對於有多臺PaloAlto防火牆需要統一管理的企業來說,Panorama是個不錯的選擇,利用Panorama可以做到中心化和統一管理的目的。這裏簡單給大家demo一下如何對現有的PaloAlto HA高可用防火牆遷移到Panorama上。
環境介紹:
Panorama:192.168.55.5
PA-PRIMARY:192.168.55.10
PA-SECONDARY:192.168.55.11
這裏demo的HA模式是Active/Standby模式,如下圖所示:
Step1(第一步):分別在兩臺HA的防火牆上禁用配置同步Disable Config Sync
在主防火牆(PA-PRIMARY)上切換到“Device(設備)”選項卡,然後在左邊的菜單欄裏選擇“High Availability(高可用性)”,默認情況“Enable Config Sync(啓用配置同步)”是勾選的。如下圖所示:
在“Setup(設置)”界面,單擊右上角的齒輪圖標,在彈出的對話框中取消“Enable Config Sync(啓用配置同步)”前面的√,如下圖所示:
接着,對剛剛所做的更改進行提交以便保存配置:
在第二臺備用防火牆(PA-SECONDARY)上進行同樣的操作:
Step2(第二步):分別在兩臺防火牆上指定Panorama的管理地址:
在主防火牆(PA-PRIMARY)上切換到“Device(設備)”選項卡,選擇左邊菜單的“Setup(設置)”然後單擊“Management(管理)”選項卡,最後點擊“Panorama Settings(Panorama設置)”右上角的齒輪設置按鈕:
在彈出的“Panorama Settings(Panorama設置)”對話框中,輸入Panorama的管理地址。這裏值得注意的是“Disable Panorama Policy and Objects”和“Disable Device and Template”兩個選項按鈕,disable表示已經啓用,也就是意味着接受來自於Panorama的這些設置:
提交變更,保存配置:
在備用防火牆上進行上面的同樣操作並提交:
Step3(第三步):在Panorama上添加被管理的兩臺防火牆設備
分別複製兩臺防火牆的SN號,以便在Panorama上進行添加:
在Panorama設備上,切換到“Panorama”選項卡,按照下面的順序進行操作粘貼剛剛上面複製的防火牆SN號:
同樣的操作添加第二臺備用防火牆:
對剛剛的操作進行提交保存:
如果操作正確的話,提交變更保存配置後就能看到下面的狀態:注意底部的“Group HA Peers”處於勾選狀態,才能顯示“HA Status”
Step4:(第四步):從兩臺HA高可用防火牆上導入配置到Panorama
在Panorama設備上按照下面數值編號單擊鼠標左鍵:
選擇要導入配置的設備,並且根據需要對設備和模板名字進行更改:值得留意的是,記得保持其他默認勾選的選項。
同樣的操作導入另外一臺防火牆配置:這裏需要留意的是模板和設備名稱先不需要和導入第一臺防火牆設備的保持一致,下面會講解到這個!
成功導入兩臺防火牆的配置後,在“Template(模板)”下,就能看到模板相關信息:
我們這裏由於不需要兩個模板(Template)和兩個設備組(Device Group)所以下面我們刪除第二個模板:
接着進入到第一個Template(模板),勾選第二臺防火牆,然後單擊“Ok”以便把第二臺防火牆移動到同一個Template(模板):
同理在“Device Group(設備組)”下進行同樣的操作:
提交變更,保存配置:
Step5(第五步):導出配置應用到防火牆設備
做到這裏,我們在“Managed Devices(受管理設備)”看到“Share Policy(共享策略)”和“Template(模板)”都是處於“Out of sync(非同步)”狀態:
按照下面圖片序號依次單擊鼠標左鍵:
在彈出的對話框中,我們選擇把配置應用到第二臺備用防火牆(PA-SECONDARY),這樣做的目的是避免生產環境中的主防火牆受到影響:
單擊“Ok”
接着,在彈出的對話框中單擊“Push & Commit(推送並提交)”以便把配置文件推到備用防火牆設備上:
在“Commit(提交)”下來框下選擇“Push to Devices”
接着在彈出的對話框中選擇第一行,Localtion Type爲“Device Group(設備組)”的“PA-PRIMARY”,然後選擇“Edit Selecions(編輯選擇)”:
最後再彈出的對話框中,取消“PA-PRIMARY”前面的√,最後再單擊“Ok”以確認只把配置推到備用防火牆:
同樣選擇Localtion Type爲“Template(模板)”下的防火牆設備,確認只勾選了“PA-SECONDARY”第二臺備用防火牆設備:
如果操作正確的話,將會看到“Share Policy(共享策略)”和“Template(模板)”的狀態發送了變化:
回到活動防火牆PA-PRIMARY,暫時先對其“Suspend(掛起)”操作,以便把備用防火牆切換成主防火牆:
切換到“Dashboad”選項卡,以確保主防火牆已經掛起,備用發貨去已變成Active(活動)狀態:
按照下面的數值編號依次單擊鼠標左鍵:
接着按照下面的數字編號依次單擊鼠標左鍵,以便把配置推到處於掛起狀態的防火牆(PA-PRIMARY)
等待同步成功後就會看到如下圖片的狀態:
按照下面數字順序依次單擊鼠標左鍵,以便把掛起的防火牆恢復到運行狀態:
此時可以看到防火牆已經恢復到運行狀態,但是處於“Standby(備用狀態)”:
如果想恢復PA-PRIMARY防火牆到Active(活動)狀態的話可以把PA-SECONDARY掛起,等PA-PRIMARY變成Active後再恢復PA-SECONDARY即可調換角色!
好了,到此就把HA的兩臺防火牆順利加入到Panorama,過程雖然繁瑣,但是隻要按部就班,相信大家都能學會!