en un PA-7000 Series

Transcripción

Palo Alto Networks
Guía de referencia de hardware de PA-7000 Series
Información de contacto
Sede de la empresa:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
www.paloaltonetworks.com/company/contact-us
Acerca de esta guía
Esta guía describe el hardware de los cortafuegos PA-7050 y PA-7080, ofrece instrucciones sobre cómo instalar el
hardware, describe cómo realizar tareas de mantenimiento e incluye las especificaciones técnicas del producto. Esta guía
está dirigida a los administradores de sistemas responsables de la instalación y el mantenimiento de un cortafuegos de la
PA-7000 Series.
Todos los cortafuegos de la serie PA-7000 ejecutan PAN-OS®, un sistema operativo especialmente diseñado con
numerosas prestaciones de seguridad y redes. Para obtener más información, consulte los siguientes recursos:

Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en
el cortafuegos, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, foros de debate y vídeos, consulte
https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia para obtener información sobre programas de asistencia
técnica, o para gestionar su cuenta y sus dispositivos, consulte https://support.paloaltonetworks.com.

Si desea las notas de versión más recientes, vaya a la página de descargas de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para obtener información sobre la capacidad y el rendimiento de todos los cortafuegos de Palo Alto Networks,
consulte
https://www.paloaltonetworks.com/products/product-selection.html.

Para ver la hoja de especificaciones del producto, consulte
https://www.paloaltonetworks.com/resources/datasheets.html.
Para enviar sus comentarios sobre la documentación, diríjase a: [email protected].
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2007-2015 Palo Alto Networks, Inc. Palo Alto Networks es una marca comercial registrada de Palo Alto Networks. Puede encontrar una
lista de nuestras marcas comerciales en http://www.paloaltonetworks.com/company/trademarks.html. El resto de marcas mencionadas
en la presente pueden ser marcas comerciales de sus respectivas empresas.
Fecha de revisión: diciembre 4, 2015
2 • Guía de referencia de hardware de PA-7000 Series
Palo Alto Networks
Contenido
Capítulo 1
Descripción general del cortafuegos de la serie PA-7000 . . . . . . . . . . . .
5
Descripciones de los paneles frontal y trasero del PA-7050. . . . . . . . . . . . 5
Panel frontal del PA-7050 (CA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Panel trasero del PA-7050 (CA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Panel frontal del PA-7050 (CC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Panel trasero del PA-7050 (CC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Descripciones de los paneles frontal y trasero del PA-7080. . . . . . . . . . . . 12
Panel frontal del PA-7080 (CA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Panel trasero del PA-7080 (CA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Panel frontal del PA-7080 (CC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Panel trasero del PA-7080 (CC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Capítulo 2
Información acerca de los módulos y las tarjetas de
interfaz de PA-7000 Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
Tarjeta de gestión de conmutadores (SMC) . . . . . . . . . . . . . . . . . . . . . . . . . 24
Interpretación de los LED de la SMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Tarjeta de procesamiento de logs (LPC) . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Descripciones de componentes de LPC y AMC . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Interpretación de los LED de AMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Tarjetas de procesamiento de red (NPC). . . . . . . . . . . . . . . . . . . . . . . . . . . 33
PA-7000 20G NPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
PA-7000-20GQ-NPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Capítulo 3
Instalación del hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Declaración de la comprobación de alteraciones . . . . . . . . . . . . . . . . . . . .
Antes de comenzar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Información de seguridad para la instalación del rack . . . . . . . . . . . . . . . .
Instalación en el rack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Montaje de un cortafuegos PA-7050 en el rack . . . . . . . . . . . . . . . . . . . . . . . . . .
Montaje de un cortafuegos PA-7080 en el rack . . . . . . . . . . . . . . . . . . . . . . . . . .
Instale las tarjetas para ranuras delanteras obligatorias . . . . . . . . . . . . . .
Instalación de la tarjeta de gestión de conmutadores (SMC) . . . . . . . . . . . . . . . .
Instalación de la tarjeta de procesamiento de logs (LPC) . . . . . . . . . . . . . . . . . . .
Instalación de una tarjeta de procesamiento de red (NPC) . . . . . . . . . . . . . . . . .
Verificación de la configuración de LPC y NPC en PA-7000 Series . . . . . .
Verificación de la configuración de LPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verificación de la configuración de NPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conexión de alimentación a un cortafuegos PA-7000 Series . . . . . . . . . . .
Determinación de los requisitos de alimentación de un cortafuegos PA-7000 Series . . .
Conexión de alimentación de CA a un cortafuegos PA-7050 . . . . . . . . . . . . . . . .
Conexión de alimentación de CC a un cortafuegos PA-7050 . . . . . . . . . . . . . . . .
Conexión de alimentación de CA a un cortafuegos PA-7080 . . . . . . . . . . . . . . . .
Conexión de alimentación de CC a un cortafuegos PA-7080 . . . . . . . . . . . . . . . .
Consulta del consumo de un cortafuegos PA-7000 Series . . . . . . . . . . . . . . . . . . .
Conexión de cables a un cortafuegos PA-7000 Series . . . . . . . . . . . . . . . .
Palo Alto Networks
39
39
40
40
41
41
46
52
52
54
59
68
68
69
70
70
72
74
76
79
82
84
Contenido • 3
Capítulo 4
Mantenimiento del hardware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Precauciones y advertencias relacionadas con el hardware . . . . . . . . . . . . 87
Precauciones con el hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Advertencias sobre el hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Sustitución de una fuente de alimentación
de CA o CC en un PA-7000 Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Interpretación de los LED de la fuente de alimentación de
un cortafuegos PA-7000 Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Sustitución de una fuente de alimentación de CA en un PA-7000 Series . . . . . . . 93
Sustitución de una fuente de alimentación de CC en un PA-7000 Series . . . . . . . 96
Sustitución de un PEM en un PA-7080 de CC . . . . . . . . . . . . . . . . . . . . . . . 100
Sustitución de una unidad de disco LPC en un PA-7000 Series . . . . . . . . . 102
Sustitución de una bandeja de ventiladores en un PA-7000 Series. . . . . . 104
Sustitución de una bandeja de ventiladores en un PA-7050 . . . . . . . . . . . . . . . 104
Sustitución de una bandeja de ventiladores en un PA-7080 . . . . . . . . . . . . . . . 107
Sustitución de un filtro de aire en un PA-7000 Series . . . . . . . . . . . . . . . . 109
Sustitución de una tarjeta de la ranura delantera LPC
en un PA-7000 Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Sustitución de una tarjeta de gestión de conmutadores (SMC) en un PA-7000 . . . 112
Sustitución de una tarjeta de procesamiento de logs (LPC) en un PA-7000 Series . . . 115
Sustitución de una tarjeta de procesamiento de red (NPC) en un PA-7000 Series . . . . 120
Capítulo 5
Especificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
127
Especificaciones físicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Especificaciones de las interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Especificaciones eléctricas y cables de alimentación . . . . . . . . . . . . . . . . . 131
Especificaciones eléctricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Tipos de cables de alimentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Especificaciones medioambientales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Capítulo 6
Declaración de conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
133
Requisitos de NEBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Declaración de conformidad VCCI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Declaración de BSMI EMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
4 • Contenido
Palo Alto Networks
Descripciones de los paneles frontal y trasero del PA-7050
Capítulo 1
Descripción general del cortafuegos
de la serie PA-7000
Los cortafuegos de la serie PA-7000 (PA-7050 y PA-7080) son cortafuegos modulares de alto rendimiento diseñados
para grandes empresas y entornos donde la fiabilidad es crítica. Estos bastidores de múltiples ranuras pueden utilizar
tanto alimentación de CA como de CC, y cuentan con tarjetas de procesamiento de red (NPC) intercambiables en
caliente que permiten su expansión a medida que aumenten las necesidades. Puede instalar hasta seis NPC en el
cortafuegos PA-7050 y hasta diez NPC en el cortafuegos PA-7080. Estos cortafuegos también incluyen un puerto de
control de alta disponibilidad (HA) específico (HA1), así como dos puertos de HA QSFP de 80 Gb específicos para
las funciones HA2 (enlace de datos) y HA3 (reenvío de paquetes). Estos puertos de HA específicos permiten que los
cortafuegos de la serie PA-7000 funcionen con una redundancia de hardware completa en una configuración de tipo
activo/pasivo o activo/activo. Además, para mejorar el rendimiento de los logs, los cortafuegos utilizan una tarjeta de
log específica para gestionar todas las tareas de procesamiento de logs.
Nota: La versión de software mínima que puede instalar en un cortafuegos PA-7050 es PAN-OS 6.0
y la versión de software mínima para el cortafuegos PA-7080 es PAN-OS 7.0.
•
“Descripciones de los paneles frontal y trasero del PA-7050” en la página 5
•
“Descripciones de los paneles frontal y trasero del PA-7080” en la página 12
Descripciones de los paneles frontal y trasero
del PA-7050
•
“Panel frontal del PA-7050 (CA)” en la página 6
•
“Panel trasero del PA-7050 (CA)” en la página 8
•
“Panel frontal del PA-7050 (CC)” en la página 10
•
“Panel trasero del PA-7050 (CC)” en la página 11
Palo Alto Networks
Descripción general del cortafuegos de la serie PA-7000 • 5
Panel frontal del PA-7050 (CA)
La Ilustración 1 muestra el panel frontal del cortafuegos PA-7050 con fuentes de alimentación de CA instaladas,
y la Tabla 1 describe las funciones del panel frontal.
Ilustración 1. Panel frontal del PA-7050 (CA)
PA-7050-FAN
PA-7050
PA-7050-FAN
POWER
POWER
FAULT
FAULT
PA-7000-BLANK
1
1
1
PA-7000-BLANK
2
2
2
PA-7000-BLANK
3
3
PA-7050-SMC
3
CONSOLE
HA1-A
4
SMC
HA1-B
HSCI-A
HSCI-B
MGT
PWR
ALM
STS
FAN
USB
HA
PS
TMP
4
4
SMC
LOG
PA-7000-BLANK
5
5
PA-7000-BLANK
6
6
1
PA-7000-20G-NPC
5
3
7
9
11
13
15
17
19
21
23
PWR
STS
ALM
7
TMP
2
6
5
7
ACTIVITY
8
FAULT
PA-7000-AMC-1TB
POWER
4
ACTIVITY
6
8
10
12
POWER
FAULT
PA-7000-AMC-1TB
14
ACTIVITY
FAULT
PA-7000-AMC-1TB
16
18
20
POWER
22
24
ACTIVITY
FAULT
POWER
8
PA-7000-AMC-1TB
7
8
6 • Descripción general del cortafuegos de la serie PA-7000
Palo Alto Networks
Tabla 1. Funciones del panel frontal del PA-7050 (CA)
Elemento
Descripción
1.
Bandeja de ventiladores
de extracción
Proporciona ventilación y refrigeración para el bastidor. La bandeja de
ventiladores es intercambiable, así que puede instalarla en cualquier ranura
de bandeja de ventiladores.
Durante el funcionamiento normal, el LED de alimentación está de color
verde y el LED de fallo está apagado. Si falla un ventilador individual de la
bandeja de ventiladores, el LED de alimentación se apaga y el LED de
fallo se enciende de color rojo.
Para obtener información sobre cómo reemplazar una bandeja de
ventiladores, consulte “Sustitución de una bandeja de ventiladores en un
PA-7050” en la página 104.
2.
de entrada de aire
3.
tarjeta de gestión de
conmutadores (SMC)
Permite acceder a la gestión del bastidor mediante un cable serie de
consola conectado al puerto de la consola o un cable RJ-45 conectado al
puerto de gestión (MGT). La SMC también contiene puertos de alta
disponibilidad (HA), y los indicadores LED proporcionan información
sobre diversos componentes del bastidor.
IMPORTANTE: La SMC es necesaria para el funcionamiento del
bastidor y un cortafuegos PA-7050, y debe instalarse en la ranura 4.
Para obtener más información, consulte “Tarjeta de gestión de
conmutadores (SMC)” en la página 24.
El software PAN-OS® se entrega ya instalado en la unidad de
estado sólido (SSD) integrada en la SMC; la SSD no admite
mantenimiento.
4.
Filtro de aire
Filtra el aire que entra en el bastidor. Inspeccione el filtro periódicamente
para garantizar que está limpio. El filtro no está diseñado para limpiarlo,
por lo que se recomienda sustituirlo cada seis meses.
5.
tarjeta de procesamiento
de red (NPC)
Ofrece conectividad de tráfico de red.
IMPORTANTE: En un cortafuegos PA-7050, puede instalar hasta seis
NPC (en las ranuras 1, 2, 3, 5, 6 y/o 7). Debe haber al menos una NPC
instalada antes de que el cortafuegos pueda procesar el tráfico de red.
Para obtener más información, consulte “Tarjetas de procesamiento de
red (NPC)” en la página 33.
6.
de logs (LPC)
Gestiona y almacena todos los logs generados por el cortafuegos. La LPC
contiene cuatro unidades de disco configuradas en dos pares RAID 1
independientes para ofrecer redundancia. Cada unidad está instalada en
una tarjeta Advanced Mezzanine Card (AMC), que conecta físicamente la
unidad a la LPC. Al sustituir una unidad, la AMC y las unidades se
ordenan y se instalan como una unidad.
IMPORTANTE: La LPC es obligatoria y debe instalarse en la ranura 8
para que el bastidor funcione.
Para obtener más información, consulte “Tarjeta de procesamiento de logs
(LPC)” en la página 30.
Palo Alto Networks
Tabla 1. Funciones del panel frontal del PA-7050 (CA) (Continuación)
Elemento
Descripción
7.
Fuentes de alimentación
de CA
Proporcionan alimentación de CA al bastidor. El bastidor siempre debería
tener las cuatro fuentes de alimentación instaladas y operativas para
permitir la redundancia.
Si desea más información sobre cómo conectar la alimentación, consulte
“Conexión de alimentación a un cortafuegos PA-7000 Series” en la
página 70.
8.
Puertos de descarga
electrostática (ESD)
Proporciona un punto de toma de tierra que debe utilizar al retirar o instalar
componentes del bastidor. Fije el extremo de la muñequera para ESD
proporcionada alrededor de la muñeca y conecte el otro extremo a uno
de los puertos de ESD.
Panel trasero del PA-7050 (CA)
La Ilustración 2 muestra el panel trasero del cortafuegos PA-7050, y la Tabla 2 describe las funciones del
panel trasero.
Ilustración 2. Panel trasero del PA-7050 (CA)
1
2
3
Palo Alto Networks
Tabla 2. Funciones del panel trasero del PA-7050 (CA)
Elemento
Descripción
1.
Perno de toma de tierra
Perno de dos postes utilizado para proporcionar una toma de tierra para el
bastidor. Utilice el terminal de toma de tierra de dos postes proporcionado
para conectar a un cable con toma de tierra (no incluido) al perno de
dos postes.
2.
Entradas de alimentación
de CA del módulo de
entrada de alimentación
(PEM)
Conecta la fuente de alimentación a las fuentes de alimentación ubicadas en
la parte delantera del bastidor. A continuación, las fuentes de alimentación
delanteras distribuyen la alimentación a todos los componentes del bastidor.
El PEM de CA contiene cuatro entradas de alimentación de CA de 20 A
(cada una de ellas acompañada de un conmutador); de este modo hay un
par, la entrada con su correspondiente conmutador, para cada fuente de
alimentación.
Si tiene enfrente la parte trasera del bastidor, la entrada y su conmutador
situados más a la izquierda proporcionan alimentación a la fuente de
alimentación situada más a la derecha cuando mira de frente a la parte
delantera del bastidor.
página 70.
Los PEM de CA no admiten mantenimiento in situ.
3.
Conmutadores de
alimentación de CA del
módulo de entrada de
alimentación (PEM)
Palo Alto Networks
Proporciona conmutadores para encender o apagar las fuentes de
alimentación de CA. Cada conmutador cuenta con un disyuntor que
se desconectará si la carga alcanza los 25 A.
Panel frontal del PA-7050 (CC)
La Ilustración 3 muestra el panel frontal del cortafuegos PA-7050 con fuentes de alimentación de CC.
Nota: La única diferencia entre el panel frontal de la plataforma de CA y el panel frontal de la
plataforma de CC es que la plataforma de CC tiene cuatro fuentes de alimentación de CC delanteras
en lugar de cuatro fuentes de alimentación de CA. Cuando se instalan fuentes de alimentación de CC,
las entradas de CA e interruptores del panel posterior no estarán funcionales y deberán cubrirse con
la placa proporcionada. Para obtener descripciones de los componentes del panel frontal, consulte
“Panel frontal del PA-7050 (CA)” en la página 6.
Ilustración 3. Panel frontal del PA-7050 (CC)
PA-7050-FAN
PA-7050
PA-7050-FAN
POWER
POWER
FAULT
FAULT
PA-7000-BLANK
1
1
PA-7000-BLANK
2
2
PA-7000-BLANK
3
3
PA-7050-SMC
CONSOLE
HA1-A
4
SMC
HA1-B
HSCI-A
HSCI-B
MGT
PWR
ALM
STS
FAN
USB
HA
PS
TMP
4
SMC
LOG
PA-7000-BLANK
5
5
PA-7000-BLANK
6
6
1
PA-7000-20G-NPC
3
5
7
9
11
13
15
17
19
21
23
PWR
STS
7
ALM
7
TMP
2
ACTIVITY
8
FAULT
PA-7000-AMC-1TB
POWER
4
ACTIVITY
FAULT
PA-7000-AMC-1TB
6
8
10
POWER
12
14
ACTIVITY
FAULT
PA-7000-AMC-1TB
16
18
20
POWER
22
24
ACTIVITY
FAULT
POWER
8
PA-7000-AMC-1TB
4 fuentes de alimentación de CC
Palo Alto Networks
Panel trasero del PA-7050 (CC)
La Ilustración 4 muestra el panel trasero del cortafuegos PA-7050. Las entradas de CA y los conmutadores no son
funcionales y deben permanecer cubiertos por la placa de cobertura proporcionada.
Nota: La única diferencia entre el panel trasero de la plataforma de CA y el
panel trasero de la plataforma de CC es que la plataforma de CC no tiene ningún
módulo de entrada de alimentación (PEM); la fuente de alimentación de CC se
conecta directamente a la parte delantera de las fuentes de alimentación. Para
obtener una descripción de los componentes del panel trasero, consulte “Panel
trasero del PA-7050 (CA)” en la página 8.
Ilustración 4. Panel trasero del PA-7050 (CC)
Terminales de tierra
Palo Alto Networks
Entrada de CA y placa de interruptor de encendido
(solo se usa con las fuentes de alimentación de CC instaladas)
Descripciones de los paneles frontal y trasero
del PA-7080
•
“Panel frontal del PA-7080 (CA)” en la página 13
•
“Panel trasero del PA-7080 (CA)” en la página 16
•
“Panel frontal del PA-7080 (CC)” en la página 18
•
“Panel trasero del PA-7080 (CC)” en la página 20
Palo Alto Networks
Panel frontal del PA-7080 (CA)
La Ilustración 5 muestra el panel frontal del cortafuegos PA-7080 con fuentes de alimentación de CA,
y la Tabla 3 describe las funciones del panel frontal.
Ilustración 5. Panel frontal del PA-7080 (CA)
1
2
3
4
5
6
7
8
9
10
11
Palo Alto Networks
Tabla 3. Funciones del panel frontal del PA-7080 (CA)
Elemento
Descripción
1.
de extracción
ventiladores, consulte “Sustitución de una bandeja de ventiladores
en un PA-7080” en la página 107.
2.
Guía de cable superior
(Opcional) Permite gestionar los cables para redirigir los cables Ethernet
y el cable de consola. Este elemento se envía junto con el bastidor pero
no está preinstalado.
3.
tarjeta de gestión de
conmutadores (SMC)
Permite acceder a la gestión del bastidor mediante un cable serie de
consola conectado al puerto de la consola o un cable RJ-45 conectado
al puerto de gestión (MGT). La SMC también contiene puertos de alta
disponibilidad (HA). Los indicadores LED proporcionan información
acerca de varios componentes del bastidor.
IMPORTANTE: La SMC es necesaria para el funcionamiento del
bastidor y un cortafuegos PA-7080, y debe instalarse en la ranura 6.
Para obtener más información, consulte “Tarjeta de gestión de
El software PAN-OS® se entrega ya instalado en la unidad de
estado sólido (SSD) integrada en la SMC; la SSD no admite
mantenimiento.
4.
de logs (LPC)
Gestiona y almacena todos los logs generados por el cortafuegos. La LPC
contiene cuatro unidades de disco configuradas en dos pares RAID 1
independientes para ofrecer redundancia. Cada unidad está instalada en
una tarjeta Advanced Mezzanine Card (AMC), que conecta físicamente
la unidad a la LPC. Al sustituir una unidad, la AMC y las unidades se
ordenan y se instalan como una unidad.
IMPORTANTE: La LPC es obligatoria y, en un cortafuegos PA-7080,
debe instalarse en la ranura 7 para que el bastidor funcione.
Para obtener más información, consulte “Tarjeta de procesamiento de logs
(LPC)” en la página 30.
5.
de red (NPC)
Ofrece conectividad de tráfico de red.
IMPORTANTE: En un cortafuegos PA-7080, puede instalar hasta 10 NPC
(en las ranuras 1, 2, 3, 4, 5, 8, 9, 10, 11 y/o 12). Debe haber al menos una
NPC instalada antes de que el cortafuegos pueda procesar el tráfico de red.
Para obtener más información, consulte “Tarjetas de procesamiento de red
(NPC)” en la página 33.
6.
Guía de cable inferior
(Opcional) Permite gestionar los cables para redirigir los cables de fibra
óptica. Este elemento se envía junto con el bastidor pero no está
preinstalado.
Palo Alto Networks
Tabla 3. Funciones del panel frontal del PA-7080 (CA) (Continuación)
Elemento
Descripción
7.
de entrada de aire
8.
Puertos de descarga
electrostática (ESD)
Proporciona un punto de toma de tierra que debe utilizar al retirar o instalar
componentes del bastidor. Fije el extremo de la muñequera para ESD
proporcionada alrededor de la muñeca y conecte el otro extremo a uno
de los puertos de ESD.
9.
Filtro de aire
Filtra el aire que entra en el bastidor. Inspeccione el filtro periódicamente
para garantizar que está limpio. El filtro no está diseñado para limpiarlo,
por lo que se recomienda sustituirlo cada seis meses.
10. Orificio de ventilación
de entrada de aire
Permite la circulación del aire para refrigerar el bastidor. No obstruya este
orificio de ventilación.
11. Fuentes de alimentación
de CA
Proporcionan alimentación de CA al bastidor. El bastidor se envía con
cuatro fuentes de alimentación de 240 V de CA preinstaladas en las
ranuras 1A/1B y las ranuras 2A/2B, y puede instalar cuatro fuentes de
alimentación más hasta tener un total de ocho. Con la configuración
predeterminada (cuatro fuentes de alimentación), puede instalar hasta
nueve NPC. Para instalar diez NPC, añada otro par de fuentes de
alimentación en las ranuras 3A/3B.
Las fuentes de alimentación de CA y CC frontales son casi
idénticas, pero sus muescas son diferentes para evitar que las
instale en la plataforma incorrecta. También observará que los
dos LED superiores de las fuentes de alimentación son diferentes; la
plataforma de CC tiene símbolos de corriente continua y la plataforma
de CA tiene símbolos de corriente alterna.
página 70.
Palo Alto Networks
Panel trasero del PA-7080 (CA)
La Ilustración 6 muestra el panel trasero del cortafuegos PA-7080 con fuentes de alimentación de CA, y la Tabla 4
describe las funciones del panel trasero.
Ilustración 6. Panel trasero del PA-7080 (CA)
1
2
3
4
Palo Alto Networks
Tabla 4. Funciones del panel trasero del PA-7080 (CC)
Elemento
Descripción
1.
Orificio de ventilación
de extracción
Permite la circulación del aire para refrigerar el bastidor. No obstruya este
orificio de ventilación.
2.
Perno de toma de tierra
Perno de dos postes utilizado para proporcionar una toma de tierra para el
bastidor. Utilice el terminal de toma de tierra de dos postes proporcionado
para conectar a un cable con toma de tierra (no incluido) al perno de dos
postes.
3.
Entradas de alimentación
de CA del módulo de
entrada de alimentación
(PEM)
Conecta la fuente de alimentación a las fuentes de alimentación ubicadas
en la parte delantera del bastidor. A continuación, las fuentes de
alimentación delanteras distribuyen la alimentación a todos los
componentes del bastidor.
El PEM de CA contiene cuatro entradas de alimentación de CA de 20 A
(cada una de ellas acompañada de un conmutador); de este modo hay un
par, la entrada con su correspondiente conmutador, para cada fuente de
alimentación.
Si tiene enfrente la parte trasera del bastidor, la entrada y su conmutador
situados más a la izquierda proporcionan alimentación a la fuente de
alimentación situada más a la derecha cuando mira de frente a la parte
delantera del bastidor.
Los PEM de CA no admiten mantenimiento in situ.
4.
Conmutadores de
alimentación de CA del
módulo de entrada de
alimentación (PEM)
Palo Alto Networks
Proporciona conmutadores para encender o apagar las fuentes de
alimentación de CA. Cada conmutador cuenta con un disyuntor
que se desconectará si la carga alcanza los 25 A.
Panel frontal del PA-7080 (CC)
La Ilustración 7 muestra el panel frontal del cortafuegos PA-7080 con fuentes de alimentación de CC instaladas.
De manera predeterminada, la plataforma de CC se envía con cuatro fuentes de alimentación de -40 V de CC a -60 V
de CC preinstaladas en las ranuras 1A/1B y las ranuras 2A/2B. Con cuatro fuentes de alimentación, puede instalar
hasta nueve NPC. Para instalar diez NPC, deberá añadir otro par de fuentes de alimentación en las ranuras 3A/3B.
Nota: Las fuentes de alimentación de CA y CC frontales son casi idénticas, pero
sus muescas son diferentes para evitar que las instale en la plataforma incorrecta.
También observará que los dos LED superiores de las fuentes de alimentación
son diferentes; la plataforma de CC tiene símbolos de corriente continua y la
plataforma de CA tiene símbolos de corriente alterna. Para ver una ilustración,
consulte Ilustración 39 en la página 71.
Nota: La única diferencia entre la plataforma de CA del panel frontal y la
plataforma de CC del panel frontal es el tipo de fuente de alimentación (CA o CC).
Para obtener una descripción de los componentes del panel frontal, consulte
“Panel frontal del PA-7080 (CA)” en la página 13.
Palo Alto Networks
Ilustración 7. Panel frontal (CC)
Palo Alto Networks
Panel trasero del PA-7080 (CC)
La Ilustración 4 muestra el panel trasero del cortafuegos PA-7080.
