高可用性ペアで 1 つのテンプレート スタックを使用する方法 Firewall Panorama .

高可用性ペアで 1 つのテンプレート スタックを使用する方法 Firewall Panorama .

52678
Created On 10/29/19 07:43 AM - Last Modified 10/13/23 02:28 AM


Objective


この記事の目的は、変数を使用して、高可用性 ( ) のペアに対して 1 つのテンプレート スタック HA を使用する方法を示すものです。

PAN-OS9.0 から、デバイスのインポート Panorama が変更されました。

Panorama9.0 管理ガイドに従って: " HA firewall 一意のホスト名、管理 IP アドレス、または HA 構成が各ピアに対して構成されている場合は、ペアを 1 つのテンプレートに結合しないでください HA 。 また、ファイアウォール上で一意のホスト名、管理 IP アドレス、または HA 構成をローカルに設定することもできます。

変数を変更せずに単一のテンプレート スタックを使用すると、次のようなエラー メッセージが表示されることがあります。
. High-availability ha1 interface ipaddr configured to match peer-ip address(Module: ha_agent)
. Commit failed
 
オプション「強制テンプレート」を使用してテンプレートをプッシュすると、エラーメッセージが表示される

Environment


  • 任意 Panorama の .
  • PAN-OS 8.1, 9.0, 9.1.
  • 高可用性で構成されたパロアルトファイアウォール。

Procedure


変数は、次のパラメーターに設定する必要があります。
  • ホスト。
  • 管理 IP アドレス。
  • HA 構成。
同じ手順を実行する手順を以下に示します。
  1. アクティブな の構成をインポート firewall します。
  2. 変数を使用するようにテンプレートを編集します。
  3. パッシブから構成をインポート firewall します。

パート 1 - アクティブなコンフィギュレーションをインポートする firewall

  • firewallで、次 IP の下のアドレスを構成します Panorama : GUI デバイス>セットアップ>管理> Panorama 設定
  • firewallで、 での構成の同期を無効にします GUI :デバイスセットアップ>>高可用性>セットアップ
  • firewallで、変更をコミットします。
  • Panoramaで、 で firewall シリアル番号を追加 GUI します : Panorama>管理対象デバイス>サマリー
  • Panoramaで、変更をコミットします。
  • Panoramaで、デバイスの構成を次の GUI Panorama>setup>Operations>インポートするPanorama
  • Panoramaで、インポート後にコミットする
  • Panoramaで、設定をプッシュします。
  • firewallで、プッシュされた構成がネットワークとデバイス (テンプレート) で上書きされた設定としてマークされていることに気付きます
オーバーライド設定として表示されたテンプレートのプッシュ
  • で Panorama 、構成を "強制テンプレート" でプッシュします。
「強制テンプレート値」は必要な場合にのみ使用する必要があります
  • firewallで、構成はプッシュされた構成として表示されます
プッシュされた設定として表示されたテンプレートをプッシュ
 
フェーズ 1 の最後 : アクティブな をインポートします firewall 。 テンプレートを正常に読み込み、 firewall それを取ります。

パート 2 : 変数を使用するようにテンプレートを編集する

テンプレートが機能したので、複数のデバイスで同じテンプレートを使用するようにブロックポイントをチェックしてみましょう。
  • ホスト名の値がプッシュされない Panorama
ホスト名の設定が定義されていません Panorama
  • 管理 IP アドレスがプッシュされない Panorama
管理 IP アドレスがプッシュされない Panorama
  • HA コンフィギュレーションが押される Panorama
HA コンフィギュレーションが押される Panorama

HAによってプッシュされた構成では Panorama 、2 つの設定を置き換える必要があります。
  • ピア HA1 IP アドレス
  • デバイスの優先順位
これが行われていない場合、パッシブは IP アクティブのアドレスとデバイスの優先順位と同じアドレスとデバイスを受け取ります firewall 。
これを行うには、この値を変数 (各デバイスで再定義できる汎用値) に置き換えます。
  1. ピア HA1 IP アドレス
の使用でテンプレートのセットアップ オプションを開く Panorama : GUI デバイス >一般的な>セットアップ>の HIgh の可用性です。 正しいテンプレートが選択されていることを確認する
 
ピア HA1 IP アドレスを交換する必要があります
 
ピア IP HA1 アドレスフィールドのアドレスを削除 IP すると、新しい「変数」オプションが表示されます
 
値を変数で置き換える
 
A 新しいメニューが表示されます。 変数の名前と型、変数のデフォルト値を定義します。 
変数の型は、この変数が取得するはずのエントリの型です ( IP アドレス、テキスト、インターフェイス名..
 
