内部 GlobalProtect が構成され、複数の NIC カードが有効になっている場合、ユーザー ip マッピングに使用される ip はどれですか。
Resolution
内部 GlobalProtect が構成されている場合、トンネルは作成されません。設計上、GlobalProtect は、hip レポートをトンネル以外のゲートウェイに送信するときに、1つのクライアント IP だけを報告します。これは、複数の nic が同時に有効になっていて、トラフィックがゲートウェイに到達する ip アドレスになると、ユーザーマッピングによって1つの ip だけがマップされることを意味します。GlobalProtect クライアントは、利用可能なルートメトリック値を調べ、GlobalProtect クライアントイベントを GlobalProtect ゲートウェイに送信するための最も低いメトリックを持つルートを常に選択します。
たとえば、PC クライアントには次の2つの NIC カードがあります。
- IP 192.168.0.21 を持つ物理 NIC
- ip 192.168.0.19 と無線 lan
次の例では、ユーザーが Wifi (IP = 192.168.0.19) を介して内部のグローバル保護に接続されています。
PC ルートテーブルの既定のルートは次のとおりです。
C:\Users\test > ルート印刷
IPv4 ルートテーブル
===========================================================================
アクティブなルート:
ネットワーク宛先ネットマスクゲートウェイインターフェイスメトリック
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25
ファイアウォール上の GlobalProtect ユーザーのリストは、ユーザーが192.168.0.19 に接続されていることを示し、ユーザーの IP マッピングは、"テスト" も192.168.0.19 を示しています:
> グローバル保護ゲートウェイの現在のユーザーを表示
GlobalProtect ゲートウェイ: GP_ext (0 ユーザー)
トンネル名: GP_ext-N
GlobalProtect ゲートウェイ: GP_gateway (1 ユーザー)
トンネル名: GP_gateway
ドメイン ユーザー名:: テスト
コンピュータ: EVERYDAYLAPTOP
クライアント:
プライベート IP アドレス: 0.0.0.0
パブリック IP アドレス: 192.168.0.19
ESP: なし
SSL: なし
ログイン時間: 9 月 17 21:28:41
ログアウト/有効期限:10 月 17 21:28:41
TTL: 2591896
非アクティブ TTL: 10696
> ユーザーの ip-ユーザー-マッピングすべて
ユーザー IdleTimeout からの IP Vsys MaxTimeout (s)
------------- ------ ------- ------------------------- -------------- -------------
192.168.0.19 vsys1 GP テスト 10692 10692
合計: 1 ユーザー
次のメッセージが sslvpn-access に表示されます。
> 尾ははいウェブサーバ-ログ sslvpn-access に従ってください
192.168.0.19--[火9月 17 21:37:56 2013 PDT] "ポスト/ssl-vpn/login.esp HTTP/1.1" 200 2036
192.168.0.19--[火9月 17 21:37:56 2013 PDT] "ポスト/ssl-vpn/hipreportcheck.esp HTTP/1.1" 200 552
192.168.0.19--[火9月 17 21:37:56 2013 PDT] "ポスト/ssl-vpn/hipreport.esp HTTP/1.1" 200 519
ただし、ユーザーが2番目の NIC を物理ケーブルで接続すると、sslvpn-access に次のメッセージが表示されます。
> 尾ははいウェブサーバ-ログ sslvpn-access に従ってください
192.168.0.21--[火9月 17 21:36:40 2013 PDT] "ポスト/ssl-vpn/logout.esp?HTTP/1.1 "200 603
192.168.0.21--[火9月 17 21:36:40 2013 PDT] "ポスト/ssl-vpn/prelogin.esp HTTP/1.1" 200 642
192.168.0.21--[火9月 17 21:36:40 2013 PDT] "ポスト/ssl-vpn/login.esp HTTP/1.1" 200 2036
192.168.0.21--[火9月 17 21:36:41 2013 PDT] "ポスト/ssl-vpn/hipreportcheck.esp HTTP/1.1" 200 551
上記の出力はログアウトイベントを示し、その後に192.168.0.21 によって送信されたログインイベントが続きます。これは、PC ルートテーブルの下のメトリックが192.168.0.21 になっているためです。
