Обновление фаерволов с помощью Panorama

Рекомендации перед обновлением от BAKOTECH

Перед обновлением любого девайса от Palo Alto Networks настоятельно рекомендуем следующее:

• Выбрать предпочитаемую версию PAN-OS.
• Перед установкой ознакомиться с изменениями версии.
• Сохранить бэкап конфигурации.

Прежде чем вы сможете обновить фаерволы с помощью Panorama, вы должны:

- Убедиться, что Panorama работает под управлением той же или более новой версии PAN-OS, до которой вы обновляете фаерволы. Вы должны обновить Panorama и ее Log Collector-ы до той же версии или выше, прежде чем обновлять управляемые фаерволы.

- Убедитесь, что версии плагинов в Panorama равны или выше версий плагинов на управляемых фаерволах.

- Убедитесь, что фаерволы подключены к надежному источнику питания. Потеря питания во время обновления может сделать девайс непригодным для использования.

Если вышеперечисленные пункты соблюдены, можно приступать к обновлению фаерволов.

Пошаговая инструкция по обновлению Software и Content  обновлений

ШАГ 1. Сохраните бэкап текущей конфигурации Панорамы.

В веб-интерфейсе Panorama выберите Panorama > Setup > Operations и нажмите Export Panorama and devices config bundle чтобы создать и экспортировать последнюю резервную копию конфигурации Panorama и каждого управляемого устройства.

ШАГ 2. Установите последние версии контент обновлений на все фаерволы, которые вы собираетесь обновить.

Во вкладке Panorama > Device Deployment > Dynamic Updates нажмите Check Now для проверки наличия последних контент обновлений. Если доступно обновление, в столбце Actions будет доступна ссылка Download для загрузки.

Перед скачиванием обновления настоятельно рекомендуем ознакомиться с изменениями. После того как вы скачали, нажмите кнопку Install, выберите фаерволы на которые вы хотите установить обновление и нажмите кнопку ОК. Если вы обновляете Фаерволы в HA, вы должны обновить контент обновления на обеих фаерволах.

ШАГ 3. (Только для фаерволов в HA) Если вы будете обновлять фаерволы, которые являются частью пары HA, отключите Preemption. Вам нужно отключить этот параметр только на одном фаерволе в каждой паре HA.

Пройдите по вкладке Device > High Availability и редактируйте настройку Election Settings.

Если включено, отключите (очистите) Preemptive настройку и нажмите ОК.

После чего нажмите Commit. Убедитесь в том, что Commit прошел успешно перед тем, как перейти к обновлению PAN-OS.

ШАГ 4. (Только для фаерволов в HA) Для начала нужно отправить девайс в режим Suspend.

(Active/Passive) Если ваши фаерволы работают в режиме Active/Passive, начинаем с Active фаервола.

(Active/Active) Если ваши фаерволы работают в режиме Active/Active, начинаем с Active-primary фаервола.

- Зайдите на Веб-интерфейс активного фаервола.

- Перейдите по вкладке Device > High Availability > Operational Commands и нажмите Suspend local device for high availability. В правом нижнем углу должен появиться статус Suspended.

- (Осторожно!) После данной процедуры ваш пассивный фаервол возьмёт на себя роль активного. Убедитесь, что ваш пассивный фаервол полностью функционирует.

ШАГ 5. Скачайте нужную вам версию PAN-OS.

- Перейдите по ссылке Panorama > Device Deployment > Software и нажмите Check Now для проверки на последние обновления PAN-OS.

(Важно!) При обновлении фаерволов с помощью Panorama, вы должны правильно выбрать файл предназначенный для вашей модели(Например:PA-VM или PA-220). Если вы одновременно обновляете несколько разных моделей, скачайте оба файла.

ШАГ 6. Установите новую PAN-OS на фаерволы.

- После скачивания нужной вам версии для определённой модели, нажмите на кнопку Install. Появится окно и система предложит выбрать фаерволы, на которые вы хотите установить обновление.

- (Только для фаерволов в HA) Каждый фаервол в кластере нужно обновлять по отдельности. Выберите тот, который на данный момент в режиме Suspended.

- (Важно!) (Только для фаерволов в HA) Убедитесь в том, что Group HA peers не выбрана. В ином случае оба фаервола начнут обновляться одновременно.

- После того как обновление было успешно установлено, система оповестит вас о том, что фаервол нужно перезагрузить. Установка обновления не будет закончена без перезагрузки девайса.

- Если вы отказались перезагружать фаервол сейчас, вы можете сделать это позже по вкладке Device > Setup > Operations и нажмите Reboot Device.

- После того, как фаервол перезагрузится, пройдите по вкладке Panorama > Managed Devices и убедитесь что девайс обновился до нужной вам версии.

ШАГ 7. (Только для фаерволов в HA) Переведите обновлённый фаервол в роль активного девайса. Так как мы выключили Preemption, фаервол все еще будет оставаться в статусе пассивного девайса.

- Перейдите по вкладке Device > High Availability > Operational Commands и нажмите Make local device functional for high availability.

- Убедитесь, что данный девайс все еще в статусе пассивного девайса.

(Только для фаерволов в HA) Проведите те же операции со вторым девайсом. После окончания обновления обоих девайсов, не забудьте обратно включить Preemtion.

После того как вы успешно установили обновление на фаервол или фаерволы, пройдите по вкладе Panorama > Managed Devices и убедитесь что все фаерволы были успешно обновлены до планированной PAN-OS версии.

Если у Вас возникнут дополнительные вопросы или трудности, просим обратиться в поддержку BAKOTECH.