Quelle adresse IP est utilisée pour le mappage utilisateur-IP lorsque GlobalProtect interne est configuré et que plusieurs cartes NIC sont activées?
Resolution
Lorsque GlobalProtect interne est configuré, il n'y a pas de tunnel créé. Par Design, GlobalProtect ne signale qu'une seule adresse IP client lors de l'envoi d'un rapport Hip à une passerelle non-tunnel. Cela signifie que le mappage utilisateur mappera une seule adresse IP lorsque plusieurs cartes réseau seront activées en même temps, et ce sera l'ip par laquelle le trafic atteindra la passerelle. Le client GlobalProtect examinera les valeurs métriques d'itinéraire disponibles et sélectionnera toujours l'itinéraire avec la métrique la plus basse pour envoyer des événements clients GlobalProtect à la passerelle GlobalProtect.
Par exemple, un client PC dispose de deux cartes NIC:
- CARTE réseau physique avec 192.168.0.21 IP
- WiFi avec IP 192.168.0.19
Dans L'exemple suivant, l'utilisateur est connecté à la protection globale interne via WiFi (IP = 192.168.0.19):
L'itinéraire par défaut dans la table de routage PC est le suivant:
Roaming > imprimer route
Table de routage IPv4
===========================================================================
Itinéraires actifs:
Réseau de destination netmask Gateway Interface métrique
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25
La liste des utilisateurs GlobalProtect sur le pare-feu montre que l'utilisateur est connecté avec 192.168.0.19 et le mappage utilisateur-IP pour l'utilisateur "test" montre également 192.168.0.19:
> montrer global-protéger-passerelle courant-utilisateur
GlobalProtect Gateway: GP_ext (0 utilisateurs)
Nom du tunnel: GP_ext-N
GlobalProtect Gateway: GP_gateway (1 utilisateur)
Nom du tunnel: GP_gateway
Domaine nom d’utilisateur : : test
Ordinateur: EVERYDAYLAPTOP
Client:
IP privée: 0.0.0.0
IP publique: 192.168.0.19
ESP: aucun
SSL: aucun
Heure de connexion: Sep. 17 21:28:41
Logout/expiration: Oct. 17 21:28:41
TTL: 2591896
TTL d'inactivité: 10696
> SHow utilisateur IP-utilisateur-Mapping tous
IP VSys de l'Utilisateur IdleTimeout (s) MaxTimeout (s)
------------- ------ ------- ------------------------- -------------- -------------
192.168.0.19 vsys1 GP test 10692 10692
Total : 1 utilisateurs
Le message suivant sera vu dans sslvpn-Access. log
> tail suivre Oui WebServer-log sslvpn-Access. log
192.168.0.19--[Mar Oct 17 21:37:56 2013 PDT] "POST/SSL-VPN/login.esp HTTP/1.1" 200 2036
192.168.0.19--[Mar Oct 17 21:37:56 2013 PDT] "POST/SSL-VPN/hipreportcheck.esp HTTP/1.1" 200 552
192.168.0.19--[Mar Oct 17 21:37:56 2013 PDT] "POST/SSL-VPN/hipreport.esp HTTP/1.1" 200 519
Toutefois, si l'utilisateur se connecte via la deuxième carte réseau avec un câble physique, le message suivant est visible sur le sslvpn-Access. log
> tail suivre Oui WebServer-log sslvpn-Access. log
192.168.0.21--[Mar Oct 17 21:36:40 2013 PDT] "POST/SSL-VPN/logout.esp? HTTP/1.1 "200 603
192.168.0.21--[Mar Oct 17 21:36:40 2013 PDT] "POST/SSL-VPN/prelogin.esp HTTP/1.1" 200 642
192.168.0.21--[Mar Oct 17 21:36:40 2013 PDT] "POST/SSL-VPN/login.esp HTTP/1.1" 200 2036
192.168.0.21--[Mar Oct 17 21:36:41 2013 PDT] "POST/SSL-VPN/hipreportcheck.esp HTTP/1.1" 200 551
