 则通过运行以下命令删除该设置:
# 删除 deviceconfig 设置 url 动态 url
# 提交
使用 PAN DB 许可证许可帕洛阿尔托网络设备, 并激活设备上的许可证。
- 导航到设备 > 许可证
- 单击 "从许可证服务器检索许可证密钥"或使用授权代码激活功能
下载为特定区域优化的 URL DB 初始种子文件。
- 导航到设备 > 许可证
- 点击下载在帕洛阿尔托网络网址过滤
在防火墙上, 激活泛 DB (设备 > 许可证)。这应该失败。即提交将失败, 本地策略将被迁移到泛 DB, 而全景推送策略仍然 BrightCloud。
在防火墙上, 从管理平面和数据平面清除旧的 URL 缓存并重新激活 PAN DB.
从数据平面删除缓存
> 清除 url 缓存所有
从管理平面删除缓存
>> 删除 url-数据库全部
重新下载泛 DB URL-可以通过以下两种方式完成:
请求 url 筛选下载 paloaltonetworks 区域<region>
请求 url-筛选下载状态供应商 paloaltonetworks (通过 WebGUI 检查下载状态)
: 转到设备-> 许可证 , 并在 "帕洛阿尔托网络数据库 URL 筛选" 下按下下载</region>
激活泛 DB
>>设置系统设置 url-数据库 paloaltonetworks
此时, 防火墙将切换到泛 DB URL 筛选数据库。
在每个 VSYS 上检查使用的 url 筛选数据库和版本以及 url Fitlering 配置文件。
> 显示系统信息 |匹配 url db
网址-db: paloaltonetworks
> 显示系统信息 |匹配 url 筛选-版本
url 过滤-版本: 2016.01.07。219
检查 URL 筛选类别是否已迁移到新格式。
要进行双倍检查, 最简单的方法是检查 URL 筛选配置文件 (默认) 并查看类别文本。
- 如果 URL 过滤配置文件仍然是 Brightcloud 格式, 他们将显示 "邪教和神秘"。
- 如果 URL 筛选配置文件迁移到泛 DB 格式, 他们将显示 "宗教" 代替。
- 如果类别仍然以 Brightcloud 格式显示, 则需要额外的步骤:
可选 (如果检查失败)--
在全景图上, 从全景到防火墙, 一次推送全景配置一 vsys (或设备组提交)。
完成所有提交后, 再次运行检查。
将次要挂起设备的高可用性状态更改为功能性
辅助设备将移动到非功能状态, 这是预期的行为。
故障转移是由于在 HA 对设备之间的 URL 供应商不匹配。
此外, 如果在 HA 对设备上使用不同的 URL 供应商, 则具有 PAN DB 的接口将进入非功能状态。例如, 如果场景中的活动设备使用的是 BrightCloud 和无源设备, 则带有 pan db 的被动单元将进入非功能状态。
挂起主活动设备的高可用性状态
这将导致次防火墙移动到活动状态并接管通信量。
应用相同的过程从 Brightcloud 迁移到泛 DB URL 筛选数据库。
将主挂起设备的高可用性状态更改为功能性
主设备将移动到状态被动。
如果启用了先发制人选项, 则在保持时间过期后, 它将移动到活动状态。
检查高可用性同步
检查仪表板上的两个防火墙是否同步--高可用性小部件。
如果运行的配置看起来不同步, 则从主设备运行配置同步到第二个。
否则, 需要进行另一次故障转移, 使主防火墙处于活动状态, 并且辅助防火墙处于被动状态。
高可用性群集中的两个设备上的迁移现在已完成。