Konfigurieren eines RMA Ersatzes Firewall

Übersicht

Schritte

• Registrieren Sie die neuen und Übertragungslizenzen: Registrieren Sie nach Erhalt das neue Gerät und übertragen Sie firewall Lizenzen von der alten
  Einheit. Nach Palo Alto Networks das fehlerhafte Gerät erhält, wird die alte Zulassung entzogen deshalb es wichtig ist, die Lizenzen sofort.
  Um die Lizenz zu übertragen, befolgen Sie diese Anweisungen: Wie man Lizenzen auf einen Ersatzgerätehinweis
  überträgt: Wenn eine Lizenz auf das Ersatzgerät übertragen wird, verfügt das Originalgerät noch über eine 30-Tage-Evaluierungslizenz.
• Konfigurieren Sie die Management-SchnittStelle.
  • Die Standardverwaltungsschnittstelle IP ist 192.168.1.1 und das Standard-Login/Kennwort ist admin/admin.
  • Konfigurieren Sie die Verwaltungsschnittstelle so, dass sie über einen Internetzugang und einen Server verfügt, der DNS unter Device > Setup konfiguriert ist. Diese Schnittstelle sollte mit updates.paloaltonetworks.comkommunizieren können.
  • Konfigurieren Sie alternativ eine Dienstroute um ein Layer-3-Schnittstelle mit Internet-Zugang für das Management zu ermöglichen. Die entsprechenden Schnittstellen, routing und Politik müssen auf dem Gerät konfiguriert werden. Wechseln Sie zu Device > Setup > Service Route Configuration, und wählen Sie die entsprechende IP Schnittstellenadresse für paloalto-updates und dns aus.Ein Beispiel finden Sie im Folgenden:

    

    Hinweis:  Weitere Informationen finden Sie unter Konfigurieren der Verwaltungsschnittstelle IP zum Einrichten der IP Adresse für die Verwaltungsschnittstelle.

• • Abrufen von Lizenzen, die zuvor auf das Gerät übertragen. Gerät zur > Lizenzen > Lizenzschlüssel vom Lizenzserver abzurufen. Die Lizenzen für jedes Feature anzeigen auf der gleichen Seite. Stellen Sie sicher, dass sie über eine URL Filterlizenz verfügen, dass die URL Filterung aktiviert ist und dass die Datenbank erfolgreich heruntergeladen wurde. Falls ein Link "Jetzt herunterladen" angezeigt wird, ist die Datenbank nicht. A Die erfolgreich aktivierte und heruntergeladene PAN-DB URL Filterdatenbank sieht wie folgt aus:
  • Das Gerät ist nun bereit, die aktualisiert werden, wenn nötig. Paket herunterladen und installieren der verfügbaren Apps oder Apps + Bedrohungen von Gerät > dynamische Aktualisierungen > Anwendungen und Bedrohungen > jetzt prüfen. Das Gerät Listet verfügbare Pakete zum herunterladen und installieren.
  • Um die PAN-OS zu aktualisieren, wechseln Sie zu Device > Software > Refresh.

    Zusätzliche Informationen PAN-OS zu Upgrades: So aktualisieren Sie PAN-OS und Panorama

  • Aktivieren Sie ggf. Multivsys- oder Jumbo-Frames wie firewall alte:

