网关上的地址分配是如何管理的 GlobalProtect ?
11249
Created On 03/25/20 07:01 AM - Last Modified 04/19/21 16:44 PM
Question
网关上的地址分配是如何管理的 GlobalProtect ?
Environment
- PAN-OS
- GlobalProtect 网关
Answer
网 GP 关正在以下 IP 点向用户分配地址 GP :
池
只要第一个池仍然有一些免费地址,指定的地址将来自此池。如果第一个池已用尽,则它会查看下一个池(等)。
欲了解更多信息,请查看 KB 文章GlobalProtect-: IP 拥有多个 IP 池时的地址分配
IP 分配
IP分配的地址在使用的池中是随机的。可以有一个"首选" IP 地址,请检查 KB 文章 -如何 IP 为 GlobalProtect VPN 用户设置首选地址
池中的保留地址
当池以网络前缀格式(即 192.168.1.0/24)编写时,池中应用了 2^n-2 规则,以了解可用地址的数量。例如,一个/24池将包含254个可用地址(2+8-2=254)。
没有必要排除网络和广播 IP 地址,它是自动完成的。
当池以网络范围(即 192.168.1.1-192.168.1.10)编写时,则该规则将不适用,该范围中的所有地址都将可用。
地址租赁 IP
地址没有租约 IP 。 一旦用户断开连接,其 IP 地址可以重新分配给下一个用户IP-从身份验证服务器选项检索框架-地址属性
此选项允许网关分配 IP 从外部身份验证服务器 ()收到的地址 RADIUS 。例如,请检查 KB 文章 - 如何 IP GlobalProtect 使用框架地址属性向具有活动目录 () 身份验证的用户分配固定 LDAP IP- 地址。
Additional Information
pan-oshttps://docs.paloaltonetworks.com//9-0/-admin/authentication/authentication-types/radius.html pan-os