Importieren der Konfigurationsdatei mit Prisma access Multi-Tenant in panorama .

Importieren der Konfigurationsdatei mit Prisma access Multi-Tenant in panorama .

25208
Created On 03/22/21 04:56 AM - Last Modified 07/26/24 00:51 AM


Objective


Beim Importieren der Konfiguration von einer alten in eine neue ist einige zusätzliche Schritte Panorama Panorama erforderlich, wenn beide unten
  • Der Panorama wird verwendet, um Prisma Access mit aktiviertem Multi-Tenancy zu verwalten.
  • Die enthält die Prisma Access Konfiguration "Mobile Benutzer" in einem oder mehreren Untermandanten.

Es gibt hier 2 Szenarien.
  1. Wenn ein altes panorama durch ein neues wie Eval to Prod Migration ersetzt werden muss.
  2. Für die Notfallwiederherstellung, bei der das Alte panorama fehlgeschlagen ist, wird eine neue bereitgestellt.

 

Environment


  • Panorama läuft 9.1.x oder höher mit
  • Cloud services Plugin 1.7.x oder höher.
  • Die ist lizenziert und führt die Prisma Access Multi-Tenant-Konfiguration aus, wobei "Mobile Benutzer" für einen oder mehrere Untermandanten konfiguriert sind.
NOTE:
Diese Schritte sind nicht erforderlich, wenn Multi-Tenancy aktiviert NOT ist.

Procedure


Führen Sie die grundlegenden ersten Schritte aus, um die neue und die Netzwerkkonnektivität zu panorama nutzen.
Führen Sie die erforderlichen Upgrades durch, um sicherzustellen, dass sich das neue Plug-On panorama genau auf derselben PanOS-Version und demselben Cloud-Service-Plugin befindet.
Übertragen Sie die Lizenzen, und stellen Sie sicher, dass New panorama über die richtigen/die gleichen Lizenzen wie die alte verfügt.
Übertragungs- oder Prisma Access Aktualisierungslizenzen

Führen Sie die folgenden Schritte aus, um die Validierungsfehler 1 zu

korrigieren. Holen Sie sich auf dem neuen panorama , die Lizenzen vom Update-Server ab und halten Sie sie bereit mit cloud_service installierten und bereits OTP verarbeiteten Verifizierungs-Plugins. 
2. Wenn die Panorama Produktionseinheit komplett neu ist, exportieren Sie die Konfiguration von der alten Appliance (falls Sie dies noch nicht getan haben) und importieren Sie panorama sie in die neue Panorama Appliance.
3. Gespeicherte Konfiguration geladen. In dieser Phase, in der wir lokale Commit- oder Commit-Validierungsfehler tun, können nur wenige Fehler bemerkt werden, wenn config über mobiles Onboarding für Untermandanten verfügt.
4. Um Commitfehler zu vermeiden, entfernen Sie die Onboarding-Konfiguration mobiler Benutzer für alle Untermandanten sowie sowohl für das Global Protect-Portal als auch für die Gatewaykonfiguration unter Prisma Access Mobile Benutzervorlagen.
(Überprüfen Sie den Abschnitt "Hinzufügen von Informationen", wenn die Commit-Validierung weiterhin mit Fehlern für die globale Schutzkonfiguration fehlschlägt)
5. Die Onboarding-Konfiguration des mobilen Benutzers muss aus Panorama > > Configuration Cloud services >Auswählen des jeweiligen Mandanten >Mobile-Benutzer >Klicken Sie unten
auf Entfernen. 6. Überprüfen Sie den Commit erneut, und stellen Sie sicher, dass keine Validierungsfehler auftreten. (Gehen Sie nicht weiter, wenn Validierungsfehler in Bezug auf mobile Benutzer/globale Schutzkonfigurationen vorliegen.
7. Führen Sie "debug md5sum_cache clear" aus, bevor Sie einen lokalen Commit panorama CLI ausführen.
8. Verpflichten Sie sich vor Ort zu panorama
9.  Sobald commit erfolgreich ist, laden Sie Config ein steiniger Vorgang erneut, und führen Sie den lokalen Commit erneut auf panorama aus. Dieser Schritt ist erforderlich, um die Konfiguration gelöschter mobiler Benutzer wiederzuerreichen. 
10. Führen Sie Überprüfungen für den Dienst aus, um sicherzustellen, dass die Konfiguration für Prisma access der Konfiguration auf einer alten Appliance oder wie gewünscht ähnelt.

