Comment utiliser une pile de modèle pour une paire de Firewall haute disponibilité sur Panorama .

Comment utiliser une pile de modèle pour une paire de Firewall haute disponibilité sur Panorama .

52682
Created On 10/29/19 07:43 AM - Last Modified 10/13/23 02:28 AM


Objective


L’objectif de cet article est de montrer comment utiliser une pile de modèles pour une paire haute disponibilité HA () en utilisant des variables.

De PAN-OS 9.0, l’importation de dispositif sur Panorama a changé.

Selon le Panorama guide admin 9.0 : « Ne combinez pas la paire en un seul modèle si HA firewall un nom d’hôte unique, une adresse de IP gestion ou une configuration est HA configuré pour chaque HA pair. Vous pouvez également configurer un nom d’hôte, une adresse IP de gestion ou une configuration unique localement sur les HA pare-feu.

Si une pile de modèle unique est utilisée sans modifier les variables, on peut rencontrer des messages d’erreur similaires à celui mentionné ci-dessous.
. High-availability ha1 interface ipaddr configured to match peer-ip address(Module: ha_agent)
. Commit failed
 
Message d’erreur lors de la poussée du modèle avec l’option « Modèle de force »

Environment


  • Tout Panorama .
  • PAN-OS 8.1, 9.0, 9.1.
  • Pare-feu Palo Alto configurés en haute disponibilité.

Procedure


Les variables doivent être définies pour les paramètres suivants.
  • Hostname.
  • Adresse IP de gestion.
  • HA Configuration.
Les étapes pour accomplir la même chose sont comme ci-dessous.
  1. Importer la configuration de l’actif firewall .
  2. Modifiez le modèle pour utiliser la variable.
  3. Importer la configuration du passif firewall .

Partie 1 - Importer la configuration de l’actif firewall

  • Sur le firewall , configurer IP l’adresse Panorama de la GUI sous: Device>Setup>Management> Panorama Paramètres
  • Sur le firewall , désactiver la synchronisation de configuration en dessous : GUI Device>Setup>High Availability>Setup
  • Sur le firewall , commettre les changements
  • Sur Panorama , ajouter le numéro de série en dessous : firewall GUI Panorama>Managed Devices>Summary
  • Sur Panorama , commettre les changements
  • Sur Panorama , importer la configuration de l’appareil sous : GUI Panorama>Setup>Opérations>Importe configuration de l’appareil à Panorama
  • Sur Panorama , s’engager après l’importation
  • Sur Panorama , pousser la configuration
  • Sur le firewall , vous remarquerez que la configuration poussée est marquée comme paramètres remplacés dans le réseau et l’appareil (modèle)
modèle poussé montré comme paramètres overriden
  • Sur Panorama , poussez la configuration avec un "Modèle de force»
Les « valeurs de modèle de force » ne doivent être utilisées qu’en cas de besoin
  • Sur le firewall , la configuration est affichée comme configuration poussée
modèle poussé montré comme paramètres poussés
 
C’est la fin de la phase 1 : l’importation de l’actif firewall . Nous avons chargé avec succès un modèle, et firewall le prend.

Partie 2 : Modifier le modèle pour utiliser la variable

Maintenant que le modèle fonctionne, vérifions les points de blocage pour utiliser le même modèle pour plusieurs appareils.
  • La valeur du nom d’hôte n’est pas poussée par Panorama
paramètre de nom d’hôte non défini par Panorama
  • IPL’adresse de gestion n’est pas poussée par Panorama
Adresse IP de gestion non poussée par Panorama
  • HA configuration est poussée par Panorama
HA configuration est poussée par Panorama

Sur la HA configuration poussée Panorama par, il faudra remplacer 2 réglages :
  • L’adresse Peer IP HA1
  • La priorité de l’appareil
Si cela n’est pas fait, le passif recevra la même adresse IP et la priorité de l’appareil de celle de l’actif firewall .
Pour ce faire, remplacez ces valeurs par une variable (une valeur générique qui pourrait être redéfinie pour chaque appareil).
  1. Peer HA1 IP Adresse
Ouvrez les options d’installation du Panorama modèle en utilisant : > GUI HIgh Availability > General >Setup. Assurez-vous que le modèle correct est sélectionné
 
L’adresse Peer IP HA1 doit être remplacée
 
Supprimez IP l’adresse dans le champ d’adresse Peer HA1 IP et vous devriez voir une nouvelle option « Variable »
 
Remplacer une valeur par une variable
 
A nouveau menu apparaît. Définissez le nom et le type de variable et la valeur par défaut de la variable. 
Le type de variable est le type d’entrée que cette variable est censée obtenir (une IP adresse, un texte, un nom d’interface...).
 