Nota: La única diferencia entre la plataforma de CA del panel trasero y la plataforma
de CC del panel trasero es que la plataforma de CC tiene dos módulos de entrada de
alimentación (PEM) de CC como se muestra en la Ilustración 8 en lugar de dos PEM
de CA. Cada PEM de CC contiene dos regletas de terminales, que conectan ocho
cables (4 rojos positivos y 4 negros negativos). Los PEM de CC pueden sustituirse
in situ. Para obtener información sobre cómo sustituir un PEM de CC, consulte
“Sustitución de un módulo de entrada de alimentación de CC del PA-7080” en la
página 93, y para obtener descripciones de los componentes del panel trasero,
consulte “Panel trasero del PA-7080 (CA)” en la página 16.
Palo Alto Networks
Ilustración 8. Panel trasero (CC)
Palo Alto Networks
Palo Alto Networks
Capítulo 2
Información acerca de los módulos y las
tarjetas de interfaz de PA-7000 Series
Los cortafuegos PA-7000 Series son sistemas modulares y requieren un conjunto mínimo de tarjetas
en las ranuras delanteras. Las tarjetas requeridas son la tarjeta de gestión de conmutadores (SMC), la
tarjeta de procesamiento de logs (LPC) y como mínimo una tarjeta de procesamiento de red (NPC).
Para aumentar la densidad de los puertos y el rendimiento, puede instalar un total de seis NPC en el
cortafuegos PA-7050 y diez NPC en el cortafuegos PA-7080. Para obtener información detallada sobre
las tarjetas de las ranuras delanteras, consulte “Instale las tarjetas para ranuras delanteras obligatorias”
en la página 52.
Nota: Aunque todas las tarjetas de las ranuras delanteras están preparadas
para evitar daños si se instalan o extraen cuando el bastidor está recibiendo
alimentación, solamente se puede intercambiar en caliente la tarjeta NPC.
•
“Tarjeta de gestión de conmutadores (SMC)” en la página 24
•
“Tarjeta de procesamiento de logs (LPC)” en la página 30
•
“Tarjetas de procesamiento de red (NPC)” en la página 33
Palo Alto Networks
Información acerca de los módulos y las tarjetas de interfaz de PA-7000 Series • 23
Tarjeta de gestión de conmutadores (SMC)
La tarjeta de gestión de conmutadores (SMC) del PA-7000 Series permite la gestión de la matriz de
conmutación para el bastidor y el acceso a la gestión del sistema. Además, incluye puertos para la
conectividad de alta disponibilidad (HA) entre dos bastidores y los indicadores LED muestran el
estado de los componentes del bastidor.
Nota: La SMC del PA-7050 y la del PA-7080 no son intercambiables. Aunque las
dos tarjetas tienen los mismos puertos LED, los conectores traseros y el software
no son iguales. El hardware también está enchavetado de manera que no pueda
instalar una SMC para PA-7050 en un cortafuegos PA-7080 y viceversa.
En los temas siguientes se describen los componentes de la tarjeta SMC del PA-7000 Series
y cómo interpretar los indicadores LED:
•
“Descripciones de los componentes de la SMC” en la página 24
•
“Interpretación de los LED de la SMC” en la página 27
Descripciones de los componentes de la SMC
En la Ilustración 9 se muestra la tarjeta SMC del PA-7050, en la Ilustración 10 se muestra la tarjeta
SMC del PA-7080 y en la Tabla 5 se describen los componentes de ambas tarjetas SMC.
Ilustración 9. SMC del PA-7050
1
2
3
HA1-A
HA1-B
MGT
4
5
6
HSCI-A
HSCI-B
7
8
PA-7050-SMC
CONSOLE
PWR
ALM
STS
FAN
USB
HA
TMP
9
PS
LOG
10
Ilustración 10. SMC del PA-7080
1
9
2
3
4
5
6
7
8
10
24 • Información acerca de los módulos y las tarjetas de interfaz de PA-7000 Series
Palo Alto Networks
Tabla 5. Funciones de la tarjeta de gestión de conmutadores (SMC)
Elemento
Descripción
1.
Puerto Ethernet 10/100/1000 para el control y la sincronización de alta
disponibilidad (HA). Conecte este puerto directamente desde el puerto
HA1-A del primer cortafuegos de un par de alta disponibilidad (HA) al
puerto HA1-A del segundo cortafuegos del par o conecte estos dos
puertos entre sí mediante un conmutador o un enrutador.
HA1-A
No puede configurar HA1 (control) en puertos de datos NPC ni en el
puerto MGT.
2.
HA1-B
Puerto Ethernet 10/100/1000 para el control y la sincronización de alta
disponibilidad (HA). Use este puerto como reserva para HA1-A. Conecte
este puerto directamente desde el puerto HA1-B del primer cortafuegos
de un par HA al puerto HA1-B del segundo cortafuegos del par o conecte
estos dos puertos entre sí mediante un conmutador o un enrutador.
No puede configurar HA1 (control) en puertos de datos NPC ni en el
puerto MGT.
3.
MGT
Puerto Ethernet 10/100/1000 usado para acceder a la interfaz de gestión.
Para gestionar el cortafuegos, cambie la dirección IP del ordenador de
gestión a 192.168.1.2, conecte un cable RJ-45 del ordenador al puerto
MGT y vaya a https:// 192.168.1.1. El nombre de inicio de sesión
predeterminado es admin y la contraseña predeterminada es admin.
4.
Consola
Puerto RJ-45 usado para conectar un ordenador de gestión al cortafuegos
mediante un conector serie de 9 clavijas al cable RJ-45 (suministrado)
y el software de emulación de terminal. La ventaja de usar este puerto
es que verá todos los mensajes de arranque al encenderse el cortafuegos
y es posible acceder a las funciones del modo de mantenimiento.
No puede acceder a la interfaz web del cortafuegos mediante
el puerto de consola.
La conexión de la consola es de tipo RS-232 y usa las siguientes salidas
de clavija y configuración de serie.
Salidas de clavija del cable
Señal-------- DB-9-----RJ45
CTS-------_----8-----------8
DSR-----_------6------_---7
RXD------------2-----------6
GND-----_-----5-----------5,4
TXD------------3-----------3
DTR------------4-----------2
RTS------_-----7-----------1
Configuración de serie
Tasa de datos: 9600
Bits de datos: 8
Paridad: no
Bits de terminación: 1
Control de flujo: Ninguno
Si el ordenador de gestión no incluye un puerto serie, debe usar
un convertidor de USB a serie.
Palo Alto Networks
Tabla 5. Funciones de la tarjeta de gestión de conmutadores (SMC) (Continuación)
Elemento
Descripción
5.
La interfaz Quad Port SFP (QSFP) se usa para conectar dos cortafuegos
PA-7000 Series para una configuración de alta disponibilidad (HA). Cada
puerto consta de cuatro enlaces internos de 10 Gb para alcanzar una velocidad
combinada de 40 Gb y se usa para enlaces de datos HA2 en la configuración
activa/pasiva. En el modo activo/activo, el puerto también se usa para el
reenvío de paquetes HA3 en sesiones de enrutamiento asimétrico que
requieren inspección de capa 7 para App-ID™ y Content-ID™.
HSCI-A
(High Speed
Chassis Interconnect,
interconexión
de bastidores de
alta velocidad)
En una instalación típica, el puerto HSCI-A del primer bastidor se conecta
directamente al HSCI-A del segundo y el HSCI-B del primer bastidor se
conecta al HSCI-B del segundo. Esto permite velocidades de transferencia
máximas de 80 Gb. En software, ambos puertos (HSCI-A y HSCI-B)
se tratan como una única interfaz HA.
Los puertos HSCI no se pueden enrutar y deben conectarse directamente
entre sí y no mediante un conmutador.
Puede configurar HA2 (enlace de datos) en puertos de datos HSCI
o en puertos de datos NPC.
6.
HSCI-B
(High Speed
Chassis Interconnect,
interconexión
de bastidores de
alta velocidad)
Consulte la descripción de HSCI-A anterior para obtener información
detallada.
7.
USB
Puerto USB para uso futuro.
8.
Indicadores LED
Ocho indicadores LED que indican el estado de diversos componentes
del hardware. Para obtener información sobre los LED, consulte
“Interpretación de los LED de la SMC” en la página 27.
9.
Tornillos de montaje
Se debe usar un tornillo en cada lado de la tarjeta SMC para sujetarla
al bastidor.
10. Hardware de instalación
y desinstalación de SMC
La finalidad de HSCI-B es aumentar el ancho de banda para el
procesamiento de HA2/HA3.
• SMC de PA-7050: palancas y pestillos de desbloqueo de palancas
utilizados para instalar y extraer la tarjeta SMC. Los mecanismos de
desbloqueo que hay a cada lado se deslizan hacia arriba para desbloquear
la palanca de expulsión.
• SMC de PA-7080: se usan dos palancas grandes para instalar y extraer
la tarjeta SMC.
Palo Alto Networks
Interpretación de los LED de la SMC
A continuación se describe cómo interpretar el cuadro de indicadores LED de la tarjeta de gestión
de conmutadores (SMC).
Ilustración 11. LED de la SMC
PWR
STS
HA
ALM
FAN
PS
TMP
LOG
Tabla 6. Funciones y estados del cuadro de LED de la SMC
LED
Estado
Descripción
PWR
(Alimentación)
Verde
El bastidor recibe alimentación.
Desactivado
El bastidor está desactivado.
Verde
El bastidor funciona con normalidad.
Amarillo
El bastidor se está iniciando.
Verde
El bastidor es el cortafuegos activo actual.
Amarillo
El bastidor es el cortafuegos pasivo actual.
Desactivado
Alta disponibilidad (HA) no activada en este cortafuegos.
Nota
Las descripciones anteriores de los estados de los indicadores LED
se corresponden con una configuración activa/pasiva. En una
configuración activa/activa, el indicador LED de HA solo indica un
estado de HA para el cortafuegos local y no indica la conectividad de
HA con el peer. Si HA está activa en el cortafuegos correspondiente, el
LED se muestra en verde. Si HA no está activa, el LED está apagado.
STS (Estado)
HA
Consulte la información sobre el LED ALM (Alarma) en esta tabla
para saber cómo cambia este LED si se produce un problema de HA.
TMP
Verde
La temperatura del bastidor es normal.
(Temperatura)
Amarillo
La temperatura del bastidor para una o varias de las tarjetas
instaladas está fuera del intervalo de tolerancia de temperatura.
Palo Alto Networks
Tabla 6. Funciones y estados del cuadro de LED de la SMC (Continuación)
LED
Estado
ALM
Rojo
(Alarma)
Descripción
Hay un problema de hardware, lo que puede incluir lo siguiente:
• Problema de voltaje.
• La fuente de alimentación se detecta, pero no está operativa.
• Fallo del ventilador.
• Fallo de la unidad de disco duro.
• Temperatura superior al límite máximo de temperatura.
Además, puede observar el siguiente comportamiento variable del
LED ALM en una configuración de HA:
• Si HA cambia a un estado provisional o no funcional, el LED
ALM cambia a rojo.
• Cuando el estado vuelve a ser funcional (cualquier estado activo
o pasivo) el LED se apaga.
• Si suspende HA intencionadamente, el LED no cambia a rojo.
• Si el cortafuegos se suspende debido a un bucle de errores,
el cortafuegos entra en un estado de suspensión para terminar
el bucle. En este caso, el LED cambia a rojo.
FAN (Ventilador)
PS
Desactivado
El cortafuegos funciona con normalidad.
Verde
Las bandejas de ventiladores y todos los ventiladores funcionan
con normalidad.
Rojo
Uno o varios ventiladores están averiados en una o ambas bandejas
de ventiladores. Para determinar en qué bandeja de ventiladores
hay un fallo, compruebe los LED de las bandejas de ventiladores.
Verde
Todas las fuentes de alimentación (CA o CC) funcionan con
normalidad.
Rojo
Una o varias fuentes de alimentación (CA o CC) han fallado.
Rojo
Hay un fallo de unidad en la tarjeta LPC, un problema de temperatura
u otro problema en la tarjeta de procesamiento de logs (LPC). Para
determinar qué unidad ha fallado, observe los LED de cada AMC de la
unidad de disco.
Desactivado
No hay alarmas relativas a la tarjeta de procesamiento de logs (LPC),
y la tarjeta y las unidades funcionan con normalidad.
(Alimentación)
Log
Tabla 7. Funciones y estados de los LED de los puertos MGT de la SMC
LED
Descripción
Izquierdo
El LED es verde fijo si hay un enlace de red.
Derecho
El LED parpadea en verde si hay actividad de red.
Tabla 8. Funciones y estados de los LED de los puertos HA1-A y HA1-B de la SMC
LED
Descripción
Izquierdo
Derecho
Palo Alto Networks
Tabla 9. Funciones y estados de los LED de los puertos HSCI-A y HSCI-B de la SMC
LED
Descripción
Izquierdo
El LED es verde fijo si hay un enlace de red. Puesto que esta interfaz
consta de cuatro enlaces de 10 Gb, el LED es una operación Y de los cuatro
estados de enlace.
Derecho
El LED parpadea en verde si hay actividad de red. Puesto que esta interfaz
consta de cuatro enlaces de 10 Gb, el LED es una operación O de los cuatro
estados de actividad.
Palo Alto Networks
Tarjeta de procesamiento de logs (LPC)
La tarjeta de procesamiento de logs (LPC) es una tarjeta dedicada con un procesador, una memoria
y unidades de almacenamiento para gestionar los logs del cortafuegos PA-7000 Series. La tarjeta LPC
incluye cuatro AMC (Advanced Mezzanine Card) intercambiables en caliente, las cuales contienen
cada unidad de disco. Al sustituir una unidad, la tarjeta AMC y la unidad de disco se ordenan e instalan
como una unidad.
Hay un modelo de LPC que se usa para los cortafuegos PA-7050 y PA-7080, y no hay ninguna
configuración especial requerida para que el cortafuegos pueda usar la tarjeta LPC para la generación
de logs.
Importante: En el cortafuegos PA-7050 debe instalar la tarjeta LPC en la ranura 8 y en el cortafuegos
PA-7080 debe instalar la tarjeta LPC en la ranura 7. Se deben instalar la tarjeta LPC y como mínimo una
unidad formateada para que el bastidor funcione. Durante el funcionamiento normal, se deben instalar
las cuatro unidades en dos pares RAID 1 para garantizar la redundancia.
•
“Descripciones de componentes de LPC y AMC” en la página 30
•
“Interpretación de los LED de AMC” en la página 32
Descripciones de componentes de LPC y AMC
La Ilustración 12 muestra la tarjeta de procesamiento de logs (LPC) y las tarjetas
Advanced Mezzanine Card (AMC), y en la Tabla 10 se describen las funciones de LPC y AMC.
Ilustración 12. Tarjeta de procesamiento de logs (LPC)
2
1
ACTIVITY
FAULT
PA-7000-AMC-1TB
5
3
POWER
ACTIVITY
4
POWER
ACTIVITY
FAULT
PA-7000-AMC-1TB
POWER
FAULT
PA-7000-AMC-1TB
ACTIVITY
POWER
FAULT
PA-7000-AMC-1TB
6
Palo Alto Networks
Tabla 10. Funciones de LPC y AMC
Elemento
Descripción
1.
LPC
Tarjeta de procesamiento de logs (LPC) que procesa todos los logs y
después los almacena en las cuatro tarjetas Advanced Mezzanine Card
(AMC), que contienen una unidad de disco cada una.
2.
AMC
Cuatro tarjetas Advanced Mezzanine Card (AMC) y sus respectivas
unidades, que sirven para almacenar todos los logs generados por el
cortafuegos. La tarjeta AMC es una tarjeta de circuito impreso (PCB) que
contiene una unidad de disco y conecta la unidad a la tarjeta LPC.
Cada AMC contiene una unidad de disco SATA de 2,5" con una capacidad
de 1 TB. Las primeras dos unidades de la izquierda (unidades A1 y A2) se
encuentran en un par RAID 1 y las dos siguientes unidades a la derecha
(B1 y B2) también forman un par RAID 1 para un total de 2 TB de
capacidad para almacenar logs.
Importante: No intente sustituir la unidad de una tarjeta AMC. En caso de
error de la unidad, póngase en contacto con Palo Alto Networks® o con el
distribuidor para solicitar una sustitución. La tarjeta AMC y la unidad de
disco se suministran como una unidad.
3.
Palanca de desbloqueo
de la tarjeta Advanced
Mezzanine Card (AMC)
Palanca usada para retirar la tarjeta AMC y la unidad de disco de la tarjeta
LPC. Tire de la palanca hacia usted para desbloquear y extraer la tarjeta
AMC. Después de instalar una tarjeta AMC en la tarjeta LPC, presione la
palanca para bloquear la tarjeta AMC en la tarjeta LPC.
4.
Cuadro de LED de AMC
(unidad de disco)
Tres indicadores LED que muestran la actividad, los errores y la
alimentación de la unidad. El de arriba a la izquierda indica actividad, el de
abajo a la izquierda indica avería y el de arriba a la derecha indica la
alimentación.
5.
Se debe usar un tornillo en cada lado de la tarjeta LPC para sujetarla al
bastidor.
6.
Hardware de instalación
y extracción de LPC
Palancas de desbloqueo y tornillos usados para instalar y desmontar la
tarjeta LPC.
La LPC tiene una palanca doble en cada lado. Una vez aflojados los
tornillos moleteados, debe tirar de la palanca interior hacia usted para
desbloquear la palanca exterior del bastidor y, a continuación, tirar de la
palanca exterior hacia usted para desbloquear la tarjeta del bastidor.
Al instalar la tarjeta, presione la palanca exterior para bloquear la palanca
interior.
Las palancas interiores derecha e izquierda tienen un
microconmutador que desconecta la tarjeta al tirar para
desbloquear la palanca exterior.
Palo Alto Networks
Interpretación de los LED de AMC
A continuación se describe cómo interpretar los indicadores LED de la parte frontal de la tarjeta AMC.
La tarjeta de procesamiento de logs (LPC) no incluye ningún indicador LED. En el caso de un problema
de hardware de la tarjeta LPC, el LED LOG de la tarjeta de gestión de conmutadores (SMC) cambia a
rojo y el cortafuegos genera un log del sistema.
Tabla 11. Funciones y estados de los LED de las LPC
LED
Estado
descripción
Actividad
Verde
El LED parpadea en verde si hay actividad de la unidad.
Desactivado
El LED se apaga si no hay actividad.
Rojo
El LED se muestra en rojo si falta una unidad o hay una unidad
defectuosa.
Desactivado
El LED se apaga durante el funcionamiento normal.
Verde
EL LED se muestra en verde si la unidad recibe alimentación.
Desactivado
El LED se apaga si la unidad no recibe alimentación.
Avería
Alimentación
Palo Alto Networks
Tarjetas de procesamiento de red (NPC)
Las tarjetas NPC permiten la conectividad de red para un cortafuegos PA-7000 Series. Para ampliar
el rendimiento y la capacidad, puede instalar hasta seis tarjetas NPC en un cortafuegos PA-7050
y hasta diez tarjetas NPC en un cortafuegos PA-7080 (consulte “Determinación de los requisitos de
alimentación de un cortafuegos PA-7000 Series” en la página 70 si tiene previsto rellenar por completo
un bastidor con tarjetas NPC). Al visualizar las tarjetas NPC de la interfaz web, estas se organizan por
ranuras y puede hacer clic en el icono a la izquierda del número de ranura para ver los puertos de NPC.
La designación de la numeración de puertos es Ethernet seguida de la ranura/puerto, como
ethernet<ranura>/<puerto>, donde la ranura es la ranura física en la que está instalada la tarjeta y el
puerto es el número de puerto de la interfaz. Por ejemplo, el primer puerto Ethernet en el que se instala
una tarjeta NPC en la ranura 1 muestra ethernet1/1 y el puerto 2 muestra ethernet1/2. El primer puerto
Ethernet en el que se instala una tarjeta NPC en la ranura 2 muestra ethernet2/1 y el puerto 2 muestra
ethernet2/2. Para obtener más información sobre cómo instalar la tarjetas NPC, consulte “Sustitución de
una tarjeta de procesamiento de red (NPC) en un PA-7000 Series” en la página 120.
En el cortafuegos PA-7050 debe instalar las tarjetas NPC en las ranuras 1,2,3,5,6 y 7 y en el cortafuegos
PA-7080 debe instalar las tarjetas NPC en las ranuras 1, 2, 3, 4, 5, 8, 9, 10, 11 y 12.
Nota: Debe instalar como mínimo una tarjeta NPC para que el cortafuegos pueda
procesar el tráfico de red.
Puede instalar dos tipos de tarjetas NPC:
•
“PA-7000 20G NPC” en la página 33
•
“PA-7000-20GQ-NPC” en la página 36
PA-7000 20G NPC
Hay dos versiones de la tarjeta PA-7000 20G NPC que permiten la conexión a puertos Ethernet de
20 Gb y la única diferencia entre estas dos versiones es la palanca usada para instalar y extraer la tarjeta.
En la Ilustración 13 se muestra la versión 1 de la tarjeta NPC de 20 Gb y en la Ilustración 14 se muestra
la versión 2.
•
“Descripción de los componentes de PA-7000-20G” en la página 34
•
“Interpretación de los LED de PA-7000 20G NPC” en la página 35
Palo Alto Networks
Descripción de los componentes de PA-7000-20G
Ilustración 13. Versión 1 de PA-7000 20G NPC
2
1
PA-7000-20G-NPC
1
3
5
7
9
11
13
15
4
3
17
19
21
23
PWR
STS
ALM
TMP
2
4
6
8
10
12
5
14
16
18
20
22
24
13
15
17
19
21
23
6
Ilustración 14. Versión 2 de PA-7000 20G NPC
PA-7000-20G-NPC
1
3
5
7
9
11
PWR
STS
ALM
TMP
2
4
6
8
10
12
14
16
18
20
22
24
6
Tabla 12. Funciones de PA-7000 20G NPC
Elemento
Descripción
1.
Puertos Ethernet
Doce puertos RJ-45 10/100/1000.
2.
Puertos SFP
Ocho puertos conectables de pequeño tamaño (SFP) para el tráfico de red.
3.
Puertos SFP+
Cuatro puertos SPF mejorados (SFP+) para el tráfico de red.
4.
Cuadro de LED
Cuatro LED para indicar el estado de la tarjeta NPC. Para obtener
información sobre los LED, consulte “Interpretación de los LED de
PA-7000 20G NPC” en la página 35.
5.
Se debe usar un tornillo en cada lado de la tarjeta NPC para sujetarla al
bastidor.
6.
Hardware de instalación y
extracción de NPC
• En la Ilustración 13 se muestran los tornillos, los pestillos de desbloqueo
de palancas y las palancas de eyector usadas para instalar y extraer la
versión 1 de la tarjeta NPC. Los pestillos de desbloqueo de palancas de
cada lado se deslizan hacia arriba para desbloquear las palancas usadas
para extraer la tarjeta del bastidor.
El pestillo de desbloqueo izquierdo incluye un microconmutador que
desactiva la tarjeta en cuanto se desplaza hacia arriba para desbloquear
la palanca de eyector. Mueva este mecanismo solamente si quiere extraer
la tarjeta.
• En la Ilustración 14 se muestran los tornillos moleteados y las palancas
usados para instalar y extraer la versión 2 de la tarjeta NPC. En esta versión,
se incluyen tornillos moleteados y pestillos de desbloqueo de doble palanca
a cada lado de la tarjeta. Cada palanca interior incluye un microconmutador
y, al tirar simultáneamente de ambas palancas interiores hacia afuera para
desbloquear las palancas de eyector exteriores, se desactiva la tarjeta NPC.
Mueva estas palancas solo si desea extraer la tarjeta.
Palo Alto Networks
Interpretación de los LED de PA-7000 20G NPC
A continuación se describe cómo interpretar el cuadro de LED de la tarjeta de procesamiento
de red (NPC) PA-7000 20G.
Ilustración 15. LED NPC
PWR
STS
ALM
TMP
Tabla 13. Funciones y estados del cuadro de LED de la NPC
LED
Estado
Descripción
PWR
(Alimentación)
Verde
La tarjeta recibe alimentación.
Desactivado
La tarjeta no recibe alimentación.
STS (Estado)
Verde
La tarjeta funciona con normalidad.
Amarillo
La tarjeta se está iniciando.
ALM
Rojo
Error del hardware de la tarjeta.
(Alarma)
Desactivado
TMP
Verde
La temperatura de la tarjeta es normal.
(Temperatura)
Amarillo
La temperatura de la tarjeta está fuera del intervalo de tolerancia normal.
Tabla 14. Funciones y estados de los LED de los puertos Ethernet y SFP
LED
Descripción
Izquierdo
Derecho
Tabla 15. Funciones y estados de los LED de los puertos SFP+
LED
Descripción
Izquierdo
Derecho
El LED parpadea en verde o permanece en verde si hay actividad de red.
Palo Alto Networks
PA-7000-20GQ-NPC
La tarjeta PA-7000 20GQ NPC permite la conectividad de datos con puertos Ethernet de 40 Gb.
En la Tabla 16 se describen las funciones de NPC. Para obtener información sobre los LED de estado,
consulte “Interpretación de los LED de PA-7000 20GQ NPC” en la página 37.
Nota: El cortafuegos PA-7000 Series debe tener la versión 7.0 de PAN-OS o
posterior instalada para poder usar la tarjeta PA-7000 20GQ NPC.
Si hay un cortafuegos PA-7050 que ejecuta PAN-OS 6.1 o una versión anterior
y la NPC es una PA-7000 20GQ (o si tiene varias tarjetas NPC de este modelo),
consulte el artículo 9729 de la base de conocimientos antes de intentar actualizar
a PAN-OS 7.0 o una versión posterior.
•
“Descripción de los componentes de PA-7000-20GQ” en la página 36
•
“Interpretación de los LED de PA-7000 20GQ NPC” en la página 37
Descripción de los componentes de PA-7000-20GQ
Ilustración 16. PA-7000 20GQ NPC
1
2
3
PA-7000-20GQ-NPC
4
5
Tabla 16. Funciones de PA-7000 20GQ NPC
Elemento
Descripción
1.
Puertos SFP+
Doce puertos conectables de pequeño tamaño (SFP+) mejorados.
2.
Puertos QSFP
Dos puertos Ethernet de 40 Gb conectables de pequeño tamaño
cuádruples (QSFP) según la definición del estándar IEEE 802.3ba.
3.
Cuadro de LED
Cuatro LED para indicar el estado de la tarjeta NPC. Para obtener
información sobre los LED, consulte “Interpretación de los LED de
PA-7000 20GQ NPC” en la página 37.
4.
Se debe usar un tornillo en cada lado de la tarjeta NPC para sujetarla
al bastidor.
5.
