Skip to main content

Обновление PAN-OS на HA-паре Active/Passive

Rovshan Rajabli
Updated

Обеспечение безопасности сети является одним из ключевых аспектов современной информационной инфраструктуры. Palo Alto Networks предоставляет мощные фаерволы, такие, как устройства с операционной системой PAN-OS. Обновление этой операционной системы в среде с высокой доступностью (HA) Active/Passive требует специфических шагов, чтобы минимизировать простои и обеспечить непрерывную безопасность. В данной статье мы рассмотрим пошаговое обновление PAN-OS на HA-паре Active/Passive.

 

Для примера рассмотрим два фаервола на 10.0.3 PAN-OS версиях, которые мы будем обновлять до 10.0.11.

Так же, для удобства, мы задаём значения: 

Active node : 192.168.0.100

Passive node : 192.168.0.101

 

Шаг 1: Создание резервной копии

Прежде чем начать процесс обновления, обязательно создайте резервную копию текущей конфигурации и настроек. В случае возникновения проблем вы сможете быстро восстановить работоспособность системы.

1.1 Перейдя по Device->Setup->Operations выбираем Save named configuration snapshot, что позволит в следующем шаге выгрузить конфигурационный файл:

1.2 Сохранив конфигурационный файл выбираем Export Named configuration snapshot

 

1.3 Выберите XML-файл, содержащий сохранённую конфигурацию (в нашем примере  running-config.xml), и нажмите OK, чтобы экспортировать файл конфигурации.

 

Шаг 2: Планирование времени обновления

Выберите время обновления, которое наименее влияет на нормальную работу бизнес-процессов. Наши рекомендации проводить данные действия в не рабочее время, а так же в ночное время. Мы должны убедиться, что в это время плановые простои будут минимальными.

 

Шаг 3: Проверка совместимости

Перед обновлением убедитесь, что версия PAN-OS, на которую вы собираетесь перейти, совместима с вашими устройствами и приложениями. Перейдя по гиперссылке вы можете ознакомиться с данной информацией: Palo Alto Networks Next-Generation Firewalls.

Так же в этом шаге нам нужно будет загрузить последние динамические обновления на обеих нодах (Active\Passive): 

Шаг 4: Отключение Preemptive.

  1. Зайдите в веб-интерфейс устройства, выберите "Device" (Устройство) и "High Availability" (Высокая доступность).

  2. Перейдя по Device->High Availability->Electin Settings отключаем Preemptive

Отключение данного функционала позволит нам не столкнуться с проблемами выбора приоритета между фаерволами после перезагрузки одной из нод. 

Device Priority - данный функционал является обязательным в HA коммуникации.

Фаервол с меньшим значением в Device Priority является Active нодой, с большим же значением Passive нодой. 

Preemptive  отвечает за автоматический переход  нод в Active\Passive. Автоматический переход Active\Passive всегда будет зависеть от значений в Device Priority с включённым Preemptive.

Шаг 5: Перевод Active ноды в режим suspend.

 

5.1 Переводим текущую Active-ноду (192.168.0.100) в режим Suspend.

Для этого переходим Device->High Availability->Operational Commands->Suspend local device for high availability

5.2 После этого, наша Active нода перейдёт в режим Suspend весь наш трафик перейдёт на Passive-ноду (192.168.0.101)

Сделав данный шаг, наша Passive нода (192.168.0.101) перейдёт в Active режим.

Проверив работоспособность уже Passive ноды в режиме Active, переходим к шагу 6.

Шаг 6: Загрузка и установка новой версии PAN-OS

Изменения и все действия в данном шаге будут проходить на Active ноде(192.168.0.100), которую мы перевели в режим Suspend.

  1. Перейдите в раздел "Device" (Устройство) и выберите "Software" (Программное обеспечение).

  2. Загрузите новую версию PAN-OS, следуя инструкциям производителя.

Начните установку новой версии на фаерволе в режиме Suspend (192.168.0.100), той ноде которую в шаге 5 мы перевели в режим Suspend.

Шаг 7: Проверка работоспособности

  1. После завершения установки, система попросит нас произвести перезагрузку фаеврвола. 

  2. После перезагрузки наш фаервол в режиме Suspend (192.168.0.100) перейдёт в режим Passive, так как выше говорилось о Preemtion
  3. В итоге, после обновления одной ноды, мы получили следующее:

Passive node : (192.168.0.100)

Active node : (192.168.0.101)

Повторяем данные действия на уже Active ноде (192.168.0.101).

Шаг 8 Тестирование

Проведите тесты для проверки безопасности и производительности. Удостоверьтесь, что все службы и политики работают корректно.

Шаг 9: Мониторинг и поддержка

Следите за работоспособностью системы в течение некоторого времени после обновления. В случае возникновения проблем, обращайтесь к технической поддержке Palo Alto Networks.

Следуя этим шагам, вы сможете успешно обновить PAN-OS на вашей HA-паре Active/Passive, обеспечив непрерывную работу и поддержание высокого уровня безопасности в вашей сети.

 

 

При возникновении каких либо трудностей вы можете обратиться к нам https://panwsupport.bakotech.com  и мы рады будем вам помочь в решении вашей проблемы.

 

Best Regards, Bakotech Team. Thank you for choosing us.

Related articles

Comments

0 comments

Please sign in to leave a comment.

Powered by Zendesk