从隧道中排除域 GlobalProtect
31707
Created On 04/16/20 03:37 AM - Last Modified 03/26/21 18:16 PM
Symptom
本文档描述了如何有效地将域排除在隧道之外 GlobalProtect 。
Youtube 将作为此插图的示例。
在网络 GlobalProtect >>网关>客户端设置>配置>拆分隧道>域名和应用程序> 添加 www.youtube.com
但是,在流量日志中, firewall 仍然接收来自连接客户端的 YouTube 流媒体流量 GlobalProtect :
Environment
- PAN-OS 8.1 及以上。
- 帕洛阿尔托 Firewall .
- GlobalProtect配置。
Cause
- YouTube 会加载来自其他来源的内容,只是youtube.com。
- 要验证,在访问YouTube之前,在客户端系统 GlobalProtect 代理上,导航到:
GlobalProtect > 设置>故障排除>记录级别>转储>开始:
- 代理上的记录转储级别 GlobalProtect 显示从 googlevideo.com 加载的内容。
Resolution
- 将动态 google 视频内容 (*.googlevideo.com)添加到"排除域"列表中:
- 提交 更改。 现在,流式处理流量应重定向到隧道以外的正确连接。
Additional Information
- 重要提示:调试完成后停止"日志记录级别:转储",因为这可能会填满日志并覆盖保存在磁盘上的重要日志。
- 或者,有趣的流量(在这种情况下的流媒体)可以解密/检查 firewall 。 这将揭示需要隧道排除的任何附加内容。
- 本文假定了配置知识 GlobalProtect 。