Die Firewalls der PA-5200-Serie verfügen über zwei Solid-State-Laufwerke (SSDs), die für Systemdateien und Systemprotokolle verwendet werden, und zwei Festplattenlaufwerke (HDDs), die zur Speicherung von Netzwerkverkehrsprotokollen dienen. Jedes Laufwerkpaar befindet sich in einem RAID-1-Array, so dass Sie bei einem Ausfall eines Laufwerks das ausgefallene Laufwerk (mit demselben Laufwerksmodell) ohne Betriebsunterbrechung ersetzen können. Die Systemlaufwerke sind mit SYS1 und SYS2 und die Protokolllaufwerke mit LOG1 und LOG2 bezeichnet.
Wenn Sie ein Ersatzlaufwerk bestellen, erhalten Sie zwei Laufwerke. Dadurch wird sichergestellt, dass Sie, wenn das Ersatzlaufwerk nicht dasselbe Modell wie das ausgefallene Laufwerk ist, zwei neue passende Laufwerke installieren können. Wenn das Ersatzlaufwerk dasselbe Modell wie das ausgefallene Laufwerk ist, müssen Sie nur ein ausgefallenes Laufwerk ersetzen und können das zweite Laufwerk als Reserve einlagern. Für Firewalls in einem HA-Paar ist es nicht erforderlich, dass die Laufwerksgrößen zwischen den gepaarten Systemen übereinstimmen.
Die Verfahren zum Austausch eines Systemlaufwerks (SSD) und eines Protokolllaufwerks (HDD) sind unterschiedlich.
Austauschen eines Protokolllaufwerks an einer Palo Alto Networks Firewall der Serie PA-5200
Im folgenden Verfahren wird beschrieben, wie Sie ein ausgefallenes Protokolllaufwerk ersetzen. Es gibt zwei Szenarien: eines, bei dem das Ersatzlaufwerk das gleiche Modell wie das ausgefallene Laufwerk ist, und eines, bei dem das Ersatzlaufwerk nicht das gleiche Modell ist.
Wenn in einer Hochverfügbarkeitskonfiguration (HA) ein Protokolllaufwerk (oder beide Protokolllaufwerke) in der aktiven Firewall ausfällt, geht die Firewall in den nicht funktionsfähigen HA-Zustand über und fällt aus. Wenn sich die Firewall nicht in einer HA-Konfiguration befindet und ein Protokolllaufwerk ausfällt, arbeitet die Firewall weiter. Wenn beide Protokolllaufwerke in einer Nicht-HA-Konfiguration ausfallen, arbeitet die Firewall weiter, protokolliert aber keinen Netzwerkverkehr und Sie können die Konfiguration erst dann festschreiben, wenn mindestens ein funktionierendes Protokolllaufwerk vorhanden ist.
Schritt 1
Identifizieren Sie das ausgefallene Gerät und bestimmen Sie das Modell, indem Sie den folgenden Betriebsbefehl ausführen, um die status und model anzuzeigen:
Die folgende Ausgabe zeigt, dass das Laufwerk Log1 ausgefallen ist und dass die Modellnummer dieses Laufwerks ST2000NX0253 lautet. Das Systemprotokoll zeigt auch einen Fehler an, der angibt, welches Laufwerk ausgefallen ist (Log1 oder Log2).
Schritt 2
Entfernen Sie das ausgefallene Laufwerk aus der RAID-1-Array-Konfiguration. In diesem Beispiel führen Sie den folgenden Befehl aus, um das Laufwerk Log1 aus dem Array zu entfernen:
Schritt 3
Drücken Sie die Auswurftaste am Laufwerksträger, um den Trägergriff zu lösen, und ziehen Sie den Griff vorsichtig zu sich hin, um den Träger und das Laufwerk zu entfernen.
Die Abbildung zeigt, wie Sie ein Systemlaufwerk (SYS) entfernen. Die Vorgehensweise zum Entfernen eines Protokolllaufwerks ist die gleiche.
Schritt 4
Nehmen Sie das Ersatzlaufwerk aus der Verpackung und bestimmen Sie das Laufwerksmodell. Sie werden diese Modellnummer mit der Modellnummer des ausgefallenen Laufwerks vergleichen, um zu bestimmen, welches Austauschverfahren in Schritt 7 zu verwenden ist.
Schritt 5
Bauen Sie das Ersatzlaufwerk in den Festplattenträger ein.
5.1
Nehmen Sie das Ersatzlaufwerk aus dem Antistatikbeutel und legen Sie es auf einen antistatische Unterlage. Legen Sie das ausgefallene Laufwerk so neben das Ersatzlaufwerk, dass die Anschlüsse in dieselbe Richtung zeigen.