La sortie ci-dessus affiche un événement Logout, suivi d'un événement de connexion envoyé par 192.168.0.21. C'est parce que la métrique inférieure dans la table de routage PC est maintenant 192.168.0.21:
Roaming > imprimer route
Table de routage IPv4
===========================================================================
Itinéraires actifs:
Réseau de destination netmask Gateway Interface métrique
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10
Immédiatement, le mappage GlobalProtect des utilisateurs actuels sur le pare-feu montre l'IP de l'utilisateur comme 192.168.0.21:
> montrer global-protéger-passerelle courant-utilisateur
GlobalProtect Gateway: GP_ext (0 utilisateurs)
Nom du tunnel: GP_ext-N
GlobalProtect Gateway: GP_gateway (1 utilisateur)
Nom du tunnel: GP_gateway
Domaine nom d’utilisateur : : test
Ordinateur: EVERYDAYLAPTOP
Client:
IP privée: 0.0.0.0
IP publique: 192.168.0.21
ESP: aucun
SSL: aucun
Heure de connexion: Sep. 17 21:38:41
Logout/expiration: Oct. 17 21:38:41
TTL: 2591896
TTL d'inactivité: 10696
Le mappage utilisateur-IP pour l'utilisateur «test» montre également 192.168.0.21:
> SHow utilisateur IP-utilisateur-Mapping tous
IP VSys de l'Utilisateur IdleTimeout (s) MaxTimeout (s)
------------ -------- ------- -------------------- -------------- -------------
192.168.0.21 vsys1 GP test 10592 10592
Total : 1 utilisateurs
Si la carte WiFi est maintenant désactivée ou déconnectée, le sslvpn-Access. log indique que l'événement logout est toujours envoyé avec IP 192.168.0.21 en raison de la table de routage et du nombre métrique inférieur. Cela déclenche également le mappage à mettre à jour, ainsi que l'utilisateur GlobalProtect en cours. Dans ce cas, les valeurs restent inchangées et la sortie sera la même:
> tail suivre Oui WebServer-log sslvpn-Access. log
192.168.0.21--[Mar Oct 17 21:38:37 2013 PDT] "POST/SSL-VPN/logout.esp? HTTP/1.1 "200 603
192.168.0.21--[Mar Oct 17 21:38:40 2013 PDT] "POST/SSL-VPN/prelogin.esp HTTP/1.1" 200 642
192.168.0.21--[Mar Oct 17 21:38:41 2013 PDT] "POST/SSL-VPN/login.esp HTTP/1.1" 200 2036
192.168.0.21--[Mar Oct 17 21:38:41 2013 PDT] "POST/SSL-VPN/hipreportcheck.esp HTTP/1.1" 200 551
Roaming > imprimer route
Table de routage IPv4
===========================================================================
Itinéraires actifs:
Réseau de destination netmask Gateway Interface métrique
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10
> montrer global-protéger-passerelle courant-utilisateur
GlobalProtect Gateway: GP_ext (0 utilisateurs)
Nom du tunnel: GP_ext-N
GlobalProtect Gateway: GP_gateway (1 utilisateur)
Nom du tunnel: GP_gateway
Domaine nom d’utilisateur : : test
Ordinateur: EVERYDAYLAPTOP
Client:
IP privée: 0.0.0.0
IP publique: 192.168.0.21
ESP: aucun
SSL: aucun
Heure de connexion: Sep. 17 21:58:41
Logout/expiration: Oct. 17 21:58:41
TTL: 2591896
TTL d'inactivité: 10696
> SHow utilisateur IP-utilisateur-Mapping tous
IP VSys de l'Utilisateur IdleTimeout (s) MaxTimeout (s)
------------ ------ ------ ------------------- -------------- -------------
192.168.0.21 vsys1 GP test 10392 10392
Total : 1 utilisateurs
Voir aussi les docs suivants sur la configuration de GlobalProtect:
- La configuration interne GlobalProtect seulement
- Comment configurer GlobalProtect
- GlobalProtect Configuration Tech Note
propriétaire : mbutt