无客户端VPN用户是否从移动用户 IP 池中分配了一个 IP?
2433
Created On 04/21/22 00:24 AM - Last Modified 03/27/25 21:13 PM
Question
无客户端VPN用户是否从移动用户 IP 池中分配了一个 IP?
Environment
- Prisma Access 移动用户
- 全球保护无客户端VPN
- 全球保护门户
Answer
- 使用无客户端VPN门户的移动用户不会从移动用户 IP 池中分配IP 地址。
- 无客户端VPN用户的入站连接使用 Prisma Access Portal 的环回地址进行source NAT(源 NAT-SNAT)。
- 入站连接是从无客户端VPN用户到数据中心后面的内部资源的流量(通过服务连接或远程网络)
- Prisma Access门户将使用内部环回IP 地址。此环回IP 地址是从初始 Prisma Access 入职/部署期间配置的基础设施子网分配的。
Additional Information
Example of a user session where 10.1.0.0/24 is used as the infrastructure subnet
> show session id 3136988
Session 3136988
c2s flow:
source: 34.10.20.30 [Clientless_VPN] <------- Clientless user Public IP
dst: 12.154.62.10 <------------ MU Portal IP
proto: 6
sport: 15715 dport: 443
state: INIT type: FLOW
src user: paloaltonetworks.com\johndoe
dst user: unknown
s2c flow:
source: 10.1.0.120 [Inside] <----- Portal loopback
dst: 10.1.2.214 <---------- Destination server
proto: 6
sport: 443 dport: 15715
state: INIT type: FLOW
src user: unknown
dst user: paloaltonetworks.com\johndoe