如何更换 SMC 7000 系列底盘中的模块

如何更换 SMC 7000 系列底盘中的模块

35319
Created On 04/25/19 09:06 AM - Last Modified 08/28/23 10:10 AM


Objective


  • 能够更换 SMC 7000 系列底盘中的故障。
  • 虽然这是一个线卡更换, SMC 运行底盘的管理功能,所以程序类似于更换基于底盘 firewall 。

Environment


  • PA-7050 或 PA-7080 主动/被动高可用性的防火墙。
  • SMC需要更换的故障。

Procedure


NOTE:建议在维护窗口期间执行以下活动。 

程序将因故障是否可访问而有所不同 firewall SMC 。

如果 firewall 与失败 SMC 仍然是可访问的和 SMC 功能:
  1. 从有故障的设备导出状态 firewall SMC 。 这将包括本地配置和 Panorama 推式配置。
  2. 记下会话分布 policy ,因为替换将具有默认设置。
>show session distribution policy
  1. 禁用来自两个 HA 对应方的配置同步,以阻止任何更改被同步。
  2. 为了最大限度地降低对生产的影响风险,请从被动 NPC 中拔下所有网络接口,这样,如果该装置变为活动状态,则任何流量都无法通过。
  3. 断开 HA 同行之间的电缆。
  4. 关闭整个底盘,换上 SMC 新的 SMC 。
  5. 打开电源 Firewall ,然后连接管理接口。 等待自动提交成功,然后配置管理接口并提交更改。
> set deviceconfig system ip-address <x.x.x.x> netmask <x.x.x.x> default-gateway <x.x.x.x>
 
  1. 访问 firewall Web UI 以加载许可证、安装内容和升级 PAN-OS 以匹配同行设备。
  2. 导入设备状态(在步骤 1 中导出)并提交更改。
  3. 一旦提交成功,请确保 firewall 所有配置都如预期的那样。
  4. 导入后,请检查 Panorama 以确保 firewall 连接以及设备组和模板同步。 如果没有,做一个推。 firewall
  5. 运行会话分布 policy ,以确保它与上一个配置的内容匹配 SMC 。
> show session distribution policy
  1. 在设备 ->可用性 ->操作命令下;挂起本地设备。 这将确保更换的设备在将 SMC HA2 连接联机后不会尝试保持为活动成员。
  2. 重新连接 HA 电缆并确认 HA 设备已打开并正常工作。
  3. 重新连接 NPC 电缆。
  4. 执行最终检查以确保防火墙回到正常操作状态。
  5. 在设备 ->可用性 ->操作命令下;使本地设备正常工作。如果需要,还执行故障转移到 firewall 已更换的故障转移 SMC ,并执行生产流量检查。

如果 firewall SMC 由于失败而无法访问与失败 SMC :

  1. 更换后,有 firewall 一个备份配置准备上传 SMC 。 如果由您管理, Panorama 您还需要在 policy 准备好后按下模板和模板。
  2. 如果 SMC 替换是主动 firewall 和先发制人启用,则 firewall 用更高的优先级(较低值)配置当前活动,使其保持活动 firewall 状态。
  3. 禁用配置同步当前工作 firewall ,以阻止任何更改被同步。
  4. 为了最大限度地降低对生产的影响风险,请从被动 NPC 中拔下所有网络接口,这样,如果该装置变为活动状态,则任何流量都无法通过。
  5. 断开 HA 同行之间的电缆。
  6. 关闭整个底盘,换上 SMC 新的 SMC 。  更换 PA-7000 系列开关管理卡 ( SMC )
  7. 打开电源 Firewall ,然后连接管理接口。 等待自动提交成功,然后配置管理接口并提交更改。
> set deviceconfig system ip-address <x.x.x.x> netmask <x.x.x.x> default-gateway <x.x.x.x>
  1. 访问 firewall Web UI 并添加 Panorama 服务器/s。 提交 更改。
  2. 加载许可证、安装内容和升级 PAN-OS 以匹配对等设备。
  3. 从备份导入本地配置,但请 NOT 提交更改。
  4. 从 Panorama 推送设备组和模板到 firewall 检查新的 SMC 确保"强制模板值" NOT 和"与候选配置合并"的模板。 这将合并以前加载的本地配置 firewall 与 Panorama 推式配置。
  5. 一旦提交成功,请确保 firewall 所有配置都如预期的那样。
  6. 运行会话分布 policy ,以确保它与对等设备上配置的内容匹配。
> show session distribution policy
 
  1. 在设备 ->可用性 ->操作命令下;挂起本地设备。 这将确保更换的设备在将 SMC HA2 连接联机后不会尝试保持为活动成员。
  2. 重新连接 HA 电缆并确认 HA 设备已打开并正常工作。
  3. 重新连接 NPC 电缆。
  4. 执行最终检查以确保防火墙回到正常操作状态。
  5. 在设备 ->可用性 ->操作命令下;使本地设备正常工作。 如果需要,还执行故障转移到 firewall 已更换的故障转移 SMC ,并执行生产流量检查。

请注意:由于 Panorama 使用底盘序列号,交换不需要更新 Panorama SMC 。  

 

Additional Information


SMC 替换导致会话分发 Policy 被重置
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLlaCAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language