如何配置 RMA 替换 Firewall

概述

步骤

• 注册新 firewall 许可证和转让许可证：
  收到后，从旧单位注册新设备和转让许可证。 帕洛阿尔托网络接收失败的设备后，旧的许可方式是剥去衣服，所以它是重要的是立即传送许可证。
  要转让许可证，请按照以下说明操作：如何将许可证转移到备用设备
  注：当许可证转移到备用设备时，原始设备仍有 30 天的评估许可证。
• 配置管理界面。
  • 默认管理界面 IP 为 192.168.1.1，默认登录/密码为管理/管理。
  • 配置管理接口，以便有互联网接入和 DNS 服务器在设备>设置下混淆。 此界面应能够与 updates.paloaltonetworks.com进行通信。
  • 另外，配置服务路由，以便与互联网准入管理层 3 接口。 必须在设备上配置适当的接口、 路由和政策。 转到设备>设置>服务路线配置，并选择适合 IP 帕洛尔托更新和 dns 的接口地址。下面提供了一个示例：

    

    注意： 请参阅 如何配置管理接口 IP 以设置 IP 管理界面的地址。

• • 检索以前传输到设备的许可证。 转到设备 > 许可证 > 从许可证服务器检索许可证密钥。 每个功能的许可证在同一页面上显示。 请务必拥有 URL 过滤许可证， URL 该筛选已激活，并且数据库已成功下载。 如果显示"立即下载"链接，则不会下载该数据库。 A 成功激活和下载的 PAN-DB URL 过滤数据库看起来像这样：
  • 该设备是现在准备升级，如果需要的话。 从下载和安装可用的应用程序或应用程序 + 威胁封装设备 > 动态更新 > 应用程序和威胁 > 立即检查。 该设备列出可用的软件包下载并安装。
  • 要更新 PAN-OS ，请转到设备>软件>刷新。

