本記事では、オフライン環境でのPAN-OSバージョンのアップグレード手順について記載します。

PAN-OSバージョンのアップグレードでは、MGTポート経由でパロアルトネットワークスのアップデートサーバから、PAN-OSとシグネチャのダウンロードを実施する方法が一般的です。

アップデートサーバへの接続ができない場合は、CSPから手動でPAN-OSとシグネチャをダウンロードすることでオフライン環境でのアップグレードが可能です。

今回は、GUIからオフライン環境のPAシリーズをアップグレードする方法をご紹介します。

1. 前提条件

パロアルトネットワークスのアップデートサーバへの接続ができない (オフライン環境) のPAをアップグレードする場合の手順です。
※MGTポート経由でパロアルトネットワークスのアップデートサーバに接続可能な場合、PAN-OSとシグネチャファイルを手動でダウンロードする必要はありません。

PAN-OSのバージョン表記は以下の通りです。
メンテナンスバージョンが「0」であるOSをベースイメージと呼びます。

【例】目的のバージョンが「11.1.2」の場合、必要なベースイメージは「11.1.0」です。

オフラインでのメジャー/マイナーバージョンのアップグレードは以下の流れで実施します。

①最新メンテナンスバージョン　　　→ ダウンロード＋インストール＋再起動
②次のバージョンのベースイメージ　→ アップロード＋インストール
③目的のメンテナンスバージョン　　→ ダウンロード＋インストール＋再起動

本記事では、アップグレードパスについての詳細は割愛します。

　　

2. 事前準備

2.1. シグネチャダウンロード

"Applicationsシグネチャ" を最新にアップデートします。
※脅威防御サブスクリプション利用時は "Application and Threatsシグネチャ"

CSPにアクセスしてシグネチャファイルをダウンロードしておきます。

CSP > Updates > Dynamic Updatesから、フィルタのContent typeで「App + Threats」を選択します。
該当するシグネチャバージョンの「Download」をクリックして、ファイルをダウンロードします。

--------------------------------------------------------------------------------------------------------------------------------
PAN-OSのバージョンによって、必要なシグネチャの最小バージョンが異なります。
詳しくは、各バージョンのリリースノートをご参考ください。
--------------------------------------------------------------------------------------------------------------------------------

2.2. PAN-OSダウンロード

CSPにアクセスしてOSファイルをダウンロードしておきます。

CSP > Updates > Software Updatesから、フィルタのContent typeで該当のPAシリーズを選択します。
対象のPAN-OSバージョンの「Download」の列をクリックして、ファイルをダウンロードします。

2.3. Configバックアップ(任意)

PAN-OSのバージョンによって、Configフォーマットが異なる可能性があります。
バージョンダウンなどで必要になることを考慮し、手動で保存しておくことを推奨します。

　

3. シグネチャアップデート

事前にダウンロードしたシグネチャをPAにアップロードします。

①PAのGUIから、DEVICE > Dynamic Updatesへ移動し、左下の「Upload」をクリックします。

②Typeで「Application and Threats」を選択し、Fileの「Browse」をクリックします。
　ファイルを選択したら「OK」をクリックします。

アップロードしたシグネチャをインストールします。

③DEVICE > ダイナミック更新(Dynamic Updates)から「Install From File」をクリックします。

④Package Typeで「Application and Threats」をクリックします。

⑤ファイルを選択して「OK」をクリックします。

⑥コンテンツのインストールが正常に完了すると、以下のようなポップアップが表示されます。

　

4. PAN-OSインストール

①DEVICE > ソフトウェアから「アップロード」をクリックします。

②事前にダウンロードしたOSファイルを選択してインポートします。

③インポートされたOSが表示されます。アクション(Action)の列で「Install」をクリックします。

④インストールが完了すると、再起動の実行に関するポップアップが表示されます。

• インストールしたOSが目的のバージョンの場合、再起動が必要なため「Yes」をクリックします。
• インストールしたOSがベースイメージの場合は再起動が不要なため「No」をクリックします。
  続けて目的のバージョンのOSインストールを実施します。

⑤再起動が完了したら、DASHBOARD > General Information > Software Version から
　実行されているPAN-OSのバージョンを確認します。

　

5. まとめ

今回は手動でOSファイルをダウンロードし、GUIからバージョンアップを行う方法をご紹介しました。
本手順を利用することで、オフライン環境でもPAN-OSのアップグレードが可能です。
アップグレードパスやベースイメージの考え方については、今後の記事でご紹介できればと思います。

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
　今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。