拆分隧道行为GlobalProtect客户

• Windows 或 MacOS 客户端连接到GlobalProtect配置了拆分隧道的网关
• 出于本文档的目的，我们使用以下方案：
  • GlobalProtect 客户端：WindowsPC和IP地址192.168.10.10，默认网关192.168.10.1
  • GlobalProtect 门户/网关：Palo Alto Networksfirewall门户和网关托管在 192.168.10.1
  • 连接后的虚拟接口GlobalProtect: 172.16.10.1
  • 提供的屏幕截图适用于 Windows，但行为也适用于 MacOS
  • 拆分隧道选项在门户下app设置设置为仅网络流量（默认）
  • 解析所有 FQDN 使用DNS隧道分配的服务器（仅限 Windows）在门户下app设置为是的（默认）
  • 无法直接访问本地网络在网关拆分隧道设置下禁用（默认）

1. 没有配置拆分隧道

路由表：

交通行为：

• A 创建具有较低度量的默认路由，指向在隧道内路由所有流量的虚拟接口

2. 仅包含访问路径

   对于这种情况，让我们配置一个私有的IP子网作为包括访问路由。

• 包括访问路由安装指向虚拟接口
• 流量匹配包括接入路由经过隧道
• 没有指向将其余流量路由到隧道外的虚拟接口的默认路由

3. 仅排除访问路径

   对于这种情况，让我们排除IPMicrosoft Teams 所需的范围。

• 排除访问路由安装指向外部接口
• 匹配排除路由的流量出隧道
• 安装了具有较低度量的默认路由，指向隧道内路由其余流量的隧道
• 在这种情况下，通常的做法是配置包含访问路由 0.0.0.0/0。 这是多余的并且不是必需的，因为网关无论如何都会推送隐式包含默认路由。

4. 包括和排除路线

   对于这种情况，我们将同时配置包含和排除IP范围。

• 排除和包含访问路由都安装指向各自的接口
• 流量匹配包括路由通过隧道
• 匹配排除路由的流量出隧道
• 未安装指向隧道的默认路由，它将其余流量路由到隧道外
• 由于默认路由指向外部接口，因此在此处配置排除路由是多余的，除非我们有导致本地路由表冲突的特殊用例并且明确需要更具体的路由。

5. 仅包括域或应用程序

   对于这种情况，让我们配置* paloaltonetworks.com作为包括域和没有访问路由。

• 与包含域或应用程序匹配的所有流量都通过隧道
• 安装具有较低度量的默认路由，指向隧道内路由其余流量的隧道。
• 通常在这种情况下，我们希望默认路由指向外部接口，因为如果所有流量都进入隧道，则包含某些域和/或应用程序是没有意义的。
• 要解决此问题，通常的做法是配置 0.0.0.0/0 的排除访问路由。这不会产生预期的结果，因为指向隧道的隐式包含默认路由仍将保留较低的度量。

• A 此问题的有效解决方案是配置虚拟包含访问路由（在本例中为 172.17.0.0/16），这将使指向外部接口的默认路由成为首选。下面是生成的路由表。

 

6. 仅排除域或应用程序

   对于这种情况，让我们配置*paloaltoetworks.com作为排除域并且没有访问路由。

 

路由表：

交通行为：

• 与排除域或应用程序匹配的所有流量都在隧道外
• 安装了具有较低度量的默认路由，指向隧道内路由其余流量的隧道

7. 包括和排除域或应用程序

   对于这种情况，让我们配置为包含域*paloaltonetworks.com并排除域*zoom.us

路由表：

• 与排除域或应用程序匹配的所有流量都在隧道外
• 与包含域或应用程序匹配的所有流量都进入隧道
• 安装了具有较低度量的默认路由，指向隧道内路由其余流量的隧道
• 除非在本地路由表冲突或访问路由引起的冲突的特殊用例中，否则在这里配置包含域或应用程序是多余的。

• https://docs.paloaltonetworks.com/pan-os /8-1/pan-os -新功能/globalprotect -features/split-tunnel-for-public-applications.html

1. NO DIRECT ACCESS TO LOCAL NETWORK“CONFIGURED WITH SPLIT TUNNEL

2.  HOW TO CONFIGURE SPLIT DNS
3. GlobalProtect: 实施拆分隧道域和应用程序
4. 对拆分隧道域和应用程序进行故障排除并排除视频流量