C:\Users\test > ルート印刷
IPv4 ルートテーブル
===========================================================================
アクティブなルート:
ネットワーク宛先ネットマスクゲートウェイインターフェイスメトリック
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10
直ちに、ファイアウォール上の現在のユーザーの GlobalProtect マッピングは、ユーザーの IP を192.168.0.21 として表示します。
> グローバル保護ゲートウェイの現在のユーザーを表示
GlobalProtect ゲートウェイ: GP_ext (0 ユーザー)
トンネル名: GP_ext-N
GlobalProtect ゲートウェイ: GP_gateway (1 ユーザー)
トンネル名: GP_gateway
ドメイン ユーザー名:: テスト
コンピュータ: EVERYDAYLAPTOP
クライアント:
プライベート IP アドレス: 0.0.0.0
パブリック IP アドレス: 192.168.0.21
ESP: なし
SSL: なし
ログイン時間: 9 月 17 21:38:41
ログアウト/有効期限:10 月 17 21:38:41
TTL: 2591896
非アクティブ TTL: 10696
ユーザー "test" のユーザー IP マッピングには、192.168.0.21 も表示されます。
> ユーザーの ip-ユーザー-マッピングすべて
ユーザー IdleTimeout からの IP Vsys MaxTimeout (s)
------------ -------- ------- -------------------- -------------- -------------
192.168.0.21 vsys1 GP テスト 10592 10592
合計: 1 ユーザー
WiFi アダプタカードが無効または切断された場合、sslvpn-access はルートテーブルと低いメトリック番号のために、ログアウトイベントが IP 192.168.0.21 で送信されていることを示します。これにより、現在の GlobalProtect ユーザーだけでなく、更新されるマッピングもトリガされます。この場合、値は変更されず、出力は同じになります。
> 尾ははいウェブサーバ-ログ sslvpn-access に従ってください
192.168.0.21--[火9月 17 21:38:37 2013 PDT] "ポスト/ssl-vpn/logout.esp?HTTP/1.1 "200 603
192.168.0.21--[火9月 17 21:38:40 2013 PDT] "ポスト/ssl-vpn/prelogin.esp HTTP/1.1" 200 642
192.168.0.21--[火9月 17 21:38:41 2013 PDT] "ポスト/ssl-vpn/login.esp HTTP/1.1" 200 2036
192.168.0.21--[火9月 17 21:38:41 2013 PDT] "ポスト/ssl-vpn/hipreportcheck.esp HTTP/1.1" 200 551
C:\Users\test > ルート印刷
IPv4 ルートテーブル
===========================================================================
アクティブなルート:
ネットワーク宛先ネットマスクゲートウェイインターフェイスメトリック
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10
> グローバル保護ゲートウェイの現在のユーザーを表示
GlobalProtect ゲートウェイ: GP_ext (0 ユーザー)
トンネル名: GP_ext-N
GlobalProtect ゲートウェイ: GP_gateway (1 ユーザー)
トンネル名: GP_gateway
ドメイン ユーザー名:: テスト
コンピュータ: EVERYDAYLAPTOP
クライアント:
プライベート IP アドレス: 0.0.0.0
パブリック IP アドレス: 192.168.0.21
ESP: なし
SSL: なし
ログイン時間: 9 月 17 21:58:41
ログアウト/有効期限:10 月 17 21:58:41
TTL: 2591896
非アクティブ TTL: 10696
> ユーザーの ip-ユーザー-マッピングすべて
ユーザー IdleTimeout からの IP Vsys MaxTimeout (s)
------------ ------ ------ ------------------- -------------- -------------
192.168.0.21 vsys1 GP テスト 10392 10392
合計: 1 ユーザー
また、GlobalProtect の構成に関する次のドキュメントも参照してください。
所有者: mbutt