Comment importer le fichier de configuration contenant Prisma access multi-locataire dans panorama .

Comment importer le fichier de configuration contenant Prisma access multi-locataire dans panorama .

25212
Created On 03/22/21 04:56 AM - Last Modified 07/26/24 00:51 AM


Objective


Il ya quelques étapes supplémentaires nécessaires lors de l’importation de la configuration d’un Panorama ancien à un nouveau lorsque les deux Panorama ci-dessous sont vrai
  • Le Panorama est utilisé pour gérer avec Prisma Access multi-location activé.
  • Le Prisma Access contient la configuration « Utilisateurs mobiles » dans un ou plusieurs sous-locataires.

Il y a 2 scénarios ici.
  1. Quand un ancien panorama doit être remplacé par un nouveau comme Eval à Prod migration.
  2. Pour la reprise après sinistre où panorama l’ancien a échoué un nouveau est prévu.

 

Environment


  • Panorama en cours d’exécution 9.1.x ou plus avec
  • Cloud services plugin 1.7.x ou plus.
  • La Prisma Access configuration multi-locataires est sous licence et en cours d’exécution avec des « utilisateurs mobiles » configurés pour un ou plusieurs sous-locataires.
NOTE:
Ces étapes ne sont pas requises lorsque multi-location est NOT activée.

Procedure


Suivez les étapes initiales de base pour mettre en place panorama la connectivité nouvelle et réseau.
Effectuez les mises à niveau nécessaires pour vous assurer que panorama la nouvelle est exactement sur la même version PanOS et le même plugin de service cloud.
Transférez les licences et assurez-vous que panorama les nouvelles ont des licences correctes/identiques à l’ancienne.
Licences de transfert ou Prisma Access de mise à jour

Veuillez suivre ces étapes pour corriger les erreurs de validation

1. Sur le nouveau panorama , aller chercher les licences à partir du serveur de mise à jour et le garder prêt avec cloud_service plugin installé et OTP la vérification déjà traitée. 
2. Si l’appareil de production Panorama est complètement nouveau, exportez la configuration de l’ancien panorama appareil (si vous ne l’avez pas déjà fait) et importez-le vers le nouvel Panorama appareil.
3. Charge enregistrée config. À ce stade, si nous commettons ou commettons des validations locales, peu d’erreurs peuvent être remarquées si config a un bord mobile pour les sous-locataires.
4. Pour éviter les erreurs de validation, supprimez la configuration d’onboarding des utilisateurs mobiles pour tous les sous-locataires et aussi à la fois global protect portail et passerelle config Prisma Access sous les modèles d’utilisateurs mobiles.
(Vérifiez la section informations d’ajout si la validation de validation échoue toujours avec des erreurs pour la configuration globale protéger connexes)
5. La configuration d’onboarding de l’utilisateur mobile doit être Panorama supprimée de la configuration > Cloud services > >Élection des utilisateurs respectifs du locataire >Mobile >Click sur supprimer en bas.
6. Validez à nouveau l’engagement et assurez-vous qu’il n’y a pas d’erreurs de validation. (N’allez pas plus loin s’il y a des erreurs de validation à l’égard des utilisateurs mobiles/global protect config)
7. S’il vousplaît exécuter " md5sum_cache clair" sur avant de faire commit panorama CLI local.
8. Ne local s’engager panorama
à 9.  Une fois que le commit est réussi, chargez config une fois de plus et effectuez l’engagement local encore sur panorama . Cette étape est nécessaire pour ramener la configuration des utilisateurs mobiles supprimés. 
10. Effectuez des contrôles de santé mentale pour vous assurer que la configuration Prisma access est similaire à la configuration d’un vieil appareil ou comme vous le souhaitez.

Nouveau panorama est maintenant prêt à pousser la configuration vers les pare-feu cloud.
 

Additional Information


Quelques mises en garde:

Avec l’étape 4: L’objectif principal est de supprimer tous les utilisateurs mobiles aka GlobalProtect configuration de la pour éviter toute Panorama erreur. Si pour une raison quelconque, Ce n’est pas fait, s’il vous plaît suivre les étapes ci-dessous.
  • Supprimer l’utilisateur mobile à bord config Cloud services de >Configuration>Selcect le locataire MU avec config> Utilisateurs mobiles et supprimer le config. (Confirmez que cette étape est terminée)
  • Si cela est fait, sélectionnez manuellement le modèle et la pile de modèles respectifs et supprimez tout portail ou passerelle restant config.
  • Si la validation de validation échoue toujours avec GlobalProtect les erreurs connexes, mais la configuration n’est pas GUI disponible dans le , plus d’étapes sont nécessaires pour être fait manuellement. Voici un extrait d’une telle erreur de validation.
 
Validation Error: 
devices -> localhost.localdomain -> template-stack -> mu-stk-tenant1 -> config -> localhost.localdomain -> network -> tunnel -> global-protect-gateway -> GlobalProtect_External_Gateway-N -> local-address is missing 'interface'
  • Exportez le dossier candidat-config.xml actuel à partir de neuf panorama .
  • Modifiez le fichier et trouvez le config problématique et supprimez-le. En l’espèce, le config était lié à « GlobalProtect_External_Gateway - N »
  • Dans cet exemple, il faudrait supprimer les paramètres de config suivants pour corriger les erreurs.
De
<global-protect-portal/>
                      <global-protect-gateway/>
                    </global-protect>
                  </entry>
                </vsys>
                <network>
                  <tunnel>
                    <global-protect-gateway>
                      <entry name="GlobalProtect_External_Gateway-N">
                        <local-address>
                          <ip/>
                        </local-address>
                        <client>
                          <exclude-video-traffic>
                            <applications/>
                            <enabled>no</enabled>
                          </exclude-video-traffic>
                        </client>
                        <ipsec>
                          <third-party-client>
                            <enable>no</enable>
                          </third-party-client>
                        </ipsec>
                        <ip-pool/>
                      </entry>
                    </global-protect-gateway>
                  </tunnel>
À
<global-protect-portal/>
                      <global-protect-gateway/>
                    </global-protect>
                  </entry>
                </vsys>
                <network>
                  <tunnel>
                    <global-protect-gateway/>
                  </tunnel>
  • Modifiez le nom de ce fichier et importez-le à nouveau panorama et effectuez la validation.
  • S’il n’y a pas d’erreurs de validation, passez à l’étape 6 d’en haut avant de commettre.

Remarque : L’erreur ci-dessus est un exemple et d’autres erreurs peuvent également être présentes. Pour toute erreur de validation non prisma, continuez à dépanner en fonction de l’erreur ou de la prise en charge des contacts pour obtenir des conseils. 

Par exemple, si les erreurs de validation sont liées GlobalProtect à configuré pour un modèle qui cible un prém firewall on , les étapes de l’article ne sont pas applicables. 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001UruCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language