¿Qué IP se utiliza para la asignación de IP de usuario cuando se configura GlobalProtect interno y se habilitan varias tarjetas NIC?
Resolution
Cuando se configura GlobalProtect interno, no hay ningún túnel creado. Por diseño, GlobalProtect reporta sólo un cliente IP al enviar el informe de hip a una puerta de enlace que no sea de túnel. Esto significa que la asignación de usuario asignará sólo una IP cuando se habiliten varias NICs al mismo tiempo, y que será la IP a través de la cual el tráfico llega a la puerta de enlace. El cliente GlobalProtect observará los valores métricos de ruta disponibles y seleccionará siempre la ruta con la métrica más baja para enviar eventos de cliente GlobalProtect a la puerta de enlace GlobalProtect.
Por ejemplo, un cliente de PC tiene dos tarjetas NIC:
- NIC físico con IP 192.168.0.21
- WiFi con IP 192.168.0.19
En el ejemplo siguiente, el usuario está conectado a la protección global interna a través de WiFi (IP = 192.168.0.19):
La ruta predeterminada de la tabla de rutas de PC es la siguiente:
C:\Users\test > imprimir ruta
Tabla de rutas IPv4
===========================================================================
Rutas activas:
Interfaz de enlace de máscara de red de destino métrica
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25
La lista de usuarios de GlobalProtect en el Firewall muestra que el usuario está conectado con 192.168.0.19 y la asignación de IP de usuario para el usuario "Test" también muestra 192.168.0.19:
> Mostrar usuario actual global-proteger-gateway
GlobalProtect Gateway: GP_ext (0 usuarios)
Nombre del túnel: GP_ext-N
GlobalProtect Gateway: GP_gateway (1 users)
Nombre del túnel: GP_gateway
Nombre de usuario de dominio:: prueba de
Ordenador: EVERYDAYLAPTOP
Cliente:
IP privada: 0.0.0.0
IP pública: 192.168.0.19
ESP: None
SSL: ninguno
Tiempo de login: Sep. 17 21:28:41
Cierre de sesión/expiración: 17 de octubre 21:28:41
TTL: 2591896
TTL de la inactividad: 10696
> SHow usuario IP-usuario-mapping todo
IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)
------------- ------ ------- ------------------------- -------------- -------------
prueba 10692 10692 del GP de 192.168.0.19 vsys1
Total: 1 usuarios
El siguiente mensaje se verá en sslvpn-Access. log
> cola seguir sí WebServer-log sslvpn-Access. log
192.168.0.19--[Tue Sep 17 21:37:56 2013 PDT] "POST/SSL-VPN/login.ESP HTTP/1.1" 200 2036
192.168.0.19--[Tue Sep 17 21:37:56 2013 PDT] "POST/SSL-VPN/hipreportcheck.ESP HTTP/1.1" 200 552
192.168.0.19--[Tue Sep 17 21:37:56 2013 PDT] "POST/SSL-VPN/hipreport.ESP HTTP/1.1" 200 519
Sin embargo, si el usuario se conecta a través de la segunda NIC con un cable físico, se verá el siguiente mensaje en el sslvpn-Access. log
> cola seguir sí WebServer-log sslvpn-Access. log
192.168.0.21--[Tue Sep 17 21:36:40 2013 PDT] "POST/SSL-VPN/logout.ESP? HTTP/1.1 "200 603
192.168.0.21--[Tue Sep 17 21:36:40 2013 PDT] "POST/SSL-VPN/prelogin.ESP HTTP/1.1" 200 642
192.168.0.21--[Tue Sep 17 21:36:40 2013 PDT] "POST/SSL-VPN/login.ESP HTTP/1.1" 200 2036
192.168.0.21--[Tue Sep 17 21:36:41 2013 PDT] "POST/SSL-VPN/hipreportcheck.ESP HTTP/1.1" 200 551
La salida anterior muestra un evento de cierre de sesión, seguido de un evento de inicio de sesión enviado por 192.168.0.21. Esto se debe a que la métrica inferior de la tabla de rutas de PC es ahora 192.168.0.21:
C:\Users\test > imprimir ruta
Tabla de rutas IPv4
===========================================================================
Rutas activas:
Interfaz de enlace de máscara de red de destino métrica
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10
Inmediatamente, el mapeo GlobalProtect de los usuarios actuales en el Firewall muestra la IP del usuario como 192.168.0.21:
> Mostrar usuario actual global-proteger-gateway
GlobalProtect Gateway: GP_ext (0 usuarios)
Nombre del túnel: GP_ext-N
GlobalProtect Gateway: GP_gateway (1 users)
Nombre del túnel: GP_gateway
Nombre de usuario de dominio:: prueba de
Ordenador: EVERYDAYLAPTOP
Cliente:
IP privada: 0.0.0.0
IP pública: 192.168.0.21
ESP: None
SSL: ninguno
Tiempo de login: Sep. 17 21:38:41
Cierre de sesión/expiración: 17 de octubre 21:38:41
TTL: 2591896
TTL de la inactividad: 10696
La asignación de IP de usuario para el usuario "Test" también muestra 192.168.0.21:
> SHow usuario IP-usuario-mapping todo
IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)
------------ -------- ------- -------------------- -------------- -------------
prueba 10592 10592 del GP de 192.168.0.21 vsys1
Total: 1 usuarios
Si la tarjeta adaptadora WiFi está ahora desactivada o desconectada, el sslvpn-Access. log mostrará que el evento de cierre de sesión se sigue enviando con IP 192.168.0.21 debido a la tabla de rutas y el número métrico inferior. Esto también activa la asignación que se actualizará, así como el usuario actual de GlobalProtect. En este caso, los valores permanecen inalterados y la salida será la misma:
> cola seguir sí WebServer-log sslvpn-Access. log
192.168.0.21--[Tue Sep 17 21:38:37 2013 PDT] "POST/SSL-VPN/logout.ESP? HTTP/1.1 "200 603
192.168.0.21--[Tue Sep 17 21:38:40 2013 PDT] "POST/SSL-VPN/prelogin.ESP HTTP/1.1" 200 642
192.168.0.21--[Tue Sep 17 21:38:41 2013 PDT] "POST/SSL-VPN/login.ESP HTTP/1.1" 200 2036
192.168.0.21--[Tue Sep 17 21:38:41 2013 PDT] "POST/SSL-VPN/hipreportcheck.ESP HTTP/1.1" 200 551
C:\Users\test > imprimir ruta
Tabla de rutas IPv4
===========================================================================
Rutas activas:
Interfaz de enlace de máscara de red de destino métrica
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10
> Mostrar usuario actual global-proteger-gateway
GlobalProtect Gateway: GP_ext (0 usuarios)
Nombre del túnel: GP_ext-N
GlobalProtect Gateway: GP_gateway (1 users)
Nombre del túnel: GP_gateway
Nombre de usuario de dominio:: prueba de
Ordenador: EVERYDAYLAPTOP
Cliente:
IP privada: 0.0.0.0
IP pública: 192.168.0.21
ESP: None
SSL: ninguno
Tiempo de login: Sep. 17 21:58:41
Cierre de sesión/expiración: 17 de octubre 21:58:41
TTL: 2591896
TTL de la inactividad: 10696
> SHow usuario IP-usuario-mapping todo
IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)
------------ ------ ------ ------------------- -------------- -------------
prueba 10392 10392 del GP de 192.168.0.21 vsys1
Total: 1 usuarios
Consulte también los siguientes documentos sobre la configuración de GlobalProtect:
- Cómo configurar GlobalProtect interna sólo
- Cómo configurar GlobalProtect
- Nota Configuración GlobalProtect
Propietario: mbutt