Comment configurer un RMA remplacement Firewall

Aperçu

Étapes

• Enregistrer les nouvelles firewall licences et les licences de transfert
  : Dès réception, enregistrez le nouvel appareil et transférez les licences de l’ancienne unité. Après que Palo Alto Networks a reçu l’appareil défectueux, l’ancienne licence est dépouillé, il est donc important de transférer les licences immédiatement.
  Pour transférer la licence, suivez ces instructions : Comment transférer les licences vers une note d’appareil de
  rechange: Lorsqu’une licence est transférée sur l’appareil de rechange, l’appareil d’origine dispose toujours d’une licence d’évaluation de 30 jours.
• Configurer l'Interface de gestion.
  • Interface de gestion IP par défaut est 192.168.1.1 et par défaut login / mot de passe est admin / admin.
  • Configurez l’interface de gestion pour avoir accès à Internet et DNS un serveur confguré sous l'> Setup. Cette interface devrait être en mesure de communiquer avec updates.paloaltonetworks.com.
  • Vous pouvez également configurer une route de service pour activer une interface de couche 3 avec accès à internet pour la gestion. Les interfaces appropriées, routage et politiques doivent être configurés sur le périphérique. Passez à l'> configurer > configuration de l’itinéraire de service et choisissez l’adresse d’interface IP appropriée pour les mises à jour paloalto et les dns.Un exemple est fourni ci-dessous :

    

    Note:  Référez-vous à Comment configurer l’interface de IP gestion pour configurer IP l’adresse de l’interface de gestion.

• • Récupérer les licences transférées antérieurement à l’appareil. Allez dans appareil > Licenses > récupérer les clés de licence de serveur de licences. Les licences pour chaque composant de l’affichent sur la même page. Assurez-vous d’avoir URL une licence de filtrage, URL que le filtrage est activé et que la base de données a été téléchargée avec succès. Si un lien « Download Now » est affiché, la base de données n’est pas téléchargé. A avec succès activé et téléchargé base de PAN-DB URL données de filtrage ressemble à ceci:
  • L’appareil est maintenant prêt à être mis à niveau, si nécessaire. Téléchargez et installez le package disponible des Apps ou Apps + menaces à dispositif > mises à jour dynamiques > Applications et menaces > vérifier maintenant. L’appareil donne la liste des paquets disponibles pour télécharger et installer.
  • Pour mettre à jour PAN-OS le , allez à Device > Software > Refresh.

    Informations supplémentaires sur les PAN-OS mises à niveau : Comment mettre à niveau PAN-OS et Panorama

  • Activer les multi-vsys ou jumbo-frames identiques à l’ancien firewall s’il y a lieu :