Hardware de instalación
y extracción de NPC
Tornillos moleteados y las palancas usados para instalar y extraer la tarjeta
NPC. Se incluyen tornillos moleteados y pestillos de desbloqueo de doble
palanca a cada lado de la tarjeta. Cada palanca interior incluye un
microconmutador y, al tirar simultáneamente de ambas palancas interiores
hacia afuera para desbloquear las palancas de eyector exteriores, se
desactiva la tarjeta NPC. Mueva estas palancas solo si desea extraer
la tarjeta.
Palo Alto Networks
Interpretación de los LED de PA-7000 20GQ NPC
A continuación se describe cómo interpretar el cuadro de LED de la tarjeta de procesamiento
de red (NPC) PA-7000 20GQ.
Ilustración 17. LED NPC
PWR
STS
ALM
TMP
Tabla 17. Funciones y estados del cuadro de LED de la NPC
LED
Estado
Descripción
PWR
(Alimentación)
Verde
La tarjeta recibe alimentación.
Desactivado
La tarjeta no recibe alimentación.
STS (Estado)
Verde
Amarillo
La tarjeta se está iniciando.
ALM
Rojo
Error del hardware de la tarjeta.
(Alarma)
Desactivado
TMP
Verde
La temperatura de la tarjeta es normal.
(Temperatura)
Amarillo
La temperatura de la tarjeta está fuera del intervalo de tolerancia normal.
Tabla 18. Funciones y estados de los LED de los puertos QSFP y SFP+
LED
Descripción
Izquierdo
El LED se muestra en verde si hay un enlace de red.
Derecho
El LED parpadea en verde o permanece en verde si hay actividad de red.
Palo Alto Networks
Palo Alto Networks
Declaración de la comprobación de alteraciones
Capítulo 3
Instalación del hardware
Los cortafuegos PA-7000 Series están diseñados para su instalación en un rack de 19 pulgadas en
posición media o delantera. Antes de desembalar el hardware, lea la “Declaración de la comprobación
de alteraciones” en la página 39 y la información de seguridad de “Antes de comenzar” en la página 40.
•
“Declaración de la comprobación de alteraciones” en la página 39
•
“Antes de comenzar” en la página 40
•
“Instalación en el rack” en la página 41
•
“Instale las tarjetas para ranuras delanteras obligatorias” en la página 52
•
“Conexión de alimentación a un cortafuegos PA-7000 Series” en la página 70
•
“Conexión de cables a un cortafuegos PA-7000 Series” en la página 84
Declaración de la comprobación de alteraciones
Para asegurarse de que los productos comprados a Palo Alto Networks no han sido
alterados durante el envío, compruebe lo siguiente al recibir cualquier producto:
•
El número de seguimiento que le facilitamos electrónicamente cuando solicitó el producto
debería coincidir con el número de seguimiento que aparece en la caja o el embalaje.
•
La cinta de comprobación de alteraciones usada para sellar la caja o embalaje debe
estar intacta.
Nota: Al tratarse de un sistema modular, tenga en cuenta que el PA-7000
no tiene un sello de garantía en el bastidor.
Palo Alto Networks
Instalación del hardware • 39
Antes de comenzar
Antes de comenzar
•
Antes de instalar el hardware, lea la información que aparece en “Información de seguridad para la
instalación del rack” en la página 40 y “Precauciones y advertencias relacionadas con el hardware”
en la página 87.
•
Use la pulsera de descarga electrostática (ESD) cuando instale componentes o realice el
mantenimiento de un cortafuegos PA-7000. Para usar la pulsera, colóquesela alrededor de la muñeca
de modo que el contacto de metal esté en contacto con su piel, quite las pinzas de cocodrilo del otro
extremo y colóquelas en uno de los puertos ESD ubicados en la parte delantera del bastidor.
•
Se recomienda realizar la instalación del rack entre dos personas y, si es posible, usando un equipo
de elevación mecánica. Para reducir el peso del bastidor, no instale las tarjetas de las ranuras
delanteras hasta haberlo colocado en el rack. También puede quitar las fuentes de alimentación
delanteras y las bandejas de ventiladores para reducir el peso.
•
Tenga a mano un destornillador de estrella.
•
Compruebe que la ubicación de destino permita la adecuada circulación del aire y que cumpla los
requisitos de temperatura que se describen en “Especificaciones medioambientales” en la página 132.
•
Deje espacio libre en ambos lados del firewall.
•
Desembale el equipo y compruebe que ha recibido todos los elementos comparando los contenidos
con la relación de contenido incluida en el documento Inicio rápido que se envía junto con
el producto.
•
Compruebe que dispone de alimentación eléctrica adecuada para el cortafuegos PA-7000.
•
Use una llave de cubo de 12 mm o 1/2” para fijar el terminal de tierra a los pernos de toma de
tierra usando las arandelas y tuercas de estrella proporcionadas. En la plataforma PA-7080 de CC,
también tendrá que fijar los terminales de tierra de CC a cada perno de CC.
Información de seguridad para la instalación del rack
•
Temperatura ambiente de funcionamiento elevada: si el cortafuegos PA-7000 Series se instala en
un rack cerrado o en un conjunto de racks, la temperatura ambiente de funcionamiento del entorno del
rack puede ser superior a la de la temperatura ambiente de la sala. Compruebe que la temperatura
ambiente del conjunto de racks no supere los requisitos de temperatura ambiente máxima descritos
en “Especificaciones medioambientales” en la página 132.
•
Flujo de aire reducido: asegúrese de que el flujo de aire necesario para un funcionamiento seguro
no se vea afectado por la instalación del rack.
•
Carga mecánica: asegúrese de que el cortafuegos, una vez colocado en el rack, no dé lugar
a situaciones peligrosas debido a una carga mecánica mal distribuida.
•
Sobrecarga de circuito: con el fin de evitar sobrecargas del circuito o excesos de carga en los cables
de alimentación, asegúrese de que el circuito que suministre la alimentación al cortafuegos tenga la
suficiente tensión asignada. Consulte “Especificaciones eléctricas y cables de alimentación” en la
página 131.
•
Toma a tierra de calidad: asegúrese de que el equipo montado en el rack disponga de una toma a
tierra fiable y de calidad. Preste especial atención a las conexiones de alimentación que no sean las
conexiones directas al circuito derivado (como, por ejemplo, si se usan regletas o alargaderas); debe
asegurarse de que el cortafuegos no supera las especificaciones de potencia del material utilizado.
40 • Instalación del hardware
Palo Alto Networks
Instalación en el rack
En los temas siguientes se describe cómo instalar un cortafuegos PA-7050 o PA-7080 en un rack
de equipo de 19”:
•
“Montaje de un cortafuegos PA-7050 en el rack” en la página 41
•
“Montaje de un cortafuegos PA-7080 en el rack” en la página 46
Montaje de un cortafuegos PA-7050 en el rack
Puede instalar el cortafuegos PA-7050 en posición media o delantera.
•
“Instalación en el rack en posición media” en la página 41
•
“Instalación en el rack en posición delantera” en la página 42
Instalación en el rack en posición media
A continuación, se describe cómo instalar el cortafuegos PA-7050 en posición media.
Nota: El bastidor PA-7050 y las tarjetas para ranuras delanteras (SMC, LPC,
NPC) se envían en cajas separadas y se recomienda instalarlas una vez montado
el bastidor en el rack. De este modo, evitará cualquier daño que puedan sufrir
las tarjetas durante el montaje del rack; además, el peso del bastidor será menor.
Para reducir aún más el peso del bastidor, retire las bandejas de ventiladores y
las fuentes de alimentación suministradas.
1.
(Opcional) Instale los soportes para organización de cables en posición media usando los cinco
tornillos incluidos con los mismos, como se muestra en la Ilustración 18.
Ilustración 18. Instalación de los soportes para organización de cables en posición media
PA-70
50-FA
N
POW
ER
FAUL
T
PA-700
0-BLA
NK
1
2
PA-70
50-FA
N
POW
ER
FAUL
T
3
1
4
2
5
3
6
4
7
5
8
6
7
8
Palo Alto Networks
2.
Se recomienda colocar el bastidor en el rack con ayuda de una o varias personas y, si es posible,
usando un equipo de elevación mecánica.
3.
Alinee los orificios de montaje de los soportes de montaje en rack a ambos lados del bastidor
con los orificios del riel del rack; asegúrese de que el bastidor esté nivelado.
4.
Coloque los soportes de montaje en rack en el rack usando los tornillos de montaje en rack
(no incluidos) y apriete con un destornillador. Coloque cuatro tornillos en cada lado del bastidor
como se muestra en la Ilustración 19.
Ilustración 19. Fijación del cortafuegos PA-7050 en el rack
PA-70
50-FA
N
POW
ER
FAUL
T
PA-700
0-BLA
NK
1
2
PA-70
50
PA-70
50-FA
N
POW
ER
FAUL
T
3
1
4
SMC
2
5
3
6
4
SMC
7
5
8
6
7
8
Instalación en el rack en posición delantera
A continuación, se describe cómo instalar el cortafuegos PA-7050 en posición delantera. El bastidor
se envía con los soportes de montaje en rack en posición media, por lo que tendrá que desplazarlos
a la posición delantera del modo que se describe.
NPC) se envían en cajas separadas y se recomienda instalarlas una vez montado el
bastidor en el rack. De este modo, evitará cualquier daño que puedan sufrir las
tarjetas durante el montaje del rack; además, el peso del bastidor será menor.
Para reducir aún más el peso del bastidor, retire las bandejas de ventiladores y las
fuentes de alimentación suministradas.
1.
Mueva los soportes de la posición media a la posición delantera. Los soportes están en dos
secciones en cada lado del bastidor: la sección delantera y la trasera.
a. Retire los 6 tornillos que hay a cada lado del bastidor en el punto de unión de los dos soportes
en la posición de montaje media; a continuación, retire 25 tornillos para quitar cada uno de los 4
soportes (2 soportes en cada lado). Hay un total de 112 tornillos de soportes (56 en cada lado),
como se indica en la Ilustración 20.
Palo Alto Networks
Ilustración 20. Extracción de los tornillos de soportes del PA-7050
Retire 25 tornillos de
los soportes traseros
(25 por lado)
PA-705
0-FAN
POWER
FAULT
PA-7000BLANK
1
PA-70
50
2
PA-705
0-FAN
POWER
FAULT
3
1
4
SMC
2
5
3
6
Retire 6 tornillos de
la sección media
4
SMC
7
5
8
6
7
8
Retire 25 tornillos de los soportes
delanteros (25 por lado)
b. Retire los soportes delanteros (A y B) y los traseros (C y D) del bastidor, como se muestra en
la Ilustración 21. Guarde los soportes traseros, ya que no se usan en la instalación delantera.
Ilustración 21. Desmontaje de los soportes delanteros y traseros del PA-7050
Retire los soportes traseros
Soporte C
(no necesarios para posición
delantera)
Soporte A
PA-705
0-FAN
POWER
Soporte D
FAULT
PA-7000BLANK
1
2
PA-70
50
PA-705
0-FAN
POWER
FAULT
3
1
4
SMC
2
5
3
6
4
SMC
7
5
8
6
7
8
Retire los soportes
delanteros y apártelos
Palo Alto Networks
Soporte B
c. Intercambie los soportes delanteros para que los orificios de los tornillos de montaje en rack queden
en la parte delantera del bastidor, como se muestra en la Ilustración 22. Use 25 tornillos para
colocar cada soporte en el bastidor en la posición delantera. En la Ilustración 21 se muestra cómo
intercambiar los soportes A y B. Hay que girarlos 180 grados para que los orificios de los tornillos
queden alineados y los orificios de montaje del rack queden en la parte delantera del bastidor.
Ilustración 22. Instalación de los soportes delanteros en posición delantera
PA-705
0-FAN
POWER
FAULT
PA-7000BLANK
1
PA-70
50
2
PA-705
0-FAN
POWER
FAULT
3
1
4
SMC
Fije 25 tornillos
a cada soporte
delantero
2
5
3
6
4
SMC
7
5
8
6
7
8
Configuración del soporte delantero
2.
(Opcional) Instale los soportes para organización de cables en la posición delantera usando los
6 tornillos incluidos con el soporte. En la configuración delantera, los soportes para organización
de cables se instalan sobre el soporte de montaje del rack del bastidor usado para montar el bastidor
en el rack, por lo que se recomienda instalar el soporte organización de cables antes de instalar el
bastidor en el rack, tal y como se muestra en la Ilustración 23.
Ilustración 23. Instalación de los soportes para organización de cables en posición delantera
PA-70
50-FA
N
POW
ER
FAUL
T
PA-700
0-BLAN
K
1
2
PA-70
50-FA
N
POW
ER
FAUL
T
3
1
4
2
5
3
6
4
7
5
8
6
7
8
Palo Alto Networks
3.
4.
Alinee los orificios de montaje situados a los lados del bastidor con los orificios del riel del rack
y compruebe que el bastidor está nivelado.
5.
Coloque los soportes del bastidor en el rack usando los tornillos de montaje del rack facilitados
y apriételos con un destornillador de estrella. Coloque cuatro tornillos en cada lado del bastidor
como se muestra en la Ilustración 24.
PA-70
50-FA
N
POW
ER
FAUL
T
PA-700
0-BLA
NK
1
2
PA-70
50
PA-70
50-FA
N
POW
ER
FAUL
T
3
1
4
SMC
2
5
3
6
4
SMC
7
5
8
6
7
8
Palo Alto Networks
Montaje de un cortafuegos PA-7080 en el rack
En esta sección se describe cómo instalar el cortafuegos PA-7080 en un rack de 19”en posición media
o delantera.
•
“Instalación en el rack en posición media” en la página 46
•
“Instalación en posición delantera” en la página 49
Instalación en el rack en posición media
A continuación, se describe cómo instalar el cortafuegos PA-7080 en posición media. Los dos tipos
de soportes de montaje en rack (posición media y delantera) se entregan preinstalados. Para la
instalación en posición media, primero debe retirar los soportes de montaje en posición delantera.
NPC) se envían en cajas separadas y se recomienda instalarlas una vez montado el
bastidor en el rack. De este modo, evitará cualquier daño que puedan sufrir las
1.
Retire ocho tornillos de cada soporte delantero (uno situado a la izquierda y otro a la derecha)
y después retire los soportes.
Ilustración 25. Extracción de los soportes delanteros
2.
(Opcional) Instale los soportes para organización de cables superior e inferior usando los tornillos
incluidos (8 tornillos para el soporte superior y 4 para el inferior), como se muestra en la
Ilustración 26. El soporte superior está diseñado para cables Ethernet y el cable de consola; el
soporte inferior está diseñado para cables de fibra óptica. Para acceder a los orificios de los
tornillos en el soporte inferior, abra la puerta del soporte como se muestra en la ilustración.
Palo Alto Networks
Ilustración 26. Instalación de los soportes para organización de cables en el PA-7080
3.
4.
Alinee los orificios de montaje de los soportes de montaje en rack a ambos lados del bastidor con
los orificios del riel del rack; asegúrese de que el bastidor esté nivelado. Fije el bastidor al rack
usando ocho tornillos para el montaje en rack (no incluidos) en cada lado del bastidor y apriételos
con un destornillador de estrella, como se muestra en la Ilustración.
Palo Alto Networks
5.
Consulte “Instale las tarjetas para ranuras delanteras obligatorias” en la página 52.
Palo Alto Networks
Instalación en posición delantera
A continuación, se describe cómo instalar el cortafuegos PA-7080 en posición media. Los dos tipos de
soportes de montaje en rack (posición media y delantera) se entregan preinstalados. Para la instalación
en posición delantera, primero debe retirar los soportes de montaje en posición media.
NPC) se envían en cajas separadas y se recomienda instalarlas una vez montado
el bastidor en el rack. De este modo, evitará cualquier daño que puedan sufrir las
1.
Retire 16 tornillos de cada soporte en posición media (uno situado a la izquierda y otro
a la derecha) y después retire los soportes.
Ilustración 28. Extracción de los soportes de montaje medio
2.
(Opcional) Instale los soportes para organización de cables superior e inferior usando los
tornillos incluidos (8 tornillos para el soporte superior y 4 para el inferior), como se muestra en
la Ilustración 29. El soporte superior está diseñado para cables Ethernet y el cable de consola;
el soporte inferior está diseñado para cables de fibra óptica. Para acceder a los orificios de los
tornillos en el soporte inferior, abra la puerta ubicada en la parte delantera del soporte como
se muestra en la ilustración.
Palo Alto Networks
Ilustración 29. Instalación de los soportes para organización de cables en el PA-7080
3.
4.
Alinee los orificios de montaje de los soportes de montaje en rack a ambos lados del bastidor con
los orificios del riel del rack; asegúrese de que el bastidor esté nivelado. Fije el bastidor al rack
usando ocho tornillos para el montaje en rack (no incluidos) en cada lado del bastidor y apriételos
con un destornillador de estrella, como se muestra en la Ilustración.
Palo Alto Networks
Ilustración 30. Fijación del cortafuegos PA-7080 en posición delantera
5.
Consulte “Instale las tarjetas para ranuras delanteras obligatorias” en la página 52.
Palo Alto Networks
Instale las tarjetas para ranuras delanteras obligatorias
Los cortafuegos PA-7000 Series requieren la instalación de un mínimo de tres tarjetas en las ranuras
delanteras del bastidor. Estas tarjetas se envían por separado del bastidor e incluyen lo siguiente:
La tarjeta de gestión de conmutadores (SMC) ofrece gestión de conectividad al bastidor y conectividad
de HA; la tarjeta de procesamiento de logs (LPC) gestiona todo el procesamiento y almacenamiento de
logs para el cortafuegos; por último, debe instalarse al menos una tarjeta de procesamiento de red (NPC)
para que el cortafuegos pueda procesar tráfico de red.
Nota: Aunque todas las tarjetas de las ranuras delanteras están preparadas para
evitar daños si se instalan o desinstalan cuando el bastidor está recibiendo alimentación,
solo la NPC se puede intercambiar en caliente durante el funcionamiento normal.
•
“Instalación de la tarjeta de gestión de conmutadores (SMC)” en la página 52
•
“Instalación de la tarjeta de procesamiento de logs (LPC)” en la página 54
•
“Instalación de una tarjeta de procesamiento de red (NPC)” en la página 59
•
“Verificación de la configuración de LPC y NPC en PA-7000 Series” en la página 68
Instalación de la tarjeta de gestión de conmutadores (SMC)
Se necesita la tarjeta de gestión de conmutadores (SMC) para que funcione el bastidor. En un
cortafuegos PA-7050, debe instalar la SMC en la ranura 4; en el cortafuegos PA-7080, debe instalarla
en la ranura 6. Para obtener más información acerca de la SMC, consulte “Tarjeta de gestión de
Nota: La SMC del PA-7050 y la del PA-7080 no son intercambiables. Aunque las
dos tarjetas tienen los mismos puertos LED, los conectores traseros y el software
no son iguales. El hardware también está enchavetado de manera que no pueda
instalar una SMC para PA-7050 en un cortafuegos PA-7080 y viceversa.
1.
Colóquese en la muñeca la ESD suministrada y asegúrese de que el contacto metálico está
en contacto con su piel. Después retire las pinzas de cocodrilo del otro extremo. Conecte el
extremo de la pinza de punta cónica a uno de los puertos ESD de la parte delantera del bastidor.
Para obtener información acerca de la ubicación de los puertos ESD, consulte “Panel frontal
del PA-7050 (CA)” en la página 6 o “Panel frontal del PA-7080 (CA)” en la página 13.
2.
Compruebe que el bastidor está apagado y desconecte los cables de alimentación.
3.
Retire la SMC de la bolsa antiestática e introdúzcala en la ranura delantera (ranura 4 en un
cortafuegos PA-7050 o 6 en un cortafuegos PA-7080) hasta que sobresalga solo medio centímetro.
Compruebe que todas las palancas estén en la posición abierta. La Ilustración 31 muestra cómo se
inserta una SMC PA-7050 en un cortafuegos PA-7050 y la Ilustración 32 gmuestra cómo se instala
una SMC PA-7080 en un cortafuegos PA-7080.
Palo Alto Networks
Ilustración 31. Instalación o extracción de tarjetas SMC y NPC en un cortafuegos PA-7050
1
PA-70
50
2
3
1
4
SMC
2
5
3
6
PA-705
0-SMC
4
SMC
7
5
8
ALM
F
6
P
7
PA-700
0-20GNPC
8
NPC SMC
Palo Alto Networks
Ilustración 32. Instalación o extracción de tarjetas SMC en un cortafuegos PA-7080
4.
Cierre las palancas y asegúrese de que la SMC está correctamente insertada en la ranura SMC.
5.
Apriete los tornillos moleteados de los laterales de la SMC para fijarla al bastidor. Use un
destornillador de estrella en caso necesario.
6.
Consulte “Instalación de la tarjeta de procesamiento de logs (LPC)” en la página 54.
Instalación de la tarjeta de procesamiento de logs (LPC)
La tarjeta de procesamiento de logs (LPC) es necesaria para el funcionamiento del bastidor y tanto
el cortafuegos PA-7050 como el PA-7080 usan el mismo modelo de tarjeta LPC. En un cortafuegos
PA-7050, debe instalar la LPC en la ranura 8; en el cortafuegos PA-7080, debe instalarla en la ranura 7.
Además, la LPC debe contener al menos una AMC. Durante el funcionamiento normal, las cuatro AMC
deben estar instaladas en dos pares RAID 1, que se configuran automáticamente cuando las cuatro
AMC están colocadas y se enciende el bastidor por primera vez.
La LPC no se envía con las AMC instaladas, de modo que primero debe instalar la LPC en el bastidor
y después instalar cada una de las cuatro AMC en las ranuras de la LPC. Tras conectar el bastidor
por primera vez, debe esperar a que el cortafuegos termine de formatear las unidades en las AMC
y de añadir las unidades a la configuración RAID antes de que las unidades puedan aceptar logs.
El bastidor puede funcionar con una AMC, pero no habrá redundancia de unidades.
Palo Alto Networks
Nota: Las unidades de disco se conectan a la LPC usando una tarjeta Advanced
Mezzanine Card (AMC), y cada AMC contiene una unidad de disco SATA de 2,5”.
La AMC contiene los LED de estado y una palanca para instalar y bloquear la
AMC y la unidad en la LPC.
El primer inicio y los logs del sistema se almacenan en la SSD integrada de la tarjeta de gestión de
conmutadores (SMC) y el resto de logs (de tráfico, amenazas y User-ID™), se almacenan en la LPC.
Asimismo, la función de compilación automática necesita la LPC, por lo que no debe realizar ninguna
actualización de PAN-OS hasta que la LPC esté preparada. Para obtener información sobre cómo
comprobar el estado de la unidad, consulte “Verificación de la configuración de LPC” en la página 68.
Para obtener más información acerca de la LPC, consulte “Descripciones de componentes de LPC
y AMC” en la página 30.
Nota: Las AMC se pueden instalar en cualquier orden en las ranuras de la LPC
durante la configuración inicial del bastidor. Tras encender el bastidor por
primera vez, el cortafuegos formateará las unidades y las configurará en dos pares
RAID 1.
Para instalar la LPC y las AMC
1.
Colóquese en la muñeca la ESD suministrada y asegúrese de que el contacto metálico está en
contacto con su piel. Después retire las pinzas de cocodrilo del otro extremo. Conecte el
Para obtener información acerca de la ubicación de los puertos ESD, consulte “Panel frontal
del PA-7050 (CA)” en la página 6 o “Panel frontal del PA-7080 (CA)” en la página 13.
2.
Apague el bastidor y desconecte los cables de alimentación.
3.
Extraiga la LPC de la bolsa antiestática e introdúzcala en la ranura LPC (ranura 8 en un cortafuegos
PA-7050 y 7 en un cortafuegos PA-7080); compruebe antes que todas las palancas estén en la
posición abierta. Cuando falte medio centímetro para que la tarjeta esté completamente insertada,
ajuste las palancas para alinearla con el bastidor y, a continuación, cierre las palancas para que la
tarjeta se coloque en su sitio. La Ilustración 33 muestra cómo instalar una LPC en un cortafuegos
PA-7050 y la Ilustración 34 muestra cómo instalar una LPC en un cortafuegos PA-7080.
La LPC tiene una palanca doble en cada lado. Una vez aflojados los tornillos
moleteados, debe tirar de la palanca interior hacia sí para desbloquear la exterior
del bastidor y, a continuación, tirar de la palanca exterior para desbloquear
la tarjeta del bastidor. Al instalar la tarjeta, si pulsa la palanca exterior,
se bloqueará la interior.
Las palancas interiores derecha e izquierda tienen un microconmutador
que desconecta la tarjeta al tirar para desbloquear la palanca exterior.
Palo Alto Networks
Ilustración 33. Ilustración de instalación o extracción de LPC para PA-7050
1
2
PA-70
50
3
1
4
SMC
2
5
3
6
4
SMC
7
5
8
6
7
8
Palo Alto Networks
Ilustración 34. Ilustración de instalación o extracción de LPC para PA-7080
4.
Apriete los tornillos moleteados de los laterales de la LPC para fijarla al bastidor. Use un
destornillador de estrella en caso necesario.
5.
Compruebe que la palanca que hay en la parte delantera de cada AMC está hacia fuera en la
posición de desbloqueo y después instale cada una de las cuatro AMC en las cuatro ranuras
de la LPC. La Ilustración 35 muestra cómo instalar una AMC en un cortafuegos PA-7050
y la Ilustración 34 muestra cómo instalar una AMC en un cortafuegos PA-7080.
6.
Después de instalar cada AMC, empuje la palanca para fijar la AMC en su sitio, como se
muestra en la Ilustración 35. Para obtener más información sobre como instalar o extraer AMC,
consulte “Sustitución de una unidad de disco LPC en un PA-7000 Series” en la página 102.
Palo Alto Networks
Ilustración 35. Instalación de una AMC en la LPC
OWER
ACTIVI
TY
FAULT
PA-700
-AMC1T
ACTI
B
VITY
FAULT
POW
ER
PA-700
-AMC1TB
Para montar la AMC, tire del asa hacia fuera hasta que se detenga.
Tras insertar la AMC completamente en la ranura LPC, empuje la
palanca de desbloqueo hasta el final para fijar la unidad en la PLC.
Nota: Tras encender el bastidor por primera vez, el cortafuegos formateará las
unidades y las configurará en una configuración RAID 1. Las dos primeras unidades
de la izquierda (A1 y A2) se configurarán en un par RAID 1 y las dos unidades
siguientes (B1 y B2) a la derecha se configurarán en un segundo par RAID 1;
en total suman 2 TB. El formateo y la configuración RAID iniciales no deberían
tardar más de 3 minutos aproximadamente. Para comprobar la configuración,
consulte “Verificación de la configuración de LPC” en la página 63.
7.
Consulte “Instalación de una tarjeta de procesamiento de red (NPC)” en la página 59.
