Palo Alto 防火墻升級 Software

今天早上豆子需要升級一下Palo Alto 防火墻的軟件。上一次升級已經是半年前的事情了，目前使用的版本是8.0.8，而最新的版本是8.1.2。由于中間跨越了多個版本，因此升級需要從8.0.8 ->8.1.0 -> 8.1.2。每次升級之前需要備份，如果出了問題，還可以回滾。

下面簡單的記錄一下過程。

豆子公司使用了兩臺PaloAlto 的設備，設置為HA高可用，這樣其中一個掛了，會自動切換到另外一個。不過不要掉以輕心，如果操作不當，可能導致HA failover不過去。

HA1 管理地址: 10.1.99.101
HA2 管理地址: 10.1.99.102
內網接口地址: 10.10.1.1

登錄管理界面的時候，如果通過內網地址登錄，那么他會自動跳轉到當前工作的那臺設備上去；如果通過管理地址登錄，那么只有當前工作的設備允許登錄；當然登錄之后的界面都是一樣的。

首先需要備份配置文件
Device > Setup > Operations > Save Named Configuration Snapshot

導出配置文件
Device > Setup > Operations > Export Named Configuration Snapshot

導出設備狀態
Device > Setup > Operations > Export Device State

下面是我導出的文件

生成一個技術支持的文件，以防萬一

取消preemptive，然后commit 提交
Device > High Availability > Election Settings

然后進行一個手動的HA failover
Device > High Availability > Operations > 點擊 Suspend local device.

點擊之后千萬別退出當前的管理session，不然就進不去了。除非你在另外一臺設備上再次進行HA failover，把管理session再次轉移回來。

然后就可以準備下載升級了

下載，安裝

他會提示重啟

重啟之后，就可以登錄第二臺設備，重復以上步驟，安裝升級。如果需要多次升級，那么每次升級前都需要記得備份以便回滾。

值得注意的一點是，平常管理的時候，通過內網端口的IP就直接登錄了，但是升級的時候千萬不能這么做，一定要從防火墻設備自己的管理IP登錄，不然可能會出現Failover過不去，網絡直接就掛掉的情況，不要問我為什么會知道的~ 當然即使出現這個問題，一般重啟一下設備也就可以了