PaloAlto_16 PA-1410 更新 PAN-OS 實戰指南

 

HA 架構下，工程師如何優雅升級不斷線

在企業網路的日常裡，有三件事會讓工程師瞬間清醒：
防火牆掛了、主管在旁邊、還有防火牆要升級。

如果你用的是 Palo Alto PA-1410 × 2，並且採用 HA（High Availability）架構，那恭喜你，你已經站在「可以不中斷服務升級」的正確起跑線上；但前提是——流程要對、順序不能亂。

這篇文章，就用一個工程師＋一點幽默的角度，帶你完整跑過一次 PA-1410 HA 架構下的 PAN-OS 升級流程。

一、HA 架構的核心哲學：不是快，是穩

HA 架構的基本設定很簡單：

• 一台 Active：實際扛流量

• 一台 Passive：待命、同步、準備接手

HA 的真正價值不是「升級比較快」，而是：

你可以在不中斷服務的情況下，把防火牆升級完成。

所以整個流程的黃金守則只有一句：

👉 先升 Passive，再切 Failover，最後升 Active

二、升級前檢查（這段做完，晚上比較睡得著）

在你按下 Download 之前，先確認這些事情：

1️⃣ HA 狀態正常

• Active / Passive 清楚

• HA Sync：In Sync

• 沒有 Split-Brain

👉 不同步，先修 HA，別碰升級。

2️⃣ 設定備份（工程師的護身符）

• Export Device State

• Export Running Config

• 有 Panorama 一起備

這不是迷信，是生存技巧。

3️⃣ 確認 PAN-OS 升級路徑

• 不要跨大版本直跳

• 先升到目前分支最新，再往上

防火牆不喜歡驚喜。

三、HA 架構下的標準升級流程

Step 1：先升級 Passive

確認哪台是 Passive，然後：

• Download 新版 PAN-OS

• Install

• Reboot

這時：

• 流量還在 Active

• 使用者完全無感

• 工程師心情尚可 ☕

Step 2：確認 Passive 升級完成狀態

升完後請檢查：

• OS 版本正確

• 仍是 Passive

• HA Sync 正常

• Log 沒有爆紅字

這一步，是你「最後可以反悔」的時間點。

四、手動觸發 Failover（整篇最關鍵）

Passive 升級完成後，接下來要讓它正式接手流量，這一步就是 手動 Failover。

▶ 為什麼要手動？

因為工程師要的是「可控」，不是「賭」。

方法一：Web UI（最直覺、最安全）

一定要登入「目前的 Active」那台

路徑：

Device → High Availability → Operational Commands

點選：

Suspend local device

這代表你對 Active 說：
「你可以下班了，換你兄弟上場。」

系統會自動：

• 將目前 Active 降為 Passive

• 已升級完成的那台升為 Active

• 流量完成切換（通常 1～3 秒）

方法二：CLI（工程師帥氣版）

在「目前 Active」執行：

request high-availability state suspend

驗證狀態：

show high-availability state

你要看到：

• 一台 Active

• 一台 Passive

• HA In Sync

Failover 當下會發生什麼？

正常情況下：

• Ping 掉 1～2 包

• 少量 TCP 重新建立（視 session sync 設定）

使用者：

「剛剛是不是卡一下？」

工程師：

「嗯，有，但我有預期。」😎

五、升級原本的 Active（現在它是 Passive）

Failover 成功、流量穩定後：

• 原本的 Active 現在已變 Passive

• 重複一樣的升級流程

  • Download

  • Install

  • Reboot

完成後，兩台 PA-1410：

• OS 版本一致

• HA 狀態正常

• 架構回到穩定狀態

六、升級完成後檢查清單（別急著關瀏覽器）

請確認：

• 上網正常

• VPN（GlobalProtect / Site-to-Site）

• NAT / Security Policy 命中

• Traffic / Threat Log 正常

• HA Sync：In Sync

確認穩定 10～15 分鐘，再安心收工。

七、工程師結語

HA 升級成功的關鍵不是技巧，而是紀律：

• Passive 永遠先升

• Failover 一定手動

• 備份一定要有

只要流程正確，
PA-1410 的 PAN-OS 升級，其實是一件非常優雅的事。

最後送你一句工程師名言：

「HA 不是用來救亂升級的，
是讓你可以冷靜升級。」

PaloAlto_15 PA-1410 第一次開機 & 管理存取設定

 

