Welche IP wird für User-IP-Mapping verwendet, wenn internes GlobalProtect konfiguriert ist und mehrere NIC-Karten aktiviert sind?

Wenn der interne GlobalProtect konfiguriert ist, wird kein Tunnel angelegt. Durch das Design meldet GlobalProtect nur eine Client-IP, wenn er Hip Report an ein nicht-Tunnel-Gateway sendet. Das bedeutet, dass die Benutzer Abbildung nur eine IP-Karte abbilden wird, wenn mehrere NICs gleichzeitig aktiviert sind, und das wird die IP sein, durch die der Verkehr das Gateway erreicht. Der GlobalProtect-Client wird sich die verfügbaren Routen-metrischen Werte ansehen und immer die Route mit der niedrigsten Metrik wählen, um GlobalProtect-Client-Events an das GlobalProtect-Gateway zu senden.

Zum Beispiel hat ein PC-Client zwei NIC-Karten:

• Physischer NIC mit IP-192.168.0.21
• WiFi mit IP 192.168.0.19

Im folgenden Beispiel ist der Nutzer über WiFi (IP = 192.168.0.19) mit dem internen Global Protect verbunden:

Die Standard-Route in der PC-Routentabelle ist wie folgt:

C:\Users\test > Route Print

IPv4-Strecken Tabelle

===========================================================================

Aktive Routen:

Netzziel Netmaske Gateway Interface Metric

          0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25

Die GlobalProtect-Nutzer, die auf der Firewall auflisten, zeigen, dass der Benutzer mit 192.168.0.19 verbunden ist und das User-IP-Mapping für den User "Test" auch zeigt 192.168.0.19:

> zeigen die aktuellen globalen schützen Gateway Benutzer

GlobalProtect Gateway: GP_ext (0 Benutzer)

Tunnel Name: GP_ext-N

GlobalProtect Gateway: GP_gateway (1 Benutzer)

Tunnel Name: GP_gateway

        Domäne-Benutzername:: Testen

        Computer: EVERYDAYLAPTOP

        Client:

        Private IP: 0.0.0.0

        Public IP: 192.168.0.19

        ESP: keine

        SSL: keine

        AnmeldeZeit: 17. September 21:28:41

        Logout/Ablauf: 17. Oktober 21:28:41

        TTL: 2591896

Inaktivität TTL: 10696

> SHOW User IP-User-Mapping All

IP Vsys von User IdleTimeout (s) MaxTimeout (s)

-------------   ------  -------  -------------------------  --------------  -------------

192.168.0.19 vsys1 GP Test 10692 10692

Gesamt: 1 Benutzer

Die folgende Meldung wird in sslvpn-Access. Log zu sehen sein.

> Schwanz folgen ja Webserver-Log sslvpn-Access. log

192.168.0.19--[Di Sep 17 21:37:56 2013 PDT] "POST/SSL-VPN/Login.ESP HTTP/1.1" 200 2036

192.168.0.19--[Di Sep 17 21:37:56 2013 PDT] "POST/SSL-VPN/hipreportcheck.ESP HTTP/1.1" 200 552

192.168.0.19--[Di Sep 17 21:37:56 2013 PDT] "POST/SSL-VPN/hipreport.ESP HTTP/1.1" 200 519

Wenn sich der Benutzer jedoch durch den zweiten NIC mit einem physischen Kabel verbindet, wird die folgende Meldung auf dem sslvpn-Access. log gesehen.

> Schwanz folgen ja Webserver-Log sslvpn-Access. log

192.168.0.21--[Di Sep 17 21:36:40 2013 PDT] "POST/SSL-VPN/Logout.ESP? HTTP/1.1 "200 603

192.168.0.21--[Di Sep 17 21:36:40 2013 PDT] "POST/SSL-VPN/prelogin.ESP HTTP/1.1" 200 642

192.168.0.21--[Di Sep 17 21:36:40 2013 PDT] "POST/SSL-VPN/Login.ESP HTTP/1.1" 200 2036

192.168.0.21--[Di Sep 17 21:36:41 2013 PDT] "POST/SSL-VPN/hipreportcheck.ESP HTTP/1.1" 200 551

