GlobalProtect 按源位置的外部网关优先级
50122
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM
Symptom
GlobalProtect 在选择最佳连接网关时,可以考虑连接设备的源区域。 对于此功能, GlobalProtect 需要客户端版本 4.0 或更晚。
- GlobalProtect 客户端在决定连接到哪个网关之前测试每个网关的网关响应时间。
- 如果"最接近"的网关(网络往返时间最短的网关)暂时繁忙, GlobalProtect 客户端可能会选择更远的网关进行连接。
- 这种选择的网关可能会引入不必要的延误和糟糕的表现,对于某些企业应用程序 (例如,声音)。
Environment
- PAN-OS 8.0
- GlobalProtect 客户端 4.0
Resolution
- 在 GlobalProtect 确定连接到的最佳网关时,请考虑连接设备(客户端)的源区域:
- 筛选列表可用网关,基于客户端的区域。
- 根据 连接设备区域为每个符合条件的网关分配 优先级,并在客户端上的网关选择过程中使用此优先级。
用例包括场景在哪里......
- IT该团队希望强制来自给定区域的用户仅连接到该区域的专用网关。
- 该 IT 团队向所有用户推出企业电话应用程序,为了获得最佳通话体验,它希望确保用户连接到区域网关。
功能描述
- PAN-OS Pre-8.0: GlobalProtect 客户端收到一个网关列表,每个网关只有一个 优先级,并根据优先级和响应时间执行最佳网关选择。
- 现在使用 PAN-OS 8.0: GlobalProtect 客户端接收网关列表,每个网关具有 多个优先级,每个(配置的)区域一个。
- 同时使用 PAN-OS 8.0: GlobalProtect 客户端确定其连接的区域,并使用此信息来确定每个网关的优先级。 有些网关可能无法符合选择条件。
网关的优先事项
优先级值 | 优先级名称 |
0 | 仅限手动 |
1 | 最高 |
2 | 高 |
3 | 中 |
4 | 低 |
5 | 最低 |
6 | 没有 |
PAN-OS 7.1 XML 代码
gateways {
external {
list {
192.168.2.1 {
manual no;
priority 1;
}
}
}
}
PAN-OS 8.0 XML 代码
gateways {
external {
list {
ExtGW {
ip {
ipv4 192.168.2.1;
}
priority-rule {
US {
priority 1;
}
NL {
priority 6;
}
Any {
priority 5;
}
}
manual no;
}
}
}
}
网关选择
- 在门户预登录期间,门户知道客户端的 IP 地址,并在预登录响应中返回客户端区域
(T3024) 09/22/16 14:23:40:441 Debug(4694): prelogin to portal result is
<?xml version="1.0" encoding="UTF-8" ?>
<prelogin-response>
<status>Success</status>
<ccusername></ccusername>
<autosubmit>false</autosubmit>
<msg></msg>
<authentication-message>Enter login credentials</authentication-message>
<panos-version>1</panos-version><region>NL</region>
</prelogin-response>
- 客户端缓存此信息 (地区),以防缓存门户配置应该用在将来的某个时间。
- 在门户 GetConfig,门户网站发送的网关,相应对区域: 优先向客户端列表。
- 客户端使用区域信息筛选和设置优先级的网关返回从门户网站列表。
限制
- 确定连接设备的区域可能不可靠,如果通过代理服务器连接到门户。
- 如果执行 firewall NAT 到门户的流量上的源,则区域确定也可能不正确 GlobalProtect 。
- GlobalProtect 客户端版本4.0或更晚是必需的。
兼容性考虑事项
- 为了向后兼容,门户将发送两个"设置"中的网关配置的参数:
- 一个完整的优先权规则每个区域 (4.0 的客户端使用)
- 一个网关 (使用由客户端 3.1 及以下) 每单个优先考虑事项
- 如果全局禁用功能,门户不会发送区域信息 (4.0) 的客户端,客户端将回退到 3.1 的行为-忽略优先权规则的约束。
GlobalProtect 门户配置 - 代理配置
GlobalProtect 门户配置
- 对于每个区域,可以分配一个单独的优先事项。
- 有是一个特殊的区域,'任何 ' 相匹配不专门配置的任何区域。 如果有没有 ' 任何区域配置,并且在客户端连接从一个区域中的优先权规则未配置,网关将不考虑在客户端上的网关选择过程。
- 如果任何的优先事项设置为仅限手动',然后手动复选框自动检查和显示为灰色。
外部网关
配置 ( CLI )
默认情况下启用此功能可以全局禁用。
禁用和启用相应的功能:
admin@myNGFW> configure
Entering configuration mode
[edit]
admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority no
[edit]
admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority yes
禁用时,门户不会向客户端发送区域信息。
对系统日志的更改
如下图所示,系统日志将指示您通过连接时选择哪个源区域 GlobalProtect 。
系统日志