置換の構成方法 RMA Firewall

概要

手順

• 新しい firewall ライセンスと転送ライセンスを登録する:
  受け取り時に、新しいデバイスを登録し、古いユニットからライセンスを転送します。 パロ ・ アルトのネットワークは、障害の発生したデバイスを受信した後古いライセンスは取り除かれて、すぐにライセンスを転送することが重要です。
  ライセンスを譲渡するには、次の手順に従ってください: スペアデバイスへのライセンスの転送方法
  注: ライセンスが予備のデバイスに転送された場合、元のデバイスには 30 日間の評価ライセンスが残ります。
• 管理インターフェイスを構成します。
  • デフォルトの管理インターフェイス IP は 192.168.1.1 で、デフォルトのログイン/パスワードは admin/admin です。
  • 管理インターフェイスを構成して、インターネット にアクセスし、 DNS デバイス >セットアップの下にサーバーが打ち明ける。 このインターフェイスは 、updates.paloaltonetworks.comと通信できる必要があります。
  • また、レイヤー 3 インターフェイスの管理のインターネット アクセスを有効にするサービスのルートを構成します。 適切なインターフェイス、ルーティング、およびポリシーは、デバイスの構成をする必要があります。 [デバイス >のセットアップ>サービス ルート設定] に移動し IP 、paloalto 更新および DNS 用の適切なインターフェイス アドレスを選択します。例を以下に示します。

    

    注: 管理インターフェイスのアドレスを設定するための管理インターフェイスの設定方法 IP IP を参照してください。

• • 以前のデバイスに転送ライセンスを取得します。 デバイスに移動 > ライセンス > ライセンス サーバーからライセンス キーを取得します。 各機能のライセンスを同じページに表示します。 フィルタリング ライセンスを持ち URL 、その URL フィルタがアクティブ化されていること、およびデータベースが正常にダウンロードされたことを確認してください。 「今すぐダウンロード」のリンクを表示すると、データベースはダウンロードされません。 A 正常にアクティブ化され、ダウンロードされた PAN-DB URL フィルタリングデータベースは次のようになります。
  • 必要な場合は、デバイスがアップグレードする準備ができている今です。 ダウンロードしてデバイスから利用可能なアプリやアプリ + 脅威のパッケージをインストール > 動的更新 > アプリケーションと脅威 > を今すぐチェックします。 デバイスは、ダウンロードしてインストールする利用可能なパッケージを一覧表示します。
  • を更新するには、 PAN-OS デバイス > ソフトウェア>更新に移動します。

