Panorama aktualisiert die Firewall automatisch

Panorama aktualisiert die Firewall automatisch

3962
Created On 11/07/22 06:35 AM - Last Modified 12/27/24 09:44 AM


Symptom


  • Firewall verwaltet von Panorama
  • Die Firewall wurde vom verwaltungs- auf eine bestimmte Version heruntergestuft, die Systemprotokolle zeigen die neue Version und der Systemneustart wurde von einem „ verwaltungs- “ angefordert .

GUI: Monitor > Protokolle > System

18:59:52 high     general        general 0  System restart requested by admin
18:59:21 info     general        general 0  Installed panos software version 10.1.6-h3
  • Als die Firewall wieder mit Panorama verbunden wurde, wurde die Firewall auf eine andere PAN-OS-Version aktualisiert. Systemprotokolle zeigen, dass die neue PAN-OS-Version installiert wurde und ein Systemneustart von „ Panorama “ angefordert wurde.

GUI: Monitor > Protokolle > System

19:20:33 high     general        general 0  System restart requested by panorama
19:20:24 info     general        general 0  Installed panos software version 10.2.0
19:12:23 info     general        general 0  Connected to Panorama Server.
19:12:23 high     general        system- 1  The system is starting up.
  • Panorama Konfiguration zeigt 'to-sw-version' Feld wurde für die jeweilige Firewall ausgewählt, als es zu Panorama hinzugefügt wurde
SSH to Panorama
panorama>set cli config-output-format set
panorama>configure
panorama#show | match to-sw-version
<mgt-config><devices><entry name="fw-serial-numver"><to-sw-version>: 10.2.0


Environment


  • Panorama verwaltete Firewalls
  • PAN-OS 10.0 und höher.
  • Upgrade/Downgrade

Cause


  • Ab PAN-OS 10.0.x gibt es, wenn eine Firewall als verwaltetes Gerät zu Panorama hinzugefügt wird, die Möglichkeit, in der Spalte „ Zur SW-Version “ eine PAN-OS-Version auszuwählen. Siehe Schritt 5 von „Firewall als verwaltetes Gerät hinzufügen“.
  • Wenn dieses Feld ausgewählt ist, wird die Firewall jedes Mal, wenn sie eine Verbindung zu Panorama mit einer PAN-OS-Version herstellt, die niedriger ist als die im Feld „ Zur SW-Version“ angegebene, von Firewall automatisch auf diese bestimmte Version aktualisiert.

Resolution


This is working as expected. In case the firewall needs to be downgraded to a version lower than what is defined in Panorama, then the 'Zur SW-Version'field needs to be cleared from Panorama. There are 2 ways to do it:
  1. From the Panorama GUI
    • Melden Sie sich bei der Panorama-Benutzeroberfläche an
    • Gehen Sie zu Panorama ==> Verwaltete Geräte ==> Zusammenfassung
    • Wählen Sie die Firewall aus, die heruntergestuft werden muss
    • Klicken Sie auf „ Neu zuordnen “. Dadurch gelangen Sie zur Konfiguration der „ Gerät “.
    • Clear the 'Zur SW-Version'field and click OK
    • Klicken Sie auf „ausführen“, um die Änderungen in Panorama zu ausführen .
  2. Von der Panorama- CLI
    • Melden Sie sich bei Panorama CLI an
panorama>configure
panorama#delete mgt-config devices 'firewall serial number' to-sw-version
panorama#commit

Note : replace firewall serial number - to the actual serial number of the firewall which you want to downgrade

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kF5TCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language