Palo Alto 防火墻升級(jí) Software

今天早上豆子需要升級(jí)一下Palo Alto 防火墻的軟件。上一次升級(jí)已經(jīng)是半年前的事情了，目前使用的版本是8.0.8，而最新的版本是8.1.2。由于中間跨越了多個(gè)版本，因此升級(jí)需要從8.0.8 ->8.1.0 -> 8.1.2。每次升級(jí)之前需要備份，如果出了問題，還可以回滾。

下面簡(jiǎn)單的記錄一下過程。

豆子公司使用了兩臺(tái)PaloAlto 的設(shè)備，設(shè)置為HA高可用，這樣其中一個(gè)掛了，會(huì)自動(dòng)切換到另外一個(gè)。不過不要掉以輕心，如果操作不當(dāng)，可能導(dǎo)致HA failover不過去。

HA1 管理地址: 10.1.99.101
HA2 管理地址: 10.1.99.102
內(nèi)網(wǎng)接口地址: 10.10.1.1

登錄管理界面的時(shí)候，如果通過內(nèi)網(wǎng)地址登錄，那么他會(huì)自動(dòng)跳轉(zhuǎn)到當(dāng)前工作的那臺(tái)設(shè)備上去；如果通過管理地址登錄，那么只有當(dāng)前工作的設(shè)備允許登錄；當(dāng)然登錄之后的界面都是一樣的。

首先需要備份配置文件
Device > Setup > Operations > Save Named Configuration Snapshot

導(dǎo)出配置文件
Device > Setup > Operations > Export Named Configuration Snapshot

導(dǎo)出設(shè)備狀態(tài)
Device > Setup > Operations > Export Device State

下面是我導(dǎo)出的文件

生成一個(gè)技術(shù)支持的文件，以防萬一

取消preemptive，然后commit 提交
Device > High Availability > Election Settings

然后進(jìn)行一個(gè)手動(dòng)的HA failover
Device > High Availability > Operations > 點(diǎn)擊 Suspend local device.

點(diǎn)擊之后千萬別退出當(dāng)前的管理session，不然就進(jìn)不去了。除非你在另外一臺(tái)設(shè)備上再次進(jìn)行HA failover，把管理session再次轉(zhuǎn)移回來。

然后就可以準(zhǔn)備下載升級(jí)了

下載，安裝

他會(huì)提示重啟

重啟之后，就可以登錄第二臺(tái)設(shè)備，重復(fù)以上步驟，安裝升級(jí)。如果需要多次升級(jí)，那么每次升級(jí)前都需要記得備份以便回滾。

值得注意的一點(diǎn)是，平常管理的時(shí)候，通過內(nèi)網(wǎng)端口的IP就直接登錄了，但是升級(jí)的時(shí)候千萬不能這么做，一定要從防火墻設(shè)備自己的管理IP登錄，不然可能會(huì)出現(xiàn)Failover過不去，網(wǎng)絡(luò)直接就掛掉的情況，不要問我為什么會(huì)知道的~ 當(dāng)然即使出現(xiàn)這個(gè)問題，一般重啟一下設(shè)備也就可以了