Palo Alto コンフィグの種類とコミットとは【基礎知識】

Palo Alto におけるコンフィグの種類

Palo Alto ファイアウォールでは以下の 2 種類のコンフィグがあります。

• running config
  • 現在稼働中のコンフィグ
  • 機器起動時に読み込まれるコンフィグ
• candidate config
  • 設定変更時にメモリに保存される、設定変更中のコンフィグ
  • 機器動作へは影響しない

設定変更とコミット

Palo Alto ファイアウォールで設定変更を行った場合、その設定変更は candidate config に反映されます。candidate config が変更されただけでは機器の動作は変わりません。機器の動作に反映させる、つまり running config に設定変更を反映させるためには、コミットという操作を行う必要があります。コミットを行うことで candidate config の内容が running config に上書きされ、機器動作に反映されます。

コミットの実行方法

コミットは GUI と CLI のどちらからでも実行できます。

GUI で行う場合は、画面右上のコミットをクリックすることで実行できます。

CLI で行う場合は、コンフィギュレーションモードで commit コマンドを実行します。

admin@PA-200# commit

なお Palo Alto ファイアウォールのコミット処理には 1，2 分単位で時間を要するのでこの点留意してください。

candidate config と running config の差分確認

以下のコマンドで、candidate config と running config の差分を表示できます。

• オペレーショナルモードで実行する場合
  • show config diff
• コンフィギュレーションモードで実行する場合
  • run show config diff

admin@PA-200# run show config diff
             Addr_10.10.1.1_32 {
               ip-netmask 10.10.1.1/32;
             }
-            Addr_10.11.1.100_32 {
-              ip-netmask 10.11.1.100/32;
-            }
             Addr_10.1.2.0_24 {
               ip-netmask 10.1.2.0/24;
             }
             Addr_10.1.3.0_24 {
               ip-netmask 10.1.3.0/24;
             }
+            Addr_10.20.30.0_24 {
+              ip-netmask 10.20.30.0/24;
+            }
           }
         }
       }
[edit]

行頭に「-」と表示されている行は削除された設定、「+」と表示されている行が追加された設定です。

candidate config の削除（設定変更の取り消し）

candidate config に行った設定変更を取り消し、現在の running config と同じ内容まで戻すことができます。

GUI で設定変更を取り消す場合は、画面右上の [Config → 設定を元に戻す] から実行できます。

CLI で設定変更を取り消す場合は、コンフィギュレーションモードで revert config コマンドを実行します。

admin@PA-200# revert config

All changes were reverted from configuration
[edit]

