在配置内部 GlobalProtect 和启用多个 NIC 卡时, 哪个 ip 用于用户 IP 映射?
Resolution
配置内部 GlobalProtect 时, 不会创建隧道。通过设计, GlobalProtect 在向非隧道网关发送髋关节报告时只报告一个客户端 IP。这意味着当同时启用多个 nic 时, 用户映射将仅映射一个 ip, 而这将是通信到达网关的 ip。GlobalProtect 客户端将查看可用的路由度量值, 并始终选择将 GlobalProtect 客户端事件发送到 GlobalProtect 网关的最低跃点数的路由。
例如, PC 客户端有两个 NIC 卡:
- 带有 IP 192.168.0.21 的物理 NIC
- IP192.168.0.19 WiFi 上网
在下面的示例中, 用户通过 Wifi 连接到内部全局保护 (IP = 192.168.0. 19):
PC 路由表中的默认路由如下所示:
C: \ 用户 \ 测试 > 路由打印
IPv4 路线表
===========================================================================
活动路线:
网络目标网掩码网关接口度量
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25
在防火墙上列出的 GlobalProtect 用户显示, 用户与192.168.0.19 连接, 用户的 "测试" 用户 IP 映射也显示 192.168.0.19:
> 显示全球保护通道的当前用户
GlobalProtect 网关: GP_ext (0 位用户)
隧道名称: GP_ext-N
GlobalProtect 网关: GP_gateway (1 位用户)
隧道名称: GP_gateway
域用户名称:: 测试
计算机: EVERYDAYLAPTOP
客户:
专用 IP: 0.0.0。0
公共 IP: 192.168.0.19
ESP: 无
SSL: 无
登录时间: 9月17日21:28:41
注销/到期日期: 10月17日21:28:41
TTL: 2591896
不活动 TTL: 10696
用户 ip-用户映射所有
IP Vsys 从用户 IdleTimeout MaxTimeout (s)
------------- ------ ------- ------------------------- -------------- -------------
192.168.0.19 vsys1 GP 测试 10692 10692
总计: 1 用户
下面的消息将在 sslvpn 访问中看到. 日志
>> 跟踪是 web 服务器-日志 sslvpn-访问. 日志
192.168.0.19-9月17日 (星期二) 21:37:56 2013 PDT] "后/ssl-vpn/登录. esp HTTP/1.1" 200 2036
192.168.0.19-9月17日 (星期二) 21:37:56 2013 PDT] "后/ssl-vpn/hipreportcheck. esp HTTP/1.1" 200 552
192.168.0.19-9月17日 (星期二) 21:37:56 2013 PDT] "后/ssl-vpn/hipreport. esp HTTP/1.1" 200 519
但是, 如果用户通过物理电缆连接第二个 NIC, 则在 sslvpn 访问时会看到以下消息. 日志
>> 跟踪是 web 服务器-日志 sslvpn-访问. 日志
192.168.0.21-9月17日 (星期二) 21:36:40 2013 PDT] "后/ssl-vpn/注销. esp?HTTP/1.1 "200 603
192.168.0.21-9月17日 (星期二) 21:36:40 2013 PDT] "后/ssl-vpn/预登录. esp HTTP/1.1" 200 642
192.168.0.21-9月17日 (星期二) 21:36:40 2013 PDT] "后/ssl-vpn/登录. esp HTTP/1.1" 200 2036
192.168.0.21-9月17日 (星期二) 21:36:41 2013 PDT] "后/ssl-vpn/hipreportcheck. esp HTTP/1.1" 200 551
以上输出显示一个注销事件, 后跟192.168.0.21 发送的登录事件。这是因为 PC 路由表中的较低度量值现在 192.168.0.21:
C: \ 用户 \ 测试 > 路由打印
IPv4 路线表
===========================================================================
活动路线:
网络目标网掩码网关接口度量
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.19 25
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10
立即, 防火墙上当前用户的 GlobalProtect 映射将用户的 IP 显示为 192.168.0.21:
> 显示全球保护通道的当前用户
GlobalProtect 网关: GP_ext (0 位用户)
隧道名称: GP_ext-N
GlobalProtect 网关: GP_gateway (1 位用户)
隧道名称: GP_gateway
域用户名称:: 测试
计算机: EVERYDAYLAPTOP
客户:
专用 IP: 0.0.0。0
公共 IP: 192.168.0.21
ESP: 无
SSL: 无
登录时间: 9月17日21:38:41
注销/到期日期: 10月17日21:38:41
TTL: 2591896
不活动 TTL: 10696
用户 "测试" 的用户 IP 映射还显示 192.168.0.21:
用户 ip-用户映射所有
IP Vsys 从用户 IdleTimeout MaxTimeout (s)
------------ -------- ------- -------------------- -------------- -------------
192.168.0.21 vsys1 GP 测试 10592 10592
总计: 1 用户
如果 WiFi 适配器卡现在已禁用或断开连接, 则 sslvpn 访问. log 将显示, 由于路由表和较低的公制号, 注销事件仍与 IP 192.168.0.21 一起发送。这也会触发要更新的映射以及当前的 GlobalProtect 用户。在这种情况下, 值保持不变, 输出将相同:
>> 跟踪是 web 服务器-日志 sslvpn-访问. 日志
192.168.0.21-9月17日 (星期二) 21:38:37 2013 PDT] "后/ssl-vpn/注销. esp?HTTP/1.1 "200 603
192.168.0.21-9月17日 (星期二) 21:38:40 2013 PDT] "后/ssl-vpn/预登录. esp HTTP/1.1" 200 642
192.168.0.21-9月17日 (星期二) 21:38:41 2013 PDT] "后/ssl-vpn/登录. esp HTTP/1.1" 200 2036
192.168.0.21-9月17日 (星期二) 21:38:41 2013 PDT] "后/ssl-vpn/hipreportcheck. esp HTTP/1.1" 200 551
C: \ 用户 \ 测试 > 路由打印
IPv4 路线表
===========================================================================
活动路线:
网络目标网掩码网关接口度量
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.21 10
> 显示全球保护通道的当前用户
GlobalProtect 网关: GP_ext (0 位用户)
隧道名称: GP_ext-N
GlobalProtect 网关: GP_gateway (1 位用户)
隧道名称: GP_gateway
域用户名称:: 测试
计算机: EVERYDAYLAPTOP
客户:
专用 IP: 0.0.0。0
公共 IP: 192.168.0.21
ESP: 无
SSL: 无
登录时间: 9月17日21:58:41
注销/到期日期: 10月17日21:58:41
TTL: 2591896
不活动 TTL: 10696
用户 ip-用户映射所有
IP Vsys 从用户 IdleTimeout MaxTimeout (s)
------------ ------ ------ ------------------- -------------- -------------
192.168.0.21 vsys1 GP 测试 10392 10392
总计: 1 用户
在 GlobalProtect 的配置上还可以看到以下文档:
所有者: mbutt