PaloAlto版本升级

在命令行下升级

software升级

1
2
3
4
5
request system software check
request system software download
request system software install
request restart system
# 升级完成后需要重启设备

up-1
up-2

dynamic 升级

1
2
3
4
request content upgrade check
request content upgrade download
request content upgrade install
# 不需要重启设备

Dynamic update主要是更新PA官方的URL库, 病毒库等等

在web界面下升级

software 升级

  1. OS镜像下载
    一般情况下如果PA能够上网的话, 可以在防火墙上直接下载, 如果上网流量使用业务口的话, 尽量选择在非业务时段下载.
    如果无法上网, 可以将镜像提前下载到本地, 然后上传到防火墙上.
    upload-os
  2. 设备配置备份
    config-backup
    Device->Setup->Operation->Save named configuration snapshot
    Device->Setup->Operation->Export named configuration snapshot
    Device->Setup->Operation->Export configuration version
    Device->Setup->Operation->Export device state
  3. 生成support文件
    Deivce->Support->Tech Support File->Generate Tech Support File
    show-tech
  4. 升级顺序
    一般如果升级的版本过高的话, 需要现升级到过渡版本, 然后再升级到最终版本, 防止出现意外情况.
  5. 主备下升级
    登陆到主墙上, 关闭抢占功能, commit提交配置, 并将流量切换到备墙上
    no-preempt
    Device->High Availability->General->Election Settings
    Device->High Availability->Operation->Click Suspend local device
    升级完成后使用show jobs all查看设备状态
    确认无误后, 将流量切换到主墙, 并开始升级备墙. 备墙升级完成后, 开启抢占并commit提交.
  6. 风险
    主备墙流量切换的时候会存在瞬断, 丢1-2个包.

参考链接

https://blog.51cto.com/beanxyz/2134441