Cómo configurar un RMA reemplazo Firewall

Visión general

Pasos

• Registrar las licencias nuevas firewall y de transferencia:
  Una vez recibidas, registre el nuevo dispositivo y transfiera licencias desde la unidad anterior. Después de Palo Alto Networks recibe el dispositivo fallado, la licencia vieja desnuda, así que es importante transferir las licencias inmediatamente.
  Para transferir la licencia, siga estas instrucciones: Cómo transferir licencias a una nota de dispositivo de repuesto:
  Cuando se transfiere una licencia al dispositivo de repuesto, el dispositivo original todavía tiene una licencia de evaluación de 30 días.
• Configure la interfaz de administración.
  • La interfaz de administración predeterminada IP es 192.168.1.1 y el inicio de sesión/contraseña predeterminado es admin/admin.
  • Configure la interfaz de administración para que tenga acceso a Internet y un DNS servidor conferido en Configuración de > de dispositivos. Esta interfaz debe ser capaz de comunicarse con updates.paloaltonetworks.com.
  • También puede configurar una ruta de servicio para habilitar una interfaz de capa 3 con acceso a internet para la gestión. Las interfaces apropiadas, enrutamiento y políticas deben estar configuradas en el dispositivo. Vaya a Configuración de > dispositivo > configuración de ruta de servicio y elija la dirección de interfaz adecuada IP para paloalto-updates y dns.A continuación se proporciona un ejemplo:

    

    Nota:  Refiera a cómo configurar la interfaz de administración IP para configurar la dirección para la interfaz de IP administración.

• • Recuperar licencias previamente transferidos al dispositivo. Ir a dispositivo > licencias > recuperar claves de licencia de servidor de licencias. Las licencias para cada pantalla de la característica en la misma página. Asegúrese de tener una URL licencia de filtrado, de que URL el filtrado está activado y de que la base de datos se ha descargado correctamente. Si aparece un enlace "Descargar ahora", no se descarga la base de datos. A la base de datos de filtrado activada y descargada correctamente PAN-DB URL tiene este aspecto:
  • El dispositivo está ahora listo para ser actualizado, si es necesario. Descargar e instalar el paquete de aplicaciones o Apps + amenazas disponible del dispositivo > actualizaciones dinámicas > aplicaciones y amenazas > comprobar ahora. El dispositivo muestra los paquetes disponibles para descargar e instalar.
  • Para actualizar PAN-OS el archivo , vaya a Software de > dispositivo > actualizar.

    Información adicional sobre PAN-OS las actualizaciones: Cómo actualizar PAN-OS y Panorama

  • Habilite los multi-vsys o jumbo-frames igual que los antiguos firewall si corresponde:

