PA-400 系列防火墙未启动
19570
Created On 10/25/23 01:38 AM - Last Modified 03/03/25 01:23 AM
Symptom
PA-400 系列防火墙无法正常启动或卡在维护模式。
Environment
- PA-400 系列防火墙
- 支持的 PAN OS
Cause
PA-400 系列防火墙无法正常启动的情况有两种:
- TPM 芯片已锁定系统
- 所有新一代防火墙的硬件中都有一个 TPM 芯片,可以安全地加密敏感信息。
- 每次在 2 小时内对防火墙进行硬重启(电源循环)时,TPM 芯片都会将计数器加 1。
- 如果防火墙重启32次,且每次运行时间少于2小时,TPM芯片就会锁定整个防火墙。
- 这是预期行为。请参阅TPM Lockout 官方实时社区页面
- PAN-OS映像已损坏
- PAN-OS映像可能已损坏,导致系统无法启动。
- PAN-OS 10.1.10、10.2.5、11.0.2 之前的版本。请参阅PAN-OS 图像损坏官方实时社区页面
Resolution
TPM芯片锁定时的解决方法:
- 不需要RMA。
- 在这种情况下,防火墙应该显示来自串行控制台的一些输出。
- PAN-OS 启动失败并显示重新启动至维护模式
- 要恢复设备,请让它运行至少 2 小时,无论串行控制台上的状态如何。
- 2小时后,进入维护模式并执行正常重启。
- 如果此维护模式菜单在 2 小时后仍不可用,请等待最多 6 小时,并且不要执行任何重新启动。
- 注意:避免不必要的硬重启,避免拔下电源线,始终选择平稳重启/关机。
PAN-OS映像损坏时的解决方法:
- 没有控制台输出,且 PAN-OS 版本低于 10.1.10、10.2.5、11.0.2。
- 联系Palo Alto Networks支持团队并继续 RMA。
- 稍后,请确保您的设备运行的是 PAN-OS 版本 10.1.10、10.2.5、11.0.2 或更高版本。
Additional Information
如何正常关机