PaloAlto PAN-OSアップグレードについて
まず、PAN-OSについて解説します。
PAN-OSは8.1.5などと3つの数字でバージョン管理されています。
・8.1.5:メジャー、大幅な新機能追加とBug Fix
・8.1.5:マイナー、機能のエンハンス含む追加とBug Fix
・8.1.5:メンテナンス、Bug Fixのみ
上記バージョンを理解したうえで、バージョンアップの種類は3種類になります。
7.1.xから8.0.xにバージョンアップ:メジャーバージョンアップ
8.0.xから8.1.xにバージョンアップ:マイナーバージョンアップ
8.1.xから8.1.yにバージョンアップ:メンテナンスバージョンアップ
手順に関しては英語および日本語版でKB化されています。
【英語版】
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRrCAK
【日本語版】
Live Community - PAN-OSアップグレードのベスト プラクティス - Live Community
他にもKBはありますが、執筆時点で最新のものを紹介しています。
注意点ですが、英語版でmajorと記載されているのに日本語版では機能リリースと表現が統一されていません。また、HA環境で片方だけターゲットバージョンまで先に上げ切った際に、HAが正常に構成できない場合がありました。
手順が煩雑になりますが、マイナーまたはメジャーバージョンアップを1度Active側で実施したらPassive側も同じPAN-OSまでバージョンアップして、HAステータスを確認後に再度マイナーまたはメジャーバージョンアップを交互に実施する方が作業ミスや予期せぬ不具合を防げます。
ターゲットとなるOSはダウンロードできる範囲まであらかじめダウンロードしておくと作業がスムーズに実施できます。(7.1.x利用時は8.1.xがDevice -> Softwareから見えなかったりします)
あとは必ず事前にコンフィグのバックアップ、必要に応じてログのバックアップを行ってくださいね!
PaloAlto リリースノートについて
PaloAltoの場合、日々Webサイト上で
・Known Issues(既知だが未修正の不具合)
・Address Issues(修正済みの不具合)
の情報が更新されています。
本ブログ執筆時点で、メーカサポート範囲内のOSバージョンのリリースノートは以下リンクになります。
https://www.paloaltonetworks.com/documentation/81/pan-os/pan-os-release-notes
https://www.paloaltonetworks.com/documentation/80/pan-os/pan-os-release-notes
https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os-release-notes
https://www.paloaltonetworks.com/documentation/61/pan-os/pan-os-release-notes
ちなみに、Webサイトの情報は更新されますがPAシリーズのGUIで確認できるリリースノートは情報が古いままだったりします。しかも、新しいメンテナンスリリースが出ると内容が変わっていることもあるので、差分など注意が必要です。
PaloAlto/FortiGate IPv6の対応状況
徐々に通信量も増えてきて、まだまだゆったりな流れですがIPv6の利用やマイグレーションが行われつつあります。
検証用途や、IPv4と同時利用できるかどうかについて記事にしました。
ホストでIPv6アドレスを指定する方法なら、PaloAltoおよびFortiGateは実績もありWebドキュメントも充実しています。
【PaloAlto】
【FortiGate】
https://docs.fortinet.com/uploaded/files/4178/fortios-ipv6-56.pdf
大きく違いがあるのは、執筆時点におけるDHCPv6-PDの対応で、FortiGateは対応済みで、PaloAltoは対応していません。
IPoE接続を試す場合はFortiGateを使いましょう笑
プロバイダが対応していなかったので構築完了には至りませんでしたが、NGNからIPv6アドレス割り当てられるまでは構築したことあります。
ご自宅で利用されるなら、バッファロー、アイ・オー・データやエレコムがいいですね。無線も802.11ac対応はもう当たり前です。
FortiGateでのパケットキャプチャ
FortiGateでトラブルシューティングする場合の必須技ですね。
【snifferコマンドの詳細】
http://help.fortinet.com/fa/cli-olh/5-6-2/Document/1600_diagnose/sniffer.htm
【flow filterコマンドの詳細】
https://kb.fortinet.com/kb/documentLink.do?externalID=FD33882
snifferはパケットキャプチャ、flow filterはFortiGate内部でのパケット処理をログ出力します。flow filterはSSGのdebug flow basicに近いイメージですね。
なお、初歩的な注意点ですがポートを指定せずにパケットキャプチャを行った場合に管理アクセス用のSSHも対象となるので、必ず条件指定しましょう。
Ctrl+Zで強制終了するまで延々とコンソールにログが流れてしまいます。
PaloAlto PA-VMについてその1
思い出しながら、また思いついたまま書くのでその1にしました。
ちなみにPCNSEではそこそこ出題されるので、どんなモデルがあるか、
どのような機能やデプロイ方法かを押さえておくのは重要です。
PaloAltoはドキュメントイコールWebサイトみたいになってます。
トップからだと検索しなきゃいけないのでリンクからが早いかも。どちらもPAN-OS 8.1のドキュメントです。
VM-Series 8.1 Deployment Guide
メモリを少なく割り当ててもライセンス投入時にエラーが出るので、Requirementsは必ず守りましょう。
あと、ポートはネットワーク1(vNIC1)がMGT、それ以降ネットワーク10(vNIC10)をport9にするまで利用可能です。
HAはHA1ポートがMGTを利用するようになっているので、使いたいポート番号のZoneをHAにして使うことでMGTのみにすることが可能です。通信で使うポートは減りますが。
今回はここまで。結構ハマるポイントありますが慣れれば簡単です。
ScreenOS EOL
ScreenOS Dates & Milestones - Juniper Networks
3年後の1/31までですねぇ。
一つの時代の終わりって感じです。
それともその他のベンダになるのか。。。
SRXは意外と日本語の資料があったので設定に関しては悪くないのかなと。
ただし、SRX自体マーケットでのお話をあまり聞かないので、有力なのは他のベンダなんですかね。
IPv4のグローバルIPアドレスを受ける機器は、オンプレミスでも残るから最後の駆け込みがこれから始まるでしょう。