Palo Alto Archive - Seite 4 von 30

Palo Alto: ‚Shadow‘ bei NAT Policies, wie geht das?

Plötzlich taucht beim Commit ein Shadow-Problem auf… Eine NAT Policy soll eine andere „shadowen“. Beide Policies basieren auf einem FQDN und stellen eine statische NAT dar. Lösung: Wenn man sich die Auflösung der Namen auf der Palo Alto mit request system fqdn show (mehr dazu hier http://www.krakovic.de/palo-alto-firewall-fqdns-refreshen/) anschaut, stellt man fest, dass die FQDN nicht übersetzt sind (Hintergrund: sie haben sich lange nicht dynamisch per DHCP registriert). Sie sind also „gleich / leer / nicht übersetzt“ und das ist der Grund für das shadowing.

Palo Alto Firewall: Software in einem aktiv/passiv Cluster updaten

Konfig sichern! Software auf dem active Node downloaden (wird automatisch zum passive Node übertragen) auf dem passive Node installieren, der Node startet im Anschluß durch den activem Node stilllegen (High availability/Operation Commands/Supend) der passive Node wird dadurch aktiv dann auf dem neuen passiven Node (bis dahin active) installieren