Migration d’une paire multi-vSYS Firewall HA activée à la Panorama gestion

• Appareil: 001701010233
• Modèle: Lab80-249-PA-3050
• Groupe d’appareils : Personnalisé
• Options : Importer des objets tels que partagés si possible
• N’a pas ajouté de nœuds importés de l’appareil à Panorama . Validation a échoué.

• PAN-OS 8,0 et plus.
• Palo Alto Firewall .
• Tout Panorama .

> less mp-log configd.log

2018-11-29 01:26:58.223 -0800 debug: pan_jobmgr_process_job(pan_job_mgr.c:2953): device configuration import job was successful
2018-11-29 01:26:58.223 -0800 Error:  pan_cfg_validate_config_import(pan_cfg_config_import_handler.c:3101): 
                         device group devices/entry[@name='localhost.localdomain']/device-group/entry[@name='vsys-1'] already exists   <========
2018-11-29 01:26:58.223 -0800 Error:  pan_cfg_device_config_import_fini(pan_cfg_config_import_handler.c:3750):
                         Failed to add imported nodes from device to Panorama. Validation failed.

• Désactiver la synchronisation de configuration entre les HA pairs.
  Remarque : Répétez ces étapes pour les deux pare-feu de la HA paire.
  1. Connectez-vous à l’interface Web sur chacun firewall d’eux, sélectionnezl'> de haute > général, et modifiez la section Configuration.
  2. Effacer activer Config Sync et cliquez sur OK .
  3. Engagez les modifications de configuration sur chaque firewall .

Etape 2:

• Connectez-vous firewall à chacun Panorama d’eux à .
  1. Connectez-vous à l’interface Web sur chacun firewall d’eux, sélectionnez > configuration > gestion et modifiez les Panorama paramètres.
  2. Dans les Panorama champs Serveurs, entrez les IP adresses des serveurs Panorama de gestion, confirmez et Panorama Policy les objets et périphériques et modèles réseau sont activés et sélectionnez OK .
  3. Engagez les modifications de configuration sur chaque firewall .

Etape 3:

• firewallAjoutez-en un en tant qu’appareil géré

1. Connectez-vous Panorama à , Panorama sélectionnez > gérés et cliquez sur Ajouter.
2. Entrez le numéro de série de chacun firewall et cliquez OK sur .
3. Sélectionnez Commit > engagez etPanorama engagez vos modifications.
4. Vérifiez que l’état de l’appareil pour firewall chacun est connecté.

Note: Vous devriez avoir une entrée par vSYS ( Ci-dessous exemple 5 vSYS par firewall )

 

Etape 4:

• Importer le groupe d’appareils et la configuration du HA modèle de peer-1 seulement à Panorama .

Remarque : La commande n’a pas d’importance, vous pouvez soit commencer à importer Active sur cette étape, puis importer passive ou le contraire.

1. À Panorama partir de , Panoramasélectionnez > configuration > opérations, cliquez sur La configuration de l’appareil d’importationPanorama pour sélectionner l’appareil.
2. Sélectionnez Commit > engagez etPanorama engagez vos modifications.

Étape 5:

• Poussez la configuration vers firewall l’importé à l’étape 4.

1. Dans Panorama , sélectionnez Panorama > d'> opérations et sélectionnez Export ou push device config bundle.
2. Sélectionnez l’appareil, OK sélectionnez et push & commit.
3. Sélectionnez OK une fois l’exportation terminée avec succès.
4. Poussez vers les périphériques le groupe d’appareils et la configuration du modèle firewall à l’étape 4 seulement.
5. Sélectionnez Panorama > gérés etvérifiez que le groupe et le modèle de l’appareil sont synchronisés pour le firewall .

Remarque : Si cette étape a été couronnée de succès, la vue doit être ci-dessous capture d’écran :
 

Étape 6:

• Supprimez les groupes d’appareils importés à l’étape 4, puis HA- importez la configuration du groupe d’appareils peer-2 et du modèle vers Panorama .

1. Dans Panorama certains Panorama groupes >'appareils et sélectionnez les groupes d’appareils liés HA- à peer-1 ( Pas besoin de s’engager à Panorama )
2. À Panorama partir de , Panoramasélectionnez > configuration > opérations, cliquez sur La configuration de l’appareil d’importation Panoramapour , et sélectionnez le deuxième appareil.
3. Sélectionnez Commit > engagez etPanorama engagez vos modifications.

Étape 7:

• Poussez la configuration vers firewall l’importé à l’étape 6.

1. Dans Panorama , sélectionnez Panorama > d'> opérations et sélectionnez Export ou push device config bundle.
2. Sélectionnez l’appareil, OK sélectionnez et push & commit.

Étape 8:

• Associez HA peer-1 et HA peer-2 en un seul groupe d’appareils.

1. Dans Panorama certains groupes Panorama >'appareils et modifiez chaque groupe d’appareils en HA- ajoutant peer-1
2. Dans Panorama sélectionnez Commit > engagez etPanorama engagez vos modifications.

Remarque : Si le commit a réussi, les groupes d’appareils devraient ressembler à une capture d’écran ci-dessous :
 

Étape 9:

• Poussez config sur les deux appareils.

1. Dans Panorama certains commit > à l’appareil et sélectionnez les deux groupes d’appareils et modèles.
2. Sélectionnez Panorama > gérés etvérifiez que le groupe et le modèle de l’appareil sont synchronisés pour le firewall .

Remarque : Si cette étape a été couronnée de succès, la vue doit être ci-dessous capture d’écran :

Étape 10:

• Activer la synchronisation de configuration entre les HA pairs.
  1. Connectez-vous à l’interface Web sur chacun firewall d’eux, sélectionnez > de haute > général, et modifiez la section Configuration.
  2. Sélectionnez Activer Config Sync et cliquez OK .
  3. Engagez les modifications de configuration sur chaque firewall .