マルチ vSYS 対応ペアを Firewall HA 管理に移行する Panorama

• デバイス: 001701010233
• テンプレート: Lab80-249-PA-3050
• デバイス グループ : カスタム
• オプション: 可能な場合は共有としてオブジェクトをインポート
• インポートされたノードをデバイスから に追加できませんでした Panorama 。 検証に失敗しました。

• PAN-OS 8.0 以上。
• パロ アルト Firewall .
• 任意 Panorama の .

> less mp-log configd.log

2018-11-29 01:26:58.223 -0800 debug: pan_jobmgr_process_job(pan_job_mgr.c:2953): device configuration import job was successful
2018-11-29 01:26:58.223 -0800 Error:  pan_cfg_validate_config_import(pan_cfg_config_import_handler.c:3101): 
                         device group devices/entry[@name='localhost.localdomain']/device-group/entry[@name='vsys-1'] already exists   <========
2018-11-29 01:26:58.223 -0800 Error:  pan_cfg_device_config_import_fini(pan_cfg_config_import_handler.c:3750):
                         Failed to add imported nodes from device to Panorama. Validation failed.

• ピア間の構成同期を無効に HA します。
  注: ペアの両方のファイアウォールに対してこれらの手順を繰り返 HA します。
  1. Web インターフェイスにログインし、デバイス firewall >高可用性>全般] を選択して、[セットアップ] セクションを編集します。
  2. [構成同期を有効にする] をオフにして、 OK をクリックします。
  3. 各 firewall .

ステップ 2:

• 各を firewall Panorama に接続します。
  1. Web インターフェイスにログインするごとに firewall 、[デバイス > セットアップ >管理 ] を選択 Panorama し、[設定] を編集します。
  2. [ Panorama サーバー ] フィールドに IP 管理サーバーのアドレスを入力 Panorama し、 Panorama Policy 確認し、[オブジェクト と デバイスとネットワーク テンプレート ] が有効になっているとを選択 OK します。
  3. 各 firewall .

ステップ 3:

• 各デバイス firewall を管理対象デバイスとして追加する

1. にログイン Panorama し Panorama 、[>管理対象デバイス ] を選択して 、[ 追加] をクリックします。
2. それぞれのシリアル番号を入力 firewall し、 OK をクリックします。
3. [ コミット> をコミットし Panorama 、変更を 確定する] を選択します。
4. 各デバイスの状態が firewall 接続されていることを確認します。

注: vSYS ごとに 1 つのエントリを持つ必要があります ( 以下の例では 5 vSYS あたり firewall )

 

ステップ 4:

• デバイス グループとテンプレートの設定を HA ピア 1 からのみにインポート Panorama します。

注: この手順で Active のインポートを開始し、Passive またはその逆をインポートしても、順序は重要ではありません 。

1. [ セットアップ Panorama Panorama>操作] >選択し、[デバイス構成のインポートPanorama] をクリックして 、[デバイス] を選択します。
2. [ コミット> をコミットし Panorama 、変更を 確定する] を選択します。

ステップ 5:

• ステップ 4 で firewall インポートした設定をプッシュします。

1. Panoramaで、[Panoramaセットアップ>操作>]を選択し、[デバイス構成バンドルのエクスポートまたはプッシュ] を選択します。
2. [ デバイス ]を選択 OK し、[ プッシュとコミット] を選択します。
3. OKエクスポートが正常に完了した後で選択します。
4. デバイスにプッシュデバイスグループとテンプレート設定は firewall 、ステップ4で選択したにのみ。
5. [ Panorama 管理対象デバイス>]を選択し、デバイス グループとテンプレートが の 同期になっていることを確認 firewall します。

注: この手順が成功した場合、ビューは以下のスクリーンショットのようになります。
 

手順 6:

• 手順 4 でインポートしたデバイス グループを削除し、 HA- ピア 2 デバイス グループとテンプレート設定を Panorama にインポートします。

1. [ Panorama Panorama デバイス グループ>選択し、ピア 1 に関連するデバイス グループ HA- を選択します ( コミットする必要はありません Panorama )
2. [ セットアップ Panorama Panorama>操作] >選択し、[デバイス構成のインポートPanorama] をクリックして、2 つ目のデバイスを選択します。
3. [ コミット> をコミットし Panorama 、変更を 確定する] を選択します。

ステップ 7:

• firewallステップ 6 でインポートした設定をプッシュします。

1. Panoramaで、[Panoramaセットアップ>操作>]を選択し、[デバイス構成バンドルのエクスポートまたはプッシュ] を選択します。
2. [ デバイス ]を選択 OK し、[ プッシュとコミット] を選択します。

ステップ 8:

• HAピア 1 とピア 2 を 1 HA つのデバイス グループに関連付けます。

1. [ Panorama Panorama デバイス グループ>]を選択し、各デバイス グループをピア 1 を追加して編集します HA- 。
2. [ Panorama コミット>]をPanorama選択し、変更をコミットします。

注: コミットが成功した場合、デバイスグループは以下のスクリーンショットのようになります。
 

ステップ 9:

• 両方のデバイスに設定をプッシュします。

1. [ Panorama コミット>デバイスへのプッシュ] を選択し、デバイスのデバイスグループとテンプレートの両方を選択します。
2. [ Panorama 管理対象デバイス>]を選択し、デバイス グループとテンプレートが の 同期になっていることを確認 firewall します。

注: この手順が成功した場合、ビューは以下のスクリーンショットのようになります。

手順 10:

• ピア間の構成同期を有効にします HA 。
  1. 各 Web インターフェイスにログインし firewall 、[ デバイス> 高可用性 >全般 ] を選択して、[セットアップ] セクションを編集します。
  2. [ 構成同期を有効にする] を 選択し、 をクリック OK します。
  3. 各 firewall .