         > Systemeinstellung multi-vsys auf
        > Systemeinstellung Jumbo-Frame auf
  • Um eine zuvor gesicherte Konfiguration auf dem Ersatzgerät zu laden, folgen Sie den folgenden Anwendungsfällen:
  • • Fall 1: Altes Gerät ist immer noch mit dem Netzwerk verbunden und firewall wurde nicht verwaltet panorama von:
    • • Angenommen, es wurde nur das Verwaltungsnetzwerk des neuen firewall Netzwerks verbunden.
      • Speichern Sie auf dem alten Gerät Device > Setup > Speichern des benannten Konfigurationssnapshots, und exportieren Sie dann das Gerät > Setup > Exportieren des benannten Konfigurationssnapshots.
      • Wechseln Sie auf dem neuen Gerät zu Device > Setup > Importieren des benannten Konfigurationssnapshots, um die gesicherte Konfiguration auf das Gerät zu importieren.
      • Nachdem die Konfiguration importiert wurde, laden Sie die importierte Konfiguration, und wechseln Sie zu Device > Setup > Load Named Configuration Snapshot.
      • Ändern Sie die Verwaltung und den IP Hostnamen, damit kein Konflikt mit dem vorhandenen Gerät entsteht, wenn sie mit demselben Verwaltungsnetzwerk verbunden ist. Später kann dies bei Bedarf wieder geändert werden.
      • Lösen Sie etwaige Commit-Fehler und verpflichten Sie die Konfiguration.
      • Entfernen Sie das alte Gerät, verschieben Sie die Netzwerkkabel auf das neue Gerät.
    • Fall 2: Altes Gerät ist immer noch mit dem Netzwerk verbunden und firewall wird panorama von: verwaltet
    • • Vorausgesetzt, nur die Verwaltung des neuen Geräts ist verbunden, gehen Sie zu alten Gerät und exportieren Gerät Zustand: Gerät > Setup > Export Device State.
      • Wechseln Sie zu neuem Gerät: Device > Setup > Import Device State, um den gesicherten Gerätestatus auf das Gerät zu importieren. Sobald Sie dies tun, wird die firewall genau die gleichen Einstellungen wie alte Gerät (Same und IP Hostname sowie) erhalten. Keine Notwendigkeit, eine Konfiguration zu laden.
      • An dieser Stelle können Sie die alte firewall entfernen.
      • Ersetzen Sie bei die alte Seriennummer durch eine neue Seriennummer: Ersetzen Sie die alte Seriennummer des Panorama CLI Geräts > neuen <old SN <new SN > und übertragen Sie local und push commit, firewall um auch die Synchronisierung zu übernehmen.
    • Fall 3: Altes Gerät ist nicht mehr verfügbar, um ein Backup zu erstellen und firewall wurde nicht von Panorama
    • • Wenn Sie keinen Zugriff mehr auf die Maschine haben, müssen Sie nach der Konfiguration an jedem Ort suchen, an dem Sie sich vorstellen können. Dazu gehört die Suche nach technischen Support-Dateien, die irgendwo in alten Support-Fällen oder in Ihrer Umgebung gesichert werden, wo gespeichert werden kann. ALWAYS REMEMBER TO BACKUP YOUR CONFIG.
      • Suchen Sie nach einem alten technischen Support von einem alten firewall . Sie können die Konfiguration über /opt/pancfg/mgmt/saved-config/running-config abrufen.xml
      • Wenn keine vorherigen technischen Unterstützungen verfügbar sind, dann können wir vielleicht den Wartungsmodus auf der verwenden, firewall um die alte Konfiguration zu sichern: So ruft man die Palo Alto-Netzwerkkonfiguration Firewall im Wartungsmodus ab
      • Sobald die Tech Support-Datei gefunden wurde, nehmen Sie die Datei running-config.xml und importieren Sie sie in die neue firewall . Device > Setup > Importieren des benannten Konfigurationssnapshots. Verpflichten Sie sich und stellen Sie sicher, dass das Gerät in Betrieb ist.
    • Fall 4: Altes Gerät ist nicht mehr verfügbar, um eine Sicherung zu erstellen und firewall wird von Panorama verwaltet.
    • • Von Panorama nehmen Sie eine Sicherung des Konfigurationspakets: Panorama> Setup > Operations > ExportPanorama und Geräte-Konfigurationspaket. In dieser Datei befindet sich eine .xml Datei mit dem Namen, der die Seriennummer der alten firewall enthält. Mit dieser Konfiguration kann das neue Gerät geladen werden. Beachten Sie jedoch, dass dies nur eine Kopie der lokalen Konfiguration der ist firewall und keine Panorama pushende Konfiguration enthält.
      • Weisen Sie dem neuen Verwaltungsport zu, und übertragen Sie ihn IP firewall so, dass er mit verbunden Panorama ist.
      • Ersetzen Panorama Sie das alte / durch das neue / S N S N : ersetzen Sie das Gerät old <old SN '> new <new SN '> und commit local. Drücken Sie NOT die Konfiguration noch auf die neue firewall .
      • Verwenden Sie aus dem Panoramaund Geräte-Konfigurationspaket die Konfiguration, die dem alten Gerät / entspricht, und importieren und S laden Sie sie auf das neue N firewall . Commit NOT noch.
      • Von Panorama nun an pushen Sie einen und Template DG Commit zum neuen firewall . Dieser Commit sollte den Kandidaten zusammenführen und die Konfiguration von Panorama schieben.
      • Wenn keine Commit-Fehler auftreten, sollte das Gerät in Betrieb sein.
    • Fall 5: Altes Gerät ist nicht mehr verfügbar, um eine Sicherung von zu machen und firewall wird Panorama mit verwaltet, aber die kommuniziert mit firewall der Verwendung eines panorama Datenebenenports,der die vollständige Konfiguration benötigt, um mit ihmkommunizieren zu firewall können. 
      • Die vollständige Konfiguration umfasst die verwaltete zentralisierte Konfiguration Panorama und die lokale Konfiguration der firewall .
      • Die Gerätezustände dieser Firewalls können generiert und aus der Verwalten von exportiert Panorama werden.
      • Panorama kann den Gerätestatus basierend auf der letzten festgeschriebenen lokalen Konfiguration plus der Panorama Konfiguration generieren.
      • Lesen Sie diesen Artikel So exportieren Sie den Gerätestatus von verwalteten Firewalls aus Panorama
      • Durch Ersetzen der Seriennummer und Importieren des firewall Status können wir die Verwendung der Panorama firewall fortsetzen.
      • Verwenden Panorama CLI Sie den Befehl: tftp export device-state device <serial number="">to <server-ip> </server-ip> </serial> or scp export device-state device <serial number="">to pantac@:/home/ </serial> </x-4>
      • Als Nächstes importieren Sie es mithilfe des Gerätestatus in das neue Gerät, und holen Sie es auf, um die Kommunikation mit Panorama wiederherzustellen.
      • Auf Panorama ersetzen Sie die alte / mit neuen / : ersetzen Gerät alte S > neue N S N <old SN >neue SN > und commit local.
      • Die Panorama soll nun als "verbunden" für das neue Gerät angezeigt werden. Panorama > > Zusammenfassung von verwalteten Geräten
      • Von Panorama nun an pushen Sie einen und Template DG Commit zum neuen firewall . Dieser Commit sollte den Kandidaten zusammenführen und die Konfiguration von Panorama schieben.
      • Wenn keine Commit-Fehler auftreten, sollte das Gerät in Betrieb sein.

