Wie verhält sich die IP-Pool-Zuweisung in Prisma Access, wenn ein regionaler IP-Pool in die Konfiguration aufgenommen wird, ohne den bestehenden weltweiten Pool zu ändern?

Wie verhält sich die IP-Pool-Zuweisung in Prisma Access, wenn ein regionaler IP-Pool in die Konfiguration aufgenommen wird, ohne den bestehenden weltweiten Pool zu ändern?

9469
Created On 07/24/23 01:51 AM - Last Modified 02/02/24 06:19 AM


Question


  • Es gibt eine bestehende Prisma Access-Bereitstellung mit aktivierten mobilen Benutzerstandorten in allen 3 Regionen (APAC, EMEA und NAM)
  • Die aktuelle IP-Pool-Konfiguration erfolgt auf weltweiter Ebene.
  • Der Administrator fügt einen regionalen IP-Pool für die APAC-Region hinzu, ohne die vorhandene Konfiguration des weltweiten IP-Pools zu ändern.
  • Die Frage bezieht sich auf das Verhalten von Prisma Access in diesem Fall und darauf, wie und wann die mobilen Benutzer in der APAC-Region IP-Adressen aus dem neuen IP-Pool der APAC-Region erhalten.

Environment


  • Prisma Access für Benutzer Version 4.0 oder niedriger.
  • Konfiguration des IP-Pools
  • Mobile Benutzer

Answer


  1. Es gibt keine unmittelbare Änderung der IP-Pool-Zuweisung oder der IP-Adressen der Global Protect-Benutzer.
  2. Die vorhandenen APAC-Gateways verwenden weiterhin die zuvor zugewiesenen weltweiten IP-Pools, bis eine der folgenden Bedingungen erfüllt ist.
    • Der vorhandene IP-Pool, der den APAC-Gateways zugewiesen ist, ist erschöpft, und die Gateways benötigen einen neuen IP-Pool. In diesem Fall erhalten die neuen Benutzer die IP-Adresse aus dem neuen regionalen APAC-IP-Pool.
    • Die APAC-Gateways unterliegen einem Upgrade der Datenebene. Nach dem Upgrade verwenden alle IP-Pools in APAC-Gateways IP-Pools in der APAC-Region, die der Poolverfügbarkeit unterliegen.
  3. Für die Bereitstellung neuer Standorte/Gateways in der Region APAC wird je nach Verfügbarkeit des Pools auch der neue regionale IP-Pool verwendet.

 

Additional Information


  • Der Administrator kann weiterhin einige Aspekte der Poolzuweisung steuern.
  • Sie können die APAC-Standorte deaktivieren/entfernen und dann wieder aktivieren, was dazu führt, dass das neue Onboarding neue regionale IP-Pools erhält.
  • Hinweis: Diese Vorgänge sollten in einem Wartungsfenster ausgeführt werden und können zu einer Änderung der öffentlichen IP-Adresse für diese Standorte sowie innerhalb des vorhandenen zugewiesenen öffentlichen/ausgehenden IP-Pools führen.
  • Der Administrator kann auch den vorhandenen weltweiten IP-Pool ändern, indem er ihn reduziert oder entfernt. Wenn ein IP-Pool/Subnetz, das von einem Gateway verwendet wird, aus der IP-Poolkonfiguration entfernt wird, ruft das Gateway automatisch zuerst einen anderen verfügbaren IP-Pool aus dem IP-Block der Region ab.
  • Wenden Sie sich an den Palo Alto-Support, wenn Sie weitere Fragen haben oder die IP-Pools ohne eine der oben genannten Optionen neu zuweisen müssen.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bqY5CAI&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language