Différents types de variables

Dans cet exemple, la variable est définie avec IP l’adresse de l’actif firewall .
 
Variable configurée
  1. Priorité de l’appareil :
À l’aide de la même procédure, définissez la « priorité de GUI l’appareil » sous : Dispositif > disponibilité HIgh > > paramètres d’élection. 
 
Priorité de l’appareil à l’aide d’une variable

Une fois terminée, la HA configuration du modèle reflète ces modifications.
 
HA configuration à l’aide de variables
 
Pour valider la pile de modèle fonctionne toujours après l’ajout de ces variables, s’engager et pousser à l’actif firewall .
S’il y a des erreurs, re-vérifier les modifications et corriger les modifications effectuées sur les modèles.

Partie 3 - Importation du passif firewall

Une fois que le modèle fonctionne bien après l’ajout des variables. La firewall configuration passive doit être importée dans Panorama .
  • Sur le firewall , configurer IP l’adresse Panorama de la GUI sous: Device>Setup>Management> Panorama Paramètres
  • Sur le firewall , désactiver la synchronisation de configuration sous : GUI Device>Setup>High Availability>Setup
  • Sur le firewall , commettre les changements
  • Sur Panorama , ajouter le numéro de série sous : firewall GUI Panorama >Managed Devices>Summary
  • Sur Panorama , commettre les changements
  • Sur Panorama , importer la configuration de l’appareil sous : GUI Panorama >Setup>Opérations>Importe configuration de l’appareil à Panorama
  • Sur Panorama , s’engager après l’importation
  • Sur Panorama , pousser la configuration
  • Sur Panorama , déplacer le passif dans le groupe périphérique de firewall l’actif firewall ( : > Groupes GUI Panorama d’appareils > (assurez-vous que le passif est sélectionné dans le groupe périphérique firewall d’actifs) firewall
ajouter le firewall groupe de l’appareil
  • Sur Panorama , déplacer le passif dans la pile de modèle de firewall l’actif firewall ( : > GUI Panorama Templates> (assurez-vous passive est sélectionné dans la pile de modèle firewall d’actif firewall )
ajouter le firewall à la pile de modèles
  • Sur Panorama GUI : > Panorama périphériques gérés > la page résumée et cliquez sur la création (colonne variable) associée au passif firewall
Cliquez sur le lien « Créer » pour définir la valeur des variables
 
  • Sur la fenêtre Popup, vérifiez le non et cliquez sur OK.
Créer la définition variable
  • Sur la fenêtre popup suivante, il y a 2 façons de définir la valeur de chaque variable (si la modification n’est pas effectuée, firewall la valeur par défaut sera définie à la création variable) :
 
  1. Remplacement: Ici, sélectionnez la variable à définir, cliquez sur Override et définissez la valeur comme vous le souhaitez.
Passer outre à une valeur
  1. Obtenez des valeurs utilisées sur l’appareil : Ici Sélectionnez la variable à définir, cliquez sur Obtenir la valeur utilisée sur l’appareil.
Cliquez sur le « Obtenir la valeur utilisée sur l’appareil »
  • Sur la nouvelle fenêtre, les valeurs locales définies sur firewall l’apparaissent pour les variables sélectionnées, cliquez sur la variable que vous souhaitez conserver la valeur puis cliquez sur "Override»
Choisissez la valeur que vous souhaitez définir comme valeur variable
  • Une fois que les valeurs sont définies, cliquez sur Fermer.
La valeur de chaque variable est définie
  • Sur Panorama , commettre la configuration.
  • Sur Panorama , pousser la configuration vers le passif firewall .
  • Sur le firewall , vous remarquerez que la configuration poussée est marquée comme paramètres remplacés dans le réseau et l’appareil (modèle).
  • Sur Panorama , poussez la configuration avec un "Modèle de force« .
  • Sur le firewall , la configuration est affichée comme configuration poussée.
Partie 4 : Activation de la synchronisation config entre les HA pare-feu pairs.
 
Répétez ces étapes pour les deux pare-feu HA de la paire si vous prévoyez de maintenir une configuration locale qui doit être synchronisée.
Connectez-vous à l’interface Web sur chacun firewall d’eux, sélectionnez l'> de haute >Général,et modifiez la section Configuration.
Sélectionnez Activer Config Sync et cliquez OK .
Engagez les modifications de configuration sur chaque firewall .


 

Additional Information



Panorama Guide de l’administrateur - Variables

Ce how-to a été écrit avec Panorama l’exécution sur PAN-OS 9.0.4 et les pare-feu fonctionnant PAN-OS sur 8.1.11.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNG0CAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language