Panorama met automatiquement à niveau le pare-feu

Panorama met automatiquement à niveau le pare-feu

3962
Created On 11/07/22 06:35 AM - Last Modified 12/27/24 09:44 AM


Symptom


  • Pare-feu géré par Panorama
  • Le pare-feu a été rétrogradé vers une version spécifique par l' utilisateur admin , les journaux système affichent la nouvelle version et le redémarrage du système demandé par un « utilisateur admin »

Interface utilisateur graphique : Surveiller > Journaux > Système

18:59:52 high     general        general 0  System restart requested by admin
18:59:21 info     general        general 0  Installed panos software version 10.1.6-h3
  • Lorsque le pare-feu s'est reconnecté à Panorama, le pare-feu a été mis à niveau vers une autre version de PAN-OS. Les journaux système indiquent que la nouvelle version de PAN-OS a été installée et qu'un redémarrage du système a été demandé par « panorama »

Interface utilisateur graphique : Surveiller > Journaux > Système

19:20:33 high     general        general 0  System restart requested by panorama
19:20:24 info     general        general 0  Installed panos software version 10.2.0
19:12:23 info     general        general 0  Connected to Panorama Server.
19:12:23 high     general        system- 1  The system is starting up.
  • La configuration de Panorama indique que le champ « to-sw-version » a été sélectionné pour le pare-feu spécifique lorsqu'il a été ajouté à Panorama
SSH to Panorama
panorama>set cli config-output-format set
panorama>configure
panorama#show | match to-sw-version
<mgt-config><devices><entry name="fw-serial-numver"><to-sw-version>: 10.2.0


Environment


  • Pare-feu gérés par Panorama
  • PAN-OS 10.0 et supérieur.
  • Mise à niveau/rétrogradation

Cause


  • À partir de PAN-OS 10.0.x, lorsqu'un pare-feu est ajouté à Panorama en tant que appareil géré, une option permet de sélectionner une version de PAN-OS dans la colonne « Vers la version SW ». Reportez-vous à l'étape 5 de Ajouter un pare-feu en tant que périphérique géré.
  • Si ce champ est sélectionné, chaque fois que le pare-feu se connecte à Panorama avec une version PAN-OS inférieure à celle mentionnée dans le champ « Vers la version SW » , le pare-feu sera automatiquement mis à niveau vers cette version spécifique par Panorama.

Resolution


This is working as expected. In case the firewall needs to be downgraded to a version lower than what is defined in Panorama, then the 'Vers la version SWfield needs to be cleared from Panorama. There are 2 ways to do it:
  1. From the Panorama GUI
    • Connectez-vous à l'interface graphique de Panorama
    • Accéder à Panorama ==> Appareils gérés ==> Résumé
    • Sélectionnez le pare-feu qui doit être rétrogradé
    • Cliquez sur « réassocier », cela vous amènera à la configuration « association de appareil »
    • Clear the 'Vers la version SWfield and click OK
    • Cliquez sur « valider» pour valider les modifications sur Panorama
  2. Depuis l' CLI Panorama
    • Connectez-vous à Panorama CLI
panorama>configure
panorama#delete mgt-config devices 'firewall serial number' to-sw-version
panorama#commit

Note : replace firewall serial number - to the actual serial number of the firewall which you want to downgrade

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kF5TCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language