内部 GlobalProtect が構成され、複数の NIC カードが有効になっている場合、ユーザー ip マッピングに使用される ip はどれですか。

内部 GlobalProtect が構成されている場合、トンネルは作成されません。設計上、GlobalProtect は、hip レポートをトンネル以外のゲートウェイに送信するときに、1つのクライアント IP だけを報告します。これは、複数の nic が同時に有効になっていて、トラフィックがゲートウェイに到達する ip アドレスになると、ユーザーマッピングによって1つの ip だけがマップされることを意味します。GlobalProtect クライアントは、利用可能なルートメトリック値を調べ、GlobalProtect クライアントイベントを GlobalProtect ゲートウェイに送信するための最も低いメトリックを持つルートを常に選択します。

たとえば、PC クライアントには次の2つの NIC カードがあります。

• IP 192.168.0.21 を持つ物理 NIC
• ip 192.168.0.19 と無線 lan

次の例では、ユーザーが Wifi (IP = 192.168.0.19) を介して内部のグローバル保護に接続されています。

PC ルートテーブルの既定のルートは次のとおりです。

C:\Users\test > ルート印刷

IPv4 ルートテーブル

===========================================================================

アクティブなルート:

ネットワーク宛先ネットマスクゲートウェイインターフェイスメトリック

          0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25

ファイアウォール上の GlobalProtect ユーザーのリストは、ユーザーが192.168.0.19 に接続されていることを示し、ユーザーの IP マッピングは、"テスト" も192.168.0.19 を示しています:

> グローバル保護ゲートウェイの現在のユーザーを表示

GlobalProtect ゲートウェイ: GP_ext (0 ユーザー)

トンネル名: GP_ext-N

GlobalProtect ゲートウェイ: GP_gateway (1 ユーザー)

トンネル名: GP_gateway

        ドメイン ユーザー名:: テスト

        コンピュータ: EVERYDAYLAPTOP

        クライアント：

        プライベート IP アドレス: 0.0.0.0

        パブリック IP アドレス: 192.168.0.19

        ESP: なし

        SSL: なし

        ログイン時間: 9 月 17 21:28:41

        ログアウト/有効期限:10 月 17 21:28:41

        TTL: 2591896

非アクティブ TTL: 10696

> ユーザーの ip-ユーザー-マッピングすべて

ユーザー IdleTimeout からの IP Vsys MaxTimeout (s)

-------------   ------  -------  -------------------------  --------------  -------------

192.168.0.19 vsys1 GP テスト 10692 10692

合計: 1 ユーザー

次のメッセージが sslvpn-access に表示されます。

> 尾ははいウェブサーバ-ログ sslvpn-access に従ってください

192.168.0.19--[火9月 17 21:37:56 2013 PDT] "ポスト/ssl-vpn/login.esp HTTP/1.1" 200 2036

192.168.0.19--[火9月 17 21:37:56 2013 PDT] "ポスト/ssl-vpn/hipreportcheck.esp HTTP/1.1" 200 552

192.168.0.19--[火9月 17 21:37:56 2013 PDT] "ポスト/ssl-vpn/hipreport.esp HTTP/1.1" 200 519

ただし、ユーザーが2番目の NIC を物理ケーブルで接続すると、sslvpn-access に次のメッセージが表示されます。

> 尾ははいウェブサーバ-ログ sslvpn-access に従ってください

192.168.0.21--[火9月 17 21:36:40 2013 PDT] "ポスト/ssl-vpn/logout.esp?HTTP/1.1 "200 603

192.168.0.21--[火9月 17 21:36:40 2013 PDT] "ポスト/ssl-vpn/prelogin.esp HTTP/1.1" 200 642

192.168.0.21--[火9月 17 21:36:40 2013 PDT] "ポスト/ssl-vpn/login.esp HTTP/1.1" 200 2036

192.168.0.21--[火9月 17 21:36:41 2013 PDT] "ポスト/ssl-vpn/hipreportcheck.esp HTTP/1.1" 200 551

上記の出力はログアウトイベントを示し、その後に192.168.0.21 によって送信されたログインイベントが続きます。これは、PC ルートテーブルの下のメトリックが192.168.0.21 になっているためです。