変数の種類

この例では、変数はアクティブの IP アドレスで定義 firewall されます。
 
変数の構成
  1. デバイスの優先順位:
同じ手順を使用して、"デバイスの優先順位" GUI を設定する: デバイス >一般>選挙設定>の利用可能な状態を確認します。 
 
変数を使用したデバイスの優先順位

完了すると、テンプレート HA 構成はこれらの変更を反映します。
 
HA 変数を使用した構成
 
これらの変数を追加した後もテンプレートスタックが動作していることを確認するには、 コミットして アクティブにプッシュ firewall します。
エラーが発生した場合は、変更を再確認し、テンプレートで行った変更を修正します。

パート3 - パッシブのインポート firewall

変数を追加した後、テンプレートが正常に動作したら。 パッシブ firewall 構成は にインポートする必要があります Panorama 。
  • firewallで、次 IP の下のアドレスを Panorama 構成 GUI します: デバイス>セットアップ>管理> Panorama 設定
  • firewallで、 で構成同期を無効にします GUI : デバイス>セットアップ>高可用性>セットアップ
  • firewallで、変更をコミットします。
  • Panoramaで、 firewall シリアル番号を GUI 次の手順 Panorama >管理対象デバイス>サマリーに追加します。
  • Panoramaで、変更をコミットします。
  • Panoramaで、次の下のデバイスの構成をインポートします GUI Panorama >setup>Operations>デバイスの構成を次の Panorama
  • Panoramaで、インポート後にコミットする
  • Panoramaで、設定をプッシュします。
  • Panoramaで、 firewall パッシブをアクティブのデバイス グループに移動します ( : > デバイス グループ > firewall GUI (アクティブの Panorama デバイス firewall グループでパッシブが選択されていることを確認 firewall します)
firewallをデバイス グループに追加します
  • Panoramaで、 firewall パッシブをアクティブのテンプレートスタックに移動します firewall GUI (: Panorama >テンプレート> (パッシブ firewall がアクティブのテンプレートスタックで選択されていることを確認 firewall します)。
テンプレート firewall スタックに を追加します。
  • On Panorama GUI : Panorama [管理対象デバイス>概要ページを> し、パッシブに関連付けられた 作成 (変数列) をクリックします。 firewall
変数の値を設定するには、[作成]リンクをクリックします。
 
  • [ポップアップ] ウィンドウで 、[ いいえ] をクリックし、[ OK] をクリックします。
変数定義の作成
  • 次のポップアップウィンドウでは、各変数の値を定義する方法が2つあります(編集が行われていない場合は、 firewall 変数の作成時に設定されたデフォルト値を受け取ります)。
 
  1. 上書き:ここで、設定する変数を選択し、[ 上書き ]をクリックして、必要に応じて値を設定します。
値を上書きする
  1. デバイスで使用される値を取得します。ここで設定する変数を選択し、デバイスで使用される値を取得をクリックします。
「デバイスで使用される値を取得する」をクリックします。
  • 新しいウィンドウで、 firewall 選択した変数に設定されたローカル値が表示され、値を保持する変数をクリックして、「上書き」をクリックします。
変数値として設定する値を選択します。
  • 値を設定したら、[閉じる]をクリック します。
各変数の値が設定されます。
  • Panoramaで、構成をコミットします。
  • で Panorama 、構成をパッシブに プッシュ firewall します。
  • firewallでは、プッシュされた構成がネットワークとデバイス (テンプレート) で上書き設定としてマークされていることに気付きます。
  • で Panorama 、強制テンプレートを使用して構成をプッシュします。
  • で firewall 、構成はプッシュされた構成として表示されます。
パート 4: ピア ファイアウォール間で構成同期 HA を有効にする。
 
HA同期する必要があるローカル構成を維持する場合は
、ペアの両方のファイアウォールに対してこれらの手順を繰り返します。各 Web インターフェイスにログインし firewall 、[デバイス >高可用性>全般] を選択し、[セットアップ] セクションを編集します。
[構成同期を有効にする] を選択し、 をクリック OK します。
各 firewall .


 

Additional Information



Panorama 管理者ガイド - 変数

この方法は Panorama PAN-OS 、9.0.4 で実行され、ファイアウォールが 8.1.11 で実行されている場合に記述されています PAN-OS 。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNG0CAO&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language