GlobalProtect ソースの場所別の外部ゲートウェイの優先度
50114
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM
Symptom
GlobalProtect 接続する最適なゲートウェイを選択する際に、接続デバイスのソースリージョンを考慮できます。 この機能では、 GlobalProtect クライアント バージョン 4.0 以降が必要です。
- GlobalProtect クライアントは、接続先を決定する前に、ゲートウェイごとにゲートウェイの応答時間をテストします。
- 「最も近い」ゲートウェイ(最短のネットワークラウンドトリップ時間を持つゲートウェイ)が一時的にビジー状態の場合、 GlobalProtect クライアントは接続先のより遠いゲートウェイを選択できます。
- ゲートウェイのこの選択が生じる不要な遅延といくつかの企業のアプリケーション (声など) のパフォーマンスが低下します。
Environment
- PAN-OS 8.0
- GlobalProtect クライアント 4.0
Resolution
ソリューション
- 接続する最適なゲートウェイを決定する際に、接続デバイス ( GlobalProtect クライアント) のソースリージョンを検討してください。
- クライアントの領域に基づいて使用可能なゲートウェイのリストにフィルターを適用します。
- 接続デバイスのリージョンに基づいて、各適格ゲートウェイに優先順位を割り当て、クライアントのゲートウェイ選択プロセスでこの優先度を使用します。
ユース ケースにはシナリオが含まれている.
- ITチームは、特定のリージョンのユーザーに、そのリージョンの専用ゲートウェイにのみ接続するよう強制したいと考えています。
- ITチームは、エンタープライズ電話アプリをすべてのユーザーに展開し、通話エクスペリエンスを最適に利用するために、ユーザーが地域のゲートウェイに接続されるようにしたいと考えています。
機能の説明
- PAN-OS Pre-8.0: GlobalProtect クライアントは 、1 つの優先度を持つゲートウェイのリストを受信し、優先順位と応答時間に基づいて最適なゲートウェイ選択を実行します。
- PAN-OS 8.0 : GlobalProtect クライアントはゲートウェイのリストを受信し、各ゲートウェイは 複数の優先度を持ち、(構成された)リージョンごとに 1 つ。
- また PAN-OS 、8.0: GlobalProtect クライアントは接続元のリージョンを判別し、この情報を使用して各ゲートウェイのどの優先順位を使用するかを決定します。 いくつかのゲートウェイは、選択の対象とできない場合があります。
ゲートウェイの優先順位
| 優先度の値 | 優先順位名 |
| 0 | マニュアルのみ |
| 1 | 最高 |
| 2 | 高 |
| 3 | 媒体 |
| 4 | 低 |
| 5 | 最低 |
| 6 | なし |
PAN-OS 7.1 XML コード
gateways {
external {
list {
192.168.2.1 {
manual no;
priority 1;
}
}
}
}
PAN-OS 8.0 XML コード
gateways {
external {
list {
ExtGW {
ip {
ipv4 192.168.2.1;
}
priority-rule {
US {
priority 1;
}
NL {
priority 6;
}
Any {
priority 5;
}
}
manual no;
}
}
}
}
ゲートウェイ選択
- ポータルの事前ログイン時に、ポータルはクライアントのアドレスを認識 IP し、ログイン前応答でクライアントの領域を返します。
- PanGPS.log:
(T3024) 09/22/16 14:23:40:441 Debug(4694): prelogin to portal result is <?xml version="1.0" encoding="UTF-8" ?> <prelogin-response> <status>Success</status> <ccusername></ccusername> <autosubmit>false</autosubmit> <msg></msg> <authentication-message>Enter login credentials</authentication-message> <panos-version>1</panos-version><region>NL</region> </prelogin-response>
- クライアントは、キャッシュされたポータル設定する必要があります、将来的にいくつかの時間を使用する場合 (地域)、この情報をキャッシュします。
- GetConfig のポータルの中には、ポータルは、対応するペア地域: 優先順位を持つクライアントへのゲートウェイのリストを送信します。
- クライアントでは、地域情報を使用してフィルターし、ポータルから返されたゲートウェイのリストを優先します。
制限
- 接続するデバイスの領域を識別するは、ポータルへの接続にプロキシ経由で行く場合は信頼できないかもしれない。
- firewallポータルへのトラフィックでソースを実行する場合、リージョンの決定が正しくない場合もあります NAT GlobalProtect 。
- GlobalProtect クライアント バージョン 4.0 以降が必要です。
互換性の考慮事項
- 下位互換性のためポータル ゲートウェイ構成内のパラメーターの 2 つの「セット」を送信します。
- 完全な優先順位の 1 つのルール (4.0 クライアントによって使用される) 地域ごと
- (3.1 クライアントによって使用される)、以下ゲートウェイごとの単一の優先順位で 1 つ
- 優先度の値は、最初のルールから取得されます。
- 機能はグローバルに無効になって、ポータルは、(4.0) クライアントに地域情報を送信しません、クライアントはフォールバック 3.1 行動する場合は、優先順位の規則を無視します。
GlobalProtect ポータルの構成 - エージェントの構成
GlobalProtect ポータルの構成
- 地域ごとに異なる優先度を割り当てることができます。
- 構成されていない任意の領域に一致する 'Any' 特別地域があります。 ある場合ない ' 任意の領域を構成、優先順位の規則で構成されていない領域からクライアントが接続すると、ゲートウェイとみなされないクライアントのゲートウェイ選択プロセスに。
- 優先順位のいずれかは、'マニュアルのみ' に設定されている場合、手動のチェック ボックスは自動的にチェックし、グレーします。
外部のゲートウェイ
構成 ( CLI )
既定で有効になっているこの機能は、グローバルに無効にすることができます。
無効にして機能を有効にする:
admin@myNGFW> configure Entering configuration mode [edit] admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority no [edit] admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority yes
無効にすると、ポータルはクライアントにリージョン情報を送信しません。
システム ログへの変更
下のスクリーンショットが示すように、システムログは、を介して接続するときにどのソースリージョンが選択されたかを示します GlobalProtect 。
システム ログ