设备加入 Panorama

设备加入 Panorama

2123
Created On 11/14/23 03:07 AM - Last Modified 08/06/25 03:43 AM


Objective


本文的目的是记录 PAN-OS设备接入 Panorama 的过程。

Environment


  • 泛操作系统
  • Panorama 管理的设备
  • 全景

Procedure


运行 PAN-OS 版本低于 10.1 的设备 - 传统模式

The on-boarding of the device is made by configuring:
  • 在 Panorama 端:要添加的设备的序列号
  • 在设备端:要加入的全景图的IP 地址

The communication between the Panorama and the managed device is secured using the legacy certificates.
Device onboarded on PAN-OS version below 10.1

运行 PAN-OS 版本 10.1 或更高版本的设备 - sc3 模式

PAN-OS 10.1 introduced some improvement in the device registration to Panorama.
The device on-boarding is done by configuring:
  • 在 Panorama 端:身份验证密钥和要添加的设备的序列号
  • 在设备端:要加入的 Panorama 的身份验证密钥和IP 地址
注意:已安装 PAN-OS 10.1 之前的版本的设备将不会重新安装。

The communication between the Panorama and the managed device is secured using the sc3 certificates.

The authentication key generated on Panorama is only good during its lifetime and for a limited count.
If one of the 2 limits is meet, the authentication key cannot be used, and a new one needs to be created.

The authentication key is not saved in the configuration, so it is not synchronised over Panorama HA.
As a best practice, always do the device onboarding with the active Panorama.
Device on-boarding on PAN-OS 10.1 and above.

确定设备使用的入职方法

Run the following command on the device 
admin@firewall> show system state | match cfg.ms.
cfg.ms.ca: 2124fdae-97a0-4dc6-81b7-e64a50fe04f4
cfg.ms.cc: 737f26c8-9d89-4c18-9cef-1bb7a20afffb

如果返回响应(如上所述,有条目“cfg.ms.ca”和“cfg.ms.cc”),则入职将按照 PAN-OS 10.1 或更高版本的方法完成。

注意:可能会看到 PAN-OS 版本低于 10.1 的条目,这意味着设备已从 PAN-OS 10.1 降级。sc3 模式仅从 PAN-OS 10.1 开始实现。

从传统模式移至 sc3 模式

此迁移仅适用于在 PAN-OS 10.1 或更高版本上运行的传统模式下的设备。
注意:移动期间,Panorama 上不会保存任何设备日志。

此举将包括从 Panorama 中移除该设备,然后再将其添加回来。
设备Panorama 本地存储的日志可能会被删除。

要做到这一点:

  1. 在设备上,从配置中删除全景图
  2. 在设备上,提交
  3. on the Panorama, create an authkey
    This task can be done from CLI. 
    admin@panorama> request authkey add name TAC lifetime 60 count 100

Added authkey 'TAC': '2:IST9rpegTcaBt-ZKUP4E9BeeFWnKYUbbgPoit9ptVvH0ZpU35FT-YJCiPsUz7gxhBcd5KmewMkLCC5MLwRmq2w'
  4. on the device, set the Panorama IP address and the authkey.
    Setting the authkey can be done from CLI. 
    admin@firewall> request authkey set '2:IST9rpegTcaBt-ZKUP4E9BeeFWnKYUbbgPoit9ptVvH0ZpU35FT-YJCiPsUz7gxhBcd5KmewMkLCC5MLwRmq2w'
  5. 在设备上,提交
  6. on the device, restart the management-server 
    admin@panorama> debug software restart process management-server

Additional Information


管理指南
安全入职认证密钥
恢复受管设备与 Panorama 的连接
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008VqwCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language