Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
如何配置 GlobalProtect 客户端以获得相同的 IP 地址 - Knowledge Base - Palo Alto Networks

如何配置 GlobalProtect 客户端以获得相同的 IP 地址

190308
Created On 09/25/18 17:41 PM - Last Modified 03/26/21 16:27 PM


Resolution


概述

本文档描述了如何为 GlobalProtect 。

 

症状

当前,无法为 IP 连接到网关的用户创建地址的预订 GlobalProtect 。

 

解决 方案

请参阅以下解决方法以解决症状:

  1. 使用注册表向客户端提供首选 IP 地址
    • 从 WebGUI,转到网络 GlobalProtect >>网关并编辑相应的网关。
    • 转到代理>客户端设置>并编辑相应的客户端配置。
    • 转到 IP 池选项卡。
    • GlobalProtect将向用户提供地址 IP 池中定义的第一个 IP 地址。
      对于以下情景,使用"10.200.200.101" IP 地址:
      gw_ip_pool.png

      从 CLI :
      使用以下命令来确定用户是否如预期的那样获得了地址:
      > show global-protect-gateway current-user
      
      GlobalProtect Gateway: GP-GW-2 (1 users)
      Tunnel Name          : GP-GW-2-N
      Domain-User Name          : al\emea
      Computer                  : ILIJA_WIN7_DMZ
      Client                    : Microsoft Windows 7 Enterprise Edition Service Pack 1, 32-bit
      Mobile ID                :
      Private IP                : 10.200.200.101
      Public IP                : 10.193.83.98
      ESP                      : exist
      SSL                      : none
      Login Time                : Dec.31 14:57:36
      Logout/Expiration        : Jan.30 14:57:36
      TTL                      : 2591981
      Inactivity TTL            : 10796
      
      
      下次客户需要连接时,会通知网关,他们有一个首选 IP 地址,如果该地址是免费的,他们可以再次使用它。

      如果 IP 池足够大,所以首选 IP 总是可用的,用户理论上应该得到相同的 IP 。 此设置可以通过编辑客户端计算机上的注册表进行配置,如下所示
      :HKEY_LOCAL_MACHINE以下 SOFTWARE \[帕洛阿尔托网络 GlobalProtect ]\PanGPS\首选IP添加所需的 IP :
      屏幕截图 2014-12-31 在 2.50.44 PM .png
      IP 将首选地址修改为高端 IP (在此例中为 10.200.200.150):
      屏幕截图 2014-12-31 在 2.51.19 PM .png
      在这种情况下,池为 50 IP 个地址,预计不会超过 50 个用户同时连接。 最后一个 IP 始终在网关上是免费的,客户端可以使用。

      用户连接并应看到以下情况:
      > show global-protect-gateway current-user
      
      GlobalProtect Gateway: GP-GW-2 (1 users)
      Tunnel Name          : GP-GW-2-N
      Domain-User Name          : al\emea
      Computer                  : ILIJA_WIN7_DMZ
      Client                    : Microsoft Windows 7 Enterprise Edition Service Pack 1, 32-bit
      Mobile ID                :
      Private IP                : 10.200.200.150
      Public IP                : 10.193.83.98
      ESP                      : exist
      SSL                      : none
      Login Time                : Dec.31 15:00:15
      Logout/Expiration        : Jan.30 15:00:15
      TTL                      : 2591981
      Inactivity TTL            : 10798
      
      
  2. 通过定义配置中的源用户,为该特定用户创建额外的网关 GlobalProtect ,将池分配给网关。 用户将从池中获取第一个 IP 地址,因为其他人不会共享该池。
    • 注意: 可以定义的最小池是/30,无法添加带有/32掩码的子网。 对于定义特定用户组 (可能获得不同的配置和网络设置) 的更常见用例, 此功能存在, 因此它不会扩展到为许多单个 IPs 执行此操作, 但对于一个用户, 它应该工作正常。

 

如果在上面的示例中,用户 IP 从池中获取不同的地址,定义 NAT SSLVPN 区域和信任区之间的静态源,以便 VPN 从 IP 信任侧的单个地址查看来自用户的流量

 

注意: 这些解决方法的使用有限,要获得适当的功能,必须提交功能请求。

 

所有者: ialeksov



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIMCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language