5.2
Entfernen Sie die vier Schrauben, die das ausgefallene Laufwerk im Träger halten, und nehmen Sie das Laufwerk aus dem Träger.
5.3
Installieren Sie das Ersatzlaufwerk im Träger und sichern Sie es mit den vier Schrauben, die Sie vom ausgefallenen Laufwerk entfernt haben.
Die Abbildung zeigt ein SSD-Systemlaufwerk und ein HDD-Protokolllaufwerk; die Vorgehensweise zum Tauschen des Laufwerks ist für beide gleich.
Schritt 6
Installieren Sie den Träger mit dem Ersatzantrieb:
6.1
Vergewissern Sie sich, dass sich der Hebel des Festplattenträgers in der geöffneten Position befindet; ist dies nicht der Fall, drücken Sie die Auswurftaste am Festplattenträger, um den Hebel zu lösen, und ziehen sie ihn heraus, bis er vollständig geöffnet ist.
6.2
Schieben Sie die Trägerbaugruppe in den leeren Laufwerksschacht, bis sie etwa ¼“ (0,64cm) vom vollständigen Einsetzen entfernt ist.
6.3
Vergewissern Sie sich vor dem vollständigen Einsetzen des Festplattenträgers, dass der Hebel am Verriegelungsmechanismus an der Firewall einrastet, und schließen Sie dann den Hebel, um den Festplattenträger einzusetzen.
Schritt 7
Wählen Sie eines der beiden folgenden Installationsverfahren auf der Grundlage Ihrer Erkenntnisse in Schritt 4:
- Wenn das Ersatzlaufwerk die gleiche Modellnummer hat wie das ausgefallene Laufwerk, fahren Sie mit Schritt 8 fort
- Wenn das Ersatzlaufwerk eine andere Modellnummer hat als das ausgefallene Laufwerk, fahren Sie mit Schritt 9 fort
Schritt 8: -Nur Ersatzlaufwerke desselben Modells-
Fügen Sie das Ersatzlaufwerk (das dasselbe Modell wie das ausgefallene Laufwerk ist) dem RAID-1-Array hinzu:
8.1
Fügen Sie das Ersatzlaufwerk zum RAID-1-Array hinzu. In diesem Beispiel führen Sie den folgenden Befehl aus, um das Log1-Laufwerk dem Array hinzuzufügen:
8.2
Zeigen Sie den RAID-Status regelmäßig an, bis Sie sehen, dass das Disk Pair Log - Available (Verfügbar) anzeigt, den Status clean (Sauber) anzeigt und der Status für jedes Laufwerk active sync (Aktiv) anzeigt. Um den RAID-Status anzuzeigen, führen Sie den folgenden Befehl aus:
Die folgende Ausgabe zeigt, dass sich beide Log-Laufwerke im active sync Zustand befinden:
Schritt 9: -Nur Ersatzlaufwerke eines anderen Modells-
Fügen Sie das Ersatzlaufwerk (das ein anderes Modell als das ausgefallene Laufwerk ist) dem RAID-1-Array hinzu:
9.1 -Optional-
Hängen Sie die Firewall mit dem ausgefallenen Laufwerk aus, wenn sie die aktive Firewall in einer HA-Konfiguration ist.
9.2
Kopieren Sie die Daten von dem anderen Laufwerk im RAID-1-Array auf das Ersatzlaufwerk. In diesem Beispiel führen Sie den folgenden Befehl aus, um die Daten vom Laufwerk Log2 auf das Laufwerk Log1 zu kopieren:
9.3
Führen Sie den folgenden CLI-Befehl aus, um den Status der Kopie anzuzeigen:
Führen Sie diesen Befehl in regelmäßigen Abständen aus, bis der Kopiervorgang abgeschlossen ist und das Disk Pair Log - Available anzeigt.
9.4
Tauschen Sie das andere Laufwerk im Array aus, damit die Laufwerksmodelle im Array identisch sind. In diesem Beispiel bauen Sie das Log2-Laufwerk physisch aus, entfernen es aus dem Träger und installieren dann das zweite Ersatzlaufwerk im Träger. Schritt 9.5 zeigt, wie Sie die Laufwerke in einem Carrier austauschen.
