对于有多台PaloAlto防火墙需要统一管理的企业来说,Panorama是个不错的选择,利用Panorama可以做到中心化和统一管理的目的。这里简单给大家demo一下如何对现有的PaloAlto HA高可用防火墙迁移到Panorama上。
Panorama:192.168.55.5
PA-PRIMARY:192.168.55.10
PA-SECONDARY:192.168.55.11
这里demo的HA模式是Active/Standby模式,如下图所示:
在主防火墙(PA-PRIMARY)上切换到“Device(设备)”选项卡,然后在左边的菜单栏里选择“High Availability(高可用性)”,默认情况“Enable Config Sync(启用配置同步)”是勾选的。如下图所示:
在“Setup(设置)”界面,单击右上角的齿轮图标,在弹出的对话框中取消“Enable Config Sync(启用配置同步)”前面的√,如下图所示:
接着,对刚刚所做的更改进行提交以便保存配置:
在第二台备用防火墙(PA-SECONDARY)上进行同样的操作:
在主防火墙(PA-PRIMARY)上切换到“Device(设备)”选项卡,选择左边菜单的“Setup(设置)”然后单击“Management(管理)”选项卡,最后点击“Panorama Settings(Panorama设置)”右上角的齿轮设置按钮:
在弹出的“Panorama Settings(Panorama设置)”对话框中,输入Panorama的管理地址。这里值得注意的是“Disable Panorama Policy and Objects”和“Disable Device and Template”两个选项按钮,disable表示已经启用,也就是意味着接受来自于Panorama的这些设置:
提交变更,保存配置:
在备用防火墙上进行上面的同样操作并提交:
分别复制两台防火墙的SN号,以便在Panorama上进行添加:
在Panorama设备上,切换到“Panorama”选项卡,按照下面的顺序进行操作粘贴刚刚上面复制的防火墙SN号:
同样的操作添加第二台备用防火墙:
对刚刚的操作进行提交保存:
如果操作正确的话,提交变更保存配置后就能看到下面的状态:注意底部的“Group HA Peers”处于勾选状态,才能显示“HA Status”
在Panorama设备上按照下面数值编号单击鼠标左键:
