So setzen Sie PAN-OS mithilfe der CLI auf die zuletzt installierte Software zurück.

• Jede Palo Alto Firewall.
• Jedes Panorama
• PAN-OS 8.0, 9.0 und 10.0

1. Verwenden Sie debug swm status, um die neue und die alte PAN-OS-Version anzuzeigen. Im folgenden Beispiel. 9.0.2 ist das neu geladene PAN-OS und 8.1.0 ist das vorherige erfolgreich funktionierende PAN-OS

admin@Lab-PA-VM(active)> debug swm status
Partition         State             Version
--------------------------------------------------------------------------------
sysroot0          RUNNING-ACTIVE    9.0.2
sysroot1          REVERTABLE        8.1.0
maint             READY             9.0.2

2. Verwenden Sie den Befehl debug swm revert , um die ältere Codeversion wiederherzustellen.

admin@Lab-PA-VM(active)> debug swm revert
Reverting from 9.0.2 (sysroot0) to 8.1.0 (sysroot1)

3. Überprüfen Sie dies erneut mit dem Befehl debug swm status , die Anzeige wird als pending-revert angezeigt.

admin@Lab-PA-VM(active)> debug swm status

Partition         State             Version
--------------------------------------------------------------------------------
sysroot0          RUNNING-ACTIVE    9.0.2
sysroot1          PENDING-REVERT    8.1.0
maint             READY             9.0.2

4. Starten Sie die Firewall neu, indem Sie das System neu starten.

admin@Lab-PA-VM(active)> request restart system
Executing this command will disconnect the current session. Do you want to continue? (y or n)

5. Nach dem Neustart wird das Gerät mit dem letzten erfolgreichen Code neu gestartet. Im obigen Beispiel 8.1.0 Version des Codes. Dies kann mit debug swm status und show system info überprüft werden.

admin@Lab-PA-VM> debug swm status

Partition         State             Version
--------------------------------------------------------------------------------
sysroot0          REVERTABLE        9.0.2
sysroot1          RUNNING-ACTIVE    8.1.0
maint             READY             9.0.2

admin@Lab-PA-VM> show system info

hostname: Lab-PA-VM
ip-address: x.x.x.96
public-ip-address: unknown
netmask: 255.255.255.192
default-gateway: x.x.x.65
ip-assignment: static
ipv6-address: unknown
ipv6-link-local-address: fe80::250:56ff:fe81:124f/64
ipv6-default-gateway:
mac-address: 00:50:56:81:12:4f
time: Mon Dec  9 20:56:41 2019
uptime: 0 days, 0:08:28
family: vm
model: PA-VM
serial: 007000000021360
vm-mac-base: E4:A7:49:0A:4D:00
vm-mac-count: 256
vm-uuid: 42010F61-7F07-4ED2-7FC4-DA442FEC698D
vm-cpuid: ESX:D2060200FFFBAB1F
vm-license: VM-100
vm-mode: VMWare ESXi
cloud-mode: non-cloud
sw-version: 8.1.0
...
<Output Omitted>

Mit PAN-OS 10.2 wurde eine neue Plug-in-Architektur eingeführt, die in Version 10.1 oder früheren Versionen nicht unterstützt wird. Wenn Sie Panorama über die Web-Benutzeroberfläche downgraden, wird das Downgrade blockiert, wenn die 10.1-kompatiblen Plug-in-Versionen vor dem Downgrade nicht heruntergeladen werden. 

Dies geschieht nicht, wenn Sie den Befehl debug swm revert über die CLI verwenden. Das PANOS-Downgrade wird nicht blockiert, wenn die 10.1-kompatiblen Plugin-Versionen nicht vor dem Downgrade heruntergeladen werden. Dies führt dazu, dass Panorama in einem schlechten Systemzustand verbleibt, der den Benutzer dazu zwingt, die Plugins zu deinstallieren, auf denen derzeit eine 10.2-kompatible Plugin-Version nach dem Downgrade auf 10.1 ausgeführt wird.

Laden Sie die 10.1-kompatiblen Plugin-Versionen für alle Plug-ins herunter, die derzeit auf Panorama installiert sind, bevor Sie ein Downgrade auf 10.1 durchführen.

Verweisen

• Kompatible Plugin-Versionen für PAN-OS 10.2
• Vor 10.2 Panorama-Plugins
• Überlegungen zum Downgrade von Panorama-Plug-ins (10.2)
• Panorama-plugins Upgrade Downgrade-Überlegungen (10.1)
• PAN-OS-Upgrade auf 10.1
• PAN-OS-Upgrade auf 10.2