Palo Alto Networks
Instalación de una tarjeta de procesamiento de red (NPC)
Puede instalar hasta 6 NPC en un cortafuegos PA-7050 y hasta 10 NPC en un cortafuegos PA-7080 para
aumentar la densidad de puertos y el rendimiento. En un cortafuegos PA-7050, puede instalar NPC en
las ranuras 1, 2, 3, 5, 6 o 7, y en un cortafuegos PA-7080, puede instalarlas en las ranuras 1, 2, 3, 4, 5, 8,
9, 10, 11 o 12.
El contenido de “Tarjetas de procesamiento de red (NPC)” en la página 33 describe las NPC disponibles.
Nota: Si instala una NPC en la ranura 1 (cortafuegos PA-7050 o PA-7080), el
sistema configura ethernet1/1 y ethernet1/2 como Virtual Wire. Si instala una NPC
en cualquier otra ranura, el sistema no aplica una configuración predeterminada.
Nota: Si tiene previsto instalar NPC en el bastidor, lea “Determinación de los
requisitos de alimentación de un cortafuegos PA-7000 Series” en la página 70
para asegurarse de conectar el número correcto de fuentes de alimentación con el
fin de lograr la redundancia adecuada.
Los procedimientos de instalación de una NPC en un bastidor único y el procedimiento de instalación
de NPC en un par de bastidores en modo de alta disponibilidad (HA) son diferentes.
Si habilita el reenvío de logs (por ejemplo, para syslog o WildFire) debe configurar un puerto y una
NPC con el tipo Puerto de logs, como se describe en “Configuración de un perfil de reenvío de logs”
en la página 64.
•
“Instalación de una NPC en bastidor único” en la página 59
•
“Instalación de una NPC en una configuración de alta disponibilidad (HA)” en la página 63
•
“Configuración de un perfil de reenvío de logs” en la página 64
•
“Configuración de la distribución de la sesión” en la página 65
Instalación de una NPC en bastidor único
1.
Para obtener información acerca de la ubicación de los puertos ESD, consulte “Panel frontal del
PA-7050 (CA)” en la página 6 o “Panel frontal del PA-7080 (CA)” en la página 13.
2.
Extraiga la NPC de la bolsa antiestática e introdúzcala parcialmente en cualquiera de las
ranuras NPC; compruebe antes que las palancas estén en la posición abierta. Cuando falte medio
centímetro para que la tarjeta esté completamente insertada, ajuste las palancas para alinearla
con el bastidor y, a continuación, cierre las palancas para que la tarjeta se coloque en su sitio.
Las siguientes ilustraciones muestran algunos ejemplos de instalación de NPC.
Palo Alto Networks
Ilustración 36. Instalación o extracción de una NPC versión 1 en un cortafuegos PA-7050
1
PA-70
50
2
3
1
4
SMC
2
5
3
6
PA-705
0-SMC
4
SMC
7
5
8
ALM
F
6
P
7
PA-700
0-20GNPC
8
NPC SMC
Palo Alto Networks
Palo Alto Networks
3.
Apriete los tornillos a cada lado de la tarjeta para fijarla al bastidor. La NPC versión 1 incluye un
tornillo de estrella estándar; la versión 2, un tornillo moleteado que también se puede apretar con
un destornillador de estrella.
4.
Tape todas las ranuras vacías con las cubiertas para ranuras vacías suministradas. Cada ranura
vacía debe cubrirse con las tapas para ranuras vacías para garantizar el flujo de aire adecuado
y evitar que entre suciedad en el bastidor. El número de cubiertas para ranuras vacías que reciba
dependerá del número de NPC de su pedido. Por ejemplo, si ha pedido una NPC, recibirá las
cubiertas para ranuras vacías necesarias para tapar todas las ranuras vacías.
5.
Conecte los cables de red y la NPC estará preparada para procesar tráfico de datos.
6.
Consulte “Conexión de alimentación a un cortafuegos PA-7000 Series” en la página 70. Una
vez encendido el bastidor, vea el estado de las NPC siguiendo los pasos de “Verificación de la
configuración de NPC” en la página 69.
Palo Alto Networks
Instalación de una NPC en una configuración de alta disponibilidad (HA)
Todos los cortafuegos Palo Alto Networks requieren que el hardware de la plataforma coincida al
configurar cortafuegos en una configuración HA. Al configurar el cortafuegos PA-7000 Series, las
tarjetas de procesamiento de red (NPC) también deben coincidir y deben instalarse en el mismo número
de ranura en cada cortafuegos.
Importante: Al instalar una nueva NPC en un cortafuegos PA-7000 Series con configuración de alta
disponibilidad (HA), PAN-OS deshabilita las tarjetas. Esto le permite activar las dos tarjetas al mismo
tiempo, de modo que HA pueda iniciar la supervisión.
1.
2.
Use un destornillador de estrella para retirar las cubiertas para ranuras vacías en aquellas ranuras
donde quiera instalar una NPC.
3.
Extraiga la primera NPC de la bolsa antiestática e introdúzcala parcialmente en cualquiera de las
ranuras NPC; compruebe antes que las palancas estén en la posición abierta. Cuando falte medio
centímetro para que la tarjeta esté completamente insertada, ajuste las palancas para alinearla
con el bastidor y, a continuación, cierre las palancas para que la tarjeta se coloque en su sitio.
4.
Instale la segunda NPC (del mismo modelo) en el otro bastidor del par HA y en la misma ranura
donde ha instalado la NPC en el primer bastidor. Por ejemplo, si ha instalado la primera NCP
en la ranura 3 del primer bastidor, instale la segunda NPC en la ranura 3 del segundo bastidor.
Después de instalar el cortafuegos en el rack y de encenderlo como se describe en “Conexión de la
alimentación al cortafuegos PA-7000 Series” (pág. 65), continúe con los pasos para configurar las
NPC en el par HA. Consulte “Verificación de la configuración de NPC” en la página 69 para obtener
información sobre cómo comprobar el estado de las NPC.
5.
Ejecute el comando siguiente para activar ambas NPC en el par de HA:
admin@PA-7050> request chassis power-on slot <número-de-ranura>
target ha-pair
Por ejemplo, si ha instalado las NPC en la ranura 3 de cada bastidor, ejecute el comando siguiente:
admin@PA-7050> request chassis power-on slot s3 target ha-pair
Así activará ambas tarjetas al mismo tiempo en los dos bastidores.
Habilite las NPC ejecutando el comando siguiente:
admin@PA-7050> request chassis enable slot s3 target ha-pair
6.
Compruebe el estado de la tarjeta en la ranura 3 en ambos bastidores ejecutando:
admin@PA-7050> show chassis status slot s3
Si las tarjetas funcionan correctamente, el estado debe mostrar un mensaje parecido a este:
Slot...Component........Card Status.....Config Status
3 .....PA-7000-20G-NPC .Up..............Success
7.
Conecte los cables de red y la NPC estará preparada para procesar tráfico de red.
Palo Alto Networks
Configuración de un perfil de reenvío de logs
Si configura el reenvío de logs en un cortafuegos PA-7000 Series o habilita WildFire®, tendrá que
configurar un puerto disponible en una tarjeta de procesamiento de red (NPC) usando el tipo tarjeta
de log. Esto se debe a que las funciones de procesamiento de tráfico y logs de un cortafuegos PA-7000
Series exceden las funciones del puerto de gestión, que es el puerto que se usa para estos servicios en
otras plataformas. El cortafuegos usa este puerto especial para las siguientes funciones: syslog, correos
electrónicos generados por el cortafuegos, SNMP y reenvío de archivos de WildFire. PA-7000 Series
también difiere de los cortafuegos de Palo Alto Networks en lo que respecta a Panorama®. En este caso,
Panorama consulta los logs directamente en la tarjeta de procesamiento de logs (LPC), de modo que
Panorama no necesite el reenvío de logs.
Nota: Solo puede configurar un puerto NPC en el cortafuegos con el tipo tarjeta
de logs. Si habilita el reenvío de logs y este puerto no está configurado, se produce
un error de compilación. También garantiza que este puerto pueda contactar con
los servidores que recibirán contenido del cortafuegos. Por ejemplo, si configura
un perfil de reenvío de logs para un servidor syslog, este puerto debe ser capaz de
contactar con el servidor syslog. Como ejemplo adicional, si habilita el reenvío de
archivos de WildFire, la interfaz debe ser capaz de contactar con el servidor en la
nube WildFire o, si procede, con un dispositivo WF-500 privado.
1.
Seleccione Dispositivo > Interfaces y haga clic en la pestaña Ethernet.
2.
Expanda la ranura que contiene la NPC que quiere modificar y haga clic en un puerto disponible.
Por ejemplo, para configurar ethernet2/1, expanda la ranura 2 y haga clic en ethernet2/1.
3.
Seleccione el menú desplegable Tipo de interfaz y seleccione Tarjeta de log.
4.
Si se ha habilitado el sistema virtual, seleccione el sistema virtual deseado en la pestaña Configurar.
5.
Haga clic en la pestaña Reenvío de tarjeta de log.
6.
Introduzca la dirección IP IPv4 o IPv6, la máscara de red y la puerta de enlace predeterminada.
7.
Haga clic en ACEPTAR para guardar la configuración de la interfaz y después haga clic en
Compilar. Una vez completada la compilación, use un cable de red para conectar la NPC a su
conmutador o enrutador.
8.
Compruebe que el puerto de logs envía y recibe tráfico consultando los contadores de la interfaz
lógica. Para consultarlos, ejecute el comando siguiente:
admin@PA-7050> debug log-card-interface info slot s8
Si los contadores avanzan pero el tráfico no llega al servidor remoto, puede hacer ping al
servidor desde el puerto de logs ejecutando el comando siguiente:
admin@PA-7050> debug log-card-interface ping slot s8 host
<host-ip-address>
Después de configurar el puerto de tarjeta de logs, syslog, el correo electrónico, SNMP y los
servicios de reenvío de archivos de WildFire usarán automáticamente el puerto de tarjeta de log.
Para obtener toda la información sobre configuración del reenvío de logs, consulte la Guía del
administrador de PAN-OS.
Palo Alto Networks
Configuración de la distribución de la sesión
Al instalar varias tarjetas de procesamiento de red (NPC) en un cortafuegos PA-7000 Series, el
cortafuegos separa de forma lógica el procesamiento de seguridad y la entrada/salida. Las funciones del
cortafuegos que están sometidas al procesamiento de seguridad incluyen App-ID, Content-ID, filtrado
de URL, descifrado SSL e IPSec. En la mayoría de los casos, no hay restricciones configuradas para
determinar qué procesador NPC se usa cuando se procesa una sesión dada. Por ejemplo, una sesión
puede acceder a través de una NPC, pero el procesamiento de seguridad para la sesión se puede producir
en el procesador del plano de datos de una NPC diferente, en función de la política de distribución
de sesiones que configure.
La política de distribución de la sesión predeterminada es ingress-slot. En este modo, el procesamiento
de sesión permanece en la NPC a la que accedió la sesión. Sin embargo, si especifica la política de
distribución session-load, la sesión accede a través de una NPC, pero el cortafuegos puede enviar la sesión
a otra NPC dependiendo de qué NPC tenga el número de sesión más bajo de las sesiones activas actuales.
Use la información de la Tabla 19 para conocer las políticas de distribución de sesiones disponibles
y decidir qué política se adecua mejor a su entorno. Una vez conozca las políticas disponibles, use
la información en la Tabla 20 para ver y modificar la política de distribución de sesiones.
Tabla 19. Políticas de distribución de sesiones disponibles
Política
Descripción
Fixed
Especifique el plano de datos en una NPC que usará el cortafuegos para el
procesamiento de seguridad.
Esta política se utiliza principalmente para fines de depuración.
Hash
El cortafuegos distribuye las sesiones basándose en un hash de la dirección de
origen o destino. Esto se logra mejorando la eficiencia de la gestión de recursos
NAT y reduciendo la latencia de la configuración de sesión NAT debida a
posibles conflictos de puertos o direcciones IP.
Al usar la traducción de IP dinámicas, se recomienda establecer la opción
de dirección de origen; para la traducción de puertos e IP dinámicas, se
recomienda establecer la opción de dirección de destino.
Se recomienda esta política para entornos que usan NAT de origen a gran
escala con traducción de IP dinámicas, traducción de puertos e IP dinámicas
o ambas.
Ingress-slot
(predeterminado)
El procesamiento de sesiones para una sesión dada permanece en la misma NPC
a la que llegó la sesión (la sesión se envía inicialmente a una NPC basada en un
hash de la dirección de origen y la dirección de destino). No obstante, si el puerto
de salida es de una NPC diferente, los paquetes de sesión salen de la NPC inicial
a través de la matriz de conmutación y luego a través del puerto de salida en la
otra NPC. El cortafuegos intenta reducir el número de veces que los paquetes
atraviesan la matriz de conmutación cuando las interfaces de ingreso y salida
residen en la misma ranura, o cuando no hay ruta de reenvío asimétrica.
Se recomienda esta política para entornos sensibles a la latencia, para que
pueda configurar tanto el ingreso como la salida en la misma NPC para
minimizar la latencia.
El puerto de salida se selecciona en L2, L3, o en la configuración de Virtual Wire.
Random
Palo Alto Networks
El cortafuegos selecciona aleatoriamente el procesador del plano de datos de la
NPC para el procesamiento de sesiones.
Tabla 19. Políticas de distribución de sesiones disponibles
Política
Descripción (Continuación)
Round-robin
El cortafuegos selecciona el procesador del plano de datos de la NPC
basándose en un algoritmo round-robin de planos de datos activos para que
la entrada/salida y las funciones de procesamiento de seguridad se compartan
entre todos los planos de datos activos.
Session-load
El cortafuegos selecciona el procesador del plano de datos de la NPC con el
número de sesión activa más bajo usando un algoritmo round-robin ponderado.
El factor de ponderación lo determina el número de sesión activa de los planos
de datos de todas las NPC activas.
Esta política se recomienda en entornos donde las sesiones se distribuyen
a través de varias ranuras NPC, tales como un grupo de interfaces agregadas
de varias ranuras o en entornos con reenvío asimétrico.
Tabla 20. Visualización y modificación de configuración de distribución de sesiones
Tarea
Comando
Ver la configuración
de distribución de
sesiones actual
username@hostname> show session distribution policy
Por ejemplo, el siguiente resultado muestra un cortafuegos PA-7080 con cuatro
NPC instaladas (en las ranuras 2, 10, 11 y 12) con la política ingress-slot
(predeterminada).
admin@PA-7080> show session distribution policy
Ownership Distribution Policy: ingress-slot
Flow Enabled Line Cards: [2, 10, 11, 12]
Packet Processing Enabled Line Cards: [2, 10, 11, 12]
Cambiar la política
de distribución de
sesiones
username@hostname> set session distribution-policy
<fixed | hash | ingress-slot | random | round-robin |
session-load>
Por ejemplo, para especificar la política round-robin, se introduce el siguiente
comando:
admin@PA-7080> set session distribution-policy
round-robin
Ver estadísticas de
distribución de
sesiones.
username@hostname> show session distribution
statistics
Por ejemplo, a continuación se muestra el resultado desde un cortafuegos
PA-7080:
admin@PA-7080> show session distribution statistics
DP
Active Dispatched
Dispatched/sec
---------------------------------------------------s1dp0
78698 7829818
1473
s1dp1
78775 7831384
1535
s2dp0
7796 736639
1488
s2dp1
7707 737026
1442
Cada NPC tiene dos planos de datos indicados en el resultado, donde se indica
primero el número de ranura NPC (s1 y s2) y después los planos de datos
(dp0 y dp1). Por ejemplo, s1dp0 es el plano de datos 0 en la NPC instalada en
la ranura 1 y s2dp1 es el plano de datos 1 en la NPC instalada en la ranura 2.
Si se suman los números en la columna Active, el total son las sesiones
activas en el cortafuegos. También podrá ver el número total de sesiones
activas al ver el resultado de show session info. La columna
Dispatched muestra el número total de sesiones que ha procesado el
plano de datos desde la última vez que se reinició el cortafuegos y la columna
Dispatched/sec indica la tasa de envío.
Palo Alto Networks
Nota: La configuración de la política de distribución de sesiones se almacena en
la tarjeta de gestión de conmutadores (SMC), por lo que si reemplaza la SMC,
tendrá que volver a configurar la política en la nueva SMC. Si no cambia la
política en la nueva SMC, el cortafuegos usará la política de distribución de
sesiones predeterminada (ingress-slot).
Palo Alto Networks
Verificación de la configuración de LPC y NPC en PA-7000 Series
Verificación de la configuración de LPC y NPC
en PA-7000 Series
Una vez instaladas las tarjetas en las ranuras delanteras y encendido el cortafuegos PA-7000 Series
como se describe en “Conexión de alimentación a un cortafuegos PA-7000 Series” en la página 70,
puede usar la información siguiente para verificar el estado de la tarjeta de procesamiento de logs (LPC)
y las tarjetas de procesamiento de red (NPC).
•
“Verificación de la configuración de LPC” en la página 68
•
“Verificación de la configuración de NPC” en la página 69
Verificación de la configuración de LPC
Tras instalar la LPC y las AMC (con unidades) en el bastidor, el cortafuegos configura las dos primeras
unidades de la izquierda (A1 y A2) en un par RAID 1 y las dos segundas unidades (B1 y B2) de la
derecha en un segundo par RAID 1 para lograr un total de 2 TB. El formateo y la configuración RAID
iniciales no deberían tardar más de 3 minutos aproximadamente.
Nota: El bastidor no puede funcionar sin una LPC operativa que cuente como
mínimo con una unidad configurada. Durante el funcionamiento normal, las
cuatro AMC deben estar instaladas en dos pares RAID 1.
Para ver el estado de la configuración RAID, ejecute el siguiente comando:
admin@PA-7050> show system raid detail
Compruebe que al menos uno de los pares RAID 1 muestra el estado Available, que indica que un
par de unidades está preparado y que la LPC puede recibir logs. En el siguiente mensaje, Disk Pair
S8A muestra Available y el estado del campo RAID 1 es clean (correcto). El segundo par RAID 1
(Disk Pair S8B) también está preparado.
Disk Pair S8A
Status
Disk id A1
model
size
status
card serial
Disk id A2
model
size
status
card serial
Disk Pair S8B
Status
Disk id B1
model
size
status
card serial
Disk id B2
model
size
status
card serial
Available
clean
Present
:
:
:
:
ST91000640NS
953869 MB
active sync
002901000061
:
:
:
:
ST91000640NS
953869 MB
active sync
002901000067
Present
Available
clean
Present
:
:
:
:
ST91000640NS
953869 MB
active sync
002901000089
:
:
:
:
ST91000640NS
953869 MB
active sync
002901000076
Present
Palo Alto Networks
Verificación de la configuración de LPC y NPC en PA-7000 Series
El resultado también muestra el modelo, tamaño, estado y número de serie de la AMC. La Tabla 21
describe los niveles de estado posibles de una unidad. Para obtener información acerca la sustitución
de una unidad con errores y los comandos para añadir y quitar unidades, consulte “Sustitución de una
unidad de disco LPC en un PA-7000 Series” en la página 102.
Tabla 21. Indicadores de estado de AMC
Estado
Descripción
not in use (sin usar)
La unidad no forma parte de un par RAID.
spare rebuilding
(sincronizando)
Tras reemplazar una unidad que ha fallado en un par RAID 1, este mensaje
de estado indica que el cortafuegos está sincronizando datos desde la
unidad existente a la nueva unidad.
active sync
(sincronización activa)
La unidad está preparada y forma parte de un par RAID 1 en estos
momentos.
failed (fallo)
La unidad ha fallado y debe cambiarse.
Verificación de la configuración de NPC
Al configurar por primera vez un cortafuegos PA-7000 Series, todas las ranuras NPC están listas para
su uso. Si trabaja con una configuración existente, puede que quiera comprobar el estado de las ranuras
antes de añadir una nueva NPC para asegurarse de que la ranura esté preparada. Si se configura alta
disponibilidad (HA), las NPC permanecen deshabilitadas hasta que se instala una NPC coincidente.
Tras instalar una NPC coincidente en el mismo número de ranura que el cortafuegos peer, debe habilitar
las NPC del modo siguiente:
Para comprobar el estado de la ranura, ejecute el siguiente comando:
admin@PA-7050> show chassis status slot <número-de-ranura>
Por ejemplo, para comprobar la ranura 3, ejecute el siguiente comando:
Si la ranura está lista para usarse, el estado muestra empty y cuando inserta una tarjeta, el sistema actualiza
el estado de la ranura. La Tabla 29 en la página 124 describe los mensajes de estado de las ranuras.
Tras instalar correctamente una tarjeta NPC, el estado mostrará Card Status Up y Config
Status Success.
Un administrador también puede desactivar una ranura y esta permanecerá en este estado hasta que
vuelva a activarla. Use los comandos siguientes para cambiar el estado de la ranura:
Para activar una ranura NPC:
admin@PA-7050> request chassis admin-power-on slot <número-de-ranura>
Para desactivar una ranura NPC:
admin@PA-7050> request chassis admin-power-off slot <número-de-ranura>
Para desactivar temporalmente una ranura:
admin@PA-7050> request chassis power-off slot <número-de-ranura>
En una configuración HA, debe instalar el mismo número y modelo de tarjetas NPC en cada bastidor
y los números de ranura deben coincidir. Tras instalar las NPC en cada bastidor, el cortafuegos las
mantiene en estado deshabilitado hasta que las habilite. Esto permite al cortafuegos iniciar la
supervisión HA en ambas NPC.
Use el comando siguiente para activar un par de NPC en una configuración HA:
target ha-pair
Palo Alto Networks
Conexión de alimentación a un cortafuegos PA-7000 Series
Por ejemplo, para habilitar NPC instaladas en la ranura 3 de ambos bastidores, ejecute el siguiente comando:
Para obtener más información acerca de cómo instalar NPC, consulte “Sustitución de una tarjeta de
procesamiento de red (NPC) en un PA-7000 Series” en la página 120 y para obtener información acerca
de estados de ranuras, consulte “Estados de ranuras delanteras del PA-7000 Series” en la página 124.
Conexión de alimentación a un cortafuegos
PA-7000 Series
Los cortafuegos PA-7000 Series pueden funcionar con 220 V CA a 240 V CA o -40 V CC a -60 V CC.
Los módulos de entrada de alimentación (PEM) ubicados en la parte trasera del bastidor conectan la
alimentación eléctrica a las fuentes de alimentación intercambiables en caliente ubicadas en la parte
delantera del bastidor, que a su vez suministran alimentación a todos los componentes del bastidor. En
una plataforma PA-7050 de CC, la alimentación eléctrica se conecta directamente a las fuentes de
alimentación de CC delanteras y no se usa un PEM.
Nota: Puede cambiar la configuración de la alimentación del PA-7050 de CA a
CC y viceversa in situ cambiando las fuentes de alimentación delanteras. Esto no
es posible para el cortafuegos PA-7080. Tampoco puede cambiar las fuentes de
alimentación entre un cortafuegos PA-7050 y un PA-7080.
Use el primer tema de la lista siguiente para conocer mejor los requisitos de alimentación del bastidor
y cómo planificar la redundancia. Los cuatro temas siguientes le ofrecen procedimientos para conectar
la alimentación, y el último de ellos describe cómo ver el consumo de energía después de encender el
bastidor.
•
“Determinación de los requisitos de alimentación de un cortafuegos PA-7000 Series” en la página 70
•
“Conexión de alimentación de CA a un cortafuegos PA-7050” en la página 72
•
“Conexión de alimentación de CC a un cortafuegos PA-7050” en la página 74
•
“Conexión de alimentación de CA a un cortafuegos PA-7080” en la página 76
•
“Conexión de alimentación de CC a un cortafuegos PA-7080” en la página 79
•
“Consulta del consumo de un cortafuegos PA-7000 Series” en la página 82
Determinación de los requisitos de alimentación
de un cortafuegos PA-7000 Series
El número de fuentes de alimentación que necesita el bastidor depende del número de tarjetas de
procesamiento de red (NPC) que instale (véase “Determinación de los requisitos de alimentación
de un cortafuegos PA-7000 Series” en la página 70). Los pernos de tierra para ambos bastidores se
encuentran en la parte trasera del mismo y deben conectarse a una toma de tierra.
A continuación, se muestra un resumen de los requisitos de alimentación del PA-7050 y el PA-7080:
•
Cortafuegos PA-7050: una plataforma disponible para alimentación tanto CA como CC. La
configuración se puede cambiar in situ.
– CA: cuatro fuentes de alimentación de CA reemplazables que se instalan en la parte delantera
del bastidor y cuatro entradas de alimentación de CA ubicadas en la parte trasera del bastidor.
El módulo de entrada de alimentación (PEM) situado en la parte trasera del bastidor no se
puede reparar in situ.
Palo Alto Networks
– CC: cuatro fuentes de alimentación de CC reemplazables que se instalan en la parte delantera
del bastidor. Puede conectar cables de alimentación de CC (suministrados) en las fuentes de
alimentación delanteras y las entradas de alimentación de CA traseras se deshabilitan; debe
cubrirlas con las placas suministradas.
•
Cortafuegos PA-7080: disponible en una plataforma de CA o CC; la configuración de alimentación
no se puede cambiar in situ.
– CA: ocho fuentes de alimentación de CA reemplazables que se instalan en la parte delantera del
bastidor; conmutadores y entradas de alimentación de CA ubicados en la parte trasera del
bastidor. El módulo de entrada de alimentación (PEM) situado en la parte trasera del bastidor no
se puede reparar in situ.
– CC: ocho fuentes de alimentación de CC reemplazables que se instalan en la parte delantera
del bastidor. La fuente de CC se conecta a las conexiones de alimentación de la parte trasera del
bastidor usando los talones de cable, arandelas de estrella y tuercas de orejetas suministrados.
Los módulos de entrada de alimentación (PEM) situados en la parte trasera del bastidor se pueden
reparar in situ. Consulte “Sustitución de un PEM en un PA-7080 de CC” en la página 100.
La Ilustración 39 muestra la parte trasera y delantera de las fuentes de alimentación de CA y CC del
PA-7080, así como sus respectivas muescas. Aunque las fuentes de alimentación del PA-7050 y el
PA-7080 parecen similares, no son intercambiables. En el cortafuegos PA-7050, las fuentes de
alimentación de CA y CC son muy diferentes: la alimentación eléctrica de CC se conecta a la parte
delantera de las fuentes de alimentación de CC usando los cables suministrados, y al instalar las fuentes
de alimentación de CA, los cables de alimentación se conectan a la parte trasera del bastidor usando las
entradas de alimentación de CA.
