GlobalProtect ログオン前のユーザー認証の遅延
29164
Created On 12/20/20 17:37 PM - Last Modified 04/19/21 17:15 PM
Symptom
ポータルが GlobalProtect 構成されているインターフェイスとは異なるインターフェイスでゲートウェイを構成すると、ログオン前接続の後にユーザー ログオンの間に遅延が発生する可能性があります。ゲートウェイとポータルが同じインターフェイスとアドレスを共有している場合、この問題は発生しません IP 。
Environment
- GlobalProtect
Cause
GlobalProtect クライアントは、ゲートウェイへの接続がメイン エンドポイント アダプタを介して送信され、仮想アダプタ自体を介してトンネリングされないようにする必要 GlobalProtect があります。
これを実現するために使用するメカニズムは、メイン アダプタを介してゲートウェイ アドレスに向かう /32 のマスク ルート IP をインストールすることです。 これは、トンネルを経由してルーティングされる可能性のあるより広いネットワーク(0.0.0.0/0 など)によって捕捉されないようにするためです。
次の例では、ゲートウェイ IP 80.80.80.80 は、WiFi アダプターのデフォルト ゲートウェイに向けてサブネット マスク 255.255.255.255 を使用してルーティング テーブルに追加されます。
ログオン前に"ログオン前トンネル名変更タイムアウト (秒)" が -1 または 0 以外の値に設定されている場合、ユーザーがログインした後もログオン前トンネルは保持され、ユーザー認証が行われると名前が変更されるのを待ちます。
この場合、ユーザー ログオンはポータルへの接続を開始して、関連する構成を確認します。 ポータルがゲートウェイと同じアドレスも使用している場合 IP 、/32 マスクルートは、 IP 接続が物理インターフェイスを介して送信されることを保証します。
ゲートウェイがポータルの とは異なるを使用している場合 IP IP 、ポータル アドレスは /32 のマスクされたゲートウェイ ルートでカバーされず、ポータル接続がタイムアウトするまでユーザー接続は発生しません TCP 。 デフォルトでは、この値は 5 秒に設定されており、エンド ユーザーには気付かない可能性がありますが、この設定値を大きくすると、エンド ユーザーはユーザー トンネルに切り替える間に遅延を感知する可能性があります。
次の例では、2 番目のゲートウェイ IP 40.40.40.40 が WiFi アダプタのデフォルト ゲートウェイに向かってサブネット マスク 255.255.255.255 を使用してルーティング テーブルに追加されますが、Portal IP 80.80.80.80 はトンネルに向けたデフォルト ルートと一致します GP 。 この場合、-deny によりポータル接続が切断される可能性 policy があるため、追加のセキュリティ規則を構成する必要があります。
Resolution
遅延を回避する方法は 2 つあります:
オプション 1 -セキュリティ
ルールポータル接続を追加 GlobalProtect する を使用して、次のパラメータを持つセキュリティルールは接続を許可します。
Globalprotect GlobalProtect
IP
policy IP これは、ポータル接続がトンネル化されておらず、デフォルトのゾーン内許可ルール、または既に設定されている特定のルールに達するためです。
オプション 2 -ポータルの「除外」ルートを追加するポータルの IP
「除外」ルートを IP 追加すると、物理アダプター経由で /32 のマスクされたルートがインストールされます。 これにより、Portal 接続がトンネル化されず、アクセスが既に許可されているセキュリティ規則が使用されます。
次の例では、WiFi アダプターを使用してポータルとゲートウェイの両方のルートを表示します。