Routingverhalten der Prisma Access Global Protect App mit „Customize Include Traffic“

3625

Created On 11/29/24 02:33 AM - Last Modified 08/29/25 02:37 AM

Symptom

Die Prisma Access- Tunnel sind mit der aktivierten Option „ Datenverkehr einschließen anpassen “ konfiguriert.
Dieser Umschaltknopf bietet die Möglichkeit, zusätzlich zum vorhandenen Abschnitt zum konfigurieren ausgeschlossener Routen IP-Routen zu den eingeschlossenen Routen hinzuzufügen.
In den Include Access Routes wird ein IP-Subnetz hinzugefügt (zum Beispiel 172.16.20.0/24)
Nachdem Sie „Verkehr anpassen, einschließen“ aktiviert haben, gelangt der gesamte andere Verkehr außer der Include- weiterleiten nicht mehr zu Prisma Access.

Environment

Prisma Access wird vom Strata Cloud Manager verwaltet.

Cause

Dies ist das erwartete Verhalten.
Wenn in „Include Access Routes“ ein bestimmtes Subnetz hinzugefügt wird, leitet Prisma Access den weiterleiten nur für das eingeschlossene Netzwerk weiter und teilt den Rest in einen Tunnel auf.
Dies bedeutet, dass die GP- App außer dem eingeschlossenen Subnetz keinen Datenverkehr an Prisma Access sendet.

Resolution

Fügen Sie in den Include Access-Routen die IP-Subnetze hinzu, die über Prisma Access verarbeitet werden müssen.
Wenn alternativ der gesamte Datenverkehr an Prisma Access gesendet und nur bestimmte Subnetze ausgeschlossen werden sollen, deaktivieren Sie die Option „ Datenverkehr anpassen – einschließen “.
Dadurch wird sichergestellt, dass der gesamte Datenverkehr der GlobalProtect-App mit Ausnahme des Subnetzteils der weiterleiten„Exclude Access“ über Prisma Access geleitet wird.

Additional Information

Standard(-) (wenn „ Einschließenden Verkehr anpassen “ nicht aktiviert ist) leitet Prisma Access den gesamten Verkehr über die GlobalProtect App weiterleiten und schließt jeglichen Verkehr aus, der mit dem unter „Zugriffsroute ausschließen“ hinzugefügten IP-Subnetz übereinstimmt.