Paloalto HA Firewall PanOS 8.1.x upgrade to 9.1.x

升級版本: 8.1.15-h3 -> 9.1.14-h1
預先下載: 8.1.24, 9.0.0, 9.0.16-h3, 9.1.0, 9.1.14-h1
安裝次序: 8.1.24 -> 9.0.16-h3 -> 9.1.14-h1

假設PA1是Active, PA2是Passive

PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1

首先查看Application and Threats是否為最新的版本, 如果不是, 請下載

下載全部所需要的Software版本(8.1.24, 9.0.0, 9.0.16-h3, 9.1.0, 9.1.14-h1), 另一台亦需要下載(勾選Sync to HA Peer)

然後需要Export兩隻Firewall的Config設定, 兩隻Firewall都各Export一次

然後確定不要勾選Preemptive以免自動跳回Active影響升級計劃

升級前請必須確認HA的Status正常, 以免影響在線運作

首先升級後備的Firewall (PA2) Local : Passive, 按Install, 然後等待安裝完成及重啟

注意當安下Install後是沒有任何提示訊息, 並立即安裝的 參考

重啟後轉移到Active, Reload時間改為1, 等待HA看到Passive在線的Status

Passive終於醒來, 但是Not synchronized

好的, 在Active按Sync to peer

但是問題出來了, 一直同步不了, 沒有錯誤訊息, 我立即查看之前升級的記錄 參考

只有PAN-OS Version mismatch, 這個Not synchronized使我擔心之後Active跳轉到Passive的時候會不會產生問題, 好在有經驗的同事說不用理會, 有些版本不同是會出現Not synchronized, 只要兩台一樣版本的時候就會自動Synchronized

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaXCAS

好吧, Active改成Passive, 準備升級本來的Active (PA1)

本實例的跳轉過程中, 只有一個timeout

然後就來到第二次升級, 和之前一樣選擇8.1.24 install, reboot

PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1

有驚無險的, 2台PA升級到相同版本後就自動回復正常了

PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1

再來的都是這台PA1 升級到9.0.16-h3, 由於功能上的升級, 保險點2台準備升級前都是再備份一次

PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1

之後3個升級就沒有太大分別了

各自重啟3次, 共6次, 終於升級完成

本來有勾選Preemptive的, 記得要還原勾選

Reference

https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-new-features/upgrade-to-pan-os-91/upgrade-the-firewall-to-pan-os-91/upgrade-an-ha-firewall-pair-to-pan-os-91

https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-new-features/upgrade-to-pan-os-91/upgrade-the-firewall-to-pan-os-91/determine-the-upgrade-path#id85bdf6f4-2e83-49f0-8525-3eb2163f2d2e

 

Paloalto DNS Sinkhole

使用DNS sinkhole將已知有問題的Domain更換Lookback IP, 避免用戶不小心進入有害的網址

在Anti-Spyware新增一個Profile名為DNS-Sinkhole

在外出Internet的Rule裏使用剛才建立的DNS-Sinkhole profile

更新一下, 需要Download和Install

Click一下上圖綠圈, 在Release Notes裏看到下面的網址, 尋找一個已知有害的Domain測試一下

本文測試的是001060.com

Palo Alto HA Firewall PanOS upgrade

這個實測是由8.1.19升級到8.1.20

首先需要Export兩隻Firewall的Config設定, 兩隻Firewall都各Export一次

然後確定不要勾選Preemptive以免自動跳回Active影響升級計劃

升級開始, 選擇好版本按Download, 然後另一台亦自動下載(勾選Sync to HA Peer)

下載完後, 首先升級後備的Firewall(Local : Passive), 按Install

升級完後Reboot之後, 再次登入可以看到已經使用8.1.20, 但是HA not enabled, 再等等

Active還是看到Passive還未能使用

過一回就在Passive看到已經在線了, 但是和Active版本不對(PAN-OS Version: Mismatch)

Passive已經升級後, 到Active的頁面按Suspend local device轉換成後備

我的跳轉過程中會有數個Timeout

和之前Passive一樣按Install就可以, Reboot後就可以看到新版本, 而且沒有錯誤, 需要改回Active就去Passive裏按Suspend local device, 跳轉後記得要改回