Configurer le split tunneling
Vous pouvez activer le split tunneling pour empêcher le client Citrix Secure Access d’envoyer du trafic réseau inutile à NetScaler Gateway.
Lorsque vous n’activez pas le split tunneling, le client Citrix Secure Access capture tout le trafic réseau provenant d’une machine utilisateur et envoie le trafic via le tunnel VPN à NetScaler Gateway.
Si vous activez le split tunneling, le client Citrix Secure Access envoie uniquement le trafic destiné aux réseaux protégés par NetScaler Gateway via le tunnel VPN. Le client Citrix Secure Access n’envoie pas le trafic réseau destiné aux réseaux non protégés à NetScaler Gateway.
Lorsque le client Citrix Secure Access démarre, il obtient la liste des applications intranet auprès de NetScaler Gateway. Le client Citrix Secure Access examine tous les paquets transmis sur le réseau depuis la machine utilisateur et compare les adresses contenues dans les paquets à la liste des applications intranet. Si l’adresse de destination du paquet se trouve dans l’une des applications intranet, le client Citrix Secure Access envoie le paquet via le tunnel VPN à NetScaler Gateway. Si l’adresse de destination ne se trouve pas dans une application intranet définie, le paquet n’est pas chiffré et la machine utilisateur achemine le paquet de manière appropriée. Lorsque vous activez le split tunneling, les applications intranet définissent le trafic réseau intercepté.
Remarque :
Si les utilisateurs se connectent à des applications publiées dans une batterie de serveurs à l’aide de l’application Citrix Workspace, il n’est pas nécessaire de configurer le split tunneling.
NetScaler Gateway prend également en charge le tunneling fractionné inversé, qui définit le trafic réseau que NetScaler Gateway n’intercepte pas. Si vous configurez le split tunneling sur l’inverse, les applications intranet définissent le trafic réseau que NetScaler Gateway n’intercepte pas. Lorsque vous activez le split tunneling inversé, tout le trafic réseau dirigé vers des adresses IP internes contourne le tunnel VPN, tandis que le reste du trafic passe par NetScaler Gateway. Le split tunneling inverse peut être utilisé pour enregistrer tout le trafic LAN non local. Par exemple, si les utilisateurs disposent d’un réseau domestique sans fil et sont connectés via le client Citrix Secure Access, NetScaler Gateway n’intercepte pas le trafic réseau destiné à une imprimante ou à un autre appareil du réseau sans fil.
Pour plus d’informations sur les applications intranet, consultez Configuration de l’interception des clients.
Vous configurez le split tunneling dans le cadre de la stratégie de session.
Pour configurer le split tunneling
- Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développezNetScaler Gateway Policies, puis cliquez sur Session.
- Dans le volet d’informations, sous l’onglet Profils, sélectionnez un profil, puis cliquez sur Ouvrir.
- Dans l’onglet Expérience client, en regard de Split Tunnel, sélectionnez Global Override, sélectionnez une option, puis cliquez deux fois sur OK.
Configuration du split tunneling et de l’autorisation
Lors de la planification de votre déploiement de NetScaler Gateway, il est important de prendre en compte le split tunneling ainsi que l’action d’autorisation par défaut et les stratégies d’autorisation.
Par exemple, vous disposez d’une stratégie d’autorisation qui autorise l’accès à une ressource réseau. Le split tunneling est activé et vous ne configurez pas les applications intranet pour envoyer du trafic réseau via NetScaler Gateway. Lorsque NetScaler Gateway dispose de ce type de configuration, l’accès à la ressource est autorisé, mais les utilisateurs ne peuvent pas y accéder.
Si la stratégie d’autorisation refuse l’accès à une ressource réseau, si le split tunneling est activé et si les applications intranet sont configurées pour acheminer le trafic réseau via NetScaler Gateway, le client Citrix Secure Access envoie le trafic vers NetScaler Gateway, mais l’accès à la ressource est refusé.
Pour plus d’informations sur les options de split tunneling, consultez la section Options de split tunneling.