PAN‐OSバージョンをアップデートする方法を紹介します。
今回は仮想アプライアンスとして palaolto を利用しており、
PAN-OSバージョンを「10.2.0」→「10.2.1」へと変更してみました。
PAN‐OSのバージョンをアップデートする方法
1.「DEVICE」タブから「ソフトウェア」クリックして「10.2.1」のバージョンをダウンロードします。
なお、バージョン一覧が表示されない場合には画面下部の「今すぐチェック」をクリックしてください。
アップデートサーバから利用できる PAN-OS の情報を取得できます。
ダウンロードを開始すると以下のようなポップアップ画面が表示されるのでダウンロードが完了するまで待ちます。
2.「10.2.1」のバージョンをインストールします。
もしインストールの際にエラーが出てきたらシグネチャのバージョンが要件を満たしていない可能性があります。
これについては下部の「アプリケーションおよび脅威」のシグネチャの要件もあるに記載していますのでそちらを参照してください。
なおダウンロードの時と同様にインストール中はポップアップで進捗状況が分かります。
3.インストール後に端末を再起動させます。
以下のようなポップアップが出現するので再起動して OK であれば「はい」を押して再起動させます。
再起動には少し時間がかかります。 ※今回は約 10 分かかりました。
4.再起動後に PAN-OS バージョンを確認する
これで PAN-OS のアップデートは完了です。
CLIでOSバージョンを変更する方法
CLIでOSバージョンを変更する方法以下の記事にまとめていますので参考にしてください。
ライセンスサーバと通信できない場合にはエラー画面が表示される
ライセンスサーバと通信ができない状態であるときには以下のようなエラーとなり PAN-OS のバージョン一覧を表示することはできません。
エラーの原因
エラーの原因としては以下の2つがあげられます。
1.ライセンスを適用していない場合
物理機器だとあまりないかもしれないですが、仮想アプライアンスだとライセンス形態として「BYOL」を選択することができます。
その BYOL を利用している場合、ライセンスを適用していない状態だとアップデートサーバーから情報を取得することができないのでこのようなエラーとなることがあります。
2.管理インターフェースがインターネットに通信できない状態である場合
paloalto のデフォルトの設定ではアップデートサーバーとの通信は管理インターフェースを利用します。
その管理インターフェースからの通信が FW や ルーティングなどの影響でインターネットに抜けることができない場合にもこのようなエラーが出ます。
上記の「1.」「2.」以外にも原因はあるかもしれないですが、まずはこれらを疑ってみるといいのではと思います。
「アプリケーションおよび脅威」のシグネチャの要件もある
PAN-OS のバージョンを上げる際に「アプリケーションおよび脅威」のシグネチャのバージョンが一定のバージョン以上でないと PAN-OS のインストール時にエラーとなります。
以下は「10.2.0」→「10.2.1」にアップデートしようとした際に出てきたエラー表示です。
エラー表示の「詳細」の欄を見ると、今回はシグネチャのバージョンが PAN-OS アップデートの要件を満たしていないので失敗をしていました。
実際にこの時のシグネチャのバージョンを見てみると、シグネチャは何もインストールされていない状況でした。
なので今回は最新のシグネチャのバージョンをあてて再度 PAN-OS のアップデートを実行しました。
「アプリケーションおよび脅威」のシグネチャは [DEVICE]‐[ダイナミック更新] から確認・更新することができます。
※ダウンロード・インストールの流れは上記で記載している PAN-OS のアップデートと同じ流れです。
今回は以下のように現時点での最新のシグネチャのバージョンをあてた状態にしました。
