GlobalProtect: IP-AdressZuweisung bei mehr als einem IP-Pool

Übersicht

In diesem Dokument wird erklärt, wie eine IP-Adresse einem GlobalProtect-Client zugeordnet wird, wenn zwei oder mehr IP-Adress Pools konfiguriert sind.

Details

Palo Alto Networks Firewall hält einen Zeiger auf den Pool, aus dem die letzte erfolgreiche IP-Adresszuweisung genommen wurde. Der nächste Client erhält die nächste verfügbare IP aus dem Pool des Zeigers.

Zum Beispiel:

GlobalProtect Pools:

192.168.10.0/24 > Pool-1

172.16.10.0/24 > Pool-2

* Pointer > Pool-1

1. Der erste GlobalProtect-Client kommt herein und fordert eine IP-
2. Die Palo Alto Networks Firewall prüft Ihren Zeiger und liest, dass Sie Ihr eine IP von Pool-1 (192.168.10.0/24) anbieten muss.
3. Client ACKs die IP und installiert Sie in Ihrem GlobalPointer virtuellen Adapter
4. EIN neuer GlobalProtect-Client kommt herein (bei Ihrem lokalen LAN haben Sie die folgende IP auf NIC-192.168.10.100 zugeordnet)
5. Der Kunde authentifiziert erfolgreich und fordert eine IP-
6. Die Firewall prüft Ihren Speicher Zeiger, und Sie zeigt auf Pool-1. Es greift die nächste verfügbare IP von Pool-1 und bietet es dem Client
7. Der GlobalProtect-Client liest die IP, aber er überlappt sich mit der Adresse auf seinem physischen NIC, so dass er die IP-Adresse ablehnt.
8. Die Firewall empfängt den Abstieg und verschiebt ihren Speicher Zeiger auf Pool-2. Die Firewall bietet dem Kunden eine neue IP von Pool-2
9. EIN Dritter Kunde kommt herein. Seine physische IP ist 192.168.1.15
10. Die Firewall prüft Ihren Zeiger, der auf Pool-2 zeigt
11. Die Firewall erhält die nächste verfügbare IP auf Pool-2 und bietet Sie dem Client
12. Dieser dritte Client erhält die IP, prüft Sie, Sie überlappt sich nicht, der Client installiert Sie auf Ihrem virtuellen Adapter und ACKs die IP an die Firewall

Siehe auch

Wie kann die IP-überlappt mit GlobalProtect verhindert werden

Besitzer: Parmas