Migrieren eines Multi-vSYS-fähigen Firewall HA Pair to Panorama Management

• Gerät: 001701010233
• Vorlage: Lab80-249-PA-3050
• Gerätegruppe : Benutzerdefiniert
• Optionen: Importieren von Objekten als freigegeben, wenn möglich
• Fehler beim Hinzufügen importierter Knoten vom Gerät zu Panorama . Die Validierung ist fehlgeschlagen.

• PAN-OS 8.0 und höher.
• Palo Alto Firewall .
• Jede Panorama .

> less mp-log configd.log

2018-11-29 01:26:58.223 -0800 debug: pan_jobmgr_process_job(pan_job_mgr.c:2953): device configuration import job was successful
2018-11-29 01:26:58.223 -0800 Error:  pan_cfg_validate_config_import(pan_cfg_config_import_handler.c:3101): 
                         device group devices/entry[@name='localhost.localdomain']/device-group/entry[@name='vsys-1'] already exists   <========
2018-11-29 01:26:58.223 -0800 Error:  pan_cfg_device_config_import_fini(pan_cfg_config_import_handler.c:3750):
                         Failed to add imported nodes from device to Panorama. Validation failed.

• Deaktivieren Sie die Konfigurationssynchronisierung zwischen den HA Peers.
  Hinweis: Wiederholen Sie diese Schritte für beide Firewalls im HA Paar.
  1. Melden Sie sich bei der Weboberfläche auf jeder firewall an , wählen Sie Gerät> Hochverfügbarkeit > Allgemein aus, und bearbeiten Sie den Abschnitt Setup.
  2. Löschen Sie Config Sync aktivieren und klicken Sie auf OK .
  3. Übernehmen Sie die Konfigurationsänderungen für jede firewall .

Schritt 2:

• Verbinden Sie jede firewall mit Panorama .
  1. Melden Sie sich bei der Weboberfläche auf jeder firewall an , wählen Sie Device > Setup > Management aus, und bearbeiten Sie die Panorama Einstellungen.
  2. Geben Sie in die Felder Panorama Server die IP Adressen der Panorama Verwaltungsserver ein, bestätigen Panorama Policy Sie, und Objekte sowie Geräte- und Netzwerkvorlage sind aktiviert, und wählen Sie OK aus.
  3. Übernehmen Sie die Konfigurationsänderungen für jede firewall .

Schritt 3:

• Hinzufügen von einzelnen firewall als verwaltetes Gerät

1. Melden Sie sich bei an Panorama an an an , wählen Sie > Panorama Verwaltete Geräte aus, und klicken Sie auf Hinzufügen.
2. Geben Sie die Seriennummer der einzelnen Personen firewall ein, und klicken Sie auf OK .
3. Wählen Sie Commit > Commit toPanorama and Commit your changes.
4. Stellen Sie sicher, dass der Gerätestatus für jeden firewall Verbundener ist.

Hinweis: Sie sollten einen Eintrag pro vSYS haben ( Unten Beispiel 5 vSYS pro firewall )

 

Schritt 4:

• Importieren Sie die Gerätegruppen- und Vorlagenkonfiguration nur von HA Peer-1 nach Panorama .

Hinweis: Die Reihenfolge spielt keine Rolle, Sie können entweder mit dem Import von Aktiv in diesem Schritt beginnen und dann Passiv oder das Andere importieren.

1. PanoramaWählen Sie unter Panorama> Setup > Operationsaus , klicken Sie auf Gerätekonfiguration importieren,Panorama und wählen Sie das Gerätaus.
2. Wählen Sie Commit > Commit toPanorama and Commit your changes.

Schritt 5:

• Schieben Sie die Konfiguration in Schritt 4 an den firewall Importierten.

1. PanoramaWählen Sie unter > Panorama Setup > Operations aus, und wählen Sie Export or Push Device config bundleaus.
2. Wählen Sie das Gerät, wählen OK Und Push & Commit.
3. Wählen Sie diese Option OK aus, nachdem der Export erfolgreich abgeschlossen wurde.
4. Drücken Sie die Gerätegruppen- und Vorlagenkonfiguration nur an die firewall ausgewählte in Schritt 4.
5. Wählen Sie Panorama > Verwaltete Geräteaus, und stellen Sie sicher, dass die Gerätegruppe und die Vorlage für die synchronisiert firewall sind.

Hinweis: Wenn dieser Schritt erfolgreich war, sollte die Ansicht wie folgt angezeigt werden:
 

Schritt 6:

• Löschen Sie die in Schritt 4 importierten Gerätegruppen und importieren Sie dann HA- die Peer-2-Gerätegruppe und die Vorlagenkonfiguration in Panorama .

1. Wählen Panorama Sie in > Panorama Gerätegruppen aus, und wählen Sie die Gerätegruppen aus, die sich auf HA- Peer-1 beziehen ( Keine Notwendigkeit, ein Commit zu Panorama )
2. PanoramaWählen Sie unter Panorama> Setup > Operationsaus , klicken Sie auf Gerätekonfiguration importieren in Panorama, und wählen Sie das zweite Gerät aus.
3. Wählen Sie Commit > Commit toPanorama and Commit your changes.

Schritt 7:

• Schieben Sie die Konfiguration in Schritt 6 an den firewall Importierten.

1. PanoramaWählen Sie unter > Panorama Setup > Operations aus, und wählen Sie Export or Push Device config bundleaus.
2. Wählen Sie das Gerät, wählen OK Und Push & Commit.

Schritt 8:

• Ordnen Sie HA Peer-1 und HA Peer-2 einer Gerätegruppe zu.

1. Wählen Panorama Sie Panorama > Gerätegruppen aus und bearbeiten Sie jede Gerätegruppe, indem Sie HA- Peer-1
2. Wählen Sie in Panorama select Commit > Commit toPanorama and Commit your changes.

Hinweis: Wenn der Commit erfolgreich war, sollten die Gerätegruppen wie folgt aussehen:
 

Schritt 9:

• Drücken Sie die Konfiguration auf beide Geräte.

1. Wählen Sie in Panorama > an das Gerät übertragen und wählen Sie beide Geräte Gerätegruppen und Vorlagen aus.
2. Wählen Sie Panorama > Verwaltete Geräteaus, und stellen Sie sicher, dass die Gerätegruppe und die Vorlage für die synchronisiert firewall sind.

Hinweis: Wenn dieser Schritt erfolgreich war, sollte die Ansicht wie folgt angezeigt werden:

Schritt 10:

• Aktivieren Sie die Konfigurationssynchronisierung zwischen den HA Peers.
  1. Melden Sie sich bei der Weboberfläche auf jeder firewall an , wählen Sie Gerät > Hochverfügbarkeit > Allgemein aus, und bearbeiten Sie den Abschnitt Setup.
  2. Wählen Sie Config Sync aktivieren aus, und klicken Sie auf OK .
  3. Übernehmen Sie die Konfigurationsänderungen für jede firewall .