Cómo utilizar una pila de plantillas para un par de alta disponibilidad Firewall en Panorama .

Cómo utilizar una pila de plantillas para un par de alta disponibilidad Firewall en Panorama .

52668
Created On 10/29/19 07:43 AM - Last Modified 10/13/23 02:28 AM


Objective


El objetivo de este artículo es mostrar cómo utilizar una pila de plantillas para un par de alta disponibilidad ( HA ) mediante variables.

A partir de PAN-OS las 9.0, la importación del dispositivo Panorama activado ha cambiado.

Según la Panorama Guía de administración 9.0: "No combine el par en una sola plantilla si se configura un nombre de HA firewall host, una dirección de administración o IP una configuración HA únicos para cada HA par. También puede configurar un nombre de host único, una dirección de administración IP o una configuración localmente en los HA firewalls."

Si se utiliza una sola pila de plantillas sin modificar las variables, se pueden encontrar mensajes de error similares a los mencionados a continuación.
. High-availability ha1 interface ipaddr configured to match peer-ip address(Module: ha_agent)
. Commit failed
 
Mensaje de error al insertar la plantilla con la opción "Plantilla de fuerza"

Environment


  • Cualquier Panorama archivo .
  • PAN-OS 8.1, 9.0, 9.1.
  • Firewalls de Palo Alto configurados en alta disponibilidad.

Procedure


Las variables deben establecerse para los siguientes parámetros.
  • Host.
  • Dirección IP de administración.
  • HA Configuración.
Los pasos para lograr lo mismo son los siguientes.
  1. Importe la configuración del archivo firewall .
  2. Edite la plantilla para utilizar la variable.
  3. Importe la configuración desde pasivo firewall .

Parte 1 - Importar la configuración de la firewall

  • En firewall el objeto , configure la IP dirección de Panorama : GUI Device>Setup>Management> Panorama Settings
  • En firewall el archivo , deshabilite la sincronización de configuración en GUI : Device>Setup>High Availability>Setup
  • En el firewall , confirmar los cambios
  • En Panorama , agregue el número de serie en : firewall GUI Panorama>La >Summary
  • En Panorama , confirmar los cambios
  • En Panorama , importe la configuración del dispositivo en : GUI Panorama>Setup>Operaciones> Configuración del dispositivo Depuerto a Panorama
  • En Panorama , confirmar después de la importación
  • En Panorama , empuje la configuración
  • En el firewall archivo , observará que la configuración insertada se marca como configuración invalidada en red y dispositivo (plantilla)
plantilla empujada que se muestra como configuración de anulación
  • En Panorama , empuje la configuración con una " Plantilla defuerza"
Los "Valores de plantilla de fuerza" deben usarse solo cuando sea necesario
  • En el firewall , la configuración se muestra como configuración empujada
plantilla empujada que se muestra como configuración empujada
 
Este es el final de la fase 1: importar el activo firewall . Cargamos correctamente una plantilla y la firewall tomamos.

Parte 2 : Edite la plantilla para utilizar la variable

Ahora que la plantilla funciona, vamos a comprobar los puntos de bloqueo para usar la misma plantilla para varios dispositivos.
  • El valor de nombre de host no es empujado por Panorama
configuración de nombre de host no definida por Panorama
  • La IP dirección de administración no es empujada por Panorama
Dirección IP de administración no empujada por Panorama
  • HA configuración es empujado por Panorama
HA configuración es empujado por Panorama

En la HA configuración empujada por Panorama , tendremos que reemplazar 2 configuraciones:
  • La dirección ha1 del IP par
  • La prioridad del dispositivo
Si esto no se hace, el pasivo recibirá la misma IP dirección y prioridad de dispositivo de la de firewall activo.
Para ello, reemplace estos valores por una variable (un valor genérico que podría redefinirse para cada dispositivo).
  1. Dirección HA1 del mismo IP nivel
Abra las opciones de configuración de la plantilla mediante Panorama GUI : Device > HIgh Availability > General >Setup. Asegúrese de que se selecciona la plantilla correcta
 
La dirección Peer HA1 IP necesita ser reemplazada
 
Elimine la IP dirección en el campo de dirección ha1 del mismo nivel y usted debe ver una nueva opción IP "Variable"
 
Reemplace un valor por una variable
 
A aparece un nuevo menú. Defina el nombre y el tipo de la variable y el valor predeterminado de la variable. 
El tipo de la variable es el tipo de entrada que se supone que obtiene esta variable (una IP dirección, un texto, un nombre de interfaz...).
 
