Quelle adresse IP est utilisée pour le mappage utilisateur-IP lorsque GlobalProtect interne est configuré et que plusieurs cartes NIC sont activées?

Lorsque GlobalProtect interne est configuré, il n'y a pas de tunnel créé. Par Design, GlobalProtect ne signale qu'une seule adresse IP client lors de l'envoi d'un rapport Hip à une passerelle non-tunnel. Cela signifie que le mappage utilisateur mappera une seule adresse IP lorsque plusieurs cartes réseau seront activées en même temps, et ce sera l'ip par laquelle le trafic atteindra la passerelle. Le client GlobalProtect examinera les valeurs métriques d'itinéraire disponibles et sélectionnera toujours l'itinéraire avec la métrique la plus basse pour envoyer des événements clients GlobalProtect à la passerelle GlobalProtect.

Par exemple, un client PC dispose de deux cartes NIC:

• CARTE réseau physique avec 192.168.0.21 IP
• WiFi avec IP 192.168.0.19

Dans L'exemple suivant, l'utilisateur est connecté à la protection globale interne via WiFi (IP = 192.168.0.19):

L'itinéraire par défaut dans la table de routage PC est le suivant:

Roaming > imprimer route

Table de routage IPv4

===========================================================================

Itinéraires actifs:

Réseau de destination netmask Gateway Interface métrique

          0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25

La liste des utilisateurs GlobalProtect sur le pare-feu montre que l'utilisateur est connecté avec 192.168.0.19 et le mappage utilisateur-IP pour l'utilisateur "test" montre également 192.168.0.19:

> montrer global-protéger-passerelle courant-utilisateur

GlobalProtect Gateway: GP_ext (0 utilisateurs)

Nom du tunnel: GP_ext-N

GlobalProtect Gateway: GP_gateway (1 utilisateur)

Nom du tunnel: GP_gateway

        Domaine nom d’utilisateur : : test

        Ordinateur: EVERYDAYLAPTOP

        Client:

        IP privée: 0.0.0.0

        IP publique: 192.168.0.19

        ESP: aucun

        SSL: aucun

        Heure de connexion: Sep. 17 21:28:41

        Logout/expiration: Oct. 17 21:28:41

        TTL: 2591896

TTL d'inactivité: 10696

> SHow utilisateur IP-utilisateur-Mapping tous

IP VSys de l'Utilisateur IdleTimeout (s) MaxTimeout (s)

-------------   ------  -------  -------------------------  --------------  -------------

192.168.0.19 vsys1 GP test 10692 10692

Total : 1 utilisateurs

Le message suivant sera vu dans sslvpn-Access. log

> tail suivre Oui WebServer-log sslvpn-Access. log

192.168.0.19--[Mar Oct 17 21:37:56 2013 PDT] "POST/SSL-VPN/login.esp HTTP/1.1" 200 2036

192.168.0.19--[Mar Oct 17 21:37:56 2013 PDT] "POST/SSL-VPN/hipreportcheck.esp HTTP/1.1" 200 552

192.168.0.19--[Mar Oct 17 21:37:56 2013 PDT] "POST/SSL-VPN/hipreport.esp HTTP/1.1" 200 519

Toutefois, si l'utilisateur se connecte via la deuxième carte réseau avec un câble physique, le message suivant est visible sur le sslvpn-Access. log

> tail suivre Oui WebServer-log sslvpn-Access. log

192.168.0.21--[Mar Oct 17 21:36:40 2013 PDT] "POST/SSL-VPN/logout.esp? HTTP/1.1 "200 603

192.168.0.21--[Mar Oct 17 21:36:40 2013 PDT] "POST/SSL-VPN/prelogin.esp HTTP/1.1" 200 642

192.168.0.21--[Mar Oct 17 21:36:40 2013 PDT] "POST/SSL-VPN/login.esp HTTP/1.1" 200 2036

192.168.0.21--[Mar Oct 17 21:36:41 2013 PDT] "POST/SSL-VPN/hipreportcheck.esp HTTP/1.1" 200 551

