GlobalProtect Priorité de passerelle externe par emplacement source
50104
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM
Symptom
GlobalProtect peut tenir compte de la région source de l’appareil de connexion lors de la sélection de la meilleure passerelle vers qui se connecter. Pour cette fonctionnalité, GlobalProtect la version client 4.0 ou plus tard est requise.
- GlobalProtect client teste le temps de réponse de la passerelle pour chaque passerelle avant de décider à qui se connecter.
- Si la passerelle « la plus proche » (passerelle avec le temps aller-retour réseau le plus court) est momentanément occupée, le client peut GlobalProtect choisir une passerelle plus éloignée vers qui se connecter.
- Ce choix de passerelle qui peut-être introduire des retard indésirable et une piètre performance pour certaines applications de l’entreprise (p. ex., voix).
Environment
- PAN-OS 8.0
- GlobalProtect client 4.0
Resolution
solution
- Considérez la région source de l’appareil de connexion GlobalProtect (client) lors de la détermination de la meilleure passerelle pour se connecter à:
- Filtrer la liste des passerelles disponibles basés sur la région du client.
- Attribuez la priorité en fonction de la région de l’appareil de connexion à chaque passerelle éligible et utilisez cette priorité dans le processus de sélection de la passerelle sur le client.
Cas d’utilisation incluent des scénarios où...
- ITL’équipe veut faire respecter les utilisateurs d’une région donnée pour se connecter uniquement à des passerelles dédiées de cette région.
- ITL’équipe déploie une application téléphonique d’entreprise à tous ses utilisateurs, et pour la meilleure expérience d’appel, elle veut s’assurer que les utilisateurs se connecter à des passerelles régionales.
Description des fonctionnalités
- PAN-OS Pré-8.0: le client reçoit une liste de GlobalProtect passerelles, chaque passerelle avec une seule priorité,et effectue la meilleure sélection de passerelle en fonction des priorités et des temps de réponse.
- Maintenant avec PAN-OS 8.0: GlobalProtect le client reçoit une liste de passerelles, chaque passerelle a plusieurs priorités,une par région (configurée).
- Toujours avec PAN-OS 8.0 : le client détermine la région GlobalProtect d’où il se connecte et utilise ces informations pour déterminer la priorité de chaque passerelle à utiliser. Certaines passerelles ne seraient pas admissibles pour la sélection.
Priorités de la passerelle
| Valeur de priorité | Nom prioritaire |
| 0 | Manuel seulement |
| 1 | Plus |
| 2 | Haute |
| 3 | Médium |
| 4 | Faible |
| 5 | Le plus bas |
| 6 | Aucun |
PAN-OS Code 7.1 XML
gateways {
external {
list {
192.168.2.1 {
manual no;
priority 1;
}
}
}
}
PAN-OS Code 8.0 XML
gateways {
external {
list {
ExtGW {
ip {
ipv4 192.168.2.1;
}
priority-rule {
US {
priority 1;
}
NL {
priority 6;
}
Any {
priority 5;
}
}
manual no;
}
}
}
}
Sélection de la passerelle
- Lors de la pré-connexion du portail, le portail connaît l’adresse du client IP et renvoie la région du client dans la réponse de pré-connexion
- PanGPS.log :
(T3024) 09/22/16 14:23:40:441 Debug(4694): prelogin to portal result is <?xml version="1.0" encoding="UTF-8" ?> <prelogin-response> <status>Success</status> <ccusername></ccusername> <autosubmit>false</autosubmit> <msg></msg> <authentication-message>Enter login credentials</authentication-message> <panos-version>1</panos-version><region>NL</region> </prelogin-response>
- Le client met en cache ces informations (région), dans le cas où la configuration portail mis en cache doit être utilisée quelque temps à l’avenir.
- Au cours du chantier GetConfig, le portail envoie la liste des passerelles, avec la région de paires correspondantes : priorité au client.
- Client utilise info région pour filtrer et priorité sur la liste des passerelles retourné à partir du portail.
Limitations
- Identifier désenclaver du périphérique ne peut pas être fiable si la connexion au portail passe par un proxy.
- La détermination de la région peut également être incorrecte firewall si la source effectue sur le trafic vers le NAT GlobalProtect portail.
- GlobalProtect version client 4.0 ou plus tard est nécessaire.
Considérations de compatibilité
- Pour la compatibilité descendante, le portail envoie deux « ensembles » de paramètres dans les configurations de la passerelle :
- avec les règles de priorité complet par région (utilisé par les 4,0 clients)
- avec une seule priorité par passerelle (utilisée par les clients 3.1 et ci-dessous)
- valeur de priorité est issue de la première règle
- Si la fonctionnalité est désactivée dans le monde, le portail n’envoie pas d’informations de la région au client (4.0) et le client recourt à des comportement 3.1 - ignore les règles de priorité.
GlobalProtect Configuration du portail - Agent config
GlobalProtect Configuration portail
- Pour chaque région, vous pouvez assigner une priorité distincte.
- Il y a une région spéciale, « Tout » qui correspond à n’importe quelle région ne sont pas spécifiquement configurée. Si il n’y a pas "n’importe quelle région configurée, et le client se connecte à partir d’une région ne pas configurée dans les règles de priorité, la porte d’entrée n’est pas considéré dans le processus de sélection de passerelle sur le client.
- Si une des priorités est défini sur « Manuel seulement », puis la case manuelle est automatiquement vérifiée et grisée.
Passerelle externe
Configuration ( CLI )
Cette fonctionnalité, activée par défaut, peut être désactivée dans le monde entier.
Désactivation et activation de la fonctionnalité :
admin@myNGFW> configure Entering configuration mode [edit] admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority no [edit] admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority yes
Lorsqu’il est désactivé, le portail n’envoie pas d’informations régionaux aux clients.
Modifications au journal système
Comme l’indique la capture d’écran ci-dessous, le journal du système indiquera quelle région source a été sélectionnée lorsque vous vous connectez via GlobalProtect .
Journal système