如何使用一个模板堆栈进行高可用性 Firewall 对 Panorama 。

如何使用一个模板堆栈进行高可用性 Firewall 对 Panorama 。

52690
Created On 10/29/19 07:43 AM - Last Modified 10/13/23 02:28 AM


Objective


本文的目的是通过使用变量来显示如何使用一个模板堆栈进行高可用性 HA () 对。

从 PAN-OS 9.0 开始,设备的导入 Panorama 已更改。

根据 Panorama 9.0 管理指南:" HA firewall 如果为每个同行配置了唯一的主机名、管理地址或配置,则不要将配对组合到单个模板 IP HA HA 中。 您还可以在防火墙上本地配置唯一的主机名 IP 、管理地址或 HA 配置。

如果使用单个模板堆栈而不修改变量,则可能会遇到类似于下面提到的错误消息。
. High-availability ha1 interface ipaddr configured to match peer-ip address(Module: ha_agent)
. Commit failed
 
用选项"强制模板"推动模板时的错误消息

Environment


  • 任何 Panorama .
  • PAN-OS 8.1, 9.0, 9.1.
  • 帕洛阿尔托防火墙配置在高可用性。

Procedure


需要为以下参数设置变量。
  • 主机 名。
  • 管理 IP 地址。
  • HA 配置。
实现相同的步骤如下。
  1. 导入活动配置 firewall 。
  2. 编辑模板以使用变量。
  3. 从被动导入配置 firewall 。

第 1 部分 - 导入活动配置 firewall

  • 在 firewall 下 IP 部配置地址 Panorama GUI : 设备>设置>管理> Panorama 设置
  • 在 firewall GUI 以下:设备>设置>高可用性>设置下禁用配置同步
  • 在 firewall , 提交 更改
  • 打开 Panorama , firewall 在以下添加序列号 GUI Panorama:>管理设备>超级
  • 打开 Panorama , 提交 更改
  • 上 Panorama ,导入设备配置以下 GUI Panorama:>设置>操作>进口设备配置 Panorama
  • 打开 Panorama ,导入后提交
  • 打开 Panorama , 按下 配置
  • 在 firewall "
模板推力显示为过度成熟设置
  • 打开 Panorama ,用"强制模板"推动配置
"强制模板值"仅应在需要时使用
  • 在 firewall ,配置显示为推式配置
模板按推定设置显示
 
这是第 1 阶段的结束:进 <c0 / > 性firewall。 我们成功地加载了一个模板,并 firewall 采取了它。

第 2 部分 : 编辑模板以使用变量

现在模板正在工作,让我们检查阻止点,以便对多个设备使用相同的模板。
  • 主机名值不是由 Panorama
主机名设置不由定义 Panorama
  • 管理 IP 地址不是由 Panorama
IP管理地址不由推 Panorama
  • HA 配置是由推 Panorama
HA 配置是由推 Panorama

在 HA 推下的配置 Panorama 上,我们需要更换 2 个设置:
  • 同行 HA1 IP 地址
  • 设备优先级
如果不这样做,被动将收到相同的 IP 地址和设备优先级的主动 firewall 。
为此,将此值替换为可变值(可为每个设备重新定义的通用值)。
  1. 对等 HA1 IP 地址
在使用中打开模板的设置选项 Panorama GUI : 设备> High 可用性>一般>设置。 确保选择正确的模板
 
需要更换同侪 HA1 IP 地址
 
删除 IP 对等 HA1 IP 地址字段中的地址,您应该会看到一个新的"可变"选项
 
将值替换为变量
 
A 出现新菜单。 定义变量的名称、类型和变量的默认值。 
变量的类型是该变量应获取的条目类型( IP 地址、文本、界面名称...)。
 
不同类型的变量

在此示例中,变量用 IP 活动分子的地址定义 firewall 。
 
可变配置
  1. 设备优先级:
使用相同的程序,将"设备优先级"设置在 GUI 以下: 设备> High 可用性>一般>选举设置。 
 
使用变量的设备优先级

完成后,模板 HA 配置将反映这些更改。
 
HA 使用变量进行配置
 
要验证模板堆栈在添加这些变量后仍在工作, 提交并推 入活动 firewall 。
如果有任何错误,请重新检查更改并更正模板上完成的更改。

第 3 部分 - 被动导入 firewall

添加变量后,模板工作正常。 被动 firewall 配置应导入 Panorama 。
  • 在 firewall 下文中配置 IP 地址 Panorama GUI :设备>设置>管理> Panorama 设置
  • 在 firewall "设备> GUI 设置>高可用性>设置下禁用配置同步
  • 在 firewall , 提交 更改
  • 打开 Panorama ,在 firewall 以下以下> GUI Panorama 管理设备>超级添加序列号
  • 打开 Panorama , 提交 更改
  • 上 Panorama ,导入设备配置下 GUI Panorama :>设置>操作>进口设备配置 Panorama
  • 打开 Panorama ,导入后提交
  • 打开 Panorama , 按下 配置
  • 打开 Panorama 时,将被动移 firewall 入主动设备组 firewall GUI Panorama (:>设备组>( 确保主动 firewall 设备组中选择被动 firewall )
将 firewall 设备组添加到
  • 打开 Panorama 时,将被动移 firewall 入主动的模板堆栈 firewall GUI Panorama (:>模板>( 确保在 firewall 主动模板堆栈中选择被动 firewall )
添加到 firewall 模板堆栈
  • 打开 Panorama GUI : Panorama >管理设备>摘要 页面,然后单击与被动设备关联的 创建 (可变列) firewall
单击"创建"链接以设置变量值
 
  • 在弹出窗口上,检查 "否"并单击 OK。
创建可变定义
  • 在下一个弹出窗口中,有 2 种方法来定义每个变量的值(如果未完成编辑, firewall 则将接收可变创建时设置的默认值):
 
  1. 覆盖:在这里,选择要设置的变量,单击 覆盖 并根据需要设置值。
覆盖值
  1. 在设备上使用值:在这里选择要设置的变量,单击 "获取设备上使用的值"。
单击"获取设备上使用的价值"
  • 在新窗口上,所 firewall 选变量的显示上设置的本地值,单击要保留值的变量,然后单击"覆盖"
选择要设置为可变值的值
  • 设置值后,单击 "关闭"。
设置每个变量的值
  • 打开 Panorama , 提交 配置。
  • 打开 Panorama 时, 将配置推 至被动 firewall 状态。
  • 在 firewall 网络和设备(模板)中,您将注意到推式配置被标记为覆盖设置。
  • 打开 Panorama ,用"强制模板"推动配置。
  • 在 firewall ,配置显示为推式配置。
第 4 部分:启用 HA 对等防火墙之间的配置同步。
 
HA如果您计划维护需要同步的本地配置,
则重复这两个防火墙中的这些步骤。登录每个接口, firewall 选择设备>高可用性>一般,并编辑设置部分。
选择启用配置同步并单击 OK
提交每个配置更改 firewall 。


 

Additional Information



Panorama 管理员指南 - 变量

此问题已写 Panorama 入 PAN-OS 在 9.0.4 上运行,防火墙在 PAN-OS 8.1.11 上运行。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNG0CAO&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language