GlobalProtect 按源位置的外部网关优先级

GlobalProtect 按源位置的外部网关优先级

50122
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM


Symptom


GlobalProtect 在选择最佳连接网关时,可以考虑连接设备的源区域。 对于此功能, GlobalProtect 需要客户端版本 4.0 或更晚。

  • GlobalProtect 客户端在决定连接到哪个网关之前测试每个网关的网关响应时间。
  • 如果"最接近"的网关(网络往返时间最短的网关)暂时繁忙, GlobalProtect 客户端可能会选择更远的网关进行连接。
  • 这种选择的网关可能会引入不必要的延误和糟糕的表现,对于某些企业应用程序 (例如,声音)。

Environment


  • PAN-OS 8.0
  • GlobalProtect 客户端 4.0

Resolution


解决 方案

  • 在 GlobalProtect 确定连接到的最佳网关时,请考虑连接设备(客户端)的源区域:
    • 筛选列表可用网关,基于客户端的区域。
    • 根据 连接设备区域为每个符合条件的网关分配 优先级,并在客户端上的网关选择过程中使用此优先级。

 

用例包括场景在哪里......

  • IT该团队希望强制来自给定区域的用户仅连接到该区域的专用网关。
  • 该 IT 团队向所有用户推出企业电话应用程序,为了获得最佳通话体验,它希望确保用户连接到区域网关。

 

功能描述

  • PAN-OS Pre-8.0: GlobalProtect 客户端收到一个网关列表,每个网关只有一个 优先级,并根据优先级和响应时间执行最佳网关选择。
  • 现在使用 PAN-OS 8.0: GlobalProtect 客户端接收网关列表,每个网关具有 多个优先级,每个(配置的)区域一个。
  • 同时使用 PAN-OS 8.0: GlobalProtect 客户端确定其连接的区域,并使用此信息来确定每个网关的优先级。 有些网关可能无法符合选择条件。

 

网关的优先事项

 

优先级值优先级名称
0仅限手动
1最高
2
3
4
5最低
6没有

 

 

PAN-OS 7.1 XML 代码

 

gateways {
   external {
      list {
         192.168.2.1 {
            manual no;
            priority 1;
         }
      }
   }
}

 

 

PAN-OS 8.0 XML 代码

 

gateways {
   external {
      list {
         ExtGW {
            ip {
               ipv4 192.168.2.1;
            }
            priority-rule {
               US {
                  priority 1;
               }
               NL {
                  priority 6;
               }
               Any {
                  priority 5;
               }
            }
            manual no;
         }
      }
   }
} 

 

网关选择

  • 在门户预登录期间,门户知道客户端的 IP 地址,并在预登录响应中返回客户端区域
    • PanGPS.log:

 

(T3024) 09/22/16 14:23:40:441 Debug(4694): prelogin to portal result is
<?xml version="1.0" encoding="UTF-8" ?>
<prelogin-response>
<status>Success</status>
<ccusername></ccusername>
<autosubmit>false</autosubmit>
<msg></msg>
<authentication-message>Enter login credentials</authentication-message>
<panos-version>1</panos-version><region>NL</region>
</prelogin-response>

 

  • 客户端缓存此信息 (地区),以防缓存门户配置应该用在将来的某个时间。
  • 在门户 GetConfig,门户网站发送的网关,相应对区域: 优先向客户端列表。
  • 客户端使用区域信息筛选和设置优先级的网关返回从门户网站列表。

 

限制

  • 确定连接设备的区域可能不可靠,如果通过代理服务器连接到门户。
  • 如果执行 firewall NAT 到门户的流量上的源,则区域确定也可能不正确 GlobalProtect 。
  • GlobalProtect 客户端版本4.0或更晚是必需的。

 

兼容性考虑事项

  • 为了向后兼容,门户将发送两个"设置"中的网关配置的参数:
    • 一个完整的优先权规则每个区域 (4.0 的客户端使用)
    • 一个网关 (使用由客户端 3.1 及以下) 每单个优先考虑事项
      • 优先级值是取自第一条规则
  • 如果全局禁用功能,门户不会发送区域信息 (4.0) 的客户端,客户端将回退到 3.1 的行为-忽略优先权规则的约束。

 

GlobalProtect 门户配置 - 代理配置

 

2016-12-02_12-09-55.png
GlobalProtect 门户配置

  1. 对于每个区域,可以分配一个单独的优先事项。
  2. 有是一个特殊的区域,'任何 ' 相匹配不专门配置的任何区域。 如果有没有 ' 任何区域配置,并且在客户端连接从一个区域中的优先权规则未配置,网关将不考虑在客户端上的网关选择过程。
  3. 如果任何的优先事项设置为仅限手动',然后手动复选框自动检查和显示为灰色。

2016-12-02_14-24-52.png
外部网关

 

配置 ( CLI )

默认情况下启用此功能可以全局禁用。

 

禁用和启用相应的功能:

admin@myNGFW> configure
Entering configuration mode
[edit]
admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority no
[edit]
admin@myNGFW# set deviceconfig setting global-protect enable-external-gateway-priority yes

禁用时,门户不会向客户端发送区域信息。

 

对系统日志的更改

如下图所示,系统日志将指示您通过连接时选择哪个源区域 GlobalProtect 。

 

2016-12-02_14-37-29.png
系统日志

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSsCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language