La sortie ci-dessus affiche un événement Logout, suivi d'un événement de connexion envoyé par 192.168.0.21. C'est parce que la métrique inférieure dans la table de routage PC est maintenant 192.168.0.21:

Roaming > imprimer route

Table de routage IPv4

===========================================================================

Itinéraires actifs:

Réseau de destination netmask Gateway Interface métrique

          0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25

          0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10

Immédiatement, le mappage GlobalProtect des utilisateurs actuels sur le pare-feu montre l'IP de l'utilisateur comme 192.168.0.21:

> montrer global-protéger-passerelle courant-utilisateur

GlobalProtect Gateway: GP_ext (0 utilisateurs)

Nom du tunnel: GP_ext-N

GlobalProtect Gateway: GP_gateway (1 utilisateur)

Nom du tunnel: GP_gateway

        Domaine nom d’utilisateur : : test

        Ordinateur: EVERYDAYLAPTOP

        Client:

        IP privée: 0.0.0.0

        IP publique: 192.168.0.21

        ESP: aucun

        SSL: aucun

        Heure de connexion: Sep. 17 21:38:41

        Logout/expiration: Oct. 17 21:38:41

        TTL: 2591896

        TTL d'inactivité: 10696

Le mappage utilisateur-IP pour l'utilisateur «test» montre également 192.168.0.21:

> SHow utilisateur IP-utilisateur-Mapping tous

IP VSys de l'Utilisateur IdleTimeout (s) MaxTimeout (s)

------------  --------  -------   --------------------  --------------      -------------

192.168.0.21 vsys1 GP test 10592 10592

Total : 1 utilisateurs

Si la carte WiFi est maintenant désactivée ou déconnectée, le sslvpn-Access. log indique que l'événement logout est toujours envoyé avec IP 192.168.0.21 en raison de la table de routage et du nombre métrique inférieur. Cela déclenche également le mappage à mettre à jour, ainsi que l'utilisateur GlobalProtect en cours. Dans ce cas, les valeurs restent inchangées et la sortie sera la même:

> tail suivre Oui WebServer-log sslvpn-Access. log

192.168.0.21--[Mar Oct 17 21:38:37 2013 PDT] "POST/SSL-VPN/logout.esp? HTTP/1.1 "200 603

192.168.0.21--[Mar Oct 17 21:38:40 2013 PDT] "POST/SSL-VPN/prelogin.esp HTTP/1.1" 200 642

192.168.0.21--[Mar Oct 17 21:38:41 2013 PDT] "POST/SSL-VPN/login.esp HTTP/1.1" 200 2036

192.168.0.21--[Mar Oct 17 21:38:41 2013 PDT] "POST/SSL-VPN/hipreportcheck.esp HTTP/1.1" 200 551

Roaming > imprimer route

Table de routage IPv4

===========================================================================

Itinéraires actifs:

Réseau de destination netmask Gateway Interface métrique

         0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10

> montrer global-protéger-passerelle courant-utilisateur

GlobalProtect Gateway: GP_ext (0 utilisateurs)

Nom du tunnel: GP_ext-N

GlobalProtect Gateway: GP_gateway (1 utilisateur)

Nom du tunnel: GP_gateway

        Domaine nom d’utilisateur : : test

        Ordinateur: EVERYDAYLAPTOP

        Client:

        IP privée: 0.0.0.0

        IP publique: 192.168.0.21

        ESP: aucun

        SSL: aucun

        Heure de connexion: Sep. 17 21:58:41

        Logout/expiration: Oct. 17 21:58:41

        TTL: 2591896

        TTL d'inactivité: 10696  

> SHow utilisateur IP-utilisateur-Mapping tous

     IP VSys de l'Utilisateur IdleTimeout (s) MaxTimeout (s)   

------------   ------  ------  -------------------  -------------- -------------

192.168.0.21 vsys1 GP test 10392 10392

Total : 1 utilisateurs

Voir aussi les docs suivants sur la configuration de GlobalProtect:

• La configuration interne GlobalProtect seulement
  
• Comment configurer GlobalProtect
  
• GlobalProtect Configuration Tech Note
  

propriétaire : mbutt