Ilustración 39. Fuentes de alimentación de CA y CC del PA-7080
Fuentes de alimentación de CA y CC de PA-7080
CA delantera
CA trasera
Clave para evitar el montaje
en un bastidor de CC
CC delantera
CC trasera
Clave para evitar el montaje
en un bastidor de CA
Un cortafuegos PA-7050 completamente equipado (6 NPC instaladas) requiere 3050 W y un cortafuegos
PA-7080 completamente equipado (10 NPC instaladas) requiere 5140 W. Cada fuente de alimentación
conectada con alimentación eléctrica de 220 V CA a 240 V CA o -40 V CC a -60 V CC suministra 2500 W
de potencia.
La Tabla 22 describe los requisitos de alimentación del PA-7000 Series en función de la alimentación
conectada al bastidor y el número de tarjetas de procesamiento de red (NPC) instaladas.
Palo Alto Networks
Tabla 22. Requisitos de alimentación mínimos del PA-7000 Series
Plataforma
NPC
Plataformas PA-7050 CA y CC
6
Número mínimo de fuentes de alimentación
4
Con 6 NPC instaladas, el bastidor puede funcionar
temporalmente con dos fuentes de alimentación.
Para lograr redundancia, las cuatro fuentes de alimentación
deben estar operativas y cada par (dos a la izquierda y dos a la
derecha si se observa el bastidor de frente) debe conectarse a
disyuntores separados para la redundancia y el mantenimiento
del circuito eléctrico habitual.
Plataforma PA-7080 CA y CC
9
4
10
6
Con 9 NPC instaladas, el bastidor puede funcionar
temporalmente con dos fuentes de alimentación. Con 10 NPC
instaladas, el bastidor puede funcionar temporalmente con
tres fuentes de alimentación.
Para lograr redundancia, con 9 NPC instaladas, debe tener
cuatro fuentes de alimentación y cada par (etiquetado 1A-2A
y 1B-2B si se observa el bastidor de frente) debe estar
conectado a disyuntores separados.
Con 10 NPC instaladas, debe tener 6 fuentes de alimentación
operativas para lograr redundancia y para el mantenimiento
de circuitos eléctricos habitual. En este caso, conecte las
fuentes de alimentación con la etiqueta 1A, 2A y 3A a un
disyuntor y 1B, 2B y 3B a otro disyuntor.
Conexión de alimentación de CA a un cortafuegos PA-7050
La plataforma PA-7050 de CA requiere de 220 V CA a 240 V CA de alimentación y la alimentación del
bastidor se divide en dos planos. Si se observa el bastidor de frente, las dos fuentes de alimentación de
la izquierda se conectan al primer plano de alimentación y las dos de la derecha, al segundo plano de
alimentación. Al conectar la alimentación, conecte dos disyuntores separados a cada par de fuentes de
alimentación (dos a la izquierda y dos a la derecha). De este modo se logra redundancia y se permite
el mantenimiento de circuitos eléctricos programado. Cuando se usan todas las ranuras delanteras,
el bastidor puede funcionar temporalmente con dos fuentes de alimentación. La Ilustración 40
muestra la conexión a tierra y la Ilustración 41 muestra las conexiones de alimentación de CA.
1.
Lea “Precauciones y advertencias relacionadas con el hardware” en la página 87 y consulte
“Determinación de los requisitos de alimentación de un cortafuegos PA-7000 Series” en la
página 70 para la planificación de la configuración de alimentación.
2.
3.
Compruebe que todos los conmutadores de alimentación de CA están en la posición apagada.
4.
Retire las dos tuercas y arandelas de estrella de los pernos de tierra ubicados en la parte trasera
del bastidor en la parte superior izquierda.
Palo Alto Networks
5.
Engarce un cable 6 AWG en el terminal de conexión a tierra suministrado y conecte el otro
extremo a su punto de toma de tierra.
6.
Conecte el terminal de dos postes a los pernos de tierra de dos postes en el bastidor usando las
arandelas de estrella y tuercas suministradas y apriete las tuercas a 50 in-lb. Tenga cuidado de no
deformar las tuercas y pernos.
Ilustración 40. Conexión a tierra del PA-7050
Tierra
Terminales de
conexión a tierra
en la parte
posterior del
bastidor.
7.
Conecte las dos primeras fuentes de alimentación a un disyuntor de 220 V CA a 240 V CA y 20 A
usando los cables suministrados y después conecte las dos segundas fuentes de alimentación a un
segundo disyuntor independiente de 220 V CA a 240 V CA y 20 A.
8.
Fije los cables de alimentación a las entradas de alimentación usando las pinzas de retención
de los cables de alimentación.
9.
Asegúrese de que todas las tarjetas de las ranuras delanteras están insertadas correctamente
y después encienda los cuatro conmutadores de alimentación de CA situados en la parte trasera
del bastidor. El bastidor se encenderá.
10. Consulte “Conexión de cables a un cortafuegos PA-7000 Series” en la página 84.
Palo Alto Networks
Ilustración 41. Conexión del PA-7050 a la alimentación de CA
Tierra
Disyuntor A
Disyuntor B
Configuración de 240 V CA 20 A
Conexión de alimentación de CC a un cortafuegos PA-7050
La plataforma PA-7050 de CC requiere de -40 V CC a -60 V CC de alimentación y la alimentación del
bastidor se divide en dos planos. Si se observa el bastidor de frente, las dos fuentes de alimentación de
la izquierda se conectan al primer plano de alimentación y las dos de la derecha, al segundo plano de
alimentación. Al conectar la alimentación, asegúrese de que el primer par de fuentes de alimentación
(dos a la izquierda) y el segundo par de fuentes de alimentación (dos a la derecha) están en disyuntores
separados. Cuando se usan todas las ranuras delanteras, el bastidor puede funcionar temporalmente con
dos fuentes de alimentación. La Ilustración 43 muestra la alimentación de CC y las conexiones a tierra.
PRECAUCIÓN: En cuanto al circuito de entrada de CC, compruebe que haya
un disyuntor protegido de 60 A, de -40 V CC a -60 V CC como mínimo y dos polos
en la entrada a de alimentación de CC. Los cables de alimentación usados para
conectar la alimentación de CC se proporcionan con el cortafuegos PA-7050, pero
no con el cortafuegos PA-7080.
1.
2.
Para obtener información acerca de la ubicación del puerto ESD, consulte “Panel frontal del
PA-7050 (CA)” en la página 6.
Palo Alto Networks
3.
4.
Engarce un cable 6 AWG en el terminal de conexión a tierra suministrado y conecte el otro
extremo a su punto de toma de tierra.
5.
Conecte el terminal de dos postes a los pernos de dos postes en el bastidor usando las arandelas
de estrella y tuercas suministradas y apriete las tuercas a 50 in-lb. Tenga cuidado de no deformar
las tuercas y los pernos de los terminales.
Ilustración 42. Conexión a tierra del PA-7050
Tierra
Terminales de
conexión a tierra
en la parte
posterior del
bastidor.
6.
Apague el suministro de alimentación de CC.
7.
Conecte las cuatro fuentes de alimentación de CC a alimentación eléctrica de -40 V CC a -60 V CC
usando los cables de alimentación de CC suministrados.
a. Engarce los extremos pelados del cable usando terminales (no incluidos) diseñados para su
alimentación eléctrica de CC. Cada cable tiene dos hilos rojos (positivo) y dos negros
(negativo). Engarce los dos cables negros juntos y conéctelos a su terminal de CC negativo
y después engarce los dos cables rojos juntos y conéctelos al terminal positivo. Realice este
paso para cada una de las cuatro fuentes de alimentación; asegúrese de que las dos primeras
fuentes de alimentación a la izquierda están conectadas a un disyuntor y el segundo par de la
derecha esté conectado a otro disyuntor. De este modo se logra redundancia y se permite el
mantenimiento de circuitos eléctricos habitual. La Ilustración 43 incluye una ilustración de
la conexión.
b. Conecte los otros extremos de los cables de CC a la parte delantera de las fuentes de
alimentación de CC introduciendo el conector de plástico en la fuente de alimentación de CC
hasta que suene un clic, que indica que se ha colocado correctamente. Asegúrese de que conecta
cada par de fuentes de alimentación a un disyuntor diferente.
ADVERTENCIA: Al conectar cables de la alimentación eléctrica de CC a su fuente
de alimentación, asegúrese de tender el cable de modo que no se someta a presión a
las pinzas de plástico ubicadas en la parte delantera de las fuentes de alimentación de
CC. Se recomienda tender primero los cables y después enchufarlos a las fuentes de
alimentación.
8.
Cuando haya conectado con seguridad cada cable de alimentación eléctrica de CC, encienda
la fuente de alimentación de CC y el bastidor se encenderá.
9.
Consulte “Conexión de cables a un cortafuegos PA-7000 Series” en la página 84.
Palo Alto Networks
Ilustración 43. Conexión del cable de alimentación de CC al PA-7050
7
Engarce y conecte ambos
pares de cables de cada
fuente de alimentación a
su fuente de alimentación
de CC respectando la
polaridad correcta.
8
7
8
Circuito B
Negro (-)
Circuito A
Rojo (+)
Conexión de alimentación de CA a un cortafuegos PA-7080
La plataforma PA-7080 de CA requiere de 220 V CA a 240 V CA y el complejo de alimentación del
bastidor se divide en dos módulos de entrada de alimentación (PEM A y PEM B) ubicados en la parte
trasera del bastidor. Al conectar la alimentación, asegúrese de que usa dos disyuntores separados y que
divide los circuitos basándose en los PEM. La división de los circuitos proporciona alimentación
redundante y permite el mantenimiento habitual de los circuitos eléctricos. Los siguientes
procedimientos describen cómo conectar el número predeterminado de fuentes de alimentación
(cuatro), que alimentarán hasta 9 tarjeta de procesamiento de red (NPC) y ofrecen alimentación
redundante. Si instala 10 NPC, necesitará instalar 6 fuentes de alimentación para lograr redundancia.
Para obtener información sobre planificación de la alimentación, consulte “Determinación de los
requisitos de alimentación de un cortafuegos PA-7000 Series” en la página 70.
1.
2.
Para obtener información acerca de la ubicación de los puertos ESD, consulte o “Panel frontal
del PA-7080 (CA)” en la página 13.
3.
Compruebe que todos los conmutadores de alimentación de CA están en la posición apagada.
4.
5.
Engarce un cable 6-AWG al terminal del cable proporcionado y conecte el otro extremo al cable
de su toma de tierra usando una terminal diseñado para su punto de toma de tierra.
6.
Conecte el terminal de dos postes a los terminales de dos postes en el bastidor usando las arandelas
de estrella y tuercas suministradas y apriete las tuercas a 50 in-lb. Puede colocar el terminal en
posición vertical u horizontal, como se muestra en la Ilustración 44. Tenga cuidado de no deformar
las tuercas y los pernos de los terminales.
Palo Alto Networks
Ilustración 44. Conexión del cable de tierra a PA-7080
7.
Conecte las dos primeras fuentes de alimentación (entradas de alimentación PEM A 1 y 2) a
un disyuntor de 220 V CA a 240 V CA y 20 A usando los cables suministrados y después conecte
la dos segundas fuentes de alimentación (entradas de alimentación PEM B 1 y 2) a un segundo
disyuntor independiente de 220 V CA a 240 V CA y 20 A. La Ilustración 45 muestra las
conexiones del cable de alimentación de CA.
8.
Fije los cables de alimentación a las entradas de alimentación usando las pinzas de retención
de los cables de alimentación.
9.
Asegúrese de que todas las tarjetas de las ranuras delanteras están insertadas correctamente
y después encienda los cuatro conmutadores de alimentación de CA situados en la parte trasera
del bastidor. El bastidor se encenderá.
Palo Alto Networks
Ilustración 45. Conexión de la alimentación de CA al PA-7080
Disyuntor A
Disyuntor B
Palo Alto Networks
Conexión de alimentación de CC a un cortafuegos PA-7080
La plataforma PA-7080 de CC requiere de -40 V CC a -60 V CC y el complejo de alimentación del
bastidor se divide en dos módulos de entrada de alimentación (PEM A y PEM B) ubicados en la parte
trasera del bastidor.
Los siguientes procedimientos describen cómo conectar el número predeterminado de fuentes de
alimentación (cuatro), que alimentarán hasta 9 tarjetas de procesamiento de red (NPC). Si instala 10
NPC, necesitará instalar 6 fuentes de alimentación para lograr redundancia. Para obtener información
sobre planificación de la alimentación, consulte “Determinación de los requisitos de alimentación
de un cortafuegos PA-7000 Series” en la página 70.
PRECAUCIÓN: Debe conectar cada una de las ocho conexiones de alimentación de CC (cuatro en cada PEM) a disyuntores protegidos de 60 A diferentes,
mínimo 48 V CC, y doble polo en la entrada para alimentación de CC.
Dadas las diversas longitudes de cables de CC que puede requerir su entorno,
los cables de CC no se suministran junto con la plataforma de PA-7080 CC.
1.
2.
extremo de la pinza de punta cónica a uno de los puertos ESD de la parte delantera del
bastidor. Para obtener información acerca de la ubicación del puerto ESD, consulte “Panel
frontal del PA-7080 (CA)” en la página 13.
3.
4.
Engarce un cable 6 AWG en el terminal de conexión a tierra y conecte el otro extremo a su punto
de toma de tierra.
5.
Conecte el terminal de dos postes a los pernos de dos postes en el bastidor usando las arandelas
de estrella y tuercas suministradas y apriete las tuercas a 50 in-lb. Puede colocar el terminal en
posición vertical u horizontal, como se muestra en la Ilustración 46. Tenga cuidado de no
deformar las tuercas y los pernos de los terminales.
Palo Alto Networks
Ilustración 46. Conexión del cable de tierra a PA-7080
6.
Sitúese frente a la parte trasera del bastidor y retire las tapas de plástico que protegen las
conexiones de alimentación de CC para PEM A (1 y 2) y PEM B (1 y 2).
Nota: Si está instalando fuentes de alimentación de CC adicionales en la parte
delantera del bastidor, retire las tapas de plástico de los números de PEM
correspondientes.
7.
Retire las dos tuercas y arandelas de estrella de los pernos de alimentación de CC de los
PEM y retire los terminales de alimentación. En este caso, está conectando cuatro fuentes de
alimentación, por lo que debe quitar ocho terminales de PEM A (1 y 2) y PEM B (1 y 2).
8.
Engarce cada terminal de dos orificios (ocho en total) a un cable 6-AWG que alcance al terminal de
CC en el PEM de su alimentación eléctrica de CC. Conecte los terminales (no incluidos) diseñados
para su alimentación eléctrica de CC al otro extremo del cable. Use el hilo rojo para los cables
positivos y el negro para los negativos.
ADVERTENCIA:
momento.
9.
No conecte los cables a alimentación eléctrica activa en este
Apague el suministro de alimentación de CC.
Palo Alto Networks
10. Conecte un cable positivo (rojo) de la fuente de alimentación a los pernos RTN de dos postes para
PEM A 1 y después conecte un cable negativo (negro) de su alimentación eléctrica a los pernos de
dos postes para pernos PEM A 1 -48 V CC. Realice el mismo paso para PEM A 2, asegurándose de
realizar cada conexión usando la polaridad correcta y de que cada conector vaya a un disyuntor
protegido de 60 A.
11. Usando alimentación eléctrica de CC conectada a otro disyuntor protegido de 60 A, conecte un
cable positivo (rojo) de su fuente de alimentación a los pernos RTN de dos postes para PEM B
y después conecte un cable negativo (negro) de su fuente de alimentación a los pernos de
dos postes para pernos PEM B -48 V CC. Realice el mismo paso para el PEM B, asegurándose
de realizar cada conexión con la polaridad correcta. De este modo conectará las cuatro fuentes
de alimentación ubicadas en la parte delantera del bastidor con los números 1 A-1 B y 2 A-2 B.
La Ilustración 47 muestra la parte trasera del bastidor CC con las 8 fuentes de alimentación
conectadas.
12. Vuelva a colocar las tapas de plástico en los pernos y cables de alimentación de CC expuestos.
13. Cuando haya conectado con seguridad cada cable de alimentación eléctrica de CC, encienda
la fuente de alimentación de CC y el bastidor se encenderá.
Ilustración 47. Conexiones de la alimentación de CC al PA-7080
Palo Alto Networks
Consulta del consumo de un cortafuegos PA-7000 Series
Use la información del siguiente ejemplo para determinar la potencia que generan actualmente las
fuentes de alimentación de un cortafuegos PA-7080 y la potencia que consumen los componentes
del bastidor. Este mismo proceso sirve para el cortafuegos PA-7050.
1. Usando un emulador de terminal, como PuTTY, inicie una sesión SSH en el cortafuegos.
2.
Ejecute el siguiente comando:
admin@PA-7080> show chassis power
Vea el resultado para determinar el consumo actual. La Tabla 23 muestra el resultado de un PA-7080
con 4 fuentes de alimentación y 6 NPC. El resultado muestra cada ranura delantera (1 a 12), las fuentes
de alimentación instaladas y las bandejas de ventiladores, el estado de cada componente, el consumo
de energía de cada componente y la energía que produce cada fuente de alimentación. Las fuentes de
alimentación se etiquetan de PSA1 a PSA4 y de PSB1 a PSB4.
Tabla 23. Resultados de potencia de PA-7080
Ranura
Componente
Estado de la tarjeta
Potencia (w)
1
PA-7000-20GQ-NPC
Activa
350
2
PA-7000-20GQ-NPC
Activa
350
3
PA-7000-20G-NPC
Activa
350
4
PA-7000-20G-NPC
Activa
350
5
PA-7000-20G-NPC
Activa
350
6
PA-7080-SMC
Activa
300
7
PA-7000-LPC
Activa
300
8
vacia
9
PA-7000-20G-NPC
Activa
350
10
vacia
11
vacia
12
vacia
BANDEJA
VENTILADORES 1
PA-7080-FANTRAY
Presente
520
BANDEJA
VENTILADORES 2
PA-7080-FANTRAY
Presente
520
PSA1
CP2500AC54TE
ACEPTAR
2500 (+)
PSA2
CP2500AC54TE
ACEPTAR
2500 (+)
PSA3
vacía
PSA4
vacía
PSB1
CP2500AC54TE
ACEPTAR
2500 (+)
PSB2
CP2500AC54TE
ACEPTAR
2500 (+)
PSB3
vacía
PSB4
vacía
Palo Alto Networks
La tabla siguiente muestra los cálculos de potencia basándose en los resultados de la Tabla 23.
Tabla 24. Cálculos de potencia
Suministrada
10 000 W (potencia producida por cuatro fuentes de alimentación)
Consumida
3740 W (potencia total consumida por las NPC y las bandejas de ventiladores)
Resto
6,260 W (potencia sobrante después de restar la potencia consumida de la potencia
producida)
En este ejemplo, el bastidor tiene cuatro fuentes de alimentación de 2500 W que producen un total
de 10 000 W. Las tarjetas de las ranuras delanteras (NPC, SMC y LPC) y las bandejas de ventiladores
consumen 3740 W. Si se resta la potencia consumida de la producida, sobran 6260 W. En ese caso,
el bastidor tiene potencia de sobra y si fallan dos fuentes de alimentación o se cae algún circuito,
el bastidor seguirá teniendo 5000 W disponibles.
Tenga en cuenta que las fuentes de alimentación se instalan en PSA1, PSA2, PSB1 y PSB2. Al colocar
cada par en un módulo de entrada de alimentación diferente (PEM A y PEM B, ubicados en la parte
trasera del bastidor), logra una redundancia completa y puede desactivar un circuito para su
mantenimiento. En un cortafuegos PA-7050, el cortafuegos se divide en dos planos. Las dos primeras
fuentes de alimentación de la izquierda están en un plano de alimentación, y las dos siguientes fuentes
de alimentación de la derecha están en el segundo plano. Al conectar la alimentación a dos circuitos
separados, ponga primero las dos fuentes de alimentación en un disyuntor y las dos fuentes de
alimentación de la derecha en otro disyuntor.
Si el bastidor del PA-7080 está completo, es decir, si ha instalado 10 NPC que consumen 3500
(350 W por 10 NPC), más la bandeja de ventiladores y la SMC, el bastidor consume 5140 W. En este
caso, debería instalar 6 fuentes de alimentación que producirían 15 000 W. Si fallan tres fuentes de
alimentación o un circuito, su bastidor aún tiene 7 500 W de potencia, suficiente para alimentar un
bastidor completo.
Las cifras de potencia obtenidas con el comando show chassis power
representan la máxima potencia que puede consumir un componente y no el
consumo actual. Por ejemplo, aunque una NPC muestre un consumo de 350 W,
en condiciones normales consumirá una media de 280 W.
En el resultado de la CLI se muestra el consumo de potencia máximo para
informarle de la potencia que requiere el bastidor de modo que pueda evitar
una sobrecarga en condiciones extremas.
Palo Alto Networks
Conexión de cables a un cortafuegos PA-7000 Series
Después de conectar el cortafuegos a la alimentación, debe conectar el puerto MGT directamente a su
ordenador o red de gestión para poder configurar el cortafuegos. También puede conectar su ordenador
de gestión al puerto de la consola, lo que proporciona una conexión directa en serie al cortafuegos y le
permite ver los mensajes de inicio y gestionar el cortafuegos usando la interfaz de línea de
comandos (CLI). Tanto el puerto MGT como el de la consola se encuentran en la tarjeta de gestión de
conmutadores (SMC). A continuación, configure los puertos de la tarjeta de procesamiento de red
(NPC) y conecte los puertos a su conmutador o enrutador mediante un cable.
Si instala dos cortafuegos coincidentes en configuración de alta disponibilidad, también debe conectar
los cables HA entre los dos bastidores. La información en “Instalación de la tarjeta de gestión de
conmutadores (SMC)” en la página 52 proporciona información sobre el puerto HA. Para obtener
información sobre la configuración de los puertos del cortafuegos y la interfaz, consulte la Guía del
administrador de Palo Alto Networks PAN-OS.
La Ilustración 48 muestra las conexiones de cables del cortafuegos PA-7050 y la Ilustración 49 muestra
las conexiones del cable del cortafuegos PA-7080. También puede consultar “Instalación en el rack” en
la página 41 para instalar las guías de cables suministradas.
Al conectar los cables de alta disponibilidad (HA), debe configurar HA1 (control) en los
puertos HA1-A o HA1-B. Puede configurar HA2 (enlace de datos) en puertos de datos
NPC o en puertos de datos HSCI dedicados. Debe configurar HA3 (reenvío de paquetes)
en los puertos HSCI (HSCI-A y HSCI-B) y estos puertos deben estar conectados
directamente entre sí, no a través de un conmutador de red. Para obtener más
información sobre estos puertos, consulte “Tarjeta de gestión de conmutadores (SMC)”
en la página 24 y para obtener más información sobre HA, consulte Recursos de HA.
Palo Alto Networks
Ilustración 48. Conexiones de cables de PA-7050
PA-7050
4
SMC
4
SMC
HA1
Gestión
Consola
Copia de seguridad HA1
QSFP
HA2/HA3
Red
Red
SFP
Palo Alto Networks
QSFP
HA2/HA3
SFP+
Ilustración 49. Conexiones de cables de PA-7080
HA1
Red
Copia de
seguridad HA1
Gestión
Red
Consola
SFP
QSFP
HA2/HA3
SFP+
Recuperación de
HA2/HA3 QSFP
Palo Alto Networks
Precauciones y advertencias relacionadas con el hardware
Capítulo 4
Mantenimiento del hardware
La siguiente información describe cómo reemplazar los componentes reparables in situ de un
cortafuegos PA-7000 Series. Para obtener información general sobre los componentes de hardware,
consulte “Descripción general del cortafuegos de la serie PA-7000” en la página 5.
•
“Precauciones y advertencias relacionadas con el hardware” en la página 87
•
“Sustitución de una fuente de alimentación de CA o CC en un PA-7000 Series” en la página 91
•
“Sustitución de una unidad de disco LPC en un PA-7000 Series” en la página 102
•
“Sustitución de una bandeja de ventiladores en un PA-7000 Series” en la página 104
•
“Sustitución de un filtro de aire en un PA-7000 Series” en la página 109
•
“Sustitución de una tarjeta de la ranura delantera LPC en un PA-7000 Series” en la página 112
Precauciones y advertencias relacionadas
con el hardware
Esta sección describe las precauciones y advertencias que debe conocer antes de trabajar con el hardware:
ESTE PRODUCTO CUMPLE CON EL TÍTULO 21 DEL CÓDIGO DE REGULACIÓN FEDERAL,
apartados 1040.10 y 1040.11
Traducción al francés: CE PRODUIT EST CONFORME AUX NORMES 21 CFR 1040.10 ET 1040.11
• “Precauciones con el hardware” en la página 87
•
“Advertencias sobre el hardware” en la página 89
Precauciones con el hardware
•
Los cables blindados de la interfaz conectados a la toma de tierra deben utilizarse para garantizar
la conformidad con la normativa en cuanto a emisiones electromagnéticas (EMC).
Traducción al francés: Des câbles d'interface blindés reliés à la terre doivent être utilisés pour
garantir la conformité de l'organisme aux émissions électromagnétiques (CEM).
•
Un cortafuegos PA-7000 Series configurado con fuentes de alimentación de CA puede funcionar
a partir de 220 V CA hasta 240 V CA 50/60 Hz a 27 A como máximo. No conecte voltajes de
alimentación fuera de este intervalo.
Traducción al francés: Un pare-feu PA-7000 Series configuré avec des blocs d'alimentation c.a.
peut fonctionner de 220 à 240 V c.a., 50/60 Hz, à 27 A maximum. Ne branchez pas une tension
d'alimentation en dehors de cette plage.
Palo Alto Networks
Mantenimiento del hardware • 87
•
El cortafuegos PA-7050 configurado con fuentes de alimentación de CC es capaz de funcionar
de -40 V CC a -60 V CC con un nivel máximo de corriente de 60 A. No conecte voltajes de
alimentació fuera de este intervalo.
Traducción al francés: Le pare-feu PA-7050 configuré avec des blocs d'alimentation c.c. peut
fonctionner de -40 à -60 V c.c. à un niveau de courant maximum de 60 A. Ne branchez pas une
tension d'alimentation en dehors de cette plage.
•
Los dispositivos con alimentación de CC solo deben instalarse en áreas de acceso restringido.
Áreas de acceso restringido son aquellas a las que solo puede acceder el personal (de servicio)
cualificado mediante el uso de una herramienta especial, protegidas con candado u otros medios
de seguridad y que están controladas por la autoridad a cargo de las instalaciones.
Traducción al francés: Tous les périphériques utilisant une alimentation c.c. sont conçus pour être
installés dans des zones à accès limité uniquement. Une zone à accès limité correspond à une zone
dans laquelle l'accès n'est autorisé au personnel (de service) qu'à l'aide d'un outil spécial, cadenas
ou clé, ou autre dispositif de sécurité, et qui est contrôlée par l'autorité responsable du site.