Diferentes tipos de variables

En este ejemplo, la variable se define con la IP dirección del activo firewall .
 
Variable configurada
  1. Prioridad del dispositivo:
Con el mismo procedimiento, establezca la "Prioridad del dispositivo" en GUI : > disponibilidad de HIgh > Configuración general de >Elección. 
 
Prioridad del dispositivo mediante una variable

Una vez completada, la configuración de la plantilla HA refleja estos cambios.
 
HA configuración utilizando variables
 
Para validar la pila de plantillas sigue funcionando después de agregar esas variables, confirme e inserte en el activo firewall .
Si hay algún error, vuelva a comprobar los cambios y corrija los cambios realizados en las plantillas.

Parte 3 - Importación de la pasiva firewall

Una vez que la plantilla funciona bien después de agregar las variables. La configuración pasiva firewall debe importarse a Panorama .
  • En firewall el objeto , configure la IP dirección de Panorama : GUI Device>Setup>Management> Panorama Settings
  • En firewall el archivo , deshabilite la sincronización de configuración en GUI : Device>Setup>High Availability>Setup
  • En el firewall , confirmar los cambios
  • On Panorama , agregue el número de serie en : firewall GUI Panorama >La >Summary
  • En Panorama , confirmar los cambios
  • En Panorama , importe la configuración del dispositivo en : GUI Panorama >Setup>Operaciones> Configuración del dispositivo Depuerto a Panorama
  • En Panorama , confirmar después de la importación
  • En Panorama , empuje la configuración
  • Activado Panorama , mueva el pasivo al grupo de dispositivos del activo ( : > grupos de firewall dispositivos firewall GUI Panorama > (asegúrese de que está seleccionado pasivo en el grupo de dispositivos de firewall firewall activo)
añadir el firewall grupo de dispositivos
  • En Panorama , mueva el pasivo a la pila de plantillas del activo ( : > firewall firewall GUI Panorama Plantillas> (asegúrese de que firewall pasivo está seleccionado en la pila de plantillas de activo firewall )
añadir firewall la pila de plantillas
  • En Panorama GUI : > dispositivos Panorama administrados > página de resumen y haga clic en crear (columna variable) asociada a la pasiva firewall
Haga clic en el enlace "Crear" para establecer el valor de las variables
 
  • En la ventana emergente, compruebe el No y haga clic en OK.
Crear la definición de variable
  • En la siguiente ventana emergente, hay 2 maneras de definir el valor de cada variable (si la edición no se realiza, el firewall recibirá el valor predeterminado establecido en la creación de variables):
 
  1. Anulación: Aquí, Seleccione la variable que desea establecer, haga clic en Invalidar y establezca el valor como desee.
Anular un valor
  1. Obtener valores utilizados en el dispositivo: Aquí Seleccione la variable que desea establecer, haga clic en Obtener valor utilizado en el dispositivo.
Haga clic en "Obtener valor utilizado en el dispositivo"
  • En la nueva ventana, los valores locales establecidos en la firewall aparecen para las variables seleccionadas, haga clic en la variable que desea mantener el valor y, a continuación, haga clic en "Invalidar"
Elija el valor que desea establecer como valor variable
  • Una vez establecidos los valores, haga clic en Cerrar.
El valor de cada variable se establece
  • En Panorama , confirme la configuración.
  • En Panorama , empuje la configuración al pasivo firewall .
  • En el firewall archivo , observará que la configuración insertada se marca como configuración invalidada en red y dispositivo (plantilla).
  • En Panorama , empuje la configuración con una"Plantilla de fuerza".
  • En el firewall , la configuración se muestra como configuración empujada.
Parte 4: Habilitar la sincronización de configuración entre HA firewalls del mismo nivel.
 
Repita estos pasos para ambos firewalls en el HA par si tiene previsto mantener una configuración local que necesita sincronizarse.
Inicie sesión en la interfaz web en cada firewall uno de ellos, seleccione Dispositivo > Alta disponibilidad >Generaly edite la sección Configuración.
Seleccione Habilitar sincronización de configuración y haga clic en OK .
Confirme los cambios de configuración en cada firewall archivo .


 

Additional Information



Panorama Guía del administrador - Variables

Este cómo hacerlo se ha escrito con Panorama ejecución en PAN-OS 9.0.4 y firewalls que se ejecutan en PAN-OS 8.1.11.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNG0CAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language