Comment mettre à niveau PAN-OS à partir de 8.0.14 ou 8.1.5 en HA mode
17958
Created On 03/29/19 21:21 PM - Last Modified 03/26/21 17:33 PM
Objective
- Mise à niveau PAN-OS réussie à partir de 8.0.14 ou 8.1.5 avec haute disponibilité activée.
- Mise à niveau vers ces versions ou à partir de ces versions peut provoquer firewall le d’entrer dans une boucle de redémarrage et entrer en mode de maintenance.
- Cet article expliquera comment contourner les problèmes de mise à niveau PAN-OS en 8.0.14 et 8.1.5.
Environment
- Palo Alto Firewall .
- PAN-OS 8,0,14 ou 8,1,5
- Le problème ne se produit que lorsqu’il est en mode Haute HA Disponibilité ().
- L’avion de données redémarre lorsqu’un événement ipsec rekey se produit et provoque une défaillance du processus tunnel(tound)lorsqu’un de ses pairs , maispas les HA PAN-OS deux, est en cours d’exécution 8.0.14 ou 8.1.5.
- Tout ou hardware VM plates-formes.
Procedure
NOTE: Désactiver la synchronisation config sur les deux pairs(périphérique > Haute disponibilité > Configuration générale > et effacer la case à coché Enable Config Sync) puis la ré-activer une fois la mise à niveau terminée sur les deux pairs.
- Suspendre l’appareil passif
- Désactiver la HA synchronisation sur les deux appareils
- Mettre à niveau le passif
- Gardez la synchronisation de config éteinte jusqu’à ce que les deux appareils soient mis à niveau et sur la PAN-OS même version.
Additional Information
Solutions de contournement supplémentaires
Modifiez temporairement la durée de vie de la phase 2 pour IKE les deux pairs ( Network > Network Profiles IPSec Crypto) afin d’augmenter l’intervalle entre les événements rekey (par défaut est d’une heure) et d’éviter un événement rekey avant de terminer la mise à niveau sur le deuxième pair. Alternativement, supprimez la HA configuration, mettez à niveau les deux pare-feu, puis restaurent HA la configuration.