•
En cuanto al circuito de entrada de CC, compruebe que haya un disyuntor de 60 A, 48 V CC como
mínimo y dos polos en la entrada de alimentación de CC. El cortafuegos PA-7050 se entrega con
cables de alimentación de CC. El cortafuegos PA-7080 no se envía con cables de CC, por lo que
tendrá que usar sus propios cables con hilos de 6 AWG.
Traducción al francés: Pour le circuit d'entrée c.c., vérifiez la présence d'un disjoncteur de 60 A,
de 48VDC c.c. minimum, et d'un pôle double sur l'entrée de l'alimentation c.c. Le pare-feu
PA-7050 est livré avec des câbles d'alimentation c.c. Le pare-feu PA-7080 n'est pas livré avec
des câbles c.c., vous devrez donc prévoir des câbles de calibre 6-AWG (American Wire Gauge).
•
Para conectar el sistema de CC a tierra, utilice un hilo de conexión a tierra de al menos 6 AWG
(3,26 mm). El hilo de 6 AWG (3,26 mm) debe conectarse al terminal de tierra de cobre suministrado
y debe apretarse con la herramienta engarzadora adecuada. Conecte el terminal a los pernos de toma
de tierra del bastidor usando las arandelas de estrella y las tuercas y conecte el otro extremo a la toma
de tierra del edificio. Apriete el terminal a 50 in-lb (5,6 N·m). No la apriete en exceso.
Traducción al francés: Pour la mise à la terre d'un système c.c., utilisez un fil de terre de calibre
6-AWG (American Wire Gauge) minimum. Le fil 6-AWG doit être branché sur la cosse de terre en
cuivre fournie et serti à l'aide d'un outil de sertissage approprié. Fixez la cosse aux goujons de mise
à la terre à l'aide des rondelles et écrous en étoile fournis, puis fixez l'autre extrémité à la prise de
terre du bâtiment. Serrez l'écrou au couple de 50 in-lbs. Ne serrez pas excessivement.
•
Este equipo está diseñado para permitir la conexión del conductor puesto a tierra del circuito
de alimentación de CC al conductor de puesta a tierra del equipo. Consulte las instrucciones
de instalación.
Traducción al francés: Cet équipement est conçu pour permettre de raccorder le conducteur mis à la
terre du circuit d'alimentation c.c. au conducteur de mise à la terre de l'équipement. Reportez-vous
aux instructions d'installation.
88 • Mantenimiento del hardware
Palo Alto Networks
Advertencias sobre el hardware
•
Para reducir el riesgo de descargas eléctricas, desconecte todos los cables de alimentación antes
de reparar el cortafuegos.
Traducción al francés: Pour réduire le risque de choc électrique, débranchez tous les câbles
d'alimentation avant toute opération sur le pare-feu.
•
SI SUSTITUYE LA BATERÍA POR OTRA DE TIPO INCORRECTO PUEDE PRODUCIRSE
UNA EXPLOSIÓN. DESECHE LAS BATERÍAS USADAS DE ACUERDO CON LAS
INSTRUCCIONES.
Traducción al francés: RISQUE D'EXPLOSION SI LA BATTERIE EST REMPLACÉE PAR
UN MODÈLE DE TYPE INCORRECT. METTEZ AU REBUT LES BATTERIES USAGÉES
CONFORMÉMENT AUX INSTRUCTIONS.
•
Al quitar una bandeja de ventiladores de un cortafuegos PA-7000 Series, se recomienda tirar de
la bandeja unos 2,5 cm primero y esperar entre 5 y 10 segundos antes de retirar la bandeja de
ventiladores completamente. De este modo, los ventiladores tendrán tiempo para detenerse por
completo antes de sacar la bandeja. El contacto con las hojas de los ventiladores en movimiento
puede ocasionar lesiones graves. Puede sustituir una bandeja de ventiladores mientras el
cortafuegos está encendido; sin embargo, debe tardar menos de 45 segundos en hacerlo y no puede
cambiar más de una a la vez (de un total de dos). De lo contrario, el circuito de protección térmica
apagaría el cortafuegos.
Traducción al francés: Lors du retrait d'un tiroir de ventilation d'un pare-feu PA-7000, retirez tout
d'abord le tiroir sur 2,5 à 5 cm, puis patientez 5 à 10 secondes avant de retirer complètement le
tiroir de ventilation. Ceci laisse le temps aux ventilateurs d'arrêter de tourner avant de retirer le
tiroir. Des blessures graves sont possibles si vous touchez les lames de ventilateur en rotation.
Vous pouvez remplacer un tiroir de ventilation lors de la mise sous tension du pare-feu. Toutefois,
vous devez le faire dans les 45 secondes et vous ne pouvez remplacer qu'un tiroir à la fois (deux
au total), sinon le circuit de protection thermique arrêtera automatiquement le pare-feu.
•
Debe desconectar la corriente eléctrica de los conductores de alimentación de CC antes de conectar
o desconectar los cables de las fuentes de alimentación de CC en un bastidor.
Traducción al francés: Vous devez couper le courant électrique vers les câbles d'alimentation c.c.
avant de brancher ou de débrancher les fils des blocs d'alimentation c.c. sur le châssis.
•
Si conecta alimentación de CC a un cortafuegos PA-7000 Series, deben cumplirse todas las
condiciones siguientes:
– Este equipo debe conectarse directamente al conductor de electrodo de puesta a tierra del
sistema de alimentación de CC o a un puente de conexión a tierra desde una barra de terminales
o barra colectora de puesta a tierra a la que esté conectado el conductor de electrodo de puesta
a tierra del sistema de alimentación de CC.
Traducción al francés: Cet équipement doit être branché directement sur le conducteur à
électrode de mise à la terre du système d'alimentation c.c. ou sur le connecteur d'une barrette/
d'un bus à bornes de mise à la terre auquel le conducteur à électrode de mise à la terre du
système d'alimentation c.c. est raccordé.
– Este equipo debe colocarse en el mismo espacio contiguo (p. ej., armarios adyacentes) que otros
equipos que estén conectados a un conductor puesto a tierra del mismo circuito de alimentación
de CC y el conductor de puesta a tierra, así como el punto de puesta a tierra del sistema de CC.
Palo Alto Networks
Traducción al francés: Cet équipement doit se trouver dans la même zone immédiate (des
armoires adjacentes par exemple) que tout autre équipement doté d'un raccordement entre le
conducteur mis à la terre du même circuit d'alimentation c.c. et le conducteur de mise à la terre,
ainsi que le point de mise à la terre du système c.c.
– El sistema de CC no debe conectarse a tierra en otra parte.
Traducción al francés: Le système c.c. ne doit pas être relié à la terre à un autre endroit.
– La fuente de alimentación de CC también debe colocarse en las mismas instalaciones que este
equipo.
Traducción al francés: La source d'alimentation c.c. doit se trouver dans les mêmes locaux
que cet équipement.
– Los retornos de la batería de CC del cortafuegos deben estar conectados como un retorno
de CC aislado (DC-I).
Traducción al francés: Le retour d'une batterie c.c. sur le pare-feu doit être raccordé en tant
que retour c.c. isolé (DC-I).
– Los cortafuegos de conmutación o desconexión no deben encontrarse en el conductor del
circuito puesto a tierra entre la fuente de CC y el punto de conexión del conductor de electrodo
de puesta a tierra.
Traducción al francés: Le changement ou le débranchement de périphériques ne doit pas être
fait sur le conducteur du circuit mis à la terre entre la source d'alimentation c.c. et le point de
raccordement du conducteur à électrode de mise à la terre.
Palo Alto Networks
Sustitución de una fuente de alimentación de CA o CC en un PA-7000 Series
Sustitución de una fuente de alimentación
de CA o CC en un PA-7000 Series
Los siguientes temas describen cómo interpretar los LED de la fuente de alimentación y cómo
sustituir una fuente de alimentación en un PA-7000 Series:
•
“Interpretación de los LED de la fuente de alimentación de un cortafuegos PA-7000 Series”
en la página 91
•
“Sustitución de una fuente de alimentación de CA en un PA-7000 Series” en la página 93
•
“Sustitución de una fuente de alimentación de CC en un PA-7000 Series” en la página 96
Interpretación de los LED de la fuente de alimentación de un
cortafuegos PA-7000 Series
•
“LED de fuente de alimentación de PA-7050” en la página 91
•
“LED de fuente de alimentación de PA-7080” en la página 92
LED de fuente de alimentación de PA-7050
La Tabla 25 describe los LED de la fuente de alimentación de CA de un PA-7050 y la Tabla 26
describe los LED de la fuente de alimentación de CC de un PA-7050.
Tabla 25. LED de fuente de alimentación de CA para PA-7050
LED
Descripción
• CA (entrada): si es de color verde, indica que la entrada de la fuente de alimentación se
encuentra dentro de los límites normales; si parpadea, indica que la entrada no está dentro
de los límites normales, y si está apagado, indica que no hay entrada de alimentación.
• CC (salida): si es de color verde, indica que la salida de CC de la fuente de alimentación
a los componentes del bastidor se encuentra dentro de los límites normales; si parpadea,
indica que hay una sobrecarga de potencia, y si está apagado, indica que no hay potencia
de salida de CC.
• FLT (fallo): si es de color rojo, indica un fallo en la fuente de alimentación; si parpadea,
indica que el plano de gestión no se puede comunicar con la fuente de alimentación, y si
está apagado, indica que no hay problemas.
Palo Alto Networks
Tabla 26. LED de fuente de alimentación de CC para PA-7050
LED
Descripción
Los LED de la fuente de alimentación no tienen etiquetas. Las descripciones siguientes
enumeran los LED de izquierda a derecha.
• Entrada: si es de color verde, indica que la entrada de la fuente de alimentación se
de los límites de potencia normales, y si está apagado, indica que no hay entrada de
alimentación.
• Salida: si es de color verde, indica que la salida de CC de la fuente de alimentación a los
componentes del bastidor se encuentra dentro de los límites normales; si parpadea, indica
que hay una sobrecarga de potencia, y si está apagado, indica que no hay potencia de
salida de CC.
• Fallo: si es de color rojo, indica un fallo en la fuente de alimentación; si parpadea, indica
que el plano de gestión no se puede comunicar con la fuente de alimentación, y si está
apagado, indica que no hay problemas.
LED de fuente de alimentación de PA-7080
La Tabla 27 describe los LED de la fuente de alimentación de CA de un PA-7080 y la Tabla 28 describe
los LED de la fuente de alimentación de CC de un PA-7080. Las descripciones están ordenadas tal
y como se muestran los LED en la imagen de arriba abajo.
Tabla 27. LED de fuente de alimentación de CA para PA-7080
LED
Descripción
de los límites normales, y si está apagado, indica que no hay entrada de alimentación.
que hay una sobrecarga de potencia, y si está apagado, indica que no hay potencia de
salida de CC.
• Advertencia: si es de color amarillo, indica que la temperatura de la fuente de
alimentación es excesiva; si parpadea, indica que es necesario reparar la fuente de
alimentación y que debe sustituirse, y si está apagado, significa que no hay advertencias.
• Fallo: si es de color rojo, indica un fallo en la fuente de alimentación; si parpadea, indica
que el plano de gestión no se puede comunicar con la fuente de alimentación, y si está
Tabla 28. LED de fuente de alimentación de CC para PA-7080
LED
Descripción
encuentra dentro de los límites normales, y si está apagado, indica que no hay entrada
de alimentación.
que hay una sobrecarga.
• Advertencia: si es de color amarillo, indica que la temperatura de la fuente de
alimentación es excesiva, y si está apagado, indica que no hay advertencias.
• Fallo: si es de color rojo, indica que hay un fallo en la fuente de alimentación, y si está
Palo Alto Networks
Sustitución de una fuente de alimentación de CA
•
•
Sustitución de una fuente de alimentación de CA en un PA-7050 Series
1.
Lea “Precauciones y advertencias relacionadas con el hardware” en la página 87.
2.
contacto con su piel. Después retire las pinzas de cocodrilo del otro extremo. Conecte el extremo
de la pinza de punta cónica a uno de los puertos ESD de la parte delantera del bastidor. Para
obtener información acerca de la ubicación del puerto ESD, consulte “Panel frontal del PA-7050
(CA)” en la página 6.
3.
Para encontrar la fuente de alimentación que ha fallado, consulte los logs del sistema o mire los
LED de la parte delantera de las fuentes de alimentación. Un LED rojo indica un fallo de la fuente
de alimentación. Para obtener información sobre los LED de la fuente de alimentación, consulte
“Interpretación de los LED de la fuente de alimentación de un cortafuegos PA-7000 Series” en la
página 91.
4.
Apague la fuente de alimentación que ha fallado; el interruptor se encuentra en la parte trasera del
bastidor. A continuación, desenchufe y retire el cable de alimentación (si se deja puesto, se puede
formar un arco eléctrico en el bastidor).
Nota: Las fuentes de alimentación delanteras se corresponden directamente con
la conexión de alimentación de la parte trasera. Por ejemplo, si mira de frente la
parte delantera del bastidor del PA-7050, la fuente de alimentación situada más
a la izquierda se corresponde con el interruptor y el cable ubicados más a la
derecha si mira de frente la parte trasera del bastidor.
5.
Desenrosque el tornillo moleteado que hay en la parte superior izquierda de la fuente de
alimentación.
6.
Saque el asa de la fuente de alimentación desde el centro de la misma y bájela; a continuación,
deslice la fuente hacia afuera usando el asa como se muestra en la Ilustración 50 para sacar la
fuente del bastidor.
Palo Alto Networks
Ilustración 50. Extracción o instalación de una fuente de alimentación de CA en
un cortafuegos PA-7050
Tire de la palanca hacia
afuera y abajo para
iniciar la fuente de
alimentación.
Tire de la palanca
hacia afuera y arriba
para bloquearla
en su lugar.
7.
Desembale la fuente de alimentación de repuesto y abra la palanca eyectora delantera completamente.
8.
Introduzca la nueva fuente de alimentación por la ranura de la fuente de alimentación vacía hasta
que esté introducida casi por completo. Asegúrese de que la parte más estrecha de la palanca
eyectora se alinea con el bastidor, de modo que pueda cerrar la palanca y colocar en la fuente
de alimentación correctamente.
9.
Apriete el tornillo moleteado de la parte superior izquierda de la fuente de alimentación para
asegurar la fuente de alimentación.
10. Enchufe el cable de alimentación al módulo de alimentación de CA correspondiente en la parte
trasera del bastidor y encienda el interruptor La nueva fuente de alimentación se enciende y el LED
se ilumina de color verde.
Sustitución de una fuente de alimentación de CA en un PA-7080 Series
1.
2.
Palo Alto Networks
3.
página 91.
4.
Apague la fuente de alimentación que ha fallado; el interruptor se encuentra en la parte trasera del
bastidor. A continuación, desenchufe y retire el cable de alimentación (si se deja puesto, se puede
formar un arco eléctrico en el bastidor).
Nota: Las fuentes de alimentación delanteras se corresponden directamente (en
línea recta) con la conexión de alimentación de la parte trasera del bastidor. Hay
dos filas de fuentes de alimentación en la parte delantera del bastidor y dos filas de
PEM en la parte trasera. Por ejemplo, si mira de frente la parte delantera de un
cortafuegos PA-7080, las dos fuentes de alimentación situadas más a la izquierda
son la 1A y la 1B, que se conectan directamente a las conexiones de alimentación
situadas más a la derecha si se mira de frente la parte trasera del bastidor,
numeradas con PEM A 1 y PEM B 1.
5.
Retire la fuente de alimentación averiada. Para ello, empuje la pequeña pinza metálica situada en la
parte inferior izquierda de la puerta del eyector de la fuente de alimentación, como se muestra en la
Ilustración 51 y, a continuación, tire de la puerta de la fuente de alimentación hacia fuera desde el
lado izquierdo para expulsar la fuente de alimentación del bastidor. A continuación, tire de la
fuente de alimentación hacia fuera y extráigala.
Ilustración 51. Extracción o instalación de una fuente de alimentación de CA en
un cortafuegos PA-7080
6.
Desembale la fuente de alimentación de repuesto y abra completamente la puerta eyectora
delantera. No se olvide de empujar la pinza metálica situada en la parte inferior izquierda para
desbloquear la puerta eyectora, como se muestra en la Ilustración 51.
Palo Alto Networks
7.
que esté introducida casi por completo. Asegúrese de que la parte más estrecha de la puerta
eyectora, situada cerca de la bisagra, se inserta en el bastidor, de modo que cuando cierre la puerta,
coloque la fuente de alimentación correctamente.
8.
Enchufe el cable de alimentación al módulo de alimentación de CA correspondiente en la parte
trasera del bastidor y encienda el interruptor La nueva fuente de alimentación se encenderá y el
LED se iluminará de color verde.
Sustitución de una fuente de alimentación de CC
•
“Sustitución de una fuente de alimentación de CC en un PA-7050” en la página 96
•
“Sustitución de una fuente de alimentación de CC en un PA-7080” en la página 98
Sustitución de una fuente de alimentación de CC en un PA-7050
1.
2.
3.
página 91.
4.
Apague la fuente de alimentación de CC que está conectada a la fuente de alimentación de CC
con fallos.
5.
Retire el cable de alimentación de CC de la fuente de alimentación apretando los dos clips a cada
lado del conector de plástico y tire del conector hasta sacarlo de la fuente de alimentación tal
y como se muestra en la Ilustración 52.
6.
Desenrosque el tornillo moleteado que hay en la parte superior izquierda de la fuente de
alimentación.
7.
Saque el asa de la fuente de alimentación desde el centro de la misma y bájela; a continuación,
deslice hacia afuera la fuente usando el asa de la fuente de alimentación como se muestra en la
Ilustración 52 para sacar la fuente del bastidor.
Palo Alto Networks
Ilustración 52. Extracción de una fuente de alimentación de CC en un PA-7050
8
8.
Desembale la fuente de alimentación de repuesto y abra la palanca eyectora delantera
completamente.
9.
que esté introducida casi por completo. Asegúrese de que la parte más estrecha de la palanca
eyectora, situada cerca de la bisagra, se inserta en el bastidor, de modo que cuando cierre la
palanca, coloque la fuente de alimentación correctamente.
Palo Alto Networks
Ilustración 53. Instalación de una fuente de alimentación de CC en un PA-7050
7
8
7
8
10. Apriete el tornillo de la parte superior izquierda de la fuente de alimentación para asegurar
la fuente de alimentación.
11. Vuelva a conectar el cable alimentación a la fuente de alimentación y asegúrese de que las partes
más estrechas se alinean correctamente. Las pinzas de plástico a ambos lados del conector se
colocarán en su sitio cuando ponga el cable correctamente.
ADVERTENCIA: Al conectar cables de la alimentación eléctrica de CC a su fuente
de alimentación, asegúrese de tender el cable de modo que no presione las pinzas de
plástico ubicadas en la parte delantera de la fuente de alimentación. Se recomienda
tender y fijar primero los cables y después enchufarlos a la fuente de alimentación.
12. Active la alimentación de CC y se encenderá el bastidor.
Sustitución de una fuente de alimentación de CC en un PA-7080
Los procedimientos siguientes describen cómo sustituir una fuente de alimentación de CC en el
PA-7080 situada en la parte delantera del bastidor. Para obtener información sobre cómo sustituir
el módulo de entrada de alimentación (PEM) situado en la parte trasera del bastidor, consulte
“Sustitución de un PEM en un PA-7080 de CC” en la página 100.
1.
2.
contacto con su piel. Después retire las pinzas de cocodrilo del otro extremo. Conecte el extremo
de la pinza de punta cónica a uno de los puertos ESD de la parte delantera del bastidor. Para
obtener información acerca de la ubicación del puerto ESD, consulte “Panel frontal del PA-7080
(CA)” en la página 13.
Palo Alto Networks
3.
página 91.
4.
Apague la alimentación de CC conectada al módulo de entrada de alimentación (PEM) situada en
la parte trasera del bastidor que se corresponde con la fuente de alimentación averiada de la parte
delantera del bastidor. Compruebe que el LED de alimentación del PEM se apaga para asegurarse
de que ha apagado el disyuntor correcto.
Nota: Hay dos filas de fuentes de alimentación en la parte delantera del bastidor
y dos filas de módulos de entrada de alimentación (PEM) en la parte trasera, que
están numerados. Por ejemplo, si mira de frente la parte delantera del bastidor, las
dos fuentes de alimentación situadas más a la izquierda son la 1A y la 1B, que se
conectan directamente a las conexiones de alimentación situadas más a la derecha si
se mira de frente la parte trasera del bastidor, numeradas con PEM A1 y PEM B1.
5.
Retire la fuente de alimentación empujando la pequeña pinza metálica situada en la parte inferior
izquierda de la puerta eyectora de la fuente de alimentación, como se muestra en la Ilustración 54.
Tire de la puerta desde el lado izquierdo para abrirla, con lo que se expulsará la fuente de
alimentación del bastidor. Tire de la fuente de alimentación hacia fuera y extráigala.
Ilustración 54. Extracción o instalación de una fuente de alimentación de CA
en un cortafuegos PA-7080
6.
Desembale la fuente de alimentación de repuesto y abra completamente la puerta eyectora
delantera. No se olvide de empujar la pinza metálica situada en la parte inferior izquierda para
expulsar la puerta, como se muestra en la Ilustración 54.
Palo Alto Networks
Sustitución de un PEM en un PA-7080 de CC
7.
que esté introducida casi por completo. Asegúrese de que la parte más estrecha de la puerta
eyectora, situada cerca de la bisagra, se inserta en el bastidor, de modo que cuando cierre la puerta,
empuje la fuente de alimentación y la coloque en su sitio.
8.
Enchufe el cable de alimentación al módulo de alimentación de CA correspondiente en la parte
trasera del bastidor y encienda el interruptor
El módulo de entrada de alimentación de CC (PEM) está en la parte trasera del bastidor y conecta
la alimentación eléctrica a las fuentes de alimentación ubicadas en la parte delantera del bastidor,
que a su vez distribuyen la alimentación a todos los componentes del bastidor.
ADVERTENCIA: Los PEM no son intercambiables en caliente. Debe apagar el
bastidor, apagar la alimentación de CC y retirar los cables de alimentación del
PEM averiado antes de continuar. Los PEM de la plataforma de CA no se pueden
reparar in situ.
1.
2.
3.
Apague el bastidor y desconecte los cables de alimentación del bastidor.
4.
Retire las tuercas y las arandelas de estrella de los pernos de CC que fijan los cables de CC
al PEM y quite los cables.
5.
Quite los 8 tornillos que fijan el PEM al bastidor como se muestra en la Ilustración 55.
Palo Alto Networks
Ilustración 55. Extracción de un PEM de un PA-7080 de CC
6.
Quite el PEM averiado del bastidor usando las palancas situadas a ambos lados del PEM.
7.
Deslice con cuidado el PEM de repuesto en la ranura del PEM y apriételo con los 8 tornillos.
8.
Vuelva a conectar los cables de alimentación de CC; asegúrese de colocarlos con la polaridad
correcta. Apriete todos los terminales de CC en los pernos de CC con las arandelas de estrella
y tuercas y apriételos a 50 in-lb (5,6 N·m). Tenga cuidado de no deformar las tuercas y los pernos
de los terminales.
9.
Active la alimentación de CC del bastidor y este se encenderá.
Palo Alto Networks
Sustitución de una unidad de disco LPC en un PA-7000 Series
Sustitución de una unidad de disco LPC en
un PA-7000 Series
La tarjeta de procesamiento de logs (LPC) contiene cuatro tarjetas Advanced Mezzanine Card (AMC)
y cada AMC contiene una unidad de disco SATA de 2,5”. Las dos primeras unidades de la izquierda
(A1 y A2) se configurarán en un par RAID 1 y las dos unidades siguientes (B1 y B2) a la derecha se
configurarán en un segundo par RAID 1.
Al solicitar unidades de repuesto a Palo Alto Networks o su comercio habitual, recibirá la AMC y la
unidad como un lote. No intente sustituir la unidad de la AMC por una unidad de otro fabricante.
Nota: El sistema usa las unidades de disco de la LPC para generar logs. Las SSD
de la SMC contienen el software PAN-OS y no admiten mantenimiento.
1.
2.
3.
Identifique la unidad averiada consultando el log del sistema u observando el LED del frontal de la
AMC. El LED FAULT de la unidad situado abajo a la izquierda se iluminará de color rojo si falla
la unidad. Para identificar la unidad averiada desde la CLI, ejecute el siguiente comando y consulte
el campo de estado:
PA-7080> show system raid detail
La unidad averiada mostrará failed en el campo de estado.
4.
Tire suavemente de la palanca de desbloqueo de la AMC hacia sí para soltar la AMC del bastidor,
como se muestra en la Ilustración 56, y saque la unidad del bastidor, como se indica en la
Ilustración 57.
Ilustración 56. Extracción o instalación de una AMC en la LPC
WER
ACTIV
ITY
FAUL
T
POW
PA-700
0-AM
C-1TB
ER
ACTIV
ITY
FAUL
T
PA-700
0-AM
C-
1TB
Tire de la palanca hacia sí para desbloquear la unidad.
Empuje la palanca para bloquear la unidad en el AMC.
Palo Alto Networks
Sustitución de una unidad de disco LPC en un PA-7000 Series
Ilustración 57. Sustitución de una AMC
OWER
ACTIV
ITY
FAUL
T
PA-700
-AMC1TB
ACTIV
ITY
FAUL
T
POW
ER
PA-700
-AMC1T
B
5.
Desembale la unidad de repuesto y tire de la palanca de extracción completamente para
desbloquearla.
6.
Instale una nueva unidad introduciendo suavemente la unidad por la ranura AMC y,
a continuación, empujando la palanca de desbloqueo hasta el final para fijar la AMC en la PLC.
7.
Para añadir la nueva unidad al par RAID 1, ejecute el comando siguiente:
admin@PA-7080> request system raid slot 8 add <nombre-de-unidad>
Por ejemplo, si se ha averiado la unidad A2 en el par A1/A2 y ha instalado una nueva
unidad para A2, ejecute el comando siguiente.
admin@PA-7080> request system raid slot 8 add A2
El sistema reflejará automáticamente la nueva unidad en la otra unidad del par RAID 1.
8.
Para ver el estado del RAID, ejecute el comando siguiente:
admin@PA-7080> show system raid detail
Para obtener información más detallada sobre la comprobación del estado de RAID, consulte
“Verificación de la configuración de LPC” en la página 68.
Palo Alto Networks
Sustitución de una bandeja de ventiladores en un PA-7000 Series
Sustitución de una bandeja de ventiladores
Si se avería un ventilador o una bandeja de ventiladores, el LED de avería de la bandeja de ventiladores
se iluminará de color rojo. Si esto ocurre, reemplace la bandeja de ventiladores inmediatamente para
evitar la interrupción del servicio. Si se averían uno o más ventiladores de una o varias bandejas de
ventiladores, el cortafuegos se apagará.