    アップグレードに関する追加情報 PAN-OS : アップグレード PAN-OS 方法と Panorama

  • 適用可能な場合は、古いフレームと同じマルチ vsys またはジャンボフレームを有効 firewall にします。

         >システム設定マルチvsysをオンに設定
        >設定システム設定ジャンボフレームオン
  • 以前にバックアップした構成を交換用デバイスにロードするには、以下の使用例に従ってください。
  • • ケース 1: 古いデバイスはネットワークに接続されたままで、 firewall 管理されていません panorama :
    • • 新しい管理ネットワークのみが firewall 接続されていると仮定します。
      • 古いデバイスでは、デバイス > セットアップを名前付き構成スナップショット>保存して、デバイス >セットアップ>エクスポート名前付き構成スナップショットをエクスポートします。
      • 新しいデバイスでは 、[デバイス >セットアップ] > [名前付き構成スナップショットのインポート ] に移動して、バックアップされた構成をデバイスにインポートします。
      • 構成がインポートされたら、インポートした構成を読み込み、 デバイス >セットアップ>名前付き構成スナップショットの読み込みに移動します。
      • IP管理とホスト名を変更して、同じ管理ネットワークに接続されている場合に既存のデバイスと競合しないようにします。 必要に応じて後でこれを変更することができます。
      • コミットエラーを解決し、構成をコミットします。
      • 古いデバイスを取り外し、ネットワークケーブルを新しいデバイスに移動します。
    • ケース 2: 古いデバイスはネットワークに接続されたままで、 firewall 次のデバイスから管理 panorama されます。
    • • 新しいデバイスの管理のみが接続されている場合は、古いデバイスに移動し、デバイスの状態をエクスポートする:デバイス>の設定>デバイスの状態をエクスポートします。
      • 新しいデバイスに移動:デバイス >のセットアップ>デバイスの状態をインポート して、バックアップされたデバイスの状態をデバイスにインポートします。 これを行うと、 firewall 古いデバイスとまったく同じ設定(同じ IP とホスト名も同様)を取得します。 任意の構成をロードする必要はありません。
      • この時点で、古いを削除することができます firewall 。
      • Panorama CLI では、古いシリアル番号を新しいシリアル番号に置き換えます:デバイスの古い <old SN <new SN #>新しい#>を置き換え、ローカルにコミットし、 firewall 同期を取るためにコミットをプッシュします。
    • ケース 3: 古いデバイスは、バックアップを取るために利用できなくなったし、 firewall から管理されていませんでした Panorama
    • • マシンにアクセスできなくなったら、考えがよければ、任意の場所で構成を探す必要があります。 これには、古いサポートケースやお客様の環境で保存されている可能性のある技術サポートファイルを探す方法も含まれます。 ALWAYS REMEMBER TO BACKUP YOUR CONFIG.
      • 古い技術サポートを探 firewall してください。 /opt/pancfg/mgmt/保存された構成/実行構成から設定を取得できます.xml
      • 以前の技術サポートが利用できない場合は、 firewall 古い設定をバックアップするためにメンテナンスモードを使用できるかもしれません: Firewall メンテナンスモードでパロアルトネットワークの設定を取得する方法
      • テクニカル サポート ファイルが見つかったら、実行中の config.xml ファイルを新しい firewall . デバイス >のセットアップ>名前付き構成スナップショットのインポート」 を参照してください。 コミットし、デバイスが稼働していることを確認します。
    • ケース 4: 古いデバイスは、バックアップを取るために利用できなくなったし firewall 、から管理されています Panorama 。
    • • Panorama 構成バンドルのバックアップを取るから: Panorama>セットアップ>オペレーション>エクスポートPanoramaとデバイス構成バンドルを>します。 このファイルには、古いシリアル番号を含む名前の.xmlファイル firewall があります。 この構成を使用して、新しいデバイスに読み込むことができます。 ただし、これはローカル構成のコピーに過ぎず firewall 、プッシュされた設定は含まれていない点に注意 Panorama してください。
      • IP新しい管理ポートに割り当て firewall 、そのポートが に接続されるようにコミット Panorama します。
      • 古 Panorama い S / N を新しい S / N : デバイスを古い <old SN #> 新しい <new SN #> に置き換え 、ローカルにコミットします。 新 NOT しい firewall .
      • とPanorama デバイスの構成バンドルから、 古いデバイス/ に対応する設定を使用 S N し、新しい firewall . NOTまだコミットしてください。
      • Panorama今から新 DG しいにとテンプレートコミットをプッシュ firewall . このコミットは、候補をマージし、から config をプッシュする必要があります Panorama 。
      • コミットエラーがない場合は、デバイスを起動して実行する必要があります。
    • ケース 5: 古いデバイスは、 からバックアップを取るために使用できなくなった firewall Panorama ので、 を使用して管理されますが、 はデータ プレーン ポートを firewall panorama 使用して通信を行い、データ プレーン ポートを使用 firewall して、完全な構成を持ち、それを通信できるようにします。 
      • 完全な構成には、管理する集中型構成 Panorama と、 のローカル構成が含まれます firewall 。
      • これらのファイアウォールのデバイス状態は、管理から生成およびエクスポートできます Panorama 。
      • Panorama は、最後にコミットされたローカル構成と構成に基づいてデバイス状態を生成 Panorama できます。
      • この記事を参照して、管理対象ファイアウォールのデバイスの状態をエクスポートする方法 Panorama
      • シリアル番号を交換して状態をインポートすることで firewall 、 の Panorama 管理に使用を再開できます firewall 。
      • Panorama CLI コマンドを使用して: tftp エクスポート デバイス状態デバイス<serial number=""> <server-ip> </server-ip> を</serial>pantac@ にデバイス状態デバイスをエクスポートする<serial number="">:/home/ </serial> </x-4>
      • 次に、デバイスの状態を使用して New デバイスにインポートし、それを取得して 通信を復元 Panorama します。
      • 古 Panorama い S / N を新しい S / : N デバイスを古い <old SN #> 新しい>新しい SN #> に置き換え、ローカルにコミットします。
      • Panorama新しいデバイスの「接続済み」と表示されます。 Panorama 管理対象デバイス>概要の>
      • Panorama今から新 DG しいにとテンプレートコミットをプッシュ firewall . このコミットは、候補をマージし、から config をプッシュする必要があります Panorama 。
      • コミットエラーがない場合は、デバイスを起動して実行する必要があります。

  • NATインターフェイスと同じサブネット内の発信元と宛先に IP を使用している場合 NAT NAT ( IP インターフェイス自体を除く)、 ARP ピア テーブルを更新するには、手動での Gratuitous を実行する必要があります firewall ARP 。 たとえば、インターフェイス IP が 198.51.100.1/24 で、198.51.100.2 を使用している NAT 場合は GARP 、198.51.100.2 を送信する必要があります。

        >テスト arp gラトゥイトゥス IP<ip>インターフェイス <interface></interface> </ip>
  • 欠陥のあるデバイスを返します。 戻る前に工場出荷時のデフォルトを復元するには、「Palo Alto Networks デバイスを工場出荷時にリセットする方法」を PAN-OS 参照するか、6.0 以降を実行している場合は、 SSH 保守モードに移行する方法を確認してください SSH 。サポートサブスクリプションに、失敗した事前交換を含むお客様は、 firewall 交換を受けた後、欠陥ユニットをパロアルトネットワークスに返却する必要があります。
    米国のお客様- A 返品出荷ラベルは、交換と一緒にカートンになります。 ラベルをカートンに貼り付け、不良ユニットを返却します。
    国際線のお客様 - 交換用の配送用カートンの返品手順と書類を参照してください。