遷移PaloAlto HA高可用防火墻到Panorama

對于有多臺PaloAlto防火墻需要統一管理的企業來說，Panorama是個不錯的選擇，利用Panorama可以做到中心化和統一管理的目的。這里簡單給大家demo一下如何對現有的PaloAlto HA高可用防火墻遷移到Panorama上。

環境介紹：

• Panorama:192.168.55.5

• PA-PRIMARY:192.168.55.10

• PA-SECONDARY:192.168.55.11

• 
  

這里demo的HA模式是Active/Standby模式，如下圖所示：

Step1（第一步）：分別在兩臺HA的防火墻上禁用配置同步Disable Config Sync

在主防火墻（PA-PRIMARY）上切換到“Device（設備）”選項卡，然后在左邊的菜單欄里選擇“High Availability（高可用性）”，默認情況“Enable Config Sync（啟用配置同步）”是勾選的。如下圖所示：

在“Setup（設置）”界面，單擊右上角的齒輪圖標，在彈出的對話框中取消“Enable Config Sync（啟用配置同步）”前面的√，如下圖所示：

接著，對剛剛所做的更改進行提交以便保存配置：

在第二臺備用防火墻(PA-SECONDARY)上進行同樣的操作：

Step2(第二步)：分別在兩臺防火墻上指定Panorama的管理地址：

在主防火墻（PA-PRIMARY）上切換到“Device（設備）”選項卡，選擇左邊菜單的“Setup（設置）”然后單擊“Management（管理）”選項卡，最后點擊“Panorama Settings（Panorama設置）”右上角的齒輪設置按鈕：

在彈出的“Panorama Settings（Panorama設置）”對話框中，輸入Panorama的管理地址。這里值得注意的是“Disable Panorama Policy and Objects”和“Disable Device and Template”兩個選項按鈕，disable表示已經啟用，也就是意味著接受來自于Panorama的這些設置：

提交變更，保存配置：

在備用防火墻上進行上面的同樣操作并提交：

Step3（第三步）：在Panorama上添加被管理的兩臺防火墻設備

分別復制兩臺防火墻的SN號，以便在Panorama上進行添加：

在Panorama設備上，切換到“Panorama”選項卡，按照下面的順序進行操作粘貼剛剛上面復制的防火墻SN號：

同樣的操作添加第二臺備用防火墻：

對剛剛的操作進行提交保存：

如果操作正確的話，提交變更保存配置后就能看到下面的狀態：注意底部的“Group HA Peers”處于勾選狀態，才能顯示“HA Status”

Step4:（第四步）：從兩臺HA高可用防火墻上導入配置到Panorama

在Panorama設備上按照下面數值編號單擊鼠標左鍵：

選擇要導入配置的設備，并且根據需要對設備和模板名字進行更改：值得留意的是，記得保持其他默認勾選的選項。

同樣的操作導入另外一臺防火墻配置：這里需要留意的是模板和設備名稱先不需要和導入第一臺防火墻設備的保持一致，下面會講解到這個！

成功導入兩臺防火墻的配置后，在“Template（模板）”下，就能看到模板相關信息：

我們這里由于不需要兩個模板（Template）和兩個設備組（Device Group）所以下面我們刪除第二個模板：

接著進入到第一個Template（模板），勾選第二臺防火墻，然后單擊“Ok”以便把第二臺防火墻移動到同一個Template（模板）：

同理在“Device Group（設備組）”下進行同樣的操作：

提交變更，保存配置：

Step5（第五步）：導出配置應用到防火墻設備

做到這里，我們在“Managed Devices（受管理設備）”看到“Share Policy（共享策略）”和“Template（模板）”都是處于“Out of sync（非同步）”狀態：

按照下面圖片序號依次單擊鼠標左鍵：

在彈出的對話框中，我們選擇把配置應用到第二臺備用防火墻（PA-SECONDARY）,這樣做的目的是避免生產環境中的主防火墻受到影響：

單擊“Ok”

接著，在彈出的對話框中單擊“Push & Commit（推送并提交）”以便把配置文件推到備用防火墻設備上：

在“Commit（提交）”下來框下選擇“Push to Devices”

接著在彈出的對話框中選擇第一行，Localtion Type為“Device Group（設備組）”的“PA-PRIMARY”,然后選擇“Edit Selecions（編輯選擇）”：

最后再彈出的對話框中，取消“PA-PRIMARY”前面的√，最后再單擊“Ok”以確認只把配置推到備用防火墻：

同樣選擇Localtion Type為“Template（模板）”下的防火墻設備，確認只勾選了“PA-SECONDARY”第二臺備用防火墻設備：

如果操作正確的話，將會看到“Share Policy（共享策略）”和“Template（模板）”的狀態發送了變化：

回到活動防火墻PA-PRIMARY,暫時先對其“Suspend（掛起）”操作，以便把備用防火墻切換成主防火墻：

切換到“Dashboad”選項卡，以確保主防火墻已經掛起，備用發貨去已變成Active（活動）狀態：

按照下面的數值編號依次單擊鼠標左鍵：

接著按照下面的數字編號依次單擊鼠標左鍵，以便把配置推到處于掛起狀態的防火墻（PA-PRIMARY）

等待同步成功后就會看到如下圖片的狀態：

按照下面數字順序依次單擊鼠標左鍵，以便把掛起的防火墻恢復到運行狀態：

此時可以看到防火墻已經恢復到運行狀態，但是處于“Standby（備用狀態）”：

如果想恢復PA-PRIMARY防火墻到Active（活動）狀態的話可以把PA-SECONDARY掛起，等PA-PRIMARY變成Active后再恢復PA-SECONDARY即可調換角色！

好了，到此就把HA的兩臺防火墻順利加入到Panorama，過程雖然繁瑣，但是只要按部就班，相信大家都能學會！