从 CLI 或控制台升级 PaloAlto PAN-OS 防火墙软件

PaloAlto 持续发布软件更新。保持最新的稳定版本的防火墙是至关重要的。

以下是升级 PaloAlto 防火墙的 5 个简单步骤：

1. 预安装：验证当前软件版本
2. 检查可用的软件版本
3. 下载最新版本的 PaloAlto
4. 安装最新版本的防火墙软件
5. 安装后：重新启动并验证新的软件版本

除了从 CLI 升级外，本教程还解释了如何从 PaloAlto 控制台升级 PAN-OS。

1. 预安装：从 CLI 验证当前软件版本

首先，使用 ssh 从 CLI 登录到 PaloAlto 防火墙，如下所示。

$ ssh -i hgst.pem admin@192.168.101.111

接下来，执行以下 show system info 命令以获取软件的当前版本。

admin@PA-VM> show system info | match sw-version
sw-version: 9.0.0

在上面的例子中，当前版本是 9.0.0。让我们将它升级到最新版本的 9.0.x

2. 从 CLI 检查可用的软件版本

执行以下请求系统软件检查命令，将获取适用于您设备的所有可用版本的 PaloAlto 软件。

admin@PA-VM> request system software check

Version               Size          Released on Downloaded
-------------------------------------------------------------------------
9.0.2                354MB 2019/05/09  07:57:11         no
9.0.1                345MB 2019/03/28  08:43:16         no
9.0.0                759MB 2019/02/06  08:54:03        yes
8.1.8                465MB 2019/05/08  12:18:31         no
8.1.7                464MB 2019/03/18  22:01:25         no

在上面的输出中：

• 版本列 - 这显示所有可用的软件版本。最新版本将在顶部。此示例中的当前最新版本是 9.0.2
• 已下载列 - 此列中的“是”表示已下载此特定版本的软件。目前它只对 9.0.0 说“是”。

3. 从 CLI 下载最新版本的 PaloAlto

接下来，执行请求系统软件下载命令，将下载给定的版本。

在以下示例中，此命令将安排一个后台作业来下载 9.0.2 版本的软件。

admin@PA-VM> request system software download version 9.0.2

Download job enqueued with jobid 10
10

上一个下载命令的输出将为您提供一个作业 ID。在上一步中，我们的作业 id 是 10。

查看此特定作业的状态，如下所示。

admin@PA-VM> show jobs id 10

Enqueued              Dequeued           ID  Type  Status Result Completed
---------------------------------------------------------------------------
2019/05/22 23:57:18   23:57:18   10  Downld   ACT   PEND        21%
Warnings:
Details:

注意：一旦上述命令的输出显示 100% 完成，请继续下一步。

请注意，升级 PANOS 不会修改/删除任何现有配置，包括安全和 NAT 策略。

在相关说明中，要掌握 paloalto CLI，请参阅：15 个用于管理安全和 NAT 策略的 PaloAlto CLI 示例

4. 从 CLI 安装最新版本的防火墙软件

最后，执行如下请求系统软件安装命令，安装最新版本的软件。

admin@PA-VM> request system software install version 9.0.2

上面的命令将给出这个信息消息。对以下提示说“y”。

执行此命令将安装新版本的软件。系统重启后才会生效。从 PAN-OS 9.0 降级到早期版本需要降级日志基础设施。降级后，您必须将日志数据迁移到以前的格式。有关详细信息，请参阅 https://docs.paloaltonetworks.com/downgrade-panorama 中的从全景 9.0 降级。你想继续吗？（是或否）是

使用 jobid 12 排队的软件安装作业。运行“show jobs id 12”以监控其状态。安装完成后请重启设备。
12

使用上述输出中的作业 ID 查看安装状态。

admin@PA-VM> show jobs id 12

Enqueued              Dequeued           ID    Type Status Result Completed
------------------------------------------------------------------------------------------------------------------------------
2019/05/22 23:00:49   23:00:49           12    SWInstall    ACT   PEND        71%
Warnings:
Details:

admin@PA-VM> show jobs id 12

Enqueued              Dequeued           ID    Type  Status Result Completed
------------------------------------------------------------------------------------------------------------------------------
2019/05/22 23:00:49   23:00:49           12   SWInstall  FIN     OK 23:04:24
Warnings:
Details:Software installation successfully completed. Please reboot to switch to the new version.

注意：我注意到下载完成百分比有一个奇怪的行为。当它达到 71% 时，它开始下降到 66%，然后又开始上升。

5. 安装后：重新启动并验证新软件版本 - 从 CLI

现在，使用如下所示的重新启动系统命令重新启动防火墙以启动新版本。

admin@PA-VM> request restart system
Executing this command will disconnect the current session. Do you want to continue? (y or n)

注意：以上将断开您与连接到 PaloAlto 防火墙的 SSH CLI 会话的连接。

Broadcast message from root (pts/1) (Wed May 22 23:05:30 2019):

The system is going down for reboot NOW!
Connection to 192.168.101.111 closed.
bash-3.2$

最后，重启后，执行show system info命令，确保防火墙软件升级到最新版本。

admin@PA-VM> show system info | match sw-version
sw-version: 9.0.2
admin@PA-VM>

控制台 - 验证当前版本

从浏览器登录到 PaloAlto 控制台。在仪表板的一般信息部分下，您可以查看 PANOS 的当前版本，如下例所示。在此示例中，当前版本为 9.0.0

控制台 – 安装最新版本的 PANOS

在 PaloAlto 控制台中，单击“设备”选项卡，从左侧菜单中，单击软件，如下所示。第一次，您可能看不到可用软件的列表。您可能必须单击位于此屏幕底部的“立即检查”按钮，如下所示。

这将显示所有可用的 PAN-OS 软件版本。在此示例中，由于我们当前的版本是 9.0.0，因此它旁边会显示“已下载”。“已安装”列将在当前安装的版本旁边有一个复选标记。

最新可用版本将显示在列表顶部。在此示例中，最新版本为 9.0.2。在您的情况下，您可能会看到比这更新的东西。单击“操作”列下的“下载”以获取最新版本，这将开始下载。

下载软件后，可用栏将显示“已下载”，操作栏将显示“安装”，如下图所示。单击安装，它将开始安装最新版本。安装最新版本的停机时间会很短，因为安装后设备将重新启动。仅在计划的维护时段内执行升级。

控制台 - 验证 PANOS 的新版本

重新启动后，登录到 PaloAlto 控制台，在 Dashboard 下的 General Information 部分，您现在将看到 PANOS 的当前版本，如下所示。