Geräte-Onboarding für Panorama

Geräte-Onboarding für Panorama

2135
Created On 11/14/23 03:07 AM - Last Modified 08/06/25 03:43 AM


Objective


Ziel dieses Artikels ist es, den Onboardingprozess eines PAN-OS- Gerät für Panorama zu dokumentieren.

Environment


  • PAN-OS
  • Von Panorama verwaltete Geräte
  • Panorama

Procedure


Gerät mit PAN-OS-Version unter 10.1 – Legacy-Modus

The on-boarding of the device is made by configuring:
  • auf Panoramaseite: die Seriennummer des Gerät hinzufügen
  • auf der Gerät : die IP-Adresse des Panoramas, dem Sie beitreten möchten

The communication between the Panorama and the managed device is secured using the legacy certificates.
Device onboarded on PAN-OS version below 10.1

Gerät mit PAN-OS Version 10.1 oder höher – sc3-Modus

PAN-OS 10.1 introduced some improvement in the device registration to Panorama.
The device on-boarding is done by configuring:
  • auf Panorama-Seite: ein Authentifizierungsschlüssel und die Seriennummer des Gerät hinzuzufügen
  • auf der Gerät : der Authentifizierungsschlüssel und die IP-Adresse des Panoramas, dem Sie beitreten möchten
Hinweis: Ein Gerät, das bereits vor PAN-OS 10.1 integriert wurde, wird nicht erneut integriert.

The communication between the Panorama and the managed device is secured using the sc3 certificates.

The authentication key generated on Panorama is only good during its lifetime and for a limited count.
If one of the 2 limits is meet, the authentication key cannot be used, and a new one needs to be created.

The authentication key is not saved in the configuration, so it is not synchronised over Panorama HA.
As a best practice, always do the device onboarding with the active Panorama.
Device on-boarding on PAN-OS 10.1 and above.

Identifizieren Sie die vom Gerät verwendete Onboardingmethode

Run the following command on the device 
admin@firewall> show system state | match cfg.ms.
cfg.ms.ca: 2124fdae-97a0-4dc6-81b7-e64a50fe04f4
cfg.ms.cc: 737f26c8-9d89-4c18-9cef-1bb7a20afffb

Wenn eine Antwort zurückgegeben wird (wie oben gibt es einen Eintrag „cfg.ms.ca“ und „cfg.ms.cc“), wird das Onboarding gemäß der Methode PAN-OS 10.1 oder höher durchgeführt.

Hinweis: Möglicherweise werden in diesen Einträgen PAN-OS-Versionen unter 10.1 angezeigt. Dies würde bedeuten, dass das Gerät von PAN-OS 10.1 heruntergestuft wurde. Der SC3-Modus wurde erst ab PAN-OS 10.1 implementiert.

Wechseln vom Legacy-Modus in den SC3-Modus

Diese Migration ist nur für Geräte möglich, die im Legacy-Modus unter PAN-OS 10.1 oder höher ausgeführt werden.
Hinweis: Während des Umzugs werden auf Panorama keine Protokolle für das Gerät gespeichert.

Dieser Schritt besteht darin, das Gerät aus Panorama zu entfernen und es dann wieder hinzuzufügen.
Die lokal auf dem Panorama für das Gerät gespeicherten Protokolle können gelöscht werden.

Gehen Sie hierzu wie folgt vor:

  1. auf dem Gerät, entfernen Sie das Panorama aus der Konfiguration
  2. auf dem Gerät, ausführen
  3. on the Panorama, create an authkey
    This task can be done from CLI. 
    admin@panorama> request authkey add name TAC lifetime 60 count 100

Added authkey 'TAC': '2:IST9rpegTcaBt-ZKUP4E9BeeFWnKYUbbgPoit9ptVvH0ZpU35FT-YJCiPsUz7gxhBcd5KmewMkLCC5MLwRmq2w'
  4. on the device, set the Panorama IP address and the authkey.
    Setting the authkey can be done from CLI. 
    admin@firewall> request authkey set '2:IST9rpegTcaBt-ZKUP4E9BeeFWnKYUbbgPoit9ptVvH0ZpU35FT-YJCiPsUz7gxhBcd5KmewMkLCC5MLwRmq2w'
  5. auf dem Gerät, ausführen
  6. on the device, restart the management-server 
    admin@panorama> debug software restart process management-server

Additional Information


Administratorhandbuch
Authentifizierungsschlüssel für sicheres Onboarding
Wiederherstellen der verwalteten Gerätekonnektivität zu Panorama
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008VqwCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language