Comment remplacer un SMC module dans un châssis de série 7000

• Pour être en mesure de remplacer un échec SMC dans un châssis de la série 7000.
• Bien qu’il s’agit d’un remplacement de carte de SMC ligne, le fonctionne la fonctionnalité de gestion du châssis de sorte que la procédure est similaire au remplacement d’un châssis basé firewall .

• PA-7050 ou PA-7080 pare-feu en haute disponibilité active/passive.
• Défectueux SMC qui doit être remplacé.

NOTE: Il est recommandé d’effectuer les activités ci-dessous lors d’une fenêtre d’entretien. 

La procédure varie selon que le firewall avec le défectueux est accessible ou SMC non.

1. Exportez l’état de firewall l’appareil à partir de la avec le défectueux SMC . Cela comprendra à la fois le config local et Panorama poussé config.
2. Notez la distribution de la session policy car le remplacement aura le paramètre par défaut.

>show session distribution policy

3. Désactiver la synchronisation config des deux pairs HA pour empêcher toute modification synchronisée.
4. Afin de minimiser les risques d’impact sur la production, débranchez toutes les interfaces réseau des PNJ passifs afin qu’aucun trafic ne puisse passer à travers cette unité au cas où elle serait active.
5. Déconnecter HA les câbles entre les pairs.
6. Arrêtez l’ensemble du châssis et remplacez le SMC nouveau SMC .
   • Remplacer une carte PA-7000 de gestion des commutateurs de série ( SMC )
7. Alimenter Firewall l’interface de gestion et la connecter. Attendez que l’auto commit réussisse, puis configurez l’interface de gestion et commettez les modifications.

> set deviceconfig system ip-address <x.x.x.x> netmask <x.x.x.x> default-gateway <x.x.x.x>

8. Accédez firewall au Web pour charger les UI licences, installer du contenu et mettre à niveau PAN-OS pour correspondre à l’appareil pair.
   • Pour plus d’informations, voirHOW TO CONFIGURE AN RMA REPLACEMENT FIREWALL
9. Importez l’état de l’appareil (qui a été exporté à l’étape 1) et engagez les modifications.
10. Une fois que le commit réussit, assurez-vous que firewall l’a toute la configuration comme prévu.
11. Une fois importé, vérifiez Panorama s’il firewall est connecté et que le groupe et le modèle de l’appareil sont synchronisés. Sinon, faire un coup de pouce à la firewall .
12. Exécutez la distribution de session policy pour vous assurer qu’elle correspond à ce qui a été configuré sur la précédente SMC .

> show session distribution policy

13. Sous périphérique -> haute disponibilité -> commandements opérationnels; Suspendre l’appareil local. Cela permettra de s’assurer que l’appareil avec SMC le remplacé ne tentera pas de rester en tant que membre actif une fois que les connexions HA2 sont mises en ligne.
14. Reconnectez HA les câbles et HA confirmez entre les appareils est en place et fonctionne.
15. Reconnectez NPC les câbles.
16. Effectuez les vérifications finales pour vous assurer que les pare-feu sont de retour à un état opérationnel normal.
17. Sous périphérique -> haute disponibilité -> commandements opérationnels; Rendre l’appareil local fonctionnel.Si nécessaire effectuez également un échec à la qui firewall a eu le remplacé et effectuer des contrôles de trafic de SMC production.

Si le firewall avec l’échec SMC n’est pas accessible en raison de SMC l’échec:

1. Avoir un config de sauvegarde du prêt firewall à télécharger une fois que le a été SMC remplacé. Si géré par Panorama vous aurez également besoin de pousser le et les modèles une fois policy prêt.
2. Si SMC l’être remplacé a été activé firewall et que la préemption est activée, configurez l’actif actuel firewall avec une priorité plus élevée (valeur inférieure) afin qu’il reste firewall actif.
3. Désactiver la synchronisation config sur le fonctionnement actuel firewall pour empêcher toute modification synchronisée.
4. Afin de minimiser les risques d’impact sur la production, débranchez toutes les interfaces réseau des PNJ passifs afin qu’aucun trafic ne puisse passer à travers cette unité au cas où elle serait active.
5. Déconnecter HA les câbles entre les pairs.
6. Arrêtez l’ensemble du châssis et remplacez le SMC nouveau SMC .  Remplacer une carte PA-7000 de gestion des commutateurs de série ( SMC )
7. Alimenter Firewall l’interface de gestion et la connecter. Attendez que l’auto commit réussisse, puis configurez l’interface de gestion et commettez les modifications.

> set deviceconfig system ip-address <x.x.x.x> netmask <x.x.x.x> default-gateway <x.x.x.x>

8. firewallAccédez au Web UI et ajoutez Panorama le serveur/s. Engagez les modifications.
9. Chargez les licences, installez du contenu et mettez à niveau PAN-OS pour correspondre à l’appareil peer.
   • Pour plus d’informations, voirHOW TO CONFIGURE AN RMA REPLACEMENT FIREWALL
10. Importez la configuration locale à partir de la sauvegarde, NOT mais engagez les modifications.
11. De Panorama pousser le groupe de périphériques et le modèle à la nouvelle assurant firewall SMC « valeurs de modèle de force » NOT est vérifié et « fusionner avec le candidat config » est vérifié. Cela fusionnera le config local précédemment chargé sur firewall le Panorama config poussé.
12. Une fois que le commit réussit, assurez-vous que firewall l’a toute la configuration comme prévu.
13. Exécutez la distribution de session policy pour vous assurer qu’elle correspond à ce qui est configuré sur l’appareil peer.

> show session distribution policy

14. Sous périphérique -> haute disponibilité -> commandements opérationnels; Suspendre l’appareil local. Cela permettra de s’assurer que l’appareil avec SMC le remplacé ne tentera pas de rester en tant que membre actif une fois que les connexions HA2 sont mises en ligne.
15. Reconnectez HA les câbles et HA confirmez entre les appareils est en place et fonctionne.
16. Reconnectez NPC les câbles.
17. Effectuez les vérifications finales pour vous assurer que les pare-feu sont de retour à un état opérationnel normal.
18. Sous périphérique -> haute disponibilité -> commandements opérationnels; Rendre l’appareil local fonctionnel. Si nécessaire effectuez également un échec à la qui firewall a eu le remplacé et effectuer des contrôles de trafic de SMC production.

S’il vous plaît Panorama noter: Comme utilise le numéro de série châssis, aucune mise à jour ne sont Panorama nécessaires pour SMC un swap.  

SMC Le remplacement entraîne la réinitialisation Policy de la distribution de session