- Considérez la région source de l’appareil de connexion GlobalProtect (client) lors de la détermination de la meilleure passerelle pour se connecter à:
- Filtrer la liste des passerelles disponibles basés sur la région du client.
- Attribuez la priorité en fonction de la région de l’appareil de connexion à chaque passerelle éligible et utilisez cette priorité dans le processus de sélection de la passerelle sur le client.
Cas d’utilisation incluent des scénarios où...
- ITL’équipe veut faire respecter les utilisateurs d’une région donnée pour se connecter uniquement à des passerelles dédiées de cette région.
- ITL’équipe déploie une application téléphonique d’entreprise à tous ses utilisateurs, et pour la meilleure expérience d’appel, elle veut s’assurer que les utilisateurs se connecter à des passerelles régionales.
Description des fonctionnalités
- PAN-OS Pré-8.0: le client reçoit une liste de GlobalProtect passerelles, chaque passerelle avec une seule priorité,et effectue la meilleure sélection de passerelle en fonction des priorités et des temps de réponse.
- Maintenant avec PAN-OS 8.0: GlobalProtect le client reçoit une liste de passerelles, chaque passerelle a plusieurs priorités,une par région (configurée).
- Toujours avec PAN-OS 8.0 : le client détermine la région GlobalProtect d’où il se connecte et utilise ces informations pour déterminer la priorité de chaque passerelle à utiliser. Certaines passerelles ne seraient pas admissibles pour la sélection.
Priorités de la passerelle
Valeur de priorité | Nom prioritaire |
0 | Manuel seulement |
1 | Plus |
2 | Haute |
3 | Médium |
4 | Faible |
5 | Le plus bas |
6 | Aucun |
PAN-OS Code 7.1 XML
gateways {
external {
list {
192.168.2.1 {
manual no;
priority 1;
}
}
}
}
PAN-OS Code 8.0 XML
gateways {
external {
list {
ExtGW {
ip {
ipv4 192.168.2.1;
}
priority-rule {
US {
priority 1;
}
NL {
priority 6;
}
Any {
priority 5;
}
}
manual no;
}
}
}
}
Sélection de la passerelle
- Lors de la pré-connexion du portail, le portail connaît l’adresse du client IP et renvoie la région du client dans la réponse de pré-connexion
(T3024) 09/22/16 14:23:40:441 Debug(4694): prelogin to portal result is
<?xml version="1.0" encoding="UTF-8" ?>
<prelogin-response>
<status>Success</status>
<ccusername></ccusername>
<autosubmit>false</autosubmit>
<msg></msg>
<authentication-message>Enter login credentials</authentication-message>
<panos-version>1</panos-version><region>NL</region>
</prelogin-response>
- Le client met en cache ces informations (région), dans le cas où la configuration portail mis en cache doit être utilisée quelque temps à l’avenir.
- Au cours du chantier GetConfig, le portail envoie la liste des passerelles, avec la région de paires correspondantes : priorité au client.
- Client utilise info région pour filtrer et priorité sur la liste des passerelles retourné à partir du portail.
Limitations
- Identifier désenclaver du périphérique ne peut pas être fiable si la connexion au portail passe par un proxy.
- La détermination de la région peut également être incorrecte firewall si la source effectue sur le trafic vers le NAT GlobalProtect portail.
- GlobalProtect version client 4.0 ou plus tard est nécessaire.
Considérations de compatibilité
- Pour la compatibilité descendante, le portail envoie deux « ensembles » de paramètres dans les configurations de la passerelle :
- avec les règles de priorité complet par région (utilisé par les 4,0 clients)
- avec une seule priorité par passerelle (utilisée par les clients 3.1 et ci-dessous)
- valeur de priorité est issue de la première règle
- Si la fonctionnalité est désactivée dans le monde, le portail n’envoie pas d’informations de la région au client (4.0) et le client recourt à des comportement 3.1 - ignore les règles de priorité.
GlobalProtect Configuration du portail - Agent config
GlobalProtect Configuration portail
- Pour chaque région, vous pouvez assigner une priorité distincte.
- Il y a une région spéciale, « Tout » qui correspond à n’importe quelle région ne sont pas spécifiquement configurée. Si il n’y a pas "n’importe quelle région configurée, et le client se connecte à partir d’une région ne pas configurée dans les règles de priorité, la porte d’entrée n’est pas considéré dans le processus de sélection de passerelle sur le client.
- Si une des priorités est défini sur « Manuel seulement », puis la case manuelle est automatiquement vérifiée et grisée.
Passerelle externe
Configuration ( CLI )
Cette fonctionnalité, activée par défaut, peut être désactivée dans le monde entier.
Désactivation et activation de la fonctionnalité :
admin@myNGFW> configure
Entering configuration mode
[edit]
admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority no
[edit]
admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority yes
Lorsqu’il est désactivé, le portail n’envoie pas d’informations régionaux aux clients.
Modifications au journal système
Comme l’indique la capture d’écran ci-dessous, le journal du système indiquera quelle région source a été sélectionnée lorsque vous vous connectez via GlobalProtect .
Journal système