GlobalProtect Externe Gatewaypriorität nach Quellstandort
50124
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM
Symptom
GlobalProtect kann den Quellbereich des Verbindungsgeräts berücksichtigen, wenn Sie das beste Gateway auswählen, mit dem eine Verbindung hergestellt werden soll. Für diese Funktion GlobalProtect ist die Clientversion 4.0 oder höher erforderlich.
- GlobalProtect Client testet gateway response time für jedes Gateway, bevor er entscheidet, mit welchem Gateway eine Verbindung hergestellt werden soll.
- Wenn das "nächste" Gateway (Gateway mit der kürzesten Netzwerk-Rundreisezeit) kurzzeitig ausgelastet ist, kann der Client ein weiter entferntes Gateway auswählen, mit dem eine Verbindung hergestellt werden GlobalProtect soll.
- Diese Wahl des Gateways kann unerwünschte Verzögerung und schlechte Leistung für einige Anwendungen (z.B. Stimme) führen.
Environment
- PAN-OS 8.0
- GlobalProtect Client 4.0
Resolution
lösung
- Berücksichtigen Sie den Quellbereich des Verbindenden Geräts GlobalProtect (Client), wenn Sie das beste Gateway bestimmen, mit dem eine Verbindung hergestellt werden soll:
- Filtern Sie die Liste der verfügbaren Gateways basierend auf der Client-Bereich.
- Weisen Sie jedem berechtigten Gateway eine Priorität basierend auf der Region des verbindungsbereiten Geräts zu, und verwenden Sie diese Priorität im Gatewayauswahlprozess auf dem Client.
Anwendungsfälle sind z.B. Szenarien wo...
- Das IT Team möchte Benutzer aus einer bestimmten Region erzwingen, dass nur eine Verbindung zu dedizierten Gateways aus dieser Region hergestellt wird.
- Das IT Team führt eine Unternehmenstelefon-App für alle Benutzer ein, und für die beste Anruferfahrung möchte es sicherstellen, dass Benutzer mit regionalen Gateways verbunden werden.
Funktion Beschreibung
- Vor- PAN-OS 8.0: GlobalProtect Client erhält eine Liste von Gateways, jedes Gateway mit einer einzigen Priorität,und führt die beste Gateway-Auswahl basierend auf Prioritäten und Antwortzeiten.
- Jetzt mit PAN-OS 8.0: GlobalProtect Client erhält eine Liste von Gateways, jedes Gateway hat mehrere Prioritäten,eine pro (konfiguriert) Region.
- Auch mit PAN-OS 8.0: GlobalProtect Client bestimmt die Region, aus der er eine Verbindung herstellt, und verwendet diese Informationen, um zu bestimmen, welche Priorität jedes Gateways verwendet werden soll. Einige Gateways möglicherweise nicht zur Auswahl.
Gateway-Prioritäten
| Priority-Wert | Prioritätsname |
| 0 | Nur manuell |
| 1 | Höchsten |
| 2 | Hohe |
| 3 | Medium |
| 4 | Niedrigen |
| 5 | Niedrigste |
| 6 | nichts |
PAN-OS 7.1 XML Code
gateways {
external {
list {
192.168.2.1 {
manual no;
priority 1;
}
}
}
}
PAN-OS XML8.0-Code
gateways {
external {
list {
ExtGW {
ip {
ipv4 192.168.2.1;
}
priority-rule {
US {
priority 1;
}
NL {
priority 6;
}
Any {
priority 5;
}
}
manual no;
}
}
}
}
Gateway-Auswahl
- Während der Portal-Voranmeldung kennt das Portal die Adresse des Clients IP und gibt die Region des Clients in der Pre-Login-Antwort zurück.
- PanGPS.log:
(T3024) 09/22/16 14:23:40:441 Debug(4694): prelogin to portal result is <?xml version="1.0" encoding="UTF-8" ?> <prelogin-response> <status>Success</status> <ccusername></ccusername> <autosubmit>false</autosubmit> <msg></msg> <authentication-message>Enter login credentials</authentication-message> <panos-version>1</panos-version><region>NL</region> </prelogin-response>
- Der Client speichert diese Informationen (Region), für den Fall, dass die zwischengespeicherten Portal Config irgendwann in der Zukunft verwendet werden soll.
- Im Portal GetConfig sendet das Portal die Liste der Gateways, mit der entsprechenden Paare Region: Priorität an den Client.
- Client verwendet Region Info zu filtern und die Liste der Gateways aus dem Portal zurück zu priorisieren.
Einschränkungen
- Anschließen des Geräts Region identifizieren möglicherweise nicht zuverlässig, wenn Verbindung zum Portal über einen Proxy geht.
- Die Regionsbestimmung kann auch falsch sein, wenn die firewall Quelle für den Datenverkehr zum Portal ausführt. NAT GlobalProtect
- GlobalProtect ClientVersion 4.0 oder höher erforderlich ist.
Kompatibilität-Überlegungen
- Aus Gründen der Abwärtskompatibilität sendet das Portal zwei "setzt" Parameter in der Gateway-Konfiguration:
- mit kompletten Prioritätsregeln pro Region (von 4,0 Clients verwendet)
- mit einem einzigen Priorität pro Gateway (von Kunden 3.1 verwendet werden und unten)
- die erste Regel ist Prioritätswert entnommen.
- Wenn die Funktion Global deaktiviert, das Portal keine Regionsinformationen an den Client (4.0 sendet), und der Client zurück auf 3.1 Verhalten fällt - ignoriert die Prioritätsregeln.
GlobalProtect Portalkonfiguration - Agent-Konfiguration
GlobalProtect Portal-Konfiguration
- Für jede Region kann eine separate Priorität zugewiesen werden.
- Es gibt eine spezielle Region, 'Any', die eine Region, die nicht speziell konfiguriert entspricht. Wenn es gibt keine "jeder Region konfiguriert, und der Client eine Verbindung herstellt, aus einer Region, die nicht in die Prioritätsregeln konfiguriert, das Tor gilt nicht in der Gateway-Auswahlverfahren auf dem Client.
- Wenn die Prioritäten auf "Nur manuell" festgelegt werden, wird dann das Kontrollkästchen "manuelle" automatisch überprüft und ausgegraut.
Externen Gateway
Konfiguration ( CLI )
Diese Funktion, die standardmäßig aktiviert ist, kann global deaktiviert werden.
Deaktivieren und aktivieren der Funktion:
admin@myNGFW> configure Entering configuration mode [edit] admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority no [edit] admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority yes
Wenn diese Option deaktiviert ist, sendet das Portal keine Regionsinformationen an die Clients.
Änderungen an System-log
Wie der Screenshot unten zeigt, zeigt das Systemprotokoll an, welcher Quellbereich beim Herstellen einer Verbindung über ausgewählt GlobalProtect wurde.
System-log