Palo Alto 関連記事一覧

• 基礎知識
  • Palo Alto 初期アドレス、初期ユーザパスワード【管理アクセス用】
  • Palo Alto コンフィグの種類とコミットとは【基礎知識】
  • Palo Alto コンフィグを set 形式で表示する方法 (CLI)
  • Palo Alto システムシャットダウンと再起動の実施方法
  • Palo Alto コンフィグを初期化する方法
  • Palo Alto candidate config を削除する方法
  • Palo Alto コンフィグバックアップとリストアの実施方法
• システム設定
  • 初期設定
    • Palo Alto 管理インターフェースの IP アドレスとデフォルトゲートウェイの設定方法
    • Palo Alto ホスト名とドメイン名の設定方法
  • NTP
    • Palo Alto NTP サーバとタイムゾーンの設定方法
  • DNS
    • Palo Alto DNS サーバの設定方法と名前解決のテスト方法
  • Syslog
    • Palo Alto システムログを Syslog サーバに転送するための設定方法
    • Palo Alto トラフィックログを Syslog サーバへ転送するための設定方法
  • SNMP
    • Palo Alto SNMP トラップを送信するための設定方法
    • Palo Alto SNMP コミュニティの設定方法
• HA 設定（冗長化）
  • Palo Alto HA についての基礎知識【初学者向け】
  • Palo Alto アクティブ/パッシブ HA の設定方法【一番詳しい】
  • Palo Alto HA で設定変更時のコンフィグ同期について
  • Palo Alto HA で 4 回切り替わると suspended 状態になります
  • Palo Alto HA heartbeat backup でスプリットブレインを防止
  • Palo Alto HA1 リンクと HA2 リンクの違いとは
• インターフェース設定
  • Palo Alto レイヤ 3 インターフェースの基本設定
  • Palo Alto セキュリティゾーンについての基礎知識と設定方法
  • Palo Alto 通常インターフェースから管理アクセスするための設定【ping,https,ssh,etc.】
  • Palo Alto PPPoE クライアントの設定方法
  • Palo Alto で L2 スイッチングと Vlan インターフェースによるルーティングをさせる設定方法
• ルーティング設定
  • Palo Alto 仮想ルータの基礎知識とスタティックルートの設定方法
  • Palo Alto OSPF の基本設定例
• ポリシー
  • 基礎知識
    • Palo Alto セキュリティポリシーを設定するための基礎知識
  • アドレス・サービス
    • Palo Alto アドレスオブジェクトの概要と設定方法
    • Palo Alto サービスオブジェクトの概要と設定方法
    • Palo Alto サービスとアプリケーションの違いとは
  • セキュリティポリシー
    • Palo Alto セキュリティポリシーの簡単な設定例
    • Palo Alto Ping を許可するセキュリティポリシーの設定方法
    • Palo Alto セキュリティポリシーを無効化/有効化する方法
    • Palo Alto CLI でポリシー設定のサービスを追加・削除する方法
  • NAT
    • Palo Alto 送信元 NAT の設定方法と NAT テストコマンド
    • Palo Alto 宛先 NAT の設定方法と NAT テストコマンド
    • Palo Alto ポートフォワーディング（ポート開放）の設定方法
    • Palo Alto ダイナミック NAPT の設定方法
    • Palo Alto セキュリティポリシー と NAT の適用順序
  • TIPS
    • Palo Alto ポリシーカウンター（ヒットカウント）の確認方法
    • Palo Alto 拒否された通信のトラフィックログを保存する方法
• VPN
  • Palo Alto IPsec VPN の設定例（対向: Cisco ルータ）
• サービス機能
  • Palo Alto DHCP サーバとして使用するための設定方法
  • Palo Alto DNS サーバ（DNS プロキシ）として使用するための設定方法
• TIPS
  • Palo Alto 各種状態確認用 show コマンドまとめ
  • Palo Alto シリアルコンソール接続時にログ表示が見辛い件の解消法
  • Palo Alto コンフィグに「shared content-preview application」が勝手に追加される件
  • Palo Alto ログ転送プロファイルの設定が CLI コンフィグに表示されない事象
  • Palo Alto で Ping/Traceroute を実行する方法と注意点
• 参考資料
  • https://docs.paloaltonetworks.com/
  • https://docs.paloaltonetworks.com/translated/japanese#sort=relevancy&layout=card&numberOfResults=25
  • https://docs.paloaltonetworks.com/search.html#q=pan-os%20admin%20guide&sort=relevancy&layout=card&numberOfResults=25
  • https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-cli-quick-start/cli-command-hierarchy-for-pan-os-101/pan-os-101-configure-cli-command-hierarchy

---

Amazon で買えるおすすめアイテム

以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。

monofive RJ45-USB Cisco互換コンソールケーブル コネクタ保護カバー付き FTDIチップ MF-CBRJ45USB

Amazonで詳しくみる

エレコム CAT6中継コネクタ LD-RJ45JJ6Y2

Amazonで詳しくみる

エレコム CAT6 GigabitやわらかLANケーブル (ブルー)

Amazonで詳しくみる

バッファロー BUFFALO 有線LANアダプター LUA4-U3-AGTE-NBK ブラック Giga USB3.0対応 簡易パッケージ

Amazonで詳しくみる

サンワサプライ(Sanwa Supply) RJ-45プラグSOS ADT-RJ45SOS-10

Amazonで詳しくみる

【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済

Amazonで詳しくみる

ブログ始めるなら 【アフィリエイトリンク】

当サイト利用中レンタルサーバ【エックスサーバ】

安定性に定評があります

詳しくみる

当サイト利用中 WordPress テーマ 【SWELL】

シンプル・高機能・高速です

詳しくみる