SMC7000 シリーズ シャーシのモジュールを交換する方法

• SMC7000 シリーズのシャーシで障害が発生した場合に交換できるようにする。
• これはラインカードの交換ですが、 SMC シャーシの管理機能が実行されるため、シャーシベースの交換と同様の手順を実行 firewall します。

• PA-7050 または PA-7080 、アクティブ/パッシブ高可用性のファイアウォール。
• SMC交換する必要がある障害。

NOTE: メンテナンス期間中に以下の作業を行うことをお勧めします。 

手順は、 firewall 障害のあるがアクセス可能かどうかによって異なります SMC 。

1. 障害のある の からデバイスの状態 firewall をエクスポート SMC します。 これには、ローカル構成とプッシュされた構成の両方が含 Panorama まれます。
2. policy置換にはデフォルト設定が適用されますので、セッションの配布をメモしておきます。

>show session distribution policy

3. 両方のピアからの設定同期を無効 HA にして、同期中の変更を停止します。
4. 運用環境への影響を最小限に抑えるために、すべてのネットワーク インターフェイスをパッシブ NPC から取り外して、このユニットがアクティブになった場合にトラフィックが通過できないようにします。
5. HAピア間のケーブルを外します。
6. シャーシ全体をシャットダウンし、 SMC 新しい SMC .
   • PA-7000シリーズスイッチ管理カードの交換 ( SMC )
7. 電源をオンに Firewall してから、管理インターフェイスを接続します。 自動コミットが成功するまで待ってから、管理インターフェイスを設定し、変更をコミットします。

> set deviceconfig system ip-address <x.x.x.x> netmask <x.x.x.x> default-gateway <x.x.x.x>

8. Web firewall UI にアクセスしてライセンスを読み込み、コンテンツをインストールし、 PAN-OS ピア デバイスに合わせてアップグレードします。
   • 詳細については、HOW TO CONFIGURE AN RMA REPLACEMENT FIREWALL
9. デバイスの状態(手順 1 でエクスポートされた)をインポートし、変更をコミットします。
10. コミットが成功したら、期待 firewall 通りすべての構成を持っていることを確認します。
11. インポート後に、 Panorama firewall が接続されていること、およびデバイスグループとテンプレートが同期していることを確認します。 ない場合は、 にプッシュします firewall 。
12. セッション配布を実行 policy して、前の SMC .

> show session distribution policy

13. デバイス ->高可用性 ->操作コマンド。ローカル デバイスを一時停止します。 これにより SMC 、HA2 接続がオンラインになると、交換したデバイスがアクティブ・メンバーのままでいなくなります。
14. ケーブルを接続 HA し直し、 HA デバイス間で動作していることを確認します。
15. ケーブルを再接続します NPC 。
16. 最終チェックを実行して、ファイアウォールが通常の動作状態に戻っていることを確認します。
17. デバイス ->高可用性 ->操作コマンド。ローカル デバイスを機能させます。必要に応じて、 firewall 交換済みへのフェールオーバーを実行 SMC し、実稼働トラフィック チェックを実行します。

firewall失敗した場合 SMC は、失敗したためにアクセスできません SMC 。

1. firewall交換後にアップロードする準備ができているのバックアップ構成 SMC を用意します。 によって管理 Panorama されている場合は、また、 policy 準備ができたら、テンプレートとをプッシュする必要があります。
2. SMC置き換えられるのがアクティブで firewall 、preempt が有効になっている場合は、現在のアクティブ firewall を高い優先度 (低い値) で構成して、アクティブなままに firewall します。
3. 現在の作業で設定同期を無効 firewall にして、同期中の変更を停止します。
4. 運用環境への影響を最小限に抑えるために、すべてのネットワーク インターフェイスをパッシブ NPC から取り外して、このユニットがアクティブになった場合にトラフィックが通過できないようにします。
5. HAピア間のケーブルを外します。
6. シャーシ全体をシャットダウンし、 SMC 新しい SMC .  PA-7000シリーズスイッチ管理カードの交換 ( SMC )
7. 電源をオンに Firewall してから、管理インターフェイスを接続します。 自動コミットが成功するまで待ってから、管理インターフェイスを設定し、変更をコミットします。

> set deviceconfig system ip-address <x.x.x.x> netmask <x.x.x.x> default-gateway <x.x.x.x>

8. Web にアクセス firewall UI し、 Panorama サーバーを追加します。 変更をコミット します。
9. ライセンスをロードし、コンテンツをインストールし、 PAN-OS ピア デバイスに一致するようにアップグレードします。
   • 詳細については、HOW TO CONFIGURE AN RMA REPLACEMENT FIREWALL
10. バックアップからローカル構成をインポートしますが、 NOT 変更をコミットします。
11. Panoramaデバイスグループとテンプレートをプッシュして firewall 新しい SMC 「強制テンプレート値」を NOT 確認し、「候補configとマージ」がチェックされます。 これにより、 に以前にロードされたローカル構成 firewall が、 プッシュされた config とマージ Panorama されます。
12. コミットが成功したら、期待 firewall 通りすべての構成を持っていることを確認します。
13. セッション配布を実行 policy して、ピア デバイスで構成されている設定と一致していることを確認します。

> show session distribution policy

14. デバイス ->高可用性 ->操作コマンド。ローカル デバイスを一時停止します。 これにより SMC 、HA2 接続がオンラインになると、交換したデバイスがアクティブ・メンバーのままでいなくなります。
15. ケーブルを接続 HA し直し、 HA デバイス間で動作していることを確認します。
16. ケーブルを再接続します NPC 。
17. 最終チェックを実行して、ファイアウォールが通常の動作状態に戻っていることを確認します。
18. デバイス ->高可用性 ->操作コマンド。ローカル デバイスを機能させます。 必要に応じて、 firewall 交換済みへのフェールオーバーを実行 SMC し、実稼働トラフィック チェックを実行します。

注意: Panorama シャーシのシリアル番号を使用するため、スワップにアップデートは不要です Panorama SMC 。  

SMC 置換によってセッション配布 Policy がリセットされる