         > establecer el sistema multi-vsys en
        > establecer el sistema jumbo-frame en
  • Para cargar una configuración previamente respaldada en el dispositivo de reemplazo, siga los siguientes casos de uso:
  • • Caso 1: El dispositivo antiguo todavía está conectado a la red y firewall no se administró panorama desde:
    • • Suponiendo que solo se haya conectado la red de administración en la firewall nueva.
      • En el dispositivo antiguo, guarde Configuración de Device > > Guardar instantánea de configuración con nombre y, a continuación, exporte Device > Setup > Export Named Configuration Snapshot.
      • En el nuevo dispositivo, vaya a Configuración de la > > Importar instantánea de configuración con nombre para importar la configuración de copia de seguridad en el dispositivo.
      • Una vez que se importa la configuración, cargue la configuración importada, vaya a Device > Setup > Load Named Configuration Snapshot.
      • Cambie la administración y el IP nombre de host para que no cree un conflicto con el dispositivo existente si está conectado a la misma red de administración. Más adelante esto se puede cambiar de nuevo si es necesario.
      • Resuelve cualquier error de commit y confirma la configuración.
      • Quite el dispositivo viejo, mueva los cables de red al nuevo dispositivo.
    • Caso 2: El dispositivo antiguo todavía está conectado a la red y firewall se gestiona panorama desde:
    • • Suponiendo que solo la administración del nuevo dispositivo esté conectada, vaya al estado del dispositivo antiguo y del dispositivo de exportación: Configuración del dispositivo > > Exportar estado del dispositivo.
      • Vaya al nuevo dispositivo: Configuración de la > del dispositivo > Estado de la importación del dispositivo para importar el estado del dispositivo de copia de seguridad en el dispositivo. Una vez que haga esto, obtendrá exactamente la misma configuración que el firewall dispositivo antiguo (mismo IP y nombre de host también). No es necesario cargar ninguna configuración.
      • En este punto puede eliminar el viejo firewall .
      • Activado Panorama CLI , reemplace el número de serie antiguo por un nuevo número de serie: reemplace el dispositivo antiguo <old SN #> nuevo <new SN #> y confirme la confirmación local e push para firewall que también traiga sincronización.
    • Caso 3: El dispositivo antiguo ya no está disponible para realizar una copia de seguridad y firewall no se administró desde Panorama
    • • Cuando ya no tenga acceso a la máquina, tendrá que buscar la configuración en cualquier lugar que se le ocurra. Esto incluye la búsqueda de archivos de soporte técnico que se copian en algún lugar en casos de soporte antiguos o en su entorno, donde se pueden guardar. ALWAYS REMEMBER TO BACKUP YOUR CONFIG.
      • Busque un soporte técnico antiguo de un viejo firewall . Puede obtener la configuración de /opt/pancfg/mgmt/saved-config/running-config.xml
      • Si no hay soportes técnicos anteriores disponibles, entonces tal vez podamos utilizar el modo de mantenimiento en el firewall para respaldar la configuración antigua: Cómo recuperar la configuración de las redes de Palo Alto en modo de Firewall mantenimiento
      • Una vez encontrado el archivo de soporte técnico, tome el archivo running-config.xml e impórtelo en el nuevo firewall archivo . Configuración de > dispositivo > Importar instantánea de configuración con nombre. Comprométete y asegúrate de que el dispositivo está en funcionamiento.
    • Caso 4: El dispositivo antiguo ya no está disponible para realizar una copia de seguridad y firewall se gestiona desde Panorama .
    • • De Panorama tomar una copia de seguridad del paquete de configuración: Panorama> conjunto de configuración > operaciones > exportaciónPanorama y configuración de dispositivos. En este archivo, hay un archivo .xml con el nombre que contiene el número de serie de antiguo firewall . Esta configuración se puede utilizar para cargar en el nuevo dispositivo. Sin embargo, tenga en cuenta que esto es sólo una copia de la configuración local de la firewall configuración y no contiene la configuración Panorama insertada.
      • Asigne IP al nuevo puerto de administración y firewall confirme para que esté conectado a Panorama .
      • En Panorama reemplazar el viejo / con nuevo / S N S N : reemplace el dispositivo viejo <old SN #> nuevo <new SN #> y confirme local. NOTPresione la configuración todavía al nuevo archivo firewall .
      • Desde el Panoramapaquete de configuración y dispositivos, utilice la configuración correspondiente al dispositivo antiguo / e S N impórtelo y cárguelo en el nuevo firewall . NOTComprométase todavía.
      • A partir de Panorama ahora, presione a DG y la confirmación de plantilla al nuevo firewall . Esta confirmación debe combinar el candidato y insertar la configuración de Panorama .
      • Si no hay errores de commit, el dispositivo debe estar en funcionamiento.
    • Caso 5: El dispositivo antiguo ya no está disponible para realizar una copia de seguridad y firewall se administra mediante , pero se comunica con el uso de un puerto de plano de Panorama firewall panorama datos que requiere que la configuración completa pueda y comunicarse con firewall él.
      • La configuración completa incluye la configuración centralizada que Panorama administra y la configuración local del archivo firewall .
      • Los estados de dispositivo de estos firewalls se pueden generar y exportar desde la Panorama administración.
      • Panorama puede generar el estado del dispositivo en función de la última configuración local confirmada más la Panorama configuración.
      • Consulte este artículo Cómo exportar el estado del dispositivo de firewalls administrados desde Panorama
      • Reemplazando el número de serie e importando el firewall estado, podemos reanudar el uso Panorama para administrar el archivo firewall .
      • Del Panorama CLI uso del comando: tftp export device-state device <serial number="">to <server-ip> </server-ip> </serial> o scp export device-state device <serial number="">to pantac@:/home/ </serial> </x-4>
      • A continuación, utilizando el estado del dispositivo, impórtelo en el nuevo dispositivo y sábalo para restaurar la comunicación con Panorama .
      • En Panorama reemplazar el viejo / con nuevo / : reemplace el dispositivo viejo S N S N <old SN #> nuevo >nuevo SN #> y confirme local.
      • Ahora Panorama debe mostrarse como "conectado" para el nuevo dispositivo. Panorama Resumen de > de dispositivos administrados >
      • A partir de Panorama ahora, presione a DG y la confirmación de plantilla al nuevo firewall . Esta confirmación debe combinar el candidato y insertar la configuración de Panorama .
      • Si no hay errores de commit, el dispositivo debe estar en funcionamiento.

  • Si está utilizando cualquier NAT IP para el origen y el destino que están en la misma subred que la interfaz NAT NAT (excepto la propia IP interfaz), deberá hacer un Gratuitous manual ARP desde el para actualizar la tabla de firewall ARP pares. Por ejemplo, su interfaz IP es 198.51.100.1/24, y está utilizando 198.51.100.2 NAT para , usted necesita enviar para GARP 198.51.100.2.

        > prueba arp gratuitous <ip>ip interface <interface></interface> </ip>
  • Devolver el equipo defectuoso. Para restaurar el valor predeterminado de fábrica antes de volver, consulte: Cómo restablecer de fábrica un dispositivo de redes de Palo Alto o si se ejecuta PAN-OS 6.0 y versiones posteriores, revise Cómo entrar en modo de SSH mantenimiento porque SSH el modo de mantenimiento es posible.Los clientes cuya suscripción de soporte técnico incluye la sustitución anticipada de un error firewall deben devolver la unidad defectuosa a Palo Alto Networks después de recibir el reemplazo.
    Clientes de los Estados Unidos - etiqueta de envío de devolución estará en la caja con el A reemplazo. Fije la etiqueta a la caja para devolver la unidad defectuosa.
    Clientes internacionales - Consulte las instrucciones de devolución y los documentos en la caja de envío de reemplazo.