Palo Alto 防火墙升级 Software

今天早上豆子需要升级一下Palo Alto 防火墙的软件。上一次升级已经是半年前的事情了，目前使用的版本是8.0.8，而最新的版本是8.1.2。由于中间跨越了多个版本，因此升级需要从8.0.8 ->8.1.0 -> 8.1.2。每次升级之前需要备份，如果出了问题，还可以回滚。

下面简单的记录一下过程。

豆子公司使用了两台PaloAlto 的设备，设置为HA高可用，这样其中一个挂了，会自动切换到另外一个。不过不要掉以轻心，如果操作不当，可能导致HA failover不过去。

HA1 管理地址: 10.1.99.101
HA2 管理地址: 10.1.99.102
内网接口地址: 10.10.1.1

登录管理界面的时候，如果通过内网地址登录，那么他会自动跳转到当前工作的那台设备上去；如果通过管理地址登录，那么只有当前工作的设备允许登录；当然登录之后的界面都是一样的。

首先需要备份配置文件
Device > Setup > Operations > Save Named Configuration Snapshot

导出配置文件
Device > Setup > Operations > Export Named Configuration Snapshot

导出设备状态
Device > Setup > Operations > Export Device State

下面是我导出的文件

生成一个技术支持的文件，以防万一

取消preemptive，然后commit 提交
Device > High Availability > Election Settings

然后进行一个手动的HA failover
Device > High Availability > Operations > 点击 Suspend local device.

点击之后千万别退出当前的管理session，不然就进不去了。除非你在另外一台设备上再次进行HA failover，把管理session再次转移回来。

然后就可以准备下载升级了

下载，安装

他会提示重启

重启之后，就可以登录第二台设备，重复以上步骤，安装升级。如果需要多次升级，那么每次升级前都需要记得备份以便回滚。

值得注意的一点是，平常管理的时候，通过内网端口的IP就直接登录了，但是升级的时候千万不能这么做，一定要从防火墙设备自己的管理IP登录，不然可能会出现Failover过不去，网络直接就挂掉的情况，不要问我为什么会知道的~ 当然即使出现这个问题，一般重启一下设备也就可以了