Wie Inaktivitäts-Abmeldungen in GlobalProtect
Resolution
Übersicht
Die Inaktivitätsanmeldung kann GlobalProtect unter der Registerkarte Clientkonfiguration des Gateway-Konfigurationsdialogs konfiguriert werden GlobalProtect (in Network > GlobalProtect > Gateways>Agent-Registerkarte >Verbindungseinstellungen):
Wenn sich ein Benutzer mit GlobalProtect anmeldet, wird ein IPSec-Tunnel erstellt. Dies ist auf der zu CLI sehen:
Details
Der Wert "Zeit zum Leben" ( für die TTL Inaktivitätsabmeldung wird einmal pro Stunde aktualisiert, solange der Global Protect-Benutzer angemeldet ist. Diese Aktualisierung tritt auf, wenn der GlobalProtect Client einen hipreportcheck.esp an die firewall sendet. Aufgrund dieses Verhaltens wird die Inaktivität TTL weiter nachlässt, bis sie aktualisiert wird, was stündlich auftritt.
Führen Sie den folgenden Befehl aus, um das Hip Report Check Event zu sehen:
> Schwanz folgen ja Webserver-Log sslvpn-Access. log
Egal, ob der Verkehr vorbeifährt oder nicht, der Tunnel bleibt stehen, es sei denn, er wird durch eine Systemaktivität gebrochen, wie zum Beispiel ein PC, der über winternd oder herunterfährt. In diesem Fall wird der Tunnel kaputt sein und kein neuer hipreportcheck. ESP-Nachrichten werden das Gerät Palo Alto Networks erreichen. Daher wird die Inaktivität TTL weiter verringert und nicht aktualisiert, nachdem der konfigurierte Inaktivitäts-Logout-Timer abläuft, an dem der Benutzer abgemeldet wird.
Besitzer: Mbutt