¿Qué IP se utiliza para la asignación de IP de usuario cuando se configura GlobalProtect interno y se habilitan varias tarjetas NIC?

¿Qué IP se utiliza para la asignación de IP de usuario cuando se configura GlobalProtect interno y se habilitan varias tarjetas NIC?

24447
Created On 09/25/18 19:48 PM - Last Modified 05/05/20 22:15 PM


Resolution


Cuando se configura GlobalProtect interno, no hay ningún túnel creado. Por diseño, GlobalProtect reporta sólo un cliente IP al enviar el informe de hip a una puerta de enlace que no sea de túnel. Esto significa que la asignación de usuario asignará sólo una IP cuando se habiliten varias NICs al mismo tiempo, y que será la IP a través de la cual el tráfico llega a la puerta de enlace. El cliente GlobalProtect observará los valores métricos de ruta disponibles y seleccionará siempre la ruta con la métrica más baja para enviar eventos de cliente GlobalProtect a la puerta de enlace GlobalProtect.

Por ejemplo, un cliente de PC tiene dos tarjetas NIC:

  • NIC físico con IP 192.168.0.21
  • WiFi con IP 192.168.0.19

En el ejemplo siguiente, el usuario está conectado a la protección global interna a través de WiFi (IP = 192.168.0.19):

La ruta predeterminada de la tabla de rutas de PC es la siguiente:

C:\Users\test > imprimir ruta

Tabla de rutas IPv4

===========================================================================

Rutas activas:

Interfaz de enlace de máscara de red de destino métrica

          0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25

La lista de usuarios de GlobalProtect en el Firewall muestra que el usuario está conectado con 192.168.0.19 y la asignación de IP de usuario para el usuario "Test" también muestra 192.168.0.19:

> Mostrar usuario actual global-proteger-gateway

GlobalProtect Gateway: GP_ext (0 usuarios)

Nombre del túnel: GP_ext-N

GlobalProtect Gateway: GP_gateway (1 users)

Nombre del túnel: GP_gateway

        Nombre de usuario de dominio:: prueba de

        Ordenador: EVERYDAYLAPTOP

        Cliente:

        IP privada: 0.0.0.0

        IP pública: 192.168.0.19

        ESP: None

        SSL: ninguno

        Tiempo de login: Sep. 17 21:28:41

        Cierre de sesión/expiración: 17 de octubre 21:28:41

        TTL: 2591896

TTL de la inactividad: 10696

> SHow usuario IP-usuario-mapping todo

IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)

-------------   ------  -------  -------------------------  --------------  -------------

prueba 10692 10692 del GP de 192.168.0.19 vsys1

Total: 1 usuarios

El siguiente mensaje se verá en sslvpn-Access. log

> cola seguir sí WebServer-log sslvpn-Access. log

192.168.0.19--[Tue Sep 17 21:37:56 2013 PDT] "POST/SSL-VPN/login.ESP HTTP/1.1" 200 2036

192.168.0.19--[Tue Sep 17 21:37:56 2013 PDT] "POST/SSL-VPN/hipreportcheck.ESP HTTP/1.1" 200 552

192.168.0.19--[Tue Sep 17 21:37:56 2013 PDT] "POST/SSL-VPN/hipreport.ESP HTTP/1.1" 200 519

Sin embargo, si el usuario se conecta a través de la segunda NIC con un cable físico, se verá el siguiente mensaje en el sslvpn-Access. log

> cola seguir sí WebServer-log sslvpn-Access. log

192.168.0.21--[Tue Sep 17 21:36:40 2013 PDT] "POST/SSL-VPN/logout.ESP? HTTP/1.1 "200 603

192.168.0.21--[Tue Sep 17 21:36:40 2013 PDT] "POST/SSL-VPN/prelogin.ESP HTTP/1.1" 200 642

192.168.0.21--[Tue Sep 17 21:36:40 2013 PDT] "POST/SSL-VPN/login.ESP HTTP/1.1" 200 2036

