Cómo revertir PAN-OS al último software instalado usando CLI.
Objective
Para volver al último software instalado correctamente cuando el software actualizado no funciona como se esperaba.
Environment
- Cualquier Cortafuegos de Palo Alto.
- Cualquier Panorama
- PAN-OS 8.0, 9.0 y 10.0
Procedure
- Utilice debug swm status para mostrar las versiones nuevas y antiguas de PAN-OS. En el siguiente ejemplo. 9.0.2 es el PAN-OS recién cargado y 8.1.0 es el PAN-OS que funcionó con éxito anteriormente
admin@Lab-PA-VM(active)> debug swm status
Partition State Version
--------------------------------------------------------------------------------
sysroot0 RUNNING-ACTIVE 9.0.2
sysroot1 REVERTABLE 8.1.0
maint READY 9.0.2
- Utilice el comando debug swm revert para volver a la versión de código anterior.
admin@Lab-PA-VM(active)> debug swm revert
Reverting from 9.0.2 (sysroot0) to 8.1.0 (sysroot1)
- Vuelva a verificar con el comando debug swm status , la pantalla indicará como pending-revert.
admin@Lab-PA-VM(active)> debug swm status
Partition State Version
--------------------------------------------------------------------------------
sysroot0 RUNNING-ACTIVE 9.0.2
sysroot1 PENDING-REVERT 8.1.0
maint READY 9.0.2
- Reinicie el firewall mediante el sistema de reinicio de solicitudes.
admin@Lab-PA-VM(active)> request restart system
Executing this command will disconnect the current session. Do you want to continue? (y or n)
- Una vez reiniciado, el dispositivo se reiniciará con el último código correcto. En el ejemplo anterior, la versión 8.1.0 del código. Esto se puede verificar mediante debug swm status y show system info.
admin@Lab-PA-VM> debug swm status Partition State Version -------------------------------------------------------------------------------- sysroot0 REVERTABLE 9.0.2 sysroot1 RUNNING-ACTIVE 8.1.0 maint READY 9.0.2 admin@Lab-PA-VM> show system info hostname: Lab-PA-VM ip-address: x.x.x.96 public-ip-address: unknown netmask: 255.255.255.192 default-gateway: x.x.x.65 ip-assignment: static ipv6-address: unknown ipv6-link-local-address: fe80::250:56ff:fe81:124f/64 ipv6-default-gateway: mac-address: 00:50:56:81:12:4f time: Mon Dec 9 20:56:41 2019 uptime: 0 days, 0:08:28 family: vm model: PA-VM serial: 007000000021360 vm-mac-base: E4:A7:49:0A:4D:00 vm-mac-count: 256 vm-uuid: 42010F61-7F07-4ED2-7FC4-DA442FEC698D vm-cpuid: ESX:D2060200FFFBAB1F vm-license: VM-100 vm-mode: VMWare ESXi cloud-mode: non-cloud sw-version: 8.1.0 ... <Output Omitted>
Additional Information
PAN-OS 10.2 introdujo una nueva arquitectura de complementos que no es compatible con la versión 10.1 o versiones anteriores. Al cambiar a una versión anterior de Panorama desde la interfaz de usuario web, la versión anterior se bloquea si las versiones del complemento compatibles con la versión 10.1 no se descargan antes de la versión anterior.
Esto no sucede cuando se utiliza el comando debug swm revert de la CLI. La degradación de PANOS no se bloquea si las versiones del complemento compatibles con 10.1 no se descargan antes de la degradación. Esto dejará a Panorama en un mal estado del sistema que requiere que el usuario desinstale los complementos que actualmente ejecutan una versión de complemento compatible con 10.2 después de cambiar a 10.1.
Descargue las versiones de complementos compatibles con 10.1 para todos los complementos instalados actualmente en Panorama antes de cambiar a 10.1.
Recomienda
- Versiones de plugin compatibles para PAN-OS 10.2
- Plugins de Panorama anteriores a la versión 10.2
- Consideraciones sobre la degradación de la actualización de los complementos de Panorama (10.2)
- Consideraciones sobre la degradación de la actualización de Panorama-plugins (10.1)
- Actualización de PAN-OS a la versión 10.1
- Actualización de PAN-OS a la versión 10.2