9.5
Fügen Sie das zweite Ersatzlaufwerk zum RAID-1-Array hinzu. Führen Sie in diesem Beispiel den folgenden Befehl aus, um das Laufwerk Log2 zum Array hinzufügen:
9.6
Überprüfen Sie regelmäßig den RAID-Status, bis Sie sehen, dass das Disk Pair Log – Available anzeigt und beide Laufwerke einen aktiven Synchronisierungsstatus aufweisen. Um den RAID-Status anzuzeigen, führen Sie den folgenden Befehl aus:
Die folgende Ausgabe zeigt, dass sich beide Geräte im active sync Zustand befinden:
Austauschen eines Protokolllaufwerks an einer Palo Alto Networks Firewall der Serie PA-5200
Das folgende Verfahren beschreibt, wie Sie ein ausgefallenes Systemlaufwerk ersetzen. Es gibt zwei Szenarien: eines, bei dem das Ersatzlaufwerk das gleiche Modell wie das ausgefallene Laufwerk ist, und eines, bei dem das Ersatzlaufwerk nicht das gleiche Modell ist.
Wenn in einer Hochverfügbarkeitskonfiguration (HA) ein Systemlaufwerk (oder wenn beide Systemlaufwerke ausfallen) in der aktiven Firewall ausfällt, geht die Firewall in den nicht funktionsfähigen HA-Zustand über und fällt aus. Wenn sich die Firewall nicht in einer HA-Konfiguration befindet und ein Systemlaufwerk ausfällt, arbeitet die Firewall weiter. Wenn beide Systemlaufwerke in einer Nicht-HA-Konfiguration ausfallen, müssen Sie die Systemlaufwerke ersetzen und die Firewall-Konfiguration aus einer aktuellen Konfigurationssicherung wiederherstellen.
Schritt 1
Identifizieren Sie das ausgefallene Laufwerk und bestimmen Sie das Laufwerkmodell.
Wenn die Systemlaufwerke normal funktionieren, zeigen alle Systemlaufwerkspartitionen beide Laufwerke mit dem Status clean an. Wenn ein Systemlaufwerk ausfällt, zeigt der Overall System Drives RAID status (Gesamtsystemlaufwerk-RAID-Status) degraded an, ein oder mehrere ausgefallene Partitionsarrays zeigen clean, degraded an und eines der Laufwerke fehlt (Sys1 oder Sys2). In diesem Beispiel zeigt die Ausgabe des Befehls show system raid detail , dass das Laufwerksmodell MICRON_M510DC_MT ist, die Panlogs-Partition den Status clean, degraded anzeigt und das Laufwerk Sys1 im Panlogs-Array fehlt; zusammengenommen bedeutet dies, dass Sie das Laufwerk Sys1 ersetzen müssen.
Schritt 2
Entfernen Sie das ausgefallene Laufwerk aus dem RAID-1-Array. In diesem Beispiel führen Sie den folgenden Befehl aus, um das Laufwerk Sys1 aus dem Array zu entfernen:
Schritt 3
Bestätigen Sie, dass die ausgefallenen Laufwerke aus allen Partitionen entfernt wurden. In der folgenden Ausgabe von show system raid detail sehen Sie, dass die drive id Sys1 nun in allen Partitionen fehlt.
Schritt 4
Drücken Sie die Auswurftaste am Laufwerksträger, um den Trägergriff zu lösen, und ziehen Sie den Griff vorsichtig zu sich hin, um den Träger und Laufwerk zu entfernen.
Schritt 5
Nehmen Sie das Ersatzlaufwerk aus der Verpackung, bestimmen Sie das Laufwerksmodell und legen Sie es auf eine antistatische Unterlage. Vergleichen Sie dann diese Modellnummer mit der Modellnummer des ausgefallenen Laufwerks, um zu ermitteln, welches Austauschverfahren Sie in Schritt 7 verwenden.
Schritt 6
Bauen Sie die Ersatzfestplatte in den Festplattenrahmen ein.
6.1
Legen Sie das ausgefallene Laufwerk so neben das Ersatzlaufwerk, dass die Anschlüsse in dieselbe Richtung zeigen.
6.2
Entfernen Sie die vier Schrauben, die das ausgefallene Laufwerke im Träger halten, und nehmen Sie das Laufwerk aus dem Träger.
6.3
Setzen Sie die Ersatzfestplatte in den Träger ein und befestigen Sie es mit den vier Schrauben, die Sie vom ausgefallenen Laufwerk entfernt haben. Die Abbildung zeigt ein SSD-Systemlaufwerk und ein HDD-Protokolllaufwerk; das Verfahren zum Austauschen des Laufwerks ist für beide gleich.
Schritt 7
Installieren Sie das Ersatzlaufwerk in der Firewall.
7.1
Vergewissern Sie sich, dass sich der Hebel des Festplattenrahmens in der geöffneten Position befindet; ist dies nicht der Fall, drücken Sie die Auswurftaste am Festplattenrahmen, um den Hebel zu lösen, und ziehen Sie ihn heraus, bis er vollständig geöffnet ist.
