如何导入包含 Prisma access 多租户的配置文件 panorama 。

25141

Created On 03/22/21 04:56 AM - Last Modified 07/26/24 00:51 AM

Objective

当 Panorama Panorama 以下两个配置都为真时，从旧配置导入新配置时需要一些额外的步骤

Panorama用于在 Prisma Access 启用多租赁时进行管理。
Prisma Access包含一个或多个子租户中的"移动用户"配置。

这里有2种情况。

当旧 panorama 需要替换为新的，如Eval到Prod迁移。
对于旧灾难恢复，旧的 panorama 已经失败，一个新的正在提供。

Environment

Panorama 运行9.1.x或以上
Cloud services 插件 1.7.x 或以上。
Prisma Access获得许可并运行多租户配置，配置为一个或多个子租户的"移动用户"。

NOTE：
启用多租赁时不需要这些步骤 NOT 。

Procedure

遵循基本的初始步骤，实现新的 panorama 网络连接。
执行必要的升级，以确保新版本 panorama 完全位于相同的 PanOS 版本和相同的云服务插件上。
转让许可证，并确保新 panorama 许可证与旧许可证正确/相同。
转让或更新 Prisma Access 许可证

请按照以下步骤来更正验证错误

1。在新的 panorama ，从更新服务器获取许可证，并保持它准备好与cloud_service插件安装和 OTP 验证已经处理。
2. 如果生产 Panorama 设备是全新的，则从旧设备导出配置 panorama （如果您尚未这样做），并将其导入新 Panorama 设备。
3. 加载已保存的配置。在这个阶段，如果我们做本地提交或提交验证很少的错误可以注意到，如果配置有移动登机的子租户。
4. 为避免犯错误，请删除所有子租户的移动用户登机配置，以及 Prisma Access 移动用户模板下的 Global 保护门户和网关配置。
（如果提交验证仍因全球保护相关配置的错误而失败，请检查添加信息部分）
5. 移动用户登机配置需要从 Panorama Cloud services >>配置中删除>选择各自的租户>移动用户在底部删除时>点击。
6. 再次验证提交，并确保没有验证错误。（如果移动用户/全球保护配置存在验证错误，请不要继续执行）
7. 请执行"调试md5sum_cache清除" panorama CLI 之前做本地提交。
8. 做本地承诺 panorama
9。一旦提交成功，再次加载配置并再次执行本地提交 panorama 。此步骤对于恢复已删除的移动用户配置是必要的。
10. 执行理智检查，以确保配置 Prisma access 与旧设备上的配置类似或根据需要。

New panorama 现已准备好将配置推送至云防火墙。

Additional Information

需要注意：

与步骤4：主要目标是从删除所有移动用户又名 GlobalProtect 配置， Panorama 以避免任何错误。如果出于某种原因，此操作未完成，请按照以下步骤操作。

从配置中删除机上的移动用户 Cloud services 配置>配置>用配置选择租户 MU >移动用户并删除配置。（确认此步骤已完成）
如果这样做，手动选择相应的模板和模板堆栈，并删除任何剩余的门户或网关配置。
如果承诺验证仍因 GlobalProtect 相关错误而失败，但配置中不可用 GUI ，则需要手动完成更多步骤。以下是此类验证错误的片段。

Validation Error: 
devices -> localhost.localdomain -> template-stack -> mu-stk-tenant1 -> config -> localhost.localdomain -> network -> tunnel -> global-protect-gateway -> GlobalProtect_External_Gateway-N -> local-address is missing 'interface'

从新文件导出当前候选人配置.xml文件 panorama 。
编辑文件并查找有问题的配置并将其删除。在这种情况下，配置与 N "GlobalProtect_External_Gateway-
在此示例中，需要删除以下配置参数以修复错误。

从

<global-protect-portal/>
                      <global-protect-gateway/>
                    </global-protect>
                  </entry>
                </vsys>
                <network>
                  <tunnel>
                    <global-protect-gateway>
                      <entry name="GlobalProtect_External_Gateway-N">
                        <local-address>
                          <ip/>
                        </local-address>
                        <client>
                          <exclude-video-traffic>
                            <applications/>
                            <enabled>no</enabled>
                          </exclude-video-traffic>
                        </client>
                        <ipsec>
                          <third-party-client>
                            <enable>no</enable>
                          </third-party-client>
                        </ipsec>
                        <ip-pool/>
                      </entry>
                    </global-protect-gateway>
                  </tunnel>

自

<global-protect-portal/>
                      <global-protect-gateway/>
                    </global-protect>
                  </entry>
                </vsys>
                <network>
                  <tunnel>
                    <global-protect-gateway/>
                  </tunnel>

更改此文件的名称并再次导入并 panorama 执行验证。
如果没有验证错误，在进行提交之前，先从上面进行第 6 步。