Die obige Ausgabe zeigt eine Logout-Veranstaltung, gefolgt von einem Login-Event, das von 192.168.0.21 gesendet wird. Das liegt daran, dass die untere Metrik in der PC-Routentabelle jetzt 192.168.0.21 ist:

C:\Users\test > Route Print

IPv4-Strecken Tabelle

===========================================================================

Aktive Routen:

Netzziel Netmaske Gateway Interface Metric

          0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25

          0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10

Sofort zeigt die GlobalProtect-Kartierung aktueller Nutzer auf der Firewall die IP des Nutzers als 192.168.0.21 an:

> zeigen die aktuellen globalen schützen Gateway Benutzer

GlobalProtect Gateway: GP_ext (0 Benutzer)

Tunnel Name: GP_ext-N

GlobalProtect Gateway: GP_gateway (1 Benutzer)

Tunnel Name: GP_gateway

        Domäne-Benutzername:: Testen

        Computer: EVERYDAYLAPTOP

        Client:

        Private IP: 0.0.0.0

        Public IP: 192.168.0.21

        ESP: keine

        SSL: keine

        AnmeldeZeit: 17. September 21:38:41

        Logout/Ablauf: 17. Oktober 21:38:41

        TTL: 2591896

        Inaktivität TTL: 10696

Das User-IP-Mapping für den User "Test" zeigt auch 192.168.0.21:

> SHOW User IP-User-Mapping All

IP Vsys von User IdleTimeout (s) MaxTimeout (s)

------------  --------  -------   --------------------  --------------      -------------

192.168.0.21 vsys1 GP Test 10592 10592

Gesamt: 1 Benutzer

Wenn die WiFi-Adapterkarte jetzt deaktiviert oder getrennt ist, wird das sslvpn-Access. log zeigen, dass die Logout-Veranstaltung aufgrund der Strecken Tabelle und der niedrigeren metrischen Zahl immer noch mit IP 192.168.0.21 gesendet wird. Dies löst auch die Aktualisierung der Kartierung aus, ebenso wie der aktuelle GlobalProtect-Nutzer. In diesem Fall bleiben die Werte unverändert und die Ausgabe wird die gleiche sein:

> Schwanz folgen ja Webserver-Log sslvpn-Access. log

192.168.0.21--[Di Sep 17 21:38:37 2013 PDT] "POST/SSL-VPN/Logout.ESP? HTTP/1.1 "200 603

192.168.0.21--[Di Sep 17 21:38:40 2013 PDT] "POST/SSL-VPN/prelogin.ESP HTTP/1.1" 200 642

192.168.0.21--[Di Sep 17 21:38:41 2013 PDT] "POST/SSL-VPN/Login.ESP HTTP/1.1" 200 2036

192.168.0.21--[Di Sep 17 21:38:41 2013 PDT] "POST/SSL-VPN/hipreportcheck.ESP HTTP/1.1" 200 551

C:\Users\test > Route Print

IPv4-Strecken Tabelle

===========================================================================

Aktive Routen:

Netzziel Netmaske Gateway Interface Metric

         0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10

> zeigen die aktuellen globalen schützen Gateway Benutzer

GlobalProtect Gateway: GP_ext (0 Benutzer)

Tunnel Name: GP_ext-N

GlobalProtect Gateway: GP_gateway (1 Benutzer)

Tunnel Name: GP_gateway

        Domäne-Benutzername:: Testen

        Computer: EVERYDAYLAPTOP

        Client:

        Private IP: 0.0.0.0

        Public IP: 192.168.0.21

        ESP: keine

        SSL: keine

        AnmeldeZeit: 17. September 21:58:41

        Logout/Ablauf: 17. Oktober 21:58:41

        TTL: 2591896

        Inaktivität TTL: 10696  

> SHOW User IP-User-Mapping All

     IP Vsys von User IdleTimeout (s) MaxTimeout (s)   

------------   ------  ------  -------------------  -------------- -------------

192.168.0.21 vsys1 GP Test 10392 10392

Gesamt: 1 Benutzer

Sehen Sie auch die folgenden docs zur Konfiguration von GlobalProtect:

• Gewusst wie: Konfigurieren von internen GlobalProtect nur
  
• Gewusst wie: konfigurieren Sie GlobalProtect
  
• GlobalProtect Konfiguration Technischer Hinweis
  

Besitzer: Mbutt