Panorama 自动升级防火墙
3956
Created On 11/07/22 06:35 AM - Last Modified 12/27/24 09:48 AM
Symptom
- 由 Panorama 管理的防火墙
- 防火墙已被管理员用户降级到特定版本,系统日志显示新版本,并且“管理员用户”请求系统重启
GUI:监控 > 日志 > 系统
18:59:52 high general general 0 System restart requested by admin
18:59:21 info general general 0 Installed panos software version 10.1.6-h3
- 当防火墙重新连接到 Panorama 时,防火墙已升级到另一个 PAN-OS 版本。系统日志表明已安装新 PAN-OS 版本,并且“ panorama ”请求重新启动系统
GUI:监控 > 日志 > 系统
19:20:33 high general general 0 System restart requested by panorama
19:20:24 info general general 0 Installed panos software version 10.2.0
19:12:23 info general general 0 Connected to Panorama Server.
19:12:23 high general system- 1 The system is starting up.
- Panorama配置显示,在将特定防火墙添加到 Panorama 时,已为其选择了“to-sw-version”字段
SSH to Panorama
panorama>set cli config-output-format set
panorama>configure
panorama#show | match to-sw-version
<mgt-config><devices><entry name="fw-serial-numver"><to-sw-version>: 10.2.0 Environment
- Panorama 管理防火墙
- PAN-OS 10.0 及以上。
- 升级/降级
Cause
- 从 PAN-OS 10.0.x 开始,当防火墙作为托管设备添加到 Panorama 时,可以在“至 SW 版本”列中选择 PAN-OS 版本。请参阅将防火墙添加为托管设备的步骤 5。
- 如果选择了此字段,则每次当防火墙连接到 Panorama 时,如果 PAN-OS 版本低于‘至 SW 版本’字段中提到的版本,防火墙将自动由 Panorama 升级到此特定版本。
Resolution
This is working as expected. In case the firewall needs to be downgraded to a version lower than what is defined in Panorama, then the '至 SW 版本'field needs to be cleared from Panorama. There are 2 ways to do it:
- From the Panorama GUI
- 登录全景图形用户界面
- 转至 Panorama ==> 受管设备 ==> 摘要
- 选择需要降级的防火墙
- 点击‘重新关联’,这将带你进入‘设备关联’配置
- Clear the '至 SW 版本'field and click OK
- 单击“提交”以提交全景图上的更改
- 从 Panorama CLI
- 登录 Panorama CLI
panorama>configure
panorama#delete mgt-config devices 'firewall serial number' to-sw-version
panorama#commit
Note : replace firewall serial number - to the actual serial number of the firewall which you want to downgrade
Additional Information