C:\Users\test > ルート印刷

IPv4 ルートテーブル

===========================================================================

アクティブなルート:

ネットワーク宛先ネットマスクゲートウェイインターフェイスメトリック

          0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25

          0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10

直ちに、ファイアウォール上の現在のユーザーの GlobalProtect マッピングは、ユーザーの IP を192.168.0.21 として表示します。

> グローバル保護ゲートウェイの現在のユーザーを表示

GlobalProtect ゲートウェイ: GP_ext (0 ユーザー)

トンネル名: GP_ext-N

GlobalProtect ゲートウェイ: GP_gateway (1 ユーザー)

トンネル名: GP_gateway

        ドメイン ユーザー名:: テスト

        コンピュータ: EVERYDAYLAPTOP

        クライアント：

        プライベート IP アドレス: 0.0.0.0

        パブリック IP アドレス: 192.168.0.21

        ESP: なし

        SSL: なし

        ログイン時間: 9 月 17 21:38:41

        ログアウト/有効期限:10 月 17 21:38:41

        TTL: 2591896

        非アクティブ TTL: 10696

ユーザー "test" のユーザー IP マッピングには、192.168.0.21 も表示されます。

> ユーザーの ip-ユーザー-マッピングすべて

ユーザー IdleTimeout からの IP Vsys MaxTimeout (s)

------------  --------  -------   --------------------  --------------      -------------

192.168.0.21 vsys1 GP テスト 10592 10592

合計: 1 ユーザー

WiFi アダプタカードが無効または切断された場合、sslvpn-access はルートテーブルと低いメトリック番号のために、ログアウトイベントが IP 192.168.0.21 で送信されていることを示します。これにより、現在の GlobalProtect ユーザーだけでなく、更新されるマッピングもトリガされます。この場合、値は変更されず、出力は同じになります。

> 尾ははいウェブサーバ-ログ sslvpn-access に従ってください

192.168.0.21--[火9月 17 21:38:37 2013 PDT] "ポスト/ssl-vpn/logout.esp?HTTP/1.1 "200 603

192.168.0.21--[火9月 17 21:38:40 2013 PDT] "ポスト/ssl-vpn/prelogin.esp HTTP/1.1" 200 642

192.168.0.21--[火9月 17 21:38:41 2013 PDT] "ポスト/ssl-vpn/login.esp HTTP/1.1" 200 2036

192.168.0.21--[火9月 17 21:38:41 2013 PDT] "ポスト/ssl-vpn/hipreportcheck.esp HTTP/1.1" 200 551

C:\Users\test > ルート印刷

IPv4 ルートテーブル

===========================================================================

アクティブなルート:

ネットワーク宛先ネットマスクゲートウェイインターフェイスメトリック

         0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10

> グローバル保護ゲートウェイの現在のユーザーを表示

GlobalProtect ゲートウェイ: GP_ext (0 ユーザー)

トンネル名: GP_ext-N

GlobalProtect ゲートウェイ: GP_gateway (1 ユーザー)

トンネル名: GP_gateway

        ドメイン ユーザー名:: テスト

        コンピュータ: EVERYDAYLAPTOP

        クライアント：

        プライベート IP アドレス: 0.0.0.0

        パブリック IP アドレス: 192.168.0.21

        ESP: なし

        SSL: なし

        ログイン時間: 9 月 17 21:58:41

        ログアウト/有効期限:10 月 17 21:58:41

        TTL: 2591896

        非アクティブ TTL: 10696  

> ユーザーの ip-ユーザー-マッピングすべて

     ユーザー IdleTimeout からの IP Vsys MaxTimeout (s)   

------------   ------  ------  -------------------  -------------- -------------

192.168.0.21 vsys1 GP テスト 10392 10392

合計: 1 ユーザー

また、GlobalProtect の構成に関する次のドキュメントも参照してください。

• 内部 GlobalProtect のみを構成する方法
  
• GlobalProtect を構成する方法
  
• GlobalProtect 構成技術に関する注意事項
  

所有者: mbutt