コンフィグの出力形式
Palo Altoのコンフィグ出力形式は、次の2パターンあります。それぞれ便利/不便なところがあるので、それについてまとめます。
- XML形式
- SET形式
XML形式
XML形式については、主にコンフィグのバックアップ用途として利用します。Palo Altoの管理画面/CLIからのどちらからも出力可能ですが、通常はGUI管理画面からエクスポートすることが多いです。(あえてCLIからで出力する理由がありません)
正直ヒューマンフレンドリーな出力形式ではないので、コンフィグ情報から設定値を拾うのは一苦労です。
そのため、XMLコンフィグを直接編集して装置設定を行うのはオススメできません。
XML形式での出力イメージ
<?xml version=”1.0″?>
<config urldb=”paloaltonetworks” version=”9.0.0″>
<mgt-config>
<users/>
</mgt-config>
<shared>
<application/>
<application-group/>
<service/>
<service-group/>
<botnet>
<configuration>
・・・
<?xml version=”1.0″?>
<config urldb=”paloaltonetworks” version=”9.0.0″>
<mgt-config>
<users/>
</mgt-config>
<shared>
<application/>
<application-group/>
<service/>
<service-group/>
<botnet>
<configuration>
・・・
SET形式
逆にSET形式は、コンフィグのインポート/エクスポートとしては、利用できませんが、XML形式に比べると、人が読みやすい(理解しやすい)形式になっています。
SET形式での出力イメージ
set deviceconfig system ip-address X.X.X.X
set deviceconfig system netmask 255.255.255.0
set deviceconfig system update-server updates.paloaltonetworks.com
set deviceconfig system update-schedule threats recurring daily at XX:XX
set deviceconfig system update-schedule threats recurring daily action download-and-install
set deviceconfig system update-schedule threats recurring daily disable-new-content no
・・・
set deviceconfig system ip-address X.X.X.X
set deviceconfig system netmask 255.255.255.0
set deviceconfig system update-server updates.paloaltonetworks.com
set deviceconfig system update-schedule threats recurring daily at XX:XX
set deviceconfig system update-schedule threats recurring daily action download-and-install
set deviceconfig system update-schedule threats recurring daily disable-new-content no
・・・
また、SET形式の一番のメリットは、大量のオブジェクト情報をCLIから一気に流し込めるところにあります。大量の設定をGUIからポチポチ設定するのはキツイ作業になりますし、単調なのでミスが発生しやすくなります。
設定投入するまえに以下の形式でコンフィグを準備しておけば、オブジェクト作成も数秒で完了できます。
※事前に検証機器などでエラーが発生しないことを確かめてから流し込みを実施してください。
SET形式オブジェクトの設定イメージ
set vsys vsysX address A-X.X.X.X-24 ip-netmask 192.168.1.0/24
set vsys vsysX address B-X.X.X.X-24 ip-netmask 192.168.2.0/24
set vsys vsysX address C-X.X.X.X-24 ip-netmask 192.168.3.0/24
set vsys vsysX address A-X.X.X.X-24 ip-netmask 192.168.1.0/24
set vsys vsysX address B-X.X.X.X-24 ip-netmask 192.168.2.0/24
set vsys vsysX address C-X.X.X.X-24 ip-netmask 192.168.3.0/24
・・・
コンフィグの出力方法(SET形式)
SET形式で出力する場合は、コマンドプロンプトからコンフィグの出力形式を”SET形式”に変更する必要があります。
PA-XX-01(active)> set cli pager off(ページング機能オフ)
PA-XX-01(active)> set cli config-output-format set(SET形式に変更)
PA-XX-01(active)> configure(特権モードに移行)
PA-XX-01(active)# show(コンフィグ出力)
PA-XX-01(active)> set cli config-output-format set(SET形式に変更)
PA-XX-01(active)> configure(特権モードに移行)
PA-XX-01(active)# show(コンフィグ出力)
XML形式したい場合は、「set cli config-output-format xml」にするかGUIから出力できます。GUIからの出力については、下記リンクに記載してありますので参考にしてください。
XMLでのコンフィグエクスポート→番外編2:設定のエクスポート機能
以上
コメント
こちらのバージョン9.0.0はPAN-OSのバージョンでしょうか?
XML形式でOSバージョンを確認する方法はありますか。
最初の一行に記載のところ。config urldb=”paloaltonetworks” version=”9.0.0″
サンプルで載せていたバージョンは、PAN-OS9.0 です。
config urldb=”paloaltonetworks” version=”9.0.0″
別の筐体(PAN-OS7.1台)でXMLファイル内容を確認したところ下記のように記載があったため
ご認識の通り、PAN-OSのメジャーバージョンと同じ値になるのかと思います。
config urldb=”paloaltonetworks” version=”7.1.0″