         > système de réglage multi-vsys sur
        > système de réglage jumbo-frame sur
  • Pour charger une configuration précédemment sauvegardée sur le périphérique de remplacement, suivez les cases d'utilisation ci-dessous:
  • • Cas 1 : L’ancien appareil est toujours connecté au réseau et n’a firewall pas été géré à partir de panorama :
    • • En supposant que seul le réseau de gestion sur le firewall nouveau a été connecté.
      • Sur l’ancien appareil, enregistrez l'> configurer > enregistrer l’instantané de configuration nommé, puis exportez l'> configurer >'exporter l’instantané de configuration nommé.
      • Sur le nouvel appareil, rendez-vous sur l'> configurer >'importer un instantané de configuration nommé pour importer la configuration sauvegardée sur l’appareil.
      • Une fois que la configuration est importée, chargez la configuration importée, passez à l'> configurer > charge nommée instantané de configuration.
      • Modifiez la gestion IP et le nom d’hôte afin qu’il ne crée pas de conflit avec l’appareil existant s’il est connecté au même réseau de gestion. Plus tard, cela peut être modifié en arrière si nécessaire.
      • Résolvez les erreurs de validation et validez la configuration.
      • Retirez l'ancien périphérique, déplacez les câbles réseau vers le nouveau périphérique.
    • Cas 2 : L’ancien appareil est toujours connecté au réseau et est firewall géré à partir de panorama :
    • • En supposant que seule la gestion du nouvel appareil est connecté, allez à l’ancien appareil et l’état du dispositif d’exportation: Dispositif > configuration >'état du dispositif d’exportation.
      • Passez à un nouvel appareil : périphérique > configurer >'état du périphérique d’importation pour importer l’état de l’appareil sauvegardé sur l’appareil. Une fois que vous faites cela, firewall le obtiendrez exactement les mêmes paramètres que l’ancien appareil (Même nom et le nom IP d’hôte ainsi). Pas besoin de charger n'importe quelle configuration.
      • À ce stade, vous pouvez supprimer l’ancien firewall .
      • Sur Panorama CLI , remplacer l’ancien numéro de série par un nouveau numéro de série: remplacer <old SN l’ancien appareil #> nouveau <new SN #> et s’engager local et push à apporter également dans la firewall synchronisation.
    • Cas 3 : L’ancien appareil n’est plus disponible pour prendre une sauvegarde et n’a firewall pas été géré à partir de Panorama
    • • Lorsque vous n’avez plus accès à la machine, vous devrez chercher le config dans n’importe quel endroit que vous pouvez penser. Cela inclut la recherche de fichiers de support technique qui sont sauvegardés quelque part dans d’anciens cas de support ou dans votre environnement, où peut être enregistré. ALWAYS REMEMBER TO BACKUP YOUR CONFIG.
      • Recherchez un ancien support technique d’un vieux firewall . Vous pouvez obtenir la configuration de /opt/pancfg/mgmt/saved-config/running-config.xml
      • Si aucun support technique précédent n’est disponible, alors nous pouvons peut-être utiliser le mode de maintenance sur le firewall pour sauvegarder l’ancien config: Comment récupérer la configuration des réseaux Palo Alto en mode Firewall maintenance
      • Une fois que le fichier tech support est trouvé, prenez le fichier running-config.xml et l’importer dans le nouveau firewall . Configuration de >'>'importation nommée Aperçu de configuration. Commit et assurez-vous que Device est opérationnel.
    • Cas 4 : L’ancien appareil n’est plus disponible pour prendre une sauvegarde et est firewall géré à partir de Panorama .
    • • De Panorama prendre une sauvegarde de paquet de configuration: Panorama> configuration > opérations >'exportation etPanorama les périphériques config bundle. Dans ce fichier, il ya un fichier .xml avec le nom contenant le numéro de série d’anciens firewall . Cette configuration peut être utilisée pour charger le nouveau périphérique. Cependant gardez à l’esprit qu’il ne s’agit que d’une copie de config local firewall de la et ne contient pas de configuration Panorama poussée.
      • Assigner IP au nouveau port de firewall gestion, et de s’engager de sorte que son connecté à Panorama .
      • Sur Panorama remplacer l’ancien S / par nouveau / : N S N remplacer l’appareil <old SN vieux #> nouveau <new SN #> et de commettre local. Ne NOT Poussez le config encore à la nouvelle firewall .
      • À partir du Panoramapaquet config et appareils, utilisez le config correspondant à l’ancien S appareil / et N l’importer et le charger sur le nouveau firewall . Ne NOT Commit encore.
      • A Panorama partir de maintenant pousser un et modèle DG s’engager à la nouvelle firewall . Cet engagement devrait fusionner le candidat et poussé config de Panorama .
      • Si aucune erreur de validation, le périphérique doit être opérationnel.
    • Cas 5 : L’ancien appareil n’est plus disponible pour prendre une sauvegarde à partir et est firewall géré à l’aide, Panorama mais le communique avec firewall panorama l’utilisation d’un port d’avion dedonnées exigeant d’avoir la configuration complète pour être en mesure et communiquer avec firewall elle. 
      • La configuration complète comprend la configuration centralisée qui Panorama gère, et la configuration locale de la firewall .
      • Les états d’appareil de ces pare-feu peuvent être générés et exportés à partir de la gestion Panorama .
      • Panorama peut générer l’état de l’appareil en fonction du dernier config local engagé plus Panorama le config.
      • Se référer à cet article Comment exporter l’état du dispositif de pare-feu gérés à partir de Panorama
      • En remplaçant le numéro de série et en important firewall l’état, nous pouvons reprendre Panorama l’utilisation pour gérer le firewall .
      • De Panorama CLI l’utilisation de la commande : dispositif d’exportation tftp-dispositif <serial number="">d’état à <server-ip> </server-ip> </serial> ou dispositif d’exportation scp <serial number="">d’état d’pantac@:/maison/ </serial> </x-4>
      • Ensuite, en utilisant l’état de l’appareil l’importer dans le nouvel appareil et l’obtenir pour restaurer la communication avec Panorama .
      • Sur Panorama remplacer S l’ancien / par nouveau / N : remplacer S N l’appareil <old SN vieux #> nouveau SN >nouvelle #> et de commettre local.
      • Le Panorama devrait maintenant s’afficher comme « connecté » pour le nouvel appareil. Panorama > les appareils gérés > résumé
      • A Panorama partir de maintenant pousser un et modèle DG s’engager à la nouvelle firewall . Cet engagement devrait fusionner le candidat et poussé config de Panorama .
      • Si aucune erreur de validation, le périphérique doit être opérationnel.

  • Si vous utilisez des NAT adresses IP pour la source et la destination NAT qui sont dans le même sous-réseau que NAT l’interface (sauf IP l’interface elle-même), vous devrez faire un manuel gratuit de la ARP firewall mise à jour de la table des ARP pairs. Par exemple, votre interface IP est 198.51.100.1/24, et vous utilisez 198.51.100.2 NAT pour , vous devez envoyer pour GARP 198.51.100.2.

        > l’interface <ip> <interface></interface> </ip> ip arp g ratuitous
  • Retourner l’appareil défectueux. Pour restaurer la valeur par défaut de l’usine avant de revenir, consultez : Comment réinitialiser un périphérique palo alto networks ou si vous exécutant PAN-OS 6.0 et plus tard, passez en revue Comment passer en mode maintenance SSH car SSH le mode de maintenance est possible.Les clients dont l’abonnement de support inclut le remplacement anticipé d’une firewall panne doivent retourner l’appareil défectueux à Palo Alto Networks après avoir reçu le remplacement.
    Clients des États-Unis - A l’étiquette d’expédition de retour sera dans le carton avec le remplacement. Apposer l’étiquette sur le carton pour retourner l’appareil défectueux.
    Clients internationaux - Reportez-vous aux instructions de retour et aux documents dans le carton d’expédition de remplacement.