Configurar túnel dividido
Puede habilitar la tunelización dividida para evitar que el cliente Citrix Secure Access envíe tráfico de red innecesario a NetScaler Gateway.
Cuando no habilita la tunelización dividida, el cliente Citrix Secure Access captura todo el tráfico de red que se origina en un dispositivo de usuario y lo envía a través del túnel VPN a NetScaler Gateway.
Si habilita la tunelización dividida, el cliente Citrix Secure Access envía solo el tráfico destinado a las redes protegidas por NetScaler Gateway a través del túnel VPN. El cliente Citrix Secure Access no envía el tráfico de red destinado a redes desprotegidas a NetScaler Gateway.
Cuando se inicia el cliente Citrix Secure Access, obtiene la lista de aplicaciones de intranet de NetScaler Gateway. El cliente Citrix Secure Access examina todos los paquetes transmitidos en la red desde el dispositivo de usuario y compara las direcciones de los paquetes con la lista de aplicaciones de intranet. Si la dirección de destino del paquete se encuentra dentro de una de las aplicaciones de la intranet, el cliente Citrix Secure Access envía el paquete a través del túnel VPN a NetScaler Gateway. Si la dirección de destino no se encuentra en una aplicación de intranet definida, el paquete no se cifra y el dispositivo del usuario enruta el paquete de forma adecuada. Al habilitar la tunelización dividida, las aplicaciones de intranet definen el tráfico de red que se intercepta.
Nota:
Si los usuarios se conectan a aplicaciones publicadas en un conjunto de servidores mediante la aplicación Citrix Workspace, no es necesario configurar la tunelización dividida.
NetScaler Gateway también admite la tunelización dividida inversa, que define el tráfico de red que NetScaler Gateway no intercepta. Si establece la tunelización dividida como inversa, las aplicaciones de intranet definen el tráfico de red que NetScaler Gateway no intercepta. Cuando habilita la tunelización dividida inversa, todo el tráfico de red dirigido a direcciones IP internas omite el túnel VPN, mientras que el resto del tráfico pasa por NetScaler Gateway. La tunelización dividida inversa se puede utilizar para registrar todo el tráfico LAN no local. Por ejemplo, si los usuarios tienen una red inalámbrica doméstica y han iniciado sesión con el cliente Citrix Secure Access, NetScaler Gateway no intercepta el tráfico de red destinado a una impresora u otro dispositivo de la red inalámbrica.
Para obtener más información sobre las aplicaciones de intranet, consulte Configuración de la interceptación de clientes.
Configure la tunelización dividida como parte de la directiva de sesión.
Para configurar el túnel dividido
- En la utilidad de configuración, en la pestaña Configuración, en el panel de navegación, expanda Políticas de NetScaler Gateway y, a continuación, haga clic en Sesión.
- En el panel de detalles, en la ficha Perfiles, seleccione un perfil y, a continuación, haga clic en Abrir.
- En la ficha Experiencia del cliente, junto a Dividir túnel, seleccione Anulación global, seleccione una opción y, a continuación, haga clic dos veces en Aceptar.
Configurar la autorización y la tunelización dividida
Al planificar la implementación de NetScaler Gateway, es importante tener en cuenta la tunelización dividida y la acción de autorización y las directivas de autorización predeterminadas.
Por ejemplo, tiene una directiva de autorización que permite el acceso a un recurso de red. La tunelización dividida está activada y no configura las aplicaciones de intranet para enviar tráfico de red a través de NetScaler Gateway. Cuando NetScaler Gateway tiene este tipo de configuración, se permite el acceso al recurso, pero los usuarios no pueden acceder al recurso.
Si la directiva de autorización niega el acceso a un recurso de red, tiene los túneles divididos configurados en ON y las aplicaciones de intranet están configuradas para enrutar el tráfico de red a través de NetScaler Gateway. El cliente Citrix Secure Access envía el tráfico a NetScaler Gateway, pero se deniega el acceso al recurso.
Para obtener más información sobre las opciones de tunelización dividida, consulte Opciones de tunelización dividida.