——「當防火牆第一次醒來，你只有一次機會當好人」

防火牆第一次開機，就像新同事第一天報到：
你現在怎麼對它，它以後就怎麼對你。

這篇文章會帶你完成 Palo Alto PA-1410 的首次開機與「工程師生存等級」的管理存取設定，避免未來半夜被自己關在門外。

一、第一次開機前，你至少要準備這些（不然會很想哭）

1️⃣ 硬體與線材

• PA-1410 本體（廢話，但真的有人忘）

• 電源線 ×2（能插就插，未來你會感謝現在的自己）

• 管理電腦（筆電即可）

• Console 線 or 網路線

  • 有 Console → 人生比較順

  • 沒 Console → 走 Web 管理也可以，但要更小心

2️⃣ 管理電腦網路設定（重點）

預設狀態下：

• Management IP：192.168.1.1/24

• 你的電腦請設：

  • IP：192.168.1.10

  • Mask：255.255.255.0

  • Gateway：不用設（真的）

二、開機那一刻：風扇起飛，但你要冷靜

🟢 開機流程

1. 插上電源

2. 電源鍵按下去

3. 你會聽到：

   • 風扇：「我要起飛啦！」

   • 你內心：「這聲音正常嗎？」

放心，正常。
第一次開機約 5–10 分鐘，這段時間請不要：

• 重開機

• 拔電

• 懷疑人生

三、登入防火牆：第一次見面要有禮貌

方法一：Web 管理（最常用）

1. 打開瀏覽器

2. 輸入：

https://192.168.1.1

3. 忽略憑證警告（工程師的日常）

4. 預設帳密：

項目	值
帳號	admin
密碼	admin

⚠️ 這組帳密全世界工程師都知道，
你現在不改，未來一定會被自己罵。

四、第一件事：改 admin 密碼（不然你不配叫工程師）

路徑：

Device → Administrators → admin

建議密碼原則（現實版）

• 長度 ≥ 12

• 有大寫 / 小寫 / 數字

• 不要：

  • company123

  • admin@123

  • 你公司名稱＋年份（拜託）

五、設定 Management IP（不然你之後會找不到它）

路徑：

Device → Setup → Services

常見企業設定範例：

項目	範例
Default Gateway	10.10.0.1
DNS	8.8.8.8 / 公司 DNS

✔ 設完 一定要 Commit
✔ Commit 前先確認「你電腦能不能連得到新 IP」

✔ 當然時間也是很重要囉~記得要啟用NTP校時!記得開放對外連線權限

工程師血淚名言：
「Commit 完才發現接錯網段，是一種修行。」

   

六、管理存取設定：誰可以「摸」這台防火牆？

1️⃣ 管理服務限制（超重要）

路徑：

Device → Setup → Management → Management Interface Settings

建議只開：

• ✔ HTTPS

• ✔ SSH（需要 CLI 時）

• ❌ Telnet（這年代還用 Telnet 的…算了）

2️⃣ 限制來源 IP（保命設定）

• 指定：

  • IT 管理網段

  • VPN 管理網段

例如：

10.10.0.0/24
172.16.100.0/24

👉 不要 0.0.0.0/0
👉 防火牆不是咖啡店 Wi-Fi

七、建立「不是 admin 的帳號」（未來會救你）

為什麼？

• admin 是核彈

• 日常操作用核彈，遲早出事

路徑：

Device → Administrators → Add

建議做法：

帳號	權限
it-admin	Superuser
it-readonly	Read-only

出事時，你會慶幸有 Read-only 帳號。或是自己建立Admin Role Profile

八、Commit：你今天最重要的一個按鈕

右上角那顆 Commit
不是裝飾，是信仰。

✔ 設定沒 Commit = 沒做
✔ Commit 失敗 = 去看 Log，不要罵設備

✔ 且看做了那些修改

✔若有多人管理可以選擇針對自己帳號修改的地方執行Commit

九、工程師經驗談（真的）

• ❌ 忘記改 admin 密碼 → 資安稽核直接開場白

• ❌ 管理介面全開 → 防火牆變成「被防火牆」

• ❌ 管理 IP 設錯 → Console 線重出江湖

• ✔ 管理存取先鎖好 → 晚上睡得著

結語：防火牆不是怕你，是怕你亂來

PA-1410 很強，
但它強不強，取決於第一次開機時你多謹慎。

防火牆不會背叛你，
會背叛你的，只有沒改密碼的 admin。

PaloAlto_14 PA-1410 標準企業網路建置實戰：

 

