将支持多vSYS的 Firewall HA 对迁移到 Panorama 管理

将支持多vSYS的 Firewall HA 对迁移到 Panorama 管理

45173
Created On 11/29/18 09:59 AM - Last Modified 03/26/21 17:28 PM


Symptom


导入多vSYS时,使 HA 同行能够进入 Panorama 第二 HA 个同行导入步骤时,由于错误而失败:

下面示例:

操作 导入
状态 完成
结果 失败
详细信息
  • 设备: 001701010233
  • 模板:实验室80-249-PA-3050
  • 设备组 : 自定义
  • 选项:尽可能将对象作为共享对象导入
  • 未能从设备添加导入节点 Panorama 。 验证失败。

Environment


  • PAN-OS 8.0及以上。
  • 帕洛阿尔托 Firewall .
  • 任何 Panorama .

Cause


此错误是由重复的 vSYS 命名造成的,因为 Panorama 该名称将为每个 vSYS 创建模板,并将返回验证失败,因为 vsys 名称已经存在。 
 
配置的试用日志提供此信息:
 
> less mp-log configd.log

2018-11-29 01:26:58.223 -0800 debug: pan_jobmgr_process_job(pan_job_mgr.c:2953): device configuration import job was successful
2018-11-29 01:26:58.223 -0800 Error:  pan_cfg_validate_config_import(pan_cfg_config_import_handler.c:3101): 
                         device group devices/entry[@name='localhost.localdomain']/device-group/entry[@name='vsys-1'] already exists   <========
2018-11-29 01:26:58.223 -0800 Error:  pan_cfg_device_config_import_fini(pan_cfg_config_import_handler.c:3750):
                         Failed to add imported nodes from device to Panorama. Validation failed.


 

Resolution



第 1 步:
  • 对等体之间的禁用配置同步 HA 。
    注意:重复这两个防火墙的步骤 HA 。
    1. 登录每个接口 firewall ,选择 设备>高可用性 >一般, 并编辑设置部分。
    2. 清除 启用配置同步 并单击 OK
    3. 提交 每个配置更改 firewall 。
用户添加的图像
第 2 步:
  • 将每个 firewall 连接到 Panorama 。
    1. 登录每个接口 firewall ,选择 设备> 设置 >管理和 编辑 Panorama 设置。
    2. 在服务器字段 Panorama 中 ,输入 IP 管理服务器的地址 Panorama ,确认并启用 Panorama Policy 对象设备和网络模板 并进行选择 OK
    3. 提交 每个配置更改 firewall 。
用户添加的图像
第3步:
  • 将每个设备添加 firewall 为管理设备
  1. 登录 Panorama ,选择 Panorama >管理设备 ,然后单击 "添加"。
  2. 输入每个序列号 firewall 并单击 OK
  3. 选择 提交> 提交 Panorama提交 您的更改。
  4. 验证每个设备的状态 firewall 是否已连接。
注意:您应该有一个条目每个 vSYS (下面示例 5 vSYS 每个 firewall )
 
用户添加的图像
第4步:
  • 导入设备组 + 模板配置仅从 HA 对等 1 到 Panorama 。
注意:订单并不重要,您可以在此步骤上开始导入"主动",然后导入被动或 相反。
  1. 从 Panorama ,选择 Panorama > 设置> 操作,单击 导入设备配置 Panorama并选择 设备
  2. 选择 提交> 提交 Panorama提交 您的更改。
步骤 5:
  • 将配置按步骤 firewall 4 向导入的配置推送。
  1. 其中 Panorama ,选择 Panorama >设置 >操作 ,并选择 导出或推送设备配置捆绑包
  2. 选择 设备,选择 OK推动和提交
  3. OK导出成功后进行选择。
  4. 仅将设备 组和模板配置推至 firewall 仅在第 4 步中选定的设备组和模板配置。
  5. 选择 Panorama >管理设备,并验证设备组和模板是否同步 firewall 。
注意:如果此步骤成功,视图应如下所示:
 
用户添加的图像
第6步:
  • 删除第 4 步导入的设备组,然后导入 HA- 对等 2 设备组和模板配置 Panorama 。
  1. 在 Panorama 选择 Panorama >设备组,并选择与对等 1 相关的设备组 HA- (无需提交 Panorama )
  2. 从 Panorama 中,选择 Panorama > 设置> 操作,单击 "导入"设备配置 Panorama,然后选择第 个设备。
  3. 选择 提交> 提交 Panorama提交 您的更改。
第7步:
  • 将配置按步骤 firewall 6 向导入的配置推送。
  1. 其中 Panorama ,选择 Panorama >设置 >操作 ,并选择 导出或推送设备配置捆绑包
  2. 选择 设备,选择 OK推动和提交
第8步:
  • 将 HA 同侪-1和 HA 对等-2关联到一个设备组。
  1. 在 Panorama 选择 Panorama >设备组,并通过添加对等 1 编辑每个设备组 HA-
  2. 在 Panorama 选择 提交> 提交 Panorama提交 您的更改。
注意:如果提交成功,设备组应如下所示的屏幕截图:
 
用户添加的图像
第9步:
  • 将配置推送到两台设备。
  1. 在 Panorama 选择"提交>向设备推送,并选择设备设备组和模板。
  2. 选择 Panorama >管理设备,并验证设备组和模板是否同步 firewall 。
注意:如果此步骤成功,视图应如下所示:

用户添加的图像
第10步:
  • 启用 HA 对等体之间的配置同步。
    1. 登录每个接口 firewall ,选择 设备> 高可用性 >一般, 并编辑设置部分。
    2. 选择 启用配置同步 并单击 OK
    3. 提交 每个配置更改 firewall 。
用户添加的图像
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CmM0CAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language