GlobalProtect 用户显示为来自用户 ID 代理 IP 用户映射中

方案

帕洛阿尔托网络防火墙 (PA-1) 配置为 GlobalProtect 网关和用户 ID 重新分发设备。

另一台帕洛阿尔托网络防火墙 (PA-2) 配置为从 PA-1 检索 IP 映射信息。

症状

当用户 (testuser) 连接到 GlobalProtect 网关时, PA-1 上 IP 用户映射中的 "从" 值显示 GP。然而, 在 PA-2, 从 PA-2 的价值显示了律师协会。

admin@PA-1> 显示用户 ip-用户映射所有
ip Vsys 从用户 IdleTimeout MaxTimeout (s)
--------------------------------------------------------------
1.1.1.1 vsys1 GP testuser 8410 8410

admin@PA-2> 显示用户ip-用户映射所有
ip Vsys 从用户 IdleTimeout MaxTimeout (s)
--------------------------------------------------------------
1.1.1.1 vsys1 律师 testuser 2926 2926

原因

当帕洛阿尔托网络防火墙充当重新分发设备 (收集器) 时, 它充当其他帕洛阿尔托网络防火墙的用户 ID 代理。因此, 只有 PA-1 将用户视为 GlobalProtect (GP) 用户。从 PA-1 中检索 IP 用户映射的所有防火墙都将将所有用户视为用户 ID 代理 () 用户, 包括那些从 GlobalProtect 连接到 PA-1 的人。

所有者： sberti