PaloaltoPA220のファームアップとかダウンとか
Paloaltoに関する記事をいくつか書いていますが、Link先で幾つか書いていますので、ご参考になればと思います。
はじめに
よく書いている内容ですが、「はじめに」は書くようにしています。正気なところ「Upgrade an HA Firewall Pair」を書けたことが良かったことかなと考えています。
よく考えていることは、こういう記事があるといつか読みたくなるなという内容を書いたり、この記事とこの記事がつなげると幅が出ると考えてようにしています。
直近のネタ
■PaloaltoPA220とかPAN-VMの基本操作
■PANOSをeve-ng/GNS3にdeployしてみた
■【Google経営陣によるセキュリティ企業】PaloAltoNetworksのミッションや企業について!
■SCPでPANOSをダウンロードを試みる
結論を先に述べますが、SCPのアドレスを設定した際に、「is invalid profile-name.Current target-vsys is none」というメッセージが表示され、vsysを設定しようとしても、vsys対応のPAシリーズ機器が有りませんでした。
Device→Software 以下、画面イメージ
対象OSを選択して「ダウンロード」をクリックする。以下、画面イメージ
必要なダウンロード、ソフトウェアを次のSCPにダウンロードしますか?と聞かれます。
今回のラボ環境では、「192.168.11.4」にSSHサーバを立てたため対象のIPアドレスを入力します。
「is invalid profile-name.Current target-vsys is none」のテキストボックス表示有り
■Configure Virtual Systems
■Vsysを作成するために必要なこと
1.スーパーユーザの管理ロール(A superuser administrative role.)
2.インターフェイスの設定
3.プ ラ ッ ト フ ォームでサポー ト さ れ る 仮想シ ス テ ムの基本数を超え る数の仮想シ ス テ ム を作成す る 場合は、 仮想シ ス テ ム ラ イ セ ン ス。プラットフォームのサポートと仮想システムのライセンス」を参照してください。
■Creating a virtual system requires that you have the following:
1.A superuser administrative role.
2.An interface configured.
3.A Virtual Systems license if you are creating more than the base number of virtual systems supported on the platform. See Platform Support and Licensing for Virtual Systems.
Vsysのプラットフォームについて確認しましたが以下になります。
Platform Support and Licensing for Virtual Systems.
日本語訳
仮想システムは、PA-3200 シリーズ、PA-5200 シリーズ、および PA-7000 シリーズのファイアウォールでサポートされています。各ファイアウォール シリーズは、基本数の仮想システムをサポートします。PA-3200シリーズファイアウォールで複数の仮想システムをサポートし、プラットフォームでサポートされる仮想システムの基本数以上の仮想システムを作成するには、Virtual Systemsライセンスが必要です。ライセンスについては、サブスクリプションを参照してください。サポートされる仮想システムの基本数および最大数については、Compare Firewalls ツールを参照してください。
PA-220、PA-800 シリーズ、VM-Series ファイアウォールでは、複数の仮想システムはサポートされていません。
原文
Virtual systems are supported on PA-3200 Series, PA-5200 Series, and PA-7000 Series firewalls. Each firewall series supports a base number of virtual systems; the number varies by platform. A Virtual Systems license is required to support multiple virtual systems on PA-3200 Series firewalls, and to create more than the base number of virtual systems supported on a platform.
For license information, see Subscriptions. For the base and maximum number of virtual systems supported, see Compare Firewalls tool.
Multiple virtual systems are not supported on the PA-220, PA-800 Series, or VM-Series firewalls.
■SCPでconfigをダウンロードできるか?
結果:configのダウンロードはできました。「 scp export」コマンドで何ができるかの確認のために行いました。「hogehoge」と「<password入力>」以外はLab環境のアドレス体系そのままで行っています。
admin@PA-220> scp export configuration from running-config.xml to masahiro@192.168.11.4:c:/
The authenticity of host '192.168.11.4 (192.168.11.4)' can't be established.
ECDSA key fingerprint is SHA256:Bft2x66K0KQJ3KAADSFX7GOJuCnmjfZxa3Wy9ITMrOo.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.11.4' (ECDSA) to the list of known hosts.
