GlobalProtect Prioridad de puerta de enlace externa por ubicación de origen
50112
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM
Symptom
GlobalProtect puede tener en cuenta la región de origen del dispositivo de conexión al seleccionar la mejor puerta de enlace a la que conectarse. Para esta característica, GlobalProtect se requiere la versión de cliente 4.0 o posterior.
- GlobalProtect cliente prueba el tiempo de respuesta de la puerta de enlace para cada puerta de enlace antes de decidir a cuál conectarse.
- Si la puerta de enlace "más cercana" (puerta de enlace con el tiempo de ida y vuelta de red más corto) está momentáneamente ocupada, el cliente puede elegir una puerta de enlace más distante a la GlobalProtect que conectarse.
- Esta opción de puerta de enlace puede introducir retrasos no deseados y bajo rendimiento de algunas aplicaciones corporativas (por ejemplo, voz).
Environment
- PAN-OS 8.0
- GlobalProtect cliente 4.0
Resolution
Solución
- Considere la región de origen del dispositivo de conexión GlobalProtect (cliente) al determinar la mejor puerta de enlace a la que conectarse:
- Filtrar la lista de disponibles gateways basados en región del cliente.
- Asigne prioridad basada en la región del dispositivo de conexión a cada puerta de enlace elegible y utilice esta prioridad en el proceso de selección de puerta de enlace en el cliente.
Casos de uso incluyen escenarios donde...
- El IT equipo desea hacer cumplir a los usuarios de una región determinada para que se conecten solo a puertas de enlace dedicadas de esa región.
- El IT equipo implementa una aplicación de teléfono empresarial a todos sus usuarios, y para la mejor experiencia de llamada, quiere asegurarse de que los usuarios se conecten a las puertas de enlace regionales.
Característica Descripción
- Anterior a PAN-OS 8.0: GlobalProtect el cliente recibe una lista de puertas de enlace, cada puerta de enlace con una sola prioridady realiza la mejor selección de puerta de enlace en función de las prioridades y los tiempos de respuesta.
- Ahora con PAN-OS 8.0: GlobalProtect el cliente recibe una lista de puertas de enlace, cada puerta de enlace tiene varias prioridades,una por región (configurada).
- También con PAN-OS 8.0: GlobalProtect el cliente determina la región desde la que se conecta y utiliza esta información para determinar qué prioridad de cada puerta de enlace utilizar. Algunos gateways no pueden ser elegibles para la selección.
Prioridades de Gateway
| Valor de prioridad | Nombre de prioridad |
| 0 | Manual sólo |
| 1 | Mayor |
| 2 | Alta |
| 3 | Medio |
| 4 | Baja |
| 5 | Más bajo |
| 6 | Ninguno |
PAN-OS Código 7.1 XML
gateways {
external {
list {
192.168.2.1 {
manual no;
priority 1;
}
}
}
}
PAN-OS Código 8.0 XML
gateways {
external {
list {
ExtGW {
ip {
ipv4 192.168.2.1;
}
priority-rule {
US {
priority 1;
}
NL {
priority 6;
}
Any {
priority 5;
}
}
manual no;
}
}
}
}
Selección de entrada
- Durante el inicio de sesión previo al portal, el portal conoce la dirección del cliente IP y devuelve la región del cliente en la respuesta previa al inicio de sesión
- PanGPS.log:
(T3024) 09/22/16 14:23:40:441 Debug(4694): prelogin to portal result is <?xml version="1.0" encoding="UTF-8" ?> <prelogin-response> <status>Success</status> <ccusername></ccusername> <autosubmit>false</autosubmit> <msg></msg> <authentication-message>Enter login credentials</authentication-message> <panos-version>1</panos-version><region>NL</region> </prelogin-response>
- El cliente almacena en caché esta información (región), en el caso de la configuración almacenada en caché del portal debe utilizarse en el futuro.
- En portal GetConfig, el portal envía la lista de puertas de entrada, con la correspondientes pares región: prioridad al cliente.
- Cliente utiliza información de la región para filtrar y priorizar la lista de entradas devuelto desde el portal.
Limitaciones
- Identificar la región del dispositivo de conexión puede no ser confiable si la conexión al portal va a través de un proxy.
- La determinación de región también puede ser incorrecta si el firewall origen realiza el tráfico al NAT GlobalProtect portal.
- GlobalProtect se requiere la versión de cliente 4.0 o posterior.
Consideraciones de compatibilidad
- Para compatibilidad con versiones anteriores, el portal envía dos "conjuntos" de parámetros en las configuraciones de gateway:
- con las reglas de prioridad total por región (utilizado por clientes de 4,0)
- uno con una sola prioridad por gateway (usado por los clientes 3.1 y siguiente)
- se toma el valor de prioridad de la primera regla
- Si la función está desactivada a nivel global, el portal no envía información de la región para el cliente (4.0) y el cliente cae de nuevo a comportamiento 3.1 - ignora las reglas de prioridad.
GlobalProtect Configuración del portal - Configuración del agente
GlobalProtect Configuración de portal
- Para cada región, se puede asignar una prioridad independiente.
- Hay una región especial, 'Cualquiera' que coincide con cualquier región no específicamente configurado. Si no hay ningún ' configurado de cualquier región, y el cliente se conecta desde una región no configurada en las normas de prioridad, la puerta de entrada no serán considerado en el proceso de selección de entrada en el cliente.
- Si alguna de las prioridades se establece «manual solamente, entonces la casilla de verificación Manual es automáticamente marcada y en gris.
Puerta de enlace externo
Configuración ( CLI )
Esta característica, habilitada de forma predeterminada, se puede deshabilitar globalmente.
Activar y desactivar la función de:
admin@myNGFW> configure Entering configuration mode [edit] admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority no [edit] admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority yes
Cuando está deshabilitado, el portal no envía información de región a los clientes.
Cambios al registro del sistema
Como indica la siguiente captura de pantalla, el registro del sistema indicará qué región de origen se seleccionó al conectarse a través de GlobalProtect .
registro del sistema