  • Wenn Sie IPs für Quelle und Ziel verwenden, NAT die sich im selben NAT Subnetz wie Schnittstelle befinden NAT (mit Ausnahme der Schnittstelle IP selbst), müssen Sie eine manuelle Gratuitous ARP aus der firewall tun, um die ARP Peers-Tabelle zu aktualisieren. Zum Beispiel ist Ihre Schnittstelle IP 198.51.100.1/24, und Sie verwenden 198.51.100.2 für NAT , die Sie für GARP 198.51.100.2 senden müssen.

        > test arp gratuitous ip <ip>interface <interface></interface> </ip>
  • Das defekte Gerät zurück. Informationen zum Wiederherstellen der Werkseinstellung vor der Rückgabe finden Sie unter: Wie man ein Palo Alto Networks-Gerät auf die Werkseinstellungen zurücksetzt oder wenn 6.0 und höher ausgeführt PAN-OS wird, lesen Sie How to into Maintenance SSH Mode, da der SSH Wartungsmodus möglich ist.Kunden, deren Supportabonnement den Vorabaustausch eines defekten Geräts beinhaltet, firewall müssen das defekte Gerät nach Erhalt des Austauschs an Palo Alto Networks zurückgeben.
    Kunden in den Vereinigten Staaten - A Rückversandetikett wird im Karton mit dem Ersatz sein. Befestigen Sie das Etikett am Karton, um das defekte Gerät zurückzugeben.
    Internationale Kunden - Siehe Rücksendeanweisungen und Dokumente im Ersatzversandkarton.