Panorama에 장치 온보딩

Panorama에 장치 온보딩

2125
Created On 11/14/23 03:07 AM - Last Modified 08/06/25 03:43 AM


Objective


본 문서의 목적은 PAN-OS 디바이스 를 Panorama에 온보딩하는 과정을 문서화하는 것입니다.

Environment


  • 팬-오스
  • 파노라마 관리 장치
  • 파노라마

Procedure


PAN-OS 버전 10.1 미만을 실행하는 장치 - 레거시 모드

The on-boarding of the device is made by configuring:
  • 파노라마 측: 추가할 디바이스 의 일련 번호
  • 디바이스 측: Panorama에 참여할 IP 주소

The communication between the Panorama and the managed device is secured using the legacy certificates.
Device onboarded on PAN-OS version below 10.1

PAN-OS 버전 10.1 이상을 실행하는 장치 - sc3 모드

PAN-OS 10.1 introduced some improvement in the device registration to Panorama.
The device on-boarding is done by configuring:
  • 파노라마 측: 인증 키와 추가할 디바이스 의 일련 번호
  • 디바이스 측: Panorama에 가입하려면 인증 키와 IP 주소 합니다.
참고: PAN-OS 10.1 이전에 이미 온보딩된 디바이스 다시 온보딩되지 않습니다.

The communication between the Panorama and the managed device is secured using the sc3 certificates.

The authentication key generated on Panorama is only good during its lifetime and for a limited count.
If one of the 2 limits is meet, the authentication key cannot be used, and a new one needs to be created.

The authentication key is not saved in the configuration, so it is not synchronised over Panorama HA.
As a best practice, always do the device onboarding with the active Panorama.
Device on-boarding on PAN-OS 10.1 and above.

디바이스 에서 사용하는 온보딩 방법을 식별합니다.

Run the following command on the device 
admin@firewall> show system state | match cfg.ms.
cfg.ms.ca: 2124fdae-97a0-4dc6-81b7-e64a50fe04f4
cfg.ms.cc: 737f26c8-9d89-4c18-9cef-1bb7a20afffb

대응 반환되면(위와 같이 "cfg.ms.ca" 및 "cfg.ms.cc" 항목이 있음) PAN-OS 10.1 이상 방식에 따라 온보딩이 수행됩니다.

참고: PAN-OS 버전이 10.1 미만인 항목이 표시될 수 있는데, 이는 해당 디바이스 PAN-OS 10.1에서 다운그레이드되었음을 의미합니다. sc3 모드는 PAN-OS 10.1에서만 구현되었습니다.

레거시 모드에서 sc3 모드로 전환

이 마이그레이션은 10.1 이상의 PAN-OS에서 실행되는 레거시 모드로 온보딩된 장치에서만 가능합니다.
참고: 이동하는 동안에는 Panorama에 해당 디바이스 의 로그가 저장되지 않습니다.

이 작업은 Panorama에서 디바이스 제거한 다음 다시 추가하는 것으로 구성됩니다.
해당 디바이스 의 Panorama에 로컬로 저장된 로그가 삭제될 수 있습니다.

그렇게 하려면:

  1. 디바이스 에서 구성 에서 파노라마를 제거합니다.
  2. 디바이스 에서 commit
  3. on the Panorama, create an authkey
    This task can be done from CLI. 
    admin@panorama> request authkey add name TAC lifetime 60 count 100

Added authkey 'TAC': '2:IST9rpegTcaBt-ZKUP4E9BeeFWnKYUbbgPoit9ptVvH0ZpU35FT-YJCiPsUz7gxhBcd5KmewMkLCC5MLwRmq2w'
  4. on the device, set the Panorama IP address and the authkey.
    Setting the authkey can be done from CLI. 
    admin@firewall> request authkey set '2:IST9rpegTcaBt-ZKUP4E9BeeFWnKYUbbgPoit9ptVvH0ZpU35FT-YJCiPsUz7gxhBcd5KmewMkLCC5MLwRmq2w'
  5. 디바이스 에서 commit
  6. on the device, restart the management-server 
    admin@panorama> debug software restart process management-server

Additional Information


관리자 가이드
보안 온보딩을 위한 인증 키
Panorama에 관리되는 장치 연결 복구
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008VqwCAE&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language