GlobalProtect: 拥有多个 ip 池时的 ip 地址分配

概述

此文档解释当配置了两个或多个 ip 地址池时, 如何将 IP 地址分配给 GlobalProtect 客户端。

详细

帕洛阿尔托网络防火墙保留指向上次成功 IP 地址分配所用池的指针。下一个客户端将从指针的池中获取下一个可用 IP。

例如：

GlobalProtect 池:

192.168.10.0/24 > pool-1

172.16.10.0/24 > pool-2

* 指针 > pool-1

1. 第一个 GlobalProtect 客户端进入并请求 IP
2. 帕洛阿尔托网络防火墙检查其指针, 并读取它必须提供一个 IP 从 pool-1 (192.168.10.0/24)
3. 客户端 ACKs IP 并将其安装在其 GlobalPointer 虚拟适配器中
4. 一个新的 GlobalProtect 客户端进来 (在他们的局域网他们有以下 IP 分配在 NIC-192.168.10.100)
5. 客户端成功验证并请求 IP
6. 防火墙检查其内存指针, 并指向 pool-1。它抓住下一个可用的 IP 从 pool-1, 并提供给客户
7. GlobalProtect 客户端读取 ip, 但它与物理 NIC 上的地址重叠, 因此它会拒绝 ip 地址
8. 防火墙接收到下降并将其内存指针移动到 pool-2。防火墙为客户端提供来自 pool-2 的新 IP
9. 第三个客户进来了。它的物理 IP 是192.168.1.15
10. 防火墙检查指向 pool-2 的指针。
11. 防火墙获取 pool-2 上的下一个可用 IP, 并将其提供给客户端
12. 第三个客户端接收 ip, 检查它, 它不重叠, 客户端将其安装在其虚拟适配器上, 并将 ip ACKs 到防火墙。

请参见

如何可以 IP 重叠预防与 GlobalProtect

所有者： parmas