Puede sustituir una bandeja de ventiladores mientras el cortafuegos está encendido; sin embargo, debe
tardar menos de 45 segundos en hacerlo y no puede cambiar más de una a la vez (de un total de dos).
De lo contrario, el circuito de protección térmica apagaría el cortafuegos.
•
“Sustitución de una bandeja de ventiladores en un PA-7050” en la página 104
•
“Sustitución de una bandeja de ventiladores en un PA-7080” en la página 107
Sustitución de una bandeja de ventiladores en un PA-7050
1.
Consulte “Precauciones y advertencias relacionadas con el hardware” en la página 87.
2.
Colóquese en la muñeca la ESD suministrada y asegúrese de que el contacto metálico está en contacto
con su piel. Después retire las pinzas de cocodrilo del otro extremo. Conecte el extremo de la pinza de
punta cónica a uno de los puertos ESD de la parte delantera del bastidor. Para obtener información
acerca de la ubicación del puerto ESD, consulte “Panel frontal del PA-7050 (CA)” en la página 6.
ADVERTENCIA: Al extraer una bandeja de ventiladores, saque primero la bandeja
unos 5 cm y espere 5 segundos. De este modo, los ventiladores activos tendrán tiempo
suficiente para dejar de girar.
3.
Saque la bandeja de ventiladores de su embalaje y déjela a mano.
4.
Observe los LED para averiguar qué bandeja se ha averiado. El LED de ventilador rojo de la tarjeta
SMC y el LED de avería rojo de la bandeja de ventiladores averiada se iluminarán de color rojo en
caso de avería.
5.
Gire los tornillos moleteados superior e inferior de la bandeja de ventiladores hacia la izquierda
hasta que no giren más. Así moverá los pestillos hasta la posición abierta para preparar la
extracción de la bandeja de ventiladores, como se muestra en la Ilustración 58.
Palo Alto Networks
Ilustración 58. Aflojado de los tornillos moleteados para desbloquear la
bandeja de ventiladores
Posición abierta
1
2
3
1
4
2
5
1
3
6
2
4
7
3
5
8
4
6
5
7
6
8
7
8
Cuidado con los ventiladores en movimiento
6.
Tire de las asas de la bandeja unos 5 cm. Cuando los ventiladores activos hayan dejado de girar,
saque la bandeja de ventiladores del bastidor. La bandeja de ventiladores es muy pesada, por lo
que debe estar preparado para soportar su peso al retirarla.
7.
Instale la nueva bandeja deslizándola hacia el interior del bastidor y compruebe que encaja
correctamente.
8.
Enrosque los tornillos moleteados hasta que no giren más. Así se bloquean los pestillos superior
e inferior para fijar la bandeja al bastidor, como se muestra en la Ilustración 59. Use un
destornillador de estrella para apretar bien los tornillos moleteados.
Palo Alto Networks
Ilustración 59. Instalación de una bandeja de ventiladores en un PA-7050
Posición de
bloqueo
1
2
1
3
2
1
4
2
3
5
4
3
6
5
4
7
6
5
8
7
6
8
7
8
Nota: Si el circuito de protección térmica apaga el bastidor por exceso de temperatura
o avería de un ventilador, necesitará quitar la alimentación del bastidor y después
reactivarla para que el bastidor pueda volver a encenderse. En una plataforma de CA,
puede apagar los interruptores de alimentación de la parte trasera del bastidor y volver
a encenderlos o puede desconectar los cables de alimentación y volver a conectarlos.
En una plataforma de CC, apague el circuito de CC al bastidor y vuelva a encenderlo.
9.
Compruebe que la bandeja de ventiladores funciona consultando el estado de los LED de la
bandeja de ventiladores y el LED del ventilador en la SMC (ranura 4). El LED de avería de la
bandeja de ventiladores se apagará, el LED de alimentación de la bandeja de ventiladores se
iluminará de color verde y el LED del ventilador de la SMC cambiará de rojo a verde. Puede
comprobar el estado de la bandeja de ventiladores ejecutando el comando de la CLI:
admin@PA-7050> show system environmentals fan-tray
Para ver el estado de cada ventilador en una bandeja de ventiladores, ejecute el comando siguiente:
admin@PA-7050> show system environmentals fans
Nota: El estado de la bandeja de ventiladores lo gestiona la SMC en la ranura 4,
por lo que el resultado anterior mostrará que las dos bandejas de ventiladores
están en la ranura S4.
Palo Alto Networks
Sustitución de una bandeja de ventiladores en un PA-7080
1.
2.
ADVERTENCIA: Al extraer una bandeja de ventiladores, saque primero la bandeja
unos 5 cm y espere 5 segundos. De este modo, los ventiladores activos tendrán tiempo
suficiente para dejar de girar.
3.
Saque la bandeja de ventiladores de su embalaje y déjela a mano.
4.
Observe los LED para averiguar qué bandeja se ha averiado. El LED FAN de la tarjeta SMC
y el LED FAULT de la bandeja de ventiladores averiada cambiarán a rojo en caso de fallo.
5.
Agarre las dos asas de la bandeja de ventiladores averiada y empuje suavemente hacia fuera
mientras desliza la bandeja de ventiladores hacia sí unos 5 cm. Espere 5 segundos para que
los ventiladores activos tengan tiempo suficiente para dejar de girar.
Nota: Empujar las asas hacia fuera no expulsa la bandeja de ventiladores; solo la
desengancha del bastidor. Para accionar las asas de desbloqueo, solo hay que
presionar suavemente, como se muestra en la Ilustración 60.
Palo Alto Networks
Ilustración 60. Extracción de una bandeja de ventiladores de un PA-7080
Cuidado con los ventiladores
en movimiento
6.
Compruebe que el grupo de ventiladores delantero ha dejado de girar y siga tirando de la bandeja
de ventiladores mientras sujeta la parte trasera de la bandeja. Tenga en cuenta que la bandeja de
ventiladores pesa alrededor de 7 kilos, por lo que debe estar preparado para soportar su peso.
7.
Alinee la nueva bandeja de ventiladores con la ranura de la bandeja de ventiladores vacía y
deslícela suavemente hacia dentro hasta que no avance más. Puede hacerlo empujando las asas
o el panel delantero de la bandeja de ventiladores. Al colocar la bandeja correctamente, oirá que
las asas hacen “clic”, lo que indica que la bandeja está en su sitio. El ventilador se encenderá.
Nota: Si el circuito de protección térmica apaga el bastidor por exceso de
temperatura o avería de un ventilador, necesitará quitar la alimentación del
bastidor y después reactivarla para que el bastidor pueda volver a encenderse. En
una plataforma de CA, puede apagar los interruptores de alimentación de la parte
trasera del bastidor y volver a encenderlos o puede desconectar los cables de
alimentación y volver a conectarlos. En una plataforma de CC, apague el circuito
de CC al bastidor y vuelva a encenderlo.
Palo Alto Networks
Sustitución de un filtro de aire en un PA-7000 Series
8.
Compruebe que la bandeja de ventiladores funciona consultando el estado de los LED de la
bandeja de ventiladores y el LED del ventilador en la SMC (ranura 6). El LED de avería de la
bandeja de ventiladores se apagará, el LED de alimentación de la bandeja de ventiladores se
iluminará de color verde y el LED del ventilador de la SMC cambiará de rojo a verde. Puede
comprobar el estado de la bandeja de ventiladores ejecutando el comando de la CLI:
admin@PA-7080> show system environmentals fan-tray
Para ver el estado de cada ventilador en una bandeja de ventiladores, ejecute el comando siguiente:
admin@PA-7080> show system environmentals fans
Nota: El estado de la bandeja de ventiladores lo gestiona la SMC en la ranura 6,
por lo que el resultado del comando anterior mostrará que las dos bandejas de
ventiladores están en la ranura S6.
El filtro de aire es una pieza fundamental del sistema de ventilación del bastidor que garantiza que el
aire que entra en el bastidor está libre de residuos. La sustitución del filtro de aire es un procedimiento
muy sencillo que debe realizarse cada 6 meses aproximadamente, dependiendo del entorno donde se
encuentre el cortafuegos. Puede adquirir filtros de aire de repuesto en Palo Alto Networks o en un
distribuidor autorizado.
Nota: El cortafuegos no genera ningún log de sistema que indique si el filtro de
aire se ha retirado o si es necesario limpiarlo, por lo que deberá inspeccionarlo
periódicamente. No intente limpiar el filtro de aire para reutilizarlo.
1.
2.
en contacto con su piel. Después retire las pinzas de cocodrilo del otro extremo. Conecte
el extremo de la pinza de punta cónica a uno de los puertos ESD de la parte delantera del
bastidor. Para obtener información acerca de la ubicación de los puertos ESD, consulte “Panel
frontal del PA-7050 (CA)” en la página 6 o “Panel frontal del PA-7080 (CA)” en la página 13.
3.
Agarre las asas del filtro de aire, tire suavemente para desengancharlo del punto de montaje (junta
esférica) situado en la parte trasera del filtro y extráigalo. La Ilustración 61 muestra cómo retirar el
filtro de aire del PA-7050 y la Ilustración 62 muestra cómo retirar el filtro de aire del PA-7080.
Nota: El filtro se engancha al bastidor usando juntas esféricas situadas en la
parte trasera del filtro. El filtro del PA-7050 tiene dos asas en la parte delantera y
una junta esférica en la parte trasera, y el PA-7080 tiene un asa en la parte
delantera y dos juntas esféricas en la parte trasera.
4.
Introduzca el nuevo filtro por el bastidor como se muestra en las figuras, y asegúrese de que
el filtro está alineado con los rieles deslizantes y de que está orientado correctamente. La cara
de rejilla del filtro debe orientarse hacia el centro del bastidor.
5.
Empuje el filtro hasta que las juntas esféricas traseras se enganchen en su posición.
Palo Alto Networks
Ilustración 61. Sustitución de un filtro de aire en un PA-7050 Series
PA-70
50-FA
POW
N
ER
FAUL
T
PA-700
0-BLA
NK
1
2
PA-70
50-FA
N
POW
ER
FAUL
T
3
1
4
2
HA1-A
HA1-B
5
MGT
CONS
OLE
MSCI-A
3
MSCI-B
6
PWR
USB
STS
ALM
HA
FAN
PS
TMP
LOG
4
7
1
3
5
5
7
9
8
11
ACTIVI
TY
FAULT
13
15
2
17
4
POWE
R
PA-700
6
19
8
0-AMC
-ITB
ACTIV
23
12
14
POWE
R
PA-700
0-AMC
-ITB
6
21
10
ITY
FAULT
16
ACTIV
18
ITY
PWR
20
STS
FAULT
22
24
POWE
R
ALM
TMP
PA-700
0-AMC
-ITB
ACTIV
7
ITY
FAULT
POWE
R
PA-700
0-AMC
-ITB
8
La rejilla se
orienta hacia
las ranuras de
tarjeta (interior)
Palo Alto Networks
Ilustración 62. Sustitución de un filtro de aire en un PA-7080 Series
La rejilla
se orienta
hacia arriba
Palo Alto Networks
Sustitución de una tarjeta de la ranura delantera LPC en un PA-7000 Series
Sustitución de una tarjeta de la ranura delantera LPC
Los cortafuegos PA-7000 Series necesitan una tarjeta de gestión de conmutadores (SMC),
una tarjeta de procesamiento de logs (LPC) y al menos una tarjeta de procesamiento de red (NPC).
Los procedimientos de sustitución de las tarjetas de las ranuras delanteras son casi idénticos en el
PA-7050 y el PA-7080. Solo se diferencian en los números de ranura y en las asas usadas para retirar
e instalar la SMC.
•
“Sustitución de una tarjeta de gestión de conmutadores (SMC) en un PA-7000” en la página 112
•
“Sustitución de una tarjeta de procesamiento de logs (LPC) en un PA-7000 Series” en la
página 115
•
“Sustitución de una tarjeta de procesamiento de red (NPC) en un PA-7000 Series” en la página 120
Sustitución de una tarjeta de gestión de conmutadores (SMC)
en un PA-7000
Si falla la tarjeta SMC, las tarjetas LPC y NPC se apagarán y el bastidor se reiniciará e intentará
recuperar la SMC. Si el bastidor se reinicia más de 3 veces en 30 minutos, entrará en el modo de
mantenimiento, y entonces deberá apagar el bastidor hasta que sustituya la SMC.
1.
2.
3.
4.
Anote las conexiones de cables y después afloje los tornillos a ambos lados de la SMC. En el
cortafuegos PA-7050, la SMC se encuentra en la ranura 4; en el cortafuegos PA-7080, la SMC
se encuentra en la ranura 6.
5.
Retire la tarjeta SMC averiada del bastidor. La Ilustración 63 muestra cómo retirar una SMC
de un PA-7050 y la Ilustración 64 muestra cómo retirar una SMC de un PA-7080.
Palo Alto Networks
Ilustración 63. Instalación o extracción de una SMC en un PA-7050
1
PA-70
50
2
3
1
4
SMC
2
5
3
6
PA-705
0-SMC
4
SMC
7
5
8
ALM
F
6
P
7
PA-700
0-20GNPC
8
NPC SMC
Palo Alto Networks
Ilustración 64. Instalación o extracción de una SMC en un PA-7080
6.
Saque la SMC de repuesto de la bolsa antiestática e introdúzcala en la ranura SMC; compruebe
que las palancas están en posición abierta. Cuando falte medio centímetro para que la tarjeta esté
completamente insertada, ajuste las palancas para alinearla con el bastidor y, a continuación, cierre
las palancas para que la tarjeta se coloque en su sitio.
Nota: Las partes más estrechas cerca de la bisagra de las palancas se usan para
colocar correctamente la tarjeta en el conector trasero de la ranura. Para evitar
desperfectos, asegúrese de que las partes más estrechas se alinean con el bastidor
para que cuando cierre las palancas, estas coloquen correctamente la tarjeta en la
parte posterior.
7.
Apriete los tornillos a ambos lados de la SMC con un destornillador de estrella para fijarla al
bastidor.
8.
Vuelva a conectar la alimentación y encienda el bastidor.
Nota: La configuración de la política de distribución de sesiones se almacena
en la SMC, por lo que al quitar la SMC anterior, se establece la opción
predeterminada. Si había configurado un ajuste distinto al predeterminado,
deberá volver a configurar la política de distribución tras instalar la nueva SMC.
Consulte “Configuración de la distribución de la sesión” en la página 65.
Palo Alto Networks
Sustitución de una tarjeta de procesamiento de logs (LPC)
Si falla la LPC, el bastidor se reiniciará e intentará recuperar la LPC. Si la LPC sigue fallando y el
bastidor se reinicia más de 3 veces en 30 minutos, entrará en el modo de mantenimiento, y entonces
deberá apagar el bastidor hasta que sustituya la LPC.
La LPC contiene las unidades de disco en las que el cortafuegos almacena los logs. Si la LPC falla,
tendrá que quitar las unidades y reinstalarlas en la nueva LPC. Es importante que instale cada AMC
en la misma ranura de la nueva LPC para mantener la configuración RAID. Por ejemplo, la AMC
de la ranura situada más a la derecha de la LPC anterior debe instalarse en la ranura situada más
a la derecha de la LPC nueva, y lo mismo debe hacerse con las otras tres AMC.
El modelo de LPC es idéntico para los cortafuegos PA-7050 y PA-7080, y el procedimiento es el
mismo, con la única diferencia de que en el cortafuegos PA-7050, la LPC se instala en la ranura 8,
mientras que en el cortafuegos PA-7080 debe instalarla en la ranura 7.
1.
2.
3.
4.
Retire las cuatro unidades de la parte delantera de la LPC y anote la ubicación de cada unidad.
Para obtener información detallada sobre cómo quitar las unidades, consulte “Sustitución de una
PRECAUCIÓN: Es importante que reinstale las unidades en la misma posición
que tenían cuando las quitó para mantener la configuración RAID. Se recomienda
etiquetar las unidades y hacerles una fotografía antes de quitarlas.
5.
Afloje los tornillos moleteados a ambos lados de la LPC.
6.
Para sacar la LPC, tire de la palanca interior para desbloquear la palanca exterior y use esta
última para sacar la LPC del bastidor. La Ilustración 65 muestra cómo instalar o quitar una LPC
en un cortafuegos PA-7050 y la Ilustración 66 muestra cómo instalar o quitar una LPC en un
cortafuegos PA-7080.
Nota: La LPC tiene una palanca doble en cada lado. Una vez aflojados los
tornillos moleteados, debe tirar de la palanca interior hacia sí para desbloquear
la exterior del bastidor y, a continuación, tirar de la palanca exterior para
desbloquear la tarjeta. Al instalar la tarjeta, presione la palanca exterior para
bloquear la palanca interior.
Palo Alto Networks
Ilustración 65. Extracción o instalación de una LPC en un cortafuegos PA-7050
1
2
PA-70
50
3
1
4
SMC
2
5
3
6
4
SMC
7
5
8
6
7
8
Palo Alto Networks
Ilustración 66. Extracción o instalación de una LPC en un cortafuegos PA-7080
7.
Saque la nueva LPC de la bolsa antiestática. Introduzca la LPC por la ranura LPC; asegúrese de
que las ranuras están en posición abierta. Cuando falte medio centímetro para que la tarjeta esté
completamente insertada, ajuste las palancas para alinearla con el bastidor y, a continuación,
cierre las palancas para que la tarjeta se coloque en su sitio.
parte posterior.
8.
Apriete los tornillos moleteados de los laterales de la LPC para fijarla al bastidor.
9.
Instale las unidades que quitó anteriormente en las mismas ranuras donde estaban antes. Para
obtener más información detallada sobre cómo sustituir unidades, consulte “Sustitución de una
10. Si usa las unidades de la LPC averiada, lea los pasos de “Reindizado de unidades de disco LPC”
en la página 118 antes de volver a encender el bastidor.
Palo Alto Networks
Reindizado de unidades de disco LPC
Si va a reutilizar las unidades de disco de una tarjeta de procesamiento de logs (LPC) averiada, al
instalar una nueva LPC, debe instalar las unidades en el mismo orden en que las quitó de la LPC
anterior y después reindizar los metadatos del log. De este modo se asegura de que el cortafuegos
muestra correctamente los logs que están en las unidades. El siguiente ejemplo es de un cortafuegos
PA-7050. Use el mismo procedimiento para un cortafuegos PA-7080, pero use S7 en lugar de S8
como número de ranura LPC en el paso de vista de log.
Nota: Si usa un puerto de datos en una NPC para el acceso de administración,
debe volver a conectarse al cortafuegos usando el puerto de la consola, ya que
apagará todas las NPC para evitar generar nuevos logs de tráfico durante la
indización.
1.
Tras sustituir una LPC como se describe en “Sustitución de una tarjeta de procesamiento de logs
(LPC) en un PA-7000 Series” en la página 115, encienda el bastidor.
2.
Si el cortafuegos está en una configuración de alta disponibilidad (HA), ejecute los comandos
siguientes para asegurarse de que el cortafuegos con la LPC de repuesto está en estado de
suspensión:
admin@PA-7050> show high-availability state
Si el cortafuegos está activo, suspéndalo ejecutando en la CLI el comando siguiente:
admin@PA-7050> request high-availability state suspend
3.
Si el cortafuegos no está en configuración HA, debe deshabilitar todas las NPC para que el
tráfico no atraviese el cortafuegos durante la indización.
Para comprobar las sesiones activas, ejecute el comando siguiente:
admin@PA-7050> show session all
Para borrar todas las sesiones, ejecute el comando siguiente:
admin@PA-7050> clear session all
Para ver el estado de cada NPC:
admin@PA-7050> show chassis status
Para cada NPC en estado Up, ejecute el comando siguiente para desactivarla:
admin@PA-7050> request chassis admin-power-off slot
<número-de-ranura>
Por ejemplo, si hay una NPC en la ranura 1, ejecute el comando siguiente:
admin@PA-7050> request chassis admin-power-off slot s1
Repita estos pasos con cada NPC instalada hasta que todas las NPC muestren AdminPowerOff.
De este modo se asegurará de que no haya tráfico atravesando el cortafuegos durante la indización.
4.
Ejecute los comandos siguientes para iniciar la indización en las dos unidades lógicas (dos pares RAID):
admin@PA-7050> request metadata-regenerate slot 1
admin@PA-7050> request metadata-regenerate slot 2
Nota: Puede iniciar una segunda sesión SSH en el cortafuegos y ejecutar el segundo
comando simultáneamente para reindizar ambas unidades lógicas. Si su sesión deja
de responder durante el proceso de indización, establezca una nueva conexión.
Palo Alto Networks
5.
Supervise el progreso de la indización. Este proceso puede tardar varias horas, en función de
la cantidad de logs de las unidades.
Ejecute los siguientes comandos para ver el log de progreso del primer par RAID:
Nota: En un cortafuegos PA-7080, en los comandos siguientes cambie S8lplog a S7lp-log. Este paso es necesario porque en el cortafuegos PA-7080
la LPC se instala en la ranura 7.
admin@PA-7050> less s8lp-log vld-0-0.log
Consulte periódicamente el log hasta que vea el siguiente mensaje:
Done generating metadata for LD:0
Realice los mismos pasos para comprobar el estado del segundo par RAID lógico, como se indica
en el log vld-1-0.log:
admin@PA-7050> less s8lp-log vld-1-0.log
Cuando se complete la indización en la segunda unidad lógica, verá lo siguiente en el resultado
vld-1-0.log:
Done generating metadata for LD:1
6.
Cuando las dos unidades lógicas hayan completado el proceso de indización, compruebe el estado
de las unidades, como se describe en “Verificación de la configuración de LPC” en la página 68.
7.
Si ha apagado las NPC, vuelva a encenderlas. Para ello, ejecute el comando siguiente:
Para ver el estado de cada NPC:
Para cada NPC con el estado AdminPowerOff, ejecute el comando siguiente:
admin@PA-7050> request chassis admin-power-on slot
<número-de-ranura>
Por ejemplo, si hay una NPC en la ranura 1, ejecute el comando siguiente:
admin@PA-7050> request chassis admin-power-on slot s1
Repita estos pasos con cada NPC instalada hasta que todas las NPC muestren el estado Up.
8.
Si el cortafuegos está en configuración HA y lo ha suspendido, defina el estado como funcional
ejecutando el comando siguiente:
admin@PA-7050> request high-availability state functional
9.
Use la CLI o la interfaz web para comprobar que los logs ya aparecen. Por ejemplo, ejecute el
siguiente comando de la CLI y pulse la tecla q para salir del resultado del log:
admin@PA-7050> show log traffic
Por ejemplo:
A maximum of 500 of last 7 day's logs will be displayed.
Please use 'scp export log ...' if more logs are needed
Time
App
From
Src Port
Source
Rule
Action
To
Dst Port
Destination
Src User
Dst User
End Reason
==================================================================================================
2015/01/18 07:14:12 incomplete
EDM-Vwire-Vsys5
36502
10.43.5.17
EDM-Vsys5-Sec-Pol-2 allow
EDM-Vwire-Vsys5
135
10.5.40.161
aged-out
2015/01/18 8:06:39 incomplete
EDM-Vwire-Vsys5
40706
10.43.5.17
EDM-Vsys5-Sec-Pol-2 allow
EDM-Vwire-Vsys5
135
10.5.40.161
aged-out
También puede usar la interfaz web para ver logs. Por ejemplo, para ver logs de tráfico,
seleccione Supervisar > Logs > Tráfico.
Palo Alto Networks
Sustitución de una tarjeta de procesamiento de red (NPC)
Si una tarjeta de procesamiento de red (NPC) falla, se reiniciará e intentará recuperarse. Si la tarjeta no
se recupera, cambiará al estado desactivado. Si solo hay una NPC funcionando en el bastidor y la NPC
falla después de tres intentos de recuperación, el bastidor se reiniciará para intentar recuperar la tarjeta.
No es necesario apagar el bastidor para instalar o extraer las NPC. El procedimiento de sustitución de una
NPC es el mismo para el PA-7050 y el PA-7080, excepto por la numeración de las ranuras de la NPC.
Los siguientes temas describen cómo reemplazar una NPC en un bastidor único y en una configuración
de alta disponibilidad (HA) y ofrecen información detallada para comprobar el estado de las ranuras de
la tarjeta, así como para resolver los problemas de una NPC.
•
“Sustitución de una NPC en bastidor único” en la página 120
•
“Sustitución de una NPC en configuración de alta disponibilidad (HA)” en la página 123
•
“Estados de ranuras delanteras del PA-7000 Series” en la página 124
•
“Comandos de solución de problemas de la tarjeta de procesamiento de red (NPC)” en la
página 125
Sustitución de una NPC en bastidor único
1.
2.
3.
Compruebe el estado de la NPC que tiene el problema. Lo puede hacer desde la interfaz web o
desde la CLI. En la interfaz web, vaya a Red > Interfaces para ver el estado de cada ranura de
NPC como se puede ver en la Ilustración 67.
Ilustración 67. Estado de la tarjeta de procesamiento de red (NPC)
Si la NPC falló debido a un problema de hardware, el estado indicará Failure. La NPC también
puede tener un problema de configuración, en cuyo caso puede ejecutar el comando commit
force para intentar forzar una compilación.
Palo Alto Networks
4.
Anote las conexiones de cables y afloje los tornillos a ambos lados de la NPC.
Nota: Al soltar las palancas de expulsión de la NPC se activará un
microinterruptor que apaga la tarjeta para prepararla para la extracción.
Desbloquee las palancas solo si quiere extraer la tarjeta.
5.
Retire la NPC siguiendo el procedimiento adecuado según la versión de NPC. Hay dos versiones
de la tarjeta PA-7000 20G NPC, como se describe en “PA-7000 20G NPC” en la página 33. En
la versión 1 hay un interruptor deslizante negro a cada lado de la tarjeta que sirve para liberar la
palanca de expulsión. En la versión 2 no hay interruptor deslizante; en su lugar, hay un sistema de
doble palanca: primero se usa la palanca interior para liberar la palanca exterior de expulsión, que
sirve para extraer la NPC: La PA-7000 20G NPC usa el sistema de doble palanca.
a. Para quitar la versión 1 de una PA-7000 20G NPC, desatornille la tarjeta y deslice ambos
interruptores deslizantes negros hacia arriba para liberar las palancas de desbloqueo y después
espere a que el LED de encendido se apague. Cuando se haya apagado el LED de alimentación,
tire hacia sí de las palancas de desbloqueo del eyector exterior para extraer la tarjeta del
bastidor, como se muestra en la Ilustración 68.
b. Para quitar la versión 2 de una PA-7000 20G NPC, desatornille la tarjeta y tire suavemente de
la palanca de desbloqueo interior para desbloquear las palancas expulsoras exteriores. Espere
a que el LED de alimentación se apague y tire hacia sí de la palanca de desbloqueo para extraer
la tarjeta del bastidor, como se muestra en la Ilustración 69.