Neu panorama ist nun bereit, die Konfiguration auf die Cloud-Firewalls zu übertragen.
 

Additional Information


Einige Vorbehalte:

Mit Dem Schritt 4: Das primäre Ziel ist es, alle mobilen Benutzer aka GlobalProtect Konfiguration aus der zu Panorama entfernen, um Fehler zu vermeiden. Wenn aus irgendeinem Grund, Dies ist nicht getan, folgen Sie bitte die Schritte unten.
  • Löschen Sie die Mobile-Benutzer-Onboarding-Konfiguration aus Cloud services >Configuration>Wählen Sie den Mandanten mit MU config> Mobile-Benutzern aus, und entfernen Sie die Konfiguration. (Bestätigen Sie, dass dieser Schritt ausgeführt wurde)
  • Wenn dies geschieht, wählen Sie manuell die entsprechende Vorlage und den Vorlagenstapel aus, und löschen Sie alle verbleibenden Portal- oder Gatewaykonfigurationen.
  • Wenn die Commit-Validierung weiterhin mit GlobalProtect verwandten Fehlern fehlschlägt, die Konfiguration jedoch nicht im verfügbar GUI ist, sind weitere Schritte erforderlich, um manuell ausgeführt zu werden. Hier ist ein Ausschnitt eines solchen Validierungsfehlers.
 
Validation Error: 
devices -> localhost.localdomain -> template-stack -> mu-stk-tenant1 -> config -> localhost.localdomain -> network -> tunnel -> global-protect-gateway -> GlobalProtect_External_Gateway-N -> local-address is missing 'interface'
  • Exportieren Sie die aktuelle .xml Datei mit Kandidatenkonfiguration aus der neuen panorama .
  • Bearbeiten Sie die Datei, und suchen Sie die problematische Konfiguration, und entfernen Sie sie. In diesem Fall war die Konfiguration mit "GlobalProtect_External_Gateway- " verbunden. N
  • In diesem Beispiel müssen die folgenden Konfigurationsparameter entfernt werden, um die Fehler zu beheben.
Von
<global-protect-portal/>
                      <global-protect-gateway/>
                    </global-protect>
                  </entry>
                </vsys>
                <network>
                  <tunnel>
                    <global-protect-gateway>
                      <entry name="GlobalProtect_External_Gateway-N">
                        <local-address>
                          <ip/>
                        </local-address>
                        <client>
                          <exclude-video-traffic>
                            <applications/>
                            <enabled>no</enabled>
                          </exclude-video-traffic>
                        </client>
                        <ipsec>
                          <third-party-client>
                            <enable>no</enable>
                          </third-party-client>
                        </ipsec>
                        <ip-pool/>
                      </entry>
                    </global-protect-gateway>
                  </tunnel>
An
<global-protect-portal/>
                      <global-protect-gateway/>
                    </global-protect>
                  </entry>
                </vsys>
                <network>
                  <tunnel>
                    <global-protect-gateway/>
                  </tunnel>
  • Ändern Sie den Namen dieser Datei, und importieren Sie sie erneut, und führen Sie die panorama Validierung durch.
  • Wenn keine Validierungsfehler vorliegen, fahren Sie mit Schritt 6 von oben fort, bevor Sie den Commit ausführen.

Anmerkung:: Der obige Fehler ist ein Beispiel und andere Fehler können auch vorhanden sein. Wenn Sie keinen Nicht-Prisma-Validierungsfehler haben, beheben Sie die Fehlerbehebung weiterhin basierend auf Fehlern oder wenden Sie sich an den Support, um Eine Anleitung zu erhalten. 

Wenn die Validierungsfehler z. B. mit der Konfiguration für eine Vorlage zusammenhängen, GlobalProtect die auf eine vorab ausgerichtetist, sind die Schritte im Artikel nicht firewall anwendbar. 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001UruCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language