Cómo importar el archivo de configuración que contiene Prisma access multiinquilino en panorama .

Cómo importar el archivo de configuración que contiene Prisma access multiinquilino en panorama .

25208
Created On 03/22/21 04:56 AM - Last Modified 07/26/24 00:51 AM


Objective


Hay algunos pasos adicionales necesarios al importar la configuración de una antigua Panorama a una nueva cuando ambos son Panorama verdaderos
  • El Panorama se utiliza para administrar con Prisma Access multi-tenencia habilitada.
  • Contiene Prisma Access la configuración de "Usuarios móviles" en uno o varios subinquilino.

Hay 2 escenarios aquí.
  1. Cuando un viejo panorama necesita ser reemplazado por uno nuevo como Eval a Prod migración.
  2. Para la recuperación ante desastres, donde lo anterior panorama ha fallado, se está aprovisionando uno nuevo.

 

Environment


  • Panorama corriendo 9.1.x o superior con
  • Cloud services plugin 1.7.x o superior.
  • Prisma AccessLa configuración multiinquilino se licencia y se ejecuta con "Usuarios móviles" configurados para uno o varios subinquilinos.
NOTE:
Estos pasos no son necesarios cuando multi-tenencia está NOT habilitado.

Procedure


Siga los pasos iniciales básicos para aumentar la conectividad nueva panorama y de red.
Realice las actualizaciones necesarias para asegurarse de que la nueva está exactamente en la panorama misma versión de PanOS y el mismo complemento de servicio en la nube.
Transfiera las licencias y asegúrese de que new panorama tenga las mismas licencias correctas/mismas que la anterior.
Transferir o actualizar Prisma Access licencias

Siga estos pasos para corregir los errores de validación

1. En el nuevo panorama , obtenga las licencias del servidor de actualización y manténgalo listo con cloud_service plugin instalado y la verificación ya OTP procesada. 
2. Si el dispositivo de producción Panorama es completamente nuevo, exporte la configuración desde el dispositivo antiguo panorama (si aún no lo ha hecho) e impórtela al nuevo Panorama dispositivo.
3. Cargue la configuración guardada. En esta etapa, si confirmamos o confirmamos la confirmación local, se pueden notar pocos errores si config tiene incorporación móvil para sub inquilinos.
4. Para evitar errores de confirmación, quite la configuración de incorporación de usuarios móviles para todos los sub inquilinos y también global protect portal y configuración de puerta de enlace en Prisma Access Plantillas de usuario móviles.
(Compruebe la sección de información de adición si la validación de confirmación sigue fallando con errores para la configuración global relacionada con la protección)
5. La configuración de incorporación de usuarios móviles debe eliminarse de Panorama > > Configuración Cloud services >Seleccione los usuarios de >Mobile respectivos >Haga clic en quitar en la parte inferior.
6. Vuelva a validar la confirmación y asegúrese de que no haya errores de validación. (No proceda más si hay errores de validación con respecto a los usuarios móviles / configuración de protección global)
7. Ejecute "debug md5sum_cache clear" on antes de hacer la confirmación panorama CLI local.
8. Haga compromiso local con panorama
9.  Una vez que la confirmación se realiza correctamente, cargue la configuración una vez más y vuelva a realizar la confirmación local en panorama . Este paso es necesario para recuperar la configuración de los usuarios móviles eliminados. 
10. Realice comprobaciones de cordura para asegurarse de que la configuración Prisma access es similar a la configuración de un dispositivo antiguo o como desee.

New panorama ya está listo para insertar la configuración en los firewalls en la nube.
 

Additional Information


Algunas advertencias:

Con el paso 4: El objetivo principal es eliminar todos los usuarios móviles también conocidos como GlobalProtect configuración de la para evitar cualquier Panorama error. Si por alguna razón, Esto no se hace, por favor siga los pasos a continuación.
  • Elimine la configuración de incorporación de usuarios móviles de Cloud services >Configuration>Seleccione el inquilino con MU config> Usuarios móviles y quite la configuración. (Confirme que este paso está hecho)
  • Si esto se hace, seleccione manualmente la plantilla y la pila de plantillas respectivas y elimine cualquier configuración restante del portal o de la puerta de enlace.
  • Si la validación de confirmación sigue fallando con GlobalProtect errores relacionados pero la configuración no está disponible en el , se necesitan más pasos para realizarse GUI manualmente. A continuación se muestra un fragmento de dicho error de validación.
 
Validation Error: 
devices -> localhost.localdomain -> template-stack -> mu-stk-tenant1 -> config -> localhost.localdomain -> network -> tunnel -> global-protect-gateway -> GlobalProtect_External_Gateway-N -> local-address is missing 'interface'
  • Exporte el archivo .xml candidato actual desde nuevo panorama .
  • Edite el archivo y busque la configuración problemática y elimíntelo. En este caso, la configuración estaba relacionada con "GlobalProtect_External_Gateway- N "
  • En este ejemplo, los siguientes parámetros de configuración tendrían que quitarse para corregir los errores.
De
<global-protect-portal/>
                      <global-protect-gateway/>
                    </global-protect>
                  </entry>
                </vsys>
                <network>
                  <tunnel>
                    <global-protect-gateway>
                      <entry name="GlobalProtect_External_Gateway-N">
                        <local-address>
                          <ip/>
                        </local-address>
                        <client>
                          <exclude-video-traffic>
                            <applications/>
                            <enabled>no</enabled>
                          </exclude-video-traffic>
                        </client>
                        <ipsec>
                          <third-party-client>
                            <enable>no</enable>
                          </third-party-client>
                        </ipsec>
                        <ip-pool/>
                      </entry>
                    </global-protect-gateway>
                  </tunnel>
Para
<global-protect-portal/>
                      <global-protect-gateway/>
                    </global-protect>
                  </entry>
                </vsys>
                <network>
                  <tunnel>
                    <global-protect-gateway/>
                  </tunnel>
  • Cambie el nombre de este archivo e impórtelo de nuevo panorama y realice la validación.
  • Si no hay errores de validación, continúe con el paso 6 desde arriba antes de realizar la confirmación.

Nota-: El error anterior es un ejemplo y otros errores también pueden estar presentes. Para cualquier error de validación que no sea Prisma, continúe solucionando problemas en función de errores o soporte de contacto para obtener orientación. 

Por ejemplo, si los errores de validación están relacionados con GlobalProtect configurados para una plantilla que tiene como destino una firewall prema, los pasos del artículo no son aplicables. 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001UruCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language