Panoramaへのデバイスオンボーディング

Panoramaへのデバイスオンボーディング

2133
Created On 11/14/23 03:07 AM - Last Modified 08/06/25 03:43 AM


Objective


この記事の目的は、PAN-OSデバイスの Panorama へのオンボーディング プロセスを文書化することです。

Environment


  • パンOS
  • Panorama 管理対象デバイス
  • パノラマ

Procedure


PAN-OS バージョン 10.1 未満を実行しているデバイス - レガシー モード

The on-boarding of the device is made by configuring:
  • Panorama側: 追加するデバイスのシリアル番号
  • デバイス側: 参加するパノラマのIPアドレス

The communication between the Panorama and the managed device is secured using the legacy certificates.
Device onboarded on PAN-OS version below 10.1

PAN-OS バージョン 10.1 以上を実行しているデバイス - sc3 モード

PAN-OS 10.1 introduced some improvement in the device registration to Panorama.
The device on-boarding is done by configuring:
  • Panorama側:追加するデバイスの認証キーとシリアル番号
  • デバイス側: 参加する Panorama の認証キーとIPアドレス
注意: PAN-OS 10.1 より前のバージョンですでにオンボードされているデバイスは再オンボードされません。

The communication between the Panorama and the managed device is secured using the sc3 certificates.

The authentication key generated on Panorama is only good during its lifetime and for a limited count.
If one of the 2 limits is meet, the authentication key cannot be used, and a new one needs to be created.

The authentication key is not saved in the configuration, so it is not synchronised over Panorama HA.
As a best practice, always do the device onboarding with the active Panorama.
Device on-boarding on PAN-OS 10.1 and above.

デバイスで使用されるオンボーディング方法を特定する

Run the following command on the device 
admin@firewall> show system state | match cfg.ms.
cfg.ms.ca: 2124fdae-97a0-4dc6-81b7-e64a50fe04f4
cfg.ms.cc: 737f26c8-9d89-4c18-9cef-1bb7a20afffb

応答が返された場合 (上記のように、エントリ「cfg.ms.ca」と「cfg.ms.cc」がある場合)、オンボーディングは PAN-OS 10.1 以降の方法に従って実行されます。

注: PAN-OS バージョンが 10.1 未満のエントリが表示される場合があります。これは、デバイスがPAN-OS 10.1 からダウングレードされたことを意味します。sc3 モードは、PAN-OS 10.1 からのみ実装されています。

レガシーモードからsc3モードに移行する

この移行は、PAN-OS 10.1 以降で実行されているレガシー モードでオンボードされたデバイスでのみ可能です。
注意: 移動中、デバイスのログは Panorama に保存されません。

この操作では、デバイスをPanorama から削除し、再度追加します。
デバイスの Panorama にローカルに保存されているログは削除される可能性があります。

これを行うには:

  1. デバイスで、設定からパノラマを削除します
  2. デバイス上でコミットする
  3. on the Panorama, create an authkey
    This task can be done from CLI. 
    admin@panorama> request authkey add name TAC lifetime 60 count 100

Added authkey 'TAC': '2:IST9rpegTcaBt-ZKUP4E9BeeFWnKYUbbgPoit9ptVvH0ZpU35FT-YJCiPsUz7gxhBcd5KmewMkLCC5MLwRmq2w'
  4. on the device, set the Panorama IP address and the authkey.
    Setting the authkey can be done from CLI. 
    admin@firewall> request authkey set '2:IST9rpegTcaBt-ZKUP4E9BeeFWnKYUbbgPoit9ptVvH0ZpU35FT-YJCiPsUz7gxhBcd5KmewMkLCC5MLwRmq2w'
  5. デバイス上でコミットする
  6. on the device, restart the management-server 
    admin@panorama> debug software restart process management-server

Additional Information


管理者ガイド
安全なオンボーディングのための認証キー
管理対象デバイスの Panorama への接続を回復する
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008VqwCAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language