So führen Sie einen Geräte-Config-Import in Panorama

So führen Sie einen Geräte-Config-Import in Panorama

230644
Created On 09/25/18 19:30 PM - Last Modified 03/26/21 16:51 PM


Symptom


  • Sie haben eine Konfiguration in Ihren Palo Alto Netzwerken Firewall
  • Eine Instanz Panorama von ist mit derselben Version von PAN-OS (oder höher) betriebsbereit.
  • Sie haben Web- und CLI Administratorzugriff sowohl auf die als auch auf die firewall Panorama
  • Der firewall wurde so konfiguriert, dass er eine Verbindung Panorama in Device > Setup > Management > PanoramaSettings herstellt.
  • Die firewall Seriennummer von wurde Panorama hinzugefügt, und ein Commit wurde Panorama abgeschlossen.
  • Panorama zeigt, dass der firewall in Panorama > verwalteten Geräten verbunden ist

Environment


  • Alle Panorama verwaltenden Firewalls.
  • PAN-OS 8.1 und höher.

Resolution


  1. Navigieren Panorama Sie auf , navigieren Sie zu Panorama > Setup > Operations
  2. Klicken Sie auf Gerätekonfiguration importieren, um Panorama
1.png
  1. Wählen Sie das entsprechende Gerät und benennen Sie die Vorlage und die Gerätenamen Gruppe entsprechend.
Für jedes virtuelle System (vsys) auf dem firewall Panorama erstellt automatisch eine Gerätegruppe, die die und die policy Objektkonfigurationen enthält.
 
2.png
  1. Klicken Sie OK auf , dann wird die Konfiguration des firewall Panorama

3.png

  1. Verpflichten Sie sich Panorama lokal, die neue Gerätegruppe und Vorlage zu speichern, die durch den Import erstellt wurden
  2. Schieben Sie die importierte Konfiguration zurück auf die firewall
    1. Navigieren Panorama Sie auf , navigieren Sie zu Panorama > Setup > Operations
    2. Klicken Sie auf "Export or push device config bundle"
1.png
  1. Wählen Sie entweder "Push & Commit" oder "Export".
  2. Push & Commit. Diese Option überschreibt alle lokalen Konfigurationen auf der firewall mit der firewall Konfiguration, die auf der gespeichert Panorama ist. Dies ist erfolgreich, wenn ein normaler Commit Fehler generiert, die mit Objekten und Regeln verknüpft sind, die sowohl in als auch im vorhanden Panorama firewall sind.
Wenn Sie "Push & Commit" wählen, sehen Sie einen Auftrag, der auf der ausgelöst Panorama wird, und sehen Jobstatusdetails wie unten gezeigt:
 
6. png 
 
Export: Diese Option exportiert die Konfiguration in firewall die, aber nicht laden. Sie sollten die Konfiguration manuell aus dem laden, indem Sie CLI den Befehl "Gerätestatus laden" ausführen. Anschließend sollte die Konfiguration festgeschrieben werden. Wenn Sie die Option "Exportieren" wählen, wird ein Auftrag auf der ausgelöst Panorama und details wie unten gezeigt angezeigt:
 
7.die png 
  1. Hinweis: Die beiden oben genannten Optionen ("Push & Commit" & "Export") sind nur für Firewalls mit PAN-OS 6.0.4 und neueren Versionen verfügbar.
  1. Nachdem dies ausgeführt wurde, sollten Sie auf Geräte drücken und die folgenden Optionen auswählen:
    • Zusammenführung mit Device Candidate Config
    • Geräte- und Netzwerkvorlagen einschließen
    • Erzwingen von Vorlagenwerten

Additional Information


Für Firewalls im Hochverfügbarkeitsmodus finden Sie unter Migrieren eines firewall HA Paars zur Panorama Verwaltung.


Weitere Vorbehalte und wichtige Anmerkungen:
  • Wenn Sie zuvor unter Device > Setup > Settings > Disable and Objects/Disable Device and Network Template eine Unterstützung deaktiviert und firewall sie nun erneut in dieselbe oder andere Panorama dateiiert Panorama Policy Panorama Panorama haben, müssen Sie WILL sicherstellen, dass diese Optionen erneut aktiviert sind, um den Push and Commit oder Export zu empfangen.
  • Push and Commit würde alle lokalen Informationen löschen, aber wenn sie die Optionen für die Konfiguration deaktivieren lassen, wird verhindert, dass sie eine Konfiguration erhält, einschließlich Der Verwaltung und des Panorama Panorama IP Standardgateways (daher wäre zu diesem Zeitpunkt nur der Konsolenzugriff möglich).
  • Wenn mehrere Geräte importiert und dann in eine Gerätegruppe verschoben werden, werden sie MUST in ihre eigene neue Gerätegruppe/Vorlage importiert, und führen Sie wie oben beschriebene Schritte aus. Erst wenn sie ordnungsgemäß in ihren eigenen Gerätegruppen/Vorlagen angezeigt werden und alle von ihnen übertragenen Konfigurationen erhalten haben, Panorama können Sie sie in einer einzelnen Gerätegruppe/-vorlage platzieren, nach der Sie lokal an Geräte übertragen und dann pushen müssen, während Sie Panorama "Mit Gerätekandidaten-Konfiguration, "Geräte- und Netzwerkvorlagen einschließen" und "Vorlagenwerte erzwingen" auswählen.
  • Wenn Sie ein neues Gerät über die Option Gerätekonfiguration importieren in die Option Importieren in die Option Importieren der Seriennummer zu den verwalteten Geräten von Panorama Panorama Panorama 's, müssen Sie sicherstellen, dass es NOT Teil einer Gerätegruppe/-vorlage ist, bevor Sie den Import durchführen, da es nicht als verfügbares Gerät zum Importieren der Konfiguration angezeigt wird.
  • Beim Durchführen des Imports ONLY wird die laufende Config auf der firewall importiert. Wenn Änderungen vorgenommen wurden und sich nur in der Kandidatenkonfig befinden (nicht auf die firewall verschoben), werden sie NOT importiert.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZSCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language