192.168.0.21--[Tue Sep 17 21:36:41 2013 PDT] "POST/SSL-VPN/hipreportcheck.ESP HTTP/1.1" 200 551

La salida anterior muestra un evento de cierre de sesión, seguido de un evento de inicio de sesión enviado por 192.168.0.21. Esto se debe a que la métrica inferior de la tabla de rutas de PC es ahora 192.168.0.21:

C:\Users\test > imprimir ruta

Tabla de rutas IPv4

===========================================================================

Rutas activas:

Interfaz de enlace de máscara de red de destino métrica

          0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25

          0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10

Inmediatamente, el mapeo GlobalProtect de los usuarios actuales en el Firewall muestra la IP del usuario como 192.168.0.21:

> Mostrar usuario actual global-proteger-gateway

GlobalProtect Gateway: GP_ext (0 usuarios)

Nombre del túnel: GP_ext-N

GlobalProtect Gateway: GP_gateway (1 users)

Nombre del túnel: GP_gateway

        Nombre de usuario de dominio:: prueba de

        Ordenador: EVERYDAYLAPTOP

        Cliente:

        IP privada: 0.0.0.0

        IP pública: 192.168.0.21

        ESP: None

        SSL: ninguno

        Tiempo de login: Sep. 17 21:38:41

        Cierre de sesión/expiración: 17 de octubre 21:38:41

        TTL: 2591896

        TTL de la inactividad: 10696

La asignación de IP de usuario para el usuario "Test" también muestra 192.168.0.21:

> SHow usuario IP-usuario-mapping todo

IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)

------------  --------  -------   --------------------  --------------      -------------

prueba 10592 10592 del GP de 192.168.0.21 vsys1

Total: 1 usuarios

Si la tarjeta adaptadora WiFi está ahora desactivada o desconectada, el sslvpn-Access. log mostrará que el evento de cierre de sesión se sigue enviando con IP 192.168.0.21 debido a la tabla de rutas y el número métrico inferior. Esto también activa la asignación que se actualizará, así como el usuario actual de GlobalProtect. En este caso, los valores permanecen inalterados y la salida será la misma:

> cola seguir sí WebServer-log sslvpn-Access. log

192.168.0.21--[Tue Sep 17 21:38:37 2013 PDT] "POST/SSL-VPN/logout.ESP? HTTP/1.1 "200 603

192.168.0.21--[Tue Sep 17 21:38:40 2013 PDT] "POST/SSL-VPN/prelogin.ESP HTTP/1.1" 200 642

192.168.0.21--[Tue Sep 17 21:38:41 2013 PDT] "POST/SSL-VPN/login.ESP HTTP/1.1" 200 2036

192.168.0.21--[Tue Sep 17 21:38:41 2013 PDT] "POST/SSL-VPN/hipreportcheck.ESP HTTP/1.1" 200 551

C:\Users\test > imprimir ruta

Tabla de rutas IPv4

===========================================================================

Rutas activas:

Interfaz de enlace de máscara de red de destino métrica

         0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10

> Mostrar usuario actual global-proteger-gateway

GlobalProtect Gateway: GP_ext (0 usuarios)

Nombre del túnel: GP_ext-N

GlobalProtect Gateway: GP_gateway (1 users)

Nombre del túnel: GP_gateway

        Nombre de usuario de dominio:: prueba de

        Ordenador: EVERYDAYLAPTOP

        Cliente:

        IP privada: 0.0.0.0

        IP pública: 192.168.0.21

        ESP: None

        SSL: ninguno

        Tiempo de login: Sep. 17 21:58:41

        Cierre de sesión/expiración: 17 de octubre 21:58:41

        TTL: 2591896

        TTL de la inactividad: 10696  

> SHow usuario IP-usuario-mapping todo

     IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)   

------------   ------  ------  -------------------  -------------- -------------

prueba 10392 10392 del GP de 192.168.0.21 vsys1

Total: 1 usuarios

Consulte también los siguientes documentos sobre la configuración de GlobalProtect:

Propietario: mbutt
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldhCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language