1. 程式人生 > >遷移PaloAlto HA高可用防火牆到Panorama

遷移PaloAlto HA高可用防火牆到Panorama

對於有多臺PaloAlto防火牆需要統一管理的企業來說,Panorama是個不錯的選擇,利用Panorama可以做到中心化和統一管理的目的。這裡簡單給大家demo一下如何對現有的PaloAlto HA高可用防火牆遷移到Panorama上。

環境介紹:

  • Panorama:192.168.55.5

  • PA-PRIMARY:192.168.55.10

  • PA-SECONDARY:192.168.55.11


這裡demo的HA模式是Active/Standby模式,如下圖所示:

image.png

Step1(第一步):分別在兩臺HA的防火牆上禁用配置同步Disable Config Sync

image.png

在主防火牆(PA-PRIMARY)上切換到“Device(裝置)”選項卡,然後在左邊的選單欄裡選擇“High Availability(高可用性)”,預設情況“Enable Config Sync(啟用配置同步)”是勾選的。如下圖所示:

image.png

在“Setup(設定)”介面,單擊右上角的齒輪圖示,在彈出的對話方塊中取消“Enable Config Sync(啟用配置同步)”前面的√,如下圖所示:

image.png

接著,對剛剛所做的更改進行提交以便儲存配置:

image.png

在第二臺備用防火牆(PA-SECONDARY)上進行同樣的操作:

image.png

Step2(第二步):分別在兩臺防火牆上指定Panorama的管理地址:

image.png

在主防火牆(PA-PRIMARY)上切換到“Device(裝置)”選項卡,選擇左邊選單的“Setup(設定)”然後單擊“Management(管理)”選項卡,最後點選“Panorama Settings(Panorama設定)”右上角的齒輪設定按鈕:

image.png

在彈出的“Panorama Settings(Panorama設定)”對話方塊中,輸入Panorama的管理地址。這裡值得注意的是“Disable Panorama Policy and Objects”和“Disable Device and Template”兩個選項按鈕,disable表示已經啟用,也就是意味著接受來自於Panorama的這些設定:

image.png

提交變更,儲存配置:

image.png

在備用防火牆上進行上面的同樣操作並提交:

image.png

Step3(第三步):在Panorama上新增被管理的兩臺防火牆裝置

image.png

分別複製兩臺防火牆的SN號,以便在Panorama上進行新增:

image.png

在Panorama裝置上,切換到“Panorama”選項卡,按照下面的順序進行操作貼上剛剛上面複製的防火牆SN號:

image.png

同樣的操作新增第二臺備用防火牆:

image.png

對剛剛的操作進行提交儲存:

image.png

如果操作正確的話,提交變更儲存配置後就能看到下面的狀態:注意底部的“Group HA Peers”處於勾選狀態,才能顯示“HA Status”

image.png

Step4:(第四步):從兩臺HA高可用防火牆上匯入配置到Panorama

image.png

在Panorama裝置上按照下面數值編號單擊滑鼠左鍵:

image.png

選擇要匯入配置的裝置,並且根據需要對裝置和模板名字進行更改:值得留意的是,記得保持其他預設勾選的選項。

image.png

同樣的操作匯入另外一臺防火牆配置:這裡需要留意的是模板和裝置名稱先不需要和匯入第一臺防火牆裝置的保持一致,下面會講解到這個!

image.png

成功匯入兩臺防火牆的配置後,在“Template(模板)”下,就能看到模板相關資訊:

image.png

我們這裡由於不需要兩個模板(Template)和兩個裝置組(Device Group)所以下面我們刪除第二個模板:

image.png

接著進入到第一個Template(模板),勾選第二臺防火牆,然後單擊“Ok”以便把第二臺防火牆移動到同一個Template(模板):

image.png

同理在“Device Group(裝置組)”下進行同樣的操作:

image.png

提交變更,儲存配置:

image.png

Step5(第五步):匯出配置應用到防火牆裝置

image.png

做到這裡,我們在“Managed Devices(受管理裝置)”看到“Share Policy(共享策略)”和“Template(模板)”都是處於“Out of sync(非同步)”狀態:

image.png

按照下面圖片序號依次單擊滑鼠左鍵:

image.png

在彈出的對話方塊中,我們選擇把配置應用到第二臺備用防火牆(PA-SECONDARY),這樣做的目的是避免生產環境中的主防火牆受到影響:

image.png

單擊“Ok”

image.png

接著,在彈出的對話方塊中單擊“Push & Commit(推送並提交)”以便把配置檔案推到備用防火牆裝置上:

image.png

在“Commit(提交)”下來框下選擇“Push to Devices”

image.png

接著在彈出的對話方塊中選擇第一行,Localtion Type為“Device Group(裝置組)”的“PA-PRIMARY”,然後選擇“Edit Selecions(編輯選擇)”:

image.png

最後再彈出的對話方塊中,取消“PA-PRIMARY”前面的√,最後再單擊“Ok”以確認只把配置推到備用防火牆:

image.png

同樣選擇Localtion Type為“Template(模板)”下的防火牆裝置,確認只勾選了“PA-SECONDARY”第二臺備用防火牆裝置:

image.png


如果操作正確的話,將會看到“Share Policy(共享策略)”和“Template(模板)”的狀態傳送了變化:

image.png

回到活動防火牆PA-PRIMARY,暫時先對其“Suspend(掛起)”操作,以便把備用防火牆切換成主防火牆:

image.png

image.png

切換到“Dashboad”選項卡,以確保主防火牆已經掛起,備用發貨去已變成Active(活動)狀態:

image.png

按照下面的數值編號依次單擊滑鼠左鍵:

image.png

image.png

image.png

接著按照下面的數字編號依次單擊滑鼠左鍵,以便把配置推到處於掛起狀態的防火牆(PA-PRIMARY)

image.png

等待同步成功後就會看到如下圖片的狀態:

image.png

按照下面數字順序依次單擊滑鼠左鍵,以便把掛起的防火牆恢復到執行狀態:

image.png

此時可以看到防火牆已經恢復到執行狀態,但是處於“Standby(備用狀態)”:

image.png

如果想恢復PA-PRIMARY防火牆到Active(活動)狀態的話可以把PA-SECONDARY掛起,等PA-PRIMARY變成Active後再恢復PA-SECONDARY即可調換角色!


好了,到此就把HA的兩臺防火牆順利加入到Panorama,過程雖然繁瑣,但是隻要按部就班,相信大家都能學會!