7.2
Schieben Sie das Ersatzlaufwerks- und Trägerbaugruppe in den leeren Laufwerksschacht, bis sie etwa ¼“ (0,6cm) vom vollständigen Einsetzen entfernt ist.
7.3
Vergewissern Sie sich vor dem vollständigen Einsetzen des Festplattenträgers, dass der Hebel in den Verriegelungsmechanismus an der Firewall einrastet, und schließen Sie dann den Hebel, um den Träger einzusetzen.
Schritt 8
Wählen Sie aus den folgenden zwei Installationsverfahren auf der Grundlage Ihrer Erkenntnisse in Schritt 5:
- Wenn das Ersatzlaufwerk die gleiche Modellnummer wie das ausgefallene Laufwerk hat, fahren Sie mit Schritt 9 fort
- Wenn das Ersatzlaufwerk eine andere Modellnummer hat als das ausgefallene Laufwerk, fahren Sie mit Schritt 10 fort
Schritt 9: -Nur Ersatzlaufwerk desselben Modells-
Fügen Sie das Ersatzlaufwerk (ein Laufwerk desselben Modells wie das ausgefallene Laufwerk) dem RAID-1-Array hinzu:
9.1
Fügen Sie das Ersatzlaufwerk zum RAID-1-Array hinzu. In diesem Beispiel führen Sie den folgenden Befehl aus, um das Sys1-Laufwerk dem Array hinzuzufügen:
9.2
Überprüfen Sie regelmäßig den RAID-Status, bis Sie sehen, dass der Overall System Drives RAID status (Gesamtsystemlaufwerk-RAID-Status) good (gut), alle Partitionen clean (sauber) und beide Laufwerke active sync (aktiv) anzeigen. Um den RAID-Status anzuzeigen, führen Sie den folgenden Befehl aus:
Schritt 10: -Nur Ersatzlaufwerk eines anderen Modells-
Fügen Sie das Ersatzlaufwerk (ein anderes Modell als das ausgefallene Laufwerk) dem RAID-1-Array hinzu:
10.1
Schließen Sie ein serielles Kabel von Ihrem Computer an den Konsolenanschluss der Firewall an und stellen Sie mit einer Terminalemulationssoftware (z.B. Putty), die für die Verwendung von 9600-8-N-1-Einstellungen konfiguriert ist, eine Verbindung zur Firewall her.
10.2 -Optional-
Hängen Sie die Firewall mit dem ausgefallenen Laufwerk aus, wenn sie die aktive Firewall in einer HA-Konfiguration ist.
10.3
Starten Sie die Firewall mit dem ausgefallenen Laufwerk im MRT neu, indem Sie den folgenden Befehl ausführen:
10.4
Drücken Sie Enter bei CONTINUE und navigieren Sie dann zu RAID und drücken Sie erneut die Enter Taste.
10.5
Navigieren Sie zum Abschnitt Laufwerk migrieren und wählen Sie das zu migrierende Laufwerk aus. In diesem Beispiel wählen Sie Migrate drive Sys2 -> Sys1, um den Prozess des Kopierens der Systemdaten vom Laufwerk Sys2 auf das Ersatzlaufwerk Sys1 einzuleiten.
10.6
Nachdem die Migration abgeschlossen ist, entfernen Sie das andere Systemlaufwerk. In diesem Beispiel entfernen Sie das Laufwerk Sys2.
10.7
Drücken Sie Esc, um zum Hauptmenü zurückzukehren, und drücken Sie dann die Enter- Taste bei Reboot.
10.8
Nachdem die Firewall PAN-OS gebootet hat, tauschen Sie das andere Laufwerk im Array aus, damit die Laufwerke im Array dasselbe Modell haben. In diesem Beispiel entfernen sie zuerst das Laufwerk Sys2 aus dem Träger und installieren das zweite Ersatzlaufwerk (eines, das das gleiche Modell wie Sys1 ist) in den Träger (siehe Schritt 6). Bauen Sie dann das zweite Ersatzlaufwerk in den Steckplatz Sys2 ein.
10.9
Fügen Sie das zweite Ersatzlaufwerk zum RAID-1-Array hinzu. In diesem Beispiel führen Sie den folgenden Befehl aus, um das Laufwerk Sys2 dem Array hinzuzufügen.
10.10
Überprüfen Sie regelmäßig den RAID-Status, bis Sie sehen, dass der Overall System Drives RAID status (Gesamtsystemlaufwerk-RAID-Status) Good (gut), alle Partitionen clean (sauber) und beide Laufwerke active sync (aktiv) anzeigen. Um den RAID-Status anzuzeigen, führen Sie den folgenden Befehl aus:
