So ersetzen Sie ein SMC Modul in einem Chassis der 7000er-Serie

• Um ein defektes SMC Chassis der 7000er-Serie ersetzen zu können.
• Obwohl es sich um einen Zeilenkartenersatz handelt, führt die SMC Verwaltungsfunktionalität des Gehäuses aus, sodass das Verfahren dem Austausch eines Chassis-basierten Vorgangs firewall ähnelt.

• PA-7050 oder PA-7080 Firewalls in Active/Passive High Availability.
• Fehlerhaft, SMC die ersetzt werden muss.

NOTE: Es wird empfohlen, die folgenden Aktivitäten während eines Wartungsfensters auszuführen. 

Das Verfahren hängt davon ab, ob der firewall fehlerhafte SMC zugriffkann ist oder nicht.

1. Exportieren Sie den Gerätestatus aus dem firewall mit dem fehlerhaften SMC . Dies wird sowohl die lokale Konfiguration als auch die Panorama pushed config umfassen.
2. Notieren Sie sich die Sitzungsverteilung, policy da die Ersetzung die Standardeinstellung hat.

>show session distribution policy

3. Deaktivieren Sie die Konfigurationssynchronisierung von beiden HA Peers, um zu verhindern, dass Änderungen synchronisiert werden.
4. Um das Risiko von Auswirkungen auf die Produktion zu minimieren, trennen Sie alle Netzwerkschnittstellen von passiven NPCs, damit kein Datenverkehr durch dieses Gerät passieren kann, falls es aktiv wird.
5. Trennen Sie die HA Kabel zwischen den Peers.
6. Schalten Sie das gesamte Chassis herunter und ersetzen Sie die SMC durch neue SMC .
   • Ersetzen einer PA-7000 Series Switch Management Card ( SMC )
7. Schalten Sie die Firewall Verwaltungsschnittstelle ein, und schließen Sie sie dann an. Warten Sie, bis der automatische Commit erfolgreich ist, und konfigurieren Sie dann die Verwaltungsschnittstelle, und übertragen Sie die Änderungen.

> set deviceconfig system ip-address <x.x.x.x> netmask <x.x.x.x> default-gateway <x.x.x.x>

8. Greifen Sie auf das firewall Web UI zu, um die Lizenzen zu laden, Inhalte zu installieren und PAN-OS zu aktualisieren, um dem Peer-Gerät zu entsprechen.
   • Weitere Informationen finden Sie unterHOW TO CONFIGURE AN RMA REPLACEMENT FIREWALL
9. Importieren Sie den Gerätestatus (der in Schritt 1 exportiert wurde), und übernehmen Sie die Änderungen.
10. Sobald der Commit erfolgreich ist, stellen Sie sicher, dass die firewall Konfiguration wie erwartet ist.
11. Überprüfen Sie nach dem Import, Panorama ob die Verbindung hergestellt ist und die firewall Gerätegruppe und die Vorlage synchronisiert sind. Wenn nicht, drücken Sie einen Push auf die firewall .
12. Führen Sie die Sitzungsverteilung aus, um sicherzustellen, dass sie mit den Konfigurationen policy der vorherigen SMC übereinstimmt.

> show session distribution policy

13. Unter Device -> High Availability -> Betriebsbefehle; Setzen Sie das lokale Gerät aus. Dadurch wird sichergestellt, dass das Gerät mit dem ersetzten SMC Gerät nicht versucht, als aktives Mitglied zu bleiben, sobald die HA2-Verbindungen online geschaltet werden.
14. Schließen Sie die Kabel wieder an HA und bestätigen Sie, dass HA die Geräte hoch und funktionsfähig sind.
15. Schließen Sie die Kabel wieder NPC an.
16. Führen Sie die letzten Prüfungen durch, um sicherzustellen, dass sich die Firewalls wieder in einem normalen Betriebszustand befinden.
17. Unter Device -> High Availability -> Betriebsbefehle; Machen Sie lokales Gerät funktionsfähig.Führen Sie bei Bedarf auch ein Failover zu dem firewall aus, das ersetzt wurde, SMC und führen Sie Produktionsverkehrsprüfungen durch.

Wenn firewall der mit dem SMC fehlgeschlagenen aufgrund der fehlgeschlagenen nicht zugänglich SMC ist:

1. Haben Sie eine Sicherungskonfiguration der firewall uploadbereit, sobald die SMC ersetzt wurde. Wenn sie von Panorama verwaltet werden, müssen Sie auch die und Vorlagen drücken, policy sobald sie bereit sind.
2. Wenn SMC der zu ersetzende aktiv firewall und der Vorfall aktiviert ist, konfigurieren Sie den aktuellen Aktiven firewall mit einer höheren Priorität (niedrigerer Wert), damit er aktiv firewall bleibt.
3. Deaktivieren Sie die Konfigurationssynchronisierung auf der aktuellen firewall Funktion, um zu verhindern, dass Änderungen synchronisiert werden.
4. Um das Risiko von Auswirkungen auf die Produktion zu minimieren, trennen Sie alle Netzwerkschnittstellen von passiven NPCs, damit kein Datenverkehr durch dieses Gerät passieren kann, falls es aktiv wird.
5. Trennen Sie die HA Kabel zwischen den Peers.
6. Schalten Sie das gesamte Chassis herunter und ersetzen Sie die SMC durch neue SMC .  Ersetzen einer PA-7000 Series Switch Management Card ( SMC )
7. Schalten Sie die Firewall Verwaltungsschnittstelle ein, und schließen Sie sie dann an. Warten Sie, bis der automatische Commit erfolgreich ist, und konfigurieren Sie dann die Verwaltungsschnittstelle, und übertragen Sie die Änderungen.

> set deviceconfig system ip-address <x.x.x.x> netmask <x.x.x.x> default-gateway <x.x.x.x>

8. Greifen Sie auf das firewall Web UI zu, und fügen Sie den Panorama Server/die Server hinzu. Übernehmen Sie die Änderungen.
9. Laden Sie die Lizenzen, installieren Sie Inhalte und aktualisieren PAN-OS Sie, um dem Peer-Gerät zu entsprechen.
   • Weitere Informationen finden Sie unterHOW TO CONFIGURE AN RMA REPLACEMENT FIREWALL
10. Importieren Sie die lokale Konfiguration aus der Sicherung, übernehmen Sie jedoch NOT die Änderungen.
11. Vom Panorama Push der Gerätegruppe und der Vorlage zum mit firewall dem neuen , um SMC sicherzustellen, dass "Force Template-Werte" NOT überprüft und "mit der Kandidatenkonfiguration zusammenführen" aktiviert wird. Dadurch wird die lokale Konfiguration, die zuvor auf der geladen wurde, firewall mit der pushed config zusammengeführt. Panorama
12. Sobald der Commit erfolgreich ist, stellen Sie sicher, dass die firewall Konfiguration wie erwartet ist.
13. Führen Sie die Sitzungsverteilung policy aus, um sicherzustellen, dass sie mit den auf dem Peergerät konfigurierten einstellungen übereinstimmt.

> show session distribution policy

14. Unter Device -> High Availability -> Betriebsbefehle; Setzen Sie das lokale Gerät aus. Dadurch wird sichergestellt, dass das Gerät mit dem ersetzten SMC Gerät nicht versucht, als aktives Mitglied zu bleiben, sobald die HA2-Verbindungen online geschaltet werden.
15. Schließen Sie die Kabel wieder an HA und bestätigen Sie, dass HA die Geräte hoch und funktionsfähig sind.
16. Schließen Sie die Kabel wieder NPC an.
17. Führen Sie die letzten Prüfungen durch, um sicherzustellen, dass sich die Firewalls wieder in einem normalen Betriebszustand befinden.
18. Unter Device -> High Availability -> Betriebsbefehle; Machen Sie lokales Gerät funktionsfähig. Führen Sie bei Bedarf auch ein Failover zu dem firewall aus, das ersetzt wurde, SMC und führen Sie Produktionsverkehrsprüfungen durch.

Bitte beachten Sie: Da Panorama die Seriennummer des Gehäuses verwendet wird, sind für einen Swap keine Updates Panorama SMC erforderlich.  

SMC Durch Ersetzung wird die Sitzungsverteilung Policy zurückgesetzt