对于有多台PaloAlto防火墙需要统一管理的企业来说,Panorama是个不错的选择,利用Panorama可以做到中心化和统一管理的目的。这里简单给大家demo一下如何对现有的PaloAlto HA高可用防火墙迁移到Panorama上。
环境介绍:
这里demo的HA模式是Active/Standby模式,如下图所示:
![image.png]( "1542953485622336.png")
Step1(第一步):分别在两台HA的防火墙上禁用配置同步Disable Config Sync
![image.png]( "1542953614870429.png")
在主防火墙(PA-PRIMARY)上切换到“Device(设备)”选项卡,然后在左边的菜单栏里选择“High Availability(高可用性)”,默认情况“Enable Config Sync(启用配置同步)”是勾选的。如下图所示:
![image.png]( "1542953884681051.png")
在“Setup(设置)”界面,单击右上角的齿轮图标,在弹出的对话框中取消“Enable Config Sync(启用配置同步)”前面的√,如下图所示:
![image.png]( "1542954012567105.png")
接着,对刚刚所做的更改进行提交以便保存配置:
![image.png]( "1542954217434581.png")
在第二台备用防火墙(PA-SECONDARY)上进行同样的操作:
![image.png]( "1542954299100243.png")
Step2(第二步):分别在两台防火墙上指定Panorama的管理地址:
![image.png]( "1542954443365325.png")
在主防火墙(PA-PRIMARY)上切换到“Device(设备)”选项卡,选择左边菜单的“Setup(设置)”然后单击“Management(管理)”选项卡,最后点击“Panorama Settings(Panorama设置)”右上角的齿轮设置按钮:
![image.png]( "1542954716954184.png")
在弹出的“Panorama Settings(Panorama设置)”对话框中,输入Panorama的管理地址。这里值得注意的是“Disable Panorama Policy and Objects”和“Disable Device and Template”两个选项按钮,disable表示已经启用,也就是意味着接受来自于Panorama的这些设置:
![image.png]( "1542954978511911.png")
提交变更,保存配置:
![image.png]( "1542956142904364.png")
在备用防火墙上进行上面的同样操作并提交:
![image.png]( "1542956399574701.png")
Step3(第三步):在Panorama上添加被管理的两台防火墙设备
![image.png]( "1542956468611287.png")
分别复制两台防火墙的SN号,以便在Panorama上进行添加:
![image.png]( "1542956549480619.png")
在Panorama设备上,切换到“Panorama”选项卡,按照下面的顺序进行操作粘贴刚刚上面复制的防火墙SN号:
![image.png]( "1542956694458000.png")
同样的操作添加第二台备用防火墙:
![image.png]( "1542956990873859.png")
对刚刚的操作进行提交保存:
![image.png]( "1542957044818029.png")
如果操作正确的话,提交变更保存配置后就能看到下面的状态:注意底部的“Group HA Peers”处于勾选状态,才能显示“HA Status”
![image.png]( "1542957184961958.png")
Step4:(第四步):从两台HA高可用防火墙上导入配置到Panorama
![image.png]( "1542957296475634.png")
在Panorama设备上按照下面数值编号单击鼠标左键:
![image.png]( "1542957402864410.png")
选择要导入配置的设备,并且根据需要对设备和模板名字进行更改:值得留意的是,记得保持其他默认勾选的选项。
![image.png]( "1542958332158714.png")
同样的操作导入另外一台防火墙配置:这里需要留意的是模板和设备名称先不需要和导入第一台防火墙设备的保持一致,下面会讲解到这个!
![image.png]( "1542958604786372.png")
成功导入两台防火墙的配置后,在“Template(模板)”下,就能看到模板相关信息:
![image.png]( "1542958718791587.png")
我们这里由于不需要两个模板(Template)和两个设备组(Device Group)所以下面我们删除第二个模板:
![image.png]( "1542958828802851.png")
接着进入到第一个Template(模板),勾选第二台防火墙,然后单击“Ok”以便把第二台防火墙移动到同一个Template(模板):
![image.png]( "1542958963418063.png")
同理在“Device Group(设备组)”下进行同样的操作:
![image.png]( "1542959033227366.png")
提交变更,保存配置:
![image.png]( "1542959068221933.png")
Step5(第五步):导出配置应用到防火墙设备
![image.png]( "1542959126990739.png")
做到这里,我们在“Managed Devices(受管理设备)”看到“Share Policy(共享策略)”和“Template(模板)”都是处于“Out of sync(非同步)”状态:
![image.png]( "1542959354661555.png")
按照下面图片序号依次单击鼠标左键:
![image.png]( "1542959462668791.png")
在弹出的对话框中,我们选择把配置应用到第二台备用防火墙(PA-SECONDARY),这样做的目的是避免生产环境中的主防火墙受到影响:
![image.png]( "1542959551537563.png")
单击“Ok”
![image.png]( "1542959585831161.png")
接着,在弹出的对话框中单击“Push & Commit(推送并提交)”以便把配置文件推到备用防火墙设备上:
![image.png]( "1542959666610230.png")
在“Commit(提交)”下来框下选择“Push to Devices”
![image.png]( "1542959740885657.png")
接着在弹出的对话框中选择第一行,Localtion Type为“Device Group(设备组)”的“PA-PRIMARY”,然后选择“Edit Selecions(编辑选择)”:
![image.png]( "1542959955942313.png")
最后再弹出的对话框中,取消“PA-PRIMARY”前面的√,最后再单击“Ok”以确认只把配置推到备用防火墙:
![image.png]( "1542960052989897.png")
同样选择Localtion Type为“Template(模板)”下的防火墙设备,确认只勾选了“PA-SECONDARY”第二台备用防火墙设备:
![image.png]( "1542960303355961.png")
如果操作正确的话,将会看到“Share Policy(共享策略)”和“Template(模板)”的状态发送了变化:
![image.png]( "1542960443333438.png")
回到活动防火墙PA-PRIMARY,暂时先对其“Suspend(挂起)”操作,以便把备用防火墙切换成主防火墙:
![image.png]( "1542960591335506.png")
![image.png]( "1542960745166323.png")
切换到“Dashboad”选项卡,以确保主防火墙已经挂起,备用发货去已变成Active(活动)状态:
![image.png]( "1542960883591979.png")
按照下面的数值编号依次单击鼠标左键:
![image.png]( "1542960976512742.png")
![image.png]( "1542961022397597.png")
![image.png]( "1542961043218821.png")
接着按照下面的数字编号依次单击鼠标左键,以便把配置推到处于挂起状态的防火墙(PA-PRIMARY)
![image.png]( "1542961202186226.png")
等待同步成功后就会看到如下图片的状态:
![image.png]( "1542961250833016.png")
按照下面数字顺序依次单击鼠标左键,以便把挂起的防火墙恢复到运行状态:
![image.png]( "1542961356905959.png")
此时可以看到防火墙已经恢复到运行状态,但是处于“Standby(备用状态)”:
![image.png]( "1542961484559169.png")
如果想恢复PA-PRIMARY防火墙到Active(活动)状态的话可以把PA-SECONDARY挂起,等PA-PRIMARY变成Active后再恢复PA-SECONDARY即可调换角色!
好了,到此就把HA的两台防火墙顺利加入到Panorama,过程虽然繁琐,但是只要按部就班,相信大家都能学会!