Ilustración 68. Instalación o extracción de una PA-7000 20G NPC versión 1
1
PA-70
50
2
3
1
4
SMC
2
5
3
6
PA-705
0-SMC
4
SMC
7
5
8
ALM
F
6
P
7
PA-700
0-20GNPC
8
NPC SMC
Palo Alto Networks
Ilustración 69. Instalación o extracción de una PA-7000 20G NPC versión 2
6.
Saque la NPC de repuesto de la bolsa antiestática e introdúzcala en la ranura vacía; compruebe
que las palancas están en posición abierta. Cuando falte medio centímetro para que la tarjeta esté
completamente insertada, ajuste las palancas para alinearla con el bastidor y, a continuación, cierre
las palancas para que la tarjeta se coloque en su sitio.
parte posterior.
7.
Apriete los tornillos a ambos lados de la NPC con un destornillador de estrella para fijarla
al bastidor.
8.
Inserte los cables de red que quitó anteriormente.
Para la información de estado de las ranuras y solución de problemas, consulte las siguientes secciones:
“Estados de ranuras delanteras del PA-7000 Series” en la página 124 y “Comandos de solución de
problemas de la tarjeta de procesamiento de red (NPC)” en la página 125.
Palo Alto Networks
Sustitución de una NPC en configuración de alta disponibilidad (HA)
Cuando se configura HA en el cortafuegos, este está diseñado para permitir la inserción de nuevas
tarjetas de procesamiento de red (NPC) sin provocar un cambio a la unidad sustitutoria. Esto se logra
haciendo que el sistema no permita que la tarjeta nueva se active en un bastidor hasta que se instale una
NPC en la misma ranura del segundo bastidor. Las tarjetas permanecen en estado deshabilitado hasta
que habilite las dos simultáneamente.
Si falla una NPC en uno de los bastidores, este pasará a un estado no funcional cuando esté en modo
activo/pasivo o a un estado provisional cuando esté en modo activo/activo. El bastidor seguirá usando la
unidad sustitutoria hasta que se instale y se configure una nueva NPC o hasta que retire o deshabilite la
NPC correspondiente en el cortafuegos operativo. Una vez sustituida y habilitada la tarjeta averiada, el
bastidor se inicia como pasivo en una configuración activa/pasiva o como activo secundario en una
configuración activa/activa.
Para identificar la NPC defectuosa, observe los LED de la NPC o consulte los logs del sistema. Por
ejemplo, si en la ranura 3 de uno de los bastidor hay una NPC averiada, se mostrará el error siguiente
en el log: Slot 3 failure; moving to failure state.
En el procedimiento siguiente, los siete primeros pasos son los mismos que se siguen para sustituir una
NPC en una configuración de bastidor único. Los pasos específicos para HA empiezan en el Paso 8.
En “Sustitución de una NPC en bastidor único” en la página 120 puede consultar las ilustraciones de
la sustitución de una NPC.
1. Lea “Precauciones y advertencias relacionadas con el hardware” en la página 87.
2.
3.
Compruebe el estado de la NPC que tiene el problema. Lo puede hacer desde la interfaz web
o desde la CLI. En la interfaz web, vaya a Red > Interfaces para ver el estado de cada ranura
de NPC como se puede ver en la Ilustración 70. El log del sistema muestra también slot
<número-de-ranura> failure; moving to failure state.
Ilustración 70. Estado de la tarjeta de procesamiento de red (NPC)
Si la NPC falló debido a un problema de hardware, el estado indicará Failure. La NPC también
puede tener un problema de configuración, en cuyo caso puede ejecutar el comando commit
force para intentar forzar una compilación.
4.
Anote las conexiones de cables y después afloje los tornillos a ambos lados de la tarjeta que
la sujetan al bastidor.
Nota: Al soltar las palancas de expulsión de la NPC se activa un microinterruptor
que apaga la tarjeta para prepararla para la extracción. Desbloquee las palancas
solo si quiere extraer la tarjeta.
5.
Retire la tarjeta NPC averiada del bastidor.
Palo Alto Networks
6.
Saque la NPC de repuesto de la bolsa antiestática e introdúzcala en la ranura vacía; compruebe
que las palancas están en posición abierta. Cuando falte medio centímetro para que la tarjeta
esté completamente insertada, ajuste las palancas para alinearla con el bastidor y, a continuación,
cierre las palancas para colocar la tarjeta.
parte posterior.
7.
Apriete los tornillos a ambos lados de la NPC con un destornillador de estrella para fijarla al
bastidor.
8.
Habilite las ranuras que contienen la NPC operativa (en el segundo bastidor) y la NPC que acaba de
reemplazar.
admin@PA-7050> request chassis enable slot <número-de-ranura> target ha-pair
Por ejemplo, ejecute el siguiente comando para habilitar la ranura 3 en ambos cortafuegos:
admin@PA-7050> request chassis enable slot s3 target ha-pair
9.
Active las ranuras que contienen la NPC operativa (en el segundo bastidor) y la NPC que acaba
de reemplazar.
target ha-pair
Por ejemplo, ejecute el siguiente comando para habilitar la ranura 3 en ambos cortafuegos:
10. Inserte los cables de red que quitó anteriormente.
Para la información de estado de las ranuras y solución de problemas, consulte las siguientes secciones:
“Estados de ranuras delanteras del PA-7000 Series” en la página 124 y “Comandos de solución de
problemas de la tarjeta de procesamiento de red (NPC)” en la página 125.
Estados de ranuras delanteras del PA-7000 Series
Puede ver la información de estado de las tarjetas y ranuras del cortafuegos PA-7000 mediante la
interfaz web o la interfaz de línea de comandos (CLI). En la interfaz web, seleccione Red > Interfaces
para ver el estado de cada ranura. Desde el modo funcional de la CLI del dispositivo WildFire,
ejecute el siguiente comando:
admin@PA-7050> show chassis status slot <número-de-ranura>
Por ejemplo, para mostrar el estado de la ranura 1, ejecute el siguiente comando:
Para obtener información sobre cómo solucionar problemas de las ranuras y cómo cambiar el estado
de las mismas, consulte “Comandos de solución de problemas de la tarjeta de procesamiento de red
(NPC)” en la página 125.
Tabla 29. Estados de ranuras del PA-7000 Series
Estado
Descripción
Empty (Vacía)
La ranura está vacía y lista para su uso.
Up (Activa)
La tarjeta está encendida y tiene una configuración de software válida.
Palo Alto Networks
Tabla 29. Estados de ranuras del PA-7000 Series (Continuación)
Estado
Descripción
Disabled (Deshabilitado)
(Solo HA) La ranura no está habilitada.
En una configuración de alta disponibilidad (HA), las ranuras NPC
permanecen deshabilitadas hasta que habilite la ranura. Se ha diseñado de
este modo para que pueda instalar las nuevas NPC sin provocar un cambio
a la unidad sustitutoria. Después de insertar las NPC coincidentes en
ambos bastidores, puede activar las dos tarjetas simultáneamente. Para
obtener más información, consulte “Instalación de una NPC en una
configuración de alta disponibilidad (HA)” en la página 63
HA-Disabled (HA deshabilitada)
(Solo HA) Tras habilitar una ranura, se muestra este estado hasta que
ambas ranuras estén listas.
Esto se produce únicamente si el peer no tiene una tarjeta coincidente en
el mismo número de ranura o si la tarjeta del peer no está preparada.
Stopping (Desactivándose)
Preparando tarjeta para la extracción.
Starting (Activándose)
La tarjeta está en proceso de activación y el software se está iniciando.
PowerOff (Desactivada)
La tarjeta está desactivada y lista para la extracción.
AdminPowerOff
(Desactivada por el
administrador)
Un administrador ha desactivado esta ranura y no estará disponible hasta
que la active de nuevo. Si hay una ranura que quiere ignorar en una
configuración HA, debe activarse este estado.
Failure (Fallo)
La unidad ha fallado y debe cambiarse.
Unsupported (No compatible)
La ranura no admite este tipo de tarjeta.
Comandos de solución de problemas de la tarjeta de procesamiento de red (NPC)
La Tabla 30 describe los comandos que se usan habitualmente para resolver problemas de NPC
en un cortafuegos PA-7000 Series:
Tabla 30. Comandos de la CLI para resolver problemas y controlar la NPC
Función
Comando
Mostrar el estado de una ranura
Ejecute el siguiente comando para ver todas las ranuras:
Para ver el estado de una ranura, ejecute:
admin@PA-7080> show chassis status slot
<número-de-ranura>
Por ejemplo, para comprobar el estado de la ranura 3, ejecute:
Activar y desactivar una ranura
temporalmente
Sirve para desactivar una ranura
y finalizar las sesiones actuales
correctamente. Puede usar este
comando para extraer una NPC.
Para desactivar una ranura:
Para desactivar una ranura.
Al usar esta opción, la ranura
permanece desactivada incluso
después de reiniciar el bastidor.
Para desactivar una ranura:
Palo Alto Networks
admin@PA-7080> request chassis power-off slot
<número-de-ranura>
Para activar una ranura:
admin@PA-7080> request chassis power-on slot
<número-de-ranura>
admin@PA-7080> request chassis admin-power-off
slot <número-de-ranura>
Tabla 30. Comandos de la CLI para resolver problemas y controlar la NPC (Continuación)
Función
Comando
Habilitar una ranura para que la
NPC empiece a permitir el paso
de tráfico.
admin@PA-7080> request chassis enable slot
<número-de-ranura>
Habilitar nuevas NPC en ambos
bastidores en una configuración
de HA.
En una configuración HA, debe instalar el mismo número y modelo de
tarjetas NPC en cada bastidor y los números de ranura deben coincidir.
Tras instalar las NPC en cada bastidor, el cortafuegos las mantiene en
estado deshabilitado hasta que las habilite. Esto permite al cortafuegos
iniciar la supervisión HA en ambas NPC.
Para habilitar NPC después de insertarlas en los mismos números de ranura
en ambos bastidores en una configuración de HA, ejecute el comando
siguiente:
admin@PA-7080> request chassis power-on slot
<número-de-ranura> target ha-pair
Por ejemplo, para habilitar NPC instaladas en la ranura 3 de ambos
bastidores, ejecute el siguiente comando:
admin@PA-7080> request chassis power-on slot 3
target ha-pair
Puede usar la opción ha-pair en una configuración de HA en muchos
de los comandos de control de ranuras.
Palo Alto Networks
Especificaciones físicas
Capítulo 5
Especificaciones
La siguiente información incluye las especificaciones del bastidor y los componentes del cortafuegos
PA-7000 Series. La tarjeta de procesamiento de logs (LPC) y las tarjetas de procesamiento de red
(NPC) son universales, lo que permite su instalación en un cortafuegos PA-7050 o PA-7080. Los
componentes que no son universales, como las fuentes de alimentación, la tarjeta de gestión de
conmutadores (SMC), las bandejas de ventiladores y el filtro de aire, se incluyen por separado
para cada plataforma.
•
“Especificaciones físicas” en la sección siguiente
•
“Especificaciones de las interfaces” en la página 130
•
“Especificaciones eléctricas y cables de alimentación” en la página 131
•
“Especificaciones medioambientales” en la página 132
En la Tabla 31 se indican las especificaciones físicas de los cortafuegos PA-7050 y PA-7080.
Tabla 31. Especificaciones físicas
Especificación
Alto
Descripción
• Cortafuegos PA-7050: 15,75 pulgadas (40 cm) 9U
• Cortafuegos PA-7080: 33,22 pulgadas (84,38 cm) 19U
Profundidad
• Cortafuegos PA-7050: 23,75 pulgadas (60,32 cm). Se incluyen las
palancas frontales y los postes del módulo de alimentación de CC posterior
(plataforma de CC). La profundidad es de 25,5 pulgadas (64,77 cm).
• Cortafuegos PA-7080: 24,66 pulgadas (62,64 cm). Se incluyen las
palancas frontales y los postes del módulo de alimentación de CC posterior
(plataforma de CC). La profundidad es de 26,97 pulgadas (68,50 cm).
Ancho
• Cortafuegos PA-7050: 17,5 pulgadas (44,45 cm). Se incluyen las aberturas
de montaje a cada lado y la anchura es de 19 pulgadas (48,26 cm).
• Cortafuegos PA-7080: 17,5 pulgadas (44,45 cm). Se incluyen las aberturas
de montaje a cada lado y la anchura es de 19 pulgadas (48,26 cm).
Palo Alto Networks
Especificaciones • 127
Tabla 31. Especificaciones físicas (Continuación)
Especificación
Descripción
Peso del bastidor
• Cortafuegos PA-7050
– Bastidor (CA)—111,2 lb (50 kg)
Incluye el bastidor, dos bandejas de ventiladores, filtro de aire
y cuatro fuentes de alimentación. No incluye cubiertas para
ranuras vacías, tarjetas SMC, NPC o LPC.
Peso total (con carga completa): 187,4 lb (85 kg, 3,20 g)
Incluye el peso del bastidor anterior más SMC, LPC y seis NPC.
– Bastidor (CC): 108,8 lb (49 kg)
Incluye el bastidor, dos bandejas de ventiladores, el filtro de
aire y cuatro fuentes de alimentación. No incluye cubiertas
para ranuras vacías, tarjetas SMC, NPC o LPC.
Peso total (con carga completa): 185 lb (83 kg, 915 g)
Incluye el peso del bastidor anterior más SMC, LPC y seis NPC.
– Bastidor (CA): 173 lb (78 kg, 471,47 g)
Incluye el bastidor, dos bandejas de ventiladores, filtro de aire
y cuatro fuentes de alimentación. No incluye cubiertas para
ranuras vacías, tarjetas SMC, NPC o LPC.
Incluye el peso del bastidor anterior más SMC, LPC, diez NPC
y ocho fuentes de alimentación de CA.
– Bastidor (CC): 172 lb (78 kg, 17,88 g)
Incluye el bastidor, dos bandejas de ventiladores, el filtro
de aire, cuatro fuentes de alimentación de CC y el módulo de
entrada de alimentación de CC (PEM). No incluye cubiertas
para ranuras vacías, tarjetas SMC, NPC o LPC.
Incluye el peso del bastidor anterior más SMC, LPC,
diez NPC y un total de ocho fuentes de alimentación de CC.
128 • Especificaciones
Palo Alto Networks
Tabla 31. Especificaciones físicas (Continuación)
Especificación
Descripción
Peso de los componentes
del bastidor
• Tarjeta de gestión de conmutadores (SMC)
– Cortafuegos PA-7050: 11 lb (4 kg, 989,52 g)
– Cortafuegos PA-7080: 12,5 lb (5 kg, 669,90 g)
• Tarjeta de procesamiento de red (NPC)
– PA-7000 20G y PA-7000 20GQ: 9,4 lb (4 kg, 263,77 g)
• Tarjeta de procesamiento de logs (LPC)
– LPC sin unidades—6,4 lb (2 kg 902,99 g)
– Advanced Mezzanine Card (AMC): 0,6 lb (272,16 g)
(Cada AMC incluye una unidad de disco SATA de 2,5").
– LPC con carga completa de cuatro AMC: 8,8 lb (3 kg, 991,61 g)
• Bandeja de ventiladores
• Fuente de alimentación (CA)
• Fuente de alimentación (CC)
Tamaño de montaje del rack
Rack estándar de 19 pulgadas (montaje central o montaje frontal).
Configuraciones de fuente
de alimentación
– Hasta cuatro fuentes de alimentación de CA o CC de 2500 vatios.
Las fuentes de alimentación de CA son intercambiables en caliente,
pero las fuentes de alimentación de CC no lo son.
– Hasta ocho fuentes de alimentación de CA o CC de 2500 vatios.
Las fuentes de alimentación de CA son intercambiables en caliente,
pero las fuentes de alimentación de CC no lo son.
Las fuentes de alimentación no son intercambiables en caliente entre
los cortafuegos PA-7050 y PA-7080. Para obtener información sobre
la planificación de la configuración, consulte “Determinación de los
requisitos de alimentación de un cortafuegos PA-7000 Series” en la
página 70 y, para obtener información sobre las especificaciones
eléctricas, consulte “Especificaciones eléctricas” en la página 131.
Palo Alto Networks
Especificaciones de las interfaces
Especificaciones de las interfaces
En la Tabla 32 se describen los puertos de interfaz de PA-7000 Series de la tarjeta de gestión de
conmutadores (SMC) y las tarjetas de procesamiento de red (NPC). El número de puertos de datos
depende del número de tarjetas NPC instaladas. Por ejemplo, si instala seis NPC y cada NPC incluye
doce puertos Ethernet 10/100/1000, el bastidor dispondrá de 72 de estos puertos. Para obtener más
información sobre las tarjetas SMC y NPC, consulte “Tarjeta de gestión de conmutadores (SMC)”
en la página 24 y “Tarjetas de procesamiento de red (NPC)” en la página 33.
Tabla 32. Especificaciones de las interfaces
Especificación
Descripción
Puertos Ethernet
Puertos Ethernet RJ-45 10/100/1000.
(PA-7000 20G NPC)
Puertos SFP
Puertos conectables de pequeño tamaño (SFP).
(PA-7000 20G NPC)
Puertos SFP+
Puertos conectables de pequeño tamaño (SFP+).
(PA-7000 20G NPC y
PA-7000 20GQ NPC)
Puertos QSFP
(PA-7000 20GQ NPC)
Puertos Ethernet conectables de pequeño tamaño cuádruples (QSFP) según
la definición del estándar IEEE 802.3ba.
Puerto (HA) de alta disponibilidad
(HA1-A y HA1-B)
Puertos RJ-45 usados para el control y la sincronización de alta
disponibilidad.
(SMC)
Puertos de gestión (MGT)
Puerto RJ-45 usado para acceder a la interfaz CLI o la interfaz web.
(SMC)
Consola
(SMC)
Puertos HA QSFP (HSCI-A y
HSCI-B)
(SMC)
Puerto RJ-45 usado para conectar un ordenador de gestión al cortafuegos
mediante un conector serie de 9 clavijas al cable RJ-45 (suministrado) y el
software de emulación de terminal. Consulte “Tarjeta de gestión de
conmutadores (SMC)” en la página 24 y la descripción de la consola para
ver los requisitos para los cables y la configuración de serie.
Las interfaces Quad Port SFP (QSFP) se usan para conectar dos
cortafuegos PA-7050 o dos cortafuegos PA-7080 para una configuración
de alta disponibilidad (HA). Cada puerto consta de cuatro enlaces internos
de 10 Gb para alcanzar una velocidad combinada de 40 Gb y se usa para
enlaces de datos HA2 en la configuración activa/pasiva o el reenvío HA3
para una configuración activa/activa. Cuando HSCI-A y HSCI-B están
conectados, el ancho de banda total es de 80 Gb.
Puede configurar HA2 (enlace de datos) en puertos de datos HSCI o en
puertos de datos NPC.
Puerto USB
Puerto USB para uso futuro.
(SMC)
Palo Alto Networks
Especificaciones eléctricas y cables de alimentación
Especificaciones eléctricas y cables de alimentación
•
“Especificaciones eléctricas” en la página 131
•
“Tipos de cables de alimentación” en la página 131
Especificaciones eléctricas
En esta tabla se describen las especificaciones eléctricas del cortafuegos PA-7000 Series.
Tabla 33. Especificaciones eléctricas
Especificación
Descripción
Salida de potencia nominal máxima
por fuente de alimentación
• CA: 2500 vatios
Entrada de voltaje por fuente
de alimentación
• Fuentes de alimentación de CA: 100-240 V CA, 20 A, 50-60 Hz
• CC: 2500 vatios
Aunque el intervalo de las fuentes de alimentación es de
100-240 V CA, debe usar 220-240 V CA para garantizar
la máxima redundancia. Para obtener información sobre
la planificación de la configuración, consulte
“Determinación de los requisitos de alimentación
de un cortafuegos PA-7000 Series” en la página 70.
•Fuentes de alimentación de CC: de -40 V CC a -60 V CC,
60 amperios
Tipos de cables de alimentación
Los cortafuegos PA-7000 Series se suministran con cuatro fuentes de alimentación de CA o cuatro
fuentes de alimentación de CC de forma predeterminada. En el cortafuegos PA-7080, puede ordenar
hasta cuatro fuentes de alimentación adicionales (ocho en total) y se incluyen cables de alimentación
con cada fuente de alimentación de CA. Los cables de alimentación de CC de PA-7080 no se incluyen.
La configuración de CC de PA-7050 admite un tipo de cable de alimentación de CC (incluido) y se
indica en la primera fila de la Tabla 34.
Palo Alto Networks
Especificaciones medioambientales
Tabla 34. Tipos de cables de alimentación de PA-7000 Series
Número de SKU
Descripción
PAN-PWR-DC-CBL-A
(Solo para el cortafuegos PA-7050) Cable de alimentación de CC
de 15 pies (4,5 m).
Un extremo del cable incluye un conector que se conecta a la parte
frontal de la fuente de alimentación de CC y el otro extremo del cable
tiene hilos desnudos, con los cuales debe terminar la fuente de
alimentación de CC.
Este cable solo se admite en la fuente de alimentación de CC de
PA-7050 (número de SKU PAN-7050-PWR25-DC).
PAN-PWR-C19-AUS
Cable de alimentación de CA con extremos de cable según IEC-60320
C19 y AS/NZS 4417, 3 m
PAN-PWR-C19-EU
C19 y CEE 7/7 SCHUKO, 3 m
PAN-PWR-C19-JP
C19 y NEMA L6-20P, 3 m
PAN-PWR-C19-TW
C19 y CNS 10917-3, 3 m
PAN-PWR-C19-UK
C19 y BS 1363 UK13, 3 m
PAN-PWR-C19-US
C19 y NEMA 6-20P, 3 m
PAN-PWR-C19-US-L
C19 y NEMA L6-20P (bloqueo), 3 m
Especificaciones medioambientales
En la Tabla 35 se indican las especificaciones medioambientales de los cortafuegos PA-7000 Series.
Tabla 35. Especificaciones medioambientales
Especificación
Descripción
Intervalo de temperaturas de
funcionamiento
De 0 °C a 50 °C (de 32 °F a 122 °F)
Intervalo de temperaturas de
almacenamiento
De -20 °C a 70 °C (de -4 °F a 158 °F)
Humedad
Del 5% al 90% sin condensación
Flujo de aire del bastidor
• PA-7050: en paralelo (aunque está orientado hacia la parte frontal del
bastidor, el aire entra por la derecha y sale por la izquierda)
Puede cambiar el flujo de aire del bastidor de la orientación en
paralelo a la orientación desde la parte frontal a la parte posterior
mediante la instalación del kit PAN-AIRDUCT. Póngase en
contacto con el distribuidor o con Palo Alto Networks para obtener
información sobre los pedidos.
• PA-7080: de la parte frontal a la parte posterior
Palo Alto Networks
Requisitos de NEBS
Capítulo 6
Declaración de conformidad
Esta sección enumera las declaraciones de conformidad de hardware:
•
“Requisitos de NEBS” en la página 133
•
“Declaración de conformidad VCCI” en la página 134
•
“Declaración de BSMI EMC” en la página 134
Requisitos de NEBS
A continuación se enumeran los requisitos que los cortafuegos PA-7000 Series deben cumplir conforme
al estándar para el montaje de equipos de red NEBS (Network Equipment Building System).
•
El cortafuegos está diseñado para su instalación en centros de telecomunicaciones de redes (central
de comunicaciones) como parte de una red de conexión común (CNB) o un red de conexión aislada
(IBN). Los conductores sin aislamiento deben recubrirse con un compuesto antioxidante adecuado
antes de realizar las conexiones a presión. Debe aplicarse a todos los conectores sin recubrimiento,
a la pulsera trenzada y a las barras conductoras un acabado brillante y, a continuación,
un recubrimiento con antioxidante antes de su conexión.
•
El material de fijación debe ser compatible con los materiales a los que se une y no debe soltarse,
deteriorarse ni permitir la corrosión electromecánica tanto del material de fijación como del
material sujetado.
•
El cortafuegos puede conectarse a la central de comunicaciones o el equipo local del cliente (CPE).
•
Los retornos de la batería de CC del cortafuegos deben estar conectados como un retorno de CC
aislado (DC-I).
•
El cortafuegos PA-7050 debe estar instalado en posición media para cumplir con el estándar NEBS.
ADVERTENCIA: Los puertos internos (12 puertos Ethernet RJ-45 en cada NPC,
dos puertos HA en el SMC y el puerto MGT en el SMC) del equipo o subconjunto son
adecuados para la conexión con cableados internos o recubiertos únicamente. Los puertos
internos del equipo o subconjunto no deben conectarse metálicamente a la interfaz que los
une con la planta externa (OSP) o su cableado. Estas interfaces están diseñadas solo para
uso interno (puertos de tipo 2 o 4, como se describe en GR-1089-CORE, n.º 6) y requieren
el aislamiento del cableado de la planta externa que no esté recubierto. No basta con
incluir protectores principales para conectar estas interfaces metálicamente con el
cableado de la planta externa.
ADVERTENCIA: El cortafuegos debe estar conectado a un dispositivo de
protección especial (SPD) externo cuando se instale y conecte con alimentación
de CA comercial.
Palo Alto Networks
Declaración de conformidad • 133
Declaración de conformidad VCCI
Declaración de conformidad VCCI
Esta sección incluye la declaración de conformidad del Consejo de Control Voluntario de Interferencias
(VCCI: Voluntary Control Council for Interference), el cual regula las emisiones de radiofrecuencia en
Japón.
La información siguiente se ajusta a los requisitos de Clase A de la VCCI:
Traducción: este es un producto de Clase A. En un entorno doméstico, este producto podría provocar
radiointerferencias, en cuyo caso el usuario podría tener que emprender acciones para subsanarlas.
Declaración de BSMI EMC
Advertencia para usuarios: Este es un producto de Clase A, que cuando se utiliza en un entorno
residencial puede provocar interferencias de radio. En este caso, se solicitará al usuario que tome
las acciones adecuadas.
Fabricante: Flextronics International
País de origen: Fabricado en EE.UU. con piezas de origen doméstico y extranjero.
Frecuencia de entrada: 50-60 hercios (Hz)
Tensión de entrada (CA): 100 a 240 voltios
BSMI EMC 聲明
警告使用者 :
這是甲類的資訊產品 , 在居住的環境中使用時 , 可能會造成射頻干擾 ,
在這種情況下 , 使用者會被要求採取某些適當的對策
製造商：偉創力國際
原產地：美國 / 部份零組件產地為美國及其它國家。
輸入頻率：50-60 赫茲（Hz）
輸入電壓（AC）：100 〜 240 伏特
134 • Declaración de conformidad
Palo Alto Networks

en un PA-7000 Series

Transcripción

Documentos relacionados

Tema4-Cortafuegos

informe final 2013

Descarga Catálogo

Controlparental

manipuladores telescópicos - AUTOESCUELA.DIGITAL Plataforma

Descarga aqui - Carol Automatismos Igualada SA