Incorporación de dispositivos a Panorama

Incorporación de dispositivos a Panorama

2127
Created On 11/14/23 03:07 AM - Last Modified 08/06/25 03:43 AM


Objective


El objetivo de este artículo es documentar el proceso de incorporación de un dispositivo PAN-OS a Panorama.

Environment


  • PAN-OS
  • Dispositivos gestionados por Panorama
  • Panorama

Procedure


Dispositivo que ejecuta una versión de PAN-OS anterior a 10.1 (modo heredado)

The on-boarding of the device is made by configuring:
  • En el lado de Panorama: el número de serie del dispositivo a agregar
  • en el lado del dispositivo : la Dirección IP del Panorama al que unirse

The communication between the Panorama and the managed device is secured using the legacy certificates.
Device onboarded on PAN-OS version below 10.1

Dispositivo que ejecuta PAN-OS versión 10.1 o superior: modo sc3

PAN-OS 10.1 introduced some improvement in the device registration to Panorama.
The device on-boarding is done by configuring:
  • En el lado de Panorama: una clave de autenticación y el número de serie del dispositivo a agregar
  • En el lado del dispositivo : la clave de autenticación y la Dirección IP del Panorama al que se va a unir
Nota: un dispositivo que ya tenga instalada una versión anterior de PAN-OS 10.1 no podrá volver a instalarse.

The communication between the Panorama and the managed device is secured using the sc3 certificates.

The authentication key generated on Panorama is only good during its lifetime and for a limited count.
If one of the 2 limits is meet, the authentication key cannot be used, and a new one needs to be created.

The authentication key is not saved in the configuration, so it is not synchronised over Panorama HA.
As a best practice, always do the device onboarding with the active Panorama.
Device on-boarding on PAN-OS 10.1 and above.

Identificar el método de incorporación utilizado por el dispositivo

Run the following command on the device 
admin@firewall> show system state | match cfg.ms.
cfg.ms.ca: 2124fdae-97a0-4dc6-81b7-e64a50fe04f4
cfg.ms.cc: 737f26c8-9d89-4c18-9cef-1bb7a20afffb

Si se devuelve una respuesta (como arriba, hay una entrada "cfg.ms.ca" y "cfg.ms.cc"), la incorporación se realiza según el método PAN-OS 10.1 o superior.

Nota: es posible que se vean entradas de versiones de PAN-OS inferiores a 10.1, lo que significaría que el dispositivo ha sido degradado desde PAN-OS 10.1. El modo sc3 se ha implementado solo desde PAN-OS 10.1.

Pasar del modo heredado al modo sc3

Esta migración solo es posible para dispositivos incorporados en modo heredado que se ejecutan en PAN-OS 10.1 o superior.
Nota: no se guardarán registros en Panorama para el dispositivo durante el traslado.

Este movimiento consistirá en eliminar el dispositivo de Panorama y luego volver a agregarlo.
Es posible que se eliminen los registros almacenados localmente en Panorama para el dispositivo .

Para ello:

  1. En el dispositivo, elimine el Panorama de la configuración.
  2. En el dispositivo, compilar
  3. on the Panorama, create an authkey
    This task can be done from CLI. 
    admin@panorama> request authkey add name TAC lifetime 60 count 100

Added authkey 'TAC': '2:IST9rpegTcaBt-ZKUP4E9BeeFWnKYUbbgPoit9ptVvH0ZpU35FT-YJCiPsUz7gxhBcd5KmewMkLCC5MLwRmq2w'
  4. on the device, set the Panorama IP address and the authkey.
    Setting the authkey can be done from CLI. 
    admin@firewall> request authkey set '2:IST9rpegTcaBt-ZKUP4E9BeeFWnKYUbbgPoit9ptVvH0ZpU35FT-YJCiPsUz7gxhBcd5KmewMkLCC5MLwRmq2w'
  5. En el dispositivo, compilar
  6. on the device, restart the management-server 
    admin@panorama> debug software restart process management-server

Additional Information


Guía de administración
Clave de autenticación para una incorporación segura
Recuperar la conectividad de dispositivos administrados a Panorama
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008VqwCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language