hogehoge@192.168.11.4's password:<password入力>
running-config.xml 100% 15KB 743.0KB/s 00:00
admin@PA-220>
※「The authenticity of host '192.168.11.4 (192.168.11.4)' can't be established.」が表示されるのはSSHで1回目の接続の時のみ
scpでexportできる内容は以下の内容でした。
admin@PA-220> scp export
application-block-page __Use scp to export application block comfort page
application-pcap__ Use scp to export application packet capture
captive-portal-text__ Use scp to export captive portal text
certificate__ Use scp to export X.509 certificate
configuration__ Use scp to export configuration
core-file__ Use scp to export core-file
crl__ Use scp to export crl.tgz
debug-pcap__ Use scp to export packet capture generated for purpose of debuggingdaemons
device-state__ Use scp to export device-state
device-telemetry__ Use scp to export device-telemetry collect-now
dnsproxy__ Use tftp to export dnsproxy file
file-block-continue-page__ Use scp to export file block comfort page
file-block-page__ Use scp to export file block comfort page
filter-pcap__ Use scp to export filter packet capture
global-protect-portal-custom-help-page __ Use scp to export global protect help page
global-protect-portal-custom-home-page__ Use scp to export GlobalProtect portal custom home page
global-protect-portal-custom-login-page__ Use scp to export global protect login page
global-protect-portal-custom-welcome-page__ Use scp to export global protect welcome page
high-availability-key__ Use scp to export high-availability peer encryption key
ike-config-file__ Use scp to export IKE configuration file
inbound-proxy-key__ Use scp to export inbound proxy key
license-token-file__ Use scp to export deactivate license token file
log__ Use scp to export log in csv format
log-file__ Use scp to export log-file
logdb__ Use scp to export logdb
mfa-login-page__ Use scp to export MFA login page
mgmt-pcap__ Use scp to export packet capture from management interface
pan-url-db__ Use scp to export pan url database
pdf-reports__ Use scp to export PDF reports
pprof-file__ Use scp to export pprof-file
ssl-cert-status-page__ Use scp to export SSL cert status page
ssl-optout-text__ Use scp to export ssl optout text
stats-dump__ Use scp to export AVR report data (default is last 7 days)
tech-support__ Use scp to export tech support info
telemetry-data__ Use scp to export sent telemetry data
threat-pcap__ Use scp to export threat packet capture
ui-translation-mapping__ Use scp to export UI translation mapping
url-block-page__ Use scp to export url block comfort page
url-coach-text Use scp to export url coach text
virus-block-page__ Use scp to export virus block comfort page
web-interface-certificate__ Use scp to export web-interface-certificate
admin@PA-220> scp export
■PAN-OS 10.2の問題と解決済み内容のURL
下記URLに10.2系OSの「Known and Addressed Issues」について記載されています。
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-release-notes/pan-os-10-2-0-known-and-addressed-issues
「Known and Addressed Issues」ですが、日本語では「既知の問題と対処された問題」という意味です。
■PAN-OS 10.2へのバージョンアップ
下記URLサイトを調べる必要あり
PAN-OS Upgrade Guide(PANOS 10.2 の場合)
■Downgrade a Firewall to a Previous Feature Release(英語)
PAN-OSダウンレードガイド
・ファイアウォールを以前の機能リリースにダウングレードする
次のワークフローを使用して、異なる機能リリースにアップグレードする前に実行されていた設定を復元します。アップグレード後の変更はすべて失われます。したがって、新しい機能リリースに戻ったときにそれらの変更を復元できるように、現在の構成をバックアップしておくことが重要です。ファイアウォールを以前の機能リリースにダウングレードする前に、「アップグレード/ダウングレードの考慮事項」を確認する必要が有ります。
Use the following workflow to restore the configuration that was running before you upgraded to a different feature release. Any changes made since the upgrade are lost. Therefore, it is important to back up your current configuration so you can restore those changes when you return to the newer feature release. Review the Upgrade/Downgrade Considerations before you downgrade a firewall to a previous feature release.
PAN-OS 11.0から以前のPAN-OSリリースにダウングレードするには、PAN-OS 10.1.3またはそれ以降のPAN-OS 11.0リリースをダウンロードしてインストールしてから、目的のPAN-OSリリースにダウングレードする必要があります。PAN-OS 10.1.2またはそれ以前のPAN-OS 11.0リリースにダウングレードしようとすると、PAN-OS 11.0からのダウングレードは失敗します。
To downgrade from PAN-OS 11.0 to an earlier PAN-OS release, you must download and install PAN-OS 10.1.3 or later PAN-OS 11.0 release before you can continue on your downgrade path to your target PAN-OS release. Downgrade from PAN-OS 11.0 fails if you attempt to downgrade to PAN-OS 10.1.2 or earlier PAN-OS 11.0 release.
■PANOSの EoLについて
下記URLより
以下の記事記載は、2023年1月3日
Version Release DateEnd-of-Life Date
11.1 November 3, 2023 May 3, 2027
11.0 November 17, 2022 November 17, 2024
10.2+ February 27, 2022 August 27, 2025
10.1+ May 31, 2021 December 1, 2024
10.0+ July 16, 2020 July 16, 2022
9.1+ December 13, 2019 March 31, 2024
再確認後変わっていました。2024年1月14日 Version11.1ノEoLガ5か月くらい前倒しになっていました。
Version Release Date End-of-Life Date
11.1 November 3, 2023 November 3, 2026
11.0 November 17, 2022 November 17, 2024
10.2+ February 27, 2022 August 27, 2025
10.1+ May 31, 2021 December 1, 2024
10.0+ July 16, 2020 July 16, 2022
9.1+ December 13, 2019 March 31, 2024
■PANOS アップグレードガイドライン
ここから先は
¥ 100
Amazonギフトカード5,000円分が当たる
この記事が気に入ったらチップで応援してみませんか?