雙機 HA ＋ Core Switch LACP，
一套讓工程師能安心請假的架構**

一、前言：

「ISP 第一個接到誰，決定你晚上睡不睡得著」

企業網路只有兩種狀態：

1. 還沒出事

2. 正在被追究責任

而「ISP 進來先接誰」，就是那條讓你站在第 1 或第 2 種狀態的分水嶺。

正確答案只有一個：防火牆。

二、整體架構一眼懂（老闆版・修正版）

Internet
   |
 [ ISP ]
   |
====================
|| PA-1410 A      ||  ← Active
|| PA-1410 B      ||  ← Passive
====================
   ||   (LACP ae)
===========
||  Core  ||
|| Switch ||
===========
   |
 Internal Network

老闆只要懂一句話就好：

「網路不會因為一台設備壞掉就全公司停工。」

三、為什麼一定是「ISP → PA → Core Switch」？

因為反過來會出事，而且是那種會被寫報告的事。

❌ ISP → Core → Firewall 的真實下場

• Core Switch 直接暴露在 Internet

• 掃 Port、攻擊封包先打到交換器

• 防火牆：

  • 看不到第一手流量

  • Log 永遠少一段

• 資安稽核一句就夠：

  「為什麼邊界設備不是防火牆？」

✅ ISP → PA → Core 的好處

• 防火牆是真正的 Security Boundary

• NAT / Threat / App-ID / URL 全部吃得到

• Core Switch：

  • 專心當交換器

  • 不用替你擋駭客

四、PA-1410 × 2：

不是高可用，是基本生存

為什麼要做 HA？

因為：

• 防火牆一定會重開

• 升級一定會用到

• 硬體一定有壽命

HA 模式選擇

• Active / Passive

• 原因很工程師：

  • 穩定

  • 好除錯

  • 出事只會有一台被罵

HA 必接線路（少一條你會後悔）

• HA1：控制

• HA1 Backup：備援控制

• HA2：Session Sync（超重要）

• HA2 Backup：睡得更熟用

五、外網設計（Untrust）：

簡單就是王道

• ISP → PA-1410 A ethernet1/1

• ISP → PA-1410 B ethernet1/1

• 不做 LACP

• 由 HA 控制誰是 Active

👉 外網設計原則：
越單純，越不會半夜出事

六、內網設計（Trust）：

這才是 LACP 發揮的地方

PA-1410

• ethernet1/3 + ethernet1/4 → ae1

• 指派到 Trust Zone

Core Switch

• 對應 Port-Channel

• LACP Mode：Active

你會得到什麼？

• 頻寬疊加

• 任一條線斷都不會掉線

• 工程師不會因為「被踢到線」而被叫醒

七、Zone 與邏輯設計

基本但一定要清楚：

• Untrust：外網

• Trust：內部網路

• DMZ：對外服務

• VPN：給未來自己留路

一句工程師真理：

Zone 沒想清楚，Policy 一定長得像義大利麵。

八、Policy 與資安（不要 any any）

新手最愛：

Trust → Untrust → any any allow

老手會補一句：

「你確定這段要留下來？」

正確方向：

• Policy 分層

• 一定開 Log

• 一定套 Security Profile

Palo Alto 的價值不是擋，而是看得清楚。

九、HA ＋ LACP 的實際價值

狀況	結果
防火牆 Active 掛掉	Passive 秒接
一條內網線斷	LACP 撐住
升級重開	使用者幾乎無感
老闆問穩不穩	你敢點頭

十、結語：

這不是炫技，是工程師的基本修養

PA-1410 × 2
Active / Passive HA
Core Switch LACP

這套架構的目的知道只有一個：

讓網路出事時，
第一個心跳加速的不是你。