    有关升级的其他信息 PAN-OS ： 如何升级 PAN-OS 和 Panorama

  • 如果适用，可启用与旧帧相同的多帧或巨型帧 firewall ：

         >设置系统设置多 vsys
        >设置系统设置巨型帧
  • 要在替换设备上加载以前备份的配置, 请按照下面的用例操作:
  • • 案例1：旧设备仍连接到网络， firewall 未从 panorama ：
    • • 假设只有新的管理网络 firewall 已连接。
      • 在旧设备上，将设备>保存>保存命名配置快照，然后导出设备>设置>导出命名配置快照。
      • 在新设备上，转到 设备>安装>导入命名配置 快照，将备份的配置导入设备。
      • 导入配置后，加载导入的配置，转到 设备>安装>加载命名配置快照。
      • 更改 IP 管理和主机名，以便如果连接到同一管理网络，则不会与现有设备发生冲突。 在此之后, 如果需要, 可以重新更改。
      • 解决任何提交错误并提交配置。
      • 卸下旧设备, 将网线移动到新设备上。
    • 案例2：旧设备仍连接到网络，并 firewall 从 panorama ：
    • • 假设只连接了新设备的管理，请转到旧设备并导出设备状态：设备>设置>导出设备状态。
      • 转到新设备：设备>安装>导入 设备状态，将备份的设备状态导入设备。 一旦您这样做， firewall 将获得与旧设备完全相同的设置（相同 IP 和主机名）。 不需要加载任何配置。
      • 在这一点上，你可以删除旧的 firewall 。
      • 在 Panorama CLI ，将旧序列号替换为新的序列号：替换设备旧 <old SN #> 新 <new SN #> 并提交本地和推送承诺 firewall 也带来同步。
    • 案例3：旧设备不再可用于进行备份， firewall 并且未从 Panorama
    • • 当您不再有权访问计算机时，您需要在您想到的任何位置查找配置。 这包括查找在旧支持案例或可能保存的环境中备份的技术支持文件。 ALWAYS REMEMBER TO BACKUP YOUR CONFIG.
      • 从旧技术中寻找旧的技术支持 firewall 。 您可以从 /选择/潘克夫格/mgmt/保存配置/运行配置中获取配置.xml
      • 如果没有以前的技术支持，那么我们也许能够使用维护模式 firewall 来备份旧配置：如何 Firewall 在维护模式下检索帕洛阿尔托网络配置
      • 一旦找到技术支持文件，采取运行配置.xml文件，并导入到新的 firewall 。 设备>设置>导入命名配置快照。 提交并确保设备已运行。
    • 案例4：旧设备不再可用于进行备份，并且 firewall 由 Panorama 。
    • • 从 Panorama 采取配置捆绑包的备份：>Panorama 设置>操作>出口 Panorama 和设备配置捆绑包。 在此文件中，有一个包含旧序列号的.xml文件 firewall 。 此配置可用于在新设备上加载。 但是请记住，这只是本地配置的副本 firewall ，不包含 Panorama 推送配置。
      • 分配 IP 到新的 firewall 管理端口，并承诺使其连接到 Panorama 。
      • 更换 Panorama 旧 S / N 用新 S N /：替换旧设备 <old SN #>新 <new SN #> 并提交本地设备。 做 NOT 推动配置尚未到新的 firewall 。
      • 从Panorama 和设备配置捆绑包， 使用对应于旧设备 S / N 和导入和加载它在新的配置 firewall 配置。 尚未 NOT 提交。
      • 从 Panorama 现在开始推一个 DG 和模板承诺到新的 firewall 。 此承诺应合并候选人并推入 Panorama 配置。
      • 如果没有提交错误, 设备应已运行。
    • 案例5：旧设备不再可用于接收备份并 firewall 使用管理 Panorama ，但 firewall 使用 panorama 数据平面端口进行通信 ，要求 firewall 其拥有完整的配置，以便能够与它进行通信。
      • 完整的配置包括 Panorama 管理的集中配置和 firewall 本地配置。
      • 这些防火墙的设备状态可以从管理中生成和导出 Panorama 。
      • Panorama 可以根据上次承诺的本地配置加上配置生成设备状态 Panorama 。
      • 参阅本文如何导出管理防火墙的设备状态 Panorama
      • 通过更换序列号和导入 firewall 状态，我们可以恢复使用 Panorama 来管理 firewall 。
      • 从 Panorama CLI 使用命令：tftp导出设备状态设备<serial number="">到 <server-ip> </server-ip> </serial>或scp出口设备状态设备<serial number="">到pantac@：/home/ </serial> </x-4>
      • 接下来，使用设备状态导入新设备，并得到它恢复通信 Panorama 。
      • 更换 Panorama 旧 S / N 新 S N /：更换旧设备 <old SN #>新>新 SN #>并提交本地
      • Panorama现在应显示为新设备的"已连接"。 Panorama >管理设备>摘要
      • 从 Panorama 现在开始推一个 DG 和模板承诺到新的 firewall 。 此承诺应合并候选人并推入 Panorama 配置。
      • 如果没有提交错误, 设备应已运行。

  • 如果您使用任何 NAT IP的源和目的地 NAT 是在同一子网 NAT 接口（接 IP 口本身除外），你将需要做一个手动无缘无故 ARP 从 firewall 更新同行 ARP 表。 例如，您的界面 IP 是 198.51.100.1/24，并且您使用的是 198.51.100.2， NAT 您需要发送 GARP 198.51.100.2。

        > arp gratuitous ip <ip> <interface></interface> 接口</ip>
  • 返回有故障的设备。 要在返回之前恢复出厂默认值，请参阅：如何出厂重置 Palo Alto 网络设备，或者如果运行 PAN-OS 6.0 及以后，请查看如何 SSH 进入维护模式，因为 SSH 到维护模式是可能的。支持订阅包括提前更换故障的客户 firewall 必须在收到更换后将有缺陷的设备退回帕洛阿尔托网络。
    美国客户- A 退货运输标签将在纸箱中更换。 将标签贴在纸箱上以退回有缺陷的装置。
    国际客户 - 请参阅更换装运纸箱中的退货说明和文件。