在不更改现有全球池的情况下将区域 IP 池添加到配置中时,Prisma Access 中的 IP 池分配行为是什么?
9465
Created On 07/24/23 01:51 AM - Last Modified 02/02/24 06:19 AM
Question
- 现有的 Prisma Access 部署在所有 3 个区域(亚太地区、欧洲、中东和非洲地区)都启用了移动用户位置
- 当前的 IP 池 配置是在全球范围内完成的。
- 管理员将为 APAC 区域添加区域 IP 池,而无需修改现有的全球 IP 池配置。
- 问题在于 Prisma Access 在这种情况下的行为,以及亚太地区的移动用户如何以及何时从新的亚太地区 IP 池中获取 IP 地址。
Environment
- Prisma Access for Users 版本 4.0 或更低版本。
- IP 池 配置
- 移动用户
Answer
- IP 池分配或全局保护用户的 IP 地址不会立即更改。
- 现有的 APAC 网关将继续使用以前分配的全球 IP 池,直到满足以下条件之一。
- 分配给 APAC 网关的现有 IP 池已用尽,网关需要新的 IP 池。 在这种情况下,新用户将从新的区域 APAC IP 池接收 IP 地址。
- APAC 网关需要进行数据平面升级。 升级后,APAC 网关中的所有 IP 池都将使用亚太地区 IP 池,具体取决于池的可用性。
- 亚太地区的新位置/网关部署也将使用新的区域 IP 池,具体取决于池的可用性。
Additional Information
- 管理员仍然可以控制池分配的某些方面。
- 他们可以禁用/删除 APAC 位置,然后再次启用它们,这将导致新载入接收新的区域 IP 池。
- 注意:此操作应在维护时段内完成,并可能导致这些位置的公共IP地址以及现有分配的公共/出口IP池中的公共IP地址发生更改。
- 管理员还可以通过减少或删除现有的全球 IP 池来修改它。 如果从 IP 池配置中删除网关使用的 IP 池/子网,则网关将首先自动从区域 IP 块获取另一个可用的 IP 池。
- 如果有其他问题,或者需要在没有上述选项之一的情况下重新分配 IP 池,请联系 Palo Alto 支持。