如何配置 GlobalProtect 客户端以获得相同的 IP 地址
168454
Created On 09/25/18 17:41 PM - Last Modified 03/26/21 16:27 PM
Resolution
概述
本文档描述了如何为 GlobalProtect 。
症状
当前,无法为 IP 连接到网关的用户创建地址的预订 GlobalProtect 。
解决 方案
请参阅以下解决方法以解决症状:
- 使用注册表向客户端提供首选 IP 地址
- 从 WebGUI,转到网络 GlobalProtect >>网关并编辑相应的网关。
- 转到代理>客户端设置>并编辑相应的客户端配置。
- 转到 IP 池选项卡。
- GlobalProtect将向用户提供地址 IP 池中定义的第一个 IP 地址。
对于以下情景,使用"10.200.200.101" IP 地址:
从 CLI :
使用以下命令来确定用户是否如预期的那样获得了地址:> show global-protect-gateway current-user GlobalProtect Gateway: GP-GW-2 (1 users) Tunnel Name : GP-GW-2-N Domain-User Name : al\emea Computer : ILIJA_WIN7_DMZ Client : Microsoft Windows 7 Enterprise Edition Service Pack 1, 32-bit Mobile ID : Private IP : 10.200.200.101 Public IP : 10.193.83.98 ESP : exist SSL : none Login Time : Dec.31 14:57:36 Logout/Expiration : Jan.30 14:57:36 TTL : 2591981 Inactivity TTL : 10796
下次客户需要连接时,会通知网关,他们有一个首选 IP 地址,如果该地址是免费的,他们可以再次使用它。
如果 IP 池足够大,所以首选 IP 总是可用的,用户理论上应该得到相同的 IP 。 此设置可以通过编辑客户端计算机上的注册表进行配置,如下所示
:HKEY_LOCAL_MACHINE以下 SOFTWARE \[帕洛阿尔托网络 GlobalProtect ]\PanGPS\首选IP添加所需的 IP :
IP 将首选地址修改为高端 IP (在此例中为 10.200.200.150):
在这种情况下,池为 50 IP 个地址,预计不会超过 50 个用户同时连接。 最后一个 IP 始终在网关上是免费的,客户端可以使用。
用户连接并应看到以下情况:> show global-protect-gateway current-user GlobalProtect Gateway: GP-GW-2 (1 users) Tunnel Name : GP-GW-2-N Domain-User Name : al\emea Computer : ILIJA_WIN7_DMZ Client : Microsoft Windows 7 Enterprise Edition Service Pack 1, 32-bit Mobile ID : Private IP : 10.200.200.150 Public IP : 10.193.83.98 ESP : exist SSL : none Login Time : Dec.31 15:00:15 Logout/Expiration : Jan.30 15:00:15 TTL : 2591981 Inactivity TTL : 10798
- 通过定义配置中的源用户,为该特定用户创建额外的网关 GlobalProtect ,将池分配给网关。 用户将从池中获取第一个 IP 地址,因为其他人不会共享该池。
- 注意: 可以定义的最小池是/30,无法添加带有/32掩码的子网。 对于定义特定用户组 (可能获得不同的配置和网络设置) 的更常见用例, 此功能存在, 因此它不会扩展到为许多单个 IPs 执行此操作, 但对于一个用户, 它应该工作正常。
如果在上面的示例中,用户 IP 从池中获取不同的地址,定义 NAT SSLVPN 区域和信任区之间的静态源,以便 VPN 从 IP 信任侧的单个地址查看来自用户的流量
注意: 这些解决方法的使用有限,要获得适当的功能,必须提交功能请求。
所有者: ialeksov