Intégration de l'appareil à Panorama

Intégration de l'appareil à Panorama

2139
Created On 11/14/23 03:07 AM - Last Modified 08/06/25 03:43 AM


Objective


L’objectif de cet article est de documenter le processus d’intégration d’un appareil PAN-OS sur Panorama.

Environment


  • PAN-OS
  • Appareils gérés par Panorama
  • Panorama

Procedure


Appareil exécutant une version PAN-OS inférieure à 10.1 - mode hérité

The on-boarding of the device is made by configuring:
  • côté Panorama : le numéro de série de l' appareil à ajouter
  • côté appareil : l' adresse IP du Panorama à rejoindre

The communication between the Panorama and the managed device is secured using the legacy certificates.
Device onboarded on PAN-OS version below 10.1

Appareil exécutant PAN-OS version 10.1 ou supérieure - mode sc3

PAN-OS 10.1 introduced some improvement in the device registration to Panorama.
The device on-boarding is done by configuring:
  • côté Panorama : une clé d'authentification et le numéro de série de l' appareil à ajouter
  • côté appareil : la clé d'authentification et adresse IP du Panorama à rejoindre
Remarque : un appareil déjà intégré à PAN-OS 10.1 avant celui-ci ne sera pas réintégré.

The communication between the Panorama and the managed device is secured using the sc3 certificates.

The authentication key generated on Panorama is only good during its lifetime and for a limited count.
If one of the 2 limits is meet, the authentication key cannot be used, and a new one needs to be created.

The authentication key is not saved in the configuration, so it is not synchronised over Panorama HA.
As a best practice, always do the device onboarding with the active Panorama.
Device on-boarding on PAN-OS 10.1 and above.

Identifier la méthode d'intégration utilisée par l' appareil

Run the following command on the device 
admin@firewall> show system state | match cfg.ms.
cfg.ms.ca: 2124fdae-97a0-4dc6-81b7-e64a50fe04f4
cfg.ms.cc: 737f26c8-9d89-4c18-9cef-1bb7a20afffb

Si une réponse est renvoyée (comme ci-dessus, il y a une entrée « cfg.ms.ca » et « cfg.ms.cc »), l'intégration est effectuée conformément à la méthode PAN-OS 10.1 ou supérieure.

Remarque : il peut être possible de voir ces entrées de version PAN-OS inférieure à 10.1, ce qui signifie que l' appareil a été rétrogradé à partir de PAN-OS 10.1. Le mode sc3 a été implémenté uniquement à partir de PAN-OS 10.1.

Passer du mode hérité au mode sc3

Cette migration n'est possible que pour les appareils intégrés en mode hérité fonctionnant sur PAN-OS 10.1 ou supérieur.
Remarque : aucun journal ne sera enregistré sur Panorama pour l' appareil pendant le déplacement.

Cette opération consistera à retirer l' appareil de Panorama, puis à le rajouter.
Les journaux stockés localement sur le Panorama pour l' appareil peuvent être supprimés.

Pour ce faire :

  1. sur l' appareil, supprimez le Panorama de la configuration
  2. sur l' appareil, valider
  3. on the Panorama, create an authkey
    This task can be done from CLI. 
    admin@panorama> request authkey add name TAC lifetime 60 count 100

Added authkey 'TAC': '2:IST9rpegTcaBt-ZKUP4E9BeeFWnKYUbbgPoit9ptVvH0ZpU35FT-YJCiPsUz7gxhBcd5KmewMkLCC5MLwRmq2w'
  4. on the device, set the Panorama IP address and the authkey.
    Setting the authkey can be done from CLI. 
    admin@firewall> request authkey set '2:IST9rpegTcaBt-ZKUP4E9BeeFWnKYUbbgPoit9ptVvH0ZpU35FT-YJCiPsUz7gxhBcd5KmewMkLCC5MLwRmq2w'
  5. sur l' appareil, valider
  6. on the device, restart the management-server 
    admin@panorama> debug software restart process management-server

Additional Information


Guide d'administration
Clé d'authentification pour une intégration sécurisée
Récupérer la connectivité des appareils gérés vers Panorama
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008VqwCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language