GlobalProtect 预登录后用户身份验证延迟
29148
Created On 12/20/20 17:37 PM - Last Modified 04/19/21 17:15 PM
Symptom
当 GlobalProtect 网关配置在与门户配置不同的界面上时,在登录前连接之后的用户登录过程中可能会出现延迟。当网关和门户共享相同的界面和地址时,不会出现此问题 IP 。
Environment
- GlobalProtect
Cause
GlobalProtect 客户需要确保其与网关的连接通过主端点适配器发送,而不是通过 GlobalProtect 虚拟适配器本身
进行隧道。它用于实现此目的的机制是 IP 通过主适配器安装通往网关地址的/32 蒙面路线。 这是为了确保它不会被可能通过隧道路由的更宽的网络捕获,例如 0.0.0.0/0。
在下面的示例中,网关 IP 80.80.80.80 添加到路由表中,并带有子网面膜 255.255.255.255 朝向 WiFi 适配器默认网关。
使用预登录时,当"前登录隧道重命名超时(秒)"设置为 -1 或非零值时,预登录隧道将在用户登录后持续存在,当用户身份验证发生时将等待重命名。
在此之前,用户登录将启动连接到门户,以检查相关配置。 如果 Portal 还使用与 IP 网关相同的地址,则/32 蒙面路由 IP 将确保连接通过物理界面发送。
如果网关使用的与门户不同 IP IP ,则门户地址不在 /32 蒙面网关路由范围范围之外,在门户连接超时之前不会发生用户连接 - 这基于" TCP 连接超时(秒)"设置。 默认情况下,这被设置为 5 秒,最终用户可能不会注意到,但如果此设置增加到更高的值,最终用户可能会在切换到用户隧道时感觉到延迟。
在下面的示例中,将第二个网关 IP 40.40.40.40 添加到路由表中,并添加子网罩 255.255.255.255 朝向 WiFi 适配器默认网关,但 Portal IP 80.80.80.80 将匹配通往隧道的默认路线 GP 。 在这种情况下,门户连接可能会因拒绝而断断, policy 并且需要配置额外的安全规则。
Resolution
有两种方法可以克服延迟:选项
1 -添加安全规则
门户连接正在隧道通过 GlobalProtect ,因此具有以下参数的安全规则将允许连接:
从: Globalprotect 区域(分配给网关上配置的隧道界面的区域 GlobalProtect )
到:分配给 与门户 IP 地址(通常不信任)应用程序的界面
:ssl
注意:当 policy 网关和门户位于同一地址时,您可能会注意到不需要此区域间 IP ,这是因为门户连接未通过隧道,并且会击中默认的区域内允许规则, 或已配置的特定规则。
选项 2 -为门户添加"排除访问路线 IP
",为门户添加"排除"路线 IP 将通过物理适配器安装 /32 蒙面路线。 这将确保门户连接不通过隧道,并将使用已经允许访问的安全规则。
在下面的示例中,您将通过 WiFi 适配器查看门户和网关路线。