如何执行设备配置导入 Panorama
230650
Created On 09/25/18 19:30 PM - Last Modified 03/26/21 16:51 PM
Symptom
- 您在帕洛阿尔托网络上有一个配置 Firewall
- Panorama以相同版本 PAN-OS (或更高版本)启动和运行实例
- 您可以通过 Web 和 CLI 管理员访问 firewall Panorama
- firewall已配置为 Panorama 在设备>设置>管理>Panorama设置中连接
- firewall已添加到"序列号 Panorama "并 Panorama 已完成提交
- Panorama 显示已 firewall 在 Panorama >管理设备中连接
Environment
- 任何 Panorama 管理防火墙。
- PAN-OS 8.1 及以上。
Resolution
- 在 Panorama "操作"上,导航到 Panorama > 设置 > 操作
- 单击 导入设备配置 Panorama
- 选择适当的设备和相应名称的模板和设备组名称。
对于每个虚拟系统(vsys), firewall Panorama 自动创建一个设备组来包含 policy 和对象配置。
- 单击 OK ,然后 firewall 将配置导入到 Panorama
- 本地承诺 Panorama 保存导入创建的新设备组和模板
- 将导入的配置推回 firewall
- 在 Panorama "操作"上,导航到 Panorama > 设置 > 操作
- 单击"导出或推送设备配置捆绑包"
- 选择" 推送和提交"或"导出"。
- 推送和提交。 此选项将覆盖 firewall firewall 存储在 Panorama 。 如果正常提交将生成与其中和其中存在的对象和规则相关联的错误,则此成功 Panorama firewall 。
当您选择 "推送和提交" 时,您将看到在上面触发的工作 Panorama ,并将看到如下所示 的工作状态 详细信息:
出口: 此选项将导出配置到 firewall 但不加载它。 您应该 CLI 通过运行命令"加载设备状态"手动加载配置。 然后应提交配置。 当您选择 "导出" 选项时,您将看到在上面触发的工作 Panorama ,并查看如下所示的详细信息:
- 注:上述两个选项("推送"和"导出")仅适用于运行 PAN-OS 6.0.4 和稍后版本的防火墙
- 执行此操作后,应推送到"设备"并选择以下选项:
- 与设备候选配置合并
- 包括设备和网络模板
- 强制模板值
Additional Information
有关高可用性模式下的防火墙,请将一 firewall HA 对迁移到 Panorama 管理。
其他注意事项和重要注意事项:
- 如果您以前在 firewall Panorama "设备 > 设置 > Panorama 设置 > 禁用 Panorama Policy 和对象/禁用设备和网络模板 "下中断了支持,现在又将其重新导入相同或其他选项 Panorama ,则 WILL 必须确保再次启用这些选项才能接收推送和提交或导出。
- 推送和提交将删除所有本地信息,但将选项留给禁用 Panorama 的配置将 Panorama 阻止给它任何配置,包括 IP 管理和默认网关(因此当时只能访问控制台)。
- 如果多个设备正在导入,然后移动到一个设备组,它们 MUST 将被导入到自己的新设备组/模板中,并遵循上述步骤。 只有当他们在自己的设备组/模板中正确显示并接收推送的所有配置 Panorama 后,您才能将它们放入单个设备组/模板中,之后您必须在 Panorama 选择"与设备候选配置合并"、"包括设备和网络模板"和"强制模板值"时本地提交并然后推送到设备。
- 如果 Panorama 通过"导入设备配置"将新设备导入 Panorama 选项,在将序列号添加到 Panorama "管理设备"后,您必须在 NOT 执行导入之前确保它是设备组/模板的一部分,因为它不会显示为导入配置的可用设备
- 执行导入时 ONLY ,导入的运行配置 firewall 。 如果有任何更改,并且仅在候选人配置中(未